Analiza también el affaire Pegasus

Eusebio Nieva (Check Point): “Si el trabajo es bueno, da lo mismo que se haga desde casa o desde una cafetería”

64
Eusebio Nieva, director técnico de Check Point

Hablar con Eusebio Nieva, director técnico de Check Point, es un auténtico lujo. Pocas personas tienen la capacidad para comunicar de forma tan clara cualquier tema relacionado con ciberseguridad. En estos momentos en que tanto se habla del spyware, después de que Roger Torrent, presidente del Parlamento Catalán afirmara que había sido espiado, hemos hablado con él para conocer todos los datos sobre Pegasus, el sistema utilizado, y otros semejantes, así como sobre los nuevos retos que plantea el teletrabajo desde el punto de vista de la seguridad técnica.

¿No se está dando demasiado bombo al affaire Pegasus?

Se trata de un asunto importante porque pone de manifiesto la importancia de las tecnologías y de lo que significan los dispositivos móviles en nuestras vidas. Ha puesto el foco en la relevancia de estos ataques contra smartphones que en ocasiones pueden contener información muy sensible.

¿Qué relevancia tiene Pegasus frente a otros sistemas de spyware?

No es tan novedoso porque, en concreto, este software lleva funcionando desde el año 2016, que fue cuando se realizaron los ataques, si no recuerdo mal, mediante IOs9. Fue el primer sistema que se tuvo que actualizar para responder a las vulnerabilidades que aprovechaba el software. Este software lleva tres o cuatro años, concretamente desde el 2016, que fueron los primeros ataques, si no recuerdo mal; y fue iOs9 el primero que se tuvo que actualizar para responder a las vulnerabilidades que aprovechaba este para espiar.

¿Qué lo convierte en especial?

Impactó mucho por aquel entonces el hecho de que fuera un espía total, en el sentido de que era y es capaz no solo de espiar una parte del sistema sino también todo el dispositivo. Puede no solo sacar copias de una pantalla, sino también grabar archivos de audio, realizar seguimiento de llamadas, el posicionamiento, y controlar absolutamente todo lo que hace lo móvil.

¿Un espía de bolsillo multipurpose?

Exactamente. Hay algunos que son capaces de espiarte un poquito, pero este era capaz de espiarte absolutamente todo, y además era funcional y modular. Y a pesar de que dicen que tiene versiones tanto para iOs como para Android, la de Android lleva el nombre de Chrisaor, que era el hermano de Pegaso en la mitología griega. Eran gemelos e hijos de Poseidón y la gorgona Medusa.

“NSO, la empresa que comercializa Pegasus, cobra muchísimo por este servicio”

 ¿Alguna particularidad a destacar de este sistema?

Es absolutamente completo, tiene diferentes partes, ya he dicho que es modular, funcional y completo, puede conseguir atacar a diferentes móviles y espiar en sitios diferentes. Una de sus características más reseñables es que si durante 60 días es incapaz de tener acceso a sus centros de control, donde tiene que enviar su información y recibir actualizaciones, se borra automáticamente para no dejar rastro.

¿Hay algún tipo de software tan malicioso que se pueda descargar por particulares?

No es fácil que se pueda descargar de ningún sitio, es un software muy sofisticado, y en este caso NSO, la empresa que en teoría lo vende para estos ataques, cobra muchísimo por ello, ya que, a diferencia de otros software, no necesita intervención del usuario, o una intervención mínima.

Parece ser que es muy efectivo

El Pegasus original, el primero que se detectó, era capaz, a través de vulnerabilidades existentes en aplicaciones, de instalarse inicialmente en el dispositivo móvil, y a partir de ahí, utilizando vulnerabilidades del propio sistema operativo, hacerse completamente invisible y, sin que el usuario lo detectara, espiar todo lo que tenía el usuario. Existen dos fases, una es la instalación inicial, en el dispositivo, que se utiliza a través de vulnerabilidades de las aplicaciones, whatsapp o a través de un SMS o un phishing. Y luego viene la segunda fase, que es lo que se denomina en ciberseguridad el escalado de privilegios, es decir, convertirse en el dios del sistema. Primero infecta a través de una vulnerabilidad de la aplicación y a partir de ahí establece una “cabeza de playa” capaz incluso de desproteger para sí mismo el móvil del usuario y saltarse todas las normas y todas las protecciones del sistema operativo utilizando sus vulnerabilidades tanto en Android como en iOS.

