¿Alguna vez pensaste que, realmente, podrías tener un espía en tu bolsillo?
Para muchas personas, su celular es una ventana al mundo. Pero ¿y si fuera también una ventana para su vida privada?
Imagina qué pasaría si los hackers pudieran instalar remotamente un spyware (programa espía) en tu teléfono que les diera acceso a todo -incluidos los mensajes encriptados- e incluso les permitiera controlar el micrófono y la cámara.
Lo cierto es que esa idea no se aleja tanto de la realidad como podría parecer.
Hemos analizado varios ejemplos en los que se usó un software espía para monitorear el trabajo de periodistas, activistas y abogados en todo el mundo.
Pero ¿quién lo hizo y por qué? ¿Y qué puede hacerse para evitar que conviertan tu smartphone en una herramienta de espionaje?
Mike Murray es un especialista en ciberseguridad que trabaja en Lookout, una compañía de San Francisco, California, EE.UU., que ayuda a gobiernos, empresas y consumidores a mantener sus teléfonos y datos seguros.
Los spyware tienen un software tan poderoso que está clasificado como un arma y solo puede venderse bajo determinadas circunstancias, dice Murray.
"El operador del software puede monitorearte con tu GPS", explica.
"Pueden activar el micrófono y la cámara en cualquier momento y grabar todo lo que ocurra a tu alrededor; acceder a cualquier aplicación que tengas instalada, tus fotos, tus contactos, la información de tu calendario, tu email y cualquier documento.
"Convierte tu teléfono en un dispositivo de escucha con el que pueden vigilarte y robar todo lo que haya en él", añade.
Los spyware son un tipo software que no interceptan los datos en tránsito (que salen del teléfono), que normalmente ya están cifrados, sino que se apoderan de cada función del celular y usan tecnología tan avanzada que es prácticamente imposible detectarlos.
Estos son algunos casos en los que aparentemente se usaron.
La captura del Chapo Guzmán
El narcotraficante mexicano Joaquín "El Chapo" Guzmán Loera tenía un imperio de miles de millones de dólares.
Tras escapar de prisión, estuvo prófugo seis meses, ayudado y protegido por su extensa red de contactos. Solo se comunicó a través de teléfonos encriptados, supuestamente imposibles de hackear.
Pero después se supo que las autoridades mexicanas compraron un nuevo y más avanzado software de espionaje y que lograron infectar los celulares de quienes estuvieran en su círculo de confianza, lo cual les permitió dar con su escondite.
La captura del Chapo demuestra que este tipo de software puede ser un arma valiosa en la lucha contra criminales organizados y terroristas: muchas vidas podrían salvarse y podría detenerse la actividad de extremistas violentos gracias a compañías de seguridad capaces de hackear teléfonos encriptados y aplicaciones.
Pero ¿qué impide que los compradores de estas armas las usen contra cualquier persona que elijan? ¿Está cualquiera que incomode a un gobierno en peligro de ser hackeado?
Un bloguero británico que ayudaba a refugiados en Medio Oriente
Rori Donaghy es un bloguero que creó un grupo de activismo y una página web en Medio Oriente.
Denunciaba violaciones de derechos humanos en Emiratos Árabes Unidos (EAU), desde el trato a trabajadores migrantes hasta turistas víctimas de la ley del país.
Apenas tenía unos pocos cientos de lectores y sus titulares no eran más incendiarios que los que aparecen todos los días en las noticias.
Pero cuando comenzó a trabajar en el portal web de noticias Middle East Eye pasó algo: comenzó a recibir emails extraños de gente que no conocía que incluían enlaces.
Rori envió uno de esos correos sospechosos a un grupo de investigación llamado The Citizen Lab, de la Universidad de Toronto, en Canadá, que se dedica a analizar espionaje digital contra periodistas y activistas.
Confirmaron que el enlace servía para que se descargara un malware(programa malicioso) en su dispositivo y para informar al emisor del mensaje sobre el tipo de protección antivirus que tenía, de manera que no pudiera ser detectado; una herramienta muy sofisticada.
Quienes escribían a Rori resultaron ser de una compañía de ciberespionaje que trabaja para el gobierno de Abu Dhabi monitoreando grupos gubernamentales supuestamente extremistas que suponen un riesgo para la seguridad nacional.
Le dieron incluso un apodo, "Giro", y habían monitoreado a miembros de su familia y cada uno de sus movimientos.
Un activista de derechos civiles encarcelado en EAU
Ahmed Mansoor, un conocido y premiado activista de derechos civiles, fue objeto de vigilancia por parte del gobierno de Emiratos Árabes Unidos durante años.
