17 de febrero 2023
Un ciudadano con conocimientos básicos de tecnología “no va a saber nunca que está siendo vigilado” a través del sistema ruso de espionaje SORM, según Gaspar Pisanu, líder de Incidencia y Políticas Públicas para América Latina de la oenegé internacional Access Now, defensora del internet abierto y libre.
De acuerdo con un informe de los investigadores estadounidenses Douglas Farah y Marianne Richardson, el régimen de Daniel Ortega y Rosario Murillo utiliza desde 2018 el Sistema para Actividades de Investigación Operativa (SORM, por sus siglas en ruso)— para espiar en Nicaragua. En el país se ha implementado la versión SORM-3.
El experto en ciberseguridad destacó que esa versión “se ha tecnificado mucho, hasta un punto en el cual no sabemos todas las cosas que es capaz de hacer”.
“En rasgos generales, (SORM-3) no afecta a los dispositivos, sino que se pone en medio de las comunicaciones. Imaginemos que tenemos una conversación en la calle y una persona se pone en el medio y escucha todo lo que estamos diciendo”, explicó Pisanu en una entrevista con el programa Esta Noche.
La plataforma SORM es utilizada por Rusia y otras naciones exsoviéticas “para vigilancia de teléfonos e internet, y permite a los operadores monitorear transacciones de tarjetas de crédito, correo electrónico, llamadas telefónicas, mensajes de texto, redes sociales, redes wifi y publicaciones en foros”, según información del Gobierno de Estados Unidos, facilitada por Farah a CONFIDENCIAL.
Pisanu destacó que las relaciones diplomáticas y de capacitación con Rusia “pueden incluir, en parte, incentivos para desarrollar un sistema similar al de SORM; puede esto implicar la sanción de ciertas regulaciones o la adquisición de ciertas tecnologías. Por eso es que decimos, justamente, que SORM se despliega de distintas formas, en distintos países”.
¿Cómo funciona el denominado Sistema para Actividades de Investigación Operativa, mejor conocido como SORM, por sus siglas en ruso?
El sistema SORM es un marco técnico que incluye, tanto tecnologías como leyes, y que fue desarrollado originalmente por la antigua KGB soviética, a fines de la década de 1980, y que después fue replicado por países de Asia Central y Europa Occidental, con distintas características en cada uno de los países.
Debemos entenderlo como un marco legal porque incluye regulaciones que brindan, a las fuerzas del orden y a las agencias de seguridad, la capacidad de monitorear, almacenar y filtrar información del tráfico comercial móvil, como así también el de internet.
Cuando surgió este sistema estaba diseñado para interceptar las comunicaciones de línea fija. Las versiones más nuevas ya empiezan a incluir también lo que son las comunicaciones de telefonía móvil e internet. Siempre todo esto bajo la justificación de seguridad nacional. Se suele llamar, en términos técnicos, la puerta trasera de internet y de las comunicaciones, para el Servicio Federal de Seguridad ruso.
SORM ha tenido distintas etapas: SORM-1 era, justamente, la intervención de las comunicaciones telefónicas por tierra; SORM-2, ya estamos hablando de internet; y SORM-3 es la etapa más compleja de este programa, donde este ya permite, no solamente el acceso a las comunicaciones, sino también el procesamiento, filtrado y almacenamiento de los datos que obtiene por la intervención de esas comunicaciones, y de la actividad que realizan los usuarios en internet.
¿Qué dispositivos son vulnerables o puede intervenir este sistema?
No es como otros sistemas de infección que atacan al dispositivo. El SORM-3 se ha tecnificado mucho, hasta un punto en el cual no sabemos todas las cosas que es capaz de hacer. En rasgos generales, no afecta a los dispositivos, sino que se pone en medio de las comunicaciones. Imaginemos que tenemos una conversación en la calle y una persona se pone en el medio y escucha todo lo que estamos diciendo; esa es un poco la forma en que esto trabaja, se le conoce también como ataques de middleman, justamente porque es una persona en el medio.
La información que está capturando, en los sistemas de telefonía, es: quiénes son las personas que están conversando, dónde lo están haciendo, cuándo lo hicieron y el contenido, o sea, lo que se está hablando. En Internet lo que hace es la recolección de las más variadas actividades que uno puede tener, desde los correos electrónicos, los contenidos que las personas publican en redes, hasta las transacciones que se realizan con tarjetas de crédito.
¿Este sistema tiene la capacidad de leer y extraer los mensajes de aplicaciones con cifrado de extremo a extremo, como WhatsApp o Signal?
Es difícil dar una respuesta certera. Estas cuestiones tecnológicas y los acuerdos que hacen los Gobiernos: cómo lo utilizan o qué utilizan, son extremadamente poco transparentes. Es muy difícil, tanto para el periodismo, como para el activismo, sociedad civil, la academia, tener certezas acerca de cómo funcionan estos sistemas, a qué nivel de desarrollo han llegado. Teniendo en cuenta esto es que no se puede asegurar de que no son capaces de romper el cifrado que existen en las comunicaciones cifradas de extremo a extremo.
Sin embargo, siempre es una buena práctica el utilizar este tipo de aplicaciones de mensajería directa, que también incluyen las llamadas cifradas. El cifrado evita a esta persona en el medio; volviendo un poco a la analogía de las personas sosteniendo una conversación en la calle, sería como que esas dos personas se estén comunicando en un idioma que jamás puede ser comprensible por esa tercera persona que se puso en el medio.
