El hombre más rico del mundo puede volar por el espacio pero no puede evitar que le hackeen su celular. En 2018 Jeff Bezos, el fundador de Amazon, fue víctima de un ciberataque a su móvil, según confirmaron forenses privados e investigadores de la ONU. El caso derivó en su divorcio, a finales de ese año.
Pero retrocedamos un paso para explicar sobre un hombre clave en esta historia. Mohamed bin Salmán, conocido por sus iniciales MBS, es el príncipe heredero de Arabia Saudita. Tiene apenas 35 años y es el hombre fuerte de Arabia ya que su padre, el Rey Salman, tiene Alzheimer.
MBS tiene una fortuna incalculable y una vida de lujos excéntricos. Por ejemplo, pagó 500 millones de euros por Serene, un yate de lujo de 134 metros (4500 metros cuadrados de cubierta) que tiene dos helipuertos, tres piscinas y Salvator Mundo, una pintura atribuida a Leonardo Da Vinci, comprada en una subasta por 400 millones de euros.
Amnistía Internacional y Human Rights Watch lo critican por distintos tipos de violaciones a los derechos humanos y varios otros delitos. Entre ellos, haber ordenado el asesinato del periodista opositor Jamal Khashoggi en Estambul, Turquia.
Periodista del Washington Post y ex jefe del canal de noticias Al Arab News Channel, Khashoggi era un férreo opositor y crítico al gobierno Saudí. El 2 de octubre de 2018 va hasta el consulado de Arabia Saudita en Estambul para hacer un trámite burocrático que necesitaba para casarse con su pareja, una mujer turca. Lo estaban esperando. Cuando entra al edificio unos 15 saudíes lo asfixian con una bolsa de plástico y después lo cortan en pedazos. Se presume que los pedazos fueron disueltos en ácido o que podrían haber sido quemados en el horno del jardín de la residencia del cónsul. Recién dos semanas después los saudíes le permiten el ingreso a la escena del crimen a la policía forense turca. Pero no dejan examinar el horno.
Khashoggi tenía 59 años y cinco hijos. Un mes después, la CIA dice que sus pruebas de inteligencia (que incluían grabaciones de audio) indican “con un grado de seguridad entre medio y alto” que el asesinato del periodista fue una orden de Bin Salmán. Pero el gobierno saudita lo niega. Donald Trump, entonces presidente de EEUU y con ciento de millones de razones para sentirse muy amigo de Salman, contradice a su propia Central de Inteligencia y dice que la investigación “no es concluyente y debe continuar».
Ahora volvamos a Bezos. El Príncipe MBS y el fundador de Amazon coinciden en una cena en Los Angeles en abril de 2018, seis meses antes del asesinato de Khashoggi. Antes de despedirse, intercambian sus contactos de celular. No se mandan mensajes pero Bezos recibe uno de MBS, con un video sin mayor importancia. Pero letal. Tiene un código malicioso y de esa manera tan simple, los hackers toman el control de su celular.
En noviembre (un mes después del asesinato de Khashoggi) el Príncipe le manda otro mensaje por Whatsapp, está vez con una foto. De una mujer muy parecida a Lauren Sánchez, una ex presentadora de la cadena Fox, con quien Bezos mantenía una aventura extramatrimonial. La foto viene acompañada de la siguiente frase: “Discutir con una mujer es como leer un acuerdo de licencia de software. Al final tienes que ignorarlo todo y clickear “de acuerdo”.
Según las pericias técnicas posteriores, al reproducir el video, en el celular de Bezos se instaló un malware, nombre que se forma con las palabras “malicious software”. Su objetivo es infiltrarse en el sistema de un dispositivo sin el consentimiento del usuario para dañar o robar la información. Desde 2014, según la empresa de seguridad McAfee, la cantidad de malware para móviles se quintuplica año a año.
Las pericias no pudieron dar con ese “implante” cuando examinaron el móvil de Bezos porque creen que se habría autodestruido. Pero sí detectaron pérdidas enormes de datos del celular desde el momento del mensaje del Príncipe. La salida de datos desde ese móvil pasó de unos 400 KB (una cifra normal de un uso cotidiano) a varios megas diarios. Incluso en algunos días se detectaron casi 5 GB de salida, más de 10.000 veces lo habitual.
Pocos meses después del mensaje con la foto de Lauren Sánchez, en enero de 2019, explotó en los medios el divorcio de Bezos. Tras 25 años juntos y cuatro hijos, el 4 de abril de ese mismo año, Bezos y su esposa MacKenzie Scott terminaron su matrimonio. El acuerdo fue de unos US$35.000 millones. Ella se quedó con un 25% de las acciones que ambos tenían en Amazon. De esa manera, MacKenzie se convirtió en la tercera mujer más rica del mundo, detrás de Alice Walton (hija del fundador de Walmart) y Françoise Bettencourt Meyers (nieta del fundador de los cosméticos L’Oréal.
