A medida que el proceso legal contra Mirror Group Newspapers en el Reino Unido avanza, es hora de continuar la conversación sobre los límites entre la vida personal y pública de figuras conocidas como actores, políticos e incluso activistas sociales. En junio pasado, comenzó un juicio de siete semanas en el Tribunal Superior sobre las acusaciones de que los teléfonos del Príncipe Harry y otros fueron hackeados por periodistas de Mirror Group Newspapers (MGN).
Las grandes empresas, agencias gubernamentales, instituciones académicas, grupos de reflexión y otras organizaciones con propiedad intelectual significativa y datos técnicos que pueden otorgar una ventaja competitiva a otra organización o gobierno son los objetivos más comunes de ciberspionaje.
Pero ahora cualquiera puede ser relevante; gracias a las plataformas de redes sociales, una persona común puede participar políticamente con un video en YouTube o fotos en Instagram igual que el Duque de Sussex: Bienvenido a una era donde los paisajes digitales penetran todos los aspectos de nuestras vidas. La aparición del ciberespacio ha abierto nuevas puertas para el activismo político y personal, convirtiendo a los influencers en objetivos. Mientras que Internet permite a las personas expresar sus preocupaciones y opiniones, también las expone a riesgos potenciales, especialmente en el ámbito del ciberspionaje.
En este artículo, me centro en las estrategias que los medios masivos, gobiernos y empresas utilizan para vigilar las actividades personales y profesionales de personas abiertas. Tanto influencers como activistas políticos a menudo están expuestos a una ciber vigilancia dirigida. A través de ejemplos prácticos en Europa, demuestro cuán grave es este problema y los desafíos que plantea a los procesos democráticos y a tu privacidad digital personal.
La creciente marea del ciberspionaje:
Para simplificar el tema, supongo que el ciberspionaje consiste en la recopilación de información sensible por medios digitales por varias razones. Dada su inherente confidencialidad y el amplio espectro de operaciones posibles, es difícil dar una definición específica de ciberspionaje. Puede realizarse a pequeña o gran escala, con diversos grados de sofisticación, y dirigirse a cualquier persona, desde un usuario individual hasta una región entera.
Sin embargo, si pienso en algo, me enfoco en las tácticas furtivas.
A diferencia de otros tipos de ataques como el ransomware, el ciberspionaje a menudo intenta permanecer sin ser detectado durante todo el ciclo de ataque. Los perpetradores pueden tomar medidas extraordinarias para ocultar su identidad, sus objetivos y su plan de acción. A menudo, se emplea malware personalizado y exploits de día cero que los programas antivirus pueden no detectar fácilmente, principalmente porque no pueden.
Como en las películas, cuando el protagonista obtiene acceso a la computadora de una empresa malvada y se lleva todos los datos en una memoria USB, los ciberspías intentan acceder a los siguientes recursos:
- Datos y actividades relacionadas con información personal o profesional.
- Propiedad intelectual relacionada con la investigación académica, como especificaciones de productos o diseños.
- Salarios, estructuras de compensación y otros datos financieros y operativos sensibles de la empresa.
- Listas de clientes o clientes y modalidades de pago.
- Metas corporativas, planes estratégicos y estrategias de marketing.
- Estrategias, lealtades y comunicaciones en política o activismo social.
- Información militar.
Sin embargo, el ciberspionaje se puede distinguir de otros hackeos por varias características recurrentes:
Razones estatales:
Actores estatales y organizaciones malintencionadas utilizan nuestro mundo digital para socavar sistemas políticos y apuntar a individuos que cuestionan el status quo, o para descubrir qué planean otras naciones en términos de sus políticas públicas y económicas. En Europa, han salido a la luz numerosos casos de ciberespionaje contra activistas políticos, lo que destaca la magnitud de este problema.
Está comprobado que gobiernos de todo el mundo utilizan el software espía Pegasus. Pegasus fue desarrollado por la empresa israelí NSO Group y, supuestamente, es utilizado por varios gobiernos para vigilar a activistas y disidentes políticos. El software espía infiltra teléfonos inteligentes y permite al atacante monitorear conversaciones a distancia, acceder a datos personales e incluso activar la cámara y el micrófono del dispositivo. Países europeos como Hungría y España se han visto envueltos en controversias sobre el uso de Pegasus contra activistas, planteando serias preguntas sobre la vigilancia patrocinada por el estado.
El surgimiento de sofisticados programas de espionaje como Pegasus ha aumentado la preocupación por la violación de la privacidad, y es uno de los principales motivos por los cuales lanzamos el proyecto PRVCY, para apoyarte en la protección de tu vida digital. Los gobiernos tienen acceso a una serie de herramientas y malware sofisticados que pueden usarse con fines de vigilancia y espionaje. Aunque es complicado crear una lista completa de todas las aplicaciones y malware utilizados por los gobiernos, en los últimos años han salido a la luz algunos ejemplos notables.
Es importante saber que el uso de estas herramientas puede variar de un país a otro y de una agencia de inteligencia a otra.
Protesta:
¿Recuerdas al grupo “Anonymous”, que a partir de 2010 comenzó sus actividades de ciberespionaje y hacks contra instalaciones gubernamentales en todo el mundo como forma de protesta?
Otro grupo llamado “Asylum Ambuscade” se ha centrado en funcionarios gubernamentales europeos que ayudaban a refugiados ucranianos antes de la invasión rusa. En esta campaña, los ciberatacantes utilizaron spear-phishing para robar información confidencial y credenciales de acceso a los portales web oficiales del gobierno.
