Aquesta setmana, una investigació conjunta d'El País i The Guardian ha destapat l’espionatge a diferents telèfons de personalitats de l'independentisme català, entre elles, el president del Parlament, Roger Torrent. El smartphone de Torrent és una de les 1.700 terminals que van ser espiades l’any passat amb el software Pegasus, un programa de la companyia israeliana NSO Group.

L’any 2019, Descontrol Editorial va publicar Resistencia digital. Manual de seguridad operacional e instrumental para smartphones, un llibre redactat per cinc especialistes de l’associació Críptica. Aquesta associació sense ànim de lucre se centra a defensar la privacitat i la seguretat a internet i recomanen eines per fer un ús responsable i segur del nostre telèfon intel·ligent. 

Enric Luján és expert en ciberseguretat, professor de Filosofia Política a la Universitat de Barcelona i membre de Críptica. A Twitter va comentar els principals interrogants sobre l’atac al smartphone de Torrent: qui va ordenar l’espionatge i quin abast va tenir.

Molt probablement les informacions destapades avui a @el_pais sobre la intervenció del mòbil d'en @rogertorrent no siguin suficients per contestar els dos principals interrogants: Qui va ordenar els atacs i quin va ser el seu abast. https://t.co/U3jiKM0kT7

— Enric Luján (@imGeheimen) July 14, 2020

T'ha sorprès que hagi sortit a la llum el cas d'espionatge a Roger Torrent i d'altres personalitats o és una pràctica habitual de governs i serveis d'intel·ligència?

Aquestes empreses que comercialitzen malwares no viuen de l'aire, tenen molts diners. Això és perquè algú els hi compra. No em sembla una anomalia, sinó que era bastant previsible. El que potser sorprèn més és que això es complementi amb el fet que Espanya sigui clienta de NSO Group. Òbviament no podem encara correlacionar una cosa amb l'altra perquè no tenim tots els elements, però no deixa de sorprendre, tenint en compte que totes les empreses de "malware del mal" tenen tractes amb autoritarismes i dictadures a Orient Mitjà, és molt bèstia.

Que implica que Espanya sigui clienta del NSO Group? Hi hauria molts més casos d'espionatge que encara no han sortit?

Sí, efectivament. Ara mateix, a causa de l'actualitat, tendim a pensar que tot és Pegasus, però en seguretat informàtica sempre parlem amb molts mesos de marge i Pegasus es va corregir el maig del 2019. WhatsApp ho va corregir i es va actualitzar l'aplicació. Quan diem que cal actualitzar sovint les aplicacions no vol dir que siguem uns fanàtics i que volem els nous emojis, sinó que els desenvolupadors han vist molts atacs i ho han corregit.

Estem parlant d'un tipus de malware que va ser solucionat el maig del 2019 i, per tant, al quedar obsolet, NSO Group ja haurà creat Pegasus 2, Pegasus 3, Pegasus Ultra, etc. Llavors, cal advertir a tothom que diu que li van trucar per Whatsapp des d'un número extrany que l'hipotètic Pegasus 2 ja no necessitaria fer la trucada per infectar el telèfon.

Aquests tipus de malware estan dirigits a personatges públics o els ciutadans "normals" haurien de preocupar-se?

Totes aquestes empreses venen els malwares a canvi de milions i milions d'euros i, en conseqüència, els costa molts diners als governs que els compren. Llavors, hem de pensar que no s'estarà utilitzant contra la gent normal, de baix nivell, perquè és absurd, estarien llençant els diners. A més, aquest malware està pensat per utilitzar-ho contra targets molt concrets, d'alt nivell.

Què és Pegasus i com funciona?

Què era, perquè estem parlant d'un programa que funcionava durant l'abril i el maig del 2019. Totes les aplicacions i programes estan fets de milions de línies de codi i això implica que en alguna d'aquestes línies hi pugui haver un error que pugui ser explotat per fer coses a l'aplicació que en principi no estan previstes. Per això, en el món de la seguretat informàtica parlem d'una mena de cursa armamentista entre els que intenten crear una aplicació segura i els que excaven en aquests milions de línies per trobar una manera d'explotar-ho.

