Skip to main content

Malware gubernamental y vigilancia digital

agosto 21, 2024


No sólo las estaciones del año o mis intentos de aparecer en la oficina con un atuendo que no sean las camisas de conferencia agujereadas, los pantalones cortos y las zapatillas Birkenstock, que son cíclicas. El deseo de los políticos de contar con un «troyano gubernamental» o de vigilancia de la comunicación digital parece seguir también un ritmo constante, y parece que ha llegado esa época del año. El canciller federal Karl Nehammer ha convertido la vigilancia de la comunicación digital en una condición fija para una futura coalición política.

Un malware aprobado por el gobierno ha vuelto a aparecer en la mesa política. Lo que el gobierno piensa sobre este troyano digital se puede ver claramente en un proyecto de ley que circula en los medios de comunicación. Supuestamente, este proyecto de ley debía estar en consonancia con las restricciones impuestas a la vigilancia digital por el Tribunal Constitucional en 2019. Aunque, afortunadamente, el proyecto fue rechazado, me gustaría comentar algunas partes del mismo. Principalmente porque supongo que volveremos a tener esta misma conversación dentro de unos meses.

En concreto, el proyecto habla de la vigilancia de los mensajes «enviados, transmitidos o recibidos de forma cifrada» mediante la «introducción de un programa en el sistema informático del interesado». Me parece especialmente interesante la necesidad de «garantizar técnicamente que sólo se controlen los mensajes enviados o recibidos en un plazo determinado y previamente autorizado».

Según los expertos legales, esto permitiría una vigilancia que respeta la Constitución, ya que el software de vigilancia disponible en el mercado ya está «mucho más centrado en los mensajes de chat» y ya no es «aplicable a todo el teléfono móvil». Sea lo que sea lo que eso signifique.

Personalmente, me gustaría que no sólo se consultara a los abogados sobre este tema, sino que también se permitiera a los expertos y técnicos en seguridad contribuir con su parte. Dejar que los expertos legales hagan juicios técnicos es como dejar que yo haga evaluaciones legales, lo cual no es exactamente lo óptimo.

Como técnico, no estoy de acuerdo con los abogados. Las soluciones actuales de los distintos proveedores de software espía comerciales (que probablemente se utilizarían, pero no creo que las autoridades competentes de Austria desarrollen sus propias soluciones) no están diseñadas para vigilar solo determinadas aplicaciones. Hasta donde yo sé, no existe ningún software espía que controle (por ejemplo) solo Telegram o solo Viber.

Por supuesto, el proveedor podría configurar su sistema de forma que solo se muestren a los clientes mensajes de, por ejemplo, Telegram o Viber. Sin embargo, se trata de una garantía organizativa, no técnica, de que solo se monitoricen los mensajes relevantes. Lo mismo se aplica al requisito de que solo se puedan controlar los mensajes dentro de un período de control especificado en un pedido.

Poner en peligro el dispositivo de un usuario final con un programa espía comercial siempre supone poner en peligro la privacidad de la persona en cuestión. Palabra clave poner en peligro: Supongo que «introducir un programa en el sistema informático de la persona en cuestión» no significa que la persona en cuestión vaya a la comisaría de policía de su localidad, entregue su teléfono móvil o su ordenador (incluidas las credenciales necesarias para acceder a ellos) y se vaya a tomar un café a la vuelta de la esquina mientras los agentes «introducen» el «programa». Al menos espero que no sea eso lo que se quiere decir.

No, lo que se está diciendo aquí es que las vulnerabilidades de seguridad se explotan para instalar malware en los dispositivos. Para que se puedan explotar las brechas de seguridad, las vulnerabilidades deben permanecer sin parchear. Pero, al mismo tiempo, esto también significa que un sistema sigue siendo inseguro en el sentido más amplio. Y otros actores con intenciones (según se mire, «aún») más maliciosas también pueden aprovechar las vulnerabilidades en cuestión.

Este hecho, especialmente en vista de la próxima implementación del NIS-2, pone al Estado en un dilema:

  • El Estado quiere que los sistemas informáticos sean seguros para que los ciudadanos, las organizaciones, las empresas y las autoridades puedan comunicarse a través de ellos de forma confidencial e intercambiar datos de forma segura. Para ello es necesario, entre otras cosas, que los sistemas estén protegidos según los mejores estándares y tecnologías disponibles. Si existen vulnerabilidades, estas deben ser parcheadas lo antes posible o notificadas al fabricante para que pueda proporcionar parches.
  • El Estado pretende obtener información sobre las comunicaciones y los datos de los sospechosos para prevenir y/o resolver delitos, terrorismo o espionaje. Esto presupone, entre otras cosas, que los sistemas utilizados por los sospechosos presentan vulnerabilidades que pueden aprovecharse para instalar software en los dispositivos de los sospechosos que permita obtener información.

