“Mueve el culo y ve a hablar en persona”: por qué no es seguro ni el WhatsApp de los narcos

Policías de distintos países europeos se infiltraron en Encrochat, un sistema encriptado de mensajería muy usado en el mundo del crimen. La operación demuestra la enorme dificultad de crear modos de comunicación completamente seguros

Un hombre sin identificar es detenido por agentes de la policía británica en Birmingham, Inglaterra, el pasado 26 de junio, en una operación relacionada con la investigación sobre EncroChat.
Un hombre sin identificar es detenido por agentes de la policía británica en Birmingham, Inglaterra, el pasado 26 de junio, en una operación relacionada con la investigación sobre EncroChat.Jacob King / AP

El 13 de junio decenas de miles de usuarios de EncroChat recibieron una alerta en su móvil: “Hemos sido infiltrados por entidades gubernamentales”, decía. “Te aconsejamos que apagues el dispositivo y te deshagas de él inmediatamente”. La recomendación de destrozar tu aparato no es un tipo de notificación común para usuarios de móvil. Pero EncroChat tampoco era una app normal.

EncroChat vendía comunicación cifrada y anónima a través de un móvil encriptado y una aplicación de mensajería. En una operación de al menos tres años de las policías francesa y holandesa, con la colaboración de otras (entre ellas la española), las autoridades consiguieron infiltrarse en su sistema: “Este es uno de los mayores proveedores de comunicación digital encriptada con un alto porcentaje de usuarios presuntamente dedicados a la actividad criminal”, dice la nota de prensa de Europol que reveló el trabajo policial. España era uno de los cinco países con más móviles de la marca, según la nota de prensa de las autoridades francesas.

“Un equipo de más de 500 personas ha trabajado en la Operación Venetic día y noche, con miles de agentes más vigilando”, ha asegurado Nikki Holland, directora de investigaciones de la británica National Crime Agency. No ha sido claramente una operación cualquiera: “Ha sido la más amplia y profunda operación en el Reino Unido contra el gran crimen organizado, la infiltración ha sido como tener una persona dentro de cada grupo criminal”, ha añadido. La policía británica ha detenido a 746 sospechosos, más de 50 millones de euros en metálico y más de dos toneladas de drogas.

EL PAÍS ha hablado con un distribuidor de móviles EncroChat en España. La venta de teléfonos encriptados es legal: “Dicen que son los teléfonos de los narcos, pero hay de todo. Yo he vendido teléfonos de estos a gente con traje y corbata, jueces, abogados o policías”, explica tras pedir anonimato para hablar con libertad sobre esta empresa, que le debe dinero. Hay muchos perfiles posibles de personas que quieren proteger sus comunicaciones de rivales, enemigos o del Gobierno.

EncroChat no solo ofrecía que los mensajes fueran imposibles de interceptar, también que no se vincularan a ninguna identidad. Ese móvil no está ligado a ninguna identidad mediante la SIM, el IMEI (el identificador del dispositivo) u otras cuentas que el usuario pueda tener en su móvil. Pero tampoco a su DNI: “Era todo en negro, no hay una factura de nada, no necesitaba saber los nombres”, dice el distribuidor. “Se usaban apodos para usuarios: perronegro, cervezafria, darthvader, kawasaki, te los daba el sistema aleatoriamente o tú los podías pedir y si no estaba cogido te lo daban. ¿Te quieres llamar zorronegro? Miro en la base de datos y si está pillado, pues te pongo blackfox”, añade.

Un EncroChat costaba 1.400 euros, que incluía la suscripción al servicio durante seis meses. Si alguien quería renovarla, costaba 1.600 euros: es decir, usar este servicio un año entero salía por 3.000 euros. Pero solo con los precios ya se ve que la empresa promovía la renovación del dispositivo, no la suscripción: “Los que renovaban eran jueces, abogados, policías. Gente que los usa para cosas confidenciales pero no tiene que desaparecer. Los otros usan seis meses el teléfono y lo tiran. Me compraban cuatro nuevos para su gente y los que tenían los tiraban al mar”, dice el distribuidor.

El problema de cambiar de aparato era el cambio de nombre. La agenda de un EncroChat consistía en nombres, no en números. Si ponchonegro quería entra en contacto con caracortada debía mandarle una petición y el otro debía aceptarla. Si no lo hacía en 48 horas, la petición desaparecía. Los usuarios que querían contactar debían intercambiarse su usuario por alguna vía distinta.

Este esfuerzo de anonimato hizo que la policía no pudiera ligar fácilmente identidades, a pesar de la infiltración. Según las autoridades, analizaron más de 100 millones de mensajes. EncroChat tenía 60.000 usuarios, 10.000 de ellos en el Reino Unido, según la policía británica. Los mensajes pudieron revelar direcciones, encuentros o envíos. A pesar de la probable candidez de los mensajes entre dos traficantes que creen que nadie les ve, averiguar quiénes son exactamente es más complejo.

