Selfis y fotografías de las vacaciones, correos de trabajo, whatsapps personales –muy personales–, las contraseñas del banco y el registro de la actividad económica, las series, películas y música preferidas, las horas de sueño diarias, el número de pasos que hemos dado caminando... En el móvil lo guardamos todo. Y es el objeto que siempre tenemos cerca. De día, en el bolsillo o en la bolsa; por la noche, encima la mesilla de noche, y en el lavabo, en la mano más a menudo de lo que queremos admitir. Con un programa troyano como Pegasus, cualquier extraño puede acceder a todo lo que se guarda en el teléfono, pero también escuchar y ver todo aquello que pasa cerca a través de la cámara y el micrófono del aparato. Es una de las violaciones de la intimidad más profundas que se pueden cometer.
¿Hay algo que hacer para evitarlo? Se puede pensar que no tiene sentido intentarlo, que es poco probable que alguien quiera espiar a un ciudadano normal y que, si un estado o una gran multinacional lo quisiera hacer, no se podría esquivar. Pero sí que hay medidas capaces de complicar una intrusión, porque pasan más a menudo de lo que parece aunque no sean tan llamativas como las del Catalangate. Según el ministerio del Interior español, solo en 2020 se denunciaron 33.242 ciberestafas bancarias en Catalunya, más de 90 al día; más que robos en casas y negocios (24.907). Y una buena parte se hacen con malware intrusivo capaz de robar contraseñas bancarias, phishing y técnicas parecidas.
Aligerar la mochila
De entrada hay que pensar en la "mochila de datos" que cargamos siempre dentro del teléfono, tal como la define la guía Resistencia digital. Manual de seguridad operacional e instrumental para smartphones, del colectivo Críptica. El libro propone hacer un inventario de todo aquello que se guarda al móvil, valorar qué se considera "sensible" y establecer prioridades para sacarlo del teléfono. Además, entre otros consejos recomienda "aligerar peso" de esta mochila borrando periódicamente archivos y datos, eliminando aplicaciones que no se usan y teniendo siempre en cuenta que no hay información más protegida que la que no está: quizá no hay que guardarlo todo en el móvil. Resistencia digital también avisa que pretender estar a cobijo de agencias internacionales como la NSA norteamericana o el GCHQ británico "es incompatible con llevar una vida normal y corriente".
Antivirus y mercados de aplicaciones
El consultor en seguridad informática José Nicolas Castellano avisa que Pegasus es un software malicioso "que juega en la liga top" y contra el que es muy difícil defenderse, pero que hay malware intrusivo "que en la práctica casi cualquiera puede comprar", disimulado como herramientas de control parental o en el mercado negro de la dark web. Además, a pesar de que las tiendas de aplicaciones se revisan periódicamente, también hay apps que contienen software malicioso pensado para extraer información del usuario. Contra estos casos recomienda el uso de antivirus o aplicaciones EDR (endpoint detection and response) para teléfonos Android, que detectarán la mayoría de las amenazas conocidas. Los iPhone, dice Castellano, solo pueden instalar aplicaciones de la Apple Store, más cerrada y sometida a más controles –salvo que se haya hecho un jailbreak en el aparato, que multiplica el riesgo–. Pero esto tampoco quiere decir que estén libres de peligro.
Ataques con clic y sin clic
Para infectar un teléfono móvil con un programa troyano hay que tener acceso a este de alguna manera. Se puede hacer robándolo o aprovechando una distracción –y en estos casos es importante tener una contraseña o un sistema de bloqueo robusto–, pero la mayoría de veces la infección se hace remotamente. En este sentido, el analista de seguridad en teléfonos móviles Àlex Soler diferencia entre ataques de 1 clic y de 0 clics –en el caso del Catalangate, ha habido de los dos tipos–. Los de 1 clic implican engañar al propietario del móvil con un phishing, un mensaje que intenta que haga una acción: clicar un enlace, descargar un archivo o una aplicación, abrir una fotografía... Con este clic hay bastante para que el troyano se instale a escondidas en el aparato. Por eso hay que evitar clicar un enlace de un servicio de paquetería si no se ha comprado nada a distancia ni se espera ningún envío, por ejemplo, y desconfiar de todo archivo y enlace de origen desconocido. Los ataques de 0 clics no requieren ni siquiera ninguna acción: se envía y se instala el troyano sin que la víctima tenga que hacer nada y es casi imposible que se dé cuenta.
