Categorías
Privacidad & seguridad

Cifrado de llamadas de voz

¿Realmente protege su privacidad?

«Si la encriptación supusiera una diferencia, no nos permitirían usarla», dijo alguien.

Las llamadas encriptadas te protegen de quienes no quieren (o no pueden) escuchar tus llamadas, pero no te protegen de quienes pueden escucharlas: las fuerzas del orden, la seguridad nacional y las agencias de inteligencia. ¿Le parece que esto tiene sentido? Si no es así, siga leyendo.

La mayoría de la gente piensa que el cifrado de llamadas es el Santo Grial de la comunicación segura, mientras que en el desarrollo de software de seguridad para móviles es la corriente principal. ¿Por qué? ¿Por las películas de 007? En absoluto. Porque es el único producto que se puede encontrar en el abarrotado mercado de la seguridad en estos días. Desde los dispositivos de hardware hasta las sofisticadas aplicaciones de software, todo el mundo afirma que cifrar las llamadas de voz del móvil es lo mejor que se puede conseguir y que no hay otras soluciones de confianza. Desgraciadamente, las llamadas cifradas no ofrecen ninguna seguridad real si eres objetivo de las fuerzas del orden, la seguridad nacional o las agencias de inteligencia (abusivas), y en el peor de los casos incluso un objetivo para un hacker experto.

No tienes que confiar en nosotros. Sólo tienes que buscar en Google «hack de encriptación de llamadas de voz» y encontrarás toneladas de artículos de un vistazo.

Para los que utilizan productos de cifrado de voz en los teléfonos móviles, lo último que se espera es que puedan ser fácilmente descifrados e interceptados. Puede que hayas pagado un buen dinero por tu aplicación y confíes en ella para garantizar tu seguridad mental, pero ¿qué pasaría si esa seguridad no fuera tan segura como pensabas, qué pasaría si un programa de espionaje fácilmente disponible y un simple troyano deslizado en tu dispositivo pudieran comprometer todas tus llamadas?

En 2010, el bloguero, hacker y experto en seguridad informática Notrax hizo precisamente eso. Por su propia seguridad, no revelaremos su nombre. Sin embargo, Notrax descubrió que 12 productos de encriptación de voz para móviles disponibles en el mercado pueden ser interceptados y comprometidos con un poco de ingenio y creatividad, tal y como describe cuidadosamente en su página web.

Probó un total de 15 productos de encriptación de voz, 12 de los cuales «no valían nada». Es fácil comprar el software si te «dice» que la llamada está asegurada. Pero, ¿cómo puede estar seguro de que es seguro? Notrax investigó y descubrió que podía entrar en casi cualquier sistema en menos de 30 minutos.

Seguro significa que Notrax no ha conseguido crackear su sistema. Esto no significa que otra persona no sea capaz de descifrarlo.

Estas llamadas pueden ser interceptadas por cualquier persona con conocimientos técnicos básicos o con el dinero necesario para llevar a cabo esta tarea. «Las estadísticas muestran que las agencias gubernamentales realizan una media de 50.000 escuchas legales al año (legales = las que requieren una orden judicial), (no olvidemos Echelon) otros 150.000 teléfonos son intervenidos ilegalmente por investigadores privados, cónyuges y novios y novias que intentan atrapar a un potencial defraudador. Otra estimación indica que hasta 100.000 teléfonos de empresas y del sector privado están intervenidos en alguna forma de espionaje industrial. Está ocurriendo y es un gran negocio».

SnapCell era seguro, es un dispositivo de encriptación privado que se conecta a tu teléfono móvil, afirman que protege tus comunicaciones móviles de voz, fax y datos de las escuchas, las escuchas y las interferencias en la línea. El sitio web de SnapCell está fuera de servicio desde el 21 de enero por razones desconocidas.

Si utilizas alguna de las tecnologías de encriptación de voz mencionadas, deberías buscar una nueva solución, como los teléfonos XCell Stealth. Aunque estas aplicaciones crackeadas no son completamente seguras, se necesitaría mucho esfuerzo para saltárselas, por ejemplo, el atacante podría cargar un software o un troyano en tu teléfono sin que te dieras cuenta. Es similar a una tarjeta de crédito. Mientras lo lleves en un lugar seguro, deberías estar bien en su mayor parte.

¿Cómo utiliza el gobierno el software espía para saltarse el cifrado de las llamadas?

¿Cree que las redes móviles LTE son seguras? Pues piénsatelo dos veces: Los hackers desencriptan el cifrado VoLTE para espiar las conversaciones.

Otras desventajas del cifrado de voz

Aunque el uso de la encriptación para proteger su privacidad puede ser una opción inteligente, este método también tiene sus inconvenientes:

  • Dado que un teléfono móvil (independientemente de la marca, el sistema operativo, la ram o el chipset) no tiene suficiente capacidad de procesamiento para cifrar y descifrar una llamada localmente, el cifrado de la voz se realiza en servidores de terceros. Esto significa que la aplicación de cifrado de voz, que acabas de instalar en tu smartphone «seguro», actúa como una conexión con el servidor de cifrado. De este modo, sólo podrás utilizar dicha aplicación si utilizas una conexión de datos (WIFI, etc.) y sales al mundo exterior del teléfono. El problema es que el servidor es en realidad el ordenador de otra persona. No se puede averiguar quién se esconde realmente detrás de este servidor. Se ha demostrado que algunos fabricantes de dispositivos criptográficos trabajan de forma encubierta con servicios secretos y empresas privadas interesadas. Algunos de ellos ni siquiera utilizan algoritmos de cifrado estandarizados y probados públicamente (como Diffie-Hellman, SHA256, AES y Towfish), sino métodos de cifrado «propietarios» que no están disponibles para su evaluación pública. Varios algoritmos criptográficos «propietarios» que no han sido probados públicamente han demostrado ser fáciles de descifrar en el pasado, como el algoritmo COMP128 utilizado en muchas redes GSM para la autenticación, por lo que el enfoque «criptográfico propietario» debe considerarse muy arriesgado.

En última instancia, esto significa que no tienes ningún control real sobre tus llamadas de voz.

  • Colar una puerta trasera en un criptosistema ni siquiera requiere la cooperación activa del fabricante de los dispositivos o del software. Sólo hace falta un programador sobornado para comprometer todo un producto.
  • Nunca se sabe si la solución de encriptación que se utiliza es realmente fiable y no hay ninguna forma fiable de verificarla. La mayoría de los desarrolladores de aplicaciones de cifrado no hacen público el código fuente. Puede haber (y suele haber) puertas traseras que son utilizadas por las fuerzas del orden. Por supuesto, puedes encontrar el código fuente de algunas aplicaciones de cifrado que el propio desarrollador pone a disposición del público. A no ser que seas un criptógrafo o un criptoanalista, no hay forma de que tú, como ciudadano medio, descubras si tu aplicación de encriptación está afectada por vulnerabilidades de seguridad.

Hay una llave maestra para todos los sistemas de cifrado

Open Sesame: Soluciones de cifrado

¿Utilizarías una aplicación de encriptación cuyos servidores se encuentran, por ejemplo, en…? ¿Corea del Norte? Probablemente no, pero tienes que reconsiderar tu opinión. En resumen, cuanto más consolidada está una democracia, más fácil es para las fuerzas del orden acceder a los servidores de encriptación con una simple orden judicial.

Todo ello porque los países de la democracia consolidada conocen lo que llamamos Estado de Derecho. Dado que las aplicaciones de encriptación no se desarrollaron fuera de este planeta y que todos los servidores de encriptación residen en algún país, el gobierno y las instituciones relacionadas disponen de una sencilla herramienta llamada orden judicial que «abre» instantáneamente cualquier servidor «encriptado» utilizado para las llamadas comunicaciones «seguras».

Sí, es una cuestión de tiempo. Pero acabarán con una copia de voz/texto. Por no hablar de que la NSA y otros actores similares disponen de herramientas y soluciones que sortean eficazmente cualquier aplicación de cifrado y que se utilizan hoy en día para averiguar lo que buscan en tiempo real.

El uso de llamadas de voz encriptadas podría hacerle parecer sospechoso y atraer la atención no deseada de las mismas personas de las que intenta esconderse. Es como una campana que suena unida a su cola. ¿Adivina qué harán si utilizas un teléfono móvil encriptado? Seguro que utilizarán otras vías para conseguir la información que necesitan.

No esperarán a encontrar agujeros de seguridad en tu aplicación de criptografía, ni siquiera intentarán desencriptarla. Simplemente pondrán micrófonos en su casa, oficina y vehículo, espiarán su ordenador, interceptarán su correo y utilizarán fuentes encubiertas de inteligencia humana (HUMINT) y lo que sea necesario para obtener información relevante sobre usted y sus actividades.

Pueden eludir fácilmente la protección de las comunicaciones que ofrecen los teléfonos encriptados simplemente recopilando información relevante de otras fuentes. Es así de sencillo. Sí, no es tiempo real. Pero puede acercarse mucho.

Si usted es objetivo de una agencia de inteligencia, cifrar sus comunicaciones móviles no significa que esté protegido al 100% de la interceptación. Piensa en ello: ¿Te dejarán de lado sólo porque utilizas comunicaciones encriptadas? No, definitivamente no… Como usted es un reto para ellos, encontrarán otras formas de obtener la información que necesitan.

Claro, por un corto tiempo, tus secretos se …. permanecerá en secreto. Pero cualquier agencia decente encontrará en cualquier momento brechas de seguridad y reunirá la información que necesite sobre usted por cualquier medio.

Al codificar sus llamadas telefónicas, les está diciendo que tiene algo importante que ocultar e invitando a las agencias a utilizar otros medios para recabar información.

Cuando se utiliza la encriptación a través de los canales de voz estándar de la red móvil (no a través de una conexión de datos) como los dispositivos de encriptación conectados a tu teléfono móvil, la llamada encriptada no es… encriptado como usted cree. Sí, protege contra la interceptación de las llamadas por parte de las aplicaciones espía instaladas en el teléfono, ya que el micrófono del teléfono no se utiliza para las llamadas cifradas. Pero incluso si se utiliza un dispositivo de este tipo, el operador de GSM o la empresa que ejecuta un interceptor de GSM puede averiguar bastante información, como por ejemplo

  • ambos números de teléfono involucrados en la llamada
  • Duración de la llamada, con marca de tiempo
  • Su ubicación (telefónica) en el momento de la llamada
  • tu geolocalización en cualquier momento, mediante unas sencillas y eficaces técnicas de triangulación, basadas en el IMEI de tu teléfono, que no puede ser ocultado por ninguna aplicación de encriptación. En cuanto se enciende el criptoteléfono, se envían a la red el IMEI y el IMSI (si hay una tarjeta SIM insertada) para conectarse. No es necesario hacer una llamada o enviar un SMS. Así es como funcionan todos los teléfonos móviles, incluido su criptoteléfono.

Otras debilidades comprobadas del teléfono criptográfico:

  • Los interceptores GSM modernos pueden bloquear selectiva y temporalmente cualquier teléfono móvil dentro de su alcance basándose en los valores IMEI y/o IMSI, haciendo que ese teléfono criptográfico en particular no esté disponible para su uso durante el tiempo que deseen. Esto ocurre cuando un criptoteléfono utiliza una conexión de datos para realizar llamadas/mensajes cifrados.
  • Es bien sabido que el cifrado de los teléfonos móviles requiere una conexión a Internet de alta velocidad. Muchos fisgones modernos de GSM pueden rebajar la conexión de tu criptomóvil de 3G/4G a 2G simplemente interfiriendo las frecuencias de subida de 3G/4G, lo cual es una práctica habitual. Esto hará que los criptoteléfonos que utilizan enlaces de datos fallen y queden inutilizados.

Ni siquiera los teléfonos encriptados infames son inmunes a este ataque. Hace algunos años, una persona promedio publicó un cortometraje en YouTube que demostraba cómo una conocida aplicación utilizada para comunicaciones corporativas encriptadas, GoldLock, puede ser derrotada por una aplicación de espionaje comercial barata llamada FlexiSpy. Como tenía el teléfono en sus manos con GoldLock ya instalado, también instaló FlexySpy en el mismo teléfono móvil. Inició una conversación telefónica encriptada con otro teléfono GoldLock. FlexySpy grabó toda la conversación en texto sin formato, ya que FlexiSpy capta el audio directamente del micrófono antes de que GoldLock pase a encriptar la voz. Cuando finalizaba la conversación, FlexiSpy la enviaba automáticamente a través de WIFI o una conexión de datos a un servidor donde se podían escuchar todos los archivos a través de la cuenta de usuario personal. Simple, eficiente y vergonzoso para una aplicación de encriptación de primer nivel. Puede realizar la misma prueba en cualquier momento.

Por alguna razón, el video se eliminó de YouTube, por lo que no podemos publicar un enlace. Además, desde entonces, GoldLock no ofrece aplicaciones de prueba gratuitas para evitar situaciones similares. Sin embargo, eso no hace que GoldLock sea menos eficaz para los usuarios domésticos, ya que es, con mucho, una de las aplicaciones de comunicación más seguras.

Y sí, lo mismo puede pasar con tu teléfono móvil «seguro».

Por ello, la encriptación de las llamadas de voz es una solución a corto plazo para una comunicación segura. De hecho, ser predecible es una de las peores opciones en el campo de batalla de la inteligencia. Y el uso de un criotelefono significa que eres más que predecible.

Si utilizas cualquier solución de encriptación de voz (software o hardware), nunca sabrás cuándo se está interviniendo tu teléfono y, en consecuencia, nunca sabrás cuándo estás en verdadero peligro. En lugar de protegerse a ciegas del criptoteléfono, es mejor saber cuándo alguien está intentando escuchar tus llamadas y cuándo está intentando localizarte.

Sólo entonces podrá actuar de forma reflexiva, tomar las decisiones correctas e incluso influir en ellas mediante diversas técnicas de engaño.

Aquí llegan los XCell Stealth Phone que te ofrecen lo mejor de ambos mundos:

  • Detección y bloqueo de escuchas telefónicas. Detectar las escuchas en tiempo real y en el momento oportuno es realmente diferente de la encriptación ciega, una ventaja utilizada por los profesionales contra… profesionales.

A petición del cliente, cuando estemos seguros de que el cliente comprende plenamente todos los riesgos de seguridad que está asumiendo, se puede instalar una aplicación de cifrado de voz en XStealth Lite y XStealth.