Pero en febrero Bezos acusó al dueño del diario National Enquirer de pretender extorsionarlo bajo amenaza de publicar unas diez fotos íntimas si el fundador de Amazon no abandonaba la investigación del hackeo a su celular. También le exigían, según lo publicado por el mismo Bezos en su blog, que hiciera una declaración pública diciendo que la filtración de los mensajes privados no tenían ningún motivo político. «En lugar de rendirme ante la extorsión y el chantaje», escribió Bezos, «decido publicar exactamente lo que me enviaron, a pesar del costo personal y el bochorno con el que amenazan».
Bezos también mencionó los estrechos vínculos entre National Enquirer (perteneciente al Grupo American Media Inc (AMI) y el entonces presidente, Trump. Al parecer, el hackeo de MBS a Bezos no fue por Amazon sino por una venganza. Porque desde mediados de 2013 Bezos es el único propietario del Washington Post (por el que pagó 250 millones de dólares). El diario publicó varios artículos críticos al reino de Salman.
Vía twitter, la embajada saudí negó las acusaciones del hackeo a Bezos: “Son absurdas”. Sin embargo, en octubre de 2019, Bezos viajó a Estambul para participar de la ceremonia por el primer aniversario del fallecimiento de Khashoggi, el periodista asesinado en la embajada Saudí.
Las herramientas tecnológicas para hackear dispositivos y redes son cada vez más sofisticadas y se usan para infiltrarse en gobiernos, empresas y hogares a través de los celulares, computadoras y los llamados objetos inteligentes o conectados (IoT). Cuando digo “herramientas tecnológicas” debería decir software.
Sabemos que el mundo actual digitalizado funciona con computadoras, sistemas de redes y dispositivos móviles, fundamentalmente celulares y tablets. Nuestra vida ya es casi cien por ciento online y digital. No podemos vivir fuera de la red. Eso sumado al exponencial crecimiento del big data (los datos que generamos todo el tiempo, lo queramos o no) alojado en miles de servidores remotos (la llamada “nube”), tiene enormes riesgos que, como veremos en las dos próximas entregas, le facilita mucho la tarea a los hackers.
Vivimos expuestos. Como nunca antes.
Por: Lalo Zanoni
Ciberseguridad: Nadie está a salvo (Segunda Parte)
El software que usaron para hackear el celular de Jeff Bezos se llama Pegasus. Se trata de una poderosa herramienta que permite acceder, de forma remota, a toda la información que hay en un celular, una tablet y/o una computadora: mensajes de texto, llamadas, contactos y correos electrónicos y aplicaciones, fotos, videos, historial de navegación, datos de localización y hasta activar el micrófono y la cámara para escuchar y ver, en tiempo real, lo que habla y escucha su dueño.
Pegasus es el producto estrella desarrollado por la empresa Israelí NSO Group, creada en 2010 y que, según cálculos, ahora vale unos 1500 millones de dólares. (La mayoría de sus acciones pertenecen a Novalpina Capital, una empresa con sede en Londres). NSO tiene 750 empleados y entre sus más de 40 clientes gubernamentales se encuentra Arabia Saudita, que contrató los servicios un año antes de los hechos sobre Bezos que conté en la primera entrega (link).
A mediados de julio de este año se conoció un informe llamado “Proyecto Pegasus” llevado adelante por The Washington Post (el diario de Bezos) y otros 16 medios de comunicación asociados. El informe fue dirigido por la ONG periodística Forbidden Stories, con sede en París (https://forbiddenstories.org/)
El resultado de la investigación arrojó que más de 50 mil celulares fueron hackeados a pedido de distintos clientes de NSO, entre los que se encontraban varios gobiernos. Entre esos miles de celulares de personas consideradas “de interés” hay periodistas, empresarios, activistas de DDHH, diplomáticos, militares, funcionarios, etc. Además, había 14 números privados de presidentes y jefes de Estado, entre los que se encontraban el francés Emmanuel Macron, Barham Salih (Irak) y Cyril Ramaphosa (Sudáfrica. También primeros ministros y hasta un Rey.
