Temática: Seguridad digital

Vigilancia Estatal: Los riesgos de los IMSI Catchers

Hace pocas semanas se aprobó en Chile el proyecto de Ley Antiterrorista que actualiza la ley vigente para facilitar nuevos mecanismos de investigación y persecución. La discusión tuvo varios puntos álgidos, como por ejemplo, la ampliación del concepto de delito terrorista incluyendo a individuos sin necesidad de asociación con actividades terroristas. Pero sin duda el apartado que generó mayor debate fue la inclusión del uso de “IMSI Catchers” o “antenas falsas” para el espionaje en el contexto de las investigaciones.

En el marco del espionaje estatal, un IMSI Catcher, Stingray o simplemente una “antena falsa” es un dispositivo electrónico, compuesto por hardware y software, que simula ser una antena de telefonía legítima, pero en verdad no lo es, ya que su objetivo es capturar datos de los dispositivos que estén a su alcance, mediante un ataque de intermediario o MITM (man-in-the-middle), esto es, la instalación de un dispositivo “en el medio” de una comunicación entre personas.

Esto es facilitado por la forma en que funciona la telefonía móvil. El diseño arquitectónico de las redes móviles se basa en la división geográfica en pequeñas áreas o células, cada una cubierta por una o más antenas que reciben y redistribuyen señales. Estas antenas tienen áreas de cobertura que se sobreponen, garantizando así que no haya sectores sin señal. Dado que un dispositivo móvil puede detectar múltiples antenas simultáneamente, utiliza un protocolo para seleccionar aquella con la señal más potente.

En términos generales, las antenas actúan como intermediarios entre los dispositivos móviles y la estación telefónica, donde se generan los enrutamientos de las comunicaciones. Por otro lado, las “antenas falsas” operan de manera similar a las antenas reales, pero se diferencian en quién controla su operación y en el hecho de que pueden ser móviles, no requiriendo una instalación fija. Estas antenas falsas replican los parámetros de identificación de una antena legítima, engañando así a los dispositivos. Uno de los principales mecanismos para captar la señal de los dispositivos es por medio del uso de una potencia de señal mayor a la que presentan las antenas legítimas del sector.

Una vez conectados a una antena falsa, los dispositivos tienen dos posibles cursos de acción, según el propósito de la falsa antena. El primero es la denegación del servicio, y el segundo, actuar como intermediario entre el dispositivo y la red legítima. Esta última opción es más habitual, ya que a la vez que no interrumpe la comunicación, permite la recolección de datos de identificación del dispositivo, como el IMSI (International Mobile Subscriber Identity o Identidad Internacional de Suscriptor Móvil), un número único asignado a cada dispositivo móvil. Poseer el IMSI de un dispositivo facilita su rastreo a través de redes telefónicas legítimas, generalmente mediante una orden judicial conforme a las regulaciones locales. Además, existen varios tipos de comunicaciones que pueden ser captadas o intervenidas como los mensajes de texto pues carecen de cifrado.

A su vez, se ha demostrado que las llamadas realizadas mediante protocolos de la generación 2G pueden ser interceptadas debido a su cifrado débil, como demostró Chris Paget en DEF CON 18. Aunque los protocolos de redes 3G, 4G y 5G utilizan esquemas de cifrado más robustos, una antena falsa aún puede forzar un ataque de degradación de servicio, limitando los dispositivos a conectarse solo a redes 2G. Es decir, forzando a los dispositivos a utilizar protocolos menos eficientes, menos avanzados y menos seguros. Este fenómeno no es inusual dado que algunas redes de telefonía todavía operan bajo este protocolo. Otra vulnerabilidad es la extracción de metadatos: incluso si un dispositivo se comunica a través de protocolos que permiten que la información en tránsito esté cifrada, la antena falsa puede registrar cuando se conecta a un sitio específico, cuando utiliza aplicaciones de mensajería o cuando realiza llamadas.

Problemas plausibles

El uso de tecnologías de “antenas falsas” trae consigo una serie de riesgos asociados. En primer lugar, quien tenga acceso al manejo del dispositivo de interceptación puede utilizarlo sin que exista una contraparte que pueda tener control sobre su uso. En una columna pasada, explicamos el funcionamiento de las interceptaciones telefónicas a través de la infraestructura del proveedor, que por requerimientos legales actúa en la práctica como un agente de registro y control de las interceptaciones solicitadas por los cuerpos investigativos. El control sobre el uso de “antenas falsas” es algo que está muy lejos de quedar bien definido en la nueva ley, tal como expresamos también en conversación con la Radio y Diario Universidad de Chile.

En segundo lugar, debemos enfatizar que se trata de un mecanismo de vigilancia no solo altamente intrusivo, sino también indiscriminado respecto de quienes están cerca del dispositivo. Dentro de la operación de una “antena falsa” es posible captar a todos los dispositivos que estén dentro de su radio de acción y no solamente un dispositivo de interés, afectando la privacidad de personas que no son el objetivo de una investigación. En términos metafóricos esto ha sido ejemplificado como “pesca de arrastre” o “pescar con dinamita” debido a su grosera falta de proporcionalidad.

El tercer gran problema en la disponibilidad de este tipo de tecnologías es la posibilidad de uso dirigido a lugares o grupos con fines de persecución de actividades lícitas, bajo la excusa de aplicabilidad de la ley. Por ejemplo, serviría para poder identificar los dispositivos de personas que participan de una movilización social. Dado que operan dentro de un radio específico, pueden captar todos los dispositivos en un área específica, para eventualmente identificar participantes. Esta factibilidad técnica es preocupante, especialmente considerando precedentes donde se ha solicitado a los proveedores de servicio que entreguen información de los dispositivos conectados en ciertas áreas durante manifestaciones, como ocurrió durante el estallido social en Chile. Asimismo, es concebible su implementación en zonas ya estigmatizadas, como poblaciones en sectores socioeconómicos bajos, así como en regiones donde existen procesos activos de reivindicación territorial por parte de grupos indígenas.

