viernes, 3 de octubre de 2014

StealthGenie y otras historias

Desde el blog de Un informático en el lado del mal nos llega la información de que el Departamento de Justicia de los EEUU ha presentado una demanda contra StealthGenie, y como medida cautelar han cerrado el acceso a los servidores del mismo alojados en los servicios de hosting de Amazon, y han detenido al CEO de la empresa desarrolladora.



No voy a entrar a analizar la funcionalidad que ofrece dicha aplicación. Ya está suficientemente bien explicado en ese blog puesto que es un servicio que llevaba tiempo en funcionamiento, y además se ofrecía públicamente, al alcance de cualquiera. No era un troyano que tenías que bucear en los vericuetos de la red TOR para adquirirlo en el mercado negro.


Mi entrada va más enfocada al por qué de esta acción tomada por parte del Departamento de Justicia americano tras una investigación por parte del FBI. Según la nota de prensa del FBI que he enlazado, el fiscal federal que lleva la demanda ha declarado:
"StealthGenie tiene poca utilidad más allá de la invasión de la intimidad de la víctima"... "La publicidad y venta de tecnología spyware es un delito penal, y esa conducta se perseguirá agresivamente por esta oficina y nuestros colaboradores en aplicación de la ley."
Dejando de lado la cuestión de que, con todo lo que ha llovido tras el caso Snowden, sea precisamente la administración americana la que se auto-retrate como paladín en defensa de la privacidad de las comunicaciones de los ciudadanos (americanos o extranjeros), también sorprende que afirmen que la publicidad y venta de "spyware" es un delito penal perseguido.

Spyware... ¿delito penal?

Aplicaciones comerciales destinadas a la monitorización de la actividad en dispositivos tecnológicos de comunicaciones existen casi desde que existen los dispositivos de comunicaciones. Estas aplicaciones, como cualquier "arma", pueden ser utilizadas para usos lícitos o ilícitos. Además, son aplicaciones que están permitidas por las legislaciones de multitud de países, en las que, y hablo de manera general, el hecho de informar al monitoreado de que está siendo monitorizado suele otorgar el suficiente respaldo legal para su uso.

Así, tenemos aplicaciones destinadas a que las empresas vigilen que sus empleados no realizan actividades que puedan dañar voluntaria o involuntariamente a los intereses de las empresas, para monitorizar el uso que se realiza de los recursos de la empresa, etc...   Desde dispositivos GPS instalados en los vehículos de la empresa hasta las más complejas aplicaciones corporativas para supervisar el uso de los recursos informáticos. Estas aplicaciones empresariales también tienen sus correspondientes versiones domésticas, que desde hace años se ofrecen a nivel comercial ni ningún tipo de traba legal.

Con la llegada de los smartphones y todas las capacidades que incluyen, el salto en los datos que se puede recoger ha sido cualitativo. Puesto que son dispositivos que llevamos encima todo el día, estas aplicaciones de monitoreo han pasado de permitir supervisar nuestra actividad cuando estamos delante del ordenador, a permitir supervisar nuestras actividades a todas horas.

Ya no es el hecho de poder ver qué escribes cuando te sientas en el PC, si no que pueden monitorizar tus comunicaciones telefónicas, el lugar geográfico en el que te encuentras, sacar fotos y videos de lo que se encuentre delante del objetivo de la cámara o registrar el sonido ambiente alrededor del móvil.

Técnicamente hablando, ya sería posible para una organización disponer de una potente red de vigilancia en una determinada zona. El disponer de un "ejército" de smartphones troyanizados, permitiría a quién los controlara disponer a un bajo coste de ojos y oídos prácticamente en cada esquina. Ya no haría falta desplegar previamente sensores para cubrir una determinada zona urbana. En todo momento tendrías localizados los móviles pertenecientes a tu red presentes en la zona de interés, y a voluntad podrías activar sus cámaras y micrófonos.

Este esquema, que vi propuesto durante las últimas Jornadas de Ciberdefensa organizadas por el Mando Conjunto de Ciberdefensa de las Fuerzas Armadas e ISDEFE, no es una historia de ciencia ficción. Tampoco se ha probado que sea una realidad ya en funcionamiento, pero aplicaciones como la clausurada StealthGenie muestran que una red de ese tipo no sería una mera entelequia.

