Signal vs Cellebrite: qué sucede cuando los hackers son hackeados

“Quienes renuncian a una libertad esencial para obtener un poco de seguridad temporal, -señaló Benjamin Franklin en 1775-, no merecen ni libertad ni seguridad”.

Como parte de una delegación estadounidense enviada a Gran Bretaña en 1775 en un intento de resolver los desacuerdos pendientes entre la Corona y las colonias, Franklin trataba de defender la idea de que incluso la renuncia parcial a un derecho fundamental podía significar el abandono de la defensa de la libertad.

No era precisamente en la privacidad en lo que pensaba Franklin, y aún faltaría casi un siglo para que el concepto irrumpiera en la arena política, pero hoy es casi un gastado cliché. En pocas décadas defender la privacidad en internet pasó de ser un oscuro reclamo marcado por el activismo a un tema cada vez más presente en las discusiones en torno a los derechos humanos.

Y, sin embargo, en ella reside una central paradoja: “Nos importe o no, [la privacidad] importa”, escribió hace unos días Ariel Torres. “La privacidad es nuestra paradoja social más productiva y enriquecedora”.

Quizá este desinterés, al menos históricamente, haya estado marcado por una cuestión fundamental: cuidar nuestra privacidad es generalmente engorroso. La idea de que si no hemos hecho nada malo de nada tenemos que preocuparnos, elocuentemente expresada hace más de una década por el entonces CEO de Google, Eric Schmidt, es la cobija mental a la que probablemente la mayoría de los usuarios acude ante la “molestia” de cuidar su información.

Los tiempos, empero, parecen estar cambiando. Más allá de cuánto se cumplan estas promesas, la privacidad hoy es parte del argumento de ventas de prácticamente todo producto digital. Y a la cabeza de estas ofertas están las plataformas de mensajería.

WhatsApp, Signal, Telegram o el sabor que prefieras

Cuando en enero de 2021 WhatsApp anunció cambios en sus condiciones de uso, millones de usuarios, de un momento a otro preocupados por su privacidad, migraron hacia Telegram y Signal. Si bien la reacción fue tremendamente exagerada, el rechazo alcanzó para que su entrada en vigencia se pateara tres meses. De repente nos preocupa la privacidad, muy bien.

Y no lo digo con sarcasmo: todo evento que fuerza a las personas a cuestionarse cómo es que funciona un elemento dado por sentado en su vida cotidiana, como en este caso qué tan privadas y seguras son nuestras comunicaciones, debe ser celebrado.

La seguridad de WhatsApp, a pesar de todo, nunca estuvo en discusión. O, al menos, no en los términos alarmistas con las que se propagó el horror. De hecho, el andamiaje técnico que garantiza la seguridad de la plataforma está dado por el protocolo Signal, desarrollado por la fundación del mismo nombre. Y aunque se trata de un entretenido debate, los motivos para abandonar WhatsApp exceden a la discusión acerca de su cifrado.

Signal es el producto de las obsesiones de Moxie Marlinspike, quien desde hace décadas desarrolla herramientas de seguridad informática y goza de una de las mayores reputaciones en el nicho de las comunicaciones seguras. No solo uno de sus mayores fans es Edward Snowden, sino que su trabajo de un modo u otro está presente en las plataformas más seguras hoy en uso.

La idea que desde hace poco más de diez años Moxie viene persiguiendo es la de lograr que el cifrado y las comunicaciones seguras sean algo en lo que no haya que pensar. Esto es diametralmente opuesto a lo que sucedía a principio de los años 90, cuando una herramienta como PGP (Pretty Good Privacy) permitía el cifrado de correos electrónicos, pero pagando un precio: un tedioso proceso que podía involucrar copiar y pegar largas claves alfanuméricas para codificar y decodificar cada mensaje.

Es a la luz de la privacidad como una incomodidad que aquellas palabras de Schmidt se encarnan: “No estoy haciendo nada mal, ma’ sí, quién va a querer leer mis correos”. La privacidad importa, pero no nos importa.

