Cómo mantener seguros los mensajes de texto mientras el FBI advierte sobre los piratas informáticos chinos – MundoDaily

La alerta del FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) destacó vulnerabilidades en los sistemas de mensajería de texto que millones de estadounidenses utilizan todos los días.

Estados Unidos cree que los piratas informáticos afiliados al gobierno de China, apodados Salt Typhoon, están librando una «amplia y significativa campaña de ciberespionaje» para infiltrarse en las telecomunicaciones comerciales y robar datos de los usuarios y, en casos aislados, grabar llamadas telefónicas, dijo un alto funcionario del FBI que habló dijo a los periodistas bajo condición de anonimato durante una conferencia telefónica el 3 de diciembre.

La nueva guía puede haber sorprendido a los consumidores, pero no a los expertos en seguridad.

«La gente ha estado hablando de cosas como esta durante años en la comunidad de seguridad informática», dijo a Jason Hong, profesor de la Facultad de Ciencias de la Computación de la Universidad Carnegie Mellon. «No se debe confiar en este tipo de comunicaciones no cifradas exactamente por esta razón: puede haber espías en muchas infraestructuras».

Entonces, ¿qué debes hacer para mantener tus mensajes privados?

«El cifrado es tu amigo» para mensajes de texto y llamadas telefónicas, dijo en la llamada Jeff Greene, subdirector ejecutivo de ciberseguridad de CISA. “Incluso si el adversario logra interceptar los datos, si están cifrados, será imposible, si no muy difícil, detectarlos. Por tanto, nuestro consejo es intentar evitar el uso de texto plano”.

En el cifrado completo de extremo a extremo, las empresas de tecnología hacen que un mensaje sea descifrable sólo por el remitente y el destinatario, y nadie más, incluida la empresa. Ha sido el estándar en WhatsApp, por ejemplo, desde 2016. Junto con la promesa de mayor seguridad, hace que las empresas estén “a prueba de garantías” de los esfuerzos de vigilancia.

La buena noticia para quienes usan teléfonos Apple es que iMessage y FaceTime también están cifrados de extremo a extremo, dice Hong. Para teléfonos Android, el cifrado está disponible en Google Messages si todos los remitentes y destinatarios tener la función activada.

Pero los mensajes enviados entre iPhones y teléfonos Android son menos seguros. La forma más sencilla de garantizar que sus mensajes estén protegidos contra espionaje es utilizar una aplicación cifrada de extremo a extremo, como Señal o WhatsApp dice Eva Galperin, directora de ciberseguridad de Electronic Frontier Foundation (EFF). Con estas aplicaciones, “tus comunicaciones siempre están cifradas de extremo a extremo”, afirma.

Galperin destaca otro peligro: un hacker que lograra obtener su identificación y contraseña de un sitio web podría monitorear sus mensajes de texto para interceptar una contraseña de un solo uso utilizada en la autenticación de dos factores (2FA).

«Este es un riesgo de seguridad realmente grave», afirma Galperin. Ella recomienda recibir mensajes 2FA a través de una aplicación como Autenticador de Google o autía o usando un llave de seguridad física para verificar el acceso.

El FBI y CISA también recomiendan a los usuarios que configuren sus teléfonos para que actualicen los sistemas operativos automáticamente.

«La mayoría de los ataques al sistema no implican aprovechar vulnerabilidades que nadie más conoce», afirma Galperin, y añade que «a menudo, el fabricante del producto descubre cuál es la vulnerabilidad, la parchea y lanza un parche en forma de una actualización de seguridad.»

¿Cuál es tu riesgo?

Debe ser consciente de su propio “modelo de amenazas”, un concepto central en seguridad informática.

Hong dice que todo se reduce a tres preguntas: ¿Qué estás tratando de proteger? ¿Qué tan importante es para ti? ¿Y qué medidas debes tomar para protegerlo?

Si los elementos más valiosos de tu teléfono son fotos familiares, dice, probablemente no deberías preocuparte de que te ataquen hackers extranjeros. Pero, ¿qué pasa si ocasionalmente envías mensajes de texto sobre secretos nacionales o corporativos o datos políticamente sensibles?

«Si usted tiene un negocio, si es periodista, si es alguien que está en contacto con manifestantes a favor de la democracia en Hong Kong, Shenzhen o el Tíbet, entonces debería asumir que sus llamadas y mensajes de texto no están protegidos del gobierno chino”.

Los malos actores, como los ciberdelincuentes, pueden tener objetivos diferentes, dice Hong, «pero si solo haces unas pocas cosas relativamente simples, puedes protegerte de la gran mayoría de este tipo de amenazas».

¿Qué están haciendo los piratas informáticos?

El FBI y CISA dieron la alarma dos meses después El diario de Wall Street reportado que piratas informáticos vinculados al gobierno chino irrumpieron en sistemas que permiten a las agencias de aplicación de la ley estadounidenses realizar operaciones de vigilancia electrónica en virtud de la Ley de Asistencia en Comunicaciones para la Aplicación de la Ley (CALEA).

«Se trata de escuchas telefónicas legítimas que han sido autorizadas por los tribunales», afirma Hong. Pero en manos de los piratas informáticos, dice, las herramientas podrían usarse «para vigilar las comunicaciones y los metadatos de muchas personas. Y parece que el enfoque (de los piratas informáticos) está principalmente en Washington, D.C.»

El FBI dice que el ataque fue mucho más amplio que el sistema CALEA y que los piratas informáticos todavía acceden a las redes de telecomunicaciones. Estados Unidos ha estado trabajando desde finales de la primavera para determinar el alcance de sus actividades. Este mes, la administración Biden dijo que al menos ocho empresas estadounidenses de infraestructura de telecomunicaciones, y posiblemente más, han sido pirateadas por piratas informáticos chinos.

Los piratas informáticos robaron una gran cantidad de metadatos, dijeron el FBI y CISA. En muchos menos casos, dijeron, el objetivo fue el contenido real de las llamadas y mensajes de texto.

Mientras las agencias trabajan para expulsar a los piratas informáticos, el FBI ha pedido a los estadounidenses que adopten un cifrado sólido: un cambio radical, dice Galperin, después de años de insistir en que las agencias encargadas de hacer cumplir la ley necesitan una «puerta trasera» para acceder a las comunicaciones.

Las agencias también quieren que las empresas fortalezcan sus prácticas de seguridad y trabajen con el gobierno para hacer que sus redes sean más difíciles de comprometer.

“Los adversarios a los que nos enfrentamos son tenaces y sofisticados, y trabajar juntos es la mejor manera de garantizar el desalojo”, afirmó el alto funcionario del FBI durante la conferencia de prensa.

En cuanto al riesgo para los consumidores cotidianos, expertos en seguridad como Hong y Galperin dicen que con grandes cantidades de información viajando entre nuestros teléfonos, quieren que las personas obtengan más ayuda para protegerse.

«Creo que es realmente responsabilidad de los desarrolladores de software y de estas empresas tener una privacidad y seguridad mucho mejores de forma predeterminada», afirma Hong. «De esa manera, no se necesita un doctorado para comprender realmente todas las opciones y estar seguro».