El que algún fabricante de smartphones incluya de serie estos "regalos ocultos" en sus productos para el beneficio de la agencia de inteligencia de algún país, por ahora parece que es una mera conjetura más propia de paranoicos. Si se rumorea que Google ha servido a las agencias de inteligencia americanas en bandeja los correos contenidos en los servidores de Gmail dentro del denominado proyecto PRISM... ¿podría llevar Android algún "regalito"? ¿y esas semidesconocidas marcas chinas que sirven smartphones de bajo coste al resto del mundo? Porque el gobierno chino tampoco tiene fama de ser un firme defensor de las libertades individuales...


¿Por qué ahora?

Dejando de lado cuestiones "orwellianas" y centrándonos en lo ocurrido con StealthGenie. ¿Por qué ahora? Las aplicaciones clasificadas como "spyware" no son una novedad aparecida con la llegada de los smartphones. Llevan entre nosotros muchos años. Hace ya un tiempo, allá por el año 2.000 lancé una pequeña aplicación que me dió por llamar Spyhunter, centrada en la detección de "keyloggers" comerciales, que como su nombre indica, es un subgrupo dentro del concepto más amplio de "spyware", especializado en el registro de las pulsaciones de teclado, aunque normalmente aportan más funcionalidades como puede ser tomar capturas de pantalla.

El campo de aplicaciones corporativas no era ajeno al tema, donde también existían aplicaciones para entornos empresariales destinadas a asegurar que ningún empleado se le fuera la mano usando los equipos de la empresa sin dejar pista.

Estamos hablando de algo que existe desde hace ya muchos años, y que por ahora, y salvo alguna excepción, solo había generado demandas judiciales contra los usuarios que usaban estas aplicaciones para monitorizar en el equipo que no debían cosas que no debían monitorizar, tanto en EEUU como aquí en España.

Por otro lado, y leyendo la acusación presentada por el Departamento de Justicia ante el juez, la prueba de cargo que aporta el FBI es que uno de sus agentes compró e instaló la aplicación el 14 de diciembre de 2012 en un móvil, y que el día 17 del mismo mes las comunicaciones interceptadas en dicho móvil eran accesibles en el servidor de StealthGenie, como era de esperar. Estamos hablando de que la prueba de cargo ya la tenían el 17 de diciembre de 2012, y la demanda no la han presentado hasta finales de septiembre de 2014... casi dos años de diferencia.

Por eso la primera pregunta que me invade con la noticia es por qué ahora. Y por qué StealthGenie. Qué tiene ésta que no tenga otra decena de servicios similares, algunos de ellos de empresas con sede en EEUU.

Arquitectura de funcionamiento

Cada uno puede tener sus propias hipótesis, o incluso no tener ninguna, pero para exponer la mía primero hay que hablar un poco de como es la estructura de funcionamiento de estas aplicaciones, y destacar una diferencia muy importante entre un "spyware" comercial para ordenadores y otro para móviles.

A diferencia de sus primos del lado oscuro (troyanos, gusanos, virus y fauna relacionada), las aplicaciones comerciales para monitoreo precisan del acceso físico o remoto al equipo a monitorear a la hora de instalarse. No disponen de ningún encapsulado en forma de virus para que de manera autónoma puedan replicarse e instalarse en equipos al azar de manera automatizada. Estas aplicaciones, una vez instaladas, pueden mostrar, por cuestiones legales, algún tipo de notificación al usuario para anunciar su presencia, o bien no mostrar absolutamente nada. Y en algunos casos esta notificación puede configurarse para que aparezca o no.

Las funcionalidades y datos recogidos pueden cambiar de un producto a otro. Pueden incluir capturas de pantalla, de pulsaciones de tecla, historial de navegación por internet, correos enviados y/o recibidos, programas instalados, actividad en determinados programas como los de mensajería instantánea, etc... En el caso de smartphones, además de lo que pueden hacer en equipos fijos, pueden recopilar información adicional relacionada con las funcionalidades y sensores extra que integran estos dispositivos: historial de llamadas, SMS / MMS, datos de geolocalización, grabación de audio y video, etc...

Una vez instalados y funcionando, no requieren de acceso físico al equipo monitorizado a la hora de acceder a los datos registrados. El acceso se realiza de manera remota, para el que estas aplicaciones suelen presentar distintas posibilidades. Desde quedar a la escucha esperando que otra aplicación diseñada al efecto se conecte para recoger los datos, hasta enviarlos de manera autónoma a una dirección de correo preconfigurada.