En 2016 recibió un mensaje de texto sospechoso, que también compartió con The Citizen Lab.
Usando un iPhone "vacío", el equipo de investigación hizo clic en el enlace y lo que vieron les impresionó: el smartphone fue infectado de manera remota y los datos transmitidos fuera del dispositivo.
El iPhone se supone que es uno de los teléfonos más seguros del mercado, pero el spyware -uno de los más sofisticados tipos de este software hasta la fecha- encontró un wormhole (agujero de gusano o falla de seguridad) en el sistema de Apple.
La empresa se vio obligada a lanzar una actualización para cada uno de sus celulares en todo el mundo.
No está claro qué información fue recabada del teléfono de Mansoor, pero después fue arrestado y encarcelado durante diez años. Ahora está en confinamiento solitario.
La Embajada de Emiratos Árabes Unidos en Londres, Reino Unido, le dijo a la BBC que sus instituciones de seguridad se adhieren estrictamente a los estándares internacionales y a las leyes nacionales pero, a diferencia de otros países, no comentan sus asuntos de inteligencia.
El caso del periodista Jamal Khashoggi
En octubre de 2018, el periodista saudita y columnista de opinión del diario The Washington Post Jamal Khashoggi entró en el consulado de Arabia Saudita en Estambul, Turquía, y nunca regresó. Fue asesinado por funcionarios del régimen saudita.
Un amigo del periodista, Omar Abdulaziz, un periodista disidente, descubrió que su teléfono había sido hackeado -dice- por el gobierno saudita.
Omar cree que ese hackeo jugó un papel importante en el asesinato de su amigo y mentor. Estaban en contacto a menudo. Discutían sobre política y tenían proyectos compartidos.
Durante un tiempo, el gobierno saudita tuvo acceso a esas conversaciones y a cualquier intercambio de documentos o archivos entre ellos.
La respuesta oficial de Arabia Saudita es que, aunque existe software malicioso para atacar teléfonos móviles en circulación, no hay evidencia que sugiera que el país esté detrás de eso.
El último hackeo a WhatsApp
En mayo de 2019 hubo una gran brecha de seguridad en WhatsApp con un software espía.
La app sirvió meramente para el acceso al software del celular: una vez abierto, los hackers pudieron descargar una carga explosiva de spyware.
El receptor ni siquiera tenía que hacer clic en un enlace porque los hackers podían acceder al aparato tan solo haciendo una llamada y después colgando. Eso se conoce como tecnología "cero click".
WhatsApp lanzó rápidamente parches para arreglar este problema para sus 1.500 millones de usuarios, pero nadie sabe quién estaba detrás del ataque.
Esta vez la aplicación afectada fue WhatsApp, pero ¿qué vendrá después? ¿Y quién llevará a cabo el ataque?
Luchando contra el spyware
Los desarrolladores de los programas espía requieren licencias especiales, como si fueran contratos de defensa. Se venden con el único propósito de detener a los criminales peligrosos.
Pero The Citizen Lab creó un informe completo sobre lo que creen que son abusos por parte de gobiernos que compran esos software espía.
A diferencia de otras armas -como las pistolas- los desarrolladores permanecen activos en el servicio y mantenimiento del spyware después de su venta, entonces, ¿serían culpables del uso indebido?
El principal actor en el mercado de la interceptación legal es una compañía israelí llamada NSO Group. Existe desde hace casi una década y gana cientos de millones de dólares cada año.
El abogado de Omar Abdulaziz está llevando a la compañía a los tribunales por el supuesto hackeo al celular de su cliente. El caso ayudará a determinar qué papel juegan las compañías de software una vez que éste ha sido instalado.
NSO declinó una petición de entrevista, pero dijo en un comunicado que su tecnología les proporciona a agencias gubernamentales autorizadas las herramientas que necesitan para ayudar a prevenir e investigar crímenes peligrosos, y que salva muchas vidas.
Pero el abogado dice que ya comenzó a recibir llamadas sospechosas en WhastApp...
¿Cuánto tiempo hace falta para detectar un spyware?
El propósito final de la industria del espionaje a través de celulares es desarrollar programas espía que sean 100% indetectables.
Si lo logran, nadie podrá reportar su uso indebido porque nadie lo sabrá: todos estaremos en manos de los desarrolladores, estén operando de acuerdo a la ley o no.
Podría parecer que es cosa de James Bond, pero hay consecuencias reales.
La amenaza es real y es algo que todos deberíamos tener presente para el futuro.
Joe Kent y Paul Kenyon
BBC Mundo