Serien més plausibles atacs a periodistes, per exemple, per aconseguir entrar a xarxes socials dels diaris, manipular informació i posar notícies falses. O a funcionaris per robar informació interessant a polítics i saber l'estratègia a seguir. Cal afegir la possibilitat de bots que facin córrer informació falsa.
Ha plogut molt des del referèndum del 9-N i els bombardejos cibernètics que van tombar sistemes informàtics vitals com la xarxa del Servei d'Emergència Mèdiques (SEM), el correu electrònic i algunes webs de la Generalitat. Segons totes les fonts consultades, és poc probable que tornem a veure la foto d'aquell ciberatac, tan potent que només podia tenir al darrere un estat o algú amb molts diners.
L'expert en seguretat informàtica Jorge Soydel Bierzo explicava recentment a Twitter que havia estat analitzant amb ulls de hacker la pàgina web del Referèndum, per veure si estava ben protegida. I deia que li havia fet bona impressió que s'hi utilitzés un servei que es diu Cloudflare, que protegeix les webs de bombardejos i altres atacs. Tot i que tenia algun error que podria permetre saltar-se aquesta barrera.
Un altre expert, Pete Herzog, director de l'institut català de seguretat ISECOM, considera que avui en dia els ciberatacs dels governs ja no van a bombardejar webs, sinó que "tendeixen a ser amagats i més dirigits a l'espionatge i recopilació d'intel·ligència que no pas trencar res; com més temps un atac pugui no ser detectat, més fort serà".
[blockquote]"Els ciberatacs seran dirigits a periodistes, les seves fonts i influencers dels mitjans tradicionals i socials"[/blockquote]
Tot i això, diu Herzog, no es poden descartar "atacs cibernètics directes d'una oposició "amateur", enfadada i agressiva, que no tindran gran impacte en les eleccions ni a les notícies i, fins i tot si arribessin a afectar la consulta d'alguna manera, encara no serien suficient per incidir en l'opinió pública o en el conjunt del referèndum".
Atacs dirigits a espiar
Herzog té un gran coneixement de les tàctiques cibernètiques dels governs després d'haver ajudat el poble tibetà a resistir els ciberatacs de la Xina. La majoria eren correus falsos del tipus phishing, que enganyaven els activistes i membres del govern a l'exili perquè donessin la seva contrasenya o obrissin un document adjunt i així poder accedir al seu correu i ordinadors.
Aquest és també l'escenari que hem de témer a Catalunya, diu Herzog: "Els ciberatacs seran dirigits a periodistes, les seves fonts i influencers dels mitjans tradicionals i socials". I afegeix: "Aquests atacs anirien dirigits a espiar, però també a interrompre i canviar la informació per fer que la persona sembli incompetent".
Pete Herzog a la conferència de La Salle Foto: Minerva
Herzog acaba d'una manera enigmàtica: "Possiblement ja fa temps que estem patint ciberatacs professionals i clandestins que no afectaran la consulta ara mateix, però que l'haurien estat afectant d'una manera subtil tot aquest temps". La població no en sabrà mai res d'això, diu Herzog, perquè cap govern ni polític "vol patir la humiliació que comporta haver estat ciberatacat".
Atenció als mòbils
Un habitant de la Dark Web (o Internet profunda), que vol romandre anònim, ens dóna alguns consells dirigits a les persones del govern i directius d'empreses implicats en la consulta. El seu principal avís és que prestin especial atenció als telèfons mòbils: "És molt possible que estigueu sent espiats, aneu amb molt de compte sobre què envieu pel vostre telèfon". Una tècnica d'espionatge habitual dels governs és utilitzar "IMSI catchers" (aparells per detectar converses des de mòbils) amagats per exemple en furgonetes. Simulen ser una antena de la nostra operadora de telefonia. El telèfon hi confia i li poden instal·lar programes espia sense deixar rastre.
[blockquote]"És molt possible que estigueu sent espiats, aneu amb molt de compte sobre què envieu pel vostre telèfon", diu un hacker anònim.[/blockquote]
"No us refieu de les aplicacions de missatgeria que diuen que són segures", assegura el hacker. Tampoc, diu, "assumiu que no sou prou importants per no ser hackejats o que us n'adonareu quan el vostre telèfon sigui hackejat: no ho sabreu mai". En cas de comunicacions sensibles, recomana "comprar un mòbil Android barat i no posar-hi targeta SIM, ni compte de Google, tampoc connectar-lo a cap xarxa Wifi que estigui relacionada amb vosaltres, per exemple la de casa vostra".
El hacker recomana posar una contrasenya, no un pin, a aquest telèfon, que tingui almenys 12 caràcters. Per comunicar-se, instal·lar una aplicació de missatgeria que no necessiti un número de telèfon o correu electrònic. N'hi ha diverses, però la més estable seria Wire, tot i que necessita una adreça de correu per activar-se. Podem utilitzar una adreça temporal, com les de Guerrillamail. "No utilitzeu el vostre nom real com a nom d'usuari a Wire", avisa el hacker.
[blockquote]"Visita només llocs web que coneguis i en els quals confiïs", recomana un hacker[/blockquote]Aquest telèfon, diu, "no seria vulnerable als "IMSI catchers", ni als mètodes de hacking habituals de monitorizació en telèfon de diari perquè no té targeta SIM i només s'utilitza per comunicar-se a través de Wire, per tant no hi ha cap dada personal a l'aparell".
Altres bons consells per a polítics, funcionaris, periodistes i persones implicades a fons en el referèndum serien, diu el hacker: "Visita només llocs web que coneguis i en els quals confiïs". Rere una foto, un anunci o un vídeo d'una web pot haver-hi un virus que entrarà al teu ordinador automàticament, sense que hagis de fer res.
Emmanuel Macron, en plena campanya Foto: Flickr En Marxa
Cal també anar amb compte amb els "missatges de correu que sembli que t'envia gent que treballa amb tu en aquella campanya". Comprovar sempre que l'adreça de correu del remitent és correcta i, en cas de dubte, telefonar per confirmar-ho. Per últim, molt de compte amb Facebook i les seves notícies falses. No activar cap vídeo ni obrir cap imatge, menys encara cap document que arribi per Facebook o el seu servei de missatgeria. El millor que es pot fer amb Facebook, si s'està treballant en una campanya sensible com és el referèndum, és desinstal·lar-lo del telèfon i no visitar-lo fins que s'hagin calmat les aigües.
[blockquote]"No activar cap vídeo ni obrir cap imatge, menys encara cap document que arribi per Facebook o el seu servei de missatgeria"[/blockquote]
Tàctiques com aquestes es van utilitzar per atacar Macron i els seus col·laboradors abans de les recents eleccions a França: durant mesos van rebre atacs de phishing per correu electrònic, amb enganys molt elaborats que volien fer-los visitar llocs web o donar la seva contrasenya de correu electrònic. La víctima cau a la trampa sense adonar-se'n i els "dolents" poden espiar-li el correu o entrar als sistemes informàtics del seu partit durant molt de temps.
Així va passar també a les darreres eleccions als Estats Units. El cap de campanya de Hillary Clinton va rebre un correu que era calcat als que envia Gmail, quan algú ha intentat accedir al teu compte i et demana que canviïs la contrasenya. El cap de campanya va tenir la precaució de preguntar als seus serveis de seguretat si se'n podia refiar. I li van dir que sí. Va anar a la plana que li indicava el mail, que era una còpia exacta de la plana de Gmail, i va escriure la seva contrasenya.
La candidata demòcrata Hillary Clinton, en una imatge d'arxiu Foto: Europa Press / Reuters
Així van donar accés als seus enemics polítics a totes les converses confidencials per correu, contactes, etc. Els hackers ja feia temps atacant ordinadors estratègics de la campanya i robant-ne la informació. Van fer un paquet amb tot i ho van portar a Wikileaks, que va publicar-ho en plena campanya electoral.
En el cas de Macron, just un dia abans de les eleccions algú va fer públic a la xarxa un gran arxiu de documentació. Més tard es va veure que n'hi havia força de falsa o sense interès, però en aquell moment ple de presses va fer l'efecte que Macron tenia molts draps bruts. La filtració es va amplificar amb l'ajuda de milers de "bots" a Twitter.
Tornar al recompte de vots a mà
El referèndum pel Brexit va patir també un atac hacker. En aquest cas però "només" van bombardejar un lloc web que servia per registrar-se per votar. Paral·lelament, el ministre de defensa de Dinamarca anunciava que acabaven de descobrir que Rússia havia espiat els seus sistemes informàtics durant els darreres dos anys, sense que el govern se n'adonés.
Holanda prepara les seves eleccions pel 15 de març. El govern anunciava recentment que faran el recompte de vots a mà i comunicaran els resultats per telèfon i no per ordinador com es feia fins ara. Els serveis d'intel·ligència d'aquell país haurien avisat el govern de la possibilitat que mercenaris manipulessin els programes instal·lats als ordinadors de les taules electorals, que són obsolets i per tant vulnerables a atacs. Aquesta mesura farà que els resultats de les eleccions se sàpiguen més tard, però els donarà més fiabilitat.
Pàgina del grup de hackers Chaos Computer Club
El referèndum català és segur en aquest sentit perquè els resultats es comptaran a mà, lluny de manipulacions cibernètiques. Però, com diu l'enginyer informàtic Raul Cosano, "la ciberguerra és molt més que això, és la manipulació de la ment col·lectiva fent servir les xarxes". Aquesta mena de guerra, la psicològica, és mil vegades més subtil que un bombardeig cibernètic i les xarxes socials estan sent el seu camp de batalla ideal, sobretot Facebook.
[blockquote]"El referèndum català és segur en aquest sentit perquè els resultats es comptaran a mà, lluny de manipulacions cibernètiques"[/blockquote]
Diversos estudiosos han relacionat la victòria de Trump amb l'ajuda que va rebre de Cambridge Analytica, una empresa que utilitza big data de les xarxes socials per a la manipulació psicològica. No és cap broma: ara mateix hi ha un escàndol als Estats Units perquè Facebook va acceptar anuncis russos durant les eleccions nord-americanes. La guerra psicològica és a l'ordre del dia.
L'any passat, Bloomberg publicava un colpidor reportatge amb el títol: "Com hackejar unes eleccions". L'escrivia, en primera persona, un mercenari informàtic, Andrés Sepúlveda, per a qui telèfons mòbils, ordinadors, discos durs o memòries flash no tenen cap secret. Sepúlveda explica que va passar 8 anys viatjant per Amèrica Llatina, fent manipulació psicològica a xarxes socials, robant estratègies de campanya dels ordinadors de l'oposició, instal·lant programes espia, desfigurant planes web o bombardejant-les, enviant missatges falsos de phishing, clonant webs per enganyar incauts funcionaris, interceptant trucades. Tot el que fos necessari perquè els candidats, que li pagaven centenars de milers de dòlars, guanyessin les eleccions a Mèxic, Nicaragua, Panamà, Hondures, El Salvador, Colòmbia, Costa Rica, Guatemala i Veneçuela.
