Las filtraciones de Edward Snowden que en 2013 demostraron como la NSA y otras agencias de inteligencia nos espiaban ya sacudieron nuestro mundo, pero la revelación ayer de Vault 7 y de los casi 9.000 documentos secretos de la CIA ha vuelto a demostrar que organismos como éste atacan todo tipo de dispositivos —tu Smart TV, tu smartphone, y pronto tu coche conectado— para recolectar datos y para controlar esos productos a su antojo con todo tipo de fines.
Esos documentos filtrados dejan claro que deberíamos estar aún más preocupados por nuestra privacidad y seguridad. La privacidad, decíamos hace tiempo, es necesaria, y es fácil desmontar el argumento de 'no tengo nada que ocultar' que ahora vuelve a plantearse con unas revelaciones que hacen que desconfiemos más que nunca en nuestros dispositivos. Unos dispositivos que nos escuchan aun cuando no queramos que lo hagan, a saber para qué. Estas son las razones que deberían hacerte desconfiar de ellos.
1. Vault 7 consta de 7 partes: estos 9.000 documentos son solo una de ellas
Lo primero que debéis tener en cuenta es que esta filtración de documentos de entre 2013 y 2016 es tan solo la primera de un conjunto de siete grandes filtraciones de datos confidenciales que probablemente tendrán un alcance aún mayor de lo que muchos imaginan.
Es difícil pensar qué más pueden revelar esos documentos que faltan por salir a la luz, porque lo cierto es que los 8.761 archivos confidenciales extraídos de los servidores de la CIA dejan claro que si este organismo quiere será difícil evitar que nos espíe.
La novedad no es que nuestros dispositivos sean vulnerables: cualquier ciberdelincuente con la suficiente motivación, tiempo y recursos podrá acceder a prácticamente cualquier dispositivo del planea. La novedad es que es la CIA la que lo hace, amenazando la seguridad y privacidad de ciudadanos tanto estadounidenses como no estadounidenses.
2. Puertas traseras: nacen, se reproducen y el gobierno de los EE.UU. las deja abiertas
Edward Snowden comentaba en su Twitter cómo la primera gran revelación de estos documentos era la demostración de que las agencias de inteligencia de Estados Unidos no solo tratan de aprovechar puertas traseras en el software: ellos mismos las crean y las dejan abiertas.
The CIA reports show the USG developing vulnerabilities in US products, then intentionally keeping the holes open. Reckless beyond words.
— Edward Snowden (@Snowden) 7 de marzo de 2017
Como señalan los expertos, hay otro problema intrínseco a estas filtraciones: el hecho de que esos agujeros de seguridad que han sido revelados y que la CIA ha aprovechado o aprovecha pueden seguir abiertos. Otros hackers o ciberdelincuentes podrían aprovecharlas en su propio beneficio. Es como una gran caja de Pandora de vulnerabilidades.
3. Si tienes algún dispositivo basado en iOS o Android, estás expuesto
Uno de los documentos mostraba por ejemplo datos sobre exploits de iOS, el sistema operativo que gobierna iPhones o iPads, y que con nombres como Archon, Dyonedo, Earth o Elderpiggy (hay muchos más) permitían explotar vulnerabilidades críticas en dispositivos que se utilizaban para espiar a periodistas y grupos de defensa de los derechos humanos. Apple se ha apresurado a comentar que "casi" todo está corregido.
Algunos de estos exploits ni siquiera eran desarrollados por la CIA, sino que directamente se compraron a ciberdelincuentes para luego aprovecharlos en los iPhone que interesaba "mantener controlados". Agencias como la NSA o la GCHQ (la inteligencia británica) también estaban metidas en el ajo.
Lo que ocurre en los dispositivos iOS también sucede en los smartphones y dispositivos basados en Android, para los que la CIA disponía de un listado de herramientas que explotaban vulnerabilidades presentes por ejemplo en Chrome para contar con la posibilidad de controlar esos dispositivos de forma remota y completa o al menos parcialmente.
4. Si tienes un ordenador basado en Windows, macOS o Linux, estás expuesto
La era postPC no existe para la CIA, cuyos esfuerzos por infectar todo tipo de productos con malware que permitiera acceder a sus recursos de forma remota no parecen tener fin.
En uno de los documentos se muestran diversas técnicas para tratar de explotar vulnerabilidades en sistemas como UAC (User Account Control), aunque la ifnromación detallada parece no estar disponible en las páginas de Wikileaks, probablemente para que otros no puedan aprovechar código e información aún más detallada.
