A menos que cubran temas de tecnología, la mayoría de los periodistas probablemente no puedan explicar cómo se produce un ciberataque. Sin embargo, dados los recientes acontecimientos globales, es más importante que nunca que entiendan de qué manera los gobiernos represivos u otros grupos pueden lanzar estos ataques contra ellos.
Para defenderse debidamente, los periodistas necesitan saber cómo vencer los intentos de infectar sus computadoras y dispositivos móviles.
En primer lugar, es preciso tener una comprensión básica del tipo de armamento digital que los gobiernos están comprando. Los atacantes están utilizando tecnología potente y cara desarrollada por compañías privadas como Hacking Team, una empresa italiana que vende software que roba información de teléfonos móviles, incluyendo listas de contactos, mensajes SMS, documentos, fotos, archivos de audio, videos y contraseñas. Algunos softwares de ciberataque graban de manera encubierta las teclas que están siendo presionadas en un teclado, y extraen datos antes de que sean encriptados.
En segundo lugar, los periodistas deben entender cómo funcionan estas herramientas de hackeo. Aunque hay algunas diferencias entre ellas, todas siguen básicamente el mismo patrón: a la víctima se la engaña para que cliquee un enlace después de recibir un mensaje con un programa de espionaje oculto.
Típicamente, un ciberataque consiste en las siguientes fases:
- La infección del dispositivo del usuario mediante la inyección de software malicioso. Los atacantes tratarán de engañar al periodista mediante el envío de un mensaje cuidadosamente diseñado para parecer legítimo, tratando de llevar a la víctima a hacer clic en un enlace o a abrir un documento que en realidad infectará su dispositivo. Hay tres formas a través de las cuales un atacante puede intentar acceder a la computadora portátil o al teléfono de un periodista; en la jerga de la seguridad informática, estos métodos son conocidos como ingeniería social, exploits y spear phishing.
- Una vez que el software malicioso se encuentra en el dispositivo, se pone a trabajar de inmediato. Si el dispositivo es un iPhone, el software espera a que el teléfono esté conectado y sincronizándose con una computadora portátil. A continuación, desactivará las restricciones de software del teléfono –una práctica conocida como "jailbreaking"– permitiendo la instalación de un programa malicioso que lo infectará.
- Puede que el software malicioso funcione mejor si el teléfono infectado, mientras está enchufado y cargándose, está conectado a una red WiFi controlada por el atacante. De esa manera, la víctima no detectará la descarga súbita de la batería, que suele ser resultado de un software malicioso trabajando.
Así es como se montó un ataque contra Rafael Cabrera, un periodista de investigación del sitio online mexicano Aristegui Noticias. Cabrera trabajó en el reportaje sobre la sospecha de que el presidente mexicano había favorecido a un importante contratista del gobierno, que construyó una mansión para la familia del mandatario. El llamado escándalo de la "Casa Blanca" se convirtió en una gran vergüenza para el gobierno.
El primer intento contra Cabrera fue un ataque de phishing. Recibió un mensaje de texto de aspecto inocente, supuestamente enviado por UNOTV, un servicio de noticias que ofrece noticias vía SMS a sus abonados móviles. Sin embargo, escondido en ese mensaje había una versión de Pegasus, una poderosa herramienta de vigilancia que puede extraer mensajes de texto, listas de contactos, eventos del calendario, emails y mensajes instantáneos. Pegasus también puede aprovechar el micrófono de un teléfono infectado para grabar sonido y usar su cámara para tomar fotos.
Los mensajes eran un ejemplo clásico de spear phishing, ya que fueron cuidadosamente elaborados y personalizados, destinados a despertar el interés de Cabrera y a conseguir que hiciera clic en un enlace. Uno de los mensajes decía: “La oficina del presidente va a demandar a quienes publicaron la historia de la 'Casa Blanca'”. Otro: “Debido a la historia de la 'Casa Blanca', la oficina del presidente puede encarcelar a periodistas: vea los nombres".
Cuando Cabrera vio esos mensajes en la pantalla de su teléfono móvil, pensó inmediatamente que podría tratarse de un intento de ciberataque. Afortunadamente, no hizo clic en los enlaces que conducían a las falsas noticias.
La editora Carmen Aristegui y el periodista Irving Huerta, quienes también trabajaron en la investigación, recibieron mensajes de textos que decían: “Mi madre murió anoche, estamos devastados, cliquea aquí para la dirección del funeral”.
Gracias a su experiencia y conocimiento de los riesgos posibles, ninguno de los dos entró a los enlaces.
Para saber más sobre cómo prevenir estos ataques –y qué hacer si te conviertes en una víctima del spear phishing–, entra a la siguiente presentación:
Ataques de spear phishing por Jorge Luis Sierra
Imagen con licencia Creative Commons en Flickr, vía Christopher Schirner.