Mantener nuestras comunicaciones seguras: por qué y cómo

En la mitología griega, Pegaso era un caballo alado que tenía el poder de volar por encima de los seres humanos. En el mundo de la astronomía, Pegaso es una constelación de estrellas que forman la silueta de ese mismo caballo alado y que cada noche observa nuestras vidas desde el firmamento. Sin duda, la empresa israelí NSO Group conocía la mitología cuando llamó Pegasus a la aplicación desarrollada para que gobiernos de todo el mundo pudieran, según la empresa, “combatir el terrorismo y la delincuencia”. Nada como tener ojos en la oscuridad para poder luchar contra el mal.

Sin embargo, el uso de Pegasus se ha extendido más allá y algunos gobiernos han visto en este software un arma más para violar los derechos humanos. Con la excusa de la seguridad, gobiernos de todo el mundo compran y permiten la venta de programas como Pegasus, que luego se usan para espiar, acosar e intimidar a defensores y defensoras de los derechos humanos, periodistas y activistas, poniendo en peligro innumerables vidas.

Pegasus llega a España

El resultado de este mal uso de la tecnología no se ha hecho esperar. En España, en las últimas semanas Pegasus se ha convertido en tema de conversación recurrente. A finales del mes de abril Citizen Lab, un laboratorio interdisciplinar con sede en la Munk School of Global Affairs & Public Policy de la Universidad de Toronto, reveló que decenas de figuras políticas, periodistas y sus familias sufrieron en Cataluña el ataque del software espía Pegasus de NSO Group entre 2015 y 2020. Días después, el Gobierno anunciaba que el presidente del Gobierno, Pedro Sánchez, y la ministra de Defensa, Margarita Robles, también habrían sido espiados con Pegasus, en mayo y junio de 2021. Mientras este robo de información de miembros del gobierno fue denunciado ante la Audiencia Nacional, las mismas autoridades no han presentado denuncia alguna por el espionaje de teléfonos móviles de activistas, políticos, o periodistas.

Tras estas revelaciones, el Gobierno anunció varias medidas, como por ejemplo, una investigación interna por parte del Centro Nacional de Inteligencia (CNI), una investigación independiente del Defensor del Pueblo, una investigación en el ámbito de la Comisión de control de los créditos destinados a gastos reservados, también conocida como Comisión de Secretos Oficiales en el Congreso, y la promesa de desclasificar una serie de documentos para aclarar la situación; medidas claramente insuficientes, ya que no permiten conocer al detalle la implicación de las instituciones del Estado en los supuestos espionajes. Especialmente preocupante es que este asunto se investigue en la Comisión de Control de los Créditos destinados a Gastos Reservados, una Comisión poco transparente y poco adecuada para investigar posibles violaciones de derechos humanos.

El Proyecto Pegasus

En julio de 2021, Amnistía Internacional participó en el denominado Proyecto Pegasus, una investigación en la que participaron más de 80 periodistas de 10 países bajo la coordinación de Forbidden Stories, y en el que se reveló cómo el software espía de NSO Group se había utilizado para facilitar la comisión de violaciones de derechos humanos a gran escala en todo el mundo. Este proyecto desveló la filtración de 50.000 números de teléfono de posibles objetivos de vigilancia, entre los cuales había jefes y jefas de Estado, activistas de derechos humanos y periodistas. En el momento de la publicación, el proyecto reveló 11 países como clientes potenciales de NSO Group: Arabia Saudí, Azerbaiyán, Bahréin, Emiratos Árabes Unidos, Hungría, India, Kazajistán, Marruecos, México y Ruanda. Desde entonces han surgido otros clientes potenciales, como El Salvador, Ghana, Polonia, Tailandia, Uganda, Estados Unidos, España, Yibuti e Israel.

¿Cómo funciona Pegasus?

A estas alturas, casi todo el mundo ha escuchado hablar de Pegasus. Sin embargo, no todo el mundo conoce con detalle cómo funciona este software, que se infiltra en los terminales sin dejar rastro. Puede infectar cualquier dispositivo a través, por ejemplo, de mensajes de texto o de brechas de seguridad de aplicaciones de mensajería instantánea, es decir, mediante un SMS, un mensaje de Whatsapp, en el que la víctima pincha, pensando que es un enlace seguro, y automáticamente, concede acceso a un control casi total sin que el usuario lo sepa. Ubicación, aplicaciones, conversaciones, correos electrónicos, contactos, imágenes, vídeos, mensajes de texto e incluso la cámara se convierten en armas para el atacante.

¿Puedo ser yo objeto de espionaje? ¿Cómo puedo protegerme?

Esta es la pregunta que nos hacemos todos estos días. No somos presidentes del Gobierno, ministras o personas cuyas conversaciones puedan tener especial interés para gastar tiempo y dinero y si bien es difícil que la ciudadanía de a pie sea objeto de espionaje mediante Pegasus, la realidad es que nadie está a salvo. Al mismo tiempo que se han puesto de relieve los nuevos desafíos para los derechos humanos que han aparecido en la era digital, el escándalo que afecta a NSO Group ha obligado a que muchas personas tengamos que mirar de frente a la realidad de cómo proteger nuestras comunicaciones y defender nuestro derecho a la privacidad.

