Alejandro Cerezo Contreras es uno de los fundadores de la organización Acción Urgente para Defensores de Derechos Humanos (ACUDDEH); además, es experto en temas de seguridad cibernética. Él explica que dicho software es sólo un complemento de los sistemas de vigilancia ya existentes. Con estos, instituciones como la Secretaría de la Defensa Nacional (Sedena) o empresas privadas proveedoras de servicios –de telefonía e Internet, por ejemplo– podrían rastrear y entregar datos personales de cualquiera, en supuestas operaciones contra la delincuencia.

ACUDDEH comenzó a documentar algunos antecedentes de esto hace ya seis años. Sin especificar detalles sobre lugares, fechas y personas, Cerezo Contreras explica que, al inicio, algunas conversaciones fueron grabadas y se las pasaron, enteras, mediante el buzón de voz.

Más adelante, llegaron más grabaciones, pero editadas. Hubo después intervenciones en computadoras. Algunos usuarios veían cómo su cursor se movía, se abrían carpetas o “desaparecían” archivos sin haber realizado acción alguna. Más tarde, les reportaron el robo de cuentas de Facebook y Twitter, en las que se hacían publicaciones comprometedoras y los usuarios finalmente perdían el control de sus cuentas.

Alejandro Cerezo Contreras
Alejandro Cerezo Contreras

Vinieron luego suplantaciones de identidad mediante el correo electrónico: alguien accedía a los contactos y mandaba mensajes personalizados, usualmente pedía dinero o lanzaba alertas falsas. Estos robos de identidad fueron indetectables pues llegaban directamente desde los correos suplantados.

Más grave, aunque en un radio más específico, algunos defensores de derechos humanos eran citados por celular en algún lugar, a cierta hora, desde un número conocido e identificado entre los contactos; sin embargo, la cita resultaba falsa.

También, explica Alejandro, la Sedena adquirió Galileo, un software que podía tomar el control remoto de un celular. Para lograr infiltrarse, necesita enviar un programa escondido en una imagen a través de Bluetooth (técnica conocida como esteganografía). Pero esto era demasiado complejo y requería cercanía física con el dispositivo a controlar.

Llama entonces aún más la atención que, en algunas comunidades indígenas de Chiapas y Oaxaca, ACUDDEH haya documentado este año también el uso de vigilancia aérea con drones de uso civil.

Para Alejandro Cerezo, la falta de denuncias provoca que el espionaje sea poco conocido, menos documentado y, casi siempre, soslayado. Algunas organizaciones de la sociedad civil ni siquiera tienen claves públicas de encriptación.

“El Estado está muy avanzado y no sabemos qué otras herramientas tenga”, señala Alejandro; no obstante, enfatiza que el punto clave es el manejo de datos sensibles: fuentes en el caso de periodistas, y víctimas en el caso de los defensores.

Sin embargo, explica, “es menos costoso robar discos duros” y por ello llama la atención que, durante la actual administración federal, han sido frecuentes los robos físicos y allanamientos en domicilios y oficinas tanto de periodistas como de defensores de derechos humanos. El blanco son entonces los discos duros, computadoras, tabletas y teléfonos.

Sin cultura de la seguridad

“El celular es una microcomputadora que comparte las mismas vulnerabilidades en el sistema operativo. Nadie nos enseña a usar computadoras y tenemos algunos hábitos predeterminados, por lo que debemos aprender a bloquear opciones, como las que graban hábitos lo mismo en las aplicaciones que en el navegador”.

La construcción del sistema Android no es tan cuidadosa como Windows o Mac. Al basarse en Unix, cualquiera con conocimientos en programación puede rootear el celular (tener control desde el núcleo del sistema operativo) a fin de saber qué sucede en él y tener control total, así como bloquear backdoors (puertas traseras o puntos vulnerables).

Un problema que ve Alejandro al adoptar medidas de seguridad es que suelen ser “antihumanas”, es decir, muy complicadas y requieren muchos pasos; sin embargo, sí existen algunas aplicaciones amigables con el usuario como Wire, muy recomendable para mensajería cifrada, con la que podrías sustituir tu WhatsApp.

En todo caso, aún si una persona no puede o quiere usar medidas complejas, Alejandro recomienda siempre ver el remitente de los mensajes. Casi todos los malware requieren intervención física del usuario, por lo que mucho depende de él. Así, ante un mensaje sospechoso, hay que corroborar si es necesario con una llamada y nunca dar clic en enlaces ni contestar a desconocidos. Como regla, todo lo que no quieras que se sepa, no lo digas mediante WhatsApp.

En el caso de los celulares, al ser potenciales micrófonos si están intervenidos, muchas personas prefieren quitarle la batería. Dispositivos como iPhone, cuya batería no es removible, es mejor dejarlos fuera de la habitación si deseas estar seguro de que tu conversación se mantenga privada.

Y estas medidas realmente pueden servir a cualquiera, porque “a nadie le gustaría ver publicada su vida íntima o ser manipulado”, explica Alejandro Cerezo. Lo cierto es que todas las personas podrían proteger sus datos, el verdadero problema es que nadie se toma en serio su seguridad cibernética.

 

-> Publicado en Revista Cambio, 3 de julio de 2017