Guía para proteger tu móvil de oídos y ojos indiscretos (y software espía)

Pegasus ha dejado de ser un animal mitológico en nuestra mente. Investigaciones hechas por Citizen Lab y Amnistía Internacional han revelado la presencia de este avanzado software espía del NSO Group en los teléfonos de políticos, activistas, disidentes y gobernantes en 50 países. El problema no se queda en la vigilancia, y proteger el móvil puede significar proteger la integridad física. Un análisis de Forensic Architecture, un grupo de investigadores de la Universidad de Londres, lo vincula a más de 300 actos de violencia física. Está aún muy cerca el caso de Yamal Khashoggi, el periodista descuartizado en el consulado saudí en Estambul, cuya pareja tenía instalado Pegasus en su teléfono meses antes del asesinato.

No hay sistema 100% seguro, dicen unánimemente los expertos: en todo software puede haber vulnerabilidades que hacen que en algún momento alguien las descubra y pueda explotarlas. Aunque los desarrolladores van haciendo parches y mejoras con las actualizaciones, durante el tiempo en el que estas puertas están abiertas ocurren intrusiones. 

Una de ellas es la que descubrieron los ingenieros de WhatsApp cuyo rastro llevaba hasta direcciones IP vinculadas a propiedades y servicios web utilizados por NSO, la compañía de Pegasus. Este software espía también ha utilizado otras vulnerabilidades en iOS y en Android, y sabemos que se vale del phishing para engañar a los usuarios.

Cómo evitar espías

La cadena de la seguridad tiene muchos eslabones, y el ser humano es el más débil de ellos. De nada sirve que utilices una app de mensajería que cifra tus mensajes si usas una contraseña demasiado fácil, si dejas tu móvil sin bloquear en cualquier sitio, o haces click en un enlace engañoso que te envía un desconocido vía SMS. Aquí van algunos consejos para añadir capas a la seguridad de nuestro dispositivo móvil y protegerlo de software espía:

Cuida la puerta: ojo con enlaces desconocidos

No hay programa que pueda hacer algo en tu móvil sin instalación y sin permisos. El problema es que se instalan y no nos damos cuenta. La mayoría de las veces lo hacen a través de enlaces engañosos en los que haces click pensando que son otra cosa, un tipo de engaño digital llamado phishing. 

En el caso del espionaje a independentistas catalanes, se utilizaron SMS que simulaban ser de Hacienda o la Seguridad Social. También se han enviado emails con la apariencia de ser entradas al Mobile World Congress o tramitaciones del Registro Mercantil de Barcelona. Cuando el phishing es más sofisticado y dirigido casi artesanalmente a su objetivo se denomina “spearphishing”. En Newtral hemos escrito un decálogo con las pistas que hay que observar para evitar caer en ataques de phishing y proteger tu móvil, y una lista de recomendaciones a seguir si ya has caído.

Contraseñas seguras  

Un refrán conocido en ciberseguridad dice que a las contraseñas hay que tratarlas como a la ropa interior: no se deben compartir, no deberían estar a la vista de todo el mundo y hay que cambiarlas regularmente. Además hay otras recomendaciones en torno a ellas a tener en cuenta: 

• deben ser largas: según 1password, una clave de 11-15 caracteres da una protección suficiente a un usuario medio, siempre que se cumplan otras condiciones.
• deben ser una combinación de letras, números y símbolos, y no deben ser una palabra real que esté en el diccionario
• Nunca se deben crear a partir de información que puedan conocer o averiguar fácilmente otras personas como: nombre, apodo o iniciales, nombre de la pareja o de hijos o mascotas, fechas de nacimiento o de otro tipo, nombre de la empresa, números como 12345 o 0000, etc. 

Una vez que están creadas, las contraseñas jamás deben apuntarse en post-its. Guárdalas en un lugar seguro, bajo llave o utiliza un gestor de contraseñas, como KeePassX, que es gratuito y software libre. 

Utiliza la doble autenticación

Cada vez más programas y plataformas incorporan una opción de doble autenticación o autenticación de 2 factores (2FA) para registros. Con ella pueden enviarte un SMS o usar una app que te proporciona un código que va cambiando con el tiempo.

Es una capa fuerte de seguridad porque para romperla, el atacante debería tener tu dispositivo además de tu contraseña. Utilízala y guarda los códigos en un lugar físico seguro que siempre tengas a mano. Algunas de las más conocidas son Google Authenticator, Microsoft Authenticator, Authy de Twilio, o LastPass. 