Hoy en día ni Phil Zimmermann, quien inventó PGP, lo usa. Nuestras comunicaciones son mucho más seguras que hace treinta años, pero toda esta seguridad depende de nuestra confianza en las empresas que gestionan nuestros datos. Esto generalmente nos blinda de ataques de terceros, pero no siempre de una orden judicial: llegado el caso, Google podría entregar nuestros datos, incluso si fuera a regañadientes.

De alguna manera ganaron los cypherpunks, que desde fines de los 80s vienen empujando estas discusiones: hoy el cifrado es una característica por defecto y no un adicional, aunque no sea de la forma en que imaginaron que sucedería. No solo la privacidad y la seguridad hoy son parte de la misma discusión, sino que la preocupación pública por estas cuestiones envalentona a empresas como Google o Apple a protestar contra los reclamos gubernamentales sobre los datos que guardan.

Privacidad por defecto

Esta nueva etapa de cifrado por defecto responde a muchos factores y al esfuerzo de muchas organizaciones que incansablemente pelearon para poner en la agenda pública a la privacidad y la seguridad, pero el rol de Moxie es difícil de minimizar. En 2010 su empresa, Whisper Systems, lanzó TextSecure, una app de mensajería con cifrado punto a punto para Android y un año más tarde la empresa fue adquirida por Twitter, cuyo interés era mejorar su propia seguridad.

Moxie dejó Twitter en 2013 y fundó Open Whisper Systems, el proyecto de código abierto que eventualmente presentó el protocolo que hoy conocemos como Signal. Pocos meses después nació Signal, la aplicación, que permitía no solo mensajería segura sino también llamadas cifradas, una posibilidad que hasta entonces no estaba disponible en el iPhone. En 2014 WhatsApp incorporó el protocolo en sus aplicaciones.

En aquellos años gloriosos, el cifrado en las comunicaciones era visto como un indispensable recurso para los disidentes que en regímenes represivos alrededor del mundo luchaban por los valores democráticos. Sin ir más lejos, el Departamento de Estado de EE. UU., a través del Open Technology Fund, benefició a Signal con poco menos de 3 millones de dólares entre 2012 y 2016.

Con cierta presciencia, en 2018 a Moxie se le sumó Brian Acton, cofundador de WhatsApp, que luego de su salida de Facebook puso 50 millones de dólares para la creación de la Signal Technology Foundation, cuya misión sin fines de lucro no era otra que “respaldar, acelerar y ampliar la misión de Signal de hacer que las comunicaciones privadas sean accesibles y ubicuas”. Bravo.

Lo que pasa con el cifrado es que —como bien sabían aquellos cypherpunks— no puede diseñarse como a veces “los buenos” quisieran: no es posible debilitar el cifrado para poder perseguir a “los malos” sin poner en peligro a “los buenos”. No puede haber una llave maestra, ni una puerta secreta para la policía. Y acá cae aquella gastadísima preocupación de que las comunicaciones seguras solo protegen a quienes han hecho algo malo. “Si no hemos hecho nada malo de nada tenemos que preocuparnos”, una y otra vez.

Buenas o malas, son conversaciones privadas

Fue ante este irresoluble dilema que la marea empezó a cambiar cuando la protección de las comunicaciones, tan virtuosa en lugares lejanos donde se habla otra lengua y se come otra comida, pasó a verse como una amenaza para la seguridad pública por parte de “los buenos”.

Cuando miles de personas inundaron las calles en Estados Unidos en contra del racismo policial por la muerte de George Floyd a mitad de 2020, aplicaciones como Signal volvieron a la primera plana como herramientas indispensables para eludir la interceptación y monitoreo de comunicaciones por parte de la policía. La privacidad, una vez más, es sinónimo de seguridad.

Pero protegerse de que espíen nuestras comunicaciones es un asunto muy distinto de la protección de los dispositivos si alguien toma control físico de ellos. Es a esto último a lo que se dedican empresas como Cellebrite, de origen israelí, que se especializa en lo que se conoce como extracción de datos de teléfonos, generalmente secuestrados por fuerzas de seguridad.