Atrapando al catcher

Sin embargo, no se trata de una tecnología infalible o inevitable. El riesgo de ser interceptado por IMSI catchers puede minimizarse significativamente si se toman ciertas precauciones. Entre las medidas efectivas se incluyen configurar el dispositivo para usar exclusivamente redes 4G, emplear aplicaciones de mensajería y llamadas con cifrado robusto como Signal, y utilizar servicios de VPN o TOR, entre otras.

El uso de “antenas falsas” tiene un gran alcance y potencial en contextos de sociedades donde las personas no tienen un alto grado de preocupación por sus comunicaciones, en especial cuando los niveles de conectividad son tan altos. Me atrevería a decir que actualmente la mayoría de las personas vive de esta forma, lo cual allana aún más el camino para peligrosas prácticas de vigilancia masiva. Pero esto no debería significar una aceptación de que las comunicaciones sean seguras, ni de que el Estado esté siempre a un paso de vigilar todo lo que hacemos. Necesitamos no solamente comprender los riesgos, sino también empujar por cambios en la regulación y en la conducta de los agentes públicos.

MicroSD

MicroSD es nuestra baraja de cartas para jugar en serio con la seguridad digital. Una colección interactiva, física y online, que traduce conceptos complejos en consejos prácticos para periodistas, comunicadoras y cualquier persona que quiera moverse más segura en internet. Con glosarios, visitas guiadas y recursos para descargar, MicroSD es la excusa perfecta para aprender, compartir y poner en práctica la seguridad digital sin enredos.

Conoce el proyecto

Latin America in a Glimpse: Reflexiones para una IA comunitaria y feminista

Descargar PDF

Un informe de Derechos Digitales que explora cómo la IA puede adaptarse a las necesidades y contextos culturales de América Latina, en lugar de imponer modelos extractivistas y coloniales. A través de conversaciones con investigadoras, tecnólogas y activistas de distintos países de la región, analizamos enfoques críticos y metodologías que responden a tres temas: educación, territorio y género.

11 años después de Snowden: ¿Realmente estamos más protegidos?

Edward Snowden era un analista de inteligencia que trabajó para la CIA y la NSA. Al inicio de su carrera consideró que su trabajo correspondía al deber patriótico de defender a su país. Con el tiempo se dio cuenta que era parte de un sistema de vigilancia global secreto que era utilizado incluso para espiar dentro del país. Él consideró que la población de un país democrático debería, al menos, estar enterada de que algo así sucedía. Por este motivo filtró miles de documentos que demostraron lo que sucedía a periodistas que publicaron varios reportajes en importantes medios a nivel global.

En los mismos se pude ver las diversas formas en las que la NSA recolectaba, analizaba y luego utilizaba esta información para operaciones de espionaje alrededor del mundo. [RB1]  En una diapositiva se puede ver las capacidades recolección de información a nivel global a través de un mapa mundi dónde se explica cómo se recolectaba la información desde los cables fibra óptica, a través de embajadas, espiando comunicaciones satelitales, en colaboración con agencias de otros países o mediante ataques informáticos.

Toda esta información recolectada se almacenaba en centros de datos para luego ser accedida a través del sistema XKeyScore. Este sistema funciona de forma parecida a buscadores de internet dónde puedo realizar búsquedas. La diferencia radica en que las búsquedas se las hace sobre información privada. Los documentos muestran que se podían hacer consultas sobre como leer todos los correos electrónicos de persona X, saber quiénes usan correo cifrado en un país determinado, contraseñas de cuentas en línea, entre muchas otras. Básicamente un buscador sobre las vidas privadas de miles de millones de personas, sin ningún tipo de control.

Uno de los programas expuestos que más llamó la atención es el conocido como PRISM ya que involucra a grandes empresas de internet como Google, Facebook, Apple, Youtube, Microsoft, Yahoo, entre otras. Estas empresas tienen plataformas que funcionan como software de servicio, también conocido como “la nube”. Cuando compartes un documento con Google Drive, no solo lo compartes con tus colegas, sino también con Google. Cuando envías un correo usando Outlook, ese contenido es accedido por Microsoft. Si guardas tus fotos en la nube de Apple o de Google sucede lo mismo.

Resultaba lógico entender que estas empresas tendrían acceso a nuestra información para poder brindarnos el servicio. Algunas personas considerábamos que era probable que las empresas se aprovechen de nuestra información. Lo que la gran mayoría no imaginábamos era que además nuestras comunicaciones privadas eran vigiladas por agencias de inteligencia como la NSA. Lo que aprendimos en ese momento fue que, si no eres ciudadano de Estados Unidos y no resides en ese país, la NSA puede acceder a los datos de los servicios de estas empresas para informarse sobre ti. Estamos hablando de llamadas de voz y video, correos electrónicos, chats documentos, fotos, ubicación etcétera.

La recolección de este tipo de información sumada a la capacidad de análisis de la NSA permitieron hacer operaciones de espionaje a lideres mundiales como Angela Merkel, Enrique Peña Nieto o Dilma Rousseff. También existieron operaciones mediáticas para manipular la opinión pública como fue la operación QUITO que promovía una visión favorable para Inglaterra sobre las Islas Malvinas en América Latina.

Esto es un resumen muy superficial de lo que aprendimos hace 11 años. Es importante mirar para atrás y pensar qué cambió desde entonces. ¿Se suprimieron estos programas y ahora nuestra privacidad esta más aseguradas? Personalmente creo que algunas cosas mejoraron y otras han empeorado.

El escándalo de las revelaciones generó una discusión a nivel mundial sobre la privacidad en Internet. Una de las primeras consecuencias fue el Marco Civil de Internet en Brasil dónde se fortaleció la protección de los derechos civiles en internet y en particular la privacidad. En el caso de Europa, esto promovió la discusión de la protección de los datos que personales que en 2017 se vio reflejada en el Reglamento General de Protección de Datos Personales (RGPD). Esta legislación sirvió para que países como Ecuador tengan su ley de protección de datos personales en 2021.

