Posibles canales para el ciberespionaje de nuestros datos y mensajes

Como complemento al artículo que publiqué la semana pasada sobre ciberespionaje, mi propuesta en este caso es relacionar algunos de los canales que podrían ser utilizados para acceder a nuestros datos y mensajes a través de Internet. Agradeceré cualquier aportación que ayude a ampliar la lista. El objetivo es que seamos todos conscientes de que la mayor parte de las herramientas que utilizamos para comunicarnos y para almacenar información pueden ser objeto de un acceso no autorizado.

  1. Interceptación de mensajes de correo electrónico en tránsito
  2. Software de rastreo y registro de mensajes
  3. Acceso a mensajes de correo electrónico tras petición al ISP
  4. Acuerdo con ISP para acceder directamente a los mensajes
  5. Puerta trasera en sistema operativo
  6. Puerta trasera en software de cifrado
  7. Software de cifrado con clave poco robusta por leyes de exportación
  8. Puerta trasera en firmware de router wifi
  9. Puerta trasera en firmware de centralita telefónica
  10. Puerta trasera en software de VoIP
  11. Puerta trasera en aplicaciones de ofimática y ERP
  12. Petición a proveedor de cloud computing o red social
  13. Acuerdo de acceso continuado con proveedor de cloud computing o red social
  14. Acceso directo al flujo de datos de la infraestructura nacional de fibra óptica
  15. Acceso a nodos neutros y al tráfico de datos no estructurados que fluye por ellos
  16. Acceso a repositorios de información con datos estructurados

Adicionalmente cabe mencionar características técnicas actuales, futuras o presuntamente frustradas que pueden facilitar el acceso no autorizado:

  1. Protocolo IPv6
  2. Dirección MAC
  3. Número de serie del procesador
  4. Registro de redes y routers wifi
  5. Numero de serie de la aplicación utilizada oculto en el fichero enviado
  6. Geoetiquetado de contenidos
  7. Identificador único de usuario
  8. Publicidad basada en el comportamiento
  9. Madurez en la gestión de datos no estructurados (Big data)

La primera lista correspondería a los canales directos y la segunda a los indirectos.

La publicidad comportamental, por ejemplo, sería un canal indirecto, ya que los gobiernos no accederían directamente a los datos de los usuarios, sino a través de la captura de datos recopilados y analizados por las redes publicitarias, utilizando las eventuales puertas traseras del software que estas redes pudiesen estar utilizando (sistemas operativos, software de cifrado, software ofimático, servicios cloud, etc.).

Un canal directo de análisis comportamental de la ciudadanía serían las redes sociales, mediante herramientas de big data que Twitter, por ejemplo, ofrece como servicio a los analistas.

Todos estos datos podrían ser útiles para realizar predicciones y analizar tendencias de opinión y de comportamiento de forma masiva. Ello hizo posible que una sola persona acertase con sus predicciones los resultados de las pasadas elecciones presidenciales en EEUU.

En el apartado remedios, pocas novedades hay: bloquear todas las cookies, utilizar firewalls, sistemas de navegación anónima  y herramientas de cifrado que no sean norteamericanos, y no tuitear sobre gustos personales, hábitos de consumo, tendencias de voto, ideología y cualquier otro elemento que ayude a la segmentación, ala elaboración de perfiles o a la definición de tendencias, por ejemplo.

REFERENCIAS

Reino Unido almacena las comunicaciones de ciudadanos de todo el mundo tras pinchar los cables de fibra que recorren el país

Tras 17 años de espionaje en Internet, ¿de qué nos sorprendemos?

“En el pasado, si el Gobierno quería violar la intimidad de los ciudadanos corrientes, tenía que gastar sus recursos en interceptar, abrir al vapor y leer el correo y escuchar, grabar y transcribir las conversaciones telefónicas. Eso era como pescar con caña, de uno en uno. Por el contrario, los mensajes de e-mail son más fáciles de interceptar y se pueden escanear a gran escala, buscando palabras interesantes. Esto es como pescar con red, existiendo una diferencia orwelliana cuantitativa y cualitativa para la salud de la democracia”.

Estas palabras forman parte de la declaración de Phil Zimmermann ante el Subcomité de Política Económica, Comercio y Medio Ambiente de la Cámara de Representantes de los EEUU, el 26 de junio de 1996. Este subcomité lo estaba investigando por un supuesto incumplimiento de la ley que prohibía exportar software de cifrado con una longitud de clave superior a lo que EEUU consideraba descifrable. Fue uno de los primeros casos en los que se evidenció el potencial de la red como soporte de información que podía ser obtenida fácilmente para cualquier interés estratégico del gobierno norteamericano.

Phil Zimmermann había desarrollado el programa Pretty Good Privacy (PGP) que frustraba  la opción del ciberespionaje en tres sentidos:

  1. Permitía ajustar la longitud de la clave hasta cifras de 1.024 bits, 2.048 bits y superiores, que en 1996 eran prácticamente indescrifrables.
  2. Utilizaba clave asimétrica, lo cual impedía utilizar técnicas de análisis criptográfico basado en la recuperación de la clave oculta en el propio mensaje cifrado.
  3. No tenía puertas traseras, lo que impedía descrifrar los mensajes si no se disponía de la clave privada.

