José Manuel Blanco
Presentes de forma silenciosa para difundir nuestra voz, guardar nuestra memoria o registrar nuesra actividad física, a veces son víctimas de pirateos. Y sin que nos demos cuenta, alguien nos ha instaladomalware, se queda con nuestra información personal otoma el control del aparato. Los sensores, cámaras y micrófonos de los dispositivos portátiles son blanco de los ciberatacantes, y cuidarlos sirve para proteger nuestra privacidad.
“El peligro de estos elementos es sobre todo su ubicuidad y capacidad para pasar desapercibidos”, resumeSergio de los Santos, coordinador del área de Innovación y Laboratorio deElevenPaths, a Xataka. “Si bien antes podíamos estar razonablemente seguros de que nuestra conversación no estaba siendo grabada (tanto en audio como en vídeo), ahora es mucho más sencillo que así sea. Y ya no solo por los teléfonos móviles que llevan todos los interlocutores, sino por los dispositivos en casa que obedecen a comandos de voz”.
Te puede pasar a ti: los casos que recuerdan los expertos
Todos estamos expuestos a que se filtre nuestra información, por muy anónimos que seamos. “Agregada con millones de usuarios, supone un valor muy interesante con el que comercian, lo que convierte al usuario en un mero generador de información valiosa por la que, quizás, no percibe ningún beneficio acorde ni controla el uso”, dice De los Santos.
Varios han sido los casos sonados. En España, en 2018, conocimos que la aplicación oficial de La Liga se servía delos micrófonos y de la ubicación para encontrar baressin licencia de emisión de partidos. En este caso, la aplicación avisaba de la recopilación de datos… en sus términos de uso. “Aunque quizás ingenioso para los intereses de La Liga, el compromiso de la privacidad era demasiado. No está justificado y sus creadores no valoraron la privacidad de los usuarios”, resume De lo Santos.
Alfonso Muñoz, experto en ciberseguridad y fundador deCriptoCert, señala a Xataka que los ciberatacantes se suelen centrar en piratear cámaras y micrófonos, “pero existen otros sensores que pueden provocar problemas de privacidad y no siempre son fáciles de proteger”. Cita cómo se han usado sensores deacelerómetros para robar contraseñasomicrófonos para captar patrones, También recuerdacuando se filtraron los datos de actividad sexual de los usuarios de Fitbit, que por defecto eran públicos en el perfil de cada usuario.
Yago Jesús, editor de Security by Default, apunta a Xataka quelos sistemas de autovigilancia, como las webs de monitorización de niños y las cámaras que instalamos en casa, son los que más problemas dan.“A la hora de configurarlo, por la comodidad o por lo que sea, permiten accesos de internet” con los que pueden filtrar las imágenes en ciertas webs. “En elboomde estas cámaras, era como un Gran Hermano”, recuerda. “Te encontrabas una cámara que estaba guardando un perro, otra cámara con una familia comiendo, un abuelo sentado en el sofá…”.
Ángela García Valdés, técnica de ciberseguridad del área de Ciudadanos delInstituto Nacional de Ciberseguridad de España (INCIBE), destaca a Xatakaciertas aplicaciones de linterna que, para usar elflash, piden acceso a la cámara.“Al final lo que quieren es intentar acceder a tus datos o instalarte algún tipo demalware”.
Trucos para aumentar la privacidad de sensores, cámaras y micrófonos: losmarkets
García Valdés alerta sobre las aplicaciones malignas y las solicitudes para acceder a micrófonos, cámaras y sensores: “Es muy importante cuando nos instalamos una aplicación fijarnos en qué permisos nos solicita; pensar si tienen sentido o no, y, si vemos que no, desconfiar”.
También, recuerda el consejo básico deinstalarappsdesdemarketsoficiales, como la Play Store de Android o la App Store de iOS. Dentro de ellas, hay que fijarse en los comentarios de otros usuarios, el desarrollador o el número de descargas: si los comentarios son positivos, el desarrollador es “confiable”, el volumen de descargas grande y los permisos que pide plausibles, hay más posibilidades de acierto.
Las cautelas no terminan después de instalar. La técnica de INCIBE recomienda revisar de vez en cuando las aplicaciones instaladas, para limpiar y para comprobar los permisos que dimos en el pasado. “A lo mejor en su día pensamos que tenía coherencia y ahora nos damos cuenta de que no,o ahora somos más conscientes de lo que estamos haciendo”. Para cualquier duda, el INCIBE cuenta con unaOficina de Seguridad del Internautay el017, una línea telefónica gratuita y confidencial sobre ciberseguridad.
