Quienes desde la comodidad de sus laptops crean que allá afuera hay un mundo salvaje y cada vez más descontrolado, deberían prestar atención a la guerra silenciosa que transcurre aquí y ahora detrás de esta pantalla. El objeto en disputa son los datos, es decir, la estela de información que dejamos en internet, y que incluye desde nuestras transacciones bancarias, las compras e intereses personales, hasta la geolocalización, a su vez una herramienta utilizada por los gobiernos para combatir eventuales brotes de coronavirus.
Según los especialistas en seguridad informática, al unísono de la pandemia mundial se desató también una plaga de cibercrimen con admirable capacidad de adaptación a las más urgentes necesidades de mantener, al menos, una mínima parte de la vida económica, educativa y social online. Hecha de “hackers” profesionales, estafadores amateurs y oportunistas con ingenio y banda ancha, esta otra pandemia incluye distintas modalidades.
Desde el uso de vulnerabilidades en los foros administrados bajo la plataforma vBulletin (que diseña el software para casi todos los foros activos en internet), pasando por campañas de espionaje chino sobre distintos objetivos en el Pacífico (con los gobiernos de Australia, Indonesia, Filipinas, Vietnam y Tailandia en primer lugar), hasta ataques contra empresas de capitales privados en el Reino Unido (donde recientemente un grupo de “hackers” logró robarse más de un millón de dólares haciéndose pasar por una startup), según un informe publicado por el FBI. Desde que el mundo se encerró por la cuarentena, el cibercrimen denunciado se multiplicó por cuatro, mientras que el nivel de ataque de “software malicioso” creció alrededor del 30.000 por ciento. Y aunque su principal objetivo es acceder a cualquier tipo de información sanitaria que contribuya a la puja geopolítica por el control estratégico de la enfermedad, las pérdidas comerciales ocasionadas por los perdigones de esta “pandemia digital” ya rondan en el mundo entero una cifra cercana a los 1.700 millones de dólares.
En Argentina, mientras tanto, desde el inicio de la cuarentena hasta el 30 de abril, el crecimiento de las consultas por distintos crímenes virtuales creció un 47% en relación al mismo período del año pasado, según un informe de la Asociación Argentina de Lucha contra el Cibercrimen (AALCC). Para darse una idea de la naturaleza de este incremento en la web local, basta tener en cuenta que antes de la cuarentena, los cibercrímenes más comunes eran las calumnias, la extorsión online y las amenazas, mientras que ahora, en condiciones de encierro y “home-office” compulsivo, los primeros puestos están ocupados por la extorsión, el fraude y la suplantación de identidad. Según la AALCC, más del 51% de las consultas recibidas desde los últimos dos meses se relacionan con crímenes con un móvil económico, mientras que para el mismo período del año pasado apenas superaba el 38%. Entre el 20 de marzo y el 30 de abril, por ejemplo, la asociación recibió 45 consultas por extorsión on line, 39 consultas por phishing, 34 por distintos tipos de fraude y alrededor de 80 consultas más por motivos que incluyen calumnias, amenazas y usurpación de identidad entre otras razones.
piratas transnacionales con barbijo digital
En términos estadísticos internacionales, los países más afectados son los Estados Unidos (con el 54% de los casos denunciados), Canadá (15%) y Suiza (7%), lo cual, en realidad, dibuja un mapa más sensible que el geográfico: el industrial. Desde esta perspectiva, los rubros más atacados por los hackers son los de la asesoría comercial (20%), el diseño y la distribución de manufacturas (20%) y la administración y las finanzas (12%). Sin embargo, para quienes trabajan desde sus casas en Argentina en áreas menos estratégicas, las estafas son diseñadas a la altura de las circunstancias. Robo de datos personales (16,53%), secuestro virtual de información (20,42%), fraudes con tarjetas de crédito (14,89%) y usurpaciones de identidad son, según los especialistas locales, las modalidades que más crecieron durante las últimas semanas.