Uno de los fundadores de NSO, Omri Lavie, se defiende de las acusaciones contra la empresa y afirmó que su herramienta es la mejor que existe en el mundo para combatir el terrorismo y el crimen. “No podemos ver la actividad de nuestros clientes ni cómo usan Pegasus pero nosotros desarrollamos la mejor herramienta posible. Alguien tiene que hacer el trabajo sucio”, se excusó. Y dijo que son sus clientes los que abusan del software sin ningún control.
El spyware y/o malware aprovecha las vulnerabilidades y puntos débiles de un sistema operativo para hackear un dispositivo. Está diseñado para trabajar de forma sigilosa y cubrir todo tipo de huellas. En los últimos tiempos también es capaz de autodestruirse, lo que dificulta la tarea a los forenses digitales para saber si un celular fue infectado o espiado.
Hay distintas herramientas de software, que van de simples hasta bien complejas, como las que usan los servicios de inteligencia de los países o en el ámbito militar para seguridad y defensa. Pero, por supuesto, también se usan para el mal. En los últimos años, distintos ciberdelincuentes, grupos terroristas, bandas criminales y hasta narcos se fueron armando con arsenales conformados por distintas herramientas de ciberespionaje muy sofisticadas. El objetivo es doble: hackear para robar (dinero y datos) y también la protección para no ser atrapados.
No es casual. Después de escapar durante años, el famoso narco mexicano Joaquín “Chapo” Guzman cayó en manos de la DEA en enero de 2016, por culpa de los SMS de su BlackBerry, que habían sido interceptados y cruzados con un GPS. “Hoy los narcos no solo tienen sicarios como antes sino que también tienen hackers. Son los nuevos sicarios 2.0”, explica un experto en ciberseguridad que prefiere el anonimato.
El caso Bezos y el escándalo de Pegasus ventilado por Forbidden Stories deja varios interrogantes: ¿Quién vigila a los que espían? ¿Quién protege a los simples ciudadanos del uso y abuso del espionaje ilegal?
En un mundo globalizado y con una red como internet que no conoce fronteras el problema no puede tratarse solo de forma local. Pero las leyes internacionales que regulan la actividad de la ciberseguridad son muy desparejas. Hay países que ni siquiera tienen en consideración a la ciberseguridad.
En los Estados Unidos, por ejemplo, existen algunas restricciones legales al software espía, como la Ley Federal de Fraude y Abuso Informático, promulgada en 1986 y que prohíbe el «acceso no autorizado» a un ordenador o un celular. Pero su lenguaje vago genera huecos legales por donde se escabullen algunos abogados para defender a sus acusados en los tribunales. También difiere según los Estados. La Ley Integral de Acceso a Datos Informáticos y Fraude de California prohíbe la manipulación o interferencia electrónica.
Pero nada parece suficiente para combatir en una pelea desigual. La ley siempre corre por detrás del delito. Por eso la secretaria general de Amnistía Internacional, Agnès Callamard es muy enfática en su propuesta: exige suspender en todo el mundo la exportación venta, transferencia y uso de tecnología de vigilancia “hasta que se establezca un marco regulador sólido que respete los derechos humanos” y reclama de forma urgente “una reglamentación estricta que ponga orden el “salvaje oeste” que es la industria de la vigilancia”.
Mientras tanto, ¿es posible mantener el celular a salvo de un hackeo? “La seguridad absoluta es una utopía” dice Rodolfo Pignatelli, especialista en ciberseguridad y fundador de la empresa GreenTank. “Pero sí es posible mitigarla con medidas y contramedidas, pero que requieren de inversión. La industria de la defensa desarrolló aplicaciones específicas, con altos niveles de encriptación, permitiendo obtener un 99 por ciento de protección en comunicaciones entre sus usuarios usando la red celular y un smartphone básico. Estas apps ya no están reservadas solo a ejércitos, gobiernos o fuerzas de seguridad, sino que algunas versiones ya están listas para el sector corporativo.
-¿Y para las personas?
-Creo que en usuarios personales, debemos partir de la premisa “menos es más”. Mantener siempre la última versión del sistema operativo y las aplicaciones instaladas es una medida de prevención para no ser víctima de ataques del tipo Zero Day (de los más peligrosos porque no se pueden evitar ya que el fabricante del software todavía no encontró su vulnerabilidad), entre otras decenas de técnicas de intrusión.