Estas legislaciones son muy positivas y en el caso Europea, incluso se ha llegado a multar a empresas como Google y Meta (antes Facebook). Sin embargo, no es suficiente ya que si bien estas legislaciones buscan el consentimiento informado  para el tratamiento de datos personales, en la práctica se traduce como una incómoda ventana dónde se nos pide aceptar la política de privacidad y gestionar las configuraciones de cookies. En la práctica la mayoría de personas aceptan los términos y probablemente todas las cookies.

En lo tecnológico el cambio fue mayor. Antes de las revelaciones de Snowden la mayoría de sitios web funcionaban bajo el protocolo inseguro de HTTP.  En 2015 la EFF en colaboración con otras organizaciones y empresas lanzaron la iniciativa de Letsencrypt que hizo que la implementación de sitios web con el protocolo seguro HTTPS sea accesible para cualquier sitio o aplicación web. Gracias a esta iniciativa hoy casi todos los sitios y aplicaciones que usamos en Internet cifran la comunicación. De esta manera se puede presumir que parte importante de los programas de recolección de información de la NSA quedaran obsoletas. Esta característica no solo nos protege de la NSA, sino de cualquier actor con malas intenciones, desde un ciber criminal a Estados.

Sin duda una mejora importantísima para la seguridad de las comunicaciones de todas las personas que utilizamos internet. No obstante, esto no nos protege del espionaje de programas como PRISM, ya que la información que utilizamos en servicios en la nube generalmente es accesible por las empresas que proveen el servicio como se mencionó anteriormente. Personalmente creo que la situación ahora es peor.

Durante estos 11 años la NSA ha seguido trabajando en secreto y sus capacidades tecnológicas debieron mejorar. Pero la debilidad más fuerte es que empresas mencionadas en PRISM siguen siendo parte esencial de nuestras vidas. Nuestros teléfonos celulares si no funcionan con Android de Google, funcionan con el iOS de Apple. Los sistemas de reconocimiento de voz como Siri, Hey Google o Cortana son todos provistos por empresas PRISM. Por citar dos ejemplos. 

Otro avance importante que tenemos desde las revelaciones de Snowden es la adopción del cifrado extremo a extremo. A diferencia del cifrado de tráfico en la red, con este podemos proteger el contenido de la información incluso de la empresa que provee el servicio. Si ciframos un correo de Gmail, incluso Google no lo podría leer.

Si bien el cifrado de correo electrónico existe hace más de una década, su adopción es marginal. El caso más importante es la adopción de cifrado extremo a extremo es la de WhatsApp en 2016 que permitió a miles de millones de personas cifrar sus mensajes.

Claro que no podemos olvidar que WhatsApp es una empresa de Meta (antes Facebook), que está involucrada en el programa PRISM. La aplicación es de código propietario y no se puede saber cómo está hecha por lo que podría tener una puerta trasera. Incluso me atrevería a decir que tiene una puerta delantera cuándo en las conversaciones de la aplicación tenemos la opción de que participe la inteligencia artificial de Meta. Es una forma cool de pedirnos acceso a nuestras conversaciones.

Otro gran avance que hemos tenido es el desarrollo de aplicaciones de software libre que nos permiten controlar nuestra información.  Existen aplicaciones de chat, correo electrónico, colaboración, edición de documentos y más. En Derechos Digitales, por ejemplo, utilizamos Matrix como nuestro sistema de chat, Nextcloud para compartir documentos, OnlyOffice  para editarlos, Jitsi y BigBlueButton para video llamadas. Ninguna de estas aplicaciones es perfecta, algunas pueden llegar a ser incómodas o fallar en cuestiones que no quisiéramos, pero nos permiten tener agencia sobre nuestros datos y privacidad.

Snowden nos hizo saber que vivimos en una máquina de vigilancia y que estamos perdiendo nuestra privacidad. Ahora como sociedad debemos decidir si queremos seguir atrapados en este sistema o buscamos alternativas. En próximas columnas reflexionaré sobre algunas herramientas que usamos de forma cotidianas y las alternativas que respetan nuestra privacidad. Por lo pronto comparto columnas que escribí sobre aplicaciones de chat, teléfonos móviles, redes sociales y herramientas de video conferencia.

Ciberseguridad: más allá de la concientización

Octubre marca nuevamente el Mes de la conciencia sobre la ciberseguridad, una oportunidad anual para destacar la importancia de la seguridad digital. Pero lejos de ser un tema técnico, la ciberseguridad ha pasado a ser una prioridad social y política.

Los ataques cibernéticos cada vez más sofisticados y el creciente uso de tecnologías emergentes, como la inteligencia artificial (IA), han traído nuevas complicaciones. En un contexto global donde aparecen nuevos marcos regulatorios y estrategias, los incidentes cibernéticos en América Latina son un recordatorio constante de que la región necesita mejorar su capacidad para prevenir y mitigar ataques.

Ataques sin fin en América Latina

El último año ha dado una nueva serie de ejemplos de incidentes de alto perfil, una vez más con el ransomware como protagonista. Uno de los incidentes más devastadores ocurrió en septiembre de 2023 en Colombia, en un ataque dirigido a IFX y que afectó a decenas de entidades gubernamentales, paralizando desde procesos judiciales hasta el acceso a prestaciones de salud. El impacto de este ataque además se extendió a Argentina, Panamá y Chile. Un mes después, otro incidente afectó a órganos públicos y privados en Chile y Perú, otra vez mediante ransomware. Son noticias que seguirán repitiéndose sin nuevas medidas frente a amenazas constantes y complejas. Distintos estudios dan cuenta de la frecuencia de ataques en empresas privadas como de la limitada preparación en el sector público de la región.