Por supuesto, al tratarse de internet, cualquier noción de frontera se disuelve. “Existen oleadas de ataques que presumiblemente vienen del exterior, como los casos de ‘sextorsión’ en los que se exigen pagos, generalmente desde Costa de Marfil. Sin embargo, el 2020 comenzó con una gran oleada de extorsión a través de correos en inglés en cuyo asunto se plasmaba una clave antigua del contactado en alguna red social. En este caso, se les exigían bitcoins para no difamar ni comprometer a la víctima. También existen casos de hackers locales, pero no tienen un nivel de organización sofisticado, generalmente son grupos pequeños o individuales”, cuenta Diego Migliorisi, abogado especialista en altas tecnologías y uno de los fundadores de la Asociación Argentina de Lucha contra el Cibercrimen.
“Aumentó todo lo que es phishing, o sea, el envío de correos electrónicos suplantando identidades para robar datos, y también los casos de ransomware, con los que se fuerza el pago de un rescate virtual para desencriptar información. Lo que se aprovecha es la urgencia y la necesidad de las organizaciones de estar operativas y online”, explica también un ingeniero en sistemas especializado en seguridad informática que trabaja para la filial porteña de una aseguradora internacional.
“A nivel de trabajo estatal, las medidas de seguridad para la modalidad de trabajo remoto son inexistentes o mínimas. En el ámbito privado, están las empresas bien preparadas que pueden continuar lo que llaman business-as-usual, y otras que al no calcular ningún estándar para el teletrabajo quedaron sobreexpuestas a cualquier riesgo”. Un caso ilustrativo sobre la seguridad informática estatal en nuestro país es el que involucró el año pasado a la Policía Federal, que expuso datos sensibles de la fuerza al subirlos a un “bucket S3 de Amazon”, una suerte de carpeta compartida expuesta a cualquier usuario de internet sin las restricciones correspondientes. Aunque los datos robados llegaron a las redes sociales y los “hackers” responsables se jactaron del logro, a los ojos de quienes saben, en realidad, vulnerar esas medidas de seguridad podría compararse con “encontrar un camión de Juncadella con las llaves puestas y creerse el mejor ladrón del mundo”.
En rubros privados con buenos recursos económicos, la desidia a la hora de tomar recaudos ante cualquier ataque digital es idéntica. Un ejemplo son los bancos: muchos obligaron a sus cuadros ejecutivos medios y gerenciales a no abandonar las oficinas ni siquiera durante la peor parte de la cuarentena, ya que no había ningún desarrollo de medidas de seguridad que les permitieran trabajar con información financiera sensible desde sus casas. Esta situación sigue vigente hasta hoy incluso entre los bancos más prósperos en el mercado financiero argentino.
los dueños de internet y el coronavirus
A nivel internacional, Microsoft fue una de las empresas tecnológicas que más seguimientos hizo de las tendencias en alza del cibercrimen durante la cuarentena. Entre los ataques detectados, uno de los más exitosos estuvo dirigido a diversas empresas estadounidenses a las que, a través de un correo falso en nombre del Centro de Tratamiento de Enfermedades, se les ofrecía información sobre un supuesto “plan de inicio de actividades comerciales para el mes de mayo”, incluyendo también una amable solicitud de datos bancarios para preparar los protocolos de cobranza. Cuando las víctimas ilusionadas con volver a trabajar abrían el correo, los hackers lograban accesos a los passwords guardados en sus equipos y solo les restaba cruzar los datos para saber cuándo usarlos. Lo curioso es que ninguna de estas advertencias impidió que el propio Bill Gates, erigido como un extraño profeta de la salvación del mundo, también quedara bajo ataque al publicarse gran cantidad de información reservada de la Fundación Gates y la Organización Mundial de la Salud.
En un nivel más mundano, la batalla sin pausa entre las empresas de Silicon Valley encontró un territorio inédito: las plataformas de videoconferencia, un mercado que de repente quedó dominado por Zoom, empresa californiana cuyo producto permitió bajo condiciones de encierro no solo un simulacro de reuniones de trabajo para más 300 millones de personas, sino una opción rápida para llevar adelante a través de las pantallas algo parecido a “eventos sociales” como fiestas y cumpleaños. En desventaja, Facebook, Microsoft y Google comenzaron de inmediato una feroz competencia con sus propias plataformas, lo cual expuso a Zoom, diseñado con un sistema de por sí frágil para resguardar los datos de sus usuarios, a otra ola de ataques contra sus vulnerabilidades. Para los expertos en seguridad, la única diferencia clave entre los distintos proveedores de programas para videoconferencias está en el soporte: no es lo mismo necesitar ayuda de los peces gordos del mercado tecnológico que de los chicos. En tal caso, Zoom se considera “una herramienta para peatones, no para corporaciones”, y el modo en que la información de sus usuarios resulta vulnerada lo demuestra bastante bien.