“El caso que destapó las filtraciones masivas fue Snowden” explica Pignatelli. Se refiere a Edward Snowden, un perfecto desconocido hasta que en 2013, cuando tenía 30 años, provocó la mayor filtración de la historia de los Estados Unidos al hacer públicos casi dos millones de documentos secretos de la Agencia de Seguridad Nacional (NSA, la poderosa rama militar del Pentágono). Allí trabajaba Snowden pero después de las filtraciones fue acusado por delitos criminales en los EE.UU y desde entonces, hasta hoy, vive asilado en la embajada de Ecuador en la Rusia de Vladimir Putin. Google, Apple, Microsoft, Yahoo! y Facebook, entre otras empresas, colaboraron con la NSA al permitirles ingresar a sus servidores. De esta manera, el entonces gobierno de Barack Obama tuvo acceso irrestricto a todos los correos electrónicos, fotos, chats, videos, historial de navegación en la web, transferencias de archivos, mapas y una larga lista que incluye, por supuesto, todo lo que los usuarios hacen en Facebook: desde un like en una foto hasta un mensaje privado. Pero eso no es todo. La empresa norteamericana de telecomunicaciones Verizon fue obligada a entregarle a la NSA todos los registros de las llamadas telefónicas (fijas y celulares) que realizaron sus clientes. “En sólo treinta días la unidad de operaciones recogió datos de 97 mil millones de e-mails y 124 mil millones de llamadas telefónicas de todo el mundo”, escribió el periodista Glenn Greenwald en “Sin un lugar donde esconderse”, el excelente best seller donde Snowden contó su historia en detalles. Según el autor, el objetivo de la NSA fue claro: eliminar por completo la privacidad electrónica en el mundo recogiendo, almacenando, controlando y analizando todas las comunicaciones entre las personas del planeta.
Snowden destapó una olla y desde ese entonces todo empeoró.
Hoy nadie está a salvo.
Por: Lalo Zanoni
Ciberseguridad: Nadie está a salvo (Tercera parte)
El delito de moda en el mundo de la ciberseguridad es con Ransomware, un tipo de software que “secuestra” (encripta) los archivos y bases de datos de usuarios, gobiernos y/o empresas para pedir un rescate a cambio de la liberación de esa información o de no publicarlos al público (también puede ser información privada de personas, como fotos, contratos, cartas o chats). Las víctimas pagan los rescates generalmente en criptomonedas, que no dejan rastro.
Este tipo de delitos lo sufren las grandes empresas, especialmente bancos y compañías de servicios e industrias como telecomunicaciones, aseguradoras, laboratorios, hospitales y servicios públicos como electricidad, gas y agua.
Además no es obligatorio que las afectadas den a conocer los casos en los medios, con lo cual, varias las empresas prefieren no comunicar el ataque para no generar pánico entre sus usuarios y clientes y de paso, evitar que su reputación se vea dañada. Y también hay casos donde los mismos atacantes exigen silencio.
En cambio la mayoría de los ataques a particulares se realizan mediante la técnica conocida como “phishing”, un término que proviene de “password harvesting fishing” (cosecha y pesca de contraseñas) para el robo de datos personales de la víctima. Cualquier medio de contacto sirve para la pesca: spam, chats, SMS, Whatsapp y las redes sociales. Alguien simula ser de una empresa o banco y nos pide información privada. Y como casi siempre estamos distraídos, caemos.
Pero las formas delictivas se van perfeccionando. Un informe de ESET muestra el gran crecimiento de este tipo de delitos en los últimos dos años: “Los nuevos métodos no solo apuntan a los datos de las víctimas, sino también a sus sitios web, empleados, socios comerciales y clientes, lo que aumentó aún más la presión y, por lo tanto, la disposición a pagar”.
Y ahora surgió el modelo de Ransomware como un servicio (RaaS, por sus iniciales “Ransomware As A Service”) que permite a personas o grupos comprar o alquilar paquetes de código malicioso junto a su manual de instrucciones con el paso a paso para ejecutar sus ataques. Tan fácil como comprar un par de zapatillas, pero Ransomware listo para usar. Pero además el ataque se hace en grupos distintos de hackers, cuyos miembros “socios” no se conocen entre sí y pueden estar físicamente en distintas partes del mundo. Después se reparten el rescate, a modo de botín, según la tarea de cada uno.
Uno de los casos recientes más famosos fue el del oleoducto Colonial Pipeline, el más grande de los Estados Unidos y que abastece de combustible a la mitad de la costa oeste de ese país. Entre el 6 y 7 de mayo último, su sistema fue atacado y se robaron más de 100 GB de datos. La empresa tuvo que cerrar todas sus operaciones y hasta el presidente Joe Biden declaró el estado de emergencia. La empresa tuvo que pagar casi 5 millones de dólares por el rescate pedido por la banda criminal “Darkside”, supuestamente desde Rusia. El ataque, que afectó a 18 estados y modificó el precio del crudo, está considerado como uno de los ataques cibernéticos contra infraestructura crítica más peligrosos de la historia.
