En SocialTIC nos dedicamos a trabajar con organizaciones de sociedad civil, activistas y periodistas independientes para que haya un mayor entendimiento del contexto digital que viven, identificando las oportunidades para reforzar su impacto en la sociedad pero también para que puedan atender y mitigar sus riesgos.
El caso de espionaje a dos líderes de sociedad civil y un investigador del sector salud en México expuesto por el New York Times y técnicamente verificado por CitizenLab es alarmante. Estamos frente a la evidencia del uso desproporcionado y muy probablemente ilegal de tecnología altamente intrusiva que además de dañar directamente a los afectados, genera graves interrogantes para el Gobierno Mexicano y la industria refresquera.
A continuación identificamos algunos aspectos alarmantes de este caso.
- Tecnología Sofisticada y Altamente Intrusiva
Existen numerosos tipos de software malicioso (malware) y espía (spyware) en Internet. La industria del espionaje y virus es amplia pero son muy pocos los grupos tecnológicos con las capacidades para generar programas tan sofisticados como los de NSO (ver reporte de CitizenLab de agosto 2016).
Es muy complicado rastrear la fuente exacta en la que se hospeda el malware antes de infectar a un equipo. Cuando un usuario hace clic en el link engañoso o provocativo al recibir un mensaje de texto, chat o email, el tráfico de datos viaja entre diversos servidores intermediarios, siendo uno de ellos el que almacena el malware y genera la descarga para infectar el equipo. Este tipo de software malicioso es indetectable por antivirus comunes y únicamente grupos especializados de análisis informáticos forenses han logrado identificar sus características y vincular los puntos de descarga con la infraestructura de NSO.
Las funcionalidades de espionaje son altamente intrusivas. Se ha identificado que obtiene archivos almacenados en el equipo (archivos, contactos, fotos, registros de llamadas o textos), toma control de programas (como los que operan cámara, micrófono o GPS) y cuenta con un lector de la actividad del teclado, lo cual no sólo graba lo que se escribe sino que también puede obtener las contraseñas de aplicaciones y servicios digitales.
Dado su nivel de penetración a la información y actividad, este tipo de malware es equiparable a un arma y se ha justificado para fines de combate al crimen y actos terroristas. Por ello, la legislación de muchos países obliga a que las compañías de tecnología especializada en espionaje únicamente vendan este software a gobiernos bajo ciertos criterios de validación.
- Afectaciones de la Vigilancia
En México, periodistas, sociedad civil y activistas viven bajo un constante peligro. Sin embargo, a diferencia de las agresiones físicas, poco se visibiliza el impacto que la vigilancia tiene sobre los individuos afectados.
A lo largo de nuestro trabajo en apoyo a diversos grupos afectados, hemos identificado que el espionaje es comúnmente utilizado para contener a tiempo acciones (campañas, juicios o declaraciones), entorpecer directamente el trabajo del grupo mediante el robo de información e inclusive difamar públicamente a individuos y organizaciones. Internamente, personas y grupos bajo vigilancia (sospecha o verificada) naturalmente pierden foco en sus actividades, se ven obligados a reajustar sus planes de trabajo y deben atender complicadas reacciones en sus integrantes generadas por la tensión y el riesgo.
En ocasiones, existen reacciones opuestas, ya que se asume como de-facto que se está bajo vigilancia en todo momento y en todos los espacios, físicos y digitales. Esta reacción, si bien puede reconfortar a la persona espiada, si no se siguen medidas y hábitos de seguridad, aumenta el riesgo tanto de la persona misma como de las personas en su entorno. Recordemos que los riesgos digitales se extienden a personas relacionadas con la información que se encuentra en archivos, conversaciones y datos que generamos y almacenamos con nuestros equipos o dispositivos.