En el cas de Pegasus, era un malware especialment dissenyat per a WhatsApp, que funcionava de la següent manera: trucaven, en algunes versions havies de contestar i en d'altres no, i a partir d'allà s'implantava un codi maliciós, un "bitxo", que feia que l'atacant pogués extreure informació del teu mòbil, inclosa la càmera.

Per això es parla sempre de tapar la càmera del mòbil. Em fa molta gràcia la gent que tapa la càmera de l'ordinador, però no la del mòbil, que també és un ordinador. Jo, per exemple, tinc les dues càmeres del mòbil tapades.

"Si una persona que s'esforça per protegir-se es comunica amb gent que no, tots aquests esforços seran infructuosos".

Experts en ciberseguretat comenten que, malgrat tenir un telèfon encriptat, Pegasus és capaç d'accedir al contingut de missatges, trucades, càmera, etc. Les encriptacions són útils?

Això no té res a veure. Ho explico amb una analogia: et pot entrar una abella a casa per la finestra tot i tenir la porta tancada amb doble clau, per exemple. Realment, el xifrat del telèfon, del que et protegeix és si algú agafa físicament el teu smartphone i vol bolcar tota la informació a un ordinador. Si no hi ha xifrat, això és molt més fàcil de fer. És per això que els iPhone, que venen xifrats de fàbrica, també eren vulnerables a Pegasus.

Llavors, quan WhatsApp diu que les converses estan xifrades, a què es refereix?

Això és una altra cosa. A tots els programes de missatgeria, menys Telegram, els missatges van xifrats. Això vol dir que si jo envio un missatge a través de WhatsApp, aquest missatge va xifrat en el procés de navegació del meu dispositiu a un altre. Però si punxen directament el telèfon, podran llegir els missatges igualment. Ni el xifrat de WhatsApp ni cap xifratge et pot protegir d'això, perquè un cop hi hagi el codi maliciós al dispositiu, és molt complicat eliminar-lo.

El problema d'aquestes empreses és que són molt bones. Sobretot a Israel, ja que hi ha tota una indústria d'empreses que es dediquen a això i són molt gelosos a l'hora d'explicar com fan les coses. Perquè si tenen la clau per entrar a un iPhone, és com tenir una clau d'or, i si Apple s'assabentés de com ho fan, buscarien noves maneres de protegir els seus telèfons.

Fa un any Críptica va publicar Resistencia Digital. Manual de seguridad operacional e instrumental para smartphones. Al pròleg dieu: "Leer este manual, aunque sea por curiosidad, también és una decisión política". Per què?

A Críptica sempre hem volgut desvincular la seguretat com una cosa de friquis o de gent fetitxista amb els ordinadors. Considerem que la manera de portar la seguretat a la gent normal és transmetre que la seguretat és una cosa que fas o no fas. És la frase típica de, "la política o la fas o te la fan". Si tu acceptes el que per defecte posa el fabricant, el més probable és que estiguis bastant venut.

La seguretat és una exigència col·lectiva del segle XXI. Els éssers humans som éssers socials i si una persona que s'esforça per protegir-se es comunica amb gent que no, tots aquests esforços seran infructuosos.

"Hem inventat el pitjor dispositiu possible des de la perspectiva de la privacitat i la seguretat".

Deies a Twitter que quan ets un "objectiu prioritari", l'única manera d'escapar d'aquests tipus d'atacs és dividir la teva vida digital en diferents dispositius. A què et refereixes?

Això sembla obvi però ningú ho fa. Els éssers humans tenim un problema, som animals de costums: dormim sempre al mateix lloc, les mateixes hores, etc. I aquests hàbits els hem extrapolat als nostres dispositius electrònics, ja que els portem sempre amb nosaltres. Avui en dia és molt fàcil accedir a aquestes dades. La manera més fàcil de saber-ho pràcticament tot de la vida d'algú és accedint al seu telèfon mòbil. Abans, als anys 80, per investigar-te a fons havien de mirar l'agenda física, la càmera, els carrets a contrallum, seguir a la persona per veure amb qui es veia. Ara, el romanticisme ha mort i tot es troba a un sol dispositiu.

Si partim de la hipòtesi que tot és insegur o pot ser-ho, podem optar per diversificar la nostra vida digital i fer servir diferents dispositius amb diferents sistemes operatius. Les persones d'alt nivell haurien de tenir diferents mòbils per diferents contactes. Per exemple, s'hauria de tenir un mòbil per a la feina, un per a la família, un per a la formació política, etc. Ara, tot això està en un sol dispositiu vulnerable, el que significa que hem inventat el pitjor dispositiu possible des de la perspectiva de la privacitat i la seguretat.