Las vulnerabilidades de tipo 'zero day' están en ese repertorio, como también virus como Hammer Drill que infecta software de CDs y DVDs (dos tipos de formato cada vez más en desuso, eso sí), o infecciones para memorias USB.
Los sistemas Windows no son los únicos afectados: macOS (OS X), Solaris y Linux también forman parte de los sistemas que la CIA quería tener controlados con herramientas como HIVE, una suite de malware destinada a controlar ordenadores basados en estas plataformas.
5. Si tienes una Smart TV podrías estar expuesto
Las nuevas televisiones conectadas o "inteligentes" han hecho que podamos acceder directamente a una gran cantidad de contenidos de forma cómoda, pero también han introducido una amenaza clara para los usuarios, tanto por parte de los fabricantes como de la CIA, que también ha querido aprovechar la popularidad de estos dispositivos.
Las historias de terror aumentan ahora que sabemos que efectivamente la CIA contaba con un programa llamado "Weeping Angel" del que han hablado en detalle en The Intercept y que estaba destinado a poder acceder remotamente a Smart TVs de Samsung para habilitar por ejemplo su micrófono de forma remota incluso cuando la televisión apareciera apagada para el usuario. Ese era el denominado 'Fake-off mode' ('falso modo apagado').
Aunque no se mencionan otras marcas, ese mismo programa podría aplicarse (o adaptarse) a Smart TVs de otros fabricantes, y es que como dice el experto en ciberseguridad y cifrado Kenneth White, las Smart TVs "son históricamente un objetivo bastante sencillo y una plataforma de ataque bastante buena". De hecho este experto aseguraba que "hay cero posibilidades de qee la CIA solo se haya orientado a Smart TVs de Samsung. Es demasiado fácil modificar otros sistemas operativos embebidos".
6. Zero Days y promesas incumplidas
Entre las vulnerabilidades más famosa están las 'zero days', las vulnerabilidades del software que son descubiertas por alguien pero no son reveladas al fabricante. Este tipo de agujeros de seguridad son especialmente valiosos para los ciberdelincuentes, que a menudo los venden al mejor postor o incluso al fabricante con chantajes industriales directos.
En los Estados Unidos la administración Obama creó precisamente un proceso que obligaba a sus agencias a comunicar dichos descubrimientos a las empresas para evitar problemas tanto a esas empresas como a usuarios de sus productos.
Los documentos "Year Zero" filtrados (esta primera remesa) revelan que la CIA hizo caso amiso de ese compromiso del gobierno, y de hecho revelan cómo por ejemplo el malware descubierto en estos documentos permitiría "penetrar, infestar y controlar tanto el software de teléfonos Android como iOS que se ejecuta o se ha ejecutado en la cuenta de Twitter del presidente de los Estados Unidos, probablemente en clara alusión —sin hacerla directamente— al peligro que esto podría suponer para Donald Trump, que sigue usando Twitter con frecuencia.
7. WhatsApp, Telegram o Signal son "seguras", pero no lo son los dispositivos en los que las usamos
Hace tiempo que diversas aplicaciones de mensajería ofrecen sistemas de cifrado de extremo a extremo en sus comunicaciones. WhatsApp, Telegram o Signal se cuentan entre las más conocidas, pero el problema no es que ellas lo sean, porque la CIA también puede espiar los mensajes que se envían al usarlas.
PSA: This incorrectly implies CIA hacked these apps / encryption. But the docs show iOS/Android are what got hacked - a much bigger problem. https://t.co/Bw9AkBpOdt
— Edward Snowden (@Snowden) 7 de marzo de 2017
¿Cómo lo hacen? Fácil: porque ya tienen antes el control de iOS y Android, las plataformas móviles sobre las que corren esas aplicaciones, y que precisamente da acceso a una capa software inferior desde la cual controlar también esas transferencias de texto y archivos.
De hecho esas aplicaciones son tan seguras como los dispositivos en las que se usan. Si el sistema operativo puede ser controlado por un tercero, los mensajes se pueden leer antes de ser cifrados y enviados. El cifrado de WhatsApp o Signal funciona, pero el malware hace trampas, como siempre.
En Xataka | Por favor máquina, no me escuches tanto
Ver 56 comentarios
56 comentarios
joshhigh
Será para revisarlo pero, si los móviles IOS y los Android son vulnerables. Los PCs de cualquier SO.
Los móviles windows no interesan a la NSA ni CIA? joder pues no lo cambio entonces
Usuario desactivado
USA, EEUU, Bomba, explosivo, TNT, matar mucha gente, disparos
Daesh, ISIS, Al Quaeda, Whashinton
Alá es grande. Infieles a la hoguera.