Es en ese escenario que se vuelve especialmente valioso el avance de políticas nacionales sólidas, donde cabe mencionar el hito crucial de la promulgación de la Ley Marco de Ciberseguridad y Protección de Infraestructuras Críticas de Chile. Esta ley establece a la Agencia Nacional de Ciberseguridad (ANCI) como la autoridad encargada de regular y proteger los servicios esenciales frente a ciberataques. Este tipo de legislación, pionera en la región, subraya la urgencia de contar con marcos sólidos en un momento en que las amenazas no solo aumentan en número, sino también en complejidad. Pero ante amenazas que suelen ser transnacionales, es necesario no solo que existan marcos efectivos en todos los países, sino también instancias suficientes de colaboración.

Un mundo en busca de la seguridad digital

El contexto diplomático global en torno a las tecnologías ha estado marcado por el Grupo de Trabajo de Composición Abierta sobre la seguridad en el uso de las TIC (el OEWG), que en su informe anual de progreso ha puesto énfasis en las implicaciones de tecnologías avanzadas usadas contra la seguridad en el ciberespacio, incluyendo a la inteligencia artificial y la computación cuántica, en atención a su potencial para fortalecer o debilitar la ciberseguridad global. Contrastan allí los tensos debates que incluyen países en conflicto geopolítico, con la participación voluntariosa de Estados que procurará mejorar sus capacidades frente a las amenazas digitales.

En el documento de consenso entre Estados, algunos puntos clave incluyen: elementos acordados para un futuro mecanismo de diálogo tras el fin del OEWG, basado en consenso; el futuro debate de la posibilidad de un fondo voluntario para apoyar la capacitación de los Estados; la existencia de deberes de los Estados bajo normas voluntarias, derecho internacional y medidas de fomento de la confianza; y la continua operacionalización de un directorio de puntos de contacto. Por otra parte, a un año del término del OEWG, no hay consenso sobre la aplicabilidad directa al ciberespacio del derecho internacional y el derecho internacional humanitario, ni sobre la necesidad de nuevas normas no vinculantes.

No obstante, es otro suceso el que acapara hoy mayor atención. El término de las negociaciones del Tratado de Cibercrimen de la ONU, y el inicio del proceso para su votación por la Asamblea General de la ONU, constituye un suceso que parecía esquivo a inicios del año. En teoría, el propósito del tratado era el de establecer un marco global para combatir delitos cibernéticos y la cooperación en su persecución. Pero conocemos los peligros de la implementación de un tratado como este, que arriesga facilitar la criminalización de actos distintos de los ciberdelitos además de aumentar la vigilancia estatal sin salvaguardas adecuadas para los derechos fundamentales. En países con antecedentes de abusos en el uso de tecnologías de espionaje, existe el peligro de que el tratado refuerce prácticas invasivas y represivas, en lugar de fomentar la seguridad centrada en los derechos humanos. El llamado al rechazo del tratado viene no solamente desde la sociedad civil, sino también de industria y expertos de todo el mundo. Una defensa integral del ciberespacio, y de los derechos que facilita su funcionamiento seguro, puede verse mermada por iniciativas que arriesgan convertirlo en un ámbito de censura y vigilancia autorizada por ley.

Sin falsos dilemas: la seguridad es necesaria para los derechos

El 2024 ha sido un año de enormes desafíos y oportunidades en el ámbito de la ciberseguridad para América Latina. Mientras algunos países han avanzado significativamente en la implementación de marcos regulatorios, la región en su conjunto sigue siendo vulnerable. Un desafío clave es el impacto de las tecnologías emergentes y disruptivas, que fueran objeto de discusión en el X Simposio de Ciberseguridad de la OEA. La rápida adopción de tecnologías como IA en sectores críticos trae consigo riesgos importantes, especialmente en una región con limitaciones de recursos y falta de personal capacitado que permitan oportuna y efectiva respuesta a incidentes.

Por otra parte, la conclusión del Tratado de Cibercrimen de la ONU puede ser un punto de inflexión: de llegar a aprobarse y ratificarse, ¿se logrará un equilibrio entre la necesidad de seguridad y la protección de los derechos humanos? Si bien el tratado promete mejorar la cooperación internacional en la investigación de delitos cibernéticos, el riesgo de que sea mal utilizado para aumentar la vigilancia sin suficientes restricciones legales es una preocupación clave en la región.

La ciberseguridad es una condición que favorece el pleno ejercicio de los derechos humanos en el entorno digital, y por tanto es una materia en la que todas somos responsables en alguna medida. El camino hacia una mayor seguridad digital en América Latina exigirá no solo leyes más sólidas, sino también una cooperación regional más profunda, un diálogo intersectorial efectivo y un enfoque firme en la protección de los derechos fundamentales. Y esa necesidad de cooperación es parte esencial de la conciencia sobre la ciberseguridad.

Puertas cerradas y llaves seguras: Seguridad informática en infraestructura Cloud

Correo electrónico, Netflix, Google, Instagram y la mayoría de las aplicaciones más populares hoy en día tienen sus operaciones alojadas en la “nube”, una solución que vino a cambiar la forma de ver la infraestructura donde se despliegan las aplicaciones informáticas. El cloud computing es el acceso bajo demanda a recursos de computación a través de Internet con precios de pago por uso.

