Cuando nadie me ve

Cuando nadie me ve
  • Una cámara web es una ventana al mundo, pero también una ventana que debes proteger con mucho ojo

Parece que fue ayer cuando salieron al mercado las primeras cámaras web. Curiosamente, este invento surgió a principios de los 90 en la Universidad de Cambridge para poder ver cuánto café quedaba en la cafetera que compartían unos cuantos compañeros y que nos les quedaba muy a mano.

Sea como fuere, vagancia o necesidad, la cámara web (o webcam) existe incluso antes de que Internet estuviera disponible para los usuarios como tú y como yo. En la actualidad, la webcam se concibe fundamentalmente como un periférico integrado en el dispositivo. Ya apenas se usan webcams USB.

Integrada o sin integrar, la webcam es un elemento demasiado presente en nuestras vidas. Y si no, que se lo digan a los adictos a los "selfies". De hecho, prácticamente todos los dispositivos conectados a Internet acaban incorporando, de una manera u otra, una cámara: un móvil, una tablet, una televisión inteligente… Esto, que por un lado puede parecer algo positivo, se convierte en un elemento bastante crítico desde el punto de vista de la ciberseguridad.

Una ventana al mundo

Y es que, como hemos venido contando en anteriores artículos, la tecnología en manos equivocadas pasa de ser un servicio a ser una amenaza.

Uno de los objetivos que se persiguen al infectar un dispositivo suele ser el robo de información. Esto se da, sobre todo, cuando la infección es dirigida; es decir, el ciberdelincuente busca sacar información de un individuo concreto y para ello diseña un ataque que le acabe dando el control de su móvil, su ordenador, su tablet (o todo ello).

Adelantamos en el artículo "Mi ordenador es un zombi" que cuando se infecta un equipo con un troyano, una de las finalidades es controlar la cámara web. Con este elemento se pueden obtener no sólo capturas, sino también vídeos casi en tiempo real generados directamente desde el propio dispositivo. Si tenemos en cuenta que hay equipos, como los teléfonos móviles y algunas tablets, que no sólo tienen una webcam, sino que tienen una por delante y otra por detrás, las posibilidades para el atacante son muchísimo mayores y la información que puede obtener es mucho más "jugosa".

A raíz de escándalos de espionaje y noticias que se han ido publicando en diversos medios, el usuario está empezando a mentalizarse de que una cámara web es tanto una ventana para conectarse con el mundo como una ventana por la que el mundo puede conectarse a él. Fruto de esa concienciación es la práctica, cada vez más extendida, de tapar la webcam, ya sea con cinta adhesiva, un post-it o cualquier otra cosa.

Existen unas tapitas de plástico que se venden para esta finalidad y ofrecen la posibilidad de personalizarse, por lo que es un regalo publicitario muy socorrido últimamente en eventos tecnológicos.

El ser humano es un cúmulo de hábitos con patas

En las charlas que damos a los colegios una de las preguntas que les hacemos es, precisamente, si tienen tapada la cámara web de su ordenador o su portátil. La inmensa mayoría dice que sí: unos de una manera y otros de otra, pero al fin y al cabo, la tienen tapada.

Ahora bien, ¿qué sucede con la cámara del móvil? Aquí es donde viene lo curioso… Prácticamente nadie aplica este mismo hábito a su móvil. Es decir, lo más común es que un usuario tenga tapada la cámara de su portátil pero no de su móvil. Si tenemos en cuenta que nos pasamos casi todo el día pegados a nuestro móvil, el que tengamos tapada la cámara de un equipo por el que nos conectamos muy de vez en cuando es como quien se molesta en blindar las ventanas de su casa, y después deja su puerta abierta.

Aunque existe muchísimo malware para ordenadores, la tendencia es creciente y clara hacia el mundo móvil. Y no es algo trivial; el mismo descuido que manifiestan los usuarios no tapando la cámara de su móvil lo tienen con otros hábitos como son el no usar antivirus o conectarse a cualquier red sin importarle lo que pueda haber. A esto podemos sumarle que la gran mayoría de los usuarios de Internet, hoy por hoy, tienen una parte muy importante de su vida en su móvil: sus contactos, sus comunicaciones, sus preferencias, sus hábitos… todo.