(alguien que lo traduzca al árabe por favor)
He captado tu atención NSA? Pues ahora vas y te metes un palo por el culo, que he sentido no haber perdido el tiempo escribiendo este comentario porque habrá algún estúpido perdiendo el tiempo trazando este mensaje XDDD
esentor
Buscad en google "Cómo puedo hacer que las agencias no puedan ver mi navegación", navegad por las páginas que os salen.
Dejad de navegar durante un tiempo, a lo mejor se cagan xDDD
g33k
En estos temas es mejor ser un paranoico. Así aciertas mas veces.
sigfrid
Yo como varios teoricos de la conspiracion ya sabiamos eso, incluso antes de que snowden lo diera a conocer, antes de wikileaks. ¿nuestras teorias ya no suenan tan locas eh?
rapsolo
La CIA hace un par de backup de nuestro datos gratuitamente y aún os quejáis.
Están para ayudar, obviamente.
juamfearroyavea
esta noche he mandado 3 cazabombarderos rusos ala ciudad de new york.
juamfearroyavea
انتهاك كبار السن
Usuario desactivado
Y todavía hay quién le pone una pegatina a la cámara del portátil.
kawjones
Recomiendo a las tiendas y vendedores de moviles, tabletas, ordenadores, televisores y demás dispositivos conectables que en las proximas ventas añadan, de regalo, un paquete con infusiones de tila y valeriana junto a una taza con la inscripción "KEEP CALM while WE STEAL YOUR DATA"
Flycow
Las vulnerabilidades de iOS afectan a versiones anteriores a la 9.2 inclusive. Con tener iOS 9.3 o posterior el dispositivo está protegido del malware de la CIA. Si es un iPhone 5S o posterior también es inaccesible incluso con posesiones del dispositivo.
obijuancojones
Pues al final resulta que la que la saga Bourne es un documental y que Alex Jones y los demas conspiranoicos estaban en lo correcto.
Tristemente parece ser que la insignificancia es el unico factor protegiendo al ciudadano comun.
r080
"...espiar a periodistas y grupos de defensa de los derechos humanos..."
Pues eso, que un simple ciudadano de a pié no creo que sea objetivo de la CIA.
Pero si algún día me dedico a traficar, a putear al gobierno o quiero matar a alguien, ya me preocuparé de dejar los aparatos en casa y no guardar datos sensibles en dispositivos con acceso a Internet.
luizja
Habrá que empezar a utilizar BSD.
joesrc
Hora de desempolvar la máquina de escribir. Rápido, desconecten el módem, lanzen sus smartphones al río y huyan a las colinas!!!!
ilwp
Es interesante una cosa del articulo.
Deja de manifesto que todos los OS son igual de vulnerables si hay interés en acceder a ellos.
Seria interesante que esta noticia se la pegaran con celo a la patalla todos esos que evangelizan cosas como:
"Linux es seguro"
"Mac no tiene virus"
"Windows es una mierda llena de virus"
Y esas cosas que tanto molan decir en grupo y te hacen parecer importante.
Los sistemas son tan vulnerables como lo es el eslabón mas devil de la cadena. Y ese suele ser el usuario.
blackheart
" Y habrá cosas peores" según la Biblia 📃 😂
vanel123
y mi Windows mobile es seguro? o simplemente no les interesa? XD
albertringo
No se cual es el show con la privacidad, casi todo el mundo tiene FB, y desde ese punto o tal ves antes ya estamos diciendo todo sobre nuestras vida, adonde vamos, adonde salimos, cuando cumplimos año etc... no se que parte la gente no entiende que desde que aceptamos entrar al mundo digital, se acabó la privacidad... no hay que buscarle la 5ta pata al gato, NO EXISTE VIDA PRIVADA EN EL MUNDO DIGITAL, no importa cuanta seguridad pongan en los dispositivos... LA VIDA PRIVADA COMO LA CONOCIAMOS EN LOS 70, 80... SE ACABÓ, PERO HAY UNA FORMA DE MANTENER VIDA SEMI PRIVADA..? PERO COMO? PUES DEJANDO DE USAR DISPOSITIVOS COMO LOS CELULARES DE TODO TIPO, smart, o no smart.. pero ojo, el mundo está lleno de cámaras por doquier, y las agencias tienen lo que se le llama reconocimiento facial, o sea si una cámara te puede ver esa cámara envía tu cara a un centro de reconocimiento y si la policía no te anda buscando pues vives tranquilo, pero si cometiste un delito y eres buscado, te localizan... ese es el mundo DIGITAL... un abrazo.
wds
Ya mátate!.
kosmos224
Linux es más seguro, cambiaros a Linux, fuck Windows xD