La normativa que regula la exportación de tecnología de doble uso (civil y militar) establece en todos los países miembros del Acuerdo de Wassenaar un control sobre la exportación de algoritmos de cifrado y cualquier tecnología que los utilice. En España, la lista de productos y tecnologías de doble uso ha sido actualizada recientemente mediante la Orden ECC/705/2013, de 26 de abril (PDF), que incluye los procedimientos de cifrado en el apartado e) del subartículo 11.a.

En EEUU este control hizo que la versión internacional de programas tan populares en 1996 como Netscape, no pudiesen utilizar claves de más de 64 bits el protocolo SSL. Ello hacía que la visualización del candado en el navegador, que indicaba que estábamos visitando un servidor seguro (https) fuese una mera ilusión. De hecho, ya se decía por aquel entonces que la seguridad era un estado de la mente. Posteriormente se establecieron excepciones que permitieron, por ejemplo, utilizar claves de 128 bits en servidores de banca electrónica extranjeros.

En 1.999, aunque posiblemente fue antes, el control gubernamental llegó a los sistemas operativos. En el caso de Windows, existen evidencias de que en ese año se introdujo una puerta trasera en el sistema operativo que permitía el acceso al contenido de cualquier ordenador que lo tuviera instalado. El propio Phil Zimmerman tuvo que publicar un comunicado en el que desmentía los rumores de que su programa PGP tenía una puerta trasera.

Posteriormente se tendría conocimiento de la existencia de COFEE (Computer Online Forensic Evidence Extractor), una utilidad que supuestamente permitía el acceso a ordenadores con Windows a través de una puerta trasera. Aunque no lo he visto realmente en ningún concurso público, hace años que existe la tesis de que los gobiernos que adquieren sistemas operativos norteamericanos exigen y reciben una versión diferente a la que utilizan las empresas. La versión gubernamental estaría desprovista de puertas traseras. Un ejemplo a analizar es el de Google Apps for Government, destinado a la administración pública norteamericana. En el apartado relativo a la seguridad establece como principal garantía, y en negrita: “Your data belongs to you”, de lo que podría interpretarse que, si no eres un organismo público norteamericano, los datos no te pertenecen, en el sentido de que pueden ser espiados ;-).

La distribución de software de base y de cifrado con puertas traseras, unido al desarrollo de sistemas avanzados de interceptación de comunicaciones es uno de los fundamentos de la llamada red Echelon, siempre asociada a la teoría de la conspiración y claro antecedente de PRISM.

Con este historial de espionaje, no entiendo la sorpresa causada por la constatación de unos hechos que eran de dominio público. Me imagino que la novedad reside en el carácter irrefutable de las pruebas actuales y en el alcance y la intensidad del espionaje.

Baudelaire decía que la astucia más perfecta del diablo consiste en convencernos de que no existe, pero es mucho más astuto el que abiertamente, sin ocultar su existencia:

  1. te vende una casa que tiene una puerta trasera abierta para que pueda entrar cuando quiera (sistema operativo),
  2. te vende cerraduras avanzadas para que tengas una falsa sensación de seguridad y se queda una copia de la llave (sistemas de cifrado),
  3. te vende un sistema de comunicaciones que está bajo su control (Internet), y, para completar la operación,
  4. te deja un estante en su caja fuerte para que guardes en ella todos tus datos, (cloud computing), de manera que ya no necesita la puerta trasera ni la copia de la llave para acceder a los datos.

Y todos seguimos religiosamente los pasos 1, 2, 3 y 4, porque cada uno fue una moda en su tiempo que había que seguir para no quedarse fuera del primer mundo, hasta conseguir que la astucia descrita por Baudelaire quedase en un juego de niños. Y encima pagando.

Por suerte, estamos hablando de big data, con todas sus consecuencias y dificultades, por lo que, en vez de ocultar la información con cifrado desarrollado por los mismos que nos espían, tal vez es mejor que aprendamos que la mejor forma de esconder una aguja es en un pajar. Pero EEUU también es uno de los países que más ha aprendido a gestionar grandes volúmenes de datos no estructurados.

Al final, si sabemos que el gran hermano pesca con red, como decía Phil Zimmermann, sólo nos quedará la opción de obligarle a desempolvar la caña. Pero como no se trata de volver a utilizar palomas mensajeras ni de escribir cartas a mano, supongo que tendremos que acostumbrarnos a que, en los concursos públicos multimillonarios que convocan algunos países emergentes, las empresas españolas tengan que competir con empresas norteamericanas que además de tecnología y producto, tendrán información, mucha información.

En cualquier caso, la lectura positiva de las noticias de las últimas semanas, es que si tengo que comentar algo confidencial con un cliente, voy a intentar mantener una reunión presencial con él. Así recuperaremos el contacto personal que se había distanciado con el correo electrónico.

Escribir a mano, verse cara a cara… suena raro que lo diga yo, apasionado “early adopter” de cualquier tecnología, pero ya hace tiempo que estamos hablando de volver a lo básico y esta es una buena excusa.

ACTUALIZACIÓN 16/07/2013: El Kremlin recupera la máquina de escribir como herramienta de inteligencia. Parece que la tendencia de evitar el uso de las nuevas tecnologías, y especialmente de Internet, para dificultar el ciberespionaje está calando. Las autoridades rusas han firmado ya la compra de máquinas de escribir eléctricas por valor de 15.000 dólares con el fin de utilizar el papel como soporte y medio de transmisión de información confidencial.

ACTUALIZACIÓN 28/09/2020: Se filtra el código fuente de Windows XP. En caso de confirmarse, es una buena oportunidad para verificar si tiene puertas traseras.