¿En Blackberry nunca lo llegó a hacer?  

En Blackberry que se sepa no, pero cuidado que Blackberry ahora utiliza Android

Hay muchos nostálgicos de las viejas Backberry por su supuesta seguridad. ¿Qué les diría?

Que tenía los mismos problemas de seguridad, si no mayores, que actualmente. Todo el tráfico de los sistemas de Android pasaba a los sistemas centrales. Para este tipo de cosas es muy recomendable estar actualizado con todos los parches. Y tener muy controlada la diferencia del WhatsApp para uso profesional y personal. Las apps personales tienen que estar separadas por completo de las profesionales y tenerlas en diferentes dispositivos. Es la única forma de minimizar la superficie de ataque.

“Si utilizas tu dispositivo personal, que al menos la protección la ponga la empresa” 

Esa línea se está minimizando mucho con el teletrabajo

Sabemos que muchas empresas tienen serios problemas de seguridad por ese motivo, y también los empleados.

¿Qué solución propone para una pyme donde la gente está teletrabajando y la empresa no se puede permitir facilitarle un móvil o un terminal a cada empleado?

Un buen sistema de seguridad que verifique comportamientos anómalos de los dispositivos.

¿Y para el empleado que está poniendo a servicio de la empresa su equipo?

Lo mínimo es que la empresa ponga a tu disposición el software para proteger el ordenador con el que estás accediendo a la empresa, y no solo porque te pueden atacar a ti, sino porque a través tuyo pueden comprometer a tu empresa. Igual tus datos privados no les interesan pero te utilizan como vía para robarla.

¿Conocen las compañías los riesgos que asumen?

La empresa tiene que ser consciente de que si no entrena a sus usuarios, y además no les proporciona las medidas de seguridad, no es que estén vendidos, sino que las posibilidades de que sufran algún ciberincidente es muy grande.

¿Se puede dar el caso de que se chantajee a un empleado mediante la amenaza de divulgar datos suyos privados para que revele información confidencial de su empresa?

Claro que puede pasar, en el último ataque de Twitter que ha habido, en el que han atacado las cuentas de el fundador de Microsoft, el responsable ha sido un empleado, han pagado a un empleado para que cambiara esas cuentas y a través de esas cuentas lo que han hecho ha sido intentar estafar a los usuarios con bitcoin. Se puede sobornar o chantajear a un trabajador.

¿Qué sistemas proponen?

Tenemos sistemas que son capaces de proteger tanto el móvil del usuario como el punto de trabajo. Y son capaces de detectar, por ejemplo, una tontería: cuando el usuario recibe un sms con una oferta que no existe y que es un timo, e intenta descargarla en su ordenador, o cuando por WhatsApp recibe un enlace con una oferta destinada a colarle un troyano.

Se acabó la tendencia al presentismo con el teletrabajo y a calentar la silla sin hacer nada para contentar a los jefes

trabajo

¿Cómo actúa el software?

Todo tiene un patrón común y es que su tienes que irte a Internet a recoger algo, pues nosotros también vamos contigo. Cada vez que un usuario se vaya a Internet a recoger algo, primero lo miramos, y luego, si es bueno, se lo damos. El software al final es una de las medidas que puedes poner para proteger al usuario. Analiza si el dispositivo está haciendo cosas raras, como por ejemplo cuando detectamos pulsaciones del móvil y resulta que se están enviando correos. O resulta que una aplicación que no debería tener acceso está entrando continuamente a la cámara o al micrófono y nos está grabando. Todo este tipo de cosas. Hacemos un análisis cuando algo está ocurriendo raro y avisamos al usuario para que tome medidas de desinstalar, reinicializar o hacer lo que sea preciso.

