Selecciona Edición
Entra en EL PAÍS
Conéctate ¿No estás registrado? Crea tu cuenta Suscríbete
Selecciona Edición
Tamaño letra

¿Qué supone la filtración de Wikileaks para tu seguridad?

El 'ciberarsenal secreto de la CIA' muestra vulnerabilidades de muchas versiones de todos los sistemas operativos de los dispositivos modernos

Foto de acrchivo de la central de la CIA en Langley (Virginia, EE UU). AFP

A raíz de las filtraciones de Wikileaks sobre un supuesto método de ciberespionaje que se atribuye a la CIA, los expertos en seguridad han analizado ya lo que supone. Al mismo tiempo muchos usuarios despreocupados normalmente por esos temas se preguntan cómo puede afectarles en su día a día al usar teléfonos, ordenadores, televisores conectos o las apps de sus móviles.

El genio está fuera de la botella: en la práctica cualquiera puede leer todo lo que se ha filtrado abriendo el enlace del tuit de Wikileaks, descargando los 500 MB de documentos y descomprimiéndolos con la contraseña elegida para la ocasión: "Destrózala en mil pedazos y dispérsala con los vientos" (en inglés). Resulta ser una frase elegida con mucha intención: se atribuye a John F. Kennedy en referencia a lo que le hubiera gustado hacer con la CIA tras sonados fracasos como los de Bahía de Cochinos en 1961.

Snowden: "Los agujeros dejados por la CIA son peligrosos porque cualquier hacker puede aprovecharlos para colarse en los móviles"

Lo que ha salido a la luz es sólo información, un primer capítulo llamado Year Zero ("año cero") de "algo más grande" (denominado Vault 7), que según han informado medios estadounidenses y británicos podría ser un inventario del ciberarsenal de la CIA. Los primeros 8.761 documentos contienen todo tipo de datos y referencias relativas al software y métodos atribuidos al Centro de Ciberinteligencia estadounidense: organigramas, procedimientos, software malicioso, virus, troyanos y vulnerabilidades (como las llamadas "ataques de día cero") entre otros. El software en sí no está incluido.

¿Cuánto tiene todo esto de secreto y novedoso? Es difícil valorarlo: buena parte de estas vulnerabilidades, herramientas de espionaje e intrusión ya se conocían en el pasado. Y sobre su novedad y "calidad" Wikileaks suele exagerar, como comenta el especialista en seguridad Nicholas Weaver. Parte de esta información y lo que se puede hacer con ella puede incluso llevar años circulando por la red, según el experto en seguridad Bruce Schneier.

El contenido de la revelación

En los documentos hay numerosas referencias a vulnerabilidades de muchas versiones de todos los sistemas operativos de los dispositivos modernos, desde iOS a Android; también a formas de atacar Windows, Linux, Mac OS e incluso a televisores y coches conectados a Internet. En general se indica cuál es la vulnerabilidad, quién la encontró (o si se compró a empresas o individuos especializados en seguridad) y para qué puede usarse. En ocasiones también se indica si esas herramientas han sido compartidas con empresas o gobiernos extranjeros.

Edward Snowden (consultor y antiguo empleado de la CIA y la NSA) menciona en Twitter una referencia a cómo la CIA parece compartir esos secretos, en concreto con el GCQH (Cuartel General de Comunicaciones del Gobierno Británico). "Que la CIA haya desarrollado vulnerabilidades en productos estadounidenses y luego haya dejado todos esos agujeros abiertos de forma intencionada es de una imprudencia supina", dice. "Esos agujeros son peligrosos porque hasta que alguien los cierre cualquier hacker puede aprovecharlos para colarse en los móviles de todo del mundo".

En la práctica cualquiera puede leer todo lo que se ha filtrado abriendo el enlace del tuit de Wikileaks

En el caso de los "ataques de día cero" la situación al respecto es prácticamente de manual: son vulnerabilidades que muchas veces no conocen ni los propios fabricantes del software, fallos que permiten atacar un dispositivo o servicio antes de que otros puedan hacerlo. Si no se revelan, pueden seguir usándose aunque el fabricante lance una nueva versión.

