Desde sofisticados ataques con software espía hasta phishing masivo a través de smartphones, pasando por la tecnología de reconocimiento facial, la variedad y el alcance de las amenazas que representa la vigilancia a los defensores y defensoras de los derechos humanos van en aumento.
Para los equipos de seguridad que tratan de mantener seguros a los activistas, es como jugar al ratón y el gato, ya que los atacantes se adaptan rápidamente a las nuevas medidas de protección.
“Cuando los atacantes cibernéticos ven que la gente está pasando a utilizar (la aplicación de mensajería) Signal, por ejemplo, tratan de atacar Signal. Si la gente empieza a cambiar a tecnología VPN, los atacantes empezarán a bloquear esa tecnología. Si la gente utiliza el buscador Tor, atacarán el tráfico de Tor”, dice Ramy Raoof, tecnólogo táctico de Amnesty Tech.
Según afirma Raoof, uno de los principales enfoques para 2020 será abordar los ataques personalizados a smartphones, que ocuparon los titulares en 2019. El pasado mes de octubre, la aplicación de mensajería WhatsApp, propiedad de Facebook, inició un destacado proceso judicial contra la empresa de vigilancia NSO Group por lanzar ataques con software espía contra más de mil de sus usuarios.
Los ataques digitales maliciosos estarán en el punto de mira esta semana, cuando una acción judicial entablada por Amnistía y otros grupos de defensa de los derechos llegue a los tribunales en Tel Aviv. Los activistas están tratando de obligar al Ministerio de Defensa israelí a revocar la licencia de exportación de NSO, cuyos productos se han estado utilizando para atacar a activistas en todo el mundo.
Las técnicas más avanzadas ya no requieren que el objetivo del ataque haga clic activamente en un enlace para que su dispositivo quede infectado, explica Etienne Maynier, investigador de seguridad de Amnesty Tech. Un ataque con software espía de NSO contra un activista de Marruecos interceptó de forma encubierta el tráfico del navegador web del activista para infectar su teléfono con software espía. “En lugar de esperar a que hagamos clic en un enlace, piratean el tráfico de nuestro navegador web y nos redirigen a un sitio web malicioso que trata de instalar secretamente software espía”, explica Maynier.
El éxito de los ataques a teléfonos bien protegidos es cada vez mayor, y los equipos de seguridad se encuentran bajo la presión añadida de una industria floreciente, la de las denominadas “vulnerabilidades de día cero”, formada por hackers sin escrúpulos que buscan vulnerabilidades no documentadas en herramientas de software para venderlas al mejor postor.
En mayo de 2019, NSO Group aprovechó una vulnerabilidad de día cero en WhatsApp que se utilizó para atacar con software espía a más de un centenar de activistas de derechos humanos de todo el mundo.
Ataques de phishing
Amnesty Tech también está tratando de combatir ataques de tecnología no tan sofisticada que, no obstante, siguen siendo efectivos y pueden afectar a grandes cantidades de víctimas en unos minutos.
El phishing masivo a través de SMS o en aplicaciones en smartphones es un método de bajo coste que es más habitual y que también suele tener éxito.
El phishing trata de engañar a la gente para que proporcione información personal, como por ejemplo contraseñas. Los ataques a menudo adoptan la forma de una petición de restauración de contraseña acompañada de un enlace, que aparenta tener como remitente a un operador de telefonía móvil o una red social. Otras veces, los atacantes se hacen pasar por amistades o contactos de la víctima y envían a ésta un enlace para descargar una aplicación que incorpora código malicioso.
Maynier añade que este tipo de ataques suelen utilizar alguna forma de “ingeniería social” para presionar al usuario a hacer clic en un enlace o abrir un documento; para ello, por ejemplo, pueden fingir representar a una organización de confianza que supuestamente desea trabajar con el objetivo.
“Este tipo de ataque resulta muy barato y muy eficiente, y se puede lanzar a gran escala muy fácilmente”, afirma Raoof, quien predice que la nueva oleada de phishing será una amenaza para los defensores y defensoras de los derechos humanos en todo el mundo en 2020, dado que este colectivo depende cada vez más de los teléfonos móviles.
Cómo mantener la seguridad en nuestras comunicaciones
He aquí algunos consejos fáciles de Ramy Raoof, tecnólogo táctico de Amnesty Tech.
Consejos básicos para teléfonos iPhone o Android: Descarguen aplicaciones solamente desde la tienda oficial de aplicaciones para impedir que alguien acceda a su información personal sin su consentimiento y para reducir al mínimo el riesgo de ataques. Actualicen su sistema y sus aplicaciones con frecuencia para garantizar que tienen los parches de seguridad más recientes. Activen la “recuperación de cuenta” en caso de que pierdan el acceso a su teléfono. Por último, elijan un método de bloqueo de pantalla que no sea fácil de adivinar, como por ejemplo un pin de ocho dígitos o un código alfanumérico.
Administración de contraseñas: Utilicen un administrador de contraseñas para no tener que preocuparse de olvidar las contraseñas y evitar usar siempre las mismas. Se trata de una herramienta que crea y guarda de forma segura contraseñas difíciles de adivinar, de modo que pueda utilizar contraseñas diferentes para diferentes lugares y servicios. Existen muchos administradores de contraseñas, como KeePassXC , 1Password o Lastpass. No olviden hacer una copia de seguridad de la base de datos de su administrador de contraseñas.
Aplicaciones de mensajería: Cuando aconsejamos a defensores y defensoras de los derechos humanos sobre aplicaciones de mensajería, evaluamos las políticas de cada aplicación (como las condiciones de servicio o el acuerdo de privacidad), su tecnología (si es de código abierto, si se puede revisar, si ha sido auditada, cuál es su seguridad) y por último la situación (si la aplicación proporciona las características y la funcionalidad que requiere el modelo de necesidad y amenaza). En términos generales, Signal y Wire son dos aplicaciones con sólidas características de seguridad. No olviden: Signal requiere una tarjeta SIM para registrarse, y en Wire se puede crear una cuenta con un nombre de usuario/correo electrónico.
Uso de redes wi-fi públicas y VPN: Cuando un usuario se conecta a una red wi-fi en un café o un aeropuerto, toda su actividad en Internet se lleva a cabo a través de esa red. Si hay atacantes emboscados en la red, pueden capturar sus datos personales. Utilizar una aplicación VPN en sus dispositivos permite a los usuarios proteger su actividad en Internet cuando se conectan a través de conexiones públicas, e impiden que otras personas conectadas a la misma red vean dicha actividad. Si desean investigar algunas opciones, prueben NordVPN y TunnelBear.