El FBI advierte a los estadounidenses que mantengan seguros sus mensajes de texto: lo que debe saber

El FBI y otras agencias están alentando a la gente a utilizar cifrado de extremo a extremo, citando lo que dicen es una operación de piratería sostenida vinculada a China. En esta foto de 2021, la pantalla de un teléfono inteligente muestra aplicaciones de mensajería como WhatsApp, Signal y Telegram.

Damien Meyer/AFP vía Getty Images

ocultar título

alternar título

Damien Meyer/AFP vía Getty Images

No es frecuente que un Un consejo del FBI desencadena una verificación de datos de Snopes. Pero el mensaje urgente de la agencia este mes a los estadounidenses, a menudo resumido como «dejen de enviar mensajes de texto», sorprendió a muchos consumidores.

La advertencia del FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) destacó las vulnerabilidades en los sistemas de mensajería de texto que millones de estadounidenses utilizan todos los días.

Estados Unidos cree que los piratas informáticos afiliados al gobierno de China, apodados Salt Typhoon, están librando una «amplia y significativa campaña de ciberespionaje» para infiltrarse en las empresas de telecomunicaciones comerciales y robar datos de los usuarios y, en casos aislados, grabar llamadas telefónicas, afirmó un alto funcionario del FBI que habló con los periodistas bajo condición de anonimato durante una llamada informativa el 3 de diciembre.

La nueva guía puede haber sorprendido a los consumidores, pero no a los expertos en seguridad.

«La gente ha estado hablando de cosas como esta durante años en la comunidad de seguridad informática», dijo a NPR Jason Hong, profesor de la Facultad de Ciencias de la Computación de la Universidad Carnegie Mellon. «No se debe confiar en este tipo de comunicaciones no cifradas precisamente por esta razón: podría haber espías en muchas infraestructuras».

Entonces, ¿qué debes hacer para mantener tus mensajes privados?

«El cifrado es tu amigo» para mensajes de texto y llamadas telefónicas, dijo Jeff Greene, subdirector ejecutivo de ciberseguridad de CISA, en la conferencia telefónica. «Incluso si el adversario es capaz de interceptar los datos, si están cifrados, les resultará imposible, si no muy difícil, detectarlos. Así que nuestro consejo es tratar de evitar el uso de texto plano».

En el cifrado completo de extremo a extremo, las empresas de tecnología hacen que un mensaje sea descifrable sólo por el remitente y el receptor, nadie más, incluida la empresa. Ha sido la opción predeterminada en WhatsApp, por ejemplo, desde 2016. Junto con la promesa de mayor seguridad, hace que las empresas estén «a prueba de orden judicial» frente a los esfuerzos de vigilancia.

La buena noticia para las personas que usan teléfonos Apple es que iMessage y FaceTime también están cifrados de extremo a extremo, dice Hong. Para teléfonos Android, el cifrado está disponible en Google Messages si tanto los remitentes como los destinatarios tienen la función activada.

Pero los mensajes enviados entre iPhones y teléfonos Android son menos seguros. La forma más sencilla de garantizar que sus mensajes estén a salvo de espionaje es utilizar una aplicación cifrada de extremo a extremo como Signal o WhatsApp, dice Eva Galperin, directora de ciberseguridad de Electronic Frontier Foundation (EFF). Con estas aplicaciones, «sus comunicaciones están cifradas de extremo a extremo en todo momento», afirma.

Galperin destaca otro peligro: un hacker que haya logrado obtener su identificación y contraseña de un sitio web puede monitorear sus mensajes de texto para interceptar un código de acceso de un solo uso que se utiliza en la autenticación de dos factores (2FA).

«Este es un riesgo de seguridad realmente grave», afirma Galperin. Ella recomienda recibir mensajes 2FA a través de una aplicación como Google Authenticator o Authy o usando una clave de seguridad física para verificar el acceso.

El FBI y CISA también recomiendan a los usuarios que configuren sus teléfonos para que actualicen los sistemas operativos automáticamente.

