El peligro de las RRSS mal gestionadas

You, estrenada a finales de enero en Netflix su segunda temporada y que ha suscitado cierta polémica por blanquear a un acosador, es un ejemplo de cómo te pueden rastrear o stalkear simplemente conociendo tu nombre. Las fotos que compartes en Instagram y que dan pistas sobre tu ubicación (y sobre si has dejado la casa vacía porque estás de vacaciones), la fecha de tu cumpleaños con la que pueden robar tu identidad… Algunos expertos hasta advertían de que gracias al simple gesto, aparentemente inocente, de los dedos en forma de victoria con que tantas veces salimos en las fotos, pueden copiar tus huellas digitales.

Otra serie que juega con las bondades y maldades de las nuevas tecnologías es Black Mirror: desde capítulos que hablan de cómo tu estatus social e incluso tu vida dependen de los likes que recibes en redes sociales; u otros que exponen cómo un chico es chantajeado con una grabación realizada a través de la webcam de su ordenador; hasta capítulos que narran cómo una sentencia de muerte es promovida involuntariamente por la población y por su uso de las redes sociales, por no hablar de otros episodios en los que se puede rebobinar en el tiempo a través de un chip implementado en el cerebro, o “resucitar” a personas muertas reproduciendo lo que han dicho y hecho en redes sociales. Son ejemplos dramáticos de hasta dónde nos podrían llevar las tecnologías si no hacemos un uso adecuado de ellas.

Ataques a activistas

Isabel Zulueta, activista colombiana

Isabel Zulueta, activista colombiana, ha sido víctima de vigilancia y sus comunicaciones han sido interferidas © Alexey Zarodov

 

Desde luego, las nuevas tecnologías no son las culpables. Pero tampoco tenemos el control sobre qué hacen con nuestros datos ni las empresas, ni los Gobiernos, ni el resto de ciudadanos. Los y las defensoras de derechos humanos lo saben bien. Desde sofisticados ataques con software espía hasta phishing masivo a través de smartphones, pasando por la tecnología de reconocimiento facial: la variedad y el alcance de las amenazas que representa la vigilancia a los y las activistas van en aumento.

Para los equipos de seguridad que tratan de mantener seguros a los activistas, es como jugar al gato y al ratón ya que los atacantes se adaptan rápidamente a las nuevas medidas de protección.

“Cuando los atacantes cibernéticos ven que la gente está pasando a utilizar (la aplicación de mensajería) Signal, por ejemplo, tratan de atacar Signal. Si la gente empieza a cambiar a tecnología VPN (redes privadas virtuales), los atacantes empezarán a bloquear esa tecnología. Si la gente utiliza el buscador Tor, atacarán el tráfico de Tor”, dice Ramy Raoof, tecnólogo táctico de Amnesty Tech, el equipo de tecnología de Amnistía Internacional.

Según afirma Raoof, uno de los principales enfoques para 2020 será abordar los ataques personalizados a smartphones, que llenaron algunos titulares en 2019. El pasado mes de octubre, la aplicación de mensajería WhatsApp, propiedad de Facebook, inició un destacado proceso judicial contra la empresa de vigilancia NSO Group, de especial actualidad en estos días por el supuesto hackeo a Bezos, por lanzar ataques con software espía contra más de mil de sus usuarios. Amnistía Internacional y otros grupos de defensa de los derechos han comenzado recientemente una acción judicial para obligar al Ministerio de Defensa israelí a revocar la licencia de exportación de NSO, cuyos productos se han estado utilizando para atacar a activistas en todo el mundo.

Las técnicas más avanzadas ya no requieren que el objetivo del ataque haga clic activamente en un enlace para que su dispositivo quede infectado, solo con piratear el tráfico de nuestro navegador web nos pueden redirigir a un sitio web malicioso que trata de instalar secretamente software espía.

El éxito de los ataques a teléfonos bien protegidos es cada vez mayor, y los equipos de seguridad se encuentran bajo la presión añadida de una industria floreciente, la de las denominadas “vulnerabilidades de día cero”, formada por hackers sin escrúpulos que buscan vulnerabilidades no documentadas en herramientas de software para venderlas al mejor postor. En mayo de 2019, NSO Group aprovechó una vulnerabilidad de día cero en WhatsApp que se utilizó para atacar con software espía a más de un centenar de activistas de derechos humanos de todo el mundo.

Ataques de implantación de identidad o phishing

Ilustracion Victor Ndula

© Victor Ndula/Amnesty International

 

Amnesty Tech también está tratando de denunciar ataques de tecnología no tan sofisticada que, no obstante, siguen siendo efectivos y pueden afectar a grandes cantidades de víctimas en unos minutos. El phishing masivo a través de SMS o en aplicaciones en smartphoneses un método de bajo coste que es más habitual y que también suele tener éxito.

El phishing trata de engañar a la gente para que proporcione información personal, como por ejemplo contraseñas. Quizá te haya sucedido: una petición de restauración de contraseña acompañada de un enlace, que aparenta tener como remitente a un operador de telefonía móvil o una red social, alguien que se hace pasar por un amigo o un contacto tuyo enviándote un enlace para descargar una aplicación que incorpora código malicioso.

