Wikileaks ha publicado la primera de siete partes de filtraciones relacionadas con el programa de ciberespionaje de la CIA. En los casi 9.000 documentos que se han liberado podemos conocer al detalle cómo la agencia de inteligencia utiliza smartphones y televisores para espiar. ¿Qué significa todo esto?

Qué sabemos hasta ahora

La organización fundada y dirigida por Julian Assange ha anunciado la que, aseguran, es la mayor filtración en la historia de la CIA. El nombre de esta operación es “Vault 7” y constará de siete partes o entregas, que se irán liberando a lo largo de las próximas semanas.

Este martes se ha publicado la primera parte, que han denominado “Year Zero” y consta de exactamente 8.761 documentos y archivos confidenciales filtrados que se obtuvieron de los servidores de la CIA. Entre los documentos hay información sobre cómo la agencia de inteligencia ha desarrollado ataques de día cero, exploits y otras herramientas para hackear smartphones Android, iPhones y televisores inteligentes para espiar a los ciudadanos.

No solo eso, la filtración asegura que la CIA no hizo todo lo posible para asegurar que estas herramientas para hackear dispositivos electrónicos estén completamente protegidas y fuera del alcance. Dicho de otro modo, existe el riesgo de que las herramientas caigan o hayan caído en manos de cualquier hacker que sepa cómo aprovecharlas.

No obstante, es de vital importancia dejar claro que ni la agencia de inteligencia ni el gobierno de los Estados Unidos han confirmado la veracidad de estos documentos. De hecho, es casi imposible que la CIA lo reconozca. Algunos expertos de seguridad ya se han encargado de verificar y desmentir parte de la información publicada.

¿Cómo consiguieron estos documentos?

Wikileaks no ha revelado ni piensan revelar la fuente de la filtración. No obstante, de ser confirmada su veracidad se trataría de un caso aún más grande y severo que cuando Edward Snowden filtró documentos de la NSA.

Según la organización de Assange, lograron obtener estos documentos gracias a que “circulaban entre antiguos hackers contratados por el gobierno de los Estados Unidos y contratistas de forma no autorizada”. Uno de estos le facilitó a Wikileaks los documentos, los cuales no eran más que una parte de toda la información que manejaban estas personas. Los documentos tienen fecha de entre los años 2013 y 2016.

Wikileaks cree que el hecho de que exempleados posean estos archivos sin autorización es prueba suficiente de que otros podrían conocer de su existencia y, por tanto, estarían al tanto de los detalles técnicos de estas herramientas de espionaje, lo que supone un verdadero riesgo de seguridad y privacidad para todos los usuarios de los dispositivos supuestamente afectados. La CIA podría haber perdido el control de todo el software malicioso que habrían desarrollado para su programa de ciberespionaje, y podría caer en otras manos.

Cómo te afecta esto

La mala noticia es que —tal y como pasaba con la NSA— la CIA ha estado desarrollando herramientas costosas y eficaces para hackear tu teléfono, tu PC, tu Smart TV y otros dispositivos de los que puede extraer información sobre ti. Da igual que estés fuera de Estados Unidos: Wikileaks ha revelado, por ejemplo, que el consulado de Estados Unidos en Fráncfort es una base encubierta de la CIA para sus hackers de Europa, Oriente Medio y África.

La peor noticia es que no importa qué aplicación uses para comunicarte: la CIA ha conseguido realizar ataques de día-cero en Android, iOS y Windows, lo que significa que puede hackear el sistema operativo de tu dispositivo y extraer los datos antes de que estos se cifren (y sin que te des cuenta). En otras palabras, el cifrado de WhatsApp sigue siendo seguro, pero una vez que tu teléfono ha quedado comprometido, el cifrado no sirve para nada. Es como cerrar con llave la puerta una vez que el ladrón ya está en la casa. Por eso es crucial que mantengas tus dispositivos actualizados: las plataformas obsoletas son más vulnerables.

La buena noticia (¡por fin!) es que todo lo que se ha revelado hasta ahora solo te afecta si la CIA quiere espiarte a ti directamente, pues para ello tiene que hackear tu dispositivo. Si la CIA quiere invertir tiempo y recursos en ti por alguna razón, parece claro que va a encontrar la manera de espiarte. Si no, por lo que sabemos tus aplicaciones con cifrado de extremo a extremo te cubrirán las espaldas (¡pero instala siempre los parches de seguridad!).

