
+ Entrevista a Rex Militello, representante de Cellcrypt USA
Si bien la ciberseguridad trata de evitar el robo de información valiosa, la fuga de información sigue sucediendo fuera de la Red.
El espionaje es una actividad muy antigua, es inevitable hacer referencia al “Arte de la Guerra” donde señala el autor que espiar es vital para conocer al enemigo y lograr la victoria sin luchar. Una de las principales disciplinas del espionaje es la interceptación de las conversaciones, porque es una forma de obtener información muy valiosa y discreta: Los interlocutores no perciben que están siendo escuchados, leídos. Y es una actividad muy frecuente llevada a cabo por gobiernos y también por organizaciones criminales.
Los gobiernos, como el de España, poseen sistemas de interceptación masiva de conversaciones telefónicas y comunicaciones que acceden vía SS7, con el propósito de defender al país frente a actividades peligrosas: Terrorismo, crimen organizado, espionaje por potencias enemigas, etc. Y también para detectar estos mismos riesgos en las redes sociales. Es una actividad legítima para la defensa de una nación.
Sin embargo, organizaciones criminales también tienen acceso a diversas tecnologías que les permiten espiar como por ejemplo con malware, los temidos virus y troyanos. Incluso existen servicios en la DarkWeb que ofrecen sistemas tácticos COMINT, o datos obtenidos por ataques a las Teleoperadoras.
Petro confía en Cellcrypt desde su alcaldía en Bogotá.
Incluso se sabe que periodistas sin escrúpulos contratan servicios de “espías de fortuna” para conocer la vida íntima de personas de interés. Según una fuente de confianza a la que hemos tenido acceso, en los barrios ricos de Madrid se levantan diariamente falsas antenas de telefonía móvil para escuchar intimidades de futbolistas, empresarios, etc.
Por lo tanto es necesario protegerse. ¿Pero cómo sin caer en una paranoia que nos obligue a grandes inversiones, o a cambios traumáticos en los procesos, a conflictos con los miembros de la empresa afectados?
Una aproximación efectiva y poco intrusiva es implantar soluciones en las interfaces de la organización, no en vano los primeros poblados humanos iniciaron su defensa levantando murallas y excavando fosos. Un esfuerzo considerable justificado por la magnitud y frecuencia del riesgo de ser atacados incluso por los señores feudales vecinos. Es la probabilidad de suceder y la magnitud del daño los parámetros a emplear para decidir sobre las contramedidas a implementar.
En una empresa de ingeniería, los directivos y los responsables de proyectos estratégicos de la compañía son quienes presentan mayor riesgo de fuga de información. Es posible que en una reunión en un bar se mencionen materias reservadas; sin embargo el móvil es el principal medio de comunicación hoy en día, por lo que es en este dispositivo donde tiene sentido levantar defensas.
En la soluciones gratuitas como Whatsapp, el usuario es el producto
Es posible levantar muros al detectar conversaciones que tratan temas clasificados: La voz una vez entra por el micrófono del smartphone es ya digital, y un algoritmo puede comprender el significado de las palabras usadas, y por lo tanto podría cancelar la llamada si detecta que se mencionan materias clasificadas de la compañía. Este método es sin embargo traumático, siendo más amigable emplear métodos para evitar ser escuchados, que censurar a los empleados.
Un espía tratará de escuchar una conversación entre miembros de la organización que pueden compartir información privilegiada. Desde acudir al bar donde se juntan estas personas, a interceptar sus llamadas. Es este el riesgo más crítico y frecuente. Lo del bar se consigue de alguna forma mediante formación y sensibilización. Pero la interceptación de llamadas sí se puede combatir con soluciones comerciales.
Evitar la interceptación se logra mediante el cifrado de las comunicaciones, securizando el micrófono del teléfono, y cifrando la voz y datos IP. Y también mediante otras tecnologías que permitan alertar ante los intentos de interceptación o suplantación de identidades.
Al principio, incluso en tiempos recientes en donde estaba disponible el IPHONE 5, se ofrecían “zapatófonos” altamente desagradables estética y funcionalmente. Hoy una simple App permite al usuario realizar llamadas de voz o ip seguras desde su teléfono preferido.