Esperablemente, empresas como Cellebrite son frecuentemente objeto de ataques, y en 2016 les robaron 900 GB de datos que luego fueron analizados públicamente y pudo saberse que entre sus clientes se encuentran los estados de Bielorrusia, Rusia, Venezuela y China; y organizaciones estatales o paraestatales en Bangladesh, Myanmar, Turquía, Emiratos Árabes Unidos y Estados Unidos. En la Argentina sus servicios fueron contratados por la Policía Federal y Gendarmería. Qué tan legítimo o no sea el uso de estas herramientas en cada caso amerita una discusión aparte.

Notablemente, hasta hace unas semanas no sabíamos exactamente cómo es que UFED (Universal Forensic Extraction Device), el producto estrella de Cellebrite, funcionaba. Y de repente sucedió una secuencia de eventos (des)afortunados propia de una película.

El affaire Cellebrite

Apenas unos meses luego de que Cellebrite anunciara la incorporación de Signal como una de las apps que pueden procesar, Moxie encontró tirado un bolso con un logotipo que le resultó familiar. Al acercarse notó que adentro tenía la última versión del software de Cellebrite, y una “bizarra cantidad” de cables y adaptadores.

La improbabilidad de lo que pasó es suficiente para dejar libre la imaginación y especular con cuánto deberíamos creer que las vueltas de la vida hicieron que todo esto sucediera, o si Moxie recibió alguna oportuna ayuda de algún lado. En cualquier caso, el relato detallado fue publicado hace unas semanas en una entrada del blog de Signal en la que aprovechó para detenerse en explicar qué es lo que Cellebrite ofrece a sus clientes.

“Una forma de pensar en los productos de Cellebrite”, explica Moxie, “es que si alguien sostiene físicamente tu dispositivo desbloqueado en sus manos, podría abrir las aplicaciones que quisiera y tomar capturas de pantalla de todo lo que contienen para guardarlas y revisarlas más tarde. Cellebrite básicamente automatiza ese proceso”. No es magia.

Es por esto que el éxito de la extracción de datos depende en gran parte del teléfono que se trate de analizar: mientras que en Android son muchos los factores que permiten o no su desbloqueo (como qué tan desactualizado esté su sistema operativo), un iPhone cuyo sistema sea del 2014 o posterior es casi imposible de analizar si no fue desbloqueado por el usuario.

Como las herramientas como UFED recuperan los datos “desde adentro”, en su vasta mayoría sin cifrado, qué tan seguras sean las comunicaciones hacia afuera queda en segundo plano. Apps como Signal hacen prácticamente imposible interceptar conversaciones, pero las conversaciones guardadas en el teléfono son otro cantar.

Si la tarea de penetrar la seguridad de un sistema suele ser por demás apasionante, la oportunidad de meterse con una herramienta supuestamente diseñada para saltarse medidas de seguridad es básicamente irresistible. Y fue a esto a lo que Moxie se dedicó sin perder un minuto.

Los detalles están perfectamente explicados en su blog, pero en resumen lo que encontró es que el software de Cellebrite no solo tenía muchos errores básicos en términos de seguridad, sino que algunos son bochornosos: componentes desactualizados desde 2012 con cientos de vulnerabilidades publicadas y las más básicas medidas de mitigación de intrusiones brillando por su ausencia.

Cazador cazado

Esta impericia se traduce en una conclusión demoledora: dado que UFED es nada menos que un colador Moxie descubrió que podía forzar al programa para que ejecutara lo que quisiera simplemente “envenenando” los datos que la herramienta extrae para analizar.

En pocas palabras, cuando UFED extrae los datos de un teléfono comete la imprudencia de asumir que estos son inofensivos para la propia herramienta. Alcanza con que cualquiera de las apps que son analizadas incluya entre sus archivos uno especialmente diseñado para que el Infierno se desate en su interior.

Con una sencilla prueba de concepto Moxie logró no solo modificar el informe resultante del dispositivo, sino también alterar todo informe pasado y futuro insertando o eliminando texto, correos electrónicos, fotos, contactos, archivos o cualquier otro dato, y todo esto sin dejar un solo rastro. “Esto incluso podría hacerse al azar, y cuestionaría seriamente la integridad de los datos de los informes de Cellebrite”, apunta.