Considerando que, según Cloud Industry Forum (CIF), el 100% de las empresas utilizan algún tipo de servicio cloud, en sus diversos tipos, el impacto de fallos de seguridad en sus aplicaciones comprometería los servicios y los datos de sus miles de personas usuarias. Antes de ver algunos de los puntos críticos de este modelo de negocio, corresponde entender las categorías en las que se puede clasificar, mismas que se describen brevemente a continuación:

  • Infraestructura como Servicio (IaaS, siglas del inglés Infrastructure as a service): Disponibiliza recursos de infraestructura virtualizados, como almacenamiento y servidores. La seguridad en IaaS es responsabilidad directa y completa de quién instala las aplicaciones, así como la protección de los datos. Este es un modelo más autónomo y de gestión total por quien contrata el servicio.
  • Plataforma como Servicio (PaaS, siglas del inglés Platform as a service): Facilita plataformas para gestionar aplicaciones en sus diferentes niveles (desarrollo, pruebas y producción), proporcionando herramientas y servicios adicionales tales como monitoreo y logs. La seguridad de la aplicación y de los datos corresponde a quien adquiere el servicio mientras que el acceso a la plataforma y su seguridad relacionada corresponde al proveedor del servicio. Este es un modelo muy popular a nivel empresarial, y entre sus máximos representantes se encuentran AWS, Google y Azure.
  • Software como Servicio (SaaS, siglas del inglés Software as a service): Una nueva forma de hacer software y proveerlo. Estas son aplicaciones listas para usar que se ejecutan en la nube. La seguridad de los datos y el acceso son responsabilidad de quien gestiona el servicio y disponibiliza el software. Servicios como correo electrónico y redes sociales responden a este modelo de servicio. 

Ahora bien, independientemente de si se gestionan servicios en la nube a nivel corporativo o para una organización de la sociedad civil, de tipo público o privado, es importante tener presente que la seguridad siempre será un punto que cuidar, aún más considerando que el 80% de los riesgos de seguridad están presentes en entornos cloud. Desde la gestión de acceso y monitoreo hasta la mitigación de impacto de los fallos de seguridad en un entorno de producción.

Según la revista Portafolio, los errores humanos siguen siendo un punto de fallo con un 31% en las causas, junto a la explotación de vulnerabilidades conocidas que se llevan un 28% y la falla en la configuración de MFA (múltiples factores de autenticación) que tiene un 17%. A esto se suma el incremento del 27% en ataques ransomware, durante el primer semestre del 2024; este es un tipo de malware que mantiene como rehenes los datos o el dispositivo de la víctima como un modelo de extorsión que busca un “recompensa” por liberar la información o servidores comprometidos.

Entre los múltiples desafíos a enfrentar en la gestión de infraestructura cloud se puede citar el acceso no autorizado, sean cuales sean los medios que usen los atacantes para conseguir credenciales de inicio de sesión. Ante esto, Ola Bini, director técnico en el Centro de Autonomía Digital, recomienda ejecutar acciones de gestión de listas de acceso, implementación de MFA, utilizar contraseñas fuertes que sean cambiadas periódicamente y aplicación del principio de mínimo privilegio en los permisos de usuario. Por supuesto, cuidar del acceso del rol administrador y usarlo cuando las operaciones a ejecutar, así lo ameriten.

La vulneración de puertos (puertas de entrada y salida para el tráfico de red) no se queda atrás cuando se trata de ingresar a los sistemas. Profesionales del área pueden hacer un escaneo de puertos abiertos e identificar servicios que están siendo utilizados para insertar fragmentos de código que ejecuten peticiones hacia un servidor. Frente a esto, Rafael Bonifaz, líder de proyecto LAREDD en Derechos Digitales, menciona la importancia de hacer una gestión de red crítica que evalúe la necesidad de tener un puerto disponible o no, esto en base a lo que se requiera permitir acceso. Asimismo, los sistemas que sirven para que una aplicación funcione, pero que no tienen comunicación directa con el usuario final, deberían tener una configuración de red diferente a aquellos servicios que reciben peticiones desde el exterior.

¿Saber qué está pasando ayuda a atacar el problema? Sin un monitoreo adecuado, las brechas de seguridad podrían pasar sin ser notadas durante largos periodos de tiempo. Según un reporte de IBM, el tiempo promedio para detectar brechas es de 207 días y mitigarlas puede ascender a 277 días. Centralizar y analizar logs así como utilizar herramientas de monitoreo en tiempo real y automatizar el envío de alertas no se ven más como acciones opcionales, sino como necesidades persistentes.

El activo más valioso a día de hoy, los datos, son un punto atractivo hacia el cual pueden apuntar los ciberdelincuentes. En una recopilación publicada en Sealpath, se documenta que para el 2023 “más del 50% de víctimas de ransomware pagaron al menos $100000 USD”. Además, en Latinoamérica, cerca del 62% de las empresas reconoce haber sufrido filtración de datos. Muchos de los datos son almacenados en la nube tal como son recolectados, es decir, sin medidas de cifrado, lo que da como resultado una creciente necesidad por la implementación de políticas de encriptación de datos con llaves seguras, retención y eliminación de datos de forma confiable, así como una clasificación por grado de criticidad.

Con estos y muchos otros puntos críticos, las capacidades técnicas requieren cada vez más especialización, así como la implementación de normas que den lineamiento sobre las medidas de seguridad necesarias. Varias de las empresas que proveen PaaS deben alinearse al Cumpliemiento de la Nube, que son una serie de estándares internacionalmente reconocidos que intentan que los proveedores estén en la capacidad de ofrecer condiciones de seguridad.

Con esto han ido emergiendo guías y tendencias de medidas de seguridad y buenas prácticas que se ejecutan durante todas las etapas de la producción de soluciones informáticas. Un ejemplo de esto es AppSec, que se refiere al proceso de identificar y reparar vulnerabilidades en el software desde su desarrollo hasta su despliegue. DevSecOps es un proceso que une acciones de desarrollo, seguridad y operaciones a lo largo del ciclo de vida de un sistema. A esto se suman varios puntos a validar antes de lanzar un servicio SaaS, como pruebas de seguridad de aplicaciones estáticas (SAST), dinámicas (DAST) e interactivas (IAST). Incluso, algunos sistemas basan sus controles de seguridad en la recopilación de vulnerabilidades Owasp Top Ten.

El desafío de la gestión de seguridad en la infraestructura cloud aplica a todos quienes desarrollen y desplieguen sus servicios pensando en entornos virtuales. Aunque, posiblemente, el reto más grande es para quienes optan por IaaS, ya que el tipo de servicio no incluye varios de los complementos de seguridad como pasa en PaaS. El BigData y su valor en el mercado hace que sea cada vez más imperativa la necesidad de cuidar la integridad de los datos, así como cualquier posibilidad de acceso no autorizado.