“Cuando utilizas Google, sabes que Google te va a seguir tu rastro, cuando utilizas Google Maps igual”

¿Algún consejo?

Lo principal es que la empresa proporcione los dispositivos de acceso. La primera norma sería que si estás utilizando el móvil para tu uso profesional, el móvil te lo ponga la empresa. Y si estás utilizando el laptop para uso profesional, con todas las medidas de seguridad y las restricciones que te imponga la empresa, lo lógico es que lo pague la empresa.

¿Qué opina sobre la ley que se plantea para financiar casi todos los gastos de los trabajadores desde casa?

Con esa ley van a conseguir que se acabe el teletrabajo, porque si a la empresa tiene un coste mayor o equivalente a tener la gente en la oficina, pues estoy convencido de que en España optarán por esa solución. 

¿Dependerá del número de empleados?

Todo dependerá de la productividad, hay puestos que no se pueden hacer en remoto todo, pero lo que ocurre es que si yo al menos hago un cálculo entre lo que me gasto de gasolina o transporte y lo que me gasto en aire acondicinado o calefacción, está por ahí , por ahí. No es algo excesivo, siempre y cuando las herramientas que necesito para trabajar que son el PC, el teléfonoj etcétera, me lo pague la compañía.

Está claro que el trabajador tiene que tener una protección de ciberseguridad

Y eso está claro que no lo tenía que pagar el trabajador, sino la empresa, porque es un beneficio de seguridad muy importante para la empresa. Es importante tener un antivirus, pero además del antivirus se necesitan otras protecciones. Se necesita que cuando te metas en Internet te digan cuidado con esta página que aquí se han detectado cosas raras. Todo eso son barreras de protección que te tienen que facilitar para estar protegido en tu dispositivo.

¿Qué tipo de vida nos espera en relación con la tecnología tras el Covid-19 , para bien y para mal?

Si se hace bien, se potenciará el teletrabajo y la flexibilidad que va a permitir el convertir tu vida personal y profesional en algo mucho más llevadero, de manera que puedas estar con tu familia, que puedas adaptar tus horarios… Se necesitan formas diferentes para valorar si un empleado es bueno o malo, no se puede medir a un empleado por las horas que eche, sino por lo que produce y por lo que realmente trabaja.

Podría concretar…

Yo tengo empleados que son capaces de hacer lo que otros en mucho menos tiempo, pues yo considero que son incluso mejores aunque hagan menos horas, porque si en un  momento hay una carga excepcional de trabajo pueden absorberlo.

¿Se está acabando con el presentismo o la costumbre tan española de calentar la silla?

Yo tengo la sensación de que se está produciendo más, y se están dando cuenta los trabajadores y también los jefes de que pueden controlar a la gente de otra manera, por lo que produzcan. Si el trabajo es bueno y la productividad alta, te da lo mismo desde dónde trabajen, desde su casa o desde una cafetería o la playa, si son capaces de desarrollar todo el trabajo en mucho menos tiempo. Lo que pasa es que hay gente a la que parece que eso le fastidia. Hay que acabar con el presentisco y con las horas tontas de los que se quedan en la empresa haciendo que hacen algo. Y también con las manías de algunos jefes, por ejemplo, de poner una reunión el viernes a las cinco de la tarde porque se aburren en sus casas.

¿Ha habido muchas empresas que han llegado con entrenamiento previo?

Sí, y esas apenas han notado la diferencia, han tenido mucho terreno ganado, pero ha habido empresas a las que les ha pillado sin el entrenamiento previo y han tenido graves problemas para adaptare. Y hay otras que, evidentemente, no podrán trabajar nunca en remoto, como un bar, pero ha habido sorpresas en algunos negocios. Conozco el caso de una tienda de quesos, realmente una tiendecilla, que tuvo que cerrar por el confinamiento y ahora no para de vender vía Internet. Han incrementado muchísimo el negocio. Lo importante es saber adaptarse.