Cifra tus conversaciones 

El cifrado de extremo a extremo es actualmente uno de los métodos más seguros de transmitir información sin ser espiados y sin que ningún software espía pueda leerla, como hemos explicado ya en Newtral.es. 

Al ser matemáticamente imposible que terceras partes accedan a las comunicaciones, las compañías que ofrecen este servicio, como Signal o Apple con iMessage, además de WhatsApp, tampoco pueden entregar esos mensajes a las autoridades ni a terceros. Al igual que las nombradas, existen varias aplicaciones que han incorporado el cifrado punta a punta entre sus funcionalidades pero no todas lo hacen de la misma manera.  

WhatsApp utiliza cifrado para todos los mensajes enviados, y también para sus copias de seguridad. Hasta octubre del año pasado los backups que WhatsApp permitía hacer a sus usuarios no estaban cifrados, y esa fue una vulnerabilidad utilizada por varias fuerzas de seguridad de todo el mundo en el pasado. Telegram ofrece cifrado extremo a extremo pero sólo para los chats 1 a 1 que se marquen como secretos.

Signal es una de las aplicaciones de mensajería instantánea más seguras, ya que además de aplicar cifrado extremo a extremo, y no mantener copias de seguridad en la nube, recoge el mínimo de metadatos de sus usuarios, para evitar comprometerlos. Cubre desde los mensajes de texto hasta las llamadas de voz en iOS, Android, mac OSX, Windows y Linux. Tiene el sello de aprobación de Edward Snowden y Bruce Schneier. 

Cifra tu email 

Los servicios más populares de email ya utilizan una capa SSL/TLS para proteger los datos mientras están en tránsito, lo que limita la vulnerabilidad a ciertos ataques. Sin embargo, si envías correos con información sensible, deberías considerar la posibilidad de protegerlos con un cifrado extremo a extremo.

Existen proveedores de email gratuitos que ya tienen cifrado fuerte incorporado, como Protonmail o Tutanota. También puedes utilizar cifrado en Gmail con extensiones como Mailvelope. En Outlook y Thunderbird hay un programa de software libre llamado Gpg4win, que está recomendado por el INCIBE.

Mantén sólo las apps necesarias

Si una vez pediste una pizza a un delivery a través de una app, o usaste una plataforma para reservar tus vacaciones hace un año y esas apps están todavía en tu móvil, pueden estar recogiendo datos que no deben.

Haz una limpieza regular de tu dispositivo borrando las aplicaciones que no uses. Pueden ser una puerta más de vulnerabilidades que comprometan tu teléfono y esto multiplica los riesgos de que un software espía las escuche. Y mantén actualizadas con la última versión disponible todas las que tengas instaladas. 

Navega dejando menos huellas

Cuando navegas utilizando la opción de abrir una ventana privada o en incógnito, no se guarda tu historial de navegación, las cookies, los datos de sitios web ni la información introducida en los formularios, pero tu actividad sigue siendo visible para los sitios web que visitas, tu empresa o centro educativo y tu proveedor de servicios de Internet.

Hay navegadores web que hacen la navegación más segura y protegen tu móvil, como Firefox Focus, Brave u Orbot. Además hay una serie de medidas que puedes tomar para hacer tu navegación más anónima: 

• Quita los permisos de localización a todas las aplicaciones que no lo necesiten, y dáselos a las que lo necesiten sólo mientras se están usando,
• Quita la localización al teléfono en general mientras puedas
• Retira permisos a las cookies de terceros, de las que ya hemos explicado en Newtral cómo funcionan y por qué se llevan tus datos.
• Utiliza un VPN (red privada virtual), pero no cualquiera. Desconfía de los VPNs con servidores en países que espían o han espiado a sus ciudadanos, y busca uno que utilice el protocolo OpenVPN, que es de código abierto y ofrece el mejor cifrado. Lee muy bien los términos y condiciones y preferiblemente evita los gratuitos. 

Para que los anunciantes de las páginas que visitas no puedan recolectar secretamente  información sobre las páginas que visitas y tu comportamiento cuando navegas, una extensión muy útil es PrivacyBadger, recomendado por la Electronic Frontier Foundation. 

Extrema el cuidado con datos sensibles

Pegasus y otros software espías similares, una vez en el dispositivo, pueden hacer capturas de pantalla, hacer registros de todo lo que una persona escribe en su teclado, robar datos, hacer fotos o vídeos, activar el micrófono o hacer transferencia de datos, y todo ello sin dejar huellas. Si realmente quieres mantener algo secreto, es mejor mantener una conversación en persona, al aire libre y lejos de cualquier dispositivo. O lo de siempre: no se lo cuentes a nadie.