Este artículo fue publicado originalmente en Motherboard, nuestra plataforma de tecnología.
Última actualización: noviembre 14, 2017.
Videos by VICE
Una de las cosas que más nos preguntan en Motherboard es: “¿cómo puedo prevenir que me hackeen?”
Como vivir en una sociedad moderna exige que depositamos demasiada confianza en terceros, la respuesta más frecuente es: “tal vez no mucho”. Tomen como ejemplo el famoso hackeo a Equifax, que afectó a casi la mitad de la población estadounidense, aunque muy pocos de los implicados se hubieran suscrito a su servicio voluntariamente.
Los hackers acceden a millones de contraseñas en una sola redada y ocasionalmente causan pérdidas de información en una gran escala. Deberíamos empezar a asumir, además, que lo más probable es que en el futuro esto no mejore: tenemos desastres en la vida real causados por la interconectividad del internet, con robots domésticos que podrían llegar a matarte, con computadores portátiles voladores que pueden hackear, y con hackers que amenazan con robar tus datos genéticos. Mientras tanto, la creciente vigilancia pasiva se ha infiltrado en el Estado y en la policía local de manera incesante, y amenaza cada vez más nuestra privacidad digital.
Esto no quiere decir que solo haya desesperanza. Hay muchas cosas que puedes hacer para complicarle la vida a los hackers o a los vigilantes que quieren acceder a tus dispositivos y cuentas, y el propósito de esta guía es darte unos pasos claros para que mejores tu seguridad digital. Existen, en términos generales, dos tipos de hackeos: los impredecibles y que por ello no pueden prevenirse, y los predecibles que sí se pueden evitar. Queremos ayudarte a mitigar el daño causado por el primero, y evitar la existencia del segundo.
Tú, como usuario, no puedes hacer nada por impedir que hackeen la información de tu proveedor de email, o de la compañía que guarda tu información financiera. Pero sí puedes evitar un ataque de suplantación que le permita a un hacker acceder a tu correo personal, y evitar que una contraseña pescada en un hackeo mayor sea reutilizada en otra de tus cuentas.
Esta guía no es absoluta ni personalizada; no existe algo como la “seguridad perfecta” y no hay una solución unívoca que encaje a todos los problemas. Solo queremos que esto sea un punto de partida para aquellos que busquen subir la guardia en su vida digital.
Es por eso que hemos querido que esta guía sea lo más accesible posible, pero si encuentras un argot que desconozcas hay un glosario que te podrá ayudar.
Esta guía es producto del trabajo de muchas personas que hacen o hicieron parte del personal de Motherboard, y fue revisada por muchas de nuestras fuentes a quienes les debemos mucho. Grandes secciones fueron escritas por Lorenzo Franceschi-Bicchierai, Joseph Cox, Sarah Jeong y Jason Koebler, pero los tips que contienen son el resultado de textos e investigaciones hechas por docenas de reporteros y profesionales de la seguridad informática. Considéralo un trabajo en continuo progreso que recibirá al menos una actualización anual y pequeñas modificaciones en la medida en que nuevas vulnerabilidades queden expuestas. Gracias especiales a Matt Mitchell de Crypto Harlem, y Eva Galperin, de la Electronic Frontier Foundation, por reseñar partes de esta guía.
Dicho esto: esta es La guía Motherboard para evitar ser hackeado.
MODELACIÓN DE RIESGOS
Todo en esta guía comienza con la “modelación de riesgos”, que es el lenguaje del hacker para evaluar qué tan probable es que vayas a ser hackeado o vigilado. Cuando piensas cómo proteger tus comunicaciones digitales, es imperativo que primero sepas de qué lo estás protegiendo y de quién lo estás protegiendo. “Depende de tu modelación de riesgos” es algo que los profesionales de la seguridad dicen cuando se les pregunta si Signal es la mejor app para mandar mensajes o si Tor es el navegador más seguro. La respuesta a cualquier pregunta acerca de la “mejor” seguridad es, esencialmente: “depende”.
Ningún plan de seguridad es idéntico a otro. El tipo de protecciones que tengas depende de quién esté intentando entrar a tus cuenta o leer tus mensajes. La mala noticia es que no hay algo perfecto contra todo (¡perdón!), pero la buena, es que la mayoría de personas tiene una modelación de riesgos que les permite no tener que vivir como reclusos paranoicos para navegar con una seguridad razonable en internet.
Entonces, antes de hacer cualquier cosa, debes considerar tu modelación de riesgos. Básicamente pregúntate, ¿qué estás intentando proteger y de quién lo quieres proteger?
