Durante el VoIP2Day, celebrado hace tiempo en Madrid, pudimos asistir a una conferencia impartida por Fernando Villares, de la empresa InteliX Ingeniería, y titulada "La seguridad no es un juego, el fútbol SÍ". Fernando fue uno de los responsables del operativo de seguridad que bloqueó las comunicaciones para que nadie filtrara fotos de la boda de Messi, así que el contenido de la ponencia prometía mucho.
Imaginaos la situación: nos enfrentamos a un evento en el que no puede trascender nada al exterior, pero se paga una millonada por cualquier dato o imagen del interior. Y para complicarlo aún más, los teléfonos móviles estaban prohibidos, pero todos los invitados iban a llevar uno y nada podía impedírselo.
Análisis de riesgos
Fernando Villares, especialista en seguridad informática desde 2006, tenía muy claro su cometido cuando se puso al mando del operativo de seguridad que impidió que nada saliera al exterior durante la boda de Lionel Messi, el astro argentino que juega actualmente en el PSG, con Antonella Roccuzzo.
El propio Fernando nos cuenta que todo comenzó cuando, navegando por la Deep Web, encontró una recompensa de 12.500 dólares (en bitcoins) por la lista de invitados del evento. Fue entonces cuando se informó al respecto y, a través de algunos contactos (concretamente, de Adrián Pavía, amigo suyo y organizador del evento), averiguó que no estaba planteado ningún dispositivo de seguridad informática ni de comunicaciones.
Sí que existía un acuerdo de confidencialidad y una prohibición de introducir teléfonos en el recinto. Pero claro, ¿quién se atreve a confiscar los móviles a invitados de la talla de Shakira o a Neymar? Sería una falta de cortesía...
Una situación tan complicada requería, en primer lugar, un análisis de riesgos: se enfrentaba a un lugar abierto al público los días previos (el hotel casino City Center de Rosario), con un gran número de empleados, proveedores y organizadores, y unos 1.700 millones de dólares de piernas aseguradas (había un gran número de modelos y jugadores profesionales de fútbol entre los invitados).
Además, estaba claro que, pese a la prohibición, habría móviles personales con posibles fotos comprometedoras, conexiones bluetooth activadas, un amplio equipamiento informático (tanto el del propio hotel como el del DJ, el fotógrafo, la luz y el sonido, etc.), posibilidad de drones en los espacios exteriores... Y una petición expresa por parte de los anfitriones para que no se requisaran los móviles de sus invitados.
La solución, por tanto, pasaba por impedir las comunicaciones. Pero claro, si bloqueaban las señales inalámbricas, podían afectar a otros equipos y dificultar el correcto desarrollo del evento. Aquí es donde entran en juego Fernando Villares, su socio Fernando Corvalán y un amplio e inteligente operativo de seguridad.
Comienza el operativo
En primer lugar, se llevó a cabo un reconocimiento físico previo del lugar (durante el cual se encontró alguna que otra cámara escondida) y se realizó un estudio OSINT (Inteligencia Open Source) sobre los invitados, proveedores, empleados, etc.
El siguiente paso fue analizar tanto el espectro radioeléctrico con simples tarjetas de TDT como todos los activos informáticos a proteger, además de impartir nociones básicas sobre seguridad de la información a empleados clave y con acceso a información sensible.
Después de todo esto, se decidió proteger con cifrado los teléfonos de los organizadores y el almacenamiento de los activos informáticos relacionados con el evento. Para ello, emplearon el protocolo criptográfico TLS y perfiles SRTP, así como tarjetas SIM desechables. Además, las comunicaciones importantes de texto se realizaban a través de Telegram con autodestrucción de mensajes, para que no quedara constancia de ningún detalle de la organización.
Llegamos entonces al punto clave del operativo: proteger el salón de convenciones durante el evento. Para ello, en palabras de Fernando, crearon "una especie de búnker donde todas las señales estaban bloqueadas". Con autorización del Ministerio de Justicia (ya que los inhibidores de señal están prohibidos), utilizaron equipos capaces de bloquear las frecuencias de GSM 2G, 3G, 4G y WiFi 2.4 y 5.8 GHz, y como consecuencia, el bluetooth y los teléfonos inalámbricos DECT. Era la primera vez que se hacía algo así en Argentina para un evento civil.
Durante todo el evento, además, se revisó una y otra vez el perímetro en busca de señales radioeléctricas o equipos escondidos, y se llevó a cabo una serie de medidas para garantizar la privacidad:
Disponían de un sistema de detección mundial de noticias sobre el evento basado en Python para ver en tiempo real si se filtraba algo, así como bots en redes sociales que buscaban palabras clave.
Prepararon armas antidrones de interferencia a medida para no impedir el funcionamiento de otros equipos.
Todas las comunicaciones internas se realizaban con walkie talkies cifrados en frecuencias VHF y a través de la central telefónica cifrada con TLS y SRTP.
Controlaron constantemente todas las señales del espectro radioeléctrico en una sala especial equipada con monitores.
Se estableció una zona cableada para el uso de sus transmisores digitales por parte de los canales de televsión, de manera que si salían de ella, perdían la señal.
Comunicaciones bloqueadas con éxito
Con todo ello, Fernando y su equipo lograron crear una zona de exclusión completa de señales: no entraban ni salían emisiones de radio frecuencia del salón, salvo las comunicaciones internas relativas a la organización y la seguridad. E incluso en caso de emergencia, tenían previsto "atacarse" a sí mismos e impedirlas también.
El resultado del operativo fue un éxito y la sorpresa de los invitados fue mayúscula: del salón no salió ninguna foto durante el evento porque no había ningún tipo de señal. Hubo asistentes que filtraron algunas imágenes, sí, pero tuvieron que salir fuera de esa zona bloqueada para publicarlas (en las habitaciones, en los alrededores del hotel o en el avión de vuelta como el caso de Neymar) y, por supuesto, incumplieron el acuerdo de confidencialidad.
Para finalizar, Fernando nos confiesa, a modo de anécdota, que durante todo el operativo utilizaron la palabra clave "mossad" y eso dio lugar a que muchos medios, que interceptaron alguna comunicación interna, publicaran la noticia de que detrás de la seguridad del evento había un equipo israelí.
Pero nada más lejos de la realidad, como hemos visto, fue un grupo de profesionales argentinos que ni siquiera recurrieron a equipos de 10 millones de dólares, sino que utilizaron software libre y varias herramientas que están a disposición de cualquiera. Simplemente, nos dice Fernando, había que saber usarlas.
Ver todos los comentarios en https://www.xatakamovil.com
VER 4 Comentarios