Durante más de una década, Dan Harris y otros han estado escribiendo en este espacio para advertir que debes ser "paranoico" sobre la seguridad de tus datos cuando viajas a China. En este post, de 2010, Dan escribió: [Cuando estoy en China] "Asumo que mi habitación de hotel tiene micrófonos ocultos y que mi Internet está vigilada. Asumo lo peor y tomo todas las medidas que puedo para tener cuidado".
A mí también. Solía viajar a China todo el tiempo y, cuando visitaba Pekín, solía alojarme en el mismo hotel de 5 estrellas convenientemente situado. Donde siempre me asignaban la misma habitación. ¿Cuáles son las probabilidades de eso, dices? Alrededor de 258 a 1, si sólo me hubiera alojado allí dos veces, y me alojé allí docenas de veces. Supongo que el presupuesto de la Oficina de Seguridad Pública (OSP) no alcanza para cablear todas las habitaciones para el sonido (¿y las imágenes?).
El mes pasado salió a la luz una noticia sobre una empresa israelí llamada NSO Group y su programa espía Pegasus. En caso de que te hayas perdido la historia, el software espía Pegasus se vende supuestamente sólo a agencias gubernamentales. Infecta el teléfono del objetivo y envía datos, incluidas fotos, mensajes y grabaciones de audio y vídeo. Básicamente, copia todo el contenido del teléfono del objetivo.
Ya se puede imaginar el argumento de venta: "Esta aplicación le permitirá identificar terroristas y otras amenazas a su seguridad nacional. No se la vendemos a nadie más que a clientes gubernamentales, así que ya sabe que los malos no tienen la misma capacidad. Ah, y es irrastreable, así que aunque la gente descubra que ha sido hackeada, no sabrá quién lo ha hecho".
Ciertamente, esa especie de "visión divina" del interior de los dispositivos electrónicos es agradable de tener si se está en el negocio de la lucha contra el terrorismo o la prevención de la delincuencia. Pero, ¿quién se imagina que los gobiernos no vigilan a los sospechosos de terrorismo? No cabe duda de que el gobierno de Estados Unidos lleva décadas vigilando sin orden judicial a ciudadanos estadounidenses dentro de sus fronteras, en la mayoría de los casos con la ayuda voluntaria de las operadoras de telecomunicaciones estadounidenses. Recientemente se reveló que la administración Trump (a través del Departamento de Justicia) espió al menos a cinco periodistas estadounidenses que trabajaban para medios de comunicación que el presidente Trump consideraba sus "enemigos".
Y los medios de comunicación que publicaron la historia de Pegasus descubrieron que en una muestra de 1.000 de los teléfonos que habían sido pirateados (se cree que el total supera los 50.000) estaban los de cientos de políticos y funcionarios del gobierno -entre ellos tres presidentes, 10 primeros ministros y un rey-, además de 189 periodistas y 85 activistas de derechos humanos. Enemigos del Estado, en otras palabras. O dicho de otro modo, enemigos de... alguien que disponía de una herramienta de vigilancia muy potente y quería tener todo controlado.
Y, por supuesto, por débiles que sean sus protecciones en Estados Unidos, en China (y lugares similares) son inexistentes.
Hace unos 10 años, en uno de mis muchos viajes a Pekín, me presentaron a un consultor de seguridad israelí, presumiblemente ex-Mossad, que se ganaba la vida desarrollando soluciones de encriptación de datos. Varios meses después de nuestro primer encuentro, volví a encontrarme con "Lev" en el vestíbulo de mi hotel. Se quedó pasmado y me preguntó: "¿Qué haces aquí?". Le contesté: "Me alojo aquí, Lev. Siempre me alojo aquí". Pareció aceptar a regañadientes mi historia y dijo: "Nunca me alojo dos veces en el mismo hotel".
Luego me contó que en un viaje anterior a Pekín, su cliente le había llamado al hotel para invitarle a comer. Curiosamente, Lev no se había llevado el portátil y, al terminar la comida, se encontró con que su cliente intentaba retrasar su regreso al hotel. Finalmente, Lev dijo: "Mire, de verdad que tengo que irme". Cuando volvió a su habitación, el portátil había desaparecido. El RSP había sido incapaz de descifrarlo durante los 90 minutos que había estado fuera y simplemente se había llevado el portátil para intentar terminar el trabajo.
"¿Qué pasó entonces?", pregunté.
"Lo devolvieron más tarde ese mismo día", dijo. "Sin disculparse".
"Entonces, ¿crees que lo han descifrado?", pregunté.
"Ni en un millón de años podrían descifrarla", respondió, con lo más parecido a una sonrisa. Por eso Lev estaba en Pekín: para vender la tecnología "indescifrable" de su empresa a algunas de las muchas personas que preferirían no revelar sus secretos al gobierno chino o a quien fuera.
Una historia similar me la contó un amigo abogado que estaba de viaje de negocios en Japón, donde representaba a un grupo que no era querido por el gobierno japonés (pero que, no obstante, tenía derecho al debido proceso judicial, cabría pensar). Mi amigo volvió a su habitación de hotel después de una reunión y se encontró con un par de japoneses trajeados (mi amigo supuso que eran agentes de la Oficina de Seguridad de la Agencia Nacional de Policía) examinando la pantalla del ordenador portátil que mi amigo había dejado abierto sobre el escritorio. "Estamos comprobando la red", le dijeron los Hombres de Negro (¡en buen inglés!), y salieron caminando junto a él, tranquilamente.
Mi amigo no se había dejado nada que mereciera la pena encontrar en su habitación y, al igual que yo, supone que las habitaciones de hotel están preparadas para el sonido (como mínimo).
En un artículo que leí sobre el Proyecto Pegasus, el autor (antiguo reportero de The Wall Street Journal) señalaba que había contratado recientemente a un antiguo experto en vigilancia del gobierno para que le enseñara a eludir la vigilancia. Escribió: "Recorrimos Londres discutiendo posibles escenarios, pero la impresión que me quedó fue la siguiente: todos los días, en las principales ciudades del mundo, hay equipos de cuatro o cinco personas que siguen a empresarios, figuras políticas y periodistas para averiguar con quién se reúnen y qué se dicen. Cuando pregunté al colega de este experto cómo podría acceder a mi teléfono si lo contrataba para el trabajo, me explicó que una forma sería seguirme hasta una estación de metro con una mochila que emitiera una potente señal WiFi con el mismo nombre que la WiFi de mi proveedor de servicios móviles en el metro. Cuando mi teléfono se conectara a ella, sin darse cuenta de que era falsa, quedaría instantáneamente comprometido con malware. Un disidente político me habló de una moto sospechosa aparcada delante de su casa de Londres. Cuando la policía la comprobó, encontró un router WiFi conectado a la batería de la moto con el mismo nombre que el WiFi de su casa. Hay un nombre para este ataque: "gemelo malvado".
Aunque lleves portátiles "limpios" y utilices teléfonos "desechables" cuando viajas al extranjero (lo que, en mi inexperta opinión, te sitúa en el uno por ciento de los empresarios más preocupados por la seguridad), ¿caerías en esta trampa? Ya me lo imaginaba.
Si tienes secretos, es casi seguro que necesites mejorar tu seguridad. Si tienes secretos realmente importantes, probablemente deberías contratar a un consultor de seguridad que te ayude a mantenerlos a salvo.