Nuestro teléfono móvil, ese aparato que nos acompaña prácticamente a lo largo de todo el día, donde guardamos nuestra información más personal, nuestras imágenes, nuestras cuentas bancarias, las tiendas electrónicas que frecuentamos, etc., es el dispositivo más apetecible para posibles atacantes.

En primer lugar, es importante comprender los riesgos. Aunque la mayor parte de la información que compartimos en privado sólo es accesible para nuestros contactos o las empresas a las que hemos dado permisos, una configuración por defecto mala y confusa puede hacer que parte de la información se haga pública o se comparta con terceros. Una vez comprendidos los riesgos, debemos controlar la configuración de privacidad, es decir, qué información queremos compartir, cómo queremos hacerlo y con quién queremos hacerlo. A nadie desconocido le entregaríamos las llaves de nuestra casa. En el ámbito digital tampoco deberíamos hacerlo.

Herramientas para defendernos a nivel usuario.

Actualización de aplicaciones. Casi todas las actualizaciones incluyen los llamados parches de seguridad: cierran vulnerabilidades en el software que facilitan que alguien pueda hackear nuestro software y que, en muchos casos, pueda acceder a todo el contenido del terminal. El consejo es sencillo: cuando recibamos una notificación para actualizar el software de nuestros dispositivos, debemos hacerlo inmediatamente.

Contraseñas seguras y diferentes. ¿Somos capaces de recordar 30 contraseñas complicadas distintas? Por supuesto que no, nadie lo es. Pero aún así hemos de hacerlo, un robo de contraseñas es como un robo de llaves. Por eso, es importante usar un administrador de contraseñas -programas que generan contraseñas seguras para diferentes sitios web y las guardan-. De este modo no será necesario recordar todas estas contraseñas complicadas. También podemos consultar si nuestra información ha sido comprometida en webs como haveibeenpwned.com.

Autenticación de doble factor. La autenticación de doble factor es una medida de seguridad adicional necesaria para iniciar sesión en una cuenta. En la mayoría de los casos solo hay que hacerlo cuando se usa un nuevo dispositivo o una vez cada pocas semanas. Una forma muy habitual es recibir un mensaje de texto con un código de seis dígitos en nuestros teléfonos después de introducir nuestra contraseña. Muchos servicios populares, como Gmail, Outlook, Facebook y Twitter, disponen de autenticación de doble factor.

Usar HTTPS. Algunos sitios web tienen https por defecto, otros como opción. Generalmente se puede saber que estamos visitando un sitio https por un icono en forma de candado que aparece en la barra de direcciones; si hay un candado pero está tachado, significa que algo no está bien en la encriptación y la conexión podría no estar protegida, es decir, cualquiera que intercepte la conexión con Internet puede ver todo lo que escribimos o miramos.

Mensajería social segura. Normalmente, la gente tiende a usar la plataforma en la que están la mayor parte de sus amistades y familiares. Para la mayoría de la gente, WhatsApp es una alternativa suficientemente buena ya que tiene por defecto una encriptación de extremo a extremo segura. Sin embargo, existen alternativas como Signal, una aplicación que en los últimos años ha visto como su uso crecía gracias a su defensa de la seguridad y privacidad. En Signal, al igual que en Whatsapp, los mensajes, así como las videollamadas, se cifran en el móvil del que parten y no se descodifican hasta llegar al teléfono de destino. Esto evita que por el camino, en los servidores se pueda interceptar la conversación.

Por supuesto, todas estas herramientas no evitarán que seamos objeto de ataques, pero sin duda se lo pondremos más difícil a aquellos que traten de acceder a nuestras comunicaciones. Más allá de las medidas que podamos tomar, lo realmente importante es que software como Pegasus, Candiru y otros similares, estén regulados. Algunos gobiernos quieren que aceptemos que no tenemos derechos cuando estamos en internet. Que cuando usamos el móvil o entramos en nuestra cuenta de correo electrónico, todo lo que hacemos o decimos les pertenece. No permitiríamos este grado de intrusión en nuestra vida fuera de internet, así que no debemos permitirlo dentro.

Hasta que no sea así, hasta que los gobiernos de todo el mundo no hagan lo suficiente para investigar o detener las violaciones de derechos humanos causadas por este tipo de software espía invasivo, la venta y la transferencia de esta tecnología de vigilancia debe detenerse, todo con el objetivo de impedir nuevos abusos contra los derechos humanos. Ésta, y que el Gobierno español sea transparente y revele información sobre si tiene contratos con empresas de vigilancia digital como NSO Group son las peticiones fundamentales de la campaña de Amnistía Internacional contra la vigilancia digital masiva e ilegítima.