Newsletter 1: 8 de enero de 2024 (en español)
¡Feliz 2024! Comencé a escribir un boletín. Porque sí. El objetivo es enviarlo semanalmente, enfocándome en un tema principal seguido de otros más pequeños y algunas cosas no relacionadas con la seguridad, porque hay muchas otras cosas que importan en la vida. Ya veremos cómo va.
El público al que va dirigido es cualquiera que trabaje en seguridad digital, en particular los que trabajan con (o forman parte de) personas y comunidades en situación de riesgo. Por eso lo llamo, supongo, "seguridad digital" y no "ciberseguridad", porque así es como funcionan las cosas.
Martijn
(martijn@lapsedordinary.net)
Hay una aplicación para eso
"¿Estarán espiándome a través de mi teléfono?". Es una preocupación habitual, a menudo respaldada por "pruebas", como que un teléfono que se comporta raro, datos que parecen filtrarse o la amenaza de una (ex)pareja abusiva.
El spyware y el stalkerware (programas espía comerciales utilizados en relaciones abusivas) son reales. Pero no todas las preocupaciones o amenazas implican que haya algo malicioso en el teléfono y hacer un análisis básico de un teléfono suele ser sorprendentemente fácil.
Todo se reduce al hecho de que todo lo que se ejecuta en un teléfono es una aplicación. Y el comportamiento de las aplicaciones está restringido por el sistema operativo del dispositivo móvil: iOS o Android. Hoy me centraré en este último pero, por regla general, iOS (que se ejecuta en iPhones y iPads) es aún más estricto sobre lo que una aplicación tiene permitido hacer.
La primera restricción que Android aplica a las aplicaciones es que necesitan permisos para hacer algo potencialmente invasivo: desde leer los archivos almacenados en el teléfono hasta acceder a la cámara y al micrófono; desde ver los registros de llamadas telefónicas hasta acceder a la ubicación del teléfono.
Así que si, por ejemplo, utilizas Zoom para reuniones, la aplicación Zoom te preguntará si puede acceder a la cámara y al micrófono. Esto no se debe a que Zoom sea tan amable como para preguntar: sin este permiso explícitamente concedido por ti, el teléfono simplemente no le dará el acceso requerido, sin importar la intención de los desarrolladores de la aplicación.
La segunda restricción es que cada aplicación aparece en la lista de aplicaciones del teléfono, accesible a través del menú de ajustes, y ahí podrás ver qué permisos se han concedido a cada aplicación.
Así que si te preocupa que alguien haya "hackeado" tu teléfono para rastrear tu ubicación, esto debe hacerse a través de una app y lo que implica que puedes comprobar a qué apps se les ha concedido este permiso en particular. Además, puedes revisar si se trata de una aplicación que tú mismo has instalado.
(Entre las aplicaciones de tu teléfono, verás muchas que no has instalado tú mismo: son aplicaciones preinstaladas que vienen con el teléfono. A algunas de ellas ya se les han concedido ciertos permisos. Si quieres ver si una aplicación en particular estaba preinstalada, búscala en la lista de aplicaciones y luego, en su propia ventana y revisa al final si puedes eliminarla. Si no, es que estaba preinstalada).
Incluso, ni siquiera tienes que revisar la lista de aplicaciones: para cada permiso, hay una lista de las aplicaciones a las que se le ha concedido. Así, una pregunta como "¿qué aplicaciones tienen acceso al micrófono?" puede responderse con una simple búsqueda. Escribí un poco más sobre esto en la Guía práctica de respuesta a incidentes que publicamos con Internews el año pasado, en el capítulo 8.
Hay que hacer algunas advertencias. La primera es que a veces, sobre todo en los teléfonos más baratos, las aplicaciones maliciosas vienen preinstaladas. Esto puede ser un problema de privacidad y una buena razón para evitar este tipo de teléfonos (si es económicamente viable, claro está), pero es menos probable que esté relacionado con el espionaje dirigido.
Una segunda advertencia es que las aplicaciones legítimas, o los servicios que hay detrás de ellas, a veces pueden ser hackeados* y esto podría dar al hacker acceso a la información privada a la que esta aplicación tiene acceso. Si, por ejemplo, Google Maps rastrea la ubicación en tiempo real de un teléfono, cualquier persona con acceso a la cuenta de Google correspondiente tendrá acceso a esa ubicación, sin necesidad de instalar ninguna aplicación maliciosa.