Más trucos: el sistema operativo de losgadgetsy las empresas fabricantes “reputadas”
Sigamos protegiéndonos. Muñoz, que también recomienda ser precavidos con las aplicaciones que descargamos y los permisos que piden, advierte sobre la buena configuración del sistema operativo del dispositivo (“en el caso de móvil existen muy buenas guías accesibles del Centro Criptológico Nacional”, por ejemplopara iOSypara Android). Al mismo tiempo, sugiere tirar de bloqueadores de cámara yde micrófonocuando no los estemos usando. En este sentido, García Valdés recuerda laspegatinas, pinzas“o un simple pósit” para tapar las cámaras de portátiles, teléfonos y demás familia.
El mismo Muñoz tapa la cámara delantera y trasera de susmartphoney se sirve de un bloqueador de micrófono:“Es útil para gran parte de las aplicaciones que hay disponibles en losmarkets”. De los Santos también recomienda “tapar físicamente pantalla y micrófonos” de dispositivos propios si no los estamos usando. Y, si no es así (estamos con el de un amigo o con el de nuestra empresa), usar dispositivos de confianza de “empresas reputadas”, según sus palabras (“y aun así nos hemos llevado sorpresas concompañías que finalmente reconocieron que se filtraban las conversaciones”, alerta).
Más allá de los dispositivos móviles, están lascámaras y sensores que usamos para la vigilancia personaly que mencionábamos al comienzo. Para ellos, Jesús aconseja apostar por profesionales de la seguridad y por un sistema de vigilancia cableado, sobre todo si no sabemos configurar y segurizar cámaras que mandan los datos a través de conexiones inalámbricas. Él mismo usa equipos profesionales que le dan esa confianza.
Consejos para usuarios pro: fijarse en elhardwarey el tráfico de red
Si hay usuarios avanzados desmartphonesa los que estos consejos se les queden cortos, hay cuidados extra. Muñoz les recomienda centrarse en elhardware: “Este es el motivo fundamental por el que están apareciendomóviles en los que puedes instalar sistemas operativos Linux”. En ellos, explica el especialista, hay “algo más de control” en elsoftwareinstalado y es más fácil instalar contramedidas y desconectar físicamente sensores”.
El fundador de CriptoCert lamenta que “supuestas propuestas de móviles construidas desde cero” tienen un precio “prohibitivo” para la mayoría de los usuarios. Además, “todavía faltan auditorías de seguridad independientes que verifiquen de verdad si sus afirmaciones de protección son correctas”.
Otra medida, aportada por Jesús, es “analizar el tráfico de red”:“Esto suele dar mucha luz tanto para si algo está a la escucha (y moviendo lo capturado) como en general para troyanos”cuenta el especialista. Según sus indicaciones, nos debemos fijar en si hay un tráfico de red alto con el equipo en reposo (por ejemplo, recién encendido, con los navegadores web cerrados) o si el equipo se conecta a, por ejemplo,hostsalojados en China yservidores privados virtuales (VPS)que nos resulten raros.
TCPViewyWiresharkson algunas de las herramientas para analizar y detectar estos peligros. Este último, explica Jesús, “es fantástico por el detalle y los disectores [patrones que permiten analizar un protocolo] que tiene para ver más allá de una conexión. Podrías incluso determinar si el tráfico que mueves es algo con compresión vídeo o audio”.
Ser usuario pro también es conocer los aparatos para protegerse ante los peligros que surjan. García Valdés lo resume así: “Saber qué información recogen, qué se hace con esa información y cómo y durante cuánto tiempo se almacena. Sin olvidarnos de estar al día sobre las posibles vulnerabilidades, mantener al día las actualizaciones, revisar las opciones de privacidad y seguridad y crear una red separada para el uso de este tipo de dispositivos”.–
Los consejos son múltiples y las precauciones muchas. Esto no quiere decir que sensores, cámaras y micrófonos sean el mal. “El mayor peligro no está en los elementos”, resume De los Santos, “sino en cómo los percibimos”.
El miembro de ElevenPaths se explica: “Su capacidad para incrustarse en la sociedad ha permitido que relajemos cualquier intento de proteger la privacidadporque nos parece una batalla perdida y que la supuesta recompensa (proteger una privacidad que no respetamos demasiado) no compensa el esfuerzo (que puede ser percibida como un exceso de paranoia)”. Para revertir este pensamiento, ellos nos han dado un buen puñado de consejos.
Imágenes | cedidas por Sergio de los Santos, Alfonso Muñoz, Yago Jesús e INCIBE;Matthias Oberholzer;Chevanon Photography;Bernard Hermant
