Si en su día tuvimos el privilegio de escuchar a Irina Tsukerman, esta vez hemos tenido la posibilidad de entrevistar a Jonathan Scott. Una entrevista de sumo interés para conocer más sobre la gran mentira del #CatalanGate. No te la pierdas¡¡¡¡¡
¿Quién es Jonathan Scott? ¿De dónde viene tu interés por la informática?
Soy un científico informático estadounidense que se especializa en malware móvil y análisis forense, así como en análisis forense de blockchain.
Tengo una licenciatura en filosofía, un máster en ciencias de la computación con especialidad en ingeniería de seguridad cibernética y actualmente estoy terminando mi doctorado en ciencias de la computación.
Hay tantas cosas y personas que me inspiraron y continúan inspirándome. Ahora es difícil mencionar un evento o una persona específica, pero estoy agradecido por la forma en que todos han influido en mi vida y mi interés en las ciencias de la computación.
¿Te consideras un hacker? ¿Cuál es el significado de hackear según usted? ¿Qué significa ser un hacker?
Sí, me considero un hacker y creo que la mayoría de la gente lo es. Lo que nos hace diferentes es que yo he elegido una profesión relacionada con la electrónica y alguien más puede haber elegido finanzas, geología o música. Creo que la mejor manera en que puedo describir la piratería es ver un uso alternativo para algo y tomar medidas al respecto. Con el tiempo, verá usos alternativos para muchas cosas y utilizará diferentes alternativas para lograr su objetivo.
¿Cómo se interesó en la seguridad móvil? ¿Cómo se convierte uno en un experto en seguridad móvil? ¿Algún proyecto relevante?
Cuando apareció por primera vez la tienda de aplicaciones para iPhone, pude sentir que iba a cambiar el mundo. Recuerdo que construí alrededor de 10 aplicaciones con un amigo, eran cosas simples, creamos aplicaciones de marcación telefónica, un juego simple y algunas otras cosas. Vendimos las aplicaciones en la tienda de aplicaciones de Apple por $0.99c cada una. Apple se quedó con el 30% y nosotros dividimos el resto. Recuerdo que recibimos un depósito directo de Apple por un poco más de $ 10,000 USD y nos quedamos impactados. Habíamos vendido nuestras aplicaciones en 36 países y fue realmente increíble. Durante los siguientes meses, los pagos comenzaron a disminuir porque más personas comenzaron a crear aplicaciones, y mi amigo y yo teníamos proyectos paralelos en los que estábamos trabajando y ya no dedicábamos tiempo a crear aplicaciones móviles.
Había sido desarrollador web durante toda la universidad, y los sitios web optimizados para dispositivos móviles apenas comenzaban a tener demanda por el año 2009. Había trabajado de forma independiente creando sitios web optimizados para dispositivos móviles mientras creaba aplicaciones y terminé solicitando un puesto de ingeniería de software con un firma creativa realmente grande. Cuando tuve la entrevista me dijeron que sería perfecto para un puesto de gerente de ingeniería de software. Les dije, no tengo idea de cómo ser un gerente de ingeniería de software, y mi futuro jefe dijo que está bien, les enseñaré todo lo que necesitan saber.
Comencé ganando $35,000 al año y nunca olvidaré esa increíble experiencia. La firma para la que trabajé tenía grandes clientes como Valero Energy, NBA, Pepsi, Procter & Gamble y muchos más. Conocí a tanta gente que terminé mudándome a Los Ángeles por un tiempo, y trabajé para la línea de ropa de Avril Lavine llamada Abbey Dawn, trabajé para el skater profesional Mike Vallely, y siempre estaba ocupado creando sitios web para clientes.
Regresé a Texas y recibí una llamada de un conocido que me preguntaba si podía desbloquear iPhones en red. Dije que nunca había hecho eso antes, pero lo intentaría, y volví a Los Ángeles para desbloquear algunos iPhones. El desbloqueo del iPhone no funcionó, pero estaba enganchado a aprender la seguridad del iPhone de Apple y la seguridad de Android.
