Una historia de troyanos gubernamentales

Mucho se está hablando estos días sobre el posible uso de troyanos por parte de las Fuerzas y Cuerpos de Seguridad del Estado debido al anuncio de un borrador de la comisión Gallardón, que propone el uso de troyanos y colaboración de hackers para acceder a ordenadores, tabletas y móviles en el curso de investigaciones de delitos de especial gravedad.

Disclaimer: soy el fundador de VULNEX, una boutique española altamente especializada en ciberseguridad que ofrece servicios y productos ofensivos y defensivos por lo que quizás no sea objetivo, pero tampoco pretendo serlo.

Como era de esperar, se están diciendo auténticas barbaridades en muchos medios de prensa, imagino que por la falta de conocimiento en la materia, por lo que expresaré mi opinión al respecto e intentaré arrojar un poco de luz sobre el asunto.

Personalmente no estoy en contra de la utilización de troyanos por parte de las Fuerzas y Cuerpos de Seguridad SIEMPRE Y CUANDO sea para capturar criminales (pederastas, terroristas, mafias, etc.) y NUNCA para otros fines (políticos, espionaje, etc.). Aunque estando en España y con la clase política que tenemos esta cuestión es realmente preocupante.

Vayamos por partes:

  1. Los criminales se han modernizado y utilizan sofisticadas medidas de seguridad informática (equipos de última generación, cifrado seguro, servidores por diferentes países sin tratados de extradición, etc.), por lo que es absolutamente necesario que las Fuerzas y Cuerpos de Seguridad se modernicen y utilicen las últimas tecnologías ofensivas y defensivas para la seguridad nacional.
  2. Pensemos que esto es el equivalente a las escuchas telefónicas (por las que nadie protesta) en el mundo digital.
  3. El uso de troyanos por parte de los gobiernos no es nada nuevo, solo que se mantiene en secreto o se intenta al menos (por ejemplo, Alemania o el FBI en los EE.UU.).
  4. Lo que se propone en el borrador no es pecata minuta, ya que escribir un troyano no es nada trivial. Para esta tarea vamos a requerir un equipo muy preparado con diferentes perfiles (jefes de proyecto, programadores para las diferentes tecnologías, expertos en vulnerabilidades, equipo de testeo, etc.). Vamos, unas capacidades ofensivas que actualmente no existen en este país y sobre todo que no son baratas. (Ejemplo estimación del equipo desarrollo de Stuxnet)
  5. Aparte del troyano con soporte para diferentes plataformas hay que contar con una infraestructura de comunicaciones, soporte y almacenamiento de datos. ¿Cómo y dónde se almacena la información recolectada? ¿Podrían los criminales atacar la infraestructura o subvertir el troyano?
  6. Si este troyano existiera, ¿cómo se haría llegar e instalaría en los equipos de los sospechosos? La seguridad en los entornos desktops (Windows, Linux, MacOS) no tiene el mismo nivel de seguridad que en móviles (Android, iPhone/iOS, BlackBerry, Windows Phone, Firefox OS, etc.). Hoy en día existen varias compañías que ofrecen troyanos profesionales y que aún no han resuelto este problema.
  7. Respecto a la colaboración de hackers, tendremos que ver en que consiste exactamente la colaboración. La cuestión es si será por la fuerza y gratis o remunerada. ¿Qué tipo de hackers: buenos/éticos o detenidos anteriormente? ¿Tendrían acceso al troyano? ¿A qué tipo de información tendrían acceso? ¿Podrían sabotear la operación?, etc.
  8. Los antivirus no serían un impedimento como se dice en algún medio, ya que esta tecnología presenta diversos problemas (por mucho que lo nieguen y les pese a las casas antivirus). Si son tan fiables que se lo digan a Google, RSA, Lockheed-Martin entre otros muchos que han sido atacados y comprometidos y que por supuesto contaban con antivirus, así como otros mecanismos de seguridad (ojo, estoy a favor del uso de los antivirus, pero como una medida más dentro de una estrategia de Defensa en Profundidad).
  9. El desarrollo y uso de tecnologías ofensivas y defensivas por parte de agentes del gobierno deberían estar enmarcados dentro de un plan nacional (Estrategia de CiberSeguridad), que tanto reclama el sector privado. Tema que la EU está trabajando.
  10. Nos quejamos del uso de troyanos por parte de los gobiernos, que lo que buscan es capturar criminales, argumentando que se vulneran nuestros derechos cuando nosotros mismos no paramos de subir información y fotos tanto propias como de nuestro entorno totalmente gratis a todo tipo redes sociales, que son empresas privadas que ganan mucho dinero ofreciendo esta información a terceros y que saben demasiado.

En España hemos sufrido y seguimos sufriendo el azote del terrorismo y demás lacras, todo lo que sea acabar con ello me parece fantástico siempre que se respete la libertad y el derecho de los ciudadanos.

¿Y cuál es tu opinión al respecto sobre esta cuestión: a favor o en contra?

— Simon Roses Femerling

This entry was posted in Hacking, Hacking Etico, Malware, Privacidad, Seguridad, Tecnologia and tagged , , , , , , , . Bookmark the permalink.

5 Responses to Una historia de troyanos gubernamentales

  1. Un excelente artículo que debiera ser el primer capítulo de la propuesta que haga el Gobierno sobre el tema.

    Pero, como bien dices, la mentalidad tecnológica de la Administración no creo que esté a la altura mínima necesaria para el proyecto que comentas.

    Ejemplo: Aun hoy en la Administración de Justicia no se utiliza el correo electrónico para citaciones y señalamientos de juícios, al menos en Cataluña.

    Saludos

    • Simon Roses says:

      Gracias por tus comentarios.

      Totalmente de acuerdo en que a la Administración le queda un largo camino por recorrer en este asunto.

      SRF

  2. Angel L. Ortega says:

    Estoy totalmente de acuerdo con el contenido de tu articulo, y aunque estoy de acuerdo en que la Administración se defienda de estos ciberdelincuentes, me preocupa el como nos podemos defender, los que no somos delincuentes, del posible uso inapropiado de la tecnología por parte de la Administración.
    Al igual que Simón Roses, pienso que nos queda queda un largo camino por recorrer, pero sinceramente pienso que ya estamos dando algún paso que otro, por lo cual me alegro.
    Resumiendo, estoy a favor de que la Administración use todas las herramientas a su alcance para defenderse, y por tanto defendernos, de estos ciberdelincuentes, pero con un control muy estricto por parte del poder del Estado que corresponda, para evitar que se traspasen los límites legales existentes.

    Un saludo a todos y creo que vamos por buen camino.

  3. Pingback: El “modelo de negocio” de los troyanos gubernamentales – Javier Tobal

Leave a Reply

Your email address will not be published.