Selfies i fotografies de les vacances, correus de feina, whatsapps personals –molt personals–, les contrasenyes del banc i el registre de l’activitat econòmica, les sèries, pel·lícules i música preferides, les hores de son diàries, el nombre de passes que hem fet caminant... Al mòbil ho guardem tot. I és l’objecte que sempre tenim a la vora. De dia, a la butxaca o a la bossa; de nit, damunt la tauleta de nit; i al lavabo, a la mà més sovint del que volem admetre. Amb un programa troià com Pegasus, qualsevol estrany pot accedir a tot el que es guarda al telèfon, però també sentir i veure tot allò que hi passa a la vora a través de la càmera i el micròfon de l’aparell. És una de les violacions de la intimitat més profundes que es poden cometre.
Inscriu-te a la newsletter Política
Una mirada a les bambolines del poder
Inscriu-t’hi
Hi ha res a fer per evitar-ho? Es pot pensar que no té sentit intentar-ho, que és poc probable que algú vulgui espiar un ciutadà normal i que si un estat o una gran multinacional ho volgués fer, no es podria esquivar. Però sí que hi ha mesures capaces de complicar una intrusió, perquè passen més sovint que no sembla, encara que no siguin tan cridaneres com les del Catalangate. Segons el ministeri de l’Interior espanyol, només el 2020 es van denunciar 33.242 ciberestafes bancàries a Catalunya, més de 90 al dia; més que robatoris en cases i negocis (24.907). I una bona part es fan amb malware intrusiu capaç de robar contrasenyes bancàries, phishing i tècniques semblants.
Alleugerir la motxilla
D’entrada cal pensar en la "motxilla de dades" que carreguem sempre dins el telèfon, tal com la defineix la guia Resistencia digital. Manual de seguridad operacional e instrumental para smartphones, del col·lectiu Críptica. El llibre proposa fer un inventari de tot allò que es guarda al mòbil, valorar què es considera "sensible" i establir prioritats per treure-ho del telèfon. A més, entre altres consells recomana "alleugerir pes" d’aquesta motxilla esborrant periòdicament arxius i dades, eliminant aplicacions que no es fan servir i tenint sempre en compte que no hi ha informació més protegida que la que no hi és: potser no cal guardar-ho tot al mòbil. Resistencia digital també avisa que pretendre estar a recer d’agències internacionals com la NSA nord-americana o el GCHQ britànic "és incompatible amb dur una vida normal i corrent".
Antivirus i mercats d’aplicacions
El consultor en seguretat informàtica José Nicolas Castellano avisa que Pegasus és un programari maliciós "que juga a la lliga top" i contra el qual és molt difícil defensar-se, però que hi ha malware intrusiu "que a la pràctica gairebé qualsevol pot comprar", dissimulat com eines de control parental o al mercat negre de la dark web. A més, tot i que les botigues d’aplicacions es revisen periòdicament, també hi ha apps que contenen programari maliciós pensat per extreure informació de l’usuari. Contra aquests casos recomana l’ús d’antivirus o aplicacions EDR (endpoint detection and response) per a telèfons Android, que detectaran la majoria d’amenaces conegudes. Els iPhone, diu Castellano, només poden instal·lar aplicacions de l’Apple Store, més tancada i sotmesa a més controls –tret que s’hagi fet un jailbreak a l’aparell, que multiplica el risc–. Però això tampoc vol dir que estiguin lliures de perill.
