Argentina España
Buscar
Boletines
¿No encuentras algo?
Has elegido la edición de . Verás las noticias de esta portada en el módulo de ediciones locales de la home de elDiario.es.

La tecnología de los detectives digitales ya se puede comprar: “Encontramos contraseñas y conversaciones de chat”

  • La ONG Privacy International avisa de la falta de transparencia del mercado de la tecnología para romper la ciberseguridad de los dispositivos y servicios digitales

  • Un grupo reducido de empresas vende a fuerzas de seguridad de todo el mundo herramientas forenses digitales para investigar delitos, pero también a grandes empresas para “investigaciones corporativas”

  • “Hay algunas de ellas operando en España, claro”, explican varias fuentes del sector: “Son muy buenas, pero caras”

Smartphone
Smartphone Rami Al-zayat | Unsplash

Carlos del Castillo

0

“Encuentra contraseñas para descifrar copias de seguridad e imágenes cifradas. Evita el bloqueo de pantalla en los dispositivos Android más populares. Obtiene el historial de ubicación y los archivos multimedia de drones. Extrae datos de servicios en la nube: iCloud, Google, Microsoft, etc. Recopila datos de dispositivos del Internet de las Cosas y relojes inteligentes. Importa y analiza registros de llamadas. Cuenta con un sistema de reconocimiento facial y de imágenes integrado”. Estas son algunas de las capacidades que ofrece el software 'Detective', desarrollado por la compañía estadounidense Oxygen Forensics, una de las empresas de análisis forense digital más importante de un sector que, poco a poco, deja de actuar en la sombra.

Oxygen Forensics resume el potencial de su herramienta abiertamente en su página web. Es lo mismo que hace Cellebrite, empresa israelí que presume de haber vendido más de 60.000 licencias de uso de su software para romper la seguridad de los dispositivos móviles y de las bases de datos almacenados en la nube a “cuerpos de seguridad, militares y de inteligencia” de 150 países. “Obtenga acceso a datos de aplicaciones de terceros, conversaciones de chat, correos electrónicos y adjuntos descargados, contenido eliminado y mucho más. Aumente la posibilidad de encontrar evidencia incriminatoria y lograr solucionar el caso”, oferta en su web.

El negocio de este tipo de empresas ha crecido en los últimos años, conforme las pruebas que provienen de dispositivos y servicios digitales van haciéndose más importantes en las investigaciones judiciales. En la resolución del asesinato de Diana Quer, por ejemplo, tuvo un papel clave la empresa alemana que logró romper la ciberseguridad del dispositivo de la joven y acceder a sus datos de ubicación.

Una parte importante de sus servicios consiste en dar acceso a sus clientes a la nube de los investigados. Es decir, entrar y, llegado el caso, desencriptar, todos aquellos datos almacenados en su Gmail, WhatsApp, Amazon, Dropbox, Facebook o Instagram, Google Drive, iCloud, Fitbit o los registros de asistentes virtuales como Alexa o Google Home.

La ONG Privacy International ha lanzado este martes una campaña para avisar del auge de una industria capaz de empaquetar en un solo software una hoja de servicios a la altura de la que ofrecía el comisario Villarejo. En un amplio informe, la organización alerta de la falta de transparencia con la que se está usando una tecnología que puede tener un impacto muy alto en el derecho a la privacidad: “Una búsqueda de los datos almacenados en la nube de una persona puede ser más invasiva que un registro de su hogar, no solo por la cantidad y el detalle de la información, sino también por la naturaleza histórica de los datos heredados y los datos futuros que pueden continuar analizándose en la nube”.

“El estado no debe tener acceso ilimitado a la totalidad de la vida de alguien y el uso de la extracción en la nube requiere la más estricta protección”, solicita la organización, que afea el contexto de “poca transparencia” y “muy limitada comprensión pública” en el que se está implementando. “El software de extracción de datos de la nube permite un 'seguimiento continuo', por lo que la policía puede monitorearte en secreto incluso si te devuelven el teléfono”, reflejan.

Las tarifas de Cellebrite u Oxygen, citadas en el informe de Privacy International, no son públicas. Ambas empresas piden al interesado que rellene un formulario con su identidad y necesidades (disponible en español) antes de entrar en contacto. eldiario.es se ha puesto en contacto con ambas empresas y ha preguntado por algunos detalles sobre sus actividades, pero no ha recibido respuesta.

“Oxygen y Cellebrite son herramientas muy usadas en forense”, revela en conversación con este medio una de las principales expertas del sector de la ciberseguridad español, “pero ojo, son muy buenas pero caras”. La misma profesional, que prefiere permanecer en el anonimato, explica que aunque las capacidades de las que presumen estas empresas puedan parecer fuera de lo normal, “en Israel todas estas ciberarmas orientadas al espionaje son legales y se pueden comprar”: “Y hay algunas de ellas operando en España, claro”.