Google te permite borrar todos tus datos, si no lo haces es porque no quieres, y no se puede decir lo mismo de otras empresas

Google eliminará cada 18 meses el historial de búsqueda

 Algunos agoreros tecnológicos decían hace años que las nuevas tecnologías irían encaminadas hacia el lujo de la desconexión… ¿Qué opina?

Realmente no es imposible que ocurra, de hecho eso se ha llamado desde siempre vacaciones, y son necesarias.

Y, dejando de lado las vacaciones, ¿qué tiene que hacer una persona para que no se sepa nada de ella?

Lo tiene cada vez más complicado. Cada vez es más difícil de conseguir. La forma de hacerlo es no utiizar los servicios de Internet más que lo estrictamente necesario. Tú, cuando utilizas Google, sabes que Google te va a seguir tu rastro, cuando utilizas Google Maps igual. Es el precio que tienes que pagar por ese servicio “gratuito”.

“El móvil puede ser un arma de espionaje muy poderosa. No solo para averiguar cosas de los usuarios, sino también de las personas y entidades que se relacionen con él”

¿Alguna solución?

No utilizarlo, como no se utilizaba antes, y no pasaba nada. Hay y ha habido otros buscadores que salvaguardan tu privacidad como Duck Duck Go. Y, por supuesto, si compras en Amazon sabes que tienen todo tu historial de compras.

¿La legislación europea garantiza el derecho a la desconexión? ¿Se cumple?

Así debería ser, y también el derecho al olvido. Las tecnologías lo tienen que permitir, pero por defecto no lo hacen. Pero hay que decir algo: tú vas a Google y puedes ver todos los datos que tienen sobre ti en tu cuenta y en un momento dado los puedes borrar rápidamente. Si no lo haces, es porque no quieres. Y eso no pasa en todas partes.

¿Qué ofrece su empresa para proteger a autónomos y a trabajadores sin paraguas?

Nosotros sobre todo trabajamos con empresas, pero tenemos soluciones exactamente de la misma calidad para clientes que no son corporativos y no se puede gestionar igual. Hay una compañía que compramos en su día con precios bastante asequibles. Se llama Zona Alarm, tiene desde suscripcipciones gratuitas a otras de pago que pueden probarse durante un mes. Y luego tenemos las empresas, y trabajamos para ellas a la medida de sus necesidades.

¿Qué es lo más peligroso que puede hacer un móvil sin protección?

Puede ser un arma de espionaje muy poderosa. No solo un instrumento para averiguar cosas de los usuarios, sino también de las personas y entidades que se relacionen con él. Imagínate que te han conseguido infectar el dispositivo y el usuario lo lleva a una reunión, puedes encender el micro y grabar todo lo que se está hablando. Espías al usuario y también a las personas que se relacionan con él.

Hace unos días hablábamos en Escudo Digital de Lockpisch, una herramienta que te permite desbloquear la pantalla del móvil de un amigo o familiar sin que lo sepa.

Este tipo de herramientas funciona porque existen determinadas aplicaciones con fallos de seguridad que lo permiten. Un ejemplo se podía tener antes acceso a los mensajes del móvil sin tener acceso al mismo ni desprotegerlo. Y era con Siri. Le decías, Siri, léeme los últimos mensajes, y te los leía, aunque el móvil estuviera bloqueado. Muchas veces los programadores, cuando están trabajando en una pieza de seguridad, no caen en las posibles interacciones que pueden ponerla en peligro. Para eso está el trabajo de los investigadores de seguridad: para averiguar lo que se les ha olvidado a los programadores.

¿Reconocimiento facial o huella digital para desbloqueos?

Ambos sistemas son igual de seguros que una clave. Yo siempre intento que todos los sistemas, especialmente a la hora de proteger los datos sensibles, tengan una doble autentificación. No sólo una clave, sino una clave y un SMS. Si yo tengo una clave y un mensaje para acceder a mi cuenta del banco, es muy improbable que me roben los dos datos. También puedo generar un password de un solo uso. Si pago con Bizum tengo que tener mucho cuidado con los troyanos bancarios. Es conveniente proteger de forma eficaz nuestros teléfonos.