En el mercado existen bastantes soluciones de Comunicaciones Seguras legales disponibles en el mercado. Se remarca el término “legal” porque quien vende este tipo de soluciones a los malos es objetivo de las Fuerzas de la Ley y el Orden, por ser colaborador “necesario” en las actividades criminales que llevan a cabo esas malignas personas. Elegir a un fabricante legal, confiable, de soluciones de comunicaciones seguras es vital para evitar caer en manos de los malos. Signal por ejemplo puede ser usado por cualquier grupo de personas, incluso ofrece el código fuente para implementar soluciones a medida. De hecho Whatsapp, Telegram y otros se aprovecharon de Signal para crear su propia app.
CellCrypt dispone de certificaciones FIPS 140.2 y NIAP Common Criteria
Los distintos tipos de soluciones de Comunicaciones Seguras más comunes en el mercado son los siguientes:
– Teléfono móvil “seguro”, que protege tanto al dispositivo como a las comunicaciones. Es un dispositivo que solo sirve para llamar a otros de la organización, por lo que el usuario puede sentirse tentado de recurrir a su nuevo X-Phone en vez de usar el “zapatófono”. Algunos proveedores significativos son, o eran ATOS, Grupo Plath, …
– App “segura”, que protege las comunicaciones mediante su cifrado. Se pueden descargar gratuitamente algunas como Whatsapp, Telegram, Signal, …
– Soluciones de Comunicaciones Seguras, que incrementan la seguridad de las App “seguras”, y dotan al terminal de protecciones similares al “zapatófono”.
Para ilustrar este artículo hemos entrevistado a Rex Militello, representante de Cellcrypt USA, una empresa originaria del Reino Unido, que está logrando importantes contratos con gobiernos y empresas de diferentes países, como por ejemplo en Septiembre del 2022 con el Gobierno de Colombia, si bien ya suministró este producto a Petro cuando era alcalde de Bogotá.
Entrevistador (E): ¿Su empresa vende sólo a los gobiernos o también a instituciones privadas?
Rex Militello (R.M.): Vendemos a instituciones de gobiernos y a empresas privadas como Bancos, Operadoras de Telecomunicaciones, despachos de abogados, etc.
Disponemos de oficinas en USA; UK, Brasil, países de Oriente Medio y Pacífico. Trabajamos también con distribuidores como por ejemplo ha sucedido en Hispanoamérica, antes con Telefónica, y ahora con NavGis.
E- ¿Cellcrypt es una aplicación simple o tiene un dispositivo de teléfono inteligente seguro? ¿El usuario obtiene una ventaja adicional si instala su aplicación en un teléfono inteligente «blindado»?
R.M.: Es una solución software, independiente del dispositivo (iOS, Android, Windows), que dispone de protección mejorada de «datos en reposo», sin necesidad de hardware especializado.
E: ¿Qué diferencia señalarías frente a soluciones como WhatsApp, o Signal?
R.M.: Cuando un producto es gratis, tú eres el producto.
Las aplicaciones de consumo usan cifrado no certificado a menudo con fallas de seguridad fundamentales, por ejemplo, usan números de teléfono como identificaciones de usuario. Requiere confianza tanto en el proveedor de servicios como en su infraestructura.
Los metadatos de llamadas y mensajes son propiedad del proveedor de servicios; esto incluye a su número de teléfono, nombre de perfil, foto, estado en línea y mensaje de estado, y estado visto por última vez; y también información sobre a quién, cuándo y con qué frecuencia está enviando mensajes, llamando, etc., y a qué grupos pertenece, datos de localización, información sobre su estado en línea, como cuándo fue visto en línea por última vez, cuándo actualizó su mensaje de estado, etc. Y también datos del dispositivo, como modelo de hardware, información del sistema operativo, información del navegador, dirección IP, información de la red móvil, incluido el número de teléfono e identificadores del dispositivo.
Por ejemplo Cellcrypt protege contra dispositivos de interceptación táctica (IMSI catchers, descifradores 2G, 3G,4G, 5G) o a través de SS7 realizados por gobiernos, o hackers que se introducen en los sistemas de las Telco.
E: ¿Qué características principales señalarías de Cellcrypt?
R.M.: Cellcrypt está certificado en USA en los principales estándares de seguridad, soporta redes con mala calidad de señal, y permite la interoperabilidad
Cellcrypt está certificado (NIST y NIAP) para proteger información hasta niveles de seguridad como el “US Classified Top Secret” y es utilizado por organizaciones y gobiernos de todo el mundo. Con Cellcrypt, las organizaciones administran las aplicaciones, los usuarios y las políticas con total control de la pila de comunicación y los metadatos. Cellcrypt está diseñado para ser seguro, incluso cuando la red se ha visto comprometida de manera proactiva
La mensajería, las llamadas de voz/video y las transferencias de archivos grandes están totalmente cifradas de extremo a extremo. Se pueden crear grupos seguros para enviar mensajes, llamar y compartir archivos grandes (más de 500 MB).