Y en tercer lugar, los programas espía muy avanzados, como Predator, se ejecutan a un nivel inferior del sistema y no tienen la forma de una aplicación. Por desgracia, encontrar este tipo de software espía en Android es notoriamente difícil, aunque la buena noticia es que también es muy caro de usar (piensa que cuesta alrededor de decenas de miles de dólares por usuario). Eso, por supuesto, excluye a la gran mayoría de personas como objetivos potenciales.
*Ten en cuenta que, en la práctica, "hackear" a menudo no implica nada técnico. Puede implicar engañar a alguien para que haga algo, o tener acceso temporal a su dispositivo.
¿Qué más?
Amnistía Tech publicó pruebas forenses que prueban el uso del software espía Pegasus contra dos periodistas en la India durante agosto y octubre de 2023. El análisis hecho en el reporte es importante, ya que el gobierno indio había afirmado que Apple, que había advertido a los periodistas que podrían haber sido el blanco de un ataque patrocinado por el estado, estaba equivocada. El análisis forense también podría ser útil para aquellos que realizan análisis similares.Una conclusión importante del análisis es que un intento de infección falló porque el teléfono había sido completamente actualizado y el exploit (BLASTPASS) solo funciona en versiones anteriores de iOS. Esto denota la importancia de mantener el sistema operativo actualizado, incluso si lo que nos preocupa son amenazas como Pegasus que utiliza vulnerabilidades de día cero que funcionan contra las últimas versiones de iOS.
Hablando de Pegasus, el mes pasado Lorenzo Franceschi-Bicchierai de TechCrunch escribió que Apple no tiene conocimiento de ningún hackeo exitoso de un iPhone en el que se había habilitado el modo seguro. El modo seguro reduce la superficie de ataque en iOS al limitar su funcionalidad, y lo anterior demuestra lo efectivo que puede ser para bloquear spyware tan avanzado como Pegasus. Incluso si la funcionalidad reducida lo hace menos popular entre muchos usuarios, incluidos algunos que son objetivos de ataques con Pegasus.
Si te preocupa la seguridad de los Mac, y el malware para Mac en particular, es de esperar que estés familiarizado con la página Objective - See de Patrick Wardle, que ofrece herramientas gratuitas de protección y análisis forense y realiza un seguimiento de todo el nuevo malware que hay para Mac. En 2023 Patrick enumeró todos los programas maliciosos para Mac encontrados durante ese año. Como era de esperarse, muchos de ellos se dirigen a los usuarios de criptomonedas, pero también hay algunos ejemplos más interesantes que vale la pena revisar, como NokNok, un software que parece haber sido desarrollado por el grupo Charming Kitten (APT42) vinculado a Irán y cuyos objetivos incluían un Think Tank con sede en Estados Unidos.
Al analizar una URL (potencialmente) maliciosa, siempre es bueno tener en cuenta que las URL simplemente apuntan hacia un recurso en algún lugar de la web y que es posible que este recurso cambie de comportamiento con el tiempo. Una publicación en el blog de Trellix enumera algunas formas en que las URL maliciosas se utilizan para evadir la detección por parte de antivirus y otros métodos y luego describe un nuevo método que utilizan, donde una URL entrega contenido inofensivo cuando un producto de seguridad lo analiza y entrega contenido malicioso cuando es un humano. Es bueno tener en cuenta estos ejemplos cuando investigues las URL: el hecho de que no veas ninguna actividad maliciosa cuando la abres (con suerte en un entorno seguro) no significa que a otras personas les haya pasado lo mismo.
Cosas no relacionadas con la seguridad
Un libro que disfruté: durante las vacaciones de Navidad, leí A Stranger in Your Own City, de Ghaith Abdul, que describe a Irak en las dos décadas transcurridas desde la invasión liderada por los Estados Unidos en 2003. Es uno de los mejores libros que leí el año pasado y una lectura obligada para cualquier persona interesada en el país o en la región en general. Abdul-Ahad es un periodista que comenzó a trabajar para medios de información occidentales desde el comienzo de la invasión, lo que lo convierte en un experto, con una perspectiva privilegiada desde dentro y desde fuera para contar esta historia. No es una historia feliz, sino una que necesita ser contada y estoy agradecido con Abdul-Ahad por hacerlo. No importa qué tan mala sea la situación en un país, una invasión de Occidente siempre puede empeorar la situación.
Una canción que me gustó: Odezenne - Souffle le vent (Bandcamp - Spotify - YouTube).
Wikipedia describe el sonido de Bordeaux's Odezenne, que descubrí en una lista de reproducción de hiphop francés, como "notablemente ecléctico", que es el tipo de cosas que se dicen cuando no sabes cómo describir la música. En cualquier caso, creo que su hiphop con sintetizadores, y esta canción en particular, es bastante adictiva y escucharla le ayuda a mi francés.