Vulnerabilidades ‘zero day’
Los ataques toman el control del teléfono aprovechando las vulnerabilidades: rendijas y agujeros de seguridad en el software del aparato. Por eso es importante tener siempre actualizado tanto el sistema operativo como las aplicaciones. "La mayoría de las actualizaciones remiendan agujeros de seguridad", recuerda Castellano. Soler añade que se puede reducir "la superficie de ataque", las posibles vías de intrusión, eliminando las aplicaciones que no se usan. Pero hay vulnerabilidades que el fabricante del móvil, del sistema operativo o de la aplicación ni siquiera sabe que existen. Se denominan zero day (de día cero) y son las más buscadas, porque todavía no tienen ninguna solución.
Hay todo un mercado negro detrás de los zero days, dice Soler, con expertos que se dedican a buscar y que los venden al mejor postor. Zerodium, por ejemplo, compra zero days de móviles por entre 100.000 dólares y 2,5 millones, según la guía de tarifas que tiene publicada –asegura que solo los vende a "instituciones gubernamentales", preferentemente de EE.UU. y Europa–. Un zero day que no requiera ningún clic y con persistencia para iPhone se paga a 2 millones de euros y para Android a 2,5. Persistencia, concreta Soler, quiere decir que un malware instalado mediante esta vulnerabilidad aguanta aunque se apague o se reinicie el teléfono. Esto nos da una pista: apagar el teléfono periódicamente puede ser una rutina preventiva eficaz contra los ataques basados en vulnerabilidades más baratas, sin persistencia. Y tener una copia de seguridad del aparato actualizada y restaurarlo de fábrica de vez en cuando también. "La seguridad al 100% no existe, pero lo puedes poner más difícil", afirma Soler.
Todas estas medidas pueden ser insuficientes, sobre todo si el adversario tiene suficiente tiempo y recursos –hay víctimas del Catalangate que sufrieron una treintena de intentos de intrusión–. "Si se sospecha que se tiene el teléfono infectado, la vía más segura es ir a un experto", avisa Castellano. Es verdad que hay software de detección que se puede descargar –como MVT de Amnistía Internacional, en el caso de Pegasus–, pero para usarlo correctamente hacen falta conocimientos especializados.
Siete consejos y un manual para los más preocupados
-
Revisa qué tienes en el teléfono y no añadas o elimina la información más sensible
-
Usa antivirus y aplicaciones EDR, sobre todo en Android
-
Evita clicar enlaces inesperados y descargar archivos de origen desconocido
-
Borra o deshabilita las aplicaciones que no usas o no necesitas
-
Apaga el teléfono periódicamente, no es buena idea tenerlo siempre puesto en marcha
-
Mantén una copia de seguridad actualizada y, de vez en cuando, restaura el aparato
-
Si sospechas que te han infectado el teléfono o no se comporta como tocaría, busca un especialista
-
Consulta la guía 'Resistencia digital. Manual de seguridad operacional e instrumental para smartphones', escrita por Carlos Fernández, Enric Luján, Rocío Moreno, Víctor Rizo y Eduard Sanou, del colectivo Críptica
![Vista general del edificio del Centro Nacional de Inteligencia (CNI).](data:image/svg+xml,%3Csvg xmlns="http://www.w3.org/2000/svg" viewBox="0 0 16 9"%3E%3C/svg%3E)