La confiabilidad de un sistema o aplicación está sujeta a su disponibilidad y resiliencia ante fallos y ataques, lo que obliga a establecer medidas de mitigación de puntos de quiebre con respuesta rápida. La cifras de vulneraciones hacen que la veracidad se cuestione, sin embargo, la necesidad de soluciones con más cobertura y horas de funcionamiento hace que la tendencia a servicios basados en la nube crezca cada vez más. Es un hecho que el uso de cloud no disminuirá, por lo que resta cuidar la seguridad en estas infraestructuras, aplicando estándares y buenas prácticas.

En resumen, la seguridad en infraestructura cloud es un campo en constante evolución que requiere tanto de medidas técnicas avanzadas como de un monitoreo continuo para mitigar los riesgos inherentes. A medida que las empresas y organizaciones de todo tipo continúan migrando hacia la nube, la adopción de buenas prácticas de seguridad y el cumplimiento de estándares internacionales serán clave para garantizar la protección de los datos y la resiliencia de los sistemas frente a amenazas cada vez más sofisticadas.

La amenaza persistente de la censura en Internet y cómo evadirla

Cuándo nos conectamos a algún servicio en internet, nuestra comunicación atraviesa varias computadoras conocidas como ruteadores. El primer dispositivo al que nos conectaremos es el ruteador de internet de nuestra casa – si lo hacemos a través de internet fijo – o la antena de telefonía celular, si lo hacemos con internet móvil. Luego, la comunicación sigue a través de otros dispositivos en la red del proveedor de internet y de otros proveedores de comunicación hasta llegar al destino. En cualquiera de estos sitios se podría filtrar el contenido de nuestras comunicaciones.

Cuando un Estado quiere bloquear contenidos o aplicaciones, una posibilidad para concretarlo es obligar a los proveedores de acceso a internet – también conocidos como ISPs por sus siglas en inglés – a hacerlo en su favor. Dado que el ISP es responsable por conectar una computadora de origen a un sitio web ubicado en una computadora de destino, basta que este intermediario no efectúe la comunicación para que el sitio quede inaccesible.

Otra forma de bloqueo se da a partir de modificaciones en los registros de nombres de dominio (DNS), el que asocia dispositivos físicos a nombres y números que lo permiten ubicar en la red. Estas no son las únicas formas de operar la censura en Internet, sobre el funcionamiento técnico y las estas estrategias de bloqueo hablamos en otra columna.

El diseño de Internet implica que los proveedores de Internet sepan quién solicita el acceso a un sitio y la dirección IP de destino. Con esta información es posible operar la conexión, pero también la censura. Cuando estos registros se almacenan por periodos largos de tiempo, sea por requisitos técnicos o legales, puede facilitar prácticas de vigilancia, una vez que esos datos permiten identificar patrones de acceso por parte de usuarias específicas. Por eso, el uso de herramientas para evadir la censura en muchos casos también sirve para proteger la privacidad de las comunicaciones.

Evadir la censura

Una primera medida de protección contra la censura son las redes virtuales privadas, o VPNs. Esta tecnología permite generar un canal cifrado desde nuestros dispositivos hasta uno de los servidores de VPNs que, por su vez, nos irá dirigir al destino deseado. El ISP solo podrá ver que existen conexiones cifradas a ciertas direcciones IPs de las VPNs, pero no sabrá hacia donde esta nos está direccionando o el tipo de actividad que se está realizando. De este modo, salvo que los ISPs empiecen a bloquear las VPNs o que las mismas VPNs bloqueen determinados contenidos, no será posible impedir el acceso.

El colectivo Riseup provee desde hace mucho tiempo la VPN RiseupVPN que se puede utilizar de manera gratuita y sin entregar datos de registro. En la coyuntura actual de Venezuela proveedores de VPN como ProtonVPN y TunnelBear están ofreciendo acceso gratuito a sus servicios si la conexión proviene de Venezuela.

Si mucha gente empieza a utilizar estos servicios, entonces el Estado podría intentar bloquear las VPNs. Se podría intentar con otras que no están mencionadas acá y seguir jugando el juego del gato y el ratón. Otra opción es aprovechar el hecho de que la tecnología de VPNs se basa en estándares abiertos, lo que permite a otros proveedores implementar VPNs propias de forma autónoma con software libre. Lo que se necesita para esto es un servidor virtual (VPS) que se puede contratar por un costo bajo y alguien con conocimientos de Linux.

Outline es una solución sencilla que nos permite implementar nuestros propios servidores de VPN de manera fácil y segura. Al usar una solución como esta se tendría un servicio que sería menos visible que el servicio de VPNs conocidas pero se requieren ciertos conocimientos técnicos. Una vez implementado el servidor es fácil conectarse desde computadoras o celulares.

Otra opción para evadir la censura es la red de anonimato Tor. Para acceder a este red no es necesario pagar ni entregar datos personales. Al igual que las VPNs, Tor se puede instalar en teléfonos celulares y computadoras. La forma más común de acceder a la red es a través del navegador Tor, disponible para computadoras y celulares Android, en el caso de Iphone se puede usar el navegador Onion Browser.

Mediante este navegador se puede evadir la censura de sitios web, pero no es tan evidente su uso para evadir el bloqueo de aplicaciones como Signal o WhatsApp. En el caso de celulares, existe la aplicación Orbot que funciona de forma similar a una VPN, pero con la red Tor. En este caso se podría conectar Orbot a la red Tor y decirle que ciertas aplicaciones funcionen a través de esta aplicación. De esta manera se podría utilizar Signal, WhatsApp, X o cualquier otra aplicación.

Estas son algunas soluciones para evadir la censura en Internet, pero no son las únicas. Como documentado en años anteriores, incluso en el caso de Venezuela, es posible a los operadores bloquear incluso el acceso a la red de Tor. Así, es recomendable probar más de una opción por si el Estado llegara a bloquear una de estas, se puede usar otra.