Terminé trabajando para varias empresas más, centrándome específicamente en la investigación de seguridad móvil, el firmware de ingeniería inversa y la creación de software para extraer datos.
Avancé rápido hasta 2019, inventé software y hardware móviles y lo vendí a una empresa llamada Blancco Technology Group por $ 1,5 millones de dólares. El software que inventé era específicamente para los sistemas operativos iOS y Android OS. El software identificó, diagnosticó, eliminó datos y validó todos los procesos. El hardware que inventé permitía a un usuario eludir los bloqueos móviles de Android, filtrar datos y nunca tendría que instalar nada en el dispositivo móvil.
Después de vender mi tecnología a Blancco, me contrataron para escribir software forense de iOS para el gobierno de los Estados Unidos. Después de presentar mi software al gobierno de EE. UU. y Accenture, me ofrecieron un empleo de tiempo completo que requería una autorización de seguridad que acepté.
Para quién trabajo ahora preferiría mantenerlo en privado, pero soy científico forense.
Al realizar un análisis forense en un sistema móvil, ¿cuál es el proceso? ¿cómo hacerlo? ¿Hay una forma estándar de hacerlo? algunos requisitos? Estoy pensando en la participación en un proceso legal en tribunales, por ejemplo…
La documentación es la parte más importante de un proceso forense y existen herramientas que hacen que todo sea muy fácil para garantizar que siga un proceso.
Hay una diferencia entre un investigador forense y un científico forense. El investigador tiene el deber de reunir toda la evidencia, documentar la cadena de custodia, catalogar toda la evidencia, escribir la metodología utilizada para extraer los datos y el científico revisa toda la evidencia.
Los datos extraídos de una investigación de dispositivos móviles son el resultado de una ciencia exacta. Esto significa que la razón por la que extrae la pieza de datos es porque desarrolló una metodología que resultó en la extracción de esa pieza de datos. Sin la metodología del investigador, el científico no puede validar y verificar la integridad de los datos, lo que hace que la investigación forense no tenga sentido.
¿Quién hace este tipo de análisis cuando se está llevando a cabo un proceso legal? ¿Es normal que un think tank o una universidad se involucren en este tipo de prácticas?
En los Estados Unidos, no es normal que un grupo de expertos o una universidad participen en una investigación forense si hay un proceso legal en curso. En el caso de Citizen Lab, han alegado que se ha cometido un delito contra un estadounidense, pero ninguna agencia de aplicación de la ley en los Estados Unidos ha aceptado sus acusaciones. Nunca se ha abierto una investigación criminal en los Estados Unidos debido a algo que Citizen Lab haya afirmado alguna vez.
Hemos visto que recientemente Citizen Lab ha estado involucrado en varios de estos procesos. ¿Qué nos puede decir sobre Citizen Lab? ¿Es su proceso válido en tribunales?
Citizen Lab no pone en cuarentena los dispositivos y permite que sus víctimas continúen usando los dispositivos móviles que se dice que son parte de un delito. La responsabilidad de un investigador forense es grande. Lo que está haciendo Citizen Lab es destruir cualquier evidencia potencial.
Citizen Lab no está participando en prácticas legales y éticas, y si presentaran alguna evidencia en un tribunal penal, habría una alta probabilidad de que su admisión de evidencia no tuviera éxito. La falta de documentación de la cadena de custodia es suficiente para demostrar que la integridad de los datos del dispositivo móvil está comprometida. Una copia de seguridad de un iPhone no puede considerarse una prueba independiente. El análisis forense digital móvil requiere una extracción de datos lógicos y físicos. Una copia de seguridad del teléfono se considera una copia de seguridad en la nube. Una extracción física de datos permite el intento de recuperación de datos eliminados accediendo a la memoria del dispositivo. Las copias de seguridad en la nube no tienen bloques de memoria que se puedan recuperar.
Hablemos sobre el informe que creaste, según el cual, Citizenlab falsificó todo su proceso. ¿Cómo puede ser eso posible? ¿Cómo lograron convencer a todos?