- Reacción y Mitigación
Ante una revelación como ésta, es importante que individualmente evaluemos en qué nivel de riesgo estamos. Hay que recordar que existen distintos tipos de riesgos que se viven en Internet y que hay distintos niveles de complejidad y afectación dependiendo del tipo de ataque que se sufra.
En México existen cotidianamente ataques digitales a periodistas y activistas de bajo nivel tecnológico, tales como robo de equipo a periodistas, monitoreo de wifi, hackeo e infiltración de cuentas de correo, instalación de programas de registro de tecleo, intervención telefónica y agresiones en redes sociales. Todas estas generan afectaciones relevantes al trabajo y vida de las personas afectadas.
El caso de la vigilancia dirigida, utilizando tecnología como la que proveen empresas especializadas como NSO o Hacking Team son altamente intrusivas y por lo tanto muy efectivas para los fines del espionaje. Y, dado que es alta tecnología, cada licencia para intervenir a una persona se estima ronde en decenas de miles de dólares.
Este es un buen momento para evaluar tus prácticas de seguridad así como las de tu organización. Si has recibido mensajes de texto o chat de fuentes desconocidas con mensajes similares a los que se han descrito en estas revelaciones, por favor acércate con especialistas en seguridad y compárteles un pantallazo del mensaje recibido. Dada la complejidad de este tipo de malware, la principal recomendación será deshacerte del equipo puesto que aún no hay procesos sencillos de detección y limpieza. Conoce más del software Pegasus y nuestras recomendaciones .
Es fundamental recordar que la seguridad digital debe de verse de manera integral, mejorando hábitos, estableciendo protocolos y utilizando la tecnología adecuada. Dependiendo del nivel de riesgo de cada persona, es necesario tener la preparación correcta para evitar ataques, disminuir su impacto potencial y poder reaccionar adecuadamente en crisis. Sólo es posible lograr lo anterior si se cuentan con políticas, protocolos y entrenamiento apropiado.
- Vigilancia Fuera de Control
Tal como establece el reporte sobre Vigilancia de R3D, en México la vigilancia es predominantemente ilegal, desproporcionada y carece de los controles jurídicos y de transparencia para evitar que dependencias públicas abusen de ella. El caso al que ahora nos referimos es un claro ejemplo de ello. Sólo con la profunda, transparente e imparcial respuesta por parte de las autoridades gubernamentales es que se les podrá quitar su presunta responsabilidad y restaurar la confianza ciudadana.
Debemos asumir que hay muchas más víctimas de espionaje dirigido en México. Organizaciones de la sociedad civil, activistas, periodistas y hasta investigadores involucrados en desenmascarar la verdad de las múltiples problemáticas del país pueden estar bajo ataque.
Lo más alarmante es que derivado de casos como este, debemos temer que desde el gobierno ya se ha instaurado un modus-operandi el uso de alta tecnología para espiar ilegalmente a algunos ciudadanos incómodos., que se involucren las instancias correspondientes de manera imparcial y que se pregone con el ejemplo de la apertura gubernamental para esclarecer casos de presunta vigilancia estatal.
Referencias y más información:
– Bitter Sweet: Supporters of Mexico’s Soda Tax Targeted With NSO Exploit Links – CitizenLab
– Spyware’s Odd Targets: Backers of Mexico’s Soda Tax – New York Times
– Programas de espionaje fueron usados contra promotores de un impuesto a los refrescos en México – New York Times en Español
– Destapa la vigilancia: promotores del impuesto al refresco, espiados con malware gubernamental – R3D
– El Estado de la Vigilancia en México – R3D
– Comunicado de Prensa ante espionaje a defensores del derecho a la salud – R3D
– Lo que debes saber sobre el spyware de NSO – SocialTIC
Nuestra admiración y agradecimiento:
Las revelaciones generada por este caso no hubiera sido posible sin la valentía de Simón Barquera, Alejandro Calvillo y Luis Encarnación, así como el trabajo en conjunto con R3D, CitizenLab, Amnistía internacional, Access Now y Artículo19.