Un paso más allá del cibercrimen, la pregunta es: ¿quiénes deberían pagar el uso de los equipos personales (teléfonos, laptops y tablets) cuando dejan de funcionar como bienes personales y se convierten en instrumentos de laburo? Tal como explica el abogado Juan Pablo Chiesa, frente a la incertidumbre de los modos de trabajo bajo la pandemia, lo que hace falta es una regulación laboral clara que determine de qué manera empleadores y empleados deben relacionarse. Esta regulación probablemente requiera avances más rápidos, capaces de articular no solo la estabilidad del trabajo sino también la seguridad de los recursos técnicos y los datos sensibles involucrados.
hipótesis surcoreana
Denunciada como “un avance contra el sistema democrático” por referentes de la oposición macrista y por los coloridos voceros del libertarismo vernáculo con base en Twitter, la aplicación CuidAR fue diseñada bajo orden del gobierno nacional para monitorear los casos de coronavirus. La polémica recrudeció luego del anuncio por parte del gobernador Axel Kicillof de que el uso de la aplicación sería obligatorio en la provincia de Buenos Aires para los trabajadores vinculados a actividades esenciales.
La aplicación permite realizar –con carácter de declaración jurada– una autoevaluación de síntomas compatibles con el COVID-19, solicitar asistencia en caso de que el resultado del test sea positivo y, en el caso contrario, emitir o renovar el Certificado Único Habilitante para la Circulación. Las objeciones planteadas por Juntos por el Cambio se dirigen, en especial, a la incerteza por cuál será el destino de la información recogida, así como también al uso que ésta realiza de la geolocalización. El especialista en programación Franco Petrazzini señala que este trackeo no es ninguna novedad, ya que se encuentra entre los permisos que figuran en Google Play. El problema aparece cuando el uso de la app deviene obligatorio, dado que no hay leyes que limiten la circulación de la información provista por el usuario.
“Otro tema cuestionable, que viene desde hace tiempo, es que no tenemos soberanía tecnológica. El servicio que usan para ‘guardar’ (hostear) la información es AWS, subsidiaria de Amazon, probablemente usando los centros de servidores en Estados Unidos y San Pablo para guardar esta información”. Finalmente, según Petrazzini, la aplicación “debería ser open source (de código abierto). Esto permite que sea auditada por cualquiera que tenga el conocimiento técnico para hacerlo. De ese modo se podría saber, por ejemplo, si la información está encriptada, para que no pueda ser usada libremente”.
La Secretaria de Innovación Pública, Micaela Sánchez Malcolm, sostiene que: “Se permite hacer la ingeniería reversa del código. Está informado en los términos y condiciones, tenemos todo publicado en un sitio de internet referido a la aplicación y además la geolocalización es optativa, se pide únicamente en el momento posterior al ingreso del DNI y luego no se pide nunca más, excepto que se desinstale y se vuelva a instalar la aplicación. Con lo cual, no hay mayor oscuridad al respecto. Y, por otro lado, toda la administración de datos está validada, acompañada y certificada por la Agencia de Acceso a la Información. Los datos son anónimos en términos estadísticos, salvo los casos positivos, que no se mandan las bases de datos sino que los casos se derivan a un sistema de gestión al cual tienen acceso nada más que representantes de salud, que además han firmado declaraciones juradas para acceder a ellos”.
La discusión excede a la app CuidAr y está siendo objeto de análisis por especialistas en todo el mundo. Para algunos, las aplicaciones digitales son aliadas imprescindibles en la guerra contra el COVID-19. Para otros, son la punta de lanza de un avance alarmante de los Estados sobre la privacidad de los individuos. Este último análisis no toma en cuenta que esos datos, a los que se pretende resguardar con tanto celo, ya están siendo expoliados por el capital transnacional y rapiñados por ciberdelincuentes de diverso calibre. La pregunta de fondo, quizás, es hasta qué punto las democracias occidentales están preparadas para un combate desigual, que no tiene lugar solamente en las ciudades, sino también en el territorio mucho más inestable de internet.