Ramy Raoof es un egipcio experto en tecnología e investigador de la privacidad que actualmente presta servicios como voluntario en Beirut, Líbano. En Noviembre de 2016, trabajaba en la oficina de la Iniciativa Egipcia por los Derechos Personales  (EIPR) cuando sucedió algo sospechoso. La organización recibió la llamada de un periodista sobre una conferencia de prensa aún cuando no tenían programada una conferencia de prensa.

Ramy Raoof
Ramy Raoof. Foto de Alan Larrosa, Center for Legal and Social Studies (CELS) de Argentina (CC-BY 4.0).

A continuación, Raoof supo que se habían enviado cientos de correos electrónicos en nombre de la organización. Los mensajes invitaban a periodistas, activistas y grupos de la sociedad civil a una conferencia de prensa ficticia sobre un proyecto de ley en Egipto que prohibiría la existencia de las organizaciones no gubernamentales.

“Los periodistas lo creyeron, por supuesto, porque los atacantes usaron nuestro logo, nuestro nombre, nuestra dirección y nuestro número de teléfono”, dice Raoof. “Pedí ver el correo electrónico, y en el momento en que lo vi me di cuenta de que nos habían atacado”.

La amplia campaña de «phishing», o suplantación de identidad, era parte de una serie de medidas a gran escala contra la sociedad civil y la disidencia en Egipto. Cientos de activistas fueron – y siguen siendo – objeto de ataques de «phishing», donde los hacen dar clic a enlaces de software malicioso para revelar contraseñas, códigos de autenticación de dos factores o códigos de restablecimiento de contraseñas.

Raoof y sus colegas investigadores llamaron a la serie de ataques a gran escala “Nile Phish”. El nombre es un juego de palabras: “fish” significa pescar en inglés y suena como phish; y Nile es el nombre en inglés del río Nilo que atraviesa Egipto.

Junto con colegas de The Citicen Lab de la Universidad de Toronto, Raoof co-escribió un trabajo de investigación sobre los ataques. Se publicó en Febrero de 2017. Como una explicación para la proliferación de los ataques, establecieron que el software libre y de fuente abierta diseñado para probar la seguridad de la red también se puede usar para llevar a cabo ataques.

Todos los días, Raoof piensa en posibles ataques técnicos similares a Nile Phish. “Trabajo como experto en tecnología y como investigador de la privacidad con diferentes organizaciones de la sociedad civil”, explica (entre sus credenciales está ser miembro del directorio del Proyecto Tor).

Raoof explica que, con el tiempo, los fenómenos de vigilancia focalizada y masiva se han vuelto cada vez más complicados. A comienzos de la década de 2000, los propios Gobiernos realizaban la vigilancia online. Pero ya no es así. “Hubo un cambio táctico”, dice Raoof, indicando que los Gobiernos empezaron a subcontratar a empresas privadas y personas para las actividades de vigilancia. “Se minimizan las huellas y se es más eficiente”, explica.

Hay un intercambio de herramientas de vigilancia entre países y empresas. “No todos los países elaboran sus propios recursos. Adquieren recursos de diferentes países”, explica Raoof. “Algunos países son más conocidos por realizar vigilancia específica sobre ciertas personas o grupos, como Italia. Otros son conocidos por la vigilancia masiva, como Israel”.

Raoof dice que para proteger de este fenómeno a los grupos de la sociedad civil no existe un manual único.

“Yo personalizo la asesoría de acuerdo a algunas variables”, tales como la ubicación y el tipo de trabajo», agrega. Raoof puede dar un grupo de recomendaciones al promotor de una campaña contra la tortura en Libia, y otro grupo de recomendaciones a un activista de los derechos civiles en Latinoamérica. “Por ejemplo, algunas soluciones técnicas nunca funcionarían en Libia o Siria”, dice Raoof, y explica que una herramienta de privacidad común como un VPN (red privada virtual) no sería recomendable porque en esos países los Gobiernos la filtran activamente.

Cuando se le pregunta sobre cómo se puede desbaratar la vigilancia gubernamental que no ha sido aprobada legalmente, Raoof se siente optimista y frustrado a la vez. “Generar cambios políticos es siempre efectivo”, dice, “pero toma mucho tiempo y a menudo los logros son poco significativos”.

Por eso, las normas deben venir a la par con mecanismos de respuesta rápida, tales como la encriptación. Y ahí está lo que apasiona a Raoof. “Tú y yo”, dice Raoof, “podemos construir una tecnología de la privacidad que es efectiva y así ayudar a más personas en menos tiempo”.