¿Quieres saber si eres espiado por hackers? Un experto nos da las claves

El escándalo del presunto espionaje del gobierno mexicano contra periodistas y activistas ha encendido dudas en la sociedad: ¿qué tan vulnerables somos todos al hackeo estatal o de grupos ‘hacktivistas’?

Este jueves, Citizen Lab -un centro de estudios de vigilancia digital con sede en Toronto, Canadá, que colaboró con el descubrimiento del espionaje ilegal en México junto a tres ONGs- informó que tres altos funcionarios de la oposición también fueron espiados en sus teléfonos con el software Pegasus, un programa antiterrorista comprado en 2011 por la administración del presidente Enrique Peña Nieto.

Una semana antes, el portal de noticias Eje Central publicó un artículo donde aseguró que el gobierno mexicano espió a poco más de 700 personas sólo en el verano de 2015. Y que Pegasus es sólo uno de los seis programas que se ha utilizado para invadir dispositivos móviles. Entre ellos, habría artistas, hijos de políticos, estudiantes universitarios, policías, médicos, etcétera.

VICE News entrevistó a Frédéric Costé, gerente de Ciberseguridad de la empresa Detexis Security Solutions, especializada en ciberseguridad, quien explicó que para el usuario común de telefonía celular es prácticamente imposible saber si el gobierno o particulares lo espían.

Mientras aparecen más casos de espiados en México, el país aún no debate un derecho establecido ya en países desarrollados, como Estados Unidos: el Derecho a la Notificación, es decir, la obligación del gobierno de avisar a sus ciudadanos cuando funcionarios hayan intervenido, por un tiempo limitado, sus dispositivos o redes sociales para obtener información.

VICE NEWS: A partir del reciente caso de espionaje por parte del gobierno, surge la pregunta ¿cómo saber si has sufrido un hackeo?
Frédéric Costé: Para el usuario corriente, como tú y yo en nuestra vida normal, es difícil detectar un ataque. Puedes tener un firewall (un programa para bloquear accesos no autorizados a la computadora) o tener un detector de intrusión al nivel de tu máquina, es decir, algo que detecte un comportamiento extraño… pero la verdad es que todas esas herramientas básicas las tienes que actualizar.

¿Qué tipos de canales son utilizados por los hackers para entrar a tus cuentas?
Se meten a Facebook e intentan ver si pueden ver el perfil de la persona. Si esta persona tiene un perfil abierto para ver sus amigos, entonces pueden recolectar muchísima información acerca de la víctima. Es como la policía cuando hace una investigación sobre un delincuente. A veces, buscan aplicaciones móviles para detectar los puntos débiles. Hacen una investigación realmente muy detallada de la empresas y empleados.

Es decir, ¿un hacker puede acceder a leer las conversaciones de Whatsapp, de Facebook?
Sí, hay una mala costumbre que tiene la gente -para facilitarse la vida- de usar una sola contraseña para muchas cuentas, porque no quieres memorizar muchas contraseñas. Existen piratas que se intercambian este tipo de información. Hace dos días encontramos una base de datos de más de un millón de credenciales. Atacaron, por ejemplo, la base de datos Adobe y LinkedIn. Entonces toda la gente que abría una cuenta usando su credencial corporativa para escuchar música, para buscar pareja, le dio esa información a los piratas. Cuando los piratas roban bases de datos tan importantes se intercambian la información.

¿Existen sistemas operativos más vulnerables que otros?
Windows tiene muchas vulnerabilidades. La mayoría de los ataques apuntan a Windows. En celular, Android es más vulnerable que IOS de Apple. Hay pocos ataques que apuntan a sistemas operativos de Apple, porque son más robustos.

¿Cómo debería protegerse una persona que usa Android o Windows?
Actualizando el sistema y teniendo un antivirus. También a nivel de los navegadores hay extensiones que permiten luchas contra el robo de cookies (pequeños archivos utilizados por un sitio web que guardan información sobre el inicio de sesión y las preferencias de sitios), que permiten filtrar los pop-ups (una ventana emergente con el objetivo de mostrar anuncios sin que el usuario lo permita), que permiten navegar de una forma más anónima, porque hay muchos bichos que te rastrean, que saben lo que te interesa.

Por ejemplo, es muy común que cuando entraste a la página de Amazon a buscar un spinner para tus hijos, y luego te metes a Facebook, por pura magia aparece en una columna un anuncio para comprar un spinner ¡lo que justamente acabas de buscar en Amazon! Pues todo esto es porque hay bichos que te roban el cookie y proponen anuncios de tu interés. Entonces hay extensiones que impiden que páginas web sepan lo que estás haciendo. Yo tengo en mi navegador una que se llama AdBlock Plus que evita tener las ventanas desagradables de publicidades.

¿Qué debo hacer cuando sospecho que he sido hackeado en mi teléfono y los piratas tienen los datos de mis tarjetas bancarias?
La verdad es que no puedes hacer muchas cosas. Si ves en tu estado de cuenta un pago que no hiciste, te acercas al banco para aclararlo. En el contrato hay una forma de proteger, cuando algo así pasa. No se puede hacer mucho.

¿Qué es lo más grave que los hackers pueden hacer en un ataque? ¿Qué tipos de hackeo existen?
Depende de la víctima y de lo que quieres robar. El robo a bancos y al sector farmacéutico es de lo más sonado. La mafia se interesa mucho al sector farmacéutico porque venden productos a grandes escalas. Entonces, si te metes al sistema farmacéutico puedes hacer productos parecidos a los que vende la empresa a través de una caja que se parece al de la empresa, pues generas muchísimo dinero y la inversión es muy pequeña. También hackean tarjetas corporativas que empresas dan a sus empleados como incentivos, que te permiten comprar la despensa, gasolina…

¿México está muy vulnerable a hackeos?
Como todos los países. La verdad es que México es un país que atrae mucho a los ‘hacktivistas’. Los grupos de delincuentes saben que hay muchos países que invierten muchísimo en México. Además habrá elecciones el año que viene, entonces es una temporada muy propicia para el ‘hacktivismo’: intentar influir en la sociedad para dañar o ayudar a la imagen de partidos políticos o de políticos.