Un equipo de directivos se reúnen en la sala de conferencias de un hotel. O dos altos cargos de dos empresas distintas. O dos presidentes del gobierno. En un hotel, en un restaurante, en un coche o en la sala de una empresa privada. Lo que ustedes quieran: personas de alto poder que hablan en un entorno cerrado de asuntos muy sensibles, en los que una fuga de información pueda traducirse en mucho dinero perdido de forma directa o indirecta. No es que no hayamos conocido casos locales que de una forma u otra han sido atacados..
Para todas esas situaciones, la preocupación de estar siendo espiado siempre está ahí. Y hay muchas formas en las que puede darse esa situación. Ahí es donde entra la contravigilancia electrónica: las medidas que previenen, detectan y contrarrestan el espionaje. A través de micrófonos, grabadoras, cámaras, balizas GPS o cualquier sistema que capture la información clave para sacarla fuera de donde debe permanecer.
Prevención infinita
"Cualquier empresa estratégica, con intereses en el extranjero o que desarrollen productos o servicios I+D, Defensa, Farmacia, etc. pueden estar expuestas a espionaje por parte de empresas rivales o incluso actores estatales, independientemente de su tamaño", nos explica Javier Conde, Detective Privado, Perito Informático Forense y técnico de Grupo NHS Contramedidas.
Por eso cuando se celebran juntas directivas o reuniones similares recurren a este tipo de servicios, que vigilan y previenen el espionaje y las filtraciones. Aplica a empresas de casi cualquier tipo siempre que tengan información sensible que proteger con un impacto económico directo en caso de ser detectada. Hasta los clubes deportivos de élite protegen sus conversaciones más relevantes.
Los ayuntamientos y los grandes partidos políticos suelen recurrir también a estos servicios, y en su caso, haciendo auditorías de seguridad periódicas, especialmente con cada final de legislatura para asegurarse de que no quedan posibles vectores de espionaje por parte del equipo anterior, especialmente cuando cambia el signo político de una institución.
Estos son los tipos de clientes principales que tienen empresas como la de Javier. Apenas trata con particulares, y desde luego no lo hace con grupos terroristas y crimen organizado, que también recurre a este tipo de servicios.
"Es cierto que el crimen organizado compra dispositivos en tiendas 'tipo espía' para intentar detectar vigilancias policiales, pero son equipos de gama baja y habitualmente no disponen de equipamiento técnico adecuado para ello, ya que los equipos profesionales están controlados con carta de usuario final, para evitar que llegue al mercado negro y a países con veto", explica Javier.
Micrófono usado para el espionaje. A su lado, moneda de 1 céntimo para contextualizar su reducido tamaño. Imagen: Grupo NHS.
Así y todo, cualquier persona puede comprar ciertos dispositivos de espionaje y hacerlos servir incluso sin tener apenas conocimientos técnicos, aunque sean más básicos, si bien este tipo de usuarios suelen tener como destino un contexto más doméstico.
"El espionaje 'casero' en ocasiones se usa, por ejemplo, para conocer la estrategia procesal de la otra parte en caso de divorcios, herencias o contextos familiares problemáticos. También se han dado casos de la instalación de balizas caseras para geoposicionar parejas y otros. Se debe advertir de que estas acciones de espionaje, carentes de autorización judicial, pueden ser constitutivas de delito", cuenta David Marugán, especialista en seguridad y radiocomunicaciones.
En casos como este, cuando podamos tener sospechas de estar siendo espiados, es recomendable presentar una denuncia ante la policía, y si se trata de cámaras ocultas en establecimientos hoteleros o apartamentos vacacionales, por ejemplo, una opción para hacer comprobaciones in situ es la compra de un detector óptico de cámaras ocultas, si bien no es algo que encaje en cualquier presupuesto.
En el caso del espionaje en grandes empresas e instituciones gubernamentales o similares, la sofisticación es mucho mayor, y por tanto, también lo es la capacidad para detectarlo. Las grandes empresas no solo actúan antes de momentos sensibles, como una junta directiva, sino que hacen revisiones mensuales o bimensuales, y no solo en sus instalaciones.
"También en todo tipo de vehículos, jets privados, hoteles y residencias vacacionales de los altos directivos. En periodos de negociaciones, fusiones, adquisiciones, OPAs o subastas, como puede ser la subasta del 5G, se revisan algunas dependencias diariamente por parte de personal formado de departamentos de seguridad de las compañías o empresas especializadas en TSCM", dice Javier. 'TSCM' son las siglas de Technical Surveillance Counter-Measures, el barrido electrónico.
Imagen: Grupo NHS.
Imagen: Grupo NHS.