La autenticación mutua para todos los interlocutores elimina los riesgos de suplantación de identidad y espionaje. Posee codificación de datos avanzada para ofrecer calidad HD, incluso con anchos de banda bajos en cualquier tipo de red, por ejemplo sobre 5G, 4G/LTE, 3G/HSDPA, 2G/EDGE, Wi-Fi y satélite.
Cellcrypt además permite interoperabilidad con teléfonos fijos a través de la PBX corporativa.
E: ¿Su solución requiere de un smartphone también seguro, como el que ofrecen otras empresas del sector? ¿Mejoraría la protección si se instala sobre un smartphone «blindado»?
Nuestra solución es independiente del dispositivo (iOS, Android, Windows). Dispone de protección de los datos archivados sin necesidad de hardware especializado.
No obstante, cuanto mejor es el terminal, más seguro será el ecosistema. Por ejemplo si dispone de lectura de datos biométricos, lo aprovechamos.
E: ¿Protege al usuario de software malicioso como virus o troyanos?
R.M.: El propósito de nuestro producto es proteger los datos transmitidos, por lo que recomendamos de forma rutinaria el uso de productos como Lookout para proteger los dispositivos contra los ataques con código malicioso.
E: ¿Cómo evita que un gobierno como China bloquee las comunicaciones entre sus aplicaciones, a través de ataques al servidor centralizado? ¿Sigue el modelo de Signal utilizando servicios http genéricos de Google u otros proveedores globales?
R.M.: A diferencia de Signal, Cellcrypt es una red privada. Signal emplea servidores públicos. Cada red privada utiliza su propio conjunto de servidores, que están bajo el control del propietario de la red. Esto significa que nuestros servidores pueden ejecutarse en la nube de AWS, Azure, o incluso en un ordenador portátil con módem 4G.
Después de años de experiencia en el mercado, hemos logramos construir una plataforma que no revela nada sobre la naturaleza de la comunicación entre los dispositivos y el servidor, si un tercero audita el tráfico IP. No hay forma de que ese auditor o incluso el administrador de la red pueda determinar si el tráfico pertenece a un juego o una aplicación de Cellcrypt. Esto se debe a que todas las comunicaciones entre nuestros dispositivos y el servidor están cifradas con TLS/SRTP y se han implementado varias medidas para garantizar que no se filtren metadatos.
E: En caso de pérdida o robo del teléfono inteligente, ¿su solución protege la confidencialidad de la información guardada en su aplicación?
R.M.: Sí, la aplicación está protegida por contraseña, todos los datos están cifrados dentro de la aplicación. Permite el empleo de Microsoft Active Directory, 2FA o doble identificación por contraseña y datos biométricos dependiendo del dispositivo.
E: ¿Permite borrar el contenido de ese smartphone de forma remota?
R.M.: Sí, ofrecemos eliminación/borrado remoto. Pero también ofrecemos al usuario un pin de eliminación para usar en casos de sufrir coacción, en cuyo caso se borrará la base de datos del smartphone.
E: ¿Qué certificaciones o credenciales obtenidas por su solución son las más interesantes para sus clientes, para obtener la credibilidad necesaria?
R.M.: Disponemos de numerosas certificaciones de seguridad, como por ejemplo las de Estados Unidos FIPS 140.2 y NIAP Common Criteria, que son las más significativas y nos habilitan para ofrecer nuestra solución a organismos estatales de este país.
E: ¿Es una solución costosa? ¿Podría darnos un rango para una entidad estatal de unos 50 usuarios?
R.M.: No, ofrecemos un valor muy atractivo: Si se decide por la opción de ejecutarse en nuestra infraestructura de nube privada, una empresa que quisiera desplegar la solución entre sus 50 empleados que manejan información confidencial, tendría un coste anual de unos aproximadamente 6.000 USD. Si el cliente prefiere ejecutar la plataforma en su propia infraestructura privada, tiene un coste algo superior. No hay un pedido mínimo de licencias, por lo que dos personas pueden acceder a esta solución por tan solo 20 USD al mes.
FUENTES: