La Covid-19 ha omplert Internet d’ofertes de cures, proves de diagnòstic, respiradors i equips de protecció personal a preus desorbitats, productes teòricament miraculosos i vacunes falses. Segons una recerca de l’Australian National University, que a l’abril va investigar vint mercats clandestins d’Internet, s’hi ha arribat a vendre un fals vaccí per 24.598 dòlars, distribuït des dels Estats Units, mentre el preu mitjà d’aquest producte no baixa dels 575. D’acord amb l’estudi, es tracta de substàncies “probablement robades o distribuïdes il·legalment des de laboratoris d’assaig amb animals o humans o, fins i tot, amb pacients recuperats del coronavirus”. 

Productes com aquests s’han comercialitzat al llarg del confinament al web fosc (en anglès, dark web), on habitualment hi ha lloc per a la venda il·legal d’armes, drogues, material pedòfil, targetes de crèdit robades, programari maliciós, documents falsificats i tota mena d’activitats que defugen la llei. Els abismes d’Internet no són accessibles des d’un navegador normal i, per a entrar, cal un programari especial. Un exemple és la xarxa d’anonimat TOR (The Onion Router; o, en català, L’Enrutador Ceba), composta per milers de servidors i estructurada en forma de capes, que fa pràcticament impossible identificar els usuaris. “Allò que et dona el web fosc és un anonimat quasi absolut”, expliquen fonts de l’Agència de Ciberseguretat de Catalunya. Tot això ho converteix en un espai molt atractiu per als cibercriminals.

Les dades de The Tor Project, que és l’entitat d’administració de la xarxa Tor, evidencien un creixement molt significatiu d’usuaris durant la quarantena. Així, si el dia previ a l’anunci del decret d’alarma, el 12 de març, es van registrar a Espanya 23.703 usuaris, el 7 de maig es van assolir els 43.495; o sigui, que el trànsit ha arribat a créixer més d’un 180% durant el confinament. Des d’aleshores, l’activitat ha minvat lleugerament, tot i que a l’últim mes s’han continuat veient xifres elevades: 38.169 usuaris l’11 de juny. Un increment que no té res a veure amb l’any passat, que amb prou feines va arribar als 29.481 usuaris.

Espanya, el sisè estat més atacat per amenaces relacionades amb la Covid-19

El Covid-19 també s’ha popularitzat als fòrums de ciberdelinqüents especialitzats en el robatori de dades. Segons l’empresa de ciberseguretat Bitdefender, Espanya s’ha convertit en el sisè país més atacat per amenaces relacionades amb la Covid-19. Al març, les ciberamenaces vinculades amb la crisi ja s’havien multiplicat per cinc, i a l’abril el creixement va ser encara major. Una investigació de la consultora Digital Shadows mostra un debat en un xat de la dark web sobre “Com treure el màxim partit de la quarantena”. 

Segons l’Agència de Ciberseguretat de Catalunya, l’activitat criminal que més ha crescut és la venda de credencials d’accés a entorns corporatius. Amb la implantació del teletreball a correcuita s’ha ampliat la bretxa de seguretat informàtica als sectors menys acostumats a aquesta modalitat laboral: “Ara els usuaris naveguen molt més i es compten moltes més víctimes de pesca per correu electrònic (phishing) utilitzant d’esquer la Covid-19”, explica una font de l’agència. “Algunes contrasenyes acaben sent venudes al web fosc i algú altre les compra per demanar rescats mentre altres amenacen la víctima amb filtrar la informació”, hi afegeix. 

La Covid-19 també ha donat un impuls sense precedents a la pederàstia. Un estudi de l’Europol sobre cibercrim durant la pandèmia alerta que l’intercanvi de material pedòfil va disparar-se un 25% durant l’estat d’alarma, arribant a les 21.100 descàrregues entre el 17 i el 24 de març. Dues setmanes després, la Guàrdia Civil detectà a Espanya un nou rècord de la circulació de vídeos pedòfils quan l’augment va assolir el 507% durant l’estat d’alarma, segons una investigació de la Unitat Central Operativa (UCO) de la Guàrdia Civil que va fer públic El País i tal com ha pogut confirmar La Tecnòloga. L’Europol alerta que els pedòfils han aprofitat la pandèmia per buscar noves víctimes i reprodueix alguns dels seus missatges: “Hola, amb aquesta quarantena creieu que hi haurà més nens a Omegle [un lloc web per a xatejar amb persones anònimes] traient ‘packs’ [de fotografies íntimes]?”, es demana algú en un fòrum d’Internet, mentre algú altre encara va més enllà: “Imagina estar tancat a casa en tot moment. Aquells que tenen un fill a casa o els que passen més temps amb els seus fills, jajaja, m’agradaria tenir aquesta situació”. 

El confinament també ha provocat un augment de visites al web fosc per comprar droga. Amb la restricció dels moviments, els consumidors l’han anat a buscar al mercat negre d’Internet. Com ho reflecteix Digital Shadows, un venedor de cànnabis promet un bon servei als seus clients oferint-los “uns cogolls de laboratori densos i ensucrats, enviats a domicili per un venedor dedicat del web fosc”.

L’increment de la venda de productes relacionats amb la Covid-19 al web fosc s’explica en part per la interrupció de l’activitat habitual dels ciberdelinqüents. Digital Shadows reprodueix les preocupacions d’alguns usuaris que temen els efectes de la pandèmia sobre els seus models de negoci. En un fòrum del web fosc, algú s’hi anuncia: “Un vell busca feina”. A la mateixa publicació explica que treballava des del 2012 en el frau orientat al turisme, hotels, vols i excursions, i hi afegeix: “(…) però des que va començar l’estafa del coronavirus m’he quedat indefinidament sense ingressos”. 

El web fosc i la llibertat d’expressió

Perseguir els delinqüents del web fosc és una cursa d’obstacles quan l’anonimat s’interposa entre aquests i la policia, que normalment disposa de pocs recursos si no compta amb l’ajuda d’organismes internacionals com l’Europol o empreses privades de seguretat. Per això, governs de tot el món han intentat prohibir els servidors xifrats; un fet al qual s’hi oposen activistes, alertadors, periodistes o persones que, simplement, volen evitar que les dades de navegació caiguin en mans dels governs o les grans corporacions: “La privacitat sempre és prioritària. És un dret que ens permet desenvolupar les nostres idees, saber qui som i com volem presentar-nos al món”, remarcava l’enginyera informàtica Silvia Puglisi, de The Tor Project, en una entrevista recent a La Tecnòloga.

Així, en un país amb llibertats restringides, utilitzar el web fosc permet esquivar la censura, tot i que, segons l’investigador especialitzat en aquest àmbit Eric Jardine, els navegadors anònims també s’han popularitzat a les democràcies liberals arran d’una creixent preocupació per la privacitat. De fet, el pic més alt d’usuaris de Tor va coincidir amb l’inici de les revelacions sobre l’espionatge massiu de l’Agència de Seguretat Nacional (NSA) d’Edward Snowden, passant en tan sols un mes d’uns 800 mil usuaris a gairebé sis milions, el 18 de setembre del 2013. 

1. “Els mitjans de comunicació, Wikileaks i les xarxes socials van començar a escampar informació sobre les tècniques d’espionatge dels Estats Units i els seus aliats. Aquell degoteig de filtracions encara dura, fins al punt que gairebé s’han normalitzat les notícies sobre la vigilància massiva. Però ningú ha anat a la presó i l’espionatge continua.”
2. “Allò rellevant del telèfon intel·ligent no és la seva dimensió tecnològica, sinó el seu ús social: es tracta d’un aparell que portem a tot arreu amb nosaltres, que sol integrar totes les facetes de la persona (treball, amistats, hàbits de consum, activitat política), que serveix com a arxiu de les seves vivències i que concentra gran part (si no la totalitat) del seu historial relacional. A hores d’ara, qualsevol adversari sap que n’hi ha prou amb fer-se amb el control del telèfon per a accedir a un riu d’informació rellevant de manera immediata.”
3. “Seguint la regla d’or «no existeix una informació més ben protegida que aquella que no arriba a generar-se», has de desenvolupar l’art de saber quan no produir cap informació.”
4. “Atrapats com estem en aquest nou paradigma, irremeiablement hem d’aprendre a moure’ns en un mitjà que ens és hostil. Se’ns ha llançat al tatami cibernètic sense rebre cap instrucció prèvia, i això ens fa summament vulnerables davant d’adversaris que són més poderosos, més perseverants i més experimentats que nosaltres.”
5. L’anonimat, com a necessitat diferent de la seguretat o la privacitat, ha estat un recurs necessari en moltes ocasions històriques, actuant com a mesura de prevenció per limitar la superfície d’atac de l’adversari: sabut és que no pots colpejar allò que no pots veure. Ho il·lustren a la perfecció les filtracions d’Edward Snowden, que va haver de mantenir la seva identitat real en secret per a establir contacte amb la premsa sense cridar l’atenció de la NSA americana. (…) Més que «seguretat», l’anonimat ofereix una protecció similar a la del camuflatge, que serveix per allargar la fase d’identificació prèvia a l’atac”.
6. “L’ús d’un terminal mòbil comporta la monitorizació de la localització física aproximada per part del proveïdor i d’aquells tercers a qui el proveïdor proporcioni accés. Aquesta circumstància ha d’avaluar-se també des d’un punt de vista col·lectiu. Es pot deduir que dos o més persones es desplacen juntes si els seus telèfons es van connectant a les mateixes antenes al mateix temps quan es mouen.”
7. “Cada any som testimonis de com diversos proveïdors pateixen atacs i bretxes de seguretat en què es veuen compromeses centenars de milers de contrasenyes: Adobe, LinkedIn, PlayStation… No reutilitzar claus et protegeix fins i tot en cas que un atacant arribi a descobrir quina és la teva contrasenya en un servei, de manera que no pugui utilitzar-la per a accedir als teus altres comptes. Si, per contra, tens una mateixa clau que utilitzes per a tot, en cas que algú l’aconseguís guanyaria un accés integral a la teva identitat online.“
8. “Una aplicació pot arribar a accedir a pràcticament tota la informació i sensors del nostre telèfon si té els permisos adequats: identitat, contactes, informació del wifi, localització GPS, SMS, trucades i fins i tot micròfon o càmera. La informació que recopila una aplicació és per tant molt major, i com a usuaris hem de decidir amb cura quines aplicacions tenen accés a quines dades en el nostre telèfon.”
9. “Existeixen diverses eines que relacionen els teus «m’agrada» o retuits amb moviments socials o ideologies polítiques afines, i això li concedeix un poder més gran al teu adversari. Com més informació generes, més fàcil és situar-te en una base de dades ideològica ben detallada, tenint en compte el teu rang d’edat, ciutat i cercle social. O pitjor encara, també existeixen eines online que es dediquen a classificar tota la informació que hagis generat en els teus perfils perquè amb un sol clic quedi exposada per categories.”
10. En la missatgeria instantània, “si algú pren la decisió personal de no protegir-se, la seva decisió individual repercuteix ipso facto en la seguretat i privadesa del conjunt de comunitats de les quals forma part. La seguretat és un esport d’equip: intentem que tot el nostre entorn habiliti un codi de desbloqueig i xifri l’aparell per evitar que terceres persones puguin accedir al seu contingut, que en bona part serà contingut que pot exposar la seva xarxa de contactes.”

Nota: La traducció és nostra.

Tor, el programari de codi obert que ens permet navegar anònimament per la xarxa, ja té versió en català. Per això rellegim més avall l’explicació d’aquesta eina que plasma el famós exespia nordamericà, Edward Snowden, al seu llibre Permanent Record (en castellà, Vigilancia Permanente).

Durant la meva temporada a Ginebra, quan un agent de cas em preguntava si hi havia un mode més segur, més ràpid i, en general, més eficient de fer el mateix [navegar a Google de manera anònima], jo els presentava a Tor.

El Tor Project era una creació de l’Estat que s’acabà convertint en un dels pocs escuts eficaços contra la vigilància estatal. Tor és un software gratuït de codi obert que, si s’utilitza amb compte, permet als seus usuaris navegar per Internet amb el més semblant a l’anonimat que es pot assolir a escala pràctica. Els seus protocols els desenvolupà el Laboratori d’Investigació Naval dels Estats Units al llarg de la dècada de 1990, i el 2003 el posà a disposició del públic, o sigui, de la població civil mundial de la qual depèn la seva funcionalitat. El motiu d’aquesta afirmació és que Tor es basa en un model de comunitat cooperativa i depèn de voluntaris experts en tecnologia de tot el món que gestionen els seus propis servidors Tor des dels seus soterranis, golfes i garatges. Enrutant a internet el tràfic dels seus usuaris per aquests servidors, Tor fa el mateix treball de protecció de l’origen d’aquest tràfic que el sistema de “cerca no atribuïble” de la CIA, amb la principal diferència que Tor ho fa millor, o com a mínim, de manera més eficient. Jo ja estava convençut d’això, però convèncer els agents de cas era una altra història.

Amb el protocol Tor, el teu tràfic es distribueix i rebota per rutes generalitzades a l’atzar de servidor Tor en servidor Tor, amb la finalitat de substituir la teva identitat com a font d’una comunicació amb la de l’últim servidor Tor en una cadena que canvia constantment. Gairebé cap dels servidors Tor -anomenats “capes”- coneix la identitat de l’origen del tràfic, ni té cap informació per identificar-lo. A més, en una autèntica jugada mestra, l’únic servidor Tor que coneix aquest origen (el primer de la cadena) no sap on es dirigeix el tràfic. Dit d’una manera més planera: el primer servidor Tor que et connecta amb la xarxa Tor, o porta d’enllaç, sap que ets tu qui envia una sol·licitud, però com que no té permès llegir aquesta sol·licitud, no té ni idea que cerques mems de mascotes o informació sobre una protesta, i el servidor Tor final pel qual passa la teva sol·licitud, o sortida, sap exactament allò que s’està buscant, però no en té ni idea de qui ho està buscant.

Aquest mètode de capes s’anomena “enrutament de ceba”, i d’aquí rep Tor el seu nom: les sigles en anglès d’aquest concepte, The Onion Router; l’acudit confidencial era que intentar vigilar la xarxa Tor feia plorar els espies. I aquí rau la ironia de tot el projecte: una tecnologia desenvolupada per l’Exèrcit dels Estats Units va fer al mateix temps més fàcil i més difícil la ciberintel·ligència, quan va aplicar coneixements de hacker per a protegir l’anonimat dels agents de la Intelligence Community, però només a força de garantir el mateix anonimat als adversaris, i als usuaris de tot el món. En aquest sentit, Tor és gairebé més neutral que Suïssa. A mi, personalment, Tor em canvià la vida, ja que em va tornar l’Internet de la meva infància, en permetre’m tastar lleugerament la llibertat de no sentir-me observat.