Todo el informe #CatalanGate falla porque no hay ciencia detrás de sus afirmaciones. Más del 51% de todas las víctimas catalanas no tienen fecha de contagio. Incluso cuando se les presentaron datos de falsos positivos, las víctimas catalanas descartaron la posibilidad. Parece que la gente preferiría ser víctimas, pero se encuentran en una situación difícil. Algunas víctimas han estado hablando sobre ser espiadas durante más de 2 años, luego, de repente, todo lo que han estado diciendo se detiene por mi informe. No es su culpa, pero el público en general los crucificará absolutamente por eso, de todos modos. Han cambiado sus vidas porque creen que son víctimas, han sufrido y sus familias han sufrido también, y la reacción que sentirán, si admiten que no fueron pirateados, será devastadora. Pasé mucho tiempo pensando en esto. No podía entender por qué alguien querría seguir siendo una víctima, pero la fuerza y el apoyo que necesitarán para dejar de ser una víctima probablemente serán mucho mayores de lo que puedan imaginar.
La responsabilidad debe recaer en Citizen Lab y Amnistía Internacional, por no darles a estas víctimas una salida en caso de que surja un informe como el que he presentado. El abuso de encerrar a estas víctimas por parte de Citizen Lab y Amnistía es lo mismo que mantener a alguien como rehén.
También hemos visto que hay una campaña activa contra tu imagen en las redes sociales… ¿cómo te está afectando eso? Incluso lograron expulsarte de tu programa de doctorado, ¿cómo fue? ¿Vas a tomar alguna medida al respecto?
Hay una campaña activa contra mí y mi imagen, pero era de esperar. Tengo asesores y personas que vigilan las amenazas violentas y otros objetivos específicos. Sabía que mi primer informe #CatalanGate iba a causar indignación porque proporcionaba detalles sobre la operación de bandera falsa que estaban llevando a cabo Citizen Lab y Amnistía Internacional. Aprendí mucho de mi primer informe y el segundo me ayudó a mejorar mi imagen y credibilidad en todo el mundo. Mi segundo informe mostró que no estaba buscando fama o fortuna como decía la gente, mostró que soy un investigador serio que se dedica a presentar ciencia que la gente puede estudiar.
Cuando se trata de demandas civiles en los Estados Unidos, debes elegir tus batallas y saber qué quieres a cambio. No necesito dinero de los que conspiraron contra mí. Las demandas son mental y emocionalmente agotadoras, cuestan mucho dinero y, por mucho que no me guste lo que me han hecho, no quisiera hacerlos pasar por algo que les pueda causar dolor o sufrimiento.
Afortunadamente, estoy en un nuevo programa de doctorado y hay muchas universidades en todo el mundo que me aceptarían. El camino que he elegido no es fácil, solo se va a poner más difícil, pero hay más personas que empiezan a sentirse lo suficientemente cómodas como para denunciar lo engañosos y deshonestos que son Citizen Lab y Amnistía Internacional.
¿Quiénes son Runa Sandvik y Tarah Wheeler?
Runa Sandvik y Tarah Wheeler son parte de mi oposición. He tenido breves interacciones privadas con Runa y nunca he hablado con Tarah, pero sé quién es, con quién se asocia y reconozco que es propietaria de un negocio. Exteriormente parecería que todos nos conocemos desde hace mucho tiempo, pero ese no es el caso. Ambos defienden lo que creen y lo respeto. Hemos optado por tomar posiciones como figuras públicas, y no siempre es glamuroso.
He superado cualquier problema personal que tengo con estas mujeres, lo que han hecho se ha hecho y la vida continúa. Estoy seguro de que habrá más eventos entre los 3, pero por ahora no hay novedades.
¿Qué nos puede decir sobre la llamada “comunidad infosec”? ¿Por qué siguen una campaña así?
La seguridad de la información de Twitter tiene mala reputación, las principales corporaciones han escrito sobre cómo la toxicidad de la seguridad de la información de Twitter ha afectado la capacidad de avance de la seguridad, no veo que cambie pronto.
¿Cuáles son tus pasos futuros?
¡Este próximo año tendré un gran anuncio, y les avisaré antes!
¡¡¡¡¡Muchas gracias por tu amabilidad y tu tiempo, Jonathan!!!!!
