Una investigación ha puesto al descubierto el hackeo de los teléfonos de Juan Carlos Campo, ministro de Justicia, y de Arancha González Laya, de Exteriores. Los investigadores señalan que se utilizaron técnicas de ingeniería social, en concreto el phishing.
El ConfidencialDigital (ECD) ha desvelado que no sólo hackearon los dispositivos móviles de estos dos ministros del Gobierno, sino también de otros altos cargos. Este hackeo ha disparado todas las alarmas en el seno del Ejecutivo.
Tal es así que el Centro Criptológico Nacional (CCN), que depende del CNI, como el Departamento de Seguridad Nacional (DSN), dependiente de Presidencia, ya investigan los ataques.
El digital que ha desvelado los hackeos contactó con Check Point Software Technologies Ltd, una compañía especializada en ciberseguridad a nivel mundial. Según estos expertos, se utilizaron técnicas de baja dificultad técnica.
Eusebio Nieva, portavoz de la compañía, explica que “el phishing consiste en engañar al usuario para que sea él mismo el que se infecte o acceda a sitios potencialmente dañinos”.
“En el caso de los ministros el anzuelo más utilizado fue el de hacerse pasar por una embajada. Bajo esa tapadera los hackers enviaron una comunicación con un link. Al pinchar las víctimas en el enlace se infectaron. Descargaron un malware o app, que era la que ponía en manos del hacker el teléfono del atacado”, añade.
Sin embargo, esta técnica, apunta, no es la más compleja. “Este tipo de hackeo es el de menor intensidad técnica de los que existen. No se explota una vulnerabilidad dentro del dispositivo, sino que es el propio usuario el que se infecta”.
El phishing puede venir enmascarado de distintos modos
La cuestión es que para conseguir que la víctima ‘pique’, se emplean técnicas de ingeniería social. Para ello, los hackers pueden atacar de distintas formas, como una comunicación que transmita urgencia o una amenaza, e, incluso, una recompensa.
El grado de falsedad de esa comunicación reside en que aseguran que proviene de un sitio del que en realidad no viene. En este caso, supuestamente provenía de una embajada. Según explican estos expertos, un sistema común es falsear las credenciales de plataformas como Office 365 o Amazon.
Se limitan a cambiar alguna parte del identificativo, como Office 356 o Amzon, dejando que sea nuestro cerebro el que rellene los ‘huecos’. “Son trucos psicológicos para engañar a los usuarios. El phishing es más sencillo que atacar el dispositivo por otra vía”, afirman.
No es la primera vez, ni la última, en que se produce un hackeo del dispositivo móvil de altos cargos o personalidades. Sin embargo, estos de ahora a los ministros se diferencian de otros anteriores, como el que sufrió el móvil de Roger Torrent, presidente del Parlament.
Sucedió a mediados de este pasado julio y para ello se empleó un software muy sofisticado, el Pegasus, de la compañía israelí NSO. Se trata de una herramienta que sólo pueden adquirir gobiernos o fuerzas de seguridad de Estados. Esto motivó que Torrent llegara a acusar al Ejecutivo español de espiarlo.
Volviendo al ataque sufrido por los ministros Campo y González Laya, Nieva señala la importancia de la seguridad de las comunicaciones. “Hay que tener en cuenta que no es solo necesario tener las llamadas cifradas y que nadie pueda interceptarlas. Aunque es un mínimo casi imprescindible, también es importante que nadie pueda infectar el móvil con una aplicación para hacerle un seguimiento o sustraer información como le ha ocurrido a los ministros”.
El hackeo por sí mismo no es peligroso
En sí, explica, un hackeo no es peligroso. En cambio, sí puede convertirse en un instrumento más para espiar o llevar a cabo un ataque. “Es difícil desestabilizar un gobierno, un partido político o una compañía solo con un hacking. Pero puede ser parte de una campaña que incluya otra serie de ataques”, apunta el experto.
Así, pone el ejemplo de que “gracias al hackeo puede conseguirse información que, por ejemplo, descubra un escándalo político mayúsculo. Y eso es lo que sí puede ser desestabilizante gracias a la mala imagen que puede extender”.
De hecho, así sucedió cuando se hackeó al Comité Nacional Demócrata en 2016, lo que, a la postre, favoreció a Donald Trump frente a Hillary Clinton.
También puede servir como un arma. “Se han detectado diversas acciones en esa dirección. Por ejemplo, hubo un ataque contra el ejército israelí en el que intentaron instalar apps maliciosas en los teléfonos de los soldados”, resume Nieva.
A pesar de que los teléfonos móviles son los más atacados, hoy por hoy, no hay especial seguridad en este tipo de dispositivos. Gracias al móvil se puede conocer la ubicación de su propietario –si lo lleva encima, claro— o filtrar sonidos por el micrófono. Incluso, encender la cámara.
Las soluciones son sencillas, indica el experto, con simples cortafuegos y más información al usuario. Pone algunos remedios, como usar “distintas contraseñas en las cuentas de internet, no abriendo mensajes de usuarios desconocido”, etcétera, zanja Nieva.