El gobierno de EEUU informó que recuperó la mitad del dinero pagado, pero advirtió que no ahorrarían recursos para defenderse.
Los ataques son incesantes y casi a diario. En simultáneo con Pipeline, entre 50 y 100 millones de clientes de la telefónica T-Mobile fue hackeada por criminales cibernéticos que lograron infiltrarse en las cuentas de los usuarios de la red inalámbrica y obtuvieron datos personales como número de celular, pasaportes y hasta números de las licencias de conducir.
¿Y en la Argentina? Mientras los ataques se multiplican, la ley 26.388 tipifica los delitos informáticos en el Código Penal. Pero es de 2008. “Nació vieja porque dejó afuera varias conductas y tiene sanciones muy bajas, casi irrisorias, como que si vulnero tu computadora o tus datos recibo una pena de 6 meses que es excarcelable”, explica Miguel Sumer Elías, abogado especialista en ciberdelitos y director de Informática Legal. “Es necesario mejorar la redacción de varios delitos como endurecer la pena de quien produce, distribuye y vende imágenes de menores de edad, incorporar como delito tanto a las estafas virtuales como la figura de grabación y difusión no consentida de imágenes y videos íntimos, que increíblemente solo es una contravención en CABA. También hay que adecuar los estándares normativos de la privacidad y la protección de datos personales a las nuevas tendencias mundiales ya que nuestra ley (25.326) tiene más de 20 años. Hay que trabajar mucho todavía”.
Mientras tanto, las empresas en el sector privado demandan cada vez más seguridad. Luis Lombardi, director de MicroStrategy para Latinoamérica Cono Sur, una compañía norteamericana que vende software de inteligencia para negocios, explica que sus clientes “cada vez se preocupan más por el tema de la seguridad de su información. Nosotros ofrecemos todas las funcionalidades bajo los más estrictos estándares que van desde el encriptado de contraseñas y tokens internos hasta innumerables niveles de permisos relacionados con niveles de acceso a todo tipo de objeto y tipo de información».
Y a nivel estatal, el gobierno tiene una Dirección Nacional de Ciberseguridad (que depende de Jefatura de Gabinete), cuyo director es Gustavo Saín. Consultado para este informe, dice que el sector público siempre corre desde atrás. “A diferencia de la seguridad pública, en ciberseguridad los gobiernos se ven en desventaja frente al sector privado, es decir, no tienen el monopolio legítimo del uso de la fuerza para poder establecer condiciones de seguridad.
-Y sobre todo en Internet
-Al ser una red de redes de dispositivos informáticos, las organizaciones que las administran establecen sus propias condiciones de ciberseguridad. Si a esto le sumamos que existe una clara preeminencia del sector privado en el ecosistema digital (empresas que elaboran software comercial, de acceso a Internet, proveedores de servicios y aplicaciones web, servicios de almacenamiento de archivos, hosting, etc.), resulta imperioso el trabajo conjunto entre los dos sectores para proteger los derechos y libertades de los ciudadanos.
La pandemia y el obligado aislamiento obligatorio (ASPO) del año pasado generó un aumento en los ataques y delitos, sobre todo a bancos. Según la Unidad Fiscal Especializada en Ciberdelitos (UFECI), las estafas bancarias escalaron un 500% y fueron los delitos informáticos que más crecieron durante 2020. “En el encierro mucha gente se vio obligada a usar herramientas digitales para operar en sus bancos. Le llamo “exilio analógico” porque no fue una transformación digital ordenada y escalonada sino que la gente no tuvo opción para acceder a sus cuentas bancarias o a hacer compras online. Entonces hubo muchísimos problemas, que los delincuentes aprovecharon bien. Por eso hubo récords de denuncias por acceso indebido a cuentas”, explica el periodista Sebastián Davidosky, autor del libro “Engaños Digitales, víctimas reales” (Ediciones B, 2020).
Saín concuerda con que durante la cuarentena “se vió es una mayor sofisticación y complejidad en las técnicas, fundamentalmente los fraudes y estafas en línea en usuarios particulares (la mayoría mediante phishing) y los ataques de ransomware en las grandes empresas”. Y agrega: “Hay una brecha entre las empresas que ven a la seguridad informática como una prioridad y otras que la considera como un gasto innecesario. Pero lo cierto es que deben invertir más en el área”.
Mientras tanto, el delito aumenta y las víctimas son casi todos: empresas, gobiernos, grandes empresarios, jefes de estado y, sobre todo, usuarios particulares.
Nadie está a salvo en el nuevo mundo digital
Por: Lalo Zanoni