Lo que los manifestantes de Hong Kong (y todo el mundo) deben saber sobre FireChat

Cartoon by Matt Bors for Storymaker.cc (CC BY-NC-SA 2.0).

Caricatura de Matt Bors para Storymaker.cc (CC BY-NC-SA 2.0)

Nathan Freitas y Oiwan Lam colaboraron con este artículo.

El lunes 29 de setiembre de 2014, entusiastas de los medios sociales y algunos medios occidentales dieron a conocer un aluvión de historias acerca de los manifestantes pro-democracia en Hong Kong usando la aplicación de chat FireChat. Aunque aparentemente muchas de estas cuentas exageraron la popularidad de la aplicación, activistas e investigadores en el campo de la seguridad cercanos al tema creen que es importante informar al público acerca de qué es esta aplicación — y lo que no es. 

En primer lugar, FireChat no es una aplicación de mensajería. FireChat es una sala de chat, una plataforma para enviar mensajes inseguros y públicos través de Internet o dentro del área vecina a su ubicación geográfica. 

Una vez instalada, la aplicación requiere que el usuario se registre con su nombre real (que será pre-formateado con el nombre cuando configure su iOS o un teléfono Android), un nombre de usuario y dirección de correo electrónico. Una vez que inicie la sesión, el usuario puede unirse a las salas de chat en línea, crear nuevas salas o comenzar directamente a enviar mensajes a todos los que también estén conectados a FireChat y se encuentren en los alrededores. Estos mensajes directos se transmiten de teléfono a teléfono a través de tecnología Bluetooth. Por eso, cuando se conoció el rumor acerca de que las autoridades planeaban cerrar las redes móviles, FireChat fue promocionada como una manera de conversar con «independencia de la red», ya que no requiere necesariamente estar conectado a Internet.

Existen muchas ideas confusas acerca de la capacidad, privacidad y seguridad de FireChat, entonces a ver si nos entendemos:

FireChat no es seguro. No está diseñado para preservar la privacidad del usuario, o la seguridad y confidencialidad de los mensajes de usuarios.

FireChat no tiene un sistema para corroborar la identidad de los usuarios. Si los mensajes son enviados desde un nombre aparentemente destacado (por ejemplo, coordinadores de las protestas o periodistas), no hay manera de controlar su veracidad. Un atacante podría fácilmente hacerse pasar por un individuo destacado y difundir información falsa o enlaces para descargar e instalar spyware. Esto ya le ha sucedido a los activistas locales en varias ocasiones en las últimas semanas. 

Investigadores dedicados a la seguridad familiarizados con la tecnología recomiendan que los activistas no usen sus nombres reales y eviten enviar mensajes con información privada o sensible. Recuerde que puede haber infiltrados entre los manifestantes recolectando mensajes a través de FireChat, que son almacenados en su dispositivo así como también enviados por la red encriptados. Para un análisis más detallado de FireChat, lea este estudio (disponible sólo en inglés) del Citizen Lab de la Universidad de Toronto aquí.

BynY07jCYAES3L9

Existen riesgos de seguridad intrínsecos al usar Bluetooth. En general, ya sea que esté usando FireChat o no, tener el Bluetooth habilitado puede exponer aún más su teléfono a los ataques, así como también le brinda a los infiltrados medios para enumerar e identificar los teléfonos conectados entre los manifestantes. De hecho, en los últimos días ha habido numerosos reportes de ataques de spyware contra los manifestantes en Hong Kong.

Mientras algunos de ellos carecen de fundamento, existen reportes verosímiles de la existencia de mensajes difundidos ampliamente elaborados específicamente para atraer a los manifestantes de Occupy Central y a los estudiantes en huelga de Hong Kong para descargar e instalar la aplicación que parece diseñada para coordinar protestas, aunque en realidad se trata de spyware diseñado para grabar llamadas telefónicas, robar correos electrónicos y capturar listas de contacto, y también rastrear su ubicación geográfica.

Uno de estos ataques fue distribuido en forma masiva a través de WhatsApp (ver la imagen de la izquierda). Los manifestantes deben ser cautos cuando reciben mensajes que invitan a bajar e instalar aplicaciones, especialmente si no lo solicitaron.

Mientras los informes hasta ahora sugieren que el malware está siendo enviado solamente vía WhatsApp, es posible que ataques similares podrían ser distribuidos a través de otros medios incluyendo foros y correos electrónicos, así como también FireChat.

Recomendaciones para los manifestantes

Expertos de Tibet Action Institute han desarrollado un set de herramientas denominado CyberSuperHero, disponible en chino e inglés, que los manifestantes y activistas digitales deben consultar para buscar ayuda acerca de las conexiones móviles fijas de Internet. Ellos han preparado para Global Voices esta simple lista de consejos: 
 
1. No haga clic en enlaces inesperados enviados en mensajes a través de SMS, Bluetooth o chat de fuentes desconocidas. 
 
2. Si no necesita su teléfono para estar conectado, paselo a modo avión – puede tomar fotos, etc, pero será más difícil de rastrear o que le envíen spam.  
 
3. Asegúrese de colocar un PIN o una contraseña a su teléfono, en caso que lo detengan o le roben el teléfono. Esto ayudará a proteger los datos relacionados con sus amigos, grupos y redes.

Es importante que las personas en Hong Kong estén concientes de las potenciales ramificaciones de usar aplicaciones de comunicación y publicación y que sigan prestando atención a los potenciales ataques. A medida que las protestas se intensifican y el gobierno recibe presiones internacionales para reducir la intervención de las fuerzas policiales, los ataques informáticos y móviles podrían aumentar.

Siga nuestra cobertura en profundidad: La Revolución de los paraguas en Hong Kong

2 comentarios

Únete a la conversación

Autores, por favor Conectarse »

Guías

  • Por favor, trata a los demás con respeto. No se aprobarán los comentarios que contengan ofensas, groserías y ataque personales.