Documentar la censura del Internet

La censura en Internet normalmente está asociada con acontecimientos que suceden en la sociedad. En el caso de Venezuela tiene que ver con las elecciones, pero se han registrado bloqueos de comunicaciones en otros países de la región durante eventos de conmoción social.

El proyecto OONI es una herramienta de software libre que se puede instalar en nuestros teléfonos o computadoras para que realice pruebas recurrentes a sitios web y aplicaciones y así identificar si estas están bloqueadas. Los datos recolectados pueden ser subidos a OONI para ser accesibles por investigadores a través de su explorador.

El uso de OONI es simple y hace unos años publicamos una guía sobre como hacerlo. Es importante tener cuidado y estar atentos a los riesgos que podemos tener al monitorear bloqueos de Internet, debido a que algunos países restringen este tipo de actividad.

En el caso de Latinoamérica hay organizaciones que utilizan OONI y herramientas similares para detectar bloqueos. Nos gustaría destacar el trabajo de organizaciones como Conexión Segura y Libre (antes Venezuela Inteligente) con su proyecto VEsinFiltro donde documentan bloqueos a Internet en este país. En Colombia se encuentra la Fundación Karisma con el Observatorio de Bloqueos de Internet en dónde han publicado una guía para investigar de bloqueos de Internet.

Internet es una herramienta esencial para poder informarnos, pero también para ejercer un conjunto de derechos fundamentales, como a la educación, la salud, entre muchos otros. La censura de sitios y aplicaciones afecta directamente el ejercicio de estos derechos, además de limitar la libre expresión y asociación en momentos de crisis política, como observamos ahora en Venezuela. Poder documentar estos casos es de suma importancia para denunciar abusos, desarrollar mejores estrategias para evadirlos y también para exigir comunicaciones libres.

La red es vulnerable a ser censurada, y necesitamos seguir presionando agentes públicos y privados a que atenten a sus obligaciones internacionales de mantener la integridad de Internet. Por otro lado, su naturaleza abierta permite que tengamos herramientas para poder evadirla. Es recomendable aprender a usar estas herramientas incluso si en nuestro país no existen bloqueos aparentes, ya que para cuando existan estaremos listas para seguir comunicándonos y accediendo a información relevante.

Análisis forense automatizado: como funciona la intrusión de los Estados en nuestros dispositivos


Autoridades de varios países de América Latina han utilizado la herramienta de Cellebrite para investigaciones judiciales en lo últimos años. El sistema facilita el proceso de análisis de datos contenidos en aparatos móviles, considerando dispositivos que tienen cada vez mayor capacidad de almacenamiento – lo que se traduce en un problema a la hora de realizar una revisión manual.

Entre los casos de uso registrados por la prensa en los últimos años está el de Chile, donde la Fiscalía Nacional  recientemente lo ha utilizado en una investigación sobre tráfico de influencias sobre el dispositivo del abogado Luís Hermosilla; Perú; Argentina, en el contexto de la investigación del atentado contra la ex-Presidenta Cristina Kirchner; Brasil, donde estudios recientes apuntan a un uso indiscriminado de este tipo de herramientas, entre otros.

El uso de este tipo de software es conocido como una forma de hackeo gubernamental, toda vez que permite la vulneración de los recursos de seguridad de dispositivos o aplicaciones personales. El uso de técnicas de este tipo requiere un conjunto de salvaguardias para que sea legítima y genere pruebas válidas en un proceso judicial.

Si bien en Latinoamérica no hay reportes de uso de la herramienta fuera de un contexto supuestamente legal, sí existen varias denuncias en otras regiones respecto a abusos contra periodistas y la ciudadanía, según se declara en el portal especializado Segu Info. Además, muchas veces, la utilización se da en ausencia de reglas específicas que den cuenta de los criterios para la implementación de técnicas de hackeo gubernamental.

La arquitectura y funcionamiento de un dispositivo móvil

Los dispositivos móviles actuales, teléfonos inteligentes y tabletas, poseen una arquitectura muy similar a la de un computador. Dentro de sus componentes podemos encontrar algunos elementos centrales como lo son: contar con un procesador (CPU), memoria volátil (RAM) y almacenamiento interno. Además, cuentan con una serie de otros componentes que pueden ser opcionales en un computador como cámaras, GPS, entre otros.

Desde la arquitectura de software tenemos principalmente dos sistemas operativos: Android y iOS, ambos con raíces en sistemas Unix/Linux, pero al que se han añadido capas de componentes propietarios, además de aplicaciones de terceros conocidas comúnmente como “Apps”. Tanto el sistema operativo como las aplicaciones guardan información dentro del dispositivo con distintos niveles de detalle y en algunos casos adjuntando metadatos como fecha y geolocalización.

En términos generales, el funcionamiento de un dispositivo móvil se basa en la ejecución del sistema operativo, que controla las funciones base y gestiona el funcionamiento de las distintas aplicaciones. Al igual que en un computador, las aplicaciones están alojadas en la memoria interna, durante su ejecución se cargan en la RAM y funcionan por medio del procesador. Los archivos almacenados en el almacenamiento interno, al ser utilizados, también son cargados en la RAM.

Es importante mencionar que la RAM se utiliza como intermediaria entre al almacenamiento interno y el procesador pues es, en órdenes de magnitud, mil veces más rápida que el almacenamiento interno. Su característica es que no almacena los datos o archivos de forma permanente. Es por ello, por ejemplo, que cuando reabrimos una aplicación luego de reiniciar un dispositivo no volvemos al punto exacto donde estábamos, sino a su estado inicial.

