Siempre hemos sabido que los gobiernos y fuerzas armadas se espían entre sí. Pero en los últimos cinco años aproximadamente, hemos observado que están espiando también a organizaciones no gubernamentales, periodistas y personas que trabajan por los derechos humanos.
El mundo descubrió que los estados hackean objetivos “civiles” en 2010, cuando Google reveló que había detectado una intrusión del gobierno chino en sus sistemas. Seguidamente, Adobe Systems y Juniper Networksconfirmaron que habían sido víctimas de la misma campaña de ataques, y la consiguiente investigación reveló que Yahoo y Symantec también habían sido objeto de hackeos. Al mismo tiempo, China empleaba tácticas similarescontra ONG tibetanas, y sus ataques a la comunidad tibetana continúan a día de hoy.
Desde entonces, el hackeo a activistas para acceder a sus comunicaciones, redes y actividades online se ha convertido en una práctica habitual de los gobiernos de todo el mundo. Los alzamientos revolucionarios que se propagaron en 2011 por el mundo árabe en 2011 desataron a su vez una campaña de vigilancia selectiva de los grupos de activistas.
Periodistas, activistas y profesionales del derecho
Mamfakinch, organización de periodismo ciudadano, se vio hackeada por su propio gobierno a través de spyware comercial vendido por Hacking Team, empresa italiana de programas de vigilancia. Bahrain Watch, ONG dedicada al seguimiento de las ventas de armas al gobierno de Bahréin, fue objeto de espionaje (junto con otros activistas y destacados profesionales del derecho bahreiníes), por medio de otro paquete de spyware comercial, FinFisher (el cual, aunque está fabricado en Alemania, se distribuía en aquel momento a través de la empresa británica Gamma Group).
En los Emiratos Árabes Unidos, Ahmed Mansoor, miembro del Comité de asesoramiento sobre Oriente Medio de la organización Human Rights Watch, abrió un documento infectado que implantó el spyware de Hacking Team en su computadora, lo que permitió a las autoridades locales seguir la pista de sus movimientos y leer su correo electrónico. Un grupo de hackers que apoyan al gobierno de Siria y se hacen llamar Ejército Electrónico de Siria también ha sido la fuente de una oleada de hackeos que ha puesto en peligro a muchas organizaciones de prensa, así como a Human Rights Watch.
“Hacking” a múltiples niveles
Por supuesto, este tipo de actividades no se limita al mundo árabe. Los servicios de inteligencia del Reino Unido han interceptado las comunicaciones privadas de Amnistía Internacional. A finales de 2012, el Center for Democracy and Technology en los Estados Unidos de América sufrió ataques selectivos de grupos patrocinados por el gobierno chino. En diciembre de 2013, empleados estadounidenses de la Electronic Frontier Foundation (EFF) que habían estado trabajando con activistas vietnamitas fueron objeto deciberataques selectivos por parte de grupos asociados con el gobierno de Vietnam.
Los ataques a la EFF formaban parte de una campaña de hackeo selectivo de varios años de duración que incluía ataques a un periodista de Associated Press, un académico vietnamita residente en Francia y el fundador de Ba Sam, uno de los blogs más populares de la disidencia vietnamita. Más recientemente, en agosto del año 2015, otro activista de la EFF sufrió un ciberataque selectivo mediante una compleja táctica de “phishing” por parte de personas asociadas con el gobierno de Irán.
La punta del iceberg
Estos ataques documentados no son más que la punta del iceberg. Analizar estos incidentes con la profundidad necesaria para poder realizar declaraciones fundamentadas acerca de los perpetradores requiere tiempo y conocimientos especializados, e incluso así, puede no llegarse a resultados concluyentes. Por ejemplo, un ataquerealizado en 2012 contra el Committee for the Protection of Journalists parecía tener motivos políticos, pero no se pudo atribuir nunca a ningún gobierno concreto.
Hay otros motivos por los que no se documentan los ataques a ONG. Muchas ONG simplemente carecen de las infraestructuras necesarias para ser conscientes de cuándo están siendo objeto de un ciberataque. Incluso si, en ocasiones, se dan cuenta de algo raro, como un mensaje de phishing, a menudo no cuentan con expertos en plantilla, no saben dónde buscar ayuda adicional o son reacias a solicitarla porque supone admitir que se han visto comprometidas. Además, muchas ONG prefieren no revelar públicamente sus problemas de seguridad por miedo a menoscabar la confianza que sus activistas han depositado en la organización.
El silencio ayuda a los ciberatacantes
¿Qué pueden hacer las ONG y organizaciones de derechos humanos? Como primer paso, es necesario que entiendan que no pueden basarse únicamente en las comunicaciones encriptadas para protegerse. Necesitan planes de respuesta para hacer frente a los ataques selectivos, lo que incluye contar con una red de expertos a los que consultar en caso de hackeo, y pagar a profesionales de seguridad e infraestructuras.
Por último, las organizaciones deben considerar la posibilidad de denunciar públicamente las prácticas que consideren hackeo gubernamental. El silencio solo sirve para ayudar a los ciberatacantes. La información pública y accesible sobre ciberataques gubernamentales resulta útil para otras ONG que se enfrenten a amenazas similares, ofrece información necesaria a los usuarios potencialmente vulnerables para que puedan tomar medidas de protección adicionales, y nos permite entablar una conversación realista acerca de las amenazas a las que se enfrentan los y las activistas en todo el mundo, así como sobre qué podemos hacer para proteger a estas personas.
Morgan Marquis-Boire es asesor en funciones del Consejo de Tecnología y Derechos Humanos de Amnistía Internacional. Proporciona inteligencia sobre amenazas y conocimientos especializados sobre seguridad que fundamentan nuestra labor de investigación y defensa frente a los abusos contra los derechos humanos relacionados con las nuevas tecnologías. Eva Galperin es analista de política mundial para la Electronic FrontierFoundation en San Francisco.