Desde el 20 de enero, Donald Trump es presidente de los Estados Unidos, lo cual ha provocado profundas preocupaciones con respecto a las restricciones que su administración pueda poner al modo en que nos conectamos, nos expresamos, o difundimos información de forma segura.
Trump, añejo adversario de la prensa libre, ha defendido la ampliación de los poderes de vigilancia, ha insultado y puesto en su lista negra tanto a periodistas como a agencias de noticias, ha seleccionado a un Fiscal General que evita activamente compromisos para proteger a una prensa libre, y ha pedido investigaciones de filtraciones que harían caer tanto a las fuentes como a los periodistas. Si estos comentarios y acciones son algún tipo de indicación, tanto la prensa como los ciudadanos corrientes pueden verse forzados más que nunca a usar la tecnología para mantener sus comunicaciones a salvo.
Debajo, presentamos 11 consejos de seguridad digital que puedes implementar hoy mismo para ayudar a protegerte mejor a ti mismo, a tus compañeros periodistas, y a tus fuentes cuando te comunicas a través del móvil o el ordenador.
Esperamos que las amenazas cambien en los años venideros. Estos consejos representan unos fuertes estándares de seguridad en este momento, y nos comprometemos a estar al tanto de cualquier cambio en el futuro.
1. Empiece con el ‘threat modeling’
No hay una fórmula para todo en la seguridad digital. La seguridad perfecta, simplemente, no existe, pero hay muchas maneras de protegerse mejor dependiendo de la situación. Al igual que cada individuo tiene una vida digital única, cada individuo tiene un threat modeling (modelo de amenaza) único —un concepto usado para describir una amalgama de riesgos que amenazan la privacidad y seguridad de un individuo—. No es un concepto estático, de hecho cambia según las decisiones conscientes que tomas, y también según cambios técnicos, sociales, y políticos que están fuera de tu control.
El threat modeling te permite identificar quién te preocupa, localizar potenciales vulnerabilidades de seguridad en tus prácticas actuales, y hacer balance de los activos que deseas proteger. Puedes empezar a pensar en tu threat modeling preguntándote: ¿De quién estoy protegiendo esta información? ¿Hasta dónde estoy dispuesto a llegar para proteger dicha información?
Access Now ha desarrollado una guía visual para empezar con el threat modeling. The Electronic Frontier Foundation proporciona más información acerca del threat modeling así como unas detalladas guías de seguridad preparadas para periodistas, activistas, y académicos. Además de los consejos que hoy nos ocupan, hay ricas colecciones de recursos generales y guías disponibles para ayudarte mientras vas determinando qué prácticas son las adecuadas para ti.
2. Piensa bien antes de descargar software y mantente actualizado
Cuando te descarges una nueva herramienta, considera de dónde viene. El código fuente de un software gratuito y abierto está disponible publicamente para que la comunidad de desarrolladores lo revise en busca de vulnerabilidades de seguridad, y está tradicionalmente desarrollado sin intención de obtener beneficio de tus datos. Opta por herramientas de código abierto analizadas en lugar de opciones de software propietario siempre que sea posible.
Recuerda instalar actualizaciones en tus dispositivos cuando estén disponibles. Normalmente las actualizaciones las envían los desarrolladores para enmendar las vulnerabilidades de software que amenazan la privacidad y la seguridad. Actualizar tu software es, con frecuencia, tan fácil como hacer un solo ‘click’, y es una de las mejores maneras de protegerte de un hacker.
3. Comprueba los permisos de tus app
Ya que un móvil puede ser para los periodistas y activistas tanto una baza como una carga, comprueba siempre los permisos de una aplicación antes de descargar cualquier tipo de software en tu teléfono. Un juego con el que te entretienes de camino al trabajo, por ejemplo, no tiene ningún motivo para saber tus datos de localización en todo momento. Limitar la capacidad de tu teléfono para rastrearte es clave para mantener tu privacidad de movimientos.
Puedes encontrar los permisos de cada app en el iPhone en el menu “Privacidad” de “Ajustes”. Ahí, puedes ver qué aplicaciones han pedido acceso a los recursos críticos de tu móvil, y permitirlo o denegarlo de forma conveniente.
En Android, puedes ver los permisos individuales en tu menú de aplicación al arrastrar el icono de una aplicación hacia arriba para revelar su “Información de App”. Desde ahí, pincha en “Permisos de App” para cambiar los permisos que quieres darle a la aplicación.
4. Usa contraseñas complejas y únicas
Antes de hacer nada más, asegúrate de que usas contraseñas fuertes y únicas en todas tus cuentas. Ahora existe software que aprovecha el poder de computación de un ordenador de mesa, un botnet, o un superordenador que puede descifrar millones de las contraseñas más habituales. Contraseñas como “123456” o “contraseña123” son muy fáciles de averiguar para estos programas. (También lo es “P@assw0rd1234”, por cierto.) Este tipo de contraseñas carecen de la adecuada cantidad de entropía, o aleatoreidad, para detener los intentos concertados de hackear tu ordenador.
