Tras el caso Hacking Team, hay varias lecciones que podemos aprender sobre seguridad en Internet y con nuestros dispositivos.
Hace justo un año, por estas fechas, los inmortales Monty Python cantaron por última vez su always look on the bright side of life. Ese mismo mensaje se puede aplicar a cualquier elemento de la propia vida, por desagradable que parezca. Estos días, también al caso Hacking Team. Este caso nos puede dejar algunas lecciones sobre seguridad de nuestros dispositivos y nuestra presencia en la red. Si todavía crees que por ser un navegante anónimo estás fuera del radar, estás muy equivocado:
- Todo el tráfico colombiano era interceptado por Hacking Team
- Ningún país del mundo gastó tanto como México en Hacking Team
- La SEGOB contrató a Hacking Team para espiar smartphones en remoto
- Todos estos países hispanoamericanos contrataron a Hacking Team
Y sólo son cuatro ejemplos. Ya que Hacking Team ha sido utilizado por gobiernos (también de la lista negra) durante los últimos años, al menos que sirva para mejorar nuestra seguridad en adelante.
Una mayor personalización de tu smartphone no vale tu privacidad
En el modus operandi de Hacking Team vimos algunos procedimientos básicos y puertas de entrada a terminales y ordenadores. Ahora, con el buscador de WikiLeaks hemos podido ahondar un poco más en el asunto.
En el caso español en concreto, en este mail filtrado podemos ver cómo la Policía Nacional pedía a Hacking Team formas de espiar remotamente varios tipos de dispositivos, así como la solución propuesta y probada con éxito al primer intento.
En el caso de dispositivos móviles, las vulnerabilidades siempre llegaban en dispositivos con permisos root activados (Android) y el jailbreak realizado (iOS). Con dispositivos que no habían sufrido estas acciones era bastante más complicado, puesto que para espiarlos hacía falta obtener acceso físico al dispositivo en primer lugar. Luego el servidor de las RCS (Remote Control System) establecía una conexión única vía SSH y a partir de ahí iba recopilando toda la información "necesaria": comunicaciones de voz y texto, datos móviles, geoposicionamiento, etc.
¿Merece la pena dejar al aire la seguridad de tu dispositivo? Con el jailbreak tienes acceso a una personalización completa del iPhone o iPad, incluso a contenido ilegal. ¿Compensan unas tardes de cacharreo a cambio de destruir la seguridad del iPhone? Realmente no.
¿Permisos root? Vigila bien tu terminal. Los permisos root vienen a ser el equivalente al jailbreak, en Android. Acceso total a cualquier rincón del dispositivo. Esto implica una responsabilidad que mal empleada se convierte en un peligro:
No confíes ciegamente en redes WiFi abiertas. Uno de los métodos del RCS era a través de redes WiFi públicas. Tentadoras, pero capaces de extraer buena parte de nuestra información por el mero hecho de subir un par de fotos a Instagram, las cuales en realidad podían esperar.
Deja de instalar software de más. Y controla el ya instalado. Actualmente el uso de troyanos por parte de las autoridades gubernamentales está prohibido, pero como informa El Español, en breve será legal su uso.
La ingeniería social es clave. En muchas ocasiones, las infecciones llegan a través de correos electrónicos o enlaces que llegan a través de mensajes de Facebook de gente desconocida.
Mantén actualizado siempre tu sistema operativo. No importa cuál sea. Cada actualización incluye pequeños parches a agujeros de seguridad encontrados. Estar desfasado implica estar más expuesto.
Hay más consejos sobre seguridad en Internet que puedes aplicar, como usar generadores / gestores de contraseñas en lugar de palabras o combinaciones sencillas de recordar. Always look on the bright side of life.
Continúar leyendo...