Los falsos positivos del Catalangate

               Disculpen que a la provecta edad de 72 años, uno se ponga el uniforme de humilde catedrático jubilado de Ciencias de la Computación para insistir no solo en que el texto del CitizenLab es académicamente inadmisible, sino que además existe una forma de crear falsos positivos, es decir marcar teléfonos como infectados, cuando nunca tuvieron contacto con Pegasus. Esta no es una acusación, solo un argumento más en la endeblez del estudio y en la poca solidez de sus conclusiones. Todo el mérito es de Jonathan Scoot, estudiante de doctorado de Ciencias de la Computación en NorthCentral University de S. Diego, California (https://github.com/jonathandata1/Pegasus-CatalanGate-False-Positives, para detalles y listados de lo programado) y el papel de este jubilado se reduce a haber comprobado las conclusiones y al intento de explicarse en un medio de información general. 

               Desde hace años en el marco de la TIC se ha venido desarrollando una ingeniería conocida como “análisis forense” sobre cuya metodología se han ido estableciendo consensos universales a través de las dos grandes instituciones científico- educativas y profesionales: ACM ( Association for Computing Machinery, 1947) y IEEE (Institute of Electrical and Electronics Engineers- Computer Society, 1963). El análisis forense digital se define como el uso de métodos científicamente analizados y probados para la conservación, recopilación, validación, identificación, análisis, interpretación y presentación de pruebas digitales. El reto de preservar y gestionar la evidencia existente en los dispositivos móviles ha motivado la creación de métodos y soluciones para gestionar la evidencia de forma adecuada. ACM y IEEE han consensuado implícitamente foros científicos de referencia y metodologías para afrontar este aspecto de la ciberseguridad que es el espionaje de teléfonos móviles digitales.

               Cualquiera que sea el método que se use para espiar un dispositivo móvil, basado en Internet, es imprescindible contar con una dirección a donde mandar el resultado del tal espionaje y, en particular, para confirmar que está instalado el virus, para ello se debe contar con una URL (Uniform Resource Locator) la dirección única y específica de cada página o recurso y que en estos casos suelen estar inmersas en nubes complejas y en lo que se ha venido en llamar “Internet profunda”. Obviamente estas URL cambian, en particular en cada versión del programa espía, aunque cabe pensar que se usan métodos para que tengan vidas más cortas, cosa no siempre fácil. Por razones que no hay ahora espacio para explicar, el conjunto de nombres y claves para acceder de tales URL “sospechosas” figuran en una especie de base de datos, que CitizenLab dice usar en sus herramientas de detección de spyware. Esto es, cuenta con una lista de IOC (indicadores de compromiso en inglés) donde se pretende encontrar las URL maliciosas absolutamente confirmadas. Los millones de direcciones procedentes de las copias de seguridad de Apple o de Android se comparan con ellas, momento en el cual declaran un teléfono como  “potencialmente atacado”.

Hablamos de números telefónicos, un tema más complicado es poner nombres de personas a las posibles víctimas, cosa que Citizen dice hacer y sin los cuales, poco se puede hacer judicialmente.

               Consciente de la gravedad que supone una afirmación de este tipo, pienso que es un deber intelectual dar a conocer que he (hemos) podido escribir en teléfonos libres de toda sospecha, las URL que Citizen declara haber detectado en teléfonos “presuntamente espiados”. Sin entrar en detalles del texto de CATALANGATE (Los 2 dominios con una coincidencia positiva del 100 % para la infección si se descubren en un dispositivo móvil son https://www.nnews.co y https://www.123tramites.com ).   A continuación he podido ejecutar un software creado por una empresa suiza, que vende sus productos garantizando que detecta los parámetros asociados a un ataque de cualquier índole de Pegasus. Esto es, asumiendo los riesgos que cualquier afirmación de este tipo conlleva, se pueden crear falsos positivos que estarían en la relación de CATALANGATE. Más detalles técnicos sobre Pegasus y sus falsos positivos: https://drive.google.com/file/d/1eIaZGyGWIv6TXRLNSxBmEEg5O6d7rg9U/view.

               Posiblemente el principio ideológico de Citizen que muchos estados utilizan las TIC para controlar a sus opositores, traiciona su trabajo, al manejar una idea sugerente que no puede suplir la falta de metodología científica. Sin ninguna referencia significativa en lo científico, CitizenLab, ocupa grandes espacios en multitud de medios prestigiosos, nacionales y extranjeros, que tácitamente han decidido que lo que diga el laboratorio de Toronto es una especie de “verdad científica” suficientemente consagrada que no merece ningún tipo confirmación o revisión.

               En el trabajo científico-técnico es muy difícil simultanear la calidad propia de los “journals” profesionales, con los titulares de los grandes periódicos, los primeros conducen a carreras discretas pero sólidas, los segundos a “famas” efímeras que exigen contactos mediáticos. La celebridad en ciencia es importante, siempre que haya algo sólido y repetible detrás de ella. En la sociedad del conocimiento, no son los medios los encargados de adjudicar veracidad y calidad a productos y resultados que solo la “revisión por pares” propios de las sociedades científicas tienen la autoridad moral para otorgarlos, siempre asumiendo la posibilidad de equivocación. CitizenLab puede haber optado por la segunda vía.

               Lamento decir que posiblemente, durante un mes, hemos estado al albur de este tipo de pasiones, que han podido convivir con flagrantes falsos positivos. Una manera falaz e incompatible de luchar contra Pegasus.