Las herramientas de análisis forense digital: caso UFED

Junto a la aparición de sistemas computacionales se han desarrollado técnicas de investigación sobre los mismos, en particular buscando atender a las necesidades de autoridades policiales y judiciales. Más allá de la revisión manual a partir del acceso físico a un dispositivo, se han desarrollado herramientas para el análisis específico de los distintos espacios de memoria, permanentes y volátiles, en ciertos sistemas. Las herramientas de análisis forense actuales están un peldaño más arriba: ellas automatizan el proceso extracción de datos otorgando opciones para analizar muchos sistemas en sus distintos componentes de almacenamiento de datos.

Si bien tanto Android como iOS cuentan con medidas de seguridad ante un intento de intrusión, lo cierto es que las herramientas de análisis forense han ido generando métodos para poder lidiar con ellos. Esto resulta en una especie de guerra armamentista donde los desarrolladores de los sistemas operativos van mejorando la seguridad de los mismos mientras los desarrolladores de las herramientas de análisis forense las van derribando.

Actualmente, las herramientas UFED son capaces de desbloquear un dispositivo iOS o Android protegido con contraseña o PIN en la mayoría de los casos. Además tiene la capacidad de acceder a contenidos cifrados. La extracción de datos se puede realizar de distintas formas:

a. Extracción física: esta técnica consiste en generar una copia de todo el sistema de memorias sin detenerse a revisar el contenido en dicha etapa. Funciona como un respaldo total del sistema y puede ser utilizado para su posterior análisis.

b. Extracción lógica: se refiere a la extracción específica de datos almacenados en el dispositivo tales como contactos, registro de llamadas, mensajes de texto, imágenes, documentos, correos electrónicos, datos de geolocalización y conversaciones en sistemas de mensajería cifrada (como por ejemplo Whatsapp o Signal).

c. Extracción de respaldos: esta técnica consiste en la recuperación de copias de seguridad almacenadas en la nube y se puede aplicar a las distintas aplicaciones y sus distintas fuentes de almacenamiento de respaldos.

Dentro del proceso de extracción de datos, las UFED pueden recuperar archivos ocultos o eliminados. Cabe mencionar que cuando borramos un archivo este no se borra efectivamente desde el espacio de memoria, lo que sucede es que el sistema operativo genera la instrucción de marcar como disponibles para escritura los bloques de memoria que utilizaba el archivo y que, mientras dichos bloques no sean reescritos, el archivo será recuperable con las herramientas adecuadas.

Otra de las funcionalidades que poseen estas herramientas es la de poder hacer una copia de la memoria volátil. Con acceso al dispositivo encendido puede realizar una copia de todo aquello que está almacenado en dicha memoria, como aplicaciones, datos, imágenes, etc.

Luego del proceso de extracción, es posible generar análisis que van desde el ordenamiento, hasta el filtrado y clasificación de los datos, facilitando la identificación de información relevante. Desde una mirada general, las herramientas UFED permiten automatizar la extracción de datos e información de un dispositivo móvil.

A pesar de estas funcionalidades, las UFED han también estado sujetas a algunas gritas en su funcionamiento. En abril del 2021 Moxie Marlinspike, creador de Signal y reconocido criptógrafo, demostró que era posible explotar algunas vulnerabilidades de las herramientas de compañía Cellebrite generando que la aplicación deje de funcionar. Ya en 2023, en 2023 la empresa israelí sufrió un ataque que concluyó con la filtración de 1.7 TB de datos relacionados a sus productos.

¿Qué hacer ante el uso de este tipo de tecnologías?

Si bien el análisis forense de dispositivos puede estar amparado legalmente, es importante entender que estas herramientas también pueden ser utilizadas de forma incorrecta y que las normativas nacionales no siempre están alineadas a los estándares internacionales en la materia. Además, casos de intrusión estatal abusiva con técnicas más o menos refinadas a las comunicaciones de defensoras y defensores de derechos humanos y periodistas no son excepcionales en la región.

Por otra parte, la extracción o copia de datos y su almacenamiento por instituciones gubernamentales por largos periodos genera una ventana de ataque que puede terminar con la fuga de datos privados de las personas investigadas exponiendo así su vida íntima.

Ante esta inquietud, algunas medidas pueden ser tomadas con el fin de minimizar una intrusión excesiva a las comunicaciones por medio de herramientas de análisis forense:

  • Prevención: hay muchas medidas preventivas que se pueden adoptar, entre ellas compartimentar la información y, de ser posible, no utilizar un mismo dispositivo para almacenar todo, ya sean conversaciones por mensajería, imágenes o documentos.
  • Utilizar mensajes desvanecientes: las funciones disponibles tanto Signal como Whatsapp de configurar los chats individuales y grupales con mensajes desvanecientes ayuda a minimizar el almacenamiento de datos sensibles. Este tipo de mensaje tiene un tiempo de caducidad y luego se borra de forma automática.
  • Uso de contraseñas: el uso de contraseñas seguras de acceso al dispositivo puede frenar el acceso en algunos casos. Además aplicaciones como Signal o Whatsapp tienen la posibilidad de ser bloqueadas a través de contraseña, con lo que se genera una nueva barrera en caso de que la versión de tú teléfono no esté soportada en la versión de la herramienta forense.
  • Eliminar archivos de forma segura: para asegurarse de que un archivo fue eliminado efectivamente de un dispositivo es necesario utilizar una aplicación específica. Existen varias herramientas que cumplen esta función y sobreescriben los espacios de memoria liberados con datos aleatorios, de forma que no se puedan recuperar los contenidos. IShredder una de las más utilizadas.

Garantías necesarias

Más allá de las posibles medidas de protección, es difícil detectar un ataque de este tipo de herramienta. Además, sabemos que en la realidad mucha de nuestras comunicaciones personas y para fines de activismo dependen del uso de dispositivos móviles y sus aplicaciones – lo que no significa que entregamos con eso un permiso a las policías para acceder a toda nuestra vida privada. El uso de herramientas de análisis forense automatizado por parte de los Estados requiere un conjunto de procedimientos que aseguren su legalidad y legitimidad. En ningún caso ellas deben ser utilizadas sin un marco legal específico y que atienda a los estándares internacionales de derechos humanos.