La mejor noticia es que los documentos publicados no incluyen datos sobre cómo utilizar o recrear las herramientas desarrolladas por la CIA, ni lo harán hasta que las vulnerabilidades sean neutralizadas, así que los exploitsdescubiertos por el gobierno de Estados Unidos están a salvo de otros hackers malintencionados o de tu vecino pervertido.

Qué puedes hacer al respecto

Estás cansado de oírlo, pero lo que debes hacer para proteger tu privacidad es seguir esos consejos aburridos que se repiten por activa y por pasiva:

• Mantener tus aplicaciones y sistemas operativos actualizados, especialmente con los últimos parches de seguridad.
• No hacer “jailbreak” a tu iPhone, no hacer “root” en tu Android.
• No instalar aplicaciones de fuentes desconocidas en tus dispositivos.
• Borrar las apps que no necesitas y que llevan tiempo sin actualizarse.
• Usar contraseñas más fuertes y almacenarlas de forma segura.
• Activar un segundo factor de autenticación en todos los servicios que lo permitan —como WhatsApp— o comprar una llave de seguridad U2F para hacer la verificación en dos pasos mediante hardware.
• Evitar enviar información personal a través de páginas web que no usan el protocolo HTTPS (las que sí, aparecen identificadas con un candado en tu navegador), así como en redes WiFi públicas.
• Si no son de fiar, abrir los documentos en servicios de la nube, como Google Docs, en lugar de Microsoft Office o Adobe.
• Darles preferencia a los fabricantes que ofrecen actualizaciones a largo plazo para sus dispositivos, y tener en cuenta que versiones antiguas de un firmware o un sistema operativo son más vulnerables.
• No hacer clic en enlaces sospechosos ni introducir memorias USB de desconocidos en tu PC.
• Comunicarte a través de aplicaciones que ofrezcan un cifrado robusto de extremo a extremo, como WhatsApp, Signal o Telegram.

Estas medidas básicas no te van a proteger de los exploits de la CIA hasta que Apple, Google, Microsoft y los fabricantes de dispositivos solucionen los fallos de seguridad de sus sistemas, pero serán tu mejor defensa ante cualquier ataque informático o robo de información en el futuro.

Qué sucede ahora

Lo primero que podemos esperar al respecto de Vault 7 y Year Zero es que cada vez aparezca más información. A medida de que cada vez más especialistas en seguridad informática y periodistas indaguen en los casi 9.000 archivos y documentos de la CIA conoceremos más detalles ante lo que promete ser el caso más grande una filtración afectando a una agencia de inteligencia internacional.

No obstante, a su vez debemos esperar declaraciones por parte de la CIA y las autoridades estadounidenses al respecto. La agencia de inteligencia, en declaraciones a The Washington Post, aseguró que “no hacemos comentarios al respecto de la veracidad o el contenido de supuestos documentos de inteligencia”. Aun así, tomando en cuenta la importancia del contenido de estas filtraciones, algún miembro del gobierno podría comentar al respecto.

En general, algunos expertos en seguridad y antiguos miembros de comunidades de inteligencia internacional han confirmado que al menos parte de la información en estos documentos es real. The New York Times aseguró que parte de la información que han analizado es genuina, mientras que el analista Jason Stern asegura que ha encontrado errores e incongruencias en la información que circula en la web sobre estos documentos:

“Algunos reportes mencionan que estos documentos revelan secretos importantes de la CIA, incluyendo su supuesta habilidad de penetrar aplicaciones cifradas de comunicación como Signal o WhastApp. Quiero que quede claro que esto es falso y los documentos no mencionan que esas aplicaciones hayan sido comprometidas.

Lo que sí menciona la filtración es que la CIA habría conseguido la forma de acceder a los móviles y comprometer su seguridad antes de que puedan ser cifrados con aplicaciones de mensajería como las mencionadas”.

Por su parte, el Wall Street Journal se ha puesto en contacto con algunos expertos en seguridad quienes aseguran que la información de Wikileaks es genuina, además de que estaríamos ante un caso aún más grande y severo que las filtraciones de Edward Snowden.

De comprobarse la veracidad de toda la información filtrada sería el turno de compañías como Apple, Google, Microsoft y Samsung para que solucionen los fallos de seguridad y las vulnerabilidades expuestas en los documentos de Wikileaks. Usando la información filtrada en Vault 7 estas empresas podrían identificar con facilidad los agujeros de seguridad en sus sistemas.

La filtración se llevó a cabo justo en una temporada de tensión entre Julian Assange y el gobierno de Ecuador, además de la posible extradición del fundador de Wikileaks a los Estados Unidos para ser enjuiciado.