Uno de los ejemplos más importantes es Julian Assange y WikiLeaks:
con la creación de una plataforma de revelaciones sin precedentes; Julian Assange, fundador de WikiLeaks, ha llevado el concepto de denuncias digitales a nuevas alturas. A través de la plataforma, Assange y su equipo revelaron documentos secretos que descubrieron las maniobras ocultas de gobiernos e instituciones en todo el mundo. Sin embargo, sus acciones lo convirtieron en objetivo de vigilancia y ciberataques, como lo demostraron las revelaciones sobre su privacidad personal y los subsiguientes litigios legales.
Razones financieras:
Existen diversas ciberespionajes motivados financieramente para aprovechar la situación financiera de una persona notoria, ya sea para extorsionarla, encontrar datos comprometedoras o ayudar al gobierno en la persecución de sus obligaciones fiscales.
Alemania es un gran objetivo de espionaje y ciberataques por parte de gobiernos extranjeros como Turquía, Rusia y China, tanto por motivos técnicos como industriales.
El espionaje económico cuesta a la economía alemana miles de millones de euros al año, siendo las pequeñas y medianas empresas a menudo las mayores perdedoras, según el Oficina Federal de Protección de la Constitución (BfV) en su informe anual de 339 páginas.
Chismes y desprestigio:
Si eres una persona “famosa”, no todos quieren eso, especialmente si estás recibiendo atención por las razones correctas, como explicar situaciones políticas, económicas y digitales; por eso medios como The Mirror en el Reino Unido ayudan a gobiernos y empresas a desprestigiar a líderes de opinión.
Ya sea haciendo pública una aventura o compartiendo fotos íntimas, se trata de enfocar la atención sobre la vida privada de la persona.
¿Qué tipos de técnicas digitales existen?
Gobiernos, empresas de medios y personas curiosas tienen acceso a una serie de estrategias sofisticadas como herramientas de ingeniería social y malware, que pueden ser utilizadas con fines de vigilancia y espionaje. Aunque es difícil elaborar una lista completa de todas las aplicaciones y malware empleados, en los últimos años han salido a la luz algunos ejemplos notables. Es importante saber que el uso de estas herramientas puede variar de un país a otro.
Aquí hay algunos ejemplos de aplicaciones maliciosas:
Especialmente para empresas
Los ataques a la cadena de suministro son el método preferido por grupos sofisticados de ciberespionaje. En este tipo de ataques, los actores de amenazas intentan comprometer a los socios confiables, proveedores o distribuidores de la empresa objetivo. Esto a menudo se realiza insertando código malicioso en un producto o servicio que la empresa objetivo ya utiliza. Este es un método muy exitoso incluso para superar los sistemas de defensa cibernética más sofisticados, y puede ser muy difícil detectar el ataque.
Preocupaciones sobre la privacidad y consecuencias políticas:
Cuando explicas las técnicas, puedes comprender por qué estoy tan preocupado por protegerte a ti y a mí de la vigilancia. Si no es obvio, es porque la forma en que las personas utilizan su teléfono y computadora como un diario abierto con datos personales, financieros y políticos sensibles, plantea graves preocupaciones éticas y legales sobre estas herramientas y el malware.
Las tecnologías de vigilancia deben estar sujetas a una supervisión transparente y cumplir con normas estrictas para garantizar que se utilicen de manera legal y responsable, respetando la privacidad y los derechos humanos de las personas. El uso desmedido de ciberespionaje contra activistas políticos plantea preguntas importantes sobre el derecho a la privacidad y el papel de los gobiernos en la protección de las libertades digitales de las personas. Es crucial encontrar un equilibrio entre la seguridad nacional y las libertades civiles, mientras se implementan leyes robustas y medidas avanzadas de ciberseguridad para protegerse contra el ciberespionaje.
Aunque nos escandalice la aventura del primer ministro con la famosa modelo de Playboy (es solo una broma), son más bien los tiempos en los que los gobiernos utilizan estas herramientas contra nosotros, más que los activistas políticos recopilando datos sobre actividades ilegales. El ámbito del activismo político en Europa está cada vez más entrelazado con el ámbito digital, exponiendo a los individuos a los peligros del ciberespionaje.
#ConsejosPRVCY
Recuerda que tu computadora y tu smartphone están diseñados para recopilar tanta información sobre ti como sea posible. No necesitas ser una persona notoria para ser vigilado, incluso si trabajas en una gran empresa, tu comunicación e ideas sobre tu trabajo pueden ser una fuente de información valiosa para la competencia.
Presta atención a las conversaciones que tienes cerca de tu teléfono o a través de mensajes de texto.
Las grandes empresas tecnológicas trabajan con los gobiernos para detectar palabras clave mediante reconocimiento de voz y texto: “Tengo planeado bloquear una calle para una manifestación” o “Voy a incendiar el congreso” son fácilmente reconocidas por los sistemas informáticos y podrían convertirte en un objetivo.
Almacena tu información sensible en dispositivos fuera de línea y no la compartas por correo electrónico o, en el peor de los casos, por correo postal. Si te conviertes en un objetivo del ciberespionaje, tus actividades en línea se monitorearán y cualquier documento y comunicación será interceptado. Si tienes un proyecto empresarial o trabajas en una empresa, sé cauteloso con quién y cómo compartes tus ideas de trabajo y su progreso.
Sigo repitiéndome, pero no confíes tanto en tu sistema operativo. Como ya mencioné, tu móvil y tu computadora ya están diseñados para trabajar en tu contra. Hay tantos consejos que no puedo explicar aquí, así que obtén nuestro curso de Transformación para tu móvil y el curso Superior para la computadora y protégente con nuestros consejos, estrategias y dispositivos que se centran en tu seguridad digital.
