Por Carolina Botero
Lee la versión original de esta columna en El Espectador.
El Financial Times informó que NSO, una empresa israelí que comercializa con herramientas tecnológicas para los organismos de inteligencia y policías del mundo, desarrolló un malware que aprovechaba una vulnerabilidad de WhatsApp para tomar el control del teléfono de una persona y espiarla.
El ataque aprovechaba una vulnerabilidad no conocida por nadie (dia cero) e intentó usarse con al menos un abogado defensor de derechos humanos en Inglaterra.
Hasta ahora la forma de infectar con malware un dispositivo era engañando al destinatario para que hiciera algo que permitía la instalación del mismo, abriera un archivo por ejemplo. Lo que se ha reportado sobre este caso, que lo hace más especial, es que el malware se instalaba sin que la víctima hiciera nada.
Su equipo recibía una llamada vía WhatsApp e incluso si no la contestaba el malware se instalaba. En ese momento, el atacante toma control del dispositivo y podía acceder a todo lo que hay en él, incluso encender el micrófono y escuchar lo que sucede alrededor. Adicionalmente, poco después, el rastro de la llamada desaparecía. Si antes era difícil reconocer un hackeo esto lo complica aún más.
Ahora, antes de entrar en pánico y culpar de todo a WhatsApp, recuerde que no existe seguridad digital al ciento por ciento. No importa la herramienta que se use, siempre existirá el riesgo de que sea hackeada. Así que respire y actualice ya mismo su aplicación porque desde el domingo WhatsApp publicó el parche.
Quizá también sea hora de recordar que cuando tenga algo realmente importante o sensible que comunicar puede invitar a la otra persona a tomarse un café y dejar su teléfono en casa, el contacto humano sigue siendo una opción.
Lo que quiero decir es que es debemos reconocer que el uso de tecnología supone riesgos y que estamos obligados a aprender a mitigarlos. Por eso, personas especialmente expuestas a espionaje como defensores de derechos humanos, periodistas, líderes sociales, necesitan aprender y comprender mejor lo que sucede para tomar decisiones sobre sus comunicaciones.
Sí, hay herramientas que tienen características mejores que las de WhatsApp para estas personas. Signal, por ejemplo, no comparte los metadatos de tu comunicación con Facebook y permite la auto destrucción programada de mensajes.
Pero, por experiencia sé que no es tan fácil para muchos sustituir una por otra. WhatsApp es usada por 89% de quienes usan Internet en Colombia, eso determina frecuentemente su uso. Además, en nuestro país todas las empresas que nos dan servicio celular de internet ofrecen WhatsApp gratis -su uso no afecta nuestro plan de datos- o a muy bajo costo. Es decir, para muchos WhatsApp es “la opción”, de modo que tampoco es cuestión de satanizarla.
Por eso es importante que sepan que, aunque algunos parecen sugerirlo, el incidente no comprometió el cifrado punto a punto de WhatsApp, el mecanismo que garantiza que el contenido que se transmite por WhatsApp no fue atacado.
Lo que pasa es que de nada sirve tener cifrado punto a punto si el dispositivo que recibe o el que envía está comprometido. En ese caso el espionaje sucede antes o después de la transmisión y eso fue lo que hicieron, logran hackear o meterse al dispositivo y eso les da acceso a los mensajes y, activando el micrófono en tiempo real, a las llamadas.
Como leí en alguna parte, el cinturón de seguridad no evita que se te pinche una llanta, o, no porque se te pinche la llanta dirías que el cinturón no sirve para nada. Su utilidad es otra. Entonces, esta vez sí hackearon WhatsApp pero para hackear el celular, no la aplicación. Sigue siendo grave, pero es diferente.
Es necesario reconocer además que la masificación del uso de WhatsApp en el mundo hace que sea rentable atacarla. Si se consigue vulnerar WhatsApp hay más mercado para esa herramienta de hackeo, se puede afectar a más personas.
Otra cosa, esto no lo hizo cualquiera. Aunque NSO afirma no estar involucrada, hay fuertes sospechas sobre esta empresa. Fue un ataque muy especializado, en el que se invirtió mucho esfuerzo y dinero. Además si fue NSO, la herramienta se desarrolló para que lo usen los Estados -ese es el mercado de NSO-, lo que supone otra línea de análisis que no es menor, ¿es legítimo que los Estados usen estas herramientas?Finalmente, conocer los secretos de la gente, espiarla es un gran negocio con importantes incentivos tanto para mercados negros como para el de espionaje estatal. Para combartirlo, entre otras acciones, las empresas tienen programas de reporte de vulnerabilidades que permite a los hackers contarles las que encuentran y, frecuentemente, reciben a cambio recompensas.
Los Estados, principales responsables de la seguridad digital de su gente, han sido más tímidos en usar programas que incentivan a los hackers a contarles cuando conozcan de vulnerabilidades, pero ya hay ejemplos como el de Holanda, donde se han creado canales para informar vulnerabilidades. Incluso en el caso de Estados Unidos, el Departamento de Defensa lanzó en 2016 el programa Hack the Pentagon para abordar las vulnerabilidades de seguridad recompensando a quienes los encuentran y divulgan.
Además de aprender a mitigar nuestros riesgos, es importante que pidamos al Estado colombiano que desarrolle en el nuevo Conpes de ciberseguridad que se está trabajando, que cree una ruta de informe de vulnerabilidades y un protocolo para atenderlas, al menos organicemos la casa. También debemos discutir si es legítimo que nuestras autoridades compren y usen herramientas de hackeo.
¿Es legítimo que el estado use herramientas de hackeo?
Aunque en el mercado no es difícil conseguir herramientas para hackear dispositivos se trata de una violación a la privacidad, vender o usar estas herramientas es un delito. Pero, ¿qué pasa si lo hace el Estado?
La discusión sobre si en ejercicio de las facultades de inteligencia o de investigación criminal el Estado debe tener la capacidad de adquirir y usar estas herramientas es mundial pero en Colombia no la hemos dado. La policía colombiana compró a la empresa italiana Hacking Team una herramienta con esas capacidades pero a pesar de la atención que recibió la noticia, no se discutió en detalle si es legítimo que las autoridades adquieran capacidades como las que ofrecía Hacking Team ni mucho menos cuáles serían los límites y los controles al uso de estas tecnologías.
El escándalo de WhatsApp debería reabrir estos debates. A NSO se le acusa también de haber vendido en los últimos años a Arabia Saudita y México el software Pegasus con el que los gobiernos de esos países espiaron ilegalmente a periodistas, defensores de derechos humanos y abogados.
En una investigación de 2015 hicimos un análisis a la luz del marco legal colombiano para ver la legitimidad de estas herramientas para concluir que el vacío actual haría ilegal su uso. Pero es sólo un ejercicio deductivo. Ante la posibilidad de otras interpretaciones de la ley, sería mejor la seguridad jurídica: controles a la importación y exportación de tecnologías de hackeo, limitaciones claras de las autoridades y los casos específicos en los que se puedan usar, entre otras garantías.
El contexto colombiano, que se ha prestado para abusos de “chuzadas” nos obliga a dar esta discusión. Debemos dejar claro si como sociedad creemos que la intromisión de estas herramientas en la vida privada de las personas es tan grande, y prohibirlas expresamente de modo que nuestras autoridades no puedan usarlas legalmente. O, definir si dadas unas condiciones concretas se justifica su uso y, entonces, que definamos cuáles serán las medidas de control que eviten abusos. Todo está pendiente por definirse.