Si bien no puede explicar el protocolo exacto que realiza su empresa por seguridad para sus clientes, sí nos resume que engloba varias pruebas técnicas. "El análisis de espectro RF de 10 KHz a 24 GHz, análisis de corriente eléctrica, detección de transmisiones 4G-5G, análisis de teléfonos, centralitas y líneas telefónicas, análisis de protocolos inalámbricos como WiFi y Bluetooth, detección de dispositivos por ultrasonido, o incluso la detección de dispositivos que transmiten voz a través de luz no visible, entre otras". Ahí se trabaja en detectar tanto los dispositivos que transmiten información de forma continua como los que lo hacen en diferido.
Analizador de espectro Oscor Green 24 GHz para el barrido electrónico. Imagen: Reiusa.
Analizador telefónico con reflectómetro TALAN DPA-7000. Imagen: Reiusa.
Detector de junturas ORION HX (NLJD), usado para detectar dispositivos electrónicos ocultos alámbricos, sistemas de vigilancia aunque estén apagados, cámaras ocultas alámbricas o micrófonos. Imagen: Reiusa.
Y añade un dato curioso: durante la época del COVID-19 se detectó un incremento de espionaje electrónico a compañías farmacéuticas, tanto a directivos como a personal técnico. Había mucho dinero en juego para quienes desarrollaran las vacunas. La empresa de Javier también ha realizado barridos para proyectos extranjeros de empresas españolas que optaban a un contrato internacional, neutralizando amenazas en un contexto en el que otras empresas rivales tenían el apoyo de sus respectivos países, según cuenta el propio Javier.
Agujeros
¿Por dónde se puede fugar la información que una empresa paga mucho dinero por proteger? En primer lugar, están las amenazas de ciberseguridad habituales, pero incluso cuando la red interna está protegida, llegan las amenazas físicas: dispositivos de escucha, de grabación, de transmisión en tiempo real... Ahí es donde entra el eslabón humano. Y ahí es donde entra la contravigilancia.
Empleados desleales que facilitan el espionaje instalando elementos de escucha, por ejemplo, o trabajadores descontentos que aprovechan para ganar un dinero en forma de soborno a cambio de introducir esos dispositivos. A veces ni hace falta dinero, basta con el despecho y el revanchismo.
Estos elementos de escucha han llegado a un nivel de miniaturización muy sofisticado. "Hoy en día la electrónica usada para el espionaje tiene unas dimensiones muy pequeñas, algunos dispositivos transmiten digitalmente con diversos algoritmos de cifrado y vías de transmisión, como por ejemplo el cableado eléctrico y telefónico, o incluso en el espectro de luz no visible; hemos observado que tienen más autonomía y mayor calidad que en años anteriores. Son capaces de captar el audio a diversos metros de distancia dificultando así su detección", según añade David.
Hoy día hay micrófonos ocultos que aprovechan hasta la infraestructura de las empresas. "Por ejemplo, los micrófonos ocultos en cables de tipo Ethernet RJ45, muy difíciles de detectar si no se analizan todos los cables de red con los equipos adecuados; micrófonos ocultos que aprovechan el propio cableado eléctrico existente, o dispositivos de grabación programados para activarse en un horario determinado, un día en concreto, o cuando se detecte voz en el ambiente". A ese nivel llega la amenaza del espionaje.
Más allá del cifrado
Para algunos tipos de grupos no solo basta con cifrar la información o asegurar la confidencialidad de los mensajes transmitidos: su tipo de actividad requiere ocultar la propia comunicación. Es lo que hacen por ejemplo los Servicios de Inteligencia o el crimen organizado, incluyendo grupos terroristas.
David nos cuenta que esto ya era habitual durante la Guerra Fría y todavía hoy, con ejemplos como el de los espías ilegales de Putin en 2010. Son este tipo de grupos los que usan dispositivos SRAC (de corto alcance) o el uso de "buzones muertos".
"Un ejemplo curioso es el uso de las funciones de teletexto, hoy en desuso, por parte de organizaciones criminales, para mandar mensajes codificados a algunos reclusos usando mensajes de la sección 'contactos' y similares. Por ello en algunas cárceles tuvieron que deshabilitar el módulo de teletexto en las televisiones. Hay muchísimos ejemplos en los que se usan este tipo de comunicaciones".
A la hora de contratar servicios de contravigilancia electrónica, David recomienda contratar a empresas profesionales con certificaciones y equipamiento actualizados, además de conocer a las personas que acudirán a realizar los servicios. "Aunque hay personas que ofrecen supuestos barridos con detectores de frecuencia de 100 euros con toda clase de luces y sonidos, una empresa que quiera ofrecer eficacia mínima debe invertir una media de 100.000 a 160.000 euros para prestar servicios TSCM profesionales con ciertas garantías".