Em consta que algunes persones que treballen amb fonts i informació sensibles tenen un telèfon B, un Nokia dels anys 2000, per exemple, per realitzar trucades o enviar SMS. Et consta? Què n'opines?

Un mòbil antic no és més segur que un modern. S'ha de fer una separació molt clara entre el smartphone i el dumbphone. Els dumbphones tenen cobertura, i això implica que per funcionar, la teva companyia telefònica ha de conèixer on estàs per saber quina torre t'ha de donar cobertura. Més densitat de població vol dir més antenes de telefonia i això permet obtenir informació sobre els moviments de la persona. Tots els mòbils amb cobertura són vulnerables des d'aquest punt de vista. El mòbil pot trucar i enviar SMS, però com cap dels dos van xifrats, la companya telefònica pot llegir els SMS i escoltar les trucades.

Quins consideres que són els principals perills de l'ús dels smartphones? No només pels "objectius prioritaris", sinó pel que fa a la gent normal.

Per una banda, té els mateixos riscos que un dumbphone, és a dir, que la companyia telefònica pot llegir els missatges, saber per on passes i detectar patrons. També tenim la part de smart, és a dir, un smartphone és un ordinador petit i, com a ordinador, té vulnerabilitats en l'àmbit dels programes del sistema operatiu.

L'escletxa per la qual van poder instal·lar Pegasus al mòbil de Torrent va ser un error a WhatsApp. Recomanes l'ús d'altres apps de missatgeria com Telegram o Signal per evitar el hackeig?

La resposta populista seria dir que Signal o Wire és millor que WhatsApp. A Telegram els missatges no van xifrats i poden llegir els missatges. Van fer una campanya de màrqueting en què deien que era una eina segura, però en realitat és la més insegura de totes.

No obstant això, la resposta honesta és que cadascuna de les aplicacions té milions de línies de codi, i Signal, a diferència WhatsApp, té un codi obert, el que significa que tothom que vulgui el podrà llegir. Evidentment, no tothom sap llegir codi, però molta més gent podrà avisar de possibles problemes. A priori, això és molt millor, però no podem dir que sigui segur 100 %.

Al llibre recomaneu eines més segures, quines són? Creus que la gent en té suficient consciència?

Crec que és un joc d'estira-i-arronsa en què els tècnics són uns ultres que volen que facis servir les millors eines, però hi hauria d'haver un compromís per part dels tècnics d'intentar fer-les comprensibles. Tot i això, la gent s'ha de comprometre a provar-les. Signal és l'exemple perfecte, el fan servir els meus pares. El nivell d'exigència que s'ha de demanar a la gent normal és el que li exigiries als teus pares, perquè si ells no ho saben utilitzar, la teva aplicació està condemnada.

Aquestes eines són només de missatgeria? O també hi ha una versió més segura d'altres tipus d'aplicacions?

Gmail llegeix tots els correus i analitza totes les paraules per perfilar-te en una categoria social, nivell cultural, etc. i això és molt pervers. Hem de visibilitzar alternatives de correu com ProtonMail, Tutanota, entre d'altres. Alguns navegadors també són menys segurs que altres, per exemple, Chrome envia a Google totes les pàgines que visites, però hi ha alternatives com Brave o Firefox, molt més segures. Quant als sistemes operatius, això és més complicat i encara queda molt camí a recórrer. Es tracta de buscar alternatives i veure que moltes aplicacions es poden substituir per altres més respectuoses amb la nostra privacitat.

S’arribarà mai a una tecnologia totalment segura per a l’usuari?

Crec que ja ho he contestat, és impossible. Alguns diran que d'aquí a 10 anys sabrem molt més de seguretat, però els hackers també en sabran molt més sobre com penetrar aquesta seguretat. Estem immersos en aquesta carrera armamentística del segle XXI, però en lloc d'armes tenim programadors i contra-programadors. L'escenari és bastant pessimista en aquest sentit, però el que ha de fer la gent és ser conscient d'això i intentar prendre partit en un sentit o un altre.