No obstante, estas compañías no solo venden sus productos a las autoridades, sino también a “clientes empresariales” que quieran llevar a cambo “investigaciones corporativas”, como ambas revelan. En este último grupo, Oxygen Forensics por ejemplo ofrece formación para utilizar sus herramientas a “personal de recursos humanos”, “analistas” o “supervisores”, además de a “detectives”.

Otro profesional de la ciberseguridad señala a eldiario.es que en España “incluso empresas grandes tienen estas máquinas para temas de seguridad interna”, citando a una multinacional estratégica en concreto. Además, los dos expertos citan a SITEL, el sistema de escuchas del Ministerio del Interior que utilizan la Policía Nacional, la Guardia Civil y el CNI, que solo puede activarse bajo autorización judicial.

La llegada a las empresas de esta tecnología para romper la ciberseguridad de los dispositivos y los servicios digitales es otra de las amenazas de las que advierte la ONG: “Lo hace accesible incluso para aquellos con habilidades forenses limitadas que, pese a ello, ahora pueden adquirir tecnologías que les permiten 'capturarlo todo' apretando un botón”.

Saltarse la autentificación en dos pasos

Para acceder a la información almacenada en los servicios en la nube del objetivo, estas empresas pueden valerse de tres métodos, explica el informe de Privacy International. El primero es conseguir el nombre de usuario y contraseña del usuario para alguno de esos servicios, algo que puede lograrse mediante otras estrategias sucias como phishing (como en el que cayó Albert Rivera) o mediante la implantación de malware en el dispositivo del usuario. Uno de los más famosos es Pegasus, cuyo uso se ha documentado contra miembros del gobierno, diplomáticos, fiscales, activistas o periodistas de todo el mundo. En noviembre, WhatsApp presentó una denuncia contra NSO, la empresa israelí que lo desarrolla, acusándola de abrir un agujero en su plataforma por el que poder colar a Pegasus.

El segundo método es rastrear un dispositivo del usuario, ya sea un teléfono o un ordenador, en busca de tokens (identificadores). “Un token es como un pase y se usa, por ejemplo, cuando abres tu cuenta de Gmail e inicias sesión sin requerir ninguna interacción por tu parte”, detalla la ONG. El empleo de tokens evita la autentificación en dos pasos, mediante la cual el usuario debe introducir un código enviado a un dispositivo independiente como requisito para iniciar sesión. Casi todas las empresas de análisis forense digital que aparecen en el informe de Privacy International ofrecen capacidades para hacerse con los tokens del objetivo.

Por último, el tercer método se basa en la recolección de datos que están disponibles en la web. “Las herramientas forenses no solo ofrecen una forma sencilla de acceder a los datos almacenados en la nube, sino que proporcionan más datos de los que un individuo puede acceder utilizando su propio nombre de usuario y contraseña”, refleja el estudio.

Dudosa legalidad

“No, no es legal. Se trata al final de acceder a documentos de un usuario que tenía una expectativa de intimidad”, opina Sergio Carrasco, abogado experto en ciberseguridad, quien pide “diferenciar lo que es un acceso bajo control judicial de lo que serían esos clientes empresariales”.

El letrado explica que cuando un juez permite a las fuerzas de seguridad a un servicio digital del usuario, solo suele especificar a qué dispositivos o información concede acceso, no con qué herramientas acceder a ella. Ahí es donde aparecen los productos de empresas como Cellebrite u Oxygen Forensics. Aunque su uso se ha extendido al ámbito privado, su actuación “no suele trascender”, afirma Carrasco: “En casos así, normalmente solo se dice que 'la empresa ha accedido a documentos, geolocalización' o lo que sea, más que herramientas concretas”.

Además de pedir más transparencia en su aplicación, Privacy International pide un escrutinio abierto de hasta dónde pueden llegar estas herramientas. Una de sus solicitudes es, por ejemplo, que cualquier persona que sea objetivo de esta tecnología sea informada de ello. También ha elevado cartas a Google, Amazon, Apple, Twitter o WhatsApp y otra quincena de grandes empresas cuyos servicios en la nube están siendo objetivo de las herramientas que vende la industria del espionaje digital. “La realidad es que en muchos casos sus clientes no saben que esta tecnología existe y que está siendo usada contra ellos gracias a un vacío legal”.

Etiquetas
elDiario.es

Periodismo a pesar de todo

Descubre nuestras apps

Necesitamos tu apoyo económico para hacer un periodismo riguroso y con valores sociales

HAZTE SOCIO, HAZTE SOCIA
stats