Su éxito fue su final

El éxito de EncroChat ha sido también su pozo. La operación empezó aparentemente en Francia cuando la policía descubrió el sistema en móviles de varios detenidos. ¿Cómo dejará la policía fácilmente de tratar de infiltrar una herramienta que usan miles de posibles delincuentes? Es como poder mirar desde una ventana a una habitación donde se cometen crímenes.

“En ciberseguridad, si tienes una diana en la frente y eres buscado, de un modo u otro van a llegar”, dice Javier Agüera, cofundador de Barbara IoT y antes de Blackphone, una empresa dedicada precisamente a móviles seguros. “La policía tenía esto en la diana, pero ni siquiera tiraron de la red. Se aprovecharon de la red y los teléfonos físicos. Nada es 100% seguro si van a por ti”, añade.

Esto es lo que pasó. Cuando van a por ti, olvida los chats seguros. “Así que les decía que hablen lo que tengan que hablar, pero para cosas delicadas, muevan el culo y hablen en persona”, dice el distribuidor de EncroChat. Las conversaciones realmente secretas solo tienen una solución: en persona. Para organizaciones con muchos recursos existe la opción de crearte ad hoc un sistema de comunicación al que nadie que no sea del grupo escogido tenga acceso. Pero ni eso es completamente seguro: “La encriptación son matemáticas y programación. Requiere contratar a un equipo de expertos y por una fracción del dinero que mueven muchas de estas redes criminales se lo pueden crear ad hoc y existen”, dice Agüera. “Al mismo tiempo, también es cierto que cuantos menos usuarios tiene una tecnología, más probable es que tenga fallos. En redes más comerciales como Signal, los fallos emergen más y hay más ojos”, añade.

La gran pregunta que queda por hacer es cómo hicieron las fuerzas de seguridad para desmontar la red. Y aquí no existe un camino solo. La discreta explicación en la nota oficial de Europol sostenía que la policía francesa descubrió que “la compañía operaba desde servidores en Francia” y que, “eventualmente, fue posible poner un dispositivo técnico que fuera más allá de la encriptación y tuviera acceso a la correspondencia de los usuarios”.

Los expertos consultados por EL PAÍS coinciden en creer que un paquete de malware enviado mediante una actualización a los dispositivos es el método más probable. Eso también puede hacerse de varias maneras, explican. Hay, sin embargo, al menos otras dos posibilidades que pueden tenerse en cuenta.

La primera, que el cifrado estuviera mal hecho y fuera accesible. Las fórmulas que permiten cifrados seguros requerirían años de ordenadores potentes para resolverlas. Eso, si está bien hecha. No hay que olvidar que, al final, EncroChat no deja de ser una empresa que se ha enriquecido ofreciendo un servicio que ha acabado fracasando.

El distribuidor español apenas ha tenido reclamaciones: “Solo me ha llamado un cliente y tampoco muy cabreado. Le dije que había habido una pequeña brecha de seguridad. Pero a la semana le dije que tirara ya el teléfono a la alcantarilla. Me lo había comprado hace tres semanas y nunca más supe de él”, explica. El propio distribuidor, por su parte, también quedó colgado: “Cuando llamé a la gente de Madrid ya no me cogían el teléfono, y cuando fui a entrar al portal para administrar mis clientes, ya no existía. Se piraron con la pasta”.

La segunda posibilidad es que algún empleado mosqueado, infiltrado o chivato dentro de la organización pueda colocar directamente el malware. Por si fuera poco, el propio dispositivo podría llevar ya de serie el malware. EncroChat usó durante una temporada los móviles españoles BQ Aquarius, antes de fabricarse unos expresamente llamados Carbon. Tanto unos como otros podían ser infectados. EL PAÍS ha escrito repetidamente a BQ sin obtener respuesta.

¿Puede haber un teléfono seguro?

El reto fallido de EncroChat lleva a la pregunta de si es posible un teléfono seguro. “La mayoría de estos teléfonos seguros no está funcionando”, dice Simón Roses, experto en ciberseguridad y profesor en el curso online de C1b3rwall. Estos aparatos no son propios del mundo del hampa. Puede ser que a miembros del consejo de administración de una gran empresa les interese comunicarse así. La policía francesa ha ofrecido un email por si hay ciudadanos “de buena fe” que usaron EncroChat sin cometer delitos y quieren pedir que se borren sus mensajes de la base de datos.

Desde el momento que un sistema tiene éxito, va a llamar la atención. Y van a aparecer agujeros: “Si tienes sistemas con un fallo que puede explotar por la policía con autorización de un juez, ese mismo fallo puede usarlo un atacante con intenciones distintas”, recuerda Agüera. Es una asignatura pendiente con una solución muy compleja. Pero tiene su modelo de negocio claro y ya hay empresas esperando ocupar el espacio de EncroChat.

Puedes seguir a EL PAÍS TECNOLOGÍA RETINA en Facebook, Twitter, Instagram o suscribirte aquí a nuestra Newsletter.

Más información

Lo más visto en...

Top 50