El caso de vigilancia de Mitto AG - o por qué no debemos nunca encriptar por la puerta trasera.

Un solo empleado filtró datos sensibles a los servicios secretos, potencialmente también a Rusia.

Mitto AG surveillance shows why encryption must never be broken.

Mitto AG, una empresa suiza, habría colaborado en la vigilancia de teléfonos móviles a gran escala. Las investigaciones están en curso, pero las filtraciones actuales apuntan a un empleado que cooperó con los servicios secretos de todo el mundo entregando datos de localización libremente, y sin ninguna supervisión legal.


Vigilancia de Mitto AG

Ilja Gorelik, cofundador y director de operaciones de Mitto AG, ayudó presuntamente a empresas privadas de vigilancia y agencias gubernamentales a rastrear a personas a través de sus teléfonos móviles.

La filtración publicada por la Oficina de Periodismo de Investigación y Bloomberg News acusa a la empresa suiza Mitto AG de haber ayudado a localizar teléfonos móviles y a obtener información en operaciones de vigilancia en todo el mundo.

Tecnología para mejorar la seguridad

Lo paradójico del caso de vigilancia de Mitto AG es que, en realidad, la tecnología proporcionada se supone que ayuda a proteger los datos secretos, no a permitir la vigilancia.

Mitto AG ofrece servicios de mensajería de texto en todo el mundo para que los servicios en línea puedan ofrecer verificaciones por mensaje de texto al iniciar sesión. Para entrar en una cuenta online, por ejemplo, no sólo se utiliza una contraseña, sino también un código que se envía por mensaje de texto.

Mitto AG tiene contratos con proveedores de todo el mundo para enviar mensajes de texto en grandes cantidades. Grandes empresas tecnológicas como Google, WhatsApp, Microsoft y Twitter eran clientes de Mitto AG. Esta última ha dejado de cooperar con Mitto AG recientemente debido a la investigación en curso sobre la supuesta vigilancia de Mitto AG.

Debido a su actividad, Mitto AG trabaja con empresas de telecomunicaciones en más de cien países y tiene acceso a la infraestructura de comunicaciones móviles en numerosos países de todo el mundo, también en países como Afganistán e Irán.

Tecnología utilizada para la vigilancia

Pero desde finales del año pasado, Mitto AG está bajo graves sospechas: en lugar de aumentar la seguridad de los usuarios, el cofundador Gorelik habría utilizado el acceso a la infraestructura de telefonía móvil para permitir a terceros vigilar a los usuarios de teléfonos móviles.

A partir de 2017, vendió el acceso a la red de la compañía a empresas privadas de vigilancia, que lo habrían utilizado para operaciones de espionaje en nombre de organismos estatales, según Bloomberg.

Las asociaciones de Mitto con proveedores de telecomunicaciones le permitieron aprovechar algunas vulnerabilidades establecidas desde hace tiempo en el protocolo (Sistema de Señalización 7, o SS7) que sustenta gran parte de las comunicaciones internacionales. A través del SS7 se puede localizar a las personas y leer información como el historial de llamadas de sus teléfonos.

En 2017, un informe del Departamento de Seguridad Nacional de Estados Unidos señaló la gravedad de las vulnerabilidades de seguridad del SS7: Terceros pueden determinar la ubicación física de los dispositivos móviles o interceptar o redirigir mensajes de texto y conversaciones debido a las vulnerabilidades del SS7.

Estos problemas son conocidos desde hace tiempo, pero debido a la antigüedad del SS7 -se estableció en la década de 1970- es complicado, si no imposible, solucionarlos.

Esta es también una de las razones por las que Tutanota no admite mensajes de texto para la autenticación de dos factores. En su lugar, recomendamos encarecidamente el uso de U2F (token de hardware) como mejor práctica para aumentar la seguridad del inicio de sesión.

Espionaje para muchos países

En un caso concreto de 2019, los sistemas de Mitto se utilizaron supuestamente para localizar el teléfono de un alto funcionario del Departamento de Estado de Estados Unidos, según Bloomberg. No está claro quién estaba detrás de la operación. Además, el informe menciona el caso de una persona en el sudeste asiático cuya vigilancia supuestamente implicó el envío de comandos del sistema para leer mensajes de texto.

Todavía no está claro con qué empresas de vigilancia y servicios secretos cooperó Mitto AG. Sin embargo, también ha salido a la luz una conexión explosiva con Rusia.

El periódico suizo Tages-Anzeiger había publicado las conexiones comerciales con Rusia. Según el informe, Mitto es la matriz de una presunta empresa fantasma en Moscú, que se fundó precisamente en el año en que comenzaron las actividades de vigilancia: 2017.

Según el Tages-Anzeiger, Mitto AG es la propietaria total de la empresa moscovita llamada Tigokom. El objeto social de la empresa figura en el registro mercantil ruso para “actividades en el ámbito de las comunicaciones inalámbricas”. La sede de Tigokom es una única habitación en un pequeño y céntrico edificio de oficinas en Moscú.

Para el experto en inteligencia Erich Schmidt-Eenboom, la revelación despertó sospechas: “Esto hace sospechar que los servicios rusos pueden haber recibido información de Mitto”, dice Schmidt-Eenboom al Tages-Anzeiger. “Ahora las autoridades suizas deben tomar medidas para aclarar esta sospecha”.

Mitto AG niega el espionaje

Mitto AG niega que se dedique al negocio del espionaje y la vigilancia. Mitto no ha puesto en marcha un departamento que permita a las empresas de vigilancia acceder a la infraestructura de telecomunicaciones para vigilar a las personas, y no lo hará, afirma. Se ha iniciado una investigación interna para aclarar las acusaciones.

Según Bloomberg, Mitto AG dijo en un comunicado:

“Estamos sorprendidos por las afirmaciones contra Ilja Gorelik y nuestra empresa. Para ser claros, Mitto no organiza, ni ha organizado, ni operará un negocio, división o entidad independiente que proporcione a las empresas de vigilancia acceso a la infraestructura de telecomunicaciones para localizar secretamente a las personas a través de sus teléfonos móviles, u otros actos ilegales. Mitto tampoco aprueba, apoya ni permite la explotación de las redes de telecomunicaciones con las que la empresa se asocia para prestar servicios a sus clientes globales.”

Lección aprendida

El caso de vigilancia de Mitto AG demuestra lo peligroso que es que las empresas tengan acceso a datos sensibles.

Sólo hizo falta un hombre -es cierto que era el cofundador de la empresa, pero sigue siendo sólo un hombre- para filtrar datos de localización de ciudadanos a empresas de investigación privada. Esta forma de vigilancia podría estar sacada de una novela de espionaje de gran éxito, pero supuestamente ocurrió en la realidad.

La razón por la que esta filtración de datos sensibles fue posible en primer lugar son las debilidades de seguridad -o vulnerabilidades- del protocolo SS7.

Esto demuestra claramente que hay que proteger los datos siempre que sea posible, también y sobre todo de las empresas que los manejan.

Cifrarlo todo

El caso de Mitto AG es otro ejemplo de por qué nunca debemos encriptar por la puerta trasera.

El cifrado de extremo a extremo es la mejor herramienta que tenemos para proteger los datos sensibles. No sólo de las autoridades, sino también de los actores maliciosos que puedan intentar acceder a nuestros datos personales.

Una vez más, Mitto AG es la prueba de que una “puerta trasera sólo para los buenos” -como piden regularmente las autoridades- simplemente no es posible. En cuanto haya una puerta trasera, un actor malicioso vendrá y abusará de ella.

El cifrado de extremo a extremo no debe romperse nunca.