A la hora de implementar políticas de seguridad en el seno de una organización, muchas veces existe una preconcepción de que basta con simplemente cambiar los dispositivos utilizados por sus miembros por alguno de los denominados “dispositivos seguros”. Se piensa, erróneamente, que asís e evitará cualquier tipo de escuchas, y los comerciales de este tipo de herramientas (en muchas ocasiones) no lo desmienten, lo cual puede llevar a una falsa percepción de seguridad.

Hoy se ha publicado una noticia con el llamativo titular “la obsesión de González por no ser grabado costó a Madrid 117.000 euros en teléfonos cifrados pero no evitó las escuchas“. En dicho artículo se mencionan dos aspectos de las políticas de seguridad que se implementaron, que cabe destacar

El Gobierno de Aguirre estableció un sistema de teléfonos prepago para que los consejeros cambiasen de móvil cada 15 días

La Agencia Informática de la Comunidad de Madrid pagó en 2013 a Indra ese dinero por un sistema de “comunicaciones seguras” entre los miembros de su Gobierno

Estas medidas parece que no obtuvieron el éxito buscado, dado que

Las precauciones que Ignacio González adoptó durante años con sus comunicaciones no impidieron que la Guardia Civil interceptase sus llamadas y obtuviese datos claves para la Operación Lezo

Entonces, ¿cuál parece que fue el problema en este caso?

La importancia del factor humano

A la hora de implementar políticas de seguridad, el factor humano debe ser tenido en cuenta, dado que en caso contrario existirá una vulnerabilidad importante en la implementación. En este caso concreto, basta ver la mención del siguiente aspecto para llegar a la conclusión de que la implentación en la práctica de algunas de las políticas resultó más que deficiente

Varios de los consejeros decidieron guardar esos móviles en los cajones y no hacer uso de ellos

Por lo tanto, una de las decisiones (la de utilizar móviles que cambiarían cada 15 días) no resultaba efectiva en su ejecución, sin perjuicio además de la efectividad o no que pudiera tener de base el uso de dichas SIMs de prepago.

  1. No se comprobó el cumplimiento de las medidas adoptadas
  2. Es más que posible que no se realizara una formación adecuada para conocer las políticas de seguridad implementadas, los riesgos existentes, y cómo actuar en el caso de que se detectara un incidente de seguridad

Ningún sistema, por avanzado que sea, sobrevivirá si no se trabaja sobre el que suele ser el eslabón más débil, el humano. Si se ponen en marcha medidas de seguridad en equipos, pero dejan los terminales abandonados, no se bloquean cuando corresponde, instalan aplicaciones sin permiso para ello por entender que se trata de sus dispositivos personales, es cuestión de tiempo que se produzca un incidente de seguridad. Debemos analizar y formar para no crear esa falsa percepción de seguridad que puede llevar a filtraciones de información al pensar que no podemos ser objetos de un ataque en ningún momento.

La importancia del canal

Pese a que los artículos hablan indistintamente de teléfonos encriptados, y sistemas de comunicación cifrada, el contenido de los mismos parece dar a entender de que (como mínimo) se contaba con herramientas para cifrar el contenido de las llamadas, sin perjuicio de que el terminal tuviera cifrado para proteger la información que se almacenara en el mismo.

Si realmente se había implementado una herramienta para realizar llamadas cifradas, y no existía una vulnerabilidad que permitiera acceder al contenido de las llamadas (a través de una app maliciosa, un error en la propia aplicación, u otros, como la instalación de aplicaciones específicas si se ha podido obtener acceso al terminal, sea física o remotamente), existen otras formas para acceder al contenido de las llamadas. En particular, en el caso de la utilización de llamadas telefónicas, debemos tener en cuenta el canal del que se trata, y la facilidad que existirá para capturar el contenido de dicha comunicación si se tiene acceso al lugar en que se realicen. El canal acústico no se limita al capturado por el teléfono móvil y cifrado para hacerlo llegar a la otra parte de la conversación, sino que podrá ser registrado por otros dispositivos, como micrófonos, de suficiente capacidad.

Un posible ejemplo lo encontramos en este otro artículo con el titular “la Guardia Civil tenía micrófonos en el despacho de Ignacio González“, según el cual

agentes especializados de la Guardia Civil se personaron una madrugada en el inmueble y, tras comprobar que la zona estaba despejada, abrieron la puerta con una ganzúa. Una vez dentro colocaron el dispositivo de última generación camuflado para ser invisible a la vista de Ignacio González.

[…]

También se espió a otros investigados en la Operación Lezo con micrófonos portátiles y de alta potencia, de ahí se extrajeron escuchas que corroboran varias líneas de investigación.

Ante un acceso físico a instalaciones desde las cuales se puede llevar a cabo la comunicación, está claro que un mecanismo de seguridad que se limita al cifrado en el propio terminal no permitirá proteger la comunicación frente a su captura por dichos micrófonos. En este caso, resultaría a priori mucho más segura la comunicación a través de herramientas de mensajería, dado que el canal resulta más complicado de capturar por terceros salvo que puedan acceder al terminal y obtener los permisos necesarios para obtener dichos mensajes enviados.

Entonces ¿es importante el cifrado?

Por supuesto que sí, se trata incluso en algunos casos de una obligación que permite mantener a salvo determinada información confidencial. El cifrado impide (o limita al menos) el acceso a la información a terceros que no deberían contar con la misma, y los recientes ataques a despachos nos han mostrado cuáles son las consecuencias de no cifrar la información con la que se trabaja (debemos analizar los riesgos desde la perspectiva de que, en algún momento, la seguridad de nuestros sistemas se puede ver afectada).

La implementación de políticas de seguridad debe realizarse con un planteamiento global, teniendo en cuenta tanto los factores personales como técnicos, y analizando las características específicas de la organización en la que se va a implementar. En caso contrario, nos encontraremos ante una implementación deficiente.

Síguenos

Sergio Carrasco Mayans

Consultor at Fase Consulting
Sergio Carrasco Mayans es Ingeniero de Telecomunicaciones, Informático, politólogo y Licenciado en Derecho por la Universitat Oberta de Catalunya, especializado en Derecho de la Sociedad de la Información, Derecho Civil y Derecho Público.
Sergio Carrasco Mayans
Síguenos

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.