«La mayoría de los compromisos de los sistemas no implican aprovechar vulnerabilidades que nadie más conoce», afirma Galperin, y añade que «a menudo, el fabricante del producto ha descubierto cuál es la vulnerabilidad, la ha solucionado y ha lanzado un parche». en forma de actualización de seguridad.»

¿Qué tan riesgo estás?

Debe ser consciente de su propio «modelo de amenazas», un concepto central en seguridad informática.

Hong dice que todo se reduce a tres preguntas: ¿Qué estás tratando de proteger? ¿Qué tan importante es para ti? ¿Y qué medidas debes tomar para protegerlo?

Si los elementos más valiosos de tu teléfono son fotos familiares, dice, probablemente no deberías preocuparte de que hackers extranjeros te ataquen. Pero, ¿qué pasa si ocasionalmente envías mensajes de texto sobre secretos nacionales o corporativos o datos políticamente sensibles?

«Si usted tiene un negocio, si es periodista, si está en contacto con manifestantes por la democracia en Hong Kong, Shenzhen o el Tíbet, entonces debería asumir que sus llamadas telefónicas y mensajes de texto no están a salvo del gobierno chino. «, afirma Galperin de la EFF.

Los malos actores, como los ciberdelincuentes, pueden tener objetivos diferentes, dice Hong, «pero si sólo haces unas pocas cosas relativamente simples, puedes protegerte de la gran mayoría de ese tipo de amenazas».

¿Qué están haciendo los piratas informáticos?

El FBI y CISA dieron la alarma dos meses después El diario de Wall Street informó que piratas informáticos vinculados al gobierno chino han irrumpido en sistemas que permiten a las agencias de aplicación de la ley estadounidenses realizar operaciones de vigilancia electrónica en virtud de la Ley de Asistencia en Comunicaciones para la Aplicación de la Ley (CALEA).

«Se trata de escuchas telefónicas legítimas que han sido autorizadas por los tribunales», dice Hong. Pero en manos de los piratas informáticos, afirma, las herramientas podrían usarse «para vigilar las comunicaciones y los metadatos de mucha gente». [hackers’] El foco está principalmente en Washington, DC».

El FBI dice que el ataque fue mucho más amplio que el sistema CALEA y que los piratas informáticos todavía acceden a las redes de telecomunicaciones. Estados Unidos ha estado trabajando desde finales de la primavera para determinar el alcance de sus actividades. Este mes, la administración Biden dijo que piratas informáticos chinos habían irrumpido en al menos ocho empresas de infraestructura de telecomunicaciones en Estados Unidos, y posiblemente más.

Los piratas informáticos robaron una gran cantidad de metadatos, dijeron el FBI y CISA. En muchos menos casos, dijeron, el objetivo fue el contenido real de las llamadas y los mensajes de texto.

Mientras las agencias trabajan para expulsar a los piratas informáticos, el FBI pidió a los estadounidenses que adopten un cifrado estricto: un cambio radical, dice Galperin, después de años de insistir en que las agencias policiales necesitan una «puerta trasera» para acceder a las comunicaciones.

Las agencias también quieren que las empresas refuercen sus prácticas de seguridad y trabajen con el gobierno para hacer que sus redes sean más difíciles de comprometer.

«Los adversarios que enfrentamos son tenaces y sofisticados, y trabajar juntos es la mejor manera de garantizar el desalojo», dijo el alto funcionario del FBI durante la conferencia de prensa.

En cuanto al riesgo para los consumidores cotidianos, expertos en seguridad como Hong y Galperin dicen que con grandes cantidades de información viajando entre nuestros teléfonos, quieren que las personas obtengan más ayuda para protegerse.

«Creo que realmente corresponde a los desarrolladores de software y a estas empresas tener una privacidad y seguridad mucho mejores de forma predeterminada», afirma Hong. «De esa manera no se necesita un doctorado para comprender realmente todas las opciones y estar seguro».