La Fundación Frontera Electrónica recomienda hacerte estas preguntas a ti mismo en la modelación de riesgos
- ¿Qué quieres proteger?
- ¿De quién lo quieres proteger?
- ¿Qué tan necesario es que lo protejas?
- ¿Qué tan graves son las consecuencias si fallas al protegerlo?
- ¿Qué inconvenientes estás dispuesto a enfrentar para hacer esto?
¿Tu amenaza es un ex que podría querer entrar a tu cuenta de Facebook? Entonces, asegurarte de que no sepa tu contraseña es un buen lugar para comenzar (no compartas contraseñas importantes con la gente, no importa quién sea; si estamos hablando de Netflix, asegúrate de nunca usar esa contraseña en otro lugar).
¿Estás intentando evitar que “doxers” (personas de mentes brillantes que ya tienen toda tu información personal lista para hacerte llorar) inoportunos recopilen tu información personal —como tu cumpleaños— que puede ser utilizada para encontrar más detalles? Bien, entonces es buena idea fijarte en qué tipo de cosas publicas en redes sociales. Y la autenticación de dos factores (más de esto, abajo) debería recorrer un camino más largo para frustrar criminales más serios. Si eres un activista, periodista o, por alguna razón, tienes razones para que temer que el Gobierno, el Estado o los actores de la ley quieran hackearte o vigilarte, los pasos que debes tomar para protegerte a ti mismo son significativamente diferentes de los que deberías tomar si lo que estás escondiendo es la fiesta sorpresa de tu mejor amigo.
Sobrevalorar tu amenaza también puede ser un problema: si empiezas a usar sistemas operativos personalizados y oscuros, máquinas virtuales o cualquier cosa técnica cuando no es realmente necesario (o no sabes cómo usarlo), probablemente estás perdiendo el tiempo y podrías estar poniéndote a ti mismo en riesgo. En el mejor de los casos, incluso las tareas más simples pueden demorarse un poco más; en el peor de los casos, puedes tener una falsa sensación de seguridad con servicios y hardwares que no necesitas, sin tener en cuenta lo que realmente te importa y los problemas reales que podrías estar enfrentando.
En algunos puntos, esta guía podrá ofrecer pasos específicos a seguir si tienes un modelación de riesgo que incluya actores sofisticados. Pero, en general, está diseñada para las personas que quieren saber lo básico para fortalecer su seguridad digital. Si tu modelación de riesgos incluye hackers de la NSA o grupos patrocinados por el estado como Fancy Bear, te recomendamos hablar con un profesional entrenado en el caso.
MANTÉN TUS APLICACIONES ACTUALIZADAS
Probablemente lo más importante y básico que puedes hacer para protegerte, es actualizar el software que usas a su versión más reciente. Esto significa, usar la versión actualizada del software de cualquiera que sea el sistema operativo que uses, y actualizar todas tus aplicaciones y software. También significa actualizar el firmware de tu router, dispositivos conectados y cualquier otro gadget que uses que se pueda conectar a internet.
Ten en mente que en tu computador, no necesariamente tienes que usar la última versión del sistema operativo. En algunos casos, incluso las versiones más antiguas de los sistemas operativos hacen actualizaciones de seguridad. (Desafortunadamente, este ya no es el caso de Windows XP— ¡para de usarlo!) Lo que es más importante es que tu OS siga recibiendo actualizaciones de seguridad y las estés descargando.
Entonces si quieres quedarte con una lección de esta guía es: actualiza, actualiza, actualiza o mantente al día con las mejoras.
Muchos ciberataques comunes toman como ventaja, las fallas en softwares desactualizados como servidores web viejos, lectores de PDF o herramientas de hojas de cálculo y de texto. Teniendo todo actualizado, tienes menos posibilidades de convertirte en una víctima de un malware, porque los realizadores responsables y desarrolladores de software rápidamente hacen patches (mejoras informáticas a softwares) a sus productos después de que aparecen nuevos hacks.
Hackear es frecuentemente un camino de menor resistencia: vas tras los objetivos fáciles y suaves primero. Por ejemplo, los hackers detrás del destructivo ransomware conocido como WannaCry llegaron a quienes no habían actualizado su sistema de seguridad que estaba disponible desde hace semanas. En otras palabras, ellos sabían que iban a lograrlo porque sus víctimas no le habían puesto seguro a sus puertas a pesar de que sus llaves ya se habían puesto a disposición de todos.
CONTRASEÑAS
Todos tenemos demasiadas contraseñas para recordar, razón por la cual
algunas personas simplemente reutilizan las mismas una y otra vez. Reutilizar
contraseñas es malo porque, por ejemplo, un hacker obtiene el control
de tu contraseña de Netflix o Spotify y puede usarla para ingresar a tus aplicaciones de transporte y viajes compartidos o cuenta bancaria para acceder a tu tarjeta de crédito. Aunque nuestros cerebros no son realmente tan malos para recordar contraseñas, es casi imposible recordar docenas de contraseñas únicas y seguras.
La buena noticia es que la solución a estos problemas ya está
aquí: los administradores de contraseñas. Son aplicaciones o extensiones del navegador que realizan un seguimiento de las contraseñas por ti, automáticamente te ayudan a crear buenas contraseñas y simplifican tu vida en línea. Si tu
usas un administrador, todo lo que tienes que recordar es una contraseña, la que
desbloquea la serie de las otras contraseñas.
Sin embargo, más vale que esa única contraseña sea buena. Olvídate de las letras mayúsculas, símbolos y números. La forma más fácil de crear una contraseña maestra segura es con una frase: varias palabras aleatorias pero pronunciables— y por lo tanto más fáciles de memorizar—. Por ejemplo:floodlit siesta kirk barrel amputee dice (sin embargo, no uses esta, acabamos de gastarla).
Una vez que tengas esto, puedes usar contraseñas únicas hechas de muchos caracteres para todo lo demás, siempre y cuando las crees con
un administrador de contraseñas y nunca las vuelvas a utilizar. La contraseña maestra es mejor como una frase porque es más fácil de memorizar y las
otras contraseñas no necesitan ser memorizadas porque el administrador las recordará.
Intuitivamente, podrías pensar que no es prudente guardar tus contraseñas
en tu computador o con un administrador de contraseñas. ¿Qué pasa
si un hacker entra? ¿es mejor, seguramente, que las recuerde todas en
mi cabeza? Bueno, no realmente: el riesgo de que un delincuente reutilice una contraseña compartida que ha sido robada de otro lado es mucho mayor a
que algún hacker sofisticado ataque de forma independiente tu base de datos
de contraseñas. Por ejemplo, si usaste la misma contraseña en diferentes páginas web, y esa contraseña fue robada en los hacks masivos de Yahoo! (que incluyen, tres mil millones de personas), esta podría ser fácilmente reutilizada en tu Gmail, Uber, Facebook y otras páginas web. Algunos administradores de contraseñas guardan tus contraseñas encriptadas en la nube, incluso si la empresa es hackeada, tus contraseñas estarán seguras. Por ejemplo, el administrador de contraseñas LastPass ha sido hackeado al menos dos veces, pero no se han robado contraseñas reales porque la compañía las almacenó de forma segura. LastPass sigue siendo un administrador de contraseñas recomendado a pesar de esos incidentes. De nuevo, se trata de entender tu propio modelo de riesgos o modelo de amenaza.
Entonces, por favor, usa uno de los muchos administradores de contraseñas que hay, como 1Password, LastPass o KeePass. No hay razón para no
hacerlo. ¡Te hará a ti —y al resto de nosotros— estar más seguros! y hará tu vida más fácil.
Y si tu jefe te pide que cambiar las contraseñas periódicamente por razones de seguridad, dile que es una idea terrible. Si utilizas un administrador de contraseñas, autenticación de dos factores (ver más adelante) y tienes contraseñas seguras y únicas para cada cuenta, no es necesario cambiarlas todo el tiempo, a menos que haya una filtración con el servidor o tu contraseña haya sido robada de alguna manera.
AUTENTICACIÓN DE DOS FACTORES
Tener contraseñas únicas y fuertes en seguridad es un gran primer paso, pero incluso estas pueden ser robadas. Entonces, para tus cuentas más importantes (piensa en tu correo electrónico, cuentas de Facebook y Twitter y cuentas bancarias o financieras) debes agregar una capa adicional de protección conocida como autenticación de dos factores (o dos pasos o 2FA). Un montón de servicios en estos días ofrecen la autenticación de dos factores, por lo que no hace daño activarla en tantas páginas como puedas. Mira todos los servicios que ofrecen 2FA en twofactorauth.org.
Al habilitar los dos factores necesitarás algo más que solo tu contraseña para iniciar sesión en esas cuentas. Por lo general, es un código numérico enviado a tu celular a través de mensajes de texto o puede ser un código creado por una aplicación especializada (que es mejor si tu celular no tiene señal en el momento de iniciar sesión) o algún pequeño dispositivo parecido a una USB (a veces llamada YubiKey, gracias a la marca más popular de las mismas).
Ha habido mucha discusión en el último año sobre si los mensajes de texto pueden considerarse un “segundo factor” seguro. El número telefónico de la activista DeRay McKesson fue hackeado, lo que significó que los hackers con acceso a los códigos de adicionales de seguridad que protegen sus cuentas podían enviárselos directamente a sí mismos…Y el Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés), una parte del gobierno de los Estados Unidos que escribe directrices sobre reglas y medidas, incluida la seguridad, recientemente
desaconsejó el uso de mensajes de texto basado en 2FA.
El ataque a DeRay fue posible gracias a la “ingeniería social”. En este caso, un criminal engañó a un representante de servicio al cliente para dejar a DeRay vulnerable. El ataque se realizó consiguiendo el teléfono de su compañía y emitiendo una nueva tarjeta SIM para los atacantes, permitiéndoles
hacerse cargo de su número celular. Eso significa que cuando usaron su
primer factor (la contraseña) para iniciar sesión en su cuenta, el código del segundo factor fue enviado directamente a ellos. Este es un hackeo común que está aumentando cada vez más.
Es difícil defenderse de un ataque como este, y es una triste realidad saber que no hay una forma de seguridad perfecta. Pero hay pasos que puedes llevar a cabo para que estos ataques sean menos probables, y los detallamos a continuación, en la sección de seguridad móvil.
La autenticación de dos factores por medio de mensaje de texto puede ser manipulada, y también es posible que se aprovechen de las vulnerabilidades en la infraestructura de telecomunicaciones que guardan nuestras conversaciones. También se puede usar lo que se conoce como una IMSI-catcher (también conocida como Stingray) para tomar las comunicaciones de tu celular, incluidos tus textos de verificación. Nosotros no escribimos esto para asustarte, solo vale la pena resaltar que, aunque todas las formas de autenticación de dos factores son mejores que nada, debes utilizar una aplicación de autenticación o mejor aún, una llave física, si es posible.
Deberías, si la página web lo permite, usar otra opción 2FA que no esté basada en mensajes de texto, como una aplicación de autenticación en tu smartphone (por ejemplo, Google Authenticator, DUO Mobile o Authy) o un token físico. Si esa opción está disponible, es una gran idea usarla.
Qué hacer y qué no hacer
No uses Flash: históricamente Flash ha sido uno de los softwares más inseguros que jamás han existido en tu computador. A los hackers les encanta Flash, porque tiene más agujeros que un queso suizo. Las buenas noticias es que gran parte de la web se alejó de Flash, así que en realidad ya no lo necesitas para tener una experiencia de navegación rica y completa. Considera eliminarlo de tu computadora, o por lo menos cambia la configuración de tu navegador para que tengas que autorizar la ejecución de Flash en cada ocasión.
Usa antivirus: sí, ya lo has escuchado antes. Pero sigue siendo verdad. Los antivirus están, irónicamente, llenos de baches de seguridad, pero si no eres una persona en la mira de los hackers de la nación o criminales avanzados, tener un antivirus es buena idea. Aún así, el software de un antivirus está lejos de ser una panacea, y en 2017 necesitas más que eso para estar seguro. También debes saber que, por definición, el antivirus es increíblemente invasivo: necesita instalarse muy dentro de tu computador para escanear y detener malware. Y hay quien puede abusar de este alcance. Por ejemplo, el gobierno de Estados Unidos acusa a Kaspersky Lab, uno de los antivirus más conocidos en el mundo, de haber pasado documentos sensibles de uno de sus clientes al gobierno ruso.
Usa plugins de seguridad sencillos: a veces, todo lo que un hacker necesita para dominarte es llevarte al sitio correcto, lleno de malware. Por eso vale la pena usar plugins simples que puedas instalar fácilmente y olvidarte de ellos como adblockers, que te protegen de los malware insertos en la publicidad presentes en sitios muy sospechosos que puedes encontrarte en la web, y a veces incluso en sitios legítimos. (Obviamente, nos gustaría que permitieras la publicidad en VICE, porque gracias a ella sobrevivimos.)