En una demostración de buena fe, y en concordancia con una práctica estándar, Moxie remarcó estar dispuesto a divulgar responsablemente las vulnerabilidades específicas que le encontraron a Cellebrite, siempre y cuando ellos hicieran lo mismo con todas las vulnerabilidades que utilizan en su software de extracción física y demás servicios, ahora y en el futuro.

En absoluto ajeno a lo gracioso de todo el asunto, Moxie finaliza con una nota: “En noticias completamente ajenas, las próximas versiones de Signal buscarán periódicamente archivos para colocarlos en el almacenamiento de la aplicación. Estos archivos nunca se utilizarán para nada dentro de Signal y nunca interactuarán con el software o los datos de Signal”, solo por motivos “estéticos”.

Lo que esta travesura implica no es menor: lo que este hallazgo significa para Cellebrite es que no solo todo informe futuro sino también pasado, a partir de ahora, puede ser cuestionado, y ya hay al menos un abogado que pidió la revisión de una condena cuya evidencia central fue un informe realizado con esta herramienta.

La historia suele ser siempre la misma: una vez que una vulnerabilidad es hallada, no hay forma de saber si esto no sucedió antes sin que nadie lo supiera. Teóricamente cualquiera de las apps cuyos datos Cellebrite extrae podría haber estado haciendo algo así desde hace años. E incluso si es terriblemente improbable que alguna condena sea revertida a la luz de esto, la reputación de Cellebrite quedó horriblemente marcada.

Como señala un abogado criminalista australiano: “Es como si se revelara que un laboratorio que hace exámenes de ADN dejó todo sin candado durante la noche, y cualquiera pudo entrar sin ser detectado y destruir o dañar las muestras”.

Todo buen chiste depende de su ejecución. Esta, asimismo, depende del timing. Apenas dos semanas antes de que Moxie publicara sus hallazgos, Cellebrite anunció que se estaba preparando para cotizar en la bolsa con una valuación estimada en 2400 millones de dólares. Aún es temprano para saber qué tanto puede cambiar el escenario con estas noticias.

Hace unos días, conversando sobre esto con Federico Kirschbaum, cofundador de Ekoparty, la conferencia de seguridad informática, durante mi columna en EkoTV, vía Twitch, la deriva especulativa nos llevó a explorar aunque solo fuera superficialmente la complejidad de la relación entre privacidad, seguridad y las herramientas de las que puede echar mano la Justicia.

Si bien la defensa suena lastimosa antes que cualquier otra cosa, en un artículo publicado por el medio israelí Haaretz se expone en parte el problema: “El software de Cellebrite no es intrínsecamente malicioso ni ilegal. [Este] proporciona capacidades de copia y análisis de teléfonos móviles y, al igual que Signal, es el contexto en el que se utiliza lo que determina su legitimidad”. Sí, pero.

Lo que una defensa de Cellebrite sencillamente no puede obviar es que la característica fundamental de una herramienta forense es la fiabilidad de los datos que ofrece. Si no podemos confiar en la herramienta no podemos argumentar a favor del uso de sus informes en un contexto judicial. Y ese es precisamente el punto, antes de cualquier consideración ética o lo que fuera.

Incluso si defendemos el uso legítimo de herramientas de extracción de datos como un recurso indispensable para la investigación criminal como precisamente un contexto en el que la violación de la privacidad está justificada —y alentada— por un marco legal a todas luces justo, es esto lo que pone aún mayor presión sobre los esfuerzos por proteger la integridad de este software.

A fin de cuentas, nos importe o no, la privacidad importa.

Conforme a los criterios de

Tipo de trabajo:

noticia original

Conocé más

¿Quién sos? Modifican unos anteojos inteligentes para identificar a cualquier persona en la calle usando inteligencia artificial

Acusado de no moderar el contenido de los chats. Si Telegram es inexpugnable, ¿por qué detuvieron a su creador en París?

¡Basta de spam! WhatsApp bloqueará automáticamente a los usuarios desconocidos que te envíen muchos mensajes sin aviso