¿Qué conviene hacer cuando alguien encuentra una vulnerabilidad de este tipo? ¿Avisar al fabricante para que lo solucione y evite problemas a todo el mundo? ¿O aprovecharlo dentro de lo posible hasta que sea otro quien lo encuentre y avise? Tal y como critica Kevin Mitnick, consultor en seguridad informática y cracker redimido, "parece que el gobierno de los Estados Unidos lo tiene claro: no va a comprometer la ventaja que les proporcionan sus días cero simplemente por proteger la privacidad de la gente".

Cómo afecta a los usuarios normales y corrientes

En versión resumida: el mayor problema no es tanto que se puedan interceptar apps como WhatsApp, Telegram o Signal (que en realidad son seguras y cuyos métodos de cifrado de seguridad no han sido vulnerados), sino que los que están comprometidos son sistemas completos como iOS o Android, donde se captura la información antes de que sea cifrada.

¿Son las apps seguras? "Como siempre lo han sido", dice Bruce Schneier. "Una forma de saltarse su seguridad es interceptar los dispositivos, haciéndose con los textos y contenidos antes de que se cifren y envíen. No hay nada nuevo en eso", añade.

Las mejores recomendaciones siguen siendo no rootear o hacer jailbreak a los terminales (Android o iOS) para alterar sus sistemas; no instalar aplicaciones poco fiables o desconocidas, mantener actualizado el sistema y las apps y elegir fabricantes que actualicen sus sistemas y productos a menudo. Usar un móvil viejo puede ser la peor idea, pues sus agujeros de seguridad pueden no estar corregidos y además ser bien conocidos.

Excepto desconectarse del mundo, poco más se puede hacer. Para proteger su teléfono de un ataque concienzudo un individuo debería no abrir nunca el navegador, no usarlo para el correo electrónico y no hacer clic en ningún enlace. Algo poco realista, a menos que se quiera desempolvar el Nokia 3310 ladrillo para darle uso diario. Siempre se ha dicho que la capacidad de interceptar una comunicación o vulnerar un dispositivo concreto de un individuo en particular es únicamente una cuestión de tiempo, dinero y ganas – y esta máxima no ha cambiado mucho.

Eso sí: una vez publicadas las vulnerabilidades se quedan obsoletas rápidamente porque los fabricantes suelen tomar medidas. Pero esto no siempre es fácil: los dispositivos antiguos que no se pueden actualizar, los que no son ya económicamente rentables o muchos que simplemente están conectados masivamente pueden seguir siendo vulnerables.

Las mejores recomendaciones siguen siendo no instalar aplicaciones poco fiables o desconocidas, mantener actualizado el sistema y las apps y elegir fabricantes que actualicen sus sistemas y productos a menudo

Apple ha afirmado ya que muchas de las vulnerabilidades de Year Zero son antiguas y están resueltas, mientras trabajan en el resto. Telegram ha publicado una nota reafirmando que su app sigue siendo segura y que efectivamente el problema proviene de las plataformas y sistemas operativos. Google todavía no ha publicado nada y ha declinado comentar, al igual que Samsung, a preguntas del Washington Post.

Nada de esto debería sorprendernos: que existen agencias de espionaje internacional capaces de interceptar prácticamente cualquier contenido que circule por las redes no es precisamente una novedad. Teléfonos con software espía para rastrear los pasos sobre el mapa de una persona, televisores que graban el sonido ambiente, ordenadores que se guardan las contraseñas de las redes sociales… Todo eso se ha demostrado posible tanto teóricamente como en la práctica. ¿Es fácil, práctico y barato usarlo contra una persona en concreto? Normalmente no. ¿Y para analizar a toda la población en general? Probablemente tampoco. Con el tiempo veremos si, como afirma Julian Assange de Wikileaks, esta documentación es tan "excepcional desde una perspectiva legal, política y forense" como dice, y si se convierte en la mayor filtración de la CIA o queda todavía algo por descubrir.

Más información