Otro plugin útil es HTTPS Everywhere, el cual obliga a que tu conexión permanezca encriptada (cuando el sitio lo permita). No te servirá si el sitio en el que estás navegando tiene malware, pero en algunos casos, ayuda a evitar que los hackers te envíen a versiones falsas de ese sitio (si es que hay uno encriptado disponible) y en general te protege de que los hacker manipulen tu conexión en el legítimo.
Usa un VPN: los Virtual Private Networks son un canal seguro entre tu computador y el internet. Si usas un VPN, primero te conectas a él y luego a todo internet, agregando una barrera más de seguridad y privacidad. Si utilizas internet en un espacio público, ya sea un Starbucks, un aeropuerto o incluso un Airbnb, lo estás compartiendo con personas que no conoces. Y si algún hacker está en la misma red que tú, puede intervenir tu conexión y potencialmente tu computador. Vale la pena investigar un poco más sobre VPNs antes de conseguir uno, porque algunos son mucho mejores que otros (la mayoría de los gratuitos no realizan bien sus funciones de protección a la privacidad). Nosotros recomendamos Freedome, Private Internet Access, o si eres un usuario técnico, Algo.
Desactiva los macros: los hackers pueden usar los macros de Microsoft Office dentro de los documentos para propagar malwares en tu computadora. Es un viejo truco, pero recuperó su vigencia para difundir ransomware. ¡ Desactívalos!
Realiza respaldos: no es un consejo nuevo, pero si te preocupa que los hackers destruyan o bloqueen tus archivos (con ransomware, por ejemplo), entonces necesitas hacer copias de respaldo. Idealmente, deberías hacerlo mientras estás desconectado de la red y deja la copia en un disco duro externo para que, si te infecta un ransomware, el respaldo esté seguro.
No te sobreexpongas sin razón: la gente adora compartir casi toda su vida en redes sociales. Pero por favor, te rogamos, que no tuitees una foto de tu tarjeta de crédito o los boletos de avión, por ejemplo. En general, es bueno estar consciente de que una publicación en redes sociales a menudo está expuesta a cualquier persona en internet que se moleste en mirar tu perfil, incluso si se trata de adivinar la dirección de tu casa a través de tus rutas frecuentes en sitios como Strava, una red social para corredores y ciclistas.
La información personal como la dirección de tu casa o escuela (la mascota de la escuela está a una búsqueda en Google de distancia) puede usarse para conseguir más información vía esquemas de ingeniería social. Entre más información personal tiene un atacante, más probable es que consigan acceso a una de tus cuentas. Con eso en mente, quizá consideres aumentar la configuración de privacidad en algunas de tus cuentas también.
No abras documentos adjuntos sin precaución: durante décadas, los cibercriminales han escondido malware en documentos adjuntos como Word o PDFs. Los antivirus a veces pueden detener estas amenazas, pero es mejor utilizar el sentido común: no abras documentos adjuntos (o des click en links) de personas que no conoces o que no estabas esperando. Y si en verdad quieres hacerlo, sé precavido, como abrir los documentos en Chrome (sin descargar nada). O aún mejor, guarda el archivo en Google Drive y ábrelo con el Drive, lo cual es más seguro porque el documento lo abre Google y no tu computador.
Ahora vivimos en un mundo en el que los smartphones se han convertido en los dispositivos de cómputo principales. No solo usamos los celulares más que los computadores de escritorio, sino que están con nosotros casi todo el tiempo. No es necesario decir entonces que los hackers van tras los celulares cada vez más.
La buena noticia es que hay una serie de pasos sencillos y algunas precauciones que pueden minimizar los riesgos, y vamos a decirte cuáles son.
MODELACIÓN DE RIESGOS EN CELULARES
La mayoría de las personas usan códigos de seguridad, contraseñas o patrones para “bloquear” sus teléfonos celulares. Si eres de las personas que no lo hace, sin duda deberías hacerlo (los patrones son más fáciles de adivinar o de copiar “por encima del hombro” que los PINs o códigos de seguridad, según un estudio reciente).
Una de las mayores amenazas es que alguien tenga acceso físico a tu dispositivo móvil y pueda desbloquearlo. Esto significa que tu seguridad es tan buena como tu contraseña: si puedes hacerlo, evita compartir tu código de seguridad o contraseña, y evita usar dígitos fáciles de adivinar como tu fecha de nacimiento o dirección. Incluso los códigos simples funcionan bien para detener a carteristas o delincuentes, pero no cuando te preocupa lo que tu pareja abusiva pueda hacer.
Con esto en mente, te damos algunos puntos básicos que puedes hacer para prevenir otras amenazas comunes que afectan a tus dispositivos