Contravigilancia digital y trampas para atacantes
Para cuando la amenaza no tiene un formato presencial, con dispositivos de escucha o similares, entra la contravigilancia digital: la anticipación a las amenazas en torno a la ciberseguridad. No solo la ciberseguridad per se, sino el enfoque específicamente preventivo frente a ataques.
De esto sabe un rato David Barroso, CEO de CounterCraft, empresa de ciberseguridad especializada en la neutralización de amenazas. Nos explica que, aunque es muy difícil llegar a una protección total para una empresa en este sentido, pues un 100% de seguridad es poco más que una quimera, sí tienen su propio enfoque.
"Nosotros no jugamos a pegar un martillazo al topo en cuanto asoma la cabeza, que es como suelen trabajar las organizaciones, controlando daños hasta que llegue el siguiente incidente. Nosotros hemos invertido eso: ponemos trampas a los atacantes. Dejamos archivos y puertas abiertas que ellos creen auténticos pero son ficticias, y se han puesto ahí precisamente para detectarle e identificarle", nos cuenta.
"Desplegamos esas trampas dentro y fuera de las organizaciones, en lugares que una persona normal no encontrará, como redes Wi-Fi, documentos corporativos o elementos en la nube. El atacante creerá que ha encontrado el tesoro, pero solo es nuestra estrategia de defensa. Se entretendrá con eso, y además nos dejará saber más sobre él. Por hacer un símil, es como si nosotros custodiamos un diamante y creamos una habitación donde hay una réplica falsa protegida por rayos láser. Cuando el ladrón llegue allí podremos ver de dónde viene, qué información ha dejado...", añade.
Una vez un atacante llega a la trampa, ya sea una carpeta con lo que parece información confidencial, ya sean credenciales de acceso a un servidor o ya sea una VPN corporativa, empresas como CounterCraft empiezan a rastrear ese acceso. No solo son entornos simulados, sino incluso que se genera una actividad ficticia para que el atacante esté convencido de que ha llegado a su objetivo, incluyendo accesos simultáneos de falsos emplaedos o interacciones entre ellos. Simulan vida alrededor de ese escenario de cartón-piedra.
Para esta generación de entornos simultáneos, por cierto, recurren a la Inteligencia Artificial generativa. Por ejemplo, para que los textos que contienen los documentos, que no pueden ser los reales, sí parezcan los auténticos y tengan un sentido. En lugar de echar horas redactando versiones alternativas, lo dejan en manos de ChatGPT y compañía.
Barroso coincide en que el ser humano tiende a ser el eslabón más débil en la cadena de la seguridad. "Incluso al mayor experto en seguridad se le puede engañar, aunque requiera más tiempo y habilidad. Los humanos confiamos demasiado en las personas", explica. "Hay muchos tipos de ataques, como el del CEO, que simula que el CEO envía un correo metiendo prisa para recibir una información sensible".
Ese tipo de ataques suelen estar muy estudiados: en timing, como enviando este correo un viernes a última hora transmitiendo celeridad para que la víctima se sienta presionada; o en contexto más amplio, como atacar justo cuando hay una auditoría en marcha o un alta de un nuevo proveedor, donde tiene sentido que se intercambie cierto tipo de documentación confidencial.
En esos casos no es nada demasiado tecnológico, sino pura ingeniería social, como el phishing. Una guerra eterna. No obstante, precisamente si son ataques muy dirigidos es cuando más difícil resulta estar preparado. Pese a las trampas.
En cambio, cuando el atacante pesca con red en lugar de con caña, es más difícil que tenga éxito. El mencionado fraude del CEO suele realizarse a granel y con una tasa de éxito del 1%, o menos, ya suele compensar. Otra cuestión, como decimos, es un ataque dirigido, que estará mucho mejor preparado y será más convincente.
E incluso los equipos delictivos mejor preparados suelen acabar cometiendo algún error que puede ser explotado en su contra. En el caso de Barroso, recuerda un caso en el que trabajan junto a un cuerpo policial europeo y buscaban atraer a un grupo criminal a sus entornos ficticios para que desplegaran ransomware allí. "Esa gente usa muchas formas de anonimizar la conexión: Tor, redes de proxies, VPNs robadas... Pero en una conexión, una persona se conectó desde su domicilio, debió olvidar conectar el sistema. El cuerpo policial le localizó y arrestó. Sin ese fallo, quizás nunca podríamos haber conseguido ese éxito", rememora el CEO. El eslabón humano, tan poderoso y tan débil.
Imagen destacada | Grupo NHS.
En Xataka | Cada vez es más difícil encontrar una tele tonta. Y es porque los fabricantes quieren ser cada vez más listos.
Ver 6 comentarios