Lo mismo pasa, por ejemplo, con el uso de VPN, estas redes locales seguras virtuales, que trabajan de manera similar, evitan compartir toda la información con el proveedor de los servicios de telefonía y de internet. Incluso algunos de estos servicios de VPN permiten el cifrado de la información que se transmite por esas líneas. Como práctica siempre es recomendable la utilización de este tipo de servicios, más todavía si estamos hablando de Gobiernos que tienen antecedentes de vigilar a sus ciudadanos y cualquier persona que pueda ser considerada oposición.
Papel de los proveedores de internet
¿Y qué papel juegan las empresas telefónicas o de telecomunicaciones en este sistema?
Este sistema funciona muy distinto de país en país; por ejemplo, hay muchos reportes o investigaciones de cómo funciona SORM en Rusia y cómo funciona en otros países, que pertenecían en su momento a la Unión Soviética, y son muy distintos. En su momento, SORM —que también es un marco legal— obligaba a las empresas de telecomunicaciones a facilitar el despliegue de este sistema de vigilancia; entonces, las empresas habilitaban las condiciones para que haya esta persona en el medio, que es la que intercepta la comunicación.
La realidad es que hoy no podemos asegurar que todo el programa de vigilancia requiera de las empresas de telecomunicaciones, porque hubo desarrollos que permiten, a través de un dispositivo portátil móvil, conectarse a un punto de acceso de las comunicaciones e intervenirlas; entonces, ahí ya no haría tanta falta la empresa de telecomunicaciones. Si bien han jugado un rol crucial, hoy por hoy, es probable que el programa se extienda mucho más allá de lo que es el involucramiento de las empresas de telecomunicaciones.
¿Quiere decir que el sistema SORM puede funcionar sin el apoyo de las empresas proveedoras de Internet para establecer una especie de control o espionaje masivo en todo el país?
La verdad es muy difícil aseverarlo porque el programa SORM es muy poco transparente y no sabemos hasta qué punto se ha desarrollado tecnológicamente, como para poder decir: no le hace falta o hay ciertas cosas que requieren, sí o sí, de esta colaboración de las empresas de telecomunicaciones, o si hay cierta parte del sistema que no requiera de las empresas de telecomunicaciones.
¿Se puede saber si nos están espiando bajo el sistema SORM?
En general, una persona con conocimientos básicos (de tecnología) no va a saber nunca que está siendo vigilada a través de este sistema. Hay investigaciones que, justamente, utilizan distintos mecanismos para detectar ciertos redireccionamientos del tráfico, o sea que no está llegando a la persona que le estoy enviando el mensaje, sino que está llegando primero a otra persona y después a quien yo se lo estaba mandando. Pero, hoy por hoy, han avanzado tanto las tecnologías de vigilancia, que cada vez se hace más difícil detectarlas.
¿Cuáles son las principales maneras de protegerse o evitar su intervención en nuestras redes de internet, en nuestros teléfonos?
Hay dos niveles este de protección: un primer nivel, que es con el que debería contar cualquier ciudadano, es una protección a nivel estatal. Tiene que ver con el hecho de regular la utilización de herramientas de vigilancia, en muchos de los casos prohibirlas, porque interfieren directamente con derechos humanos. En muchos contextos de distintos países, eso es prácticamente imposible, los Estados hacen un gran esfuerzo por hacer esto de forma completamente oscura, sin ningún tipo de regulación.
A nivel personal, utilizar estos servicios de mensajería directa con cifrado de extremo a extremo, aplicaciones como WhatsApp o Signal; utilizar sistemas de VPN; todo lo que sean cuentas de redes sociales, utilizar doble factores de autenticación. Y también ser conscientes de las cosas que se están publicando, de cuál es el riesgo al que nos exponemos.
Hay que ser conscientes de que, incluso, tomando todas las medidas de seguridad digital, existe la posibilidad de que estemos siendo vigilados, y es muy difícil combatir contra ello; por eso creo que es tan crucial la labor periodística, para revelar estos casos y generar presión.
Relaciones diplomáticas con Rusia
¿Y tienen información sobre en cuáles países de Latinoamérica se utiliza este sistema de vigilancia?
No concretamente. Sabemos que existen relaciones diplomáticas entre muchos países de la región con Rusia, que es quien desarrolló este sistema. Esas relaciones diplomáticas y de capacitación pueden incluir, en parte, incentivos para desarrollar un sistema similar al de SORM; puede esto implicar la sanción de ciertas regulaciones o la adquisición de ciertas tecnologías. Por eso es que decimos, justamente, que SORM se despliega de distintas formas, en distintos países.
El problema es que hoy en América Latina existe un altísimo grado, o mejor dicho, poco o nada de transparencia en lo que es la utilización de sistemas de vigilancia, que hacen difícil poder aseverar que no hay Gobiernos que lo están utilizando. Nos pasa con simples adquisiciones, por ejemplo, como las cámaras de seguridad que se utilizan para el control del tráfico, no nos quieren dar información respecto a esas cuestiones. Entonces, imagínense que un programa tan complejo como es el SORM.