No será posible cumplir plenamente ambos requisitos. Mi colega Otmar Lendl ya lo señaló hace siete años en un artículo Artículo sobre un tema muy similar.

En principio, comprendo el deseo de las autoridades de obtener información sobre las comunicaciones de los sospechosos (el FBI incluso sintió este deseo tan fuertemente que simplemente hizo… Su propio mensajero Pero la forma en que los políticos la imaginan –limpia, claramente definida, segura, salvaguardando los derechos fundamentales– simplemente no es posible. No importa cuántas veces deseen que así sea.

Aunque no soy criminalista, investigador o experto en terrorismo, se me ocurren medidas que probablemente sean más prometedoras y también mucho más fáciles de conciliar con el derecho constitucional.

Conozco a colegas que trabajan en el gobierno federal y que tuvieron que esperar varios meses para obtener los periféricos que necesitaban para sus computadoras de trabajo debido a procesos obsoletos y a la lentitud de la burocracia. O casos en los que un departamento está casi ahogado por la cantidad de trabajo que debe realizar mientras que otro equipo con la misma experiencia técnica se aburre hasta el punto de «aburrirse», pero por alguna razón no se le permite brindar soporte.

En contacto con CSIRT y organismos de seguridad de otros países, escuchamos una y otra vez que la cooperación con instituciones de Austria funciona bien, cuando se da, porque personas motivadas tiran la toalla, frustradas, con una regularidad alarmante.

Cuando hablo con personas que conozco que trabajan en servicios sociales y de libertad condicional, la falta masiva de recursos es un tema recurrente. Me arriesgaré y diré que con todos los recursos, tiempo y energía (y probablemente una cierta cantidad de presupuesto) que se han invertido en el problema de la vigilancia de los mensajeros y el malware estatal, se podrían haber mejorado muchas otras cosas que habrían tenido un efecto positivo más duradero en nuestra seguridad.

Para concluir con un ejemplo muy personal: aunque la correlación temporal naturalmente no implica un vínculo causal, no puedo evitar sospechar que el tema está saliendo a la luz en conexión con los intentos frustrados de atentado en torno a los conciertos de Taylor Swift en Viena.

En mi juventud trabajé durante un tiempo como guardia de seguridad en grandes eventos. Incluso entonces, el único requisito para el empleo era estar dispuesto a trabajar de noche bajo una lluvia torrencial por 6,50 euros la hora. Así pues, me tocó vigilar la entrada trasera de una conocida institución cultural junto con dos compañeros. Uno de ellos entrenaba kickboxing en equipo en pistas de tierra en su tiempo libre en el marco de un club de fútbol vienés, mientras que mi segundo compañero tuvo que cubrirse algunos de sus tatuajes para no entrar en conflicto con diversas secciones de la VbtG. Eso me pareció extraño en aquel momento.

Hace unos años, mis ojos se abrieron aún más cuando se supo que, durante la comisión de investigación sobre el caso BVT, trabajaba en el Parlamento un empleado de seguridad que tenía estrechos vínculos con un extremista de derechas que las autoridades conocían desde hacía décadas. Al parecer, tampoco en este caso se llevó a cabo un control real sobre quiénes cobraban 6,50 euros por hora (espero que ajustados a la inflación).

Al fin y al cabo, esto ha llevado a la creación de «normas de seguridad claras y vinculantes» para las empresas de seguridad del programa gubernamental Turquoise-Green a partir de 2020. En el marco de las investigaciones tras la cancelación de los conciertos de Taylor Swift en Viena hace unas semanas, se supo que ocho de los miembros del personal de seguridad que trabajaban en los conciertos ya habían sido declarados culpables de yihadismo. Parece que hasta ahora las normas de seguridad no han funcionado del todo.


Lo que quiero decir es que el malware gubernamental no es la solución. Ni siquiera es una de las varias soluciones posibles, como los ejemplos que mencioné en los párrafos anteriores. El «Bundestrojaner» es un problema.

La vigilancia selectiva de conversaciones individuales o de determinadas aplicaciones de chat, evitando al mismo tiempo una intrusión excesiva en la privacidad y garantizando la seguridad técnica de los dispositivos vigilados, no es posible tal y como imaginan los responsables de la toma de decisiones. Ojalá no hubiera que volver a explicar esto cada pocos años.



Source link

Saber más  Alerta de seguridad: Alerta sobre vulnerabilidades en Adobe Acrobat y Reader (APSB24-29)
Translate »