Móviles espías: la nueva herramienta de la geopolítica

Las acusaciones de espionaje chino han vuelto. Otra vez Huawei está en el punto de mira y la campaña que habla de escuchas o robos de información en sus equipos apunta en su dirección. Y la flecha viene de Estados Unidos. Podríamos decir que todo comenzó en 2003, cuando Cisco Systems acusó a Huawei de infringir sus patentes. La casa china eliminó el código impugnado, los manuales y las «interfaces», y el caso se desestimó. A partir de ese momento, las demandas y juicios se sucedieron desde el país asiático y Estados Unidos. Y Huawei a menudo estaba allí.

¿Por qué?

Al fabricante chino se le ha achacado un trato de favoritismo de parte de las autoridades chinas. Para Estados Unidos esto era preocupante, tanto, que en 2012 su Comité de Inteligencia Permanente publicó un extenso informe. Las conclusiones fueron que no había evidencia de que Huawei estuviera trabajando con el gobierno chino para espiar a los ciudadanos estadounidenses. Aun así, la campaña no ha cesado y el gobierno de Donald Trump presionó a sus socios políticos para prohibir productos de Huawei, aunque no ha llegado a presentar evidencias claras para demostrar que hay puertas traseras o «spyware» de vigilancia instalado en sus dispositivos.

¿Tan difícil es hallar una prueba de espionaje? Para comprender esto hablamos con José Rosell, socio director de S2 Grupo, firma especializada en ciberseguridad. Es él quien nos habla de la posibilidad de introducir herramientas espías en móviles u otros dispositivos, cuán fácil es detectarlos y cómo se hace. «Lo primero es que esto es plausible», explica Rosell en conversación telefónica. «Se puede demostrar tanto desde el ‘‘software’’ como desde el ‘‘firmware’’. Éste no se ve en las aplicaciones, por lo tanto el ‘‘malware’’ lo pueden introducir en un móvil, un portátil o en una cafetera conectada. Así nos pueden escuchar. En el ‘‘software’’ –añade– lo pueden meter desde fábrica o, si se quiere espiar, introducirlo desde cualquier dispositivo. En cualquiera de los casos, con un análisis forense se puede identificar que existe este ‘‘malware’’, pero eso no quiere decir que sea fácil. Puede tomar semanas y hasta meses. Y no hay garantía de encontrarlo. Es algo muy sofisticado. Se tiene que llevar a un laboratorio y se puede ver que hay algo, pero identificarlo es otro tema», argumenta.

Así, la estrategia para hallar pruebas de espionaje parece secilla a simple vista: llevar el dispositivo a un laboratorio especializado y analizarlo. Pero, ¿cómo se hace esto? ¿Cuánto tiempo toma y cuánto cuesta? «En el laboratorio –añade Rosell–, se hace funcionar el dispositivo en un entorno monitorizado. Cuando alguien nos quiere espiar debe haber unas instrucciones desde el exterior. Hay alguien o algo que dice ‘‘envía información”. Pueden ser datos, textos, mensajes, fotos, pero en un momento determinado quien nos espía le dice al «malware» que envíe información y en ese momento lo pillamos. Sabemos que hay algo, pero no dónde. Y allí hay que hacer ingeniería inversa. Pero esto es muy caro, puede costar mucho tiempo y miles de millones de euros. Nosotros sabemos que el ‘‘malware’’ hace algo, pero no exactamente qué, ni dónde se encuentra. Tampoco podemos leer el código para entender cómo lo hace».

¿Cuánto cuesta?

Si descubrir un «malware» puede costar miles de millones, ¿cuánto cuesta desarrollar uno? Una respuesta podría estar en Stuxnet. Este «malware» fue descubierto en 2010 y se cree que estuvo operativo al menos desde 2005. Aunque no se ha admitido hasta la fecha, habría sido diseñado en conjunto por Estados Unidos e Israel y se habría usado para causar daños sustanciales al programa nuclear iraní. «Stuxnet» habría costado más de mil millones de dólares. Y es que crear un «malware» original, con vulnerabilidades desconocidas para los expertos, es muy caro.

Pero por más caro que sea, el secreto siempre se filtra. Esta semana la BBC ha publicado un artículo sobre Crypto AG. Durante décadas, la inteligencia de EE. UU. y la de Alemania utilizaron dispositivos de codificación desarrollados por esta compañía suiza para espiar a otros países. Una costumbre que no es reciente y habría comenzado ya en los años 70, cuando Crypto AG vendió dispositivos a más de 120 gobiernos de todo el mundo. Se suponía que los dispositivos estaban encriptados, pero según se ha publicado, la CIA y su equivalente, el BND, habían manipulado los dispositivos para que pudieran descifrar los códigos e interceptar miles de mensajes.

«Aquí espía todo el mundo a todo el mundo», afirma Rosell. «China, Estados Unidos, Rusia... espían a todos, a Merkel, al presidente de México. Creo que esto siempre se puede demostrar, aunque hacerlo obedece a una estrategia con motivos geopolíticos o económicos. Pero, sí, es evidente que se puede identificar que hay actividad anómala, lo cual ya es una prueba», comenta Rosell. El problema es que para un usuario detectar esto es mucho más complejo. Y, obviamente, muy oneroso. Pero hay algunas herramientas. «Sí se pueden identificar patrones anormales», asegura este experto en ciberseguridad. «Por ejemplo, si el disco duro está trabajando todo el tiempo o se consume mucho ancho de banda pueden estar usando nuestro ordenador para minar bitcoins o enviar correo ‘‘spam’’. Los picos de internet no son normales, el problema es que cada vez tenemos más dispositivos conectados: desde los altavoces inteligente, a Netflix descargando películas, las neveras… Estamos cada vez más conectados y es más difícil detectar que nos espían. Nosotros hemos desarrollado una inteligencia artificial para detectar este tipo de actividades, Soffie, que analiza de forma no asistida el trafico de las redes domésticas, pero de otro modo es muy complicado para un usuario. Quizás podamos ver que se conecta a una web china, rusa o estadounidense que nunca hemos buscado y no es lógico que se establezca comunicación con este tipo de webs. Eso ya es indicativo de una anomalía», indica Rosell.

China vs EE. UU.

Finalmente hay otra pregunta clave en este conflicto: ¿por qué siempre las tensiones se dan entre China y Estados Unidos? Rosell da la clave: «En Europa tenemos una política muy inclinada a la protección del individuo, hay muchas leyes que defienden a las personas, pero no es lo habitual en el resto del mundo. Estados Unidos, por ejemplo, tiene leyes mucho más laxas que Europa. Para mí, las marcas españolas o europeas son las más seguras. No he experimentado todo, pero la Unión Europea, en muchos sentidos, busca una independencia tecnológica».