Los expertos de AI predicen nueva oleada de phishing en 2020, que amenazará a los defensores y defensoras de los derechos humanos en todo el mundo, dado que este colectivo depende cada vez más de los teléfonos móviles.

Cómo intentar protegernos de los riesgos en Internet en cuatro pasos

He aquí algunos consejos fáciles de Ramy Raoof, tecnólogo táctico de Amnesty Tech, para tratar de proteger nuestra seguridad online:

Teléfonos iPhone o Android

Descargar aplicaciones en páginas web no oficiales es también uno de los peligros de Internet. Se recomienda hacerlo solamente desde la tienda oficial de aplicaciones para impedir que alguien acceda a tu información personal sin tu consentimiento y para reducir al mínimo el riesgo de ataques como estafas o virus. Actualiza tu sistema y sus aplicaciones con frecuencia para garantizar que tienen los parches de seguridad más recientes y reducir así los riesgos. Activa la “recuperación de cuenta” en caso de que pierda el acceso a su teléfono. Por último, elige un método de bloqueo de pantalla que no sea fácil de adivinar, como por ejemplo un pin de ocho dígitos o un código alfanumérico.

Administración de contraseñas

Utiliza un administrador de contraseñas para no tener que preocuparse de olvidar las contraseñas y evitar usar siempre las mismas. Se trata de una herramienta que crea y guarda de forma segura contraseñas difíciles de adivinar, de modo que pueda utilizar contraseñas diferentes para diferentes lugares y servicios. Existen muchos administradores de contraseñas, como KeePassXC, Password o Lastpass. No olvides hacer una copia de seguridad de la base de datos de su administrador de contraseñas.

Aplicaciones de mensajería

Cuando aconsejamos a defensores y defensoras de los derechos humanos sobre aplicaciones de mensajería, evaluamos las políticas de cada aplicación (como las condiciones de servicio o el acuerdo de privacidad), su tecnología (si es de código abierto, si se puede revisar, si ha sido auditada, cuál es su seguridad) y por último la situación (si la aplicación proporciona las características y la funcionalidad que requiere el modelo de necesidad y amenaza). En términos generales, Signal y Wire son dos aplicaciones con sólidas características de seguridad. No olvides: Signal requiere una tarjeta SIM para registrarse, y en Wire se puede crear una cuenta con un nombre de usuario/correo electrónico.

Uso de redes wi-fi públicas y VPN

Cuando un usuario se conecta a una red wi-fi para conseguir acceso a Internet en un café o un aeropuerto, toda su actividad en Internet se lleva a cabo a través de esa red. Si hay atacantes emboscados en la red, pueden capturar sus datos personales. Utilizar una aplicación VPN en sus dispositivos permite a los usuarios proteger su actividad en Internet cuando se conectan a través de conexiones públicas, e impiden que otras personas conectadas a la misma red vean dicha actividad. Si deseas investigar algunas opciones, puedes probar NordVPN y TunnelBear.

Los gobiernos deben decidir: poli bueno, poli malo

A pesar de que Snowden intentó explicarnos los peligros de la vigilancia masiva en la era digital, o cómo los gobiernos y empresas persiguen nuestro rastro por Internet, independientemente de si tenemos o no algo que ocultar, poca gente ha seguido sus consejos. Lo cierto es que hasta el exanalista de la CIA se venía abajo: por mucho que te protejas online, te van a seguir espiando.

Y es que uno de los principales problemas que lamentaba Edward Snowden, el denunciante que en 2013 reveló cómo, en nombre de la seguridad y sin ningún tipo de control judicial, la NSA y el gobierno británico habían rastreado e-mails, llamadas telefónicas y mensajes encriptados de millones de personas, es que la inocencia importa más bien poco: “Quienes están mirando estos datos están buscando criminales. Tú podrías ser la persona más inocente del mundo, pero si alguien programado para buscar patrones de criminalidad mira tus datos, no van a encontrarte a ti, van a encontrar a un criminal”. Edward Snowden.

Seguridad VS libertad

La realidad es que nuestros gobiernos nos han enfrentado a un dilema falso: el de la seguridad versus la libertad. Con la excusa de que tenían que protegernos de cualquier posible ataque, han visto la oportunidad de oro para recortar nuestro derecho a la privacidad y la intimidad. Pero en un estado de derecho, donde las leyes equilibran ambos conceptos, las personas son inocentes hasta que se demuestra lo contrario y tienen derecho a que se respete su vida privada, estas nociones no tendrían por qué estar enfrentadas. Es decir, antes de violar el derecho a la intimidad, los gobiernos tienen que tener indicios de que se está cometiendo un delito. No pueden buscar pruebas aleatoriamente en nuestras comunicaciones privadas antes de que se cometa ese delito.

De hecho, son los Gobiernos los que tienen que ponerse las pilas y tomar con urgencia medidas para transformar el modelo empresarial basado en la vigilancia, y protegernos de los abusos de las empresas como Facebook o Google. Entre ellas la aplicación de sólidas leyes de protección de datos y la regulación efectiva de las grandes empresas tecnológicas en consonancia con el derecho de los derechos humanos para garantizar que las grandes tecnológicas no condicionan el acceso a sus servicios a que la persona “dé su consentimiento” a la recopilación, procesamiento y distribución de sus datos personales con fines comerciales o publicitarios. No deben dictarnos cómo vivir online.