Es a la hora del acceso a los datos recopilados por la aplicación cuando entra en juego una diferencia sustancial entre el mundo fijo de los ordenadores y la movilidad de los smartphones. En un equipo fijo, las comunicaciones son, o al menos deben serlo, más estables. No presentan las caídas de conexión intermitentes que un móvil en su ajetreada vida diaria sufre. Por otro lado, la operadoras de telefonía no permiten abrir una conexión de datos hacia un terminal móvil, siendo éste el que tiene que iniciar dicha comunicación.

Ambos factores provocan que en las aplicaciones de monitoreo para móviles deba existir un servidor intermedio con una conexión estable hacia el que el móvil, cuando sus "movidas" circunstancias lo permitan, irá volcando los datos que vaya recopilando. Ese servidor intermedio, en aplicaciones de monitoreo para equipos fijos, o bien no suele existir, o bien, y sobre todo en caso de aplicaciones corporativas, está en una máquina controlada por el que controla la monitorización.

Y un anillo para gobernarlos a todos...

Y llegamos al meollo de la cuestión. Ese servidor intermedio mantenido por la empresa que gestiona la aplicación de monitoreo contiene una tremenda carga de datos privados y muy sensibles. Llamadas, conversaciones, mensajes, vídeos, audios, fotos, historial de localizaciones, etc....

Adquirir uno de estos servicios para vigilar a tu pareja, a tus hijos, o las empresas a sus empleados en sus móviles corporativos es para pensárselo dos veces. No ya por cuestiones legales acerca de espiar a alguien sin su consentimiento, sino por la enorme cantidad de datos sensibles, que no solo afectan al espiado si no que también pueden provocar perjuicios al espía por su relación con la persona espiada, datos que son volcados a un servidor en manos de un tercero, y puestos a disposición del que tenga las credenciales válidas para acceder a la cuenta... y con la posibilidad de que esa empresa que te vende el servicio los ponga a tus espaldas a disposición de terceros...
  1. No sabes si la empresa que mantiene el servicio de monitoreo va a hacer un uso fraudulento con tu datos, o más bien con los datos que interceptas de la persona a la que espías.
  2. No sabes si la empresa, a pesar de ser honesta, puede tener algún fallo de seguridad en su servidor que habilite el acceso de terceros a esos datos.
  3. En muchos casos, aunque el que monitoriza descubra que la empresa hace lo que no debe con los datos que intercepta, se encuentra con las manos atadas a la hora de denunciar los hechos ya que supondría reconocer que él mismo ha cometido un delito al usar la aplicación.
Y aquí es donde se puede dar rienda suelta a la imaginación buscando las razones por las que el Departamento de Justicia americano podría haberse visto empujado a actuar, suspender el acceso a los servidores, y detener al CEO de la empresa que mantiene StealthGenie.

Los más paranoicos pueden pensar que el detenido, de nacionalidad paquistaní, entregaba estos datos a servicios de inteligencia de otros países, o bien, que se ha negado a entregarlos a las agencias americanas y éstas en represalia le cierran el chiringuito. Y aquí puede entrar de todo, desde datos privados de personas hasta secretos industriales volcados al servidor porque algún lince del departamento de seguridad de alguna empresa ha podido pensar que era bueno instalar el tema en los móviles corporativos de los empleados.

Otros pueden pensar que el asunto esté relacionado con lo que se ha dado en llamar el "Fappening" o "celebgate", en el que se han filtrado fotos íntimas de celebridades: actrices, cantantes, modelos, etc... Al parecer existe un mercado negro donde se trafica con este tipo de material. Y no sería muy descabellado pensar que los móviles de algunas de esta celebridades tuvieran instalado este "spyware" por parte personas con acceso a sus terminales, y que el detenido obtuviera estas imágenes directamente de los servidores de su empresa y traficara con ellas.

Sea cual sea la verdadera razón por la que las autoridades estadounidenses han actuado, la que no me cuadra de ninguna de las maneras es la que han declarado, el que la publicidad y venta de "spyware" sea delito, pero lo han permitido desde diciembre de 2012 hasta ahora. Aplicaciones y servicios similares hay a decenas y desde hace ya varios lustros.

No hay comentarios:

Publicar un comentario