Atacs amb clic i sense clic
Per infectar un telèfon mòbil amb un programa troià cal tenir-hi accés d’alguna manera. Es pot fer robant-lo o aprofitant una distracció –i en aquests casos és important tenir una contrasenya o un sistema de bloqueig robust–, però la majoria de vegades la infecció es fa remotament. En aquest sentit, l’analista de seguretat en telèfons mòbils Àlex Soler diferencia entre atacs d'1 clic i de 0 clics –en el cas del Catalangate, n’hi ha hagut dels dos tipus–. Els d’1 clic impliquen enganyar el propietari del mòbil amb un phishing, un missatge que intenta que faci una acció: clicar un enllaç, descarregar un arxiu o una aplicació, obrir una fotografia... Amb aquest clic n’hi ha prou perquè el troià s’instal·li d’amagat a l'aparell. Per això cal evitar clicar un enllaç d’un servei de paqueteria si no s'ha comprat res a distància ni s'espera cap enviament, per exemple, i desconfiar de tot arxiu i enllaç d’origen desconegut. Els atacs de 0 clics no requereixen ni tan sols cap acció: s'envia i s'instal·la el troià sense que la víctima hagi de fer res i és gairebé impossible que se n’adoni.
Vulnerabilitats ‘zero day’
Els atacs prenen el control del telèfon aprofitant-ne les vulnerabilitats: escletxes i forats de seguretat al programari de l’aparell. Per això és important tenir sempre actualitzat tant el sistema operatiu com les aplicacions. "La majoria d’actualitzacions apedacen forats de seguretat", recorda Castellano. Soler afegeix que es pot reduir "la superfície d’atac", les possibles vies d'intrusió, eliminant les aplicacions que no es fan servir. Però hi ha vulnerabilitats que el fabricant del mòbil, del sistema operatiu o de l’aplicació ni tan sols sap que existeixen. S’anomenen zero day (de dia zero) i són les més buscades, perquè encara no tenen cap solució.
Hi ha tot un mercat negre al darrere dels zero days, diu Soler, amb experts que es dediquen a buscar-ne i que els venen al millor postor. Zerodium, per exemple, compra zero days de mòbils per entre 100.000 dòlars i 2,5 milions, segons la guia de tarifes que té publicada –assegura que només els ven a "institucions governamentals", preferentment dels EUA i Europa–. Un zero day que no requereixi cap clic i amb persistència per a iPhone es paga a 2 milions d’euros i per a Android a 2,5. Persistència, concreta Soler, vol dir que un malware instal·lat mitjançant aquesta vulnerabilitat aguanta encara que s’apagui o es reiniciï el telèfon. Això ens dona una pista: apagar el telèfon periòdicament pot ser una rutina preventiva eficaç contra els atacs basats en vulnerabilitats més barates, sense persistència. I tenir una còpia de seguretat de l'aparell actualitzada i restaurar-lo de fàbrica de tant en tant també. "La seguretat al 100% no existeix, però ho pots posar més difícil", afirma Soler.
Totes aquestes mesures poden ser insuficients, sobretot si l’adversari té prou temps i recursos –hi ha víctimes del Catalangate que van patir una trentena d’intents d’intrusió–. "Si se sospita que es té el telèfon infectat, la via més segura és anar a un expert", avisa Castellano. És veritat que hi ha programari de detecció que es pot descarregar –com MVT d’Amnistia Internacional, en el cas de Pegasus–, però per fer-lo servir correctament calen coneixements especialitzats.
Set consells i un manual per als més preocupats
-
Revisa què tens al telèfon i no hi afegeixis o elimina’n la informació més sensible
-
Fes servir antivirus i aplicacions EDR, sobretot en Android
-
Evita clicar enllaços inesperats i descarregar arxius d’origen desconegut
-
Esborra o deshabilita les aplicacions que no fas servir o no necessites
-
Apaga el telèfon periòdicament, no és bona idea tenir-lo sempre engegat
-
Mantingues una còpia de seguretat actualitzada i, de tant en tant, restaura l’aparell
-
Si sospites que t’han infectat el telèfon o no es comporta com tocaria, busca un especialista
-
Consulta la guia 'Resistencia digital. Manual de seguridad operacional e instrumental para smartphones', escrita per Carlos Fernández, Enric Luján, Rocío Moreno, Víctor Rizo i Eduard Sanou, del col·lectiu Críptica
![Vista general de l'edifici del Centre Nacional d'Intel·ligència (CNI).](data:image/svg+xml,%3Csvg xmlns="http://www.w3.org/2000/svg" viewBox="0 0 16 9"%3E%3C/svg%3E)