Crear contraseñas con una larga y aleatoria sucesión de dígitos, letras, signos de puntuación, o palabras es ideal, pero con frecuencia difícil de recordar. Para simplificar la tarea de crear una contraseña compleja y asequible de recordar, considera adoptar una passphrase (frase de contraseña). Aquí te dejamos una guía para ayudarte a pensar qué frase es apropiada dado el caso de uso.
Recuerda: no uses las mismas contraseñas en diferentes sitios. Seguro que has oído hablar de los millones de cuentas comprometidas filtradas y de las violaciones de datos de alto perfil. Una vez que la cuenta está comprometida en un ataque, es publicada muy frecuentemente en la red para que un montón de malhechores prueben esas credenciales en cuentas más dañinas, como tu cuenta bancaria, o tu correo. Asegúrate de que utilizas una contraseña única para cada cuenta y serás menos vulnerable a un subsecuente ataque después de ser comprometido.
5. Usa un administrador de contraseñas
¿No estás seguro de poder recordar todas tus nuevas y complejas contraseñas, o no confías en poder crearlas? Los administradores de contraseñas hacen que el proceso de generar contraseñas únicas y credenciales rotativas sea racionalizado y sistematizado. Puedes usar una sola frase de contraseña en tu administrador y, luego, almacenar, generar, y cubrir decenas de otras credenciales para varios sitios web por ti. De esa forma, ni siquiera tendrás que preocuparte de recordarlas porque estarán almacenadas en tu administrador de contraseñas.
Hay unos cuantos administradores de contraseñas online y offline en el mercado actualmente. Administradores online como 1Password y LastPass ofrecen opciones sencillas para el usuario para aquellos interesados en acceder a sus credenciales a través de un navegador. Para aquellos que se inclinen por una versión offline, la alternativa de fuente abierta KeePassX almacena tus credenciales en un archivo local y encriptado de tu ordenador.
Como es común en tecnología, ambos enfoques presentan ciertas compensaciones entre la usabilidad y la seguridad. Vete de compras y decide qué opción es mejor para tu flujo de trabajo.
6. Habilita una autentificación de 2 factores en todas tus cuentas
Añadir una capa adicional de autenticación en tus cuentas mitiga la amenaza de que tu cuenta se vea comprometida. Con una autenticación de 2 factores (2FA) habilitada, los que te ataquen no podrán acceder a tu cuenta, ni siquiera si conocen tu nombre de usuario y tu contraseña.
Dependiendo del servicio, puedes habilitar la 2FA a través de una llamada de voz, un SMS, un software, o un token. Por ejemplo, si estás usando Gmail, la primera vez ingresarás con tu contraseña, Google enviará un corto código a tu teléfono que luego introducirás para confirmar que eres, efectivamente, tú el que está intentando acceder a la cuenta.
Si bien es mejor que no tener la 2FA habilitada, la autenticación a través de una llamada o SMS puede ser vulnerable a la intercepción para un sofisticado adversario que utilice un ataque de intermediario, así como acceso a tu buzón de voz o tu cuenta de operador telefónico. Softwares como Authenticator de Google , Authy, o Duo te permiten vincular un generador de código offline basado en tiempo con tu dispositivo móvil, y son más más seguros que las estrategias 2FA basadas en texto.
Los tokens como Yubikey de Yubico son incluso más seguros, haciendo casi imposible conseguir suplantar una identidad con éxito, ya que los códigos de autenticación solo pueden ser utilizados por el sitio web en el que estás tratando de entrar.
Si quieres instrucciones de cómo instalar una 2FA en tus diversas cuentas, twofactorauth.org es un recurso de mucha ayuda para poder instalar la 2FA en cualquier servicio que proporcione la opción.
7. Usa Signal (y otras herramientas de comunicación con cifrado “end-to-end” )
Mientras que los SMS no cifrados y las llamadas de voz pueden ser fisgoneados y son sujeto de órdenes judiciales, las comunicaciones con cifrado “end-to-end” están diseñadas para ser ilegibles para todos a excepción del emisor y el receptor. En el 2017, usar herramientas de mensajería con cifrado “end-to-end” es crítico para protegerte a ti y a todos con los que te comunicas de la vigilancia de la red o el gobierno.
Signal es considerada ampliamente como la aplicación de mensajería más segura para llamadas y mensajes, y puedes descargártela en Android, iPhone, y sincronizarla con una aplicación de escritorio. Las aplicaciones de mensajería como WhatsApp, Wire, y CryptoCat ya siguen el ejemplo de Signal y aplicaron su protocolo de encriptación en sus apps; el cual se activa ahora por defecto.
Dicho eso, cada una de estas plataformas de mensajería tiene diferentes niveles de otras protecciones de seguridad, poner la usabilidad por delante de la seguridad puede llevar a que el nivel de éxito varíe. Esto resalta la importancia del threat modeling —ninguna forma de comunicación digital es perfectamente inmune al riesgo de exponer tus metadatos: con quién estás hablando, cuándo, y durante cuánto tiempo—.
