COLUMNA: Manipulando las redes sociales

Desde Túnez hasta Bahrein, si hay algo que tienen claro los activistas que dominan Internet es que la red no siempre es segura.

Por la constante amenaza de la vigilancia y hasta por saber que publicar la foto equivocada en Facebook puede hacer que a uno lo arresten –o algo peor—, durante mucho tiempo los activistas adoptaron medidas para mitigar los riesgos, autocensurarse, usar herramientas especiales como Tor (que permite comunicaciones anónimas a través de Internet) o permanecer fuera de ciertas redes.

Lamentablemente, no solo ocurre que algunos activistas carecen de la habilidad técnica necesaria, sino que incluso los mejores pueden ser víctimas de regímenes más hábiles.

En diciembre, por ejemplo, apenas comenzó a gestarse el levantamiento en Túnez, los activistas notaron que sus cuentas de Facebook estaban en peligro. Algunos dijeron que faltaba información en sus cuentas, lo que llevó a los responsables de esa red social a investigar y, finalmente, redirigir a los usuarios hacia una versión más segura del sitio (HTTPS).

El incidente puede haber alentado a Facebook a tomar la decisión de pasar a todos sus usuarios a esa versión segura. Para fines de febrero, cada uno de los registrados allí pudo optar por una mayor seguridad. Pero como ilustran dos incidentes ocurridos en los últimos días, su sensación de seguridad puede haber sido prematura.
[related_articles]
Los dos últimos episodios prueban que hay un juego de gato y ratón aparentemente perpetuo entre los usuarios de medios sociales que viven bajo regímenes autoritarios y esos mismos gobiernos.

Siria apunta contra sus usuarios de Facebook

El régimen sirio y sus partidarios planearon e implementaron durante meses nuevas formas de tomar por blanco a los usuarios de redes sociales que se expresaban a favor de la oposición. La campaña incluyó desde inundar los hashtags (grupos de mensajes sobre el mismo tema) de Twitter con vínculos no relacionados hasta alterar sitios de la oposición.

Aunque se reportaron varios incidentes de manipulación de sitios de Facebook, ninguno se confirmó.

El Information Warfare Monitor informa sobre un nuevo intento de montar un ataque contra opositores sirios. Si bien se desconoce a los perpetradores, los ataques fueron lanzados en Twitter contra usuarios de Facebook.

Según el informe, los culpables divulgaron por Twitter un enlace en un intento por atraer seguidores hacia un vídeo publicado en Facebook, que en realidad conducía a una falsa página de Facebook.

Luego, si el usuario se registraba, sus credenciales eran capturadas y la información de su cuenta quedaba en peligro.

Este tipo de ataque, ya sea lanzado por el régimen o por otros actores, es básico en cuanto a su alcance, pero puede ser devastador para un usuario que nunca respaldó sus datos de Facebook, y muy peligroso para un activista cuya cuenta contiene información privada o contactos delicados.

De todos modos, este tipo de ataque es ínfimo si se lo compara con uno descubierto en Irán.

La conexión iraní

A raíz de la Primavera Árabe y del desarrollo de herramientas para volver la red más insegura, la escalada de riesgos hizo que aumentara la presión sobre las plataformas de los medios sociales para que ofrecieran conexiones encriptadas, brindando a los usuarios un modo menos vulnerable de acceder a ellas.

Tras el ataque tunecino, Facebook extendió servicios de encriptado optativo a sus usuarios, mientras que Twitter está empezando a ofrecerlo por defecto (ya está disponible como opción). La mayor parte de los programas de correo electrónico basados en la web también ofrecen una navegación segura.

Cuando un usuario visita esos sitios, confía en las Autoridades de Certificación, cientos de empresas que firman los certificados que supuestamente garantizan la navegación segura. Pero ¿qué ocurre si apenas una de esas autoridades es embaucada para emitir un certificado fraudulento? Ese certificado puede usarse para comprometer sitios que el público cree son seguros.

El 29 de agosto, un usuario iraní de Gmail (correo electrónico del buscador Google) reportó una alerta del navegador Chrome (también de Google) que señalaba la presencia de un certificado falso.

Un comunicado de Google reconoció que los principales afectados fueron usuarios iraníes, y que el certificado fraudulento fue emitido el 10 de julio por una Autoridad de Certificación llamada DigiNotar.

Aunque durante mucho tiempo los críticos del sistema de certificación temieron la posibilidad de ese tipo de ataque, ésta es la primera vez que se registra.

En los últimos dos meses, los iraníes que intentaron acceder a sitios web encriptados de Google, entre ellos Gmail, pueden haber sido vigilados, quedando sus datos (incluidas contraseñas y cualquier actividad realizada estando registrados en un sitio) disponibles para el atacante.

Por su parte, Google emitió un comunicado recordando a los usuarios la importancia de mantener sus programas actualizados y de prestar atención a las alertas de los navegadores. La firma Mozilla, que produce el navegador Firefox, y Microsoft, también comunicaron la situación a sus usuarios.

Varios métodos y un mismo propósito

Aunque el ataque iraní fue mucho más sofisticado que el perpetrado contra los usuarios sirios de Facebook, ambos tuvieron el mismo fin: apoderarse de datos de usuarios en un intento por silenciar o poner en peligro a aquellos con quienes los atacantes discrepan.

Las autoridades sirias utilizaron cuentas de Facebook de detenidos, por ejemplo, para rastrear a otros activistas. Otro tanto ocurrió en Bahrein, mientras que en Irán se reportaron Inspecciones Profundas de Paquetes, utilizadas para husmear en correos electrónicos, llamadas a través de Internet y otras actividades en línea.

Activistas de los tres países fueron arrestados, encarcelados y, en algunos casos, torturados.

Críticos de los sistemas de encriptado y certificación se centraron durante mucho tiempo en las amenazas a los usuarios promedio. La Electronic Frontier Foundation (para la cual trabajo) se mostró preocupada por el hecho de que esos incidentes puedan generalizarse, señalando que el sistema de certificación se creó hace décadas, «en una era en que se pensaba que la mayor preocupación de seguridad en la red era proteger a los usuarios de que les interceptaran el número de su tarjeta de crédito».

Estos últimos ataques arrojan luz sobre cuán serias pueden ser las ramificaciones para los usuarios en países como Irán y Siria, donde las autoridades suelen usar los medios sociales para silenciar el disenso. Cuando un régimen adquiere la capacidad de controlar a grandes sectores de usuarios, no necesita usar los costosos métodos tradicionales para identificar y espiar individuos.

Por lo tanto, resulta imperativo que la comunidad de la seguridad y las Autoridades de Certificación en particular se concienticen sobre las implicaciones mundiales de sus tecnologías: hay vidas en juego.

* Jillian York es directora de International Freedom of Expression en la Electronic Frontier Foundation en San Francisco. Es columnista de Al Jazeera e integra el consejo directivo de Global Voices Online.

Los puntos de vista expresados en este artículo son de la autora y no necesariamente reflejan la política editorial de IPS o de Al Jazeera.

Esta columna fue publicada mediante un acuerdo con Al Jazeera.

Compartir

Facebook
Twitter
LinkedIn

Este informe incluye imágenes de calidad que pueden ser bajadas e impresas. Copyright IPS, estas imágenes sólo pueden ser impresas junto con este informe