Etnògraf digital

No accepteu mai enllaços de desconeguts

16 de Juliol de 2020
Act. 29 de Juliol de 2020
Josep Maria Ganyet | VIA Empresa

“Fets, no paraules”, tant serveix d’eslògan de campanya d’un candidat poc dotat per a l’oratòria com per a una frase magistral de Sherlock Holmes.

 

Ho dic per tot el que sabem de l’espionatge a mòbils de destacats càrrecs públics, activistes i defensors dels drets civils de tot el món i perquè aquests dies estic veient tot el que hi ha de Sherlock Holmes a Filmin. Hi ha una sèrie de fets —coses que sabem i que són científicament demostrables—, de veritats que amaguen fets —“no me consta”— i d’afirmacions contradictòries a primera vista que al final no en són. Afegiu-li a tot això tantes capes com vulgueu de pescaclics, informació interessada o de gurús de l’apocalipsi digital que malden per tenir els seus quinze clics de glòria i tindreu la tempesta digital perfecta.

"Sabem del cert que els mòbils de fins a 1.400 persones de 45 països a tot el món van ser hackejats amb un programari de Pegasus entre maig i abril del 2019"

Sabem del cert que els mòbils de fins a 1.400 persones de 45 països a tot el món van ser hackejats amb un programari de l’empresa de ciberseguretat israeliana Pegasus entre maig i abril del 2019. Entre elles el President de Parlament Roger Torrent, el llavors Conseller d’Exteriors Ernest Maragall, l’exdiputada de la CUP Anna Gabriel, l’activista Jordi Domingo (no l’advocat amb el mateix nom ara a l’ANC), el cap de la Casa de la República Sergi Miquel. No hi incloc el Conseller Jordi Puigneró perquè en adonar-se’n va apagar el mòbil, estreure’n la SIM i el va lliurar a ciberseguretat de la Generalitat.

 

Això va ser possible perquè el programari de Pegasus aprofitava una vulnerabilitat de Whatsapp de dia-0. El terme dia-0 no fa referència a què la vulnerabilitat o el programari maliciós no deixin traça com repeteixen molts mitjans i el mateix President Torrent, vol dir simplement que és una vulnerabilitat que encara no és coneguda pel fabricant ni per les agències de ciberseguretat. Hi ha un mercat de compra-venda d’aquestes vulnerabilitats que acostumen a tenir una finestra d’oportunitat de dies (es diu així en l’argot). Per desincentivar que aquestes informacions caiguin en mans de gent amb males intencions, les grans tecnològiques ofereixen sucoses recompenses a qui els trobi un forat de seguretat. Apple mateix té un programa de recompenses per seguretat que arriba fins al milió de dòlars pel qui els trobi un forat de seguretat que ells ignorin.

Una altra cosa que sabem del cert és que a NSO Group són grans professionals i pitjor persones. El seu programari es fa servir per espiar gent. El seu gran argument és que només el venen a governs i cossos de seguretat per espiar els dolents, que la seva tecnologia és neutra i que el resultat només depèn de l’ús que se’n faci. Permeteu-me que en negui la major. La tecnologia no és mai neutra. El fet de destinar recursos a una recerca i desenvolupament o una altra ja és una decisió que porta una càrrega ètica i si és amb fons públics una de política. Els EUA no van anar a la Lluna en un esforç titànic per a fer “un gran pas per la humanitat”, hi van anar perquè era la demostració de força militar definitiva envers la URSS.

"Destinar recursos a una recerca i desenvolupament o una altra és una decisió que porta una càrrega ètica i si és amb fons públics, una de política"

En el cas de NSO Group és encara més flagrant donat que la tecnologia que desenvolupen és per espiar, per violar la intimitat de les persones sense el seu consentiment. L’eslògan d’NSO ben bé podria ser: “Si vostè ho ha provat respectant l’estat de dret i no se n’ha sortit, no es preocupi tenim la solució als seus problemes”. D’altra banda, si vens el teu programari a països com Aràbia Saudí, Bahrein, Els Emirats Àrabs, Marroc, Kazakstan o Mèxic després no pots declarar públicament que no te’n fas responsable del seu ús.

També sabem com funciona el Pegasus. Conèixer-ne el funcionament és alhora tranquil·litzador i preocupant. Per a poder espiar un mòbil s’hi ha d’instal·lar un programari espia. Ho pot fer algú que hi tingui accés físic o bé ens ho poden fer a nosaltres de manera inadvertida. El Pegasus funciona així i se’n diu enginyeria social. El mòbil a espiar rep un SMS amb un enllaç a una notícia qualsevol que resulti atractiva a qui el rep. Són enllaços pensats individualment segons els interessos i afinitats de la persona a espiar. L’objectiu és que senti prou curiositat per fer clic sense preguntar-se perquè rep un SMS d’un número desconegut.

Si l’usuari fa clic a l’enllaç li surt un error de pàgina no trobada, se li instal·la el Pegasus i se li reinicia el mòbil. Si no en fem massa cas (si el mòbil se’ns penja sovint podem pensar que és normal), el mòbil ja es vulnerable a l’espionatge. A partir d’aquí, anirà enviant tota la informació que els espies li demanin: fotos, missatges, correus, missatges, contrasenyes, números de targeta…, tot absolutament. La vida dels altres, versió digital.

Deia que conèixer-ne el funcionament és alhora tranquil·litzador i preocupant perquè al cap i a la fi, si no ens instal·lem el programari espia nosaltres mateixos el Pegasus no té cap efecte. Fins i tot havent-lo instal·lat de manera inconscient, fent clic a l’enllaç pescaclics de l’SMS— podem evitar que ens espiïn reiniciant el mòbil amb la configuració de fàbrica: als iPhones, per exemple, ho trobeu a Configuració -> General -> Restablir. Així de fàcil podeu derrotar tots els serveis secrets i les agències de ciberespionatge del món.

També podeu estar tranquils perquè espiar a algú costa molts diners. A banda del cost del programari (les llicències van del mig milió d’euros en amunt) la infraestructura de servidors i els operadors necessaris perquè els atacs tinguin èxit fa que si no sou algú amb un perfil molt interessant per als vostres enemics no valgui la pena el dispendi.

"Ja podeu vigilar amb els SMS amb enllaços"

Una altra cosa que és segura també és que s’ha utilitzat en territori Espanyol contra persones d’un perfil molt concret. Això, d’altra banda, no vol dir que ho hagi fet l’Estat espanyol, ni els CNI, ni les clavegueres. Tots els que us creieu l’extreballador que afirma que a l’empresa es va rebre amb gran alegria que Espanya es fes client de NSO Group —“Finalment un membre de la UE”— sou uns malpensats. Ja podeu vigilar amb els SMS amb enllaços.