8. Cifra tu disco duro y tu teléfono
Si tienes datos sensibles almacenados en tu móvil o en tu ordenador, tu primera línea de defensa para evitar que esa información caiga en malas manos es el cifrado de dispositivos.
Si bien no es necesariamente aconsejable, a veces debemos asistir a eventos controvertidos o cruzar fronteras con nuestros dispositivos personales. Si estás viajando o asistiendo a una protesta con tu dispositivo personal y temes que pueda ser confiscado o manipulado, las autoridades no podrán acceder a tu dispositivo si:
1. Lo cifras.
2. Lo bloqueas con una compleja passphrase; y
3. Lo apagas.
Los iPhones están cifrados por defecto, y la mayoría de dispositivos Android tienen la capacidad de permitir el cifrado del dispositivo a través de Ajustes. Si eres usuario de Mac, puedes cifrar tu ordenador utilizando FileVault, que puedes encontrar en tus Preferencias de Sistema. El cifrado de dispositivo en una PC es un poco más molesto —y depende de tu modelo de amenaza, tu sistema operativo, y la versión de tu dispositivo—. Si trabajas con Windows 10 (Pro, Enterprise, o Education editions), puedes usar el software nativo de Microsoft, BitLocker, para iniciar el proceso de cifrado. Si esta no es una opción para ti, tendrás que tomar una decisión basada en qué opciones son compatibles con tu dispositivo y tu modelo de amenaza.
9. Escoge el navegador y los ajustes de seguridad adecuados
Además de los datos que almacenes en tus dispositivos locales, también transmites datos cuando estás buscando algo o comunicándote en la web. Configurar tu navegador para tus necesidades de seguridad y privacidad es esencial para tomar el control de tu transmisión de datos —puedes empezar por eliminar de forma rutinaria tu historial de datos, y elegir usar navegadores como Mozilla Firefox (privacidad ante todo) o el preocupado por la seguridad Google Chrome, y administrar tus ajustes de navegador y sus plugins (o extensiones). Aquí, por ejemplo, hay buenas instrucciones que te enseñan cómo ajustar Google Chrome para que este sea más seguro.
Si lo que buscas es una navegación anónima, considera utilizar Tor Browser, con la advertencia de que en ciertas circunstancias puede ser arriesgado utilizar este software. ¿Te preocupa que tu proveedor de internet te identifique como usuario de Tor? Pon en marcha una confiada Red Privada Virtual (VPN) antes de conectarte —de esa forma solo tu proveedor de VPN sabe que te estás conectando a la red de Tor—.
10. Cifra tu navegador utilizando HTTPS Everywhere de EFF, y una VPN
Como medida añadida, utilizar una extensión como HTTPS Everywhere de EFF te asegura el estar conectándote a un sitio web a través de una conexión cifrada siempre que es posible. Considera, asimismo, comprar una VPN, un servicio que pasa tus peticiones de red a través de un servidor seguro antes de que llegue a tu proveedor de internet. Las VPN son esenciales para proteger tu seguridad cuando estás conectado a una wifi pública en lugares como cafés y hoteles.
No todas las VPN son iguales, así que seleccionar la VPN adecuada para tu modelo de amenaza requiere tomarse molestias e investigar. Busca siempre una VPN que prometa una política de retención de datos corta —que no requieran de registro— y la opción de “kill switch” —una característica que ordena a tu ordenador a desconectarse de internet cuando tu conexión VPN se ve interrumpida. Es importante, también, mirar el protocolo que tu proveedor de VPN utiliza para establecer una conexión entre tu dispositivo y su servidor. Busca los protocolos que sean de fuente abierta (como OpenVPN), o robustos cuando son implementados correctamente (como IPSEC). Evita un protocolo que tenga vulnerabilidades de seguridad conocidas (como PPTP).
Por último, evita los proveedores de VPN gratuitos, ¡es probable que la forma de sacar beneficios de la compañía sea vender tus datos! Si bien una VPN puede ser una herramienta útil para protegerte de los que espían tus movimientos en la red, el usar una no te promete un perfecto anonimato.
11. Detecta y previene intentos de suplantación de identidad
Por último, puedes ponerles tantos softwares a tus amenazas como quieras, pero la privacidad y la seguridad siguen siendo contingentes al error humano. Si te hackean, no hay cifrado que pueda protegerte. Muy frecuentemente el origen de un hackeo puede ser rastreado hasta un solitario ‘click’ en un enlace malicioso, o en una descarga de la que no se tiene constancia y que viene de un correo —tales ataques son llamados phishing (suplantación de identidad)—. Por ejemplo, así fue como al mánager de campaña de Hillary Clinton, John Podesta, le robaron todos sus correos.
Puedes encontrar un gran número de métodos para detectar intentos de phishing, así como de medidas preventivas en nuestra guía elemental anti-phishing y de limpieza de correo electrónico.
(Traducción realizada por Andrea García: como parte del proyecto Traduciendo América Latina. Fuente original: Freedom of the Press Fundation).
Imagen Portada: Io Sono una Foto Camera en flickr bajo licencia CC
Fuente: Periodismo Ciudadano
