20/02/2015

El seu mòbil i el seu disc dur no són segurs

4 min
targetes sim

Fa més d’un any i mig que dura el degoteig dels documents que l’informàtic Edward Snowden es va endur de la NSA i que expliquen les tècniques dels espies aliats per infiltrar-se en tots els àmbits de la nostra vida digital. Quan ja semblava que res ens podria sorprendre, aquesta setmana s’han destapat dos casos nous, probablement els de més abast que s’han conegut fins ara, perquè afecten directament centenars de milions de ciutadans, inclosos vostè i jo.

Inscriu-te a la newsletter Sèries Totes les estrenes i altres perles
Inscriu-t’hi

La web The Intercept publicava dijous els detalls d’una operació que la NSA -l’espionatge nord-americà- i el GCHQ -el britànic- van portar a terme fa cinc anys, i que els hauria permès obtenir les claus per desxifrar les comunicacions de veu, els missatges de text i el trànsit d’internet que transporten més de 450 operadores de telefonia mòbil de tot el món. Segons els documents publicats, els espies presumeixen entre ells d’haver-se infiltrat a la xarxa interna de l’empresa franco-belga Gemalto, el fabricant de targetes SIM més gran del món, amb una producció estimada de 2.000 milions de targetes cada any. Un cop a dins, van copiar la base de dades amb les claus de xifrat que Gemalto proporciona amb cada targeta a les companyies telefòniques, i que és l’element que garanteix la privacitat de les comunicacions entre els nostres telèfons i els ordinadors de l’operadora. Com que els intrusos no van deixar rastre -a Gemalto no li consta cap infiltració, tot i que ahir va dir que ho està investigant-, això significa que almenys la meitat de les telefòniques del món porten anys repartint targetes insegures als seus abonats i que els serveis d’espionatge anglosaxons han pogut punxar les nostres converses i missatges sense gaire més complicació que canviar de canal al televisor. És com robar-li tot el clauer al conserge d’una finca i fer-ne una còpia per no haver de rebentar a puntades de peu la porta de cada pis.

I és que, quan la telefonia mòbil era analògica, interceptar una conversa era gairebé tan senzill com sintonitzar una emissora de ràdio. La cosa es va complicar per als intrusos amb l’arribada dels mòbils digitals GSM, sobretot a partir de la tercera generació, la 3G, per l’adopció d’un sistema de xifrat que protegeix el contingut mentre viatja per l’aire i impedeix accedir-hi encara que es capti la transmissió amb una antena. En aquestes condicions, per xafardejar una comunicació de mòbil només hi havia dues opcions. La primera: captar indiscriminadament milers de transmissions actives, arxivar-les i aplicar una gran potència de càlcul per intentar desxifrar-les. La segona: obligar l’operadora de telefonia -amb una ordre judicial- a desxifrar les converses d’un número determinat, amb les claus que només ella té perquè li ha proporcionat el fabricant de la targeta SIM. En canvi, si els espies aconsegueixen de cop totes les claus de xifrat com sembla que han fet a Gemalto, poden interceptar tot el que vulguin, en temps gairebé real i, sobretot, sense que les mateixes operadores -o els seus governs- ho sàpiguen. Un cop duríssim al prestigi del sector dels mòbils en matèria de seguretat, pocs dies abans de la seva festa major anual al Mobile World Congress de Barcelona.

L’article de The Intercept també detalla el procediment que el GCHQ i la NSA van fer servir per introduir-se a la xarxa de Gemalto: seguir l’activitat digital de diversos empleats de l’empresa a tot el món i els seus clients, triant precisament els que xifraven els missatges i, per tant, era més probable que treballessin amb dades reservades. Això, per cert, desmentiria una vegada més la posició oficial dels governs implicats, que asseguren que concentren el seu espionatge en sospitosos de terrorisme i altres activitats delictives.

L’abast de la suposada intrusió encara s’ha de determinar, però Gemalto -que té una planta a Catalunya, concretament a Lliçà de Vall- subministra targetes SIM a la majoria de les grans operadores, incloses les d’aquí, que han declinat fer comentaris sobre aquest assumpte. No queda clar si altres empreses del ram han estat víctimes d’intrusions semblants, ni si han afectat altres productes com ara les targetes bancàries o els documents electrònics d’identitat.

En tot cas, queda clar que si volem garantir la privacitat de les nostres comunicacions hem d’assumir-ne personalment el xifrat, fent servir al correu electrònic protocols com PGP i al mòbil aplicacions com RedPhone (Android) i Signal (iPhone). Tot i que, com s’ha vist, el fet d’utilitzar xifrat et pot acabar fent objectiu de vigilància o, encara pitjor, sospitós de terrorisme.

L’altre cas d’espionatge massiu que hem conegut aquests dies és igualment inquietant. L’empresa russa Kaspersky ha trobat en ordinadors de 42 països -sobretot l’Iran, Rússia, el Pakistan, l’Afganistan, l’Índia, la Xina, Síria i Mali- rastres de programari maliciós que comparteix codi amb el troià Stuxnet, que fa uns anys va sabotejar el programa nuclear iranià. Aquella infecció va ser atribuïda als serveis d’espionatge dels EUA i Israel, i pel que sembla no era un cas aïllat, sinó que respon a l’activitat d’un grup vinculat amb la NSA que porta almenys 14 anys atacant sistemes de tot el món, mitjançant programes ocults molt sofisticats que poden arribar a reprogramar el hardware dels discos durs de les principals marques comercials, com Western Digital, Seagate i Toshiba, o bé extreure informació fins i tot d’equips no connectats a internet, com Der Spiegel va publicar fa uns mesos. També en aquest cas ens haurem d’acostumar a protegir les nostres dades amb aplicacions com TrueCrypt: almenys, si algú ens les agafa, posem-li difícil fer-les servir.

stats