También se venden tapas para móviles y tablets aunque, como digo, su uso está muy pormenorizado. Creo que uno de los motivos, además de esa falta de concienciación, es la incomodidad que supone el tapar y destapar cada vez que se usa. Sin embargo, y como venimos diciendo en todos nuestros artículos, es vital adquirir buenos hábitos para evitar que llegue el momento en el que tengamos que lamentarlo.

Vivimos una secuela de 'El show de Truman'

Hasta hace poco existía la creencia de que, si te espiaban a través de la webcam, lo hiciera un ciberdelincuente o lo hiciera la NSA, la lucecita de testigo de la cámara tenía que cambiar de color; es decir, mientras estaba de color rojo todo iba bien, porque significaba que la cámara estaba apagada.

Sin embargo, hay varias publicaciones por Internet en las que se alerta sobre este hecho, diciendo que no sólo no es fiable, sino que es posible mantener la luz de testigo en rojo mientras que la cámara está encendida, captando imágenes sin que el usuario se percate de ello. Es más, existen varios manuales en Internet que explican cómo hacerlo. Uno de los más sonados fue "iSeeYou", un paper publicado en 2013 que documenta el proceso para deshabilitar la luz de testigo de un equipo MacBook.

El siguiente vídeo muestra un experimento en el que se inyecta malware en los equipos de unas personas y posteriormente se les llama por teléfono para ver su reacción.

Otro asunto no menos importante es el tema del audio. Las cámaras web modernas integran un micrófono, también los portátiles y, por supuesto los móviles. Pero es que también hay muchos otros dispositivos que tienen micrófono: las televisiones inteligentes, los coches inteligentes y, en general, muchos de los dispositivos que están empezando a formar parte de eso que conocemos como el "Internet de las cosas" (neveras, tostadoras, sistemas de climatización, bolsos, básculas…).

Seguramente habrás oído hablar del escándalo que se produjo en su momento, allá por el 2015, con los Smart TV de Samsung, de los que se decía que espiaban a sus usuarios a través del sistema de reconocimiento de voz. Y la verdad es que el hecho de que este tipo de sistemas recolecten información que proporciona el usuario no es nada nuevo; lo hace Siri en los dispositivos de Apple, la Kinect de Xbox, etc… A este revuelo se sumó después el modelo de LG e incluso un modelo de altavoces comercializado por Amazon. Todos con la misma finalidad: mejorar la experiencia del usuario.

Ahora bien, tampoco hay que volverse paranoico. Internet es un espacio donde las noticias falsas campan a sus anchas. Un ejemplo muy claro es el mito de la batería espía de Samsung. Muchas páginas, incluyendo algunas especializadas en el mundo móvil, se hicieron eco de este bulo: las baterías de Samsung traen un chip para espiarnos. No hace falta esforzarse demasiado para darse cuenta que ese maléfico chip no es nada más y nada menos que el NFC, empleado para la transmisión de datos, compras, etc… Si bien es cierto que esta tecnología no es la más segura, el alcance que tiene este chip es de unos pocos centímetros, por lo que es bastante complicado que Samsung lo use para espiarnos.

¿No quieres caldo...? Pues toma dos tazas

Es posible que llegado este punto notes que hay muchas similitudes con el último artículo, en el que hablábamos de ese "Gran Hermano". La realidad es que, por desgracia, todos estos temas se acaban reduciendo a lo mismo: vigilar para controlar y predecir los movimientos, acciones que suelen traducirse a dinero, que es por lo que se acaba haciendo casi todo esto.

Muchos ejecutivos y altos cargos son conscientes de que el espionaje a través de las nuevas tecnologías está a la orden del día. Un ejemplo muy ilustrativo es la siguiente imagen, que posiblemente hayas visto en Internet.

Cuando Instagram llegó al medio millón de seguidores mensuales activos, el creador de Facebook, Mark Zuckerberg, publicó la imagen de la derecha. En ella puede apreciarse cómo tiene en su MacBook dos parches: uno en la webcam y otro en el micrófono. Este detalle fue muy comentado en Internet y redes sociales. Yo soy de los que piensan eso no ha sido idea suya, sobre todo si tenemos en cuenta que un mes antes le habían "hackeado" varias cuentas, entre ellas la de Twitter, en las que tenía como contraseña (en todas ellas) la compleja cadena "dadada".

Sea como fuere, esta foto sirvió para que muchos, aunque sea por imitación, hagan lo mismo. En este sentido, así como lo de la cámara web es efectivo, lo de colocar un parche en el micrófono es una chapuza. Si haces la prueba y colocas un poco de cinta en el lugar donde está integrado tu micrófono, verás que el sonido pierde un poco de calidad, pero se sigue escuchando. Para este caso lo único efectivo es tenerlo desconectado físicamente.

Vuelta al zapatófono del Superagente 86

Damos un paso más hacia el mundo de los móviles. En la telefonía, antes de que llegasen los "smartphones" o incluso aquellos móviles todo terrero, el espionaje y las escuchas han estado a la orden del día. Internet es sólo una capa más, un abanico más de posibilidades para poner la oreja en conversación ajena.

En un dispositivo móvil, como dije antes para cualquier dispositivo en general, la única manera de cerciorarse que el micrófono no está activo es desconectarlo físicamente. De hecho, la gente dedicada a este mundo lo primero que hace es abrir el teléfono y desconectar el micrófono de la placa del teléfono. En su lugar, utiliza unos auriculares externos, como los que utilizamos habitualmente para escuchar música o de "manos libres".

A raíz del Mobile World Congress de Barcelona de este año, escuché una entrevista en la que un directivo de una compañía de tecnología (no recuerdo quién era) afirmaba que él tenía su iPhone, pero que a determinadas reuniones acudía con su Nokia 3110 de toda la vida. Esta forma de actuar no es nueva y se ve cada vez más entre los altos ejecutivos. Lo hacen para prevenir que puedan ser espiados. La verdad es que, al no tener conexión a Internet, la posibilidad de que el dispositivo sea "intervenido" es menor, pero no es nula.

A nadie le extrañará si digo que se puede acceder a un teléfono sin necesidad de que tenga conexión a Internet. Sin embargo, si añado que incluso se puede acceder a un teléfono apagado, a lo mejor piensa que eso es más propio de una película. Pues no, es real como la vida misma. Incluso se han publicado varios artículos en los que se demuestra que el FBI ha accedido a terminales apagados. La forma en la que lo hace es un poco compleja de entender, pero lo importante de esto es que funciona y que la única contramedida eficiente, por el momento, es quitarle la batería, si puedes.

Un caso muy curioso relacionado precisamente con esta costumbre de apagar el móvil para que no te espíen es el de PowerOffHijack, un malware diseñado específicamente para Android con un comportamiento muy particular: cuando el usuario pulsa el botón de apagado, muestra un menú de apagado que es falso y simula que se apaga; realmente suspende todos los procesos del teléfono pero lo mantiene encendido. El principal objetivo de este troyano es recolectar información (a través de la escucha del teléfono) y realizar llamadas y suscripciones a servicios Premium.

Como siempre, ante toda esta información habrá quien lo considere interesante, quien crea que sea oportuno y también quien piense que es una manera de alarmar innecesariamente. En cualquier caso, lo que debemos tener claro es que nuestra privacidad es nuestra; cada uno debe decidir el límite que quiera poner. Vivimos en una sociedad donde la privacidad no es un derecho, es un lujo. Poner puertas al campo es muy complicado, pero conocer dónde están los riesgos para tener la posibilidad de minimizarlos es un primer paso en un camino largo y cada vez más enrevesado.

Como siempre, os recordamos que tenéis a vuestra disposición la dirección de correo peticiones@ciberalisal.es para hacernos llegar vuestras propuestas de temas a tratar. Muchas gracias de nuevo por los correos, las felicitaciones y los ánimos que nos trasmitís.

CONSULTA LOS ANTERIORES ARTÍCULOS DE LA ESCUELA DE CIBERSEGURIDAD EL ALISAL

¿Wifi gratis en el hotel? Ten cuidado

Mi ordenador es un zombi

El Gran Hermano te vigila... y te vende después