La missatgeria mòbil, el correu electrònic, les telefonades, les videotrucades, les cerques per internet, l’emmagatzematge d’arxius o les reunions presencials poden esdevenir escenaris de batalla contra la democràcia i els drets humans. El Catalangate, considerat el cas d’espionatge polític “més gran del món” amb el programari Pegasus; ha confirmat un cop més la premissa bàsica que la seguretat total no existeix. És per això que, aquest dimarts, 7 de juny, Òmnium Cultural ha presentat el “Manual de ciberseguretat per a activistes: Davant l’espionatge de l’Estat espanyol, protegim-nos!” a l’aula magna de la Facultat de Medicina de la Universitat de Barcelona, amb la participació de l’activista i víctima d’espionatge David Fernández; Genís Roca, president de la Fundació PuntCat; Giada Negri, d’European Civic Forum; l’enginyer Josep Maria Ganyet i Xavier Antich, president d’Òmnium. L’acte ha coincidit amb la publicació de la investigació del cas de l’agent de la policia espanyola infiltrat durant dos anys en el moviment de l’esquerra independentista i pel dret a l’habitatge.
“L’activista de base o qualsevol persona que vulgui defensar les seves idees lliurement ha de protegir-se davant l’intent de tercers d’interceptar les comunicacions de forma il·lícita per boicotejar la seva feina o activitats, com s’ha demostrat en el cas del Catalangate”. Així arrenca la guia d’Òmnium per millorar el control sobre la privacitat i la seguretat de la informació que es comparteix en el dia a dia, mitjançant un conjunt d’eines digitals i recomanacions. L’entitat també posa el focus en la “disciplina” i la “consistència” en el temps, com a actituds que s’han d’adoptar per protegir-se de l’espionatge. “És precisament la inconsistència el que t’exposa, ja que si et relaxes s’obre una escletxa de seguretat i tota la bona feina prèvia que hagis pogut fer pot quedar en no res en qüestió de minuts”, manifesten des d’Òmnium.
L’enviament de missatges a través de sistemes com WhatsApp, Telegram o Signal és més segur, si s’activa l’opció d’autodestrucció dels missatges d’un xat o grup
La primera capa de ciberseguretat per a qualsevol activista que vulga exercir els seus drets sense estar sota vigilància correspon a la missatgeria mòbil. Tal com recomana la guia, l’enviament de missatges a través de sistemes com WhatsApp, Telegram o Signal és més segur, si s’activa l’opció d’autodestrucció dels missatges d’un xat o grup des de la mateixa configuració del xat, la qual permet que desapareguen al cap d’uns pocs minuts o, fins i tot, mesos. “Tres dies acostuma a ser un bon efímer pel dia a dia”, consideren des d’Òmnium, que recomana, principalment, fer servir aplicacions com Signal o els xats secrets de Telegram, tot i que “hi queda registrat qui hi ha en una conversa i tant l’empresa proveïdora del servei com qui tingui accés en cas de sostracció hi podria accedir”.
Per a enviar informació d’una sensibilitat més gran, hi ha les aplicacions Element, Matrix, Wire o KeyBase o, fins i tot, es pot fer servir un mòbil on mai s’haja instal·lat una targeta SIM. També existeix la possibilitat de remetre fitxers de manera segura a través d’un servei de missatgeria encriptat prèviament amb PGP, un sistema d’encriptació “mitjançant el qual l’emissor encripta les dades amb una clau pública, coneguda per tercers, però que només la pot desencriptar el receptor amb una clau privada”, expliquen.
“Enviar un correu electrònic mitjançant proveïdors convencionals és, a la pràctica, com enviar una postal per correu tradicional”, reblen des d’Òmnium
Enregistrar àudios o vídeos, trametre documents compromesos per missatgeria mòbil, telefonar per telefonia convencional o obrir missatges de números desconeguts o de remitents estranys són algunes de les males pràctiques que es recullen a la guia en relació amb la missatgeria mòbil. En el cas del Catalangate, els atacants van emprar missatges de text trampa amb informació personal i suplantant empreses, institucions i ONG perquè les víctimes clicaren. En total, Citizen Lab va recopilar 200 exemples de missatges de text trampa amb enllaços maliciosos.
El correu electrònic pot ser un altre objectiu de la seguretat de l’Estat. “Enviar un correu electrònic mitjançant proveïdors convencionals és, a la pràctica, com enviar una postal per correu tradicional”, reblen des d’Òmnium. Per millorar la seguretat en l’ús del correu, l’entitat recomana utilitzar serveis que permeten fer un registre anònim. Això exclou Gmail i fa incorporar opcions més segures com Protonmail –en què no es descarta que el proveïdor puga facilitar les dades personals–, Telios o serveis amb encriptació PGP, com Thunderbird. També se suggereix fer ús de correus on l’adreça no continga cap element que es relacione amb el remitent, com nom, cognoms, pseudònims o dates que faciliten la revelació de la identitat.
Cridar amb seguretat
“Les trucades convencionals són totalment transparents i vulnerables a l’espionatge i existeixen sistemes de tractar-les totes, com ara reconeixement de veu o significats. És relativament fàcil per l’interceptor identificar trucades i fer-ne seguiment”, adverteixen en el manual. Davant la vulnerabilitat de les cridades telefòniques a l’espionatge, s’aconsella no donar detalls o fer servir eines com Jitsi per “converses que vulguis que siguin totalment privades i anònimes”, utilitzar auriculars perquè no puguen gravar la conversa o evitar despenjar cridades d’origen desconegut.
Les videotrucades, un dels canals més emprats per a reunions de treball o d’activisme arran la normalització del teletreball, també poden ser objectiu d’espionatge. Per protegir-se, se suggereix fer ús d’auriculars, ja que així només podran enregistrar una part de la conversa; apagar la càmera de l’ordinador, usar un pseudònim, així com serveis que no demanen usuaris per accedir-hi, com Jitsi.
No deixar rastre per internet
Cada cerca per internet efectuada des d’un navegador habitual, com Chrome, FireFox, Opera o Safari, deixa un rastre molt fàcil de traçar. Les expertes recomanen navegadors que no envien cap mena d’informació, com LibreWolf; no deixar les contrasenyes al navegador o fer servir una pestanya de navegació d’incògnit. “Si no ho fas, encara que utilitzes una VPN per evitar que el proveïdor d’internet sàpiga per on navegues, l’empresa del navegador poden saber tot el que has visitat”, s’explica a la guia.
A l’hora d’emmagatzemar arxius, el rastre també serà més difícil de resseguir, si s’encripten els documents, una pràctica que “pot marcar la diferència entre estar protegit o exposat”, subratllen des d’Òmnium
A l’hora d’emmagatzemar arxius, el rastre també serà més difícil de resseguir, si s’encripten els documents, una pràctica que “pot marcar la diferència entre estar protegit o exposat”, subratllen des d’Òmnium. Eines com GoogleDrive, OneDrive o iCloud s’han de substituir per altres com cryptpad.fr, on els fitxers es poden protegir amb contrasenya i es pot habilitar el “llistat d’accés” per poder controlar qui hi té o no accés. Els dispositius mòbils també es poden encriptar. En aquest cas, es pot aconseguir a través de la seua configuració, mentre que en el cas dels portàtils, existeixen programes com VeraCrypt, Bitlocker o FileVault.
Per no revelar quines pàgines web, adreces d’internet i programes s’empren, una de les recomanacions generals és connectar una xarxa privada virtual (VPN, per les seues sigles en anglès). “Són fàcilment descarregables a internet o a través del teu proveïdor d’aplicacions”, s’exposa en la guia. Algunes són gratuïtes, com RiseupVPN; i d’altres de pagament, com NordVPN, ExpressVPN o SurfShark. Amb tot, des d’Òmnium destaquen que és “important fer un ús molt responsable d’una VPN, perquè davant d’un requeriment judicial el teu proveïdor del programa sí que podria acabar informant sobre quines pàgines web has visitat o utilitzat”.
Apagar el telèfon
“Les reunions són un dels espais més sensibles per a qualsevol activista”, alerta Òmnium. “No només –continua– perquè són els objectius del possible interceptor o espia, sinó també perquè interactuem amb més d’una persona, multiplicant les possibilitats d’exposar-nos o exposar als altres”.
Per millorar el control sobre la seguretat en les trobades presencials, la primera bona pràctica consisteix a apagar el telèfon i el portàtil abans de desplaçar-se a la reunió i deixar-lo fora de la sala. Segons s’exposa al manual, “això és important no només per la geolocalització, sinó perquè quan fas un desplaçament existeix la possibilitat que et segrestin els equips”. “Si estan en obert o en mode suspensió, no estan encriptats i són vulnerables”, es matisa. També s’aconsella, si cal, prendre notes amb ordinador protegit, en compte d’amb llibreta; i utilitzar només portàtils amb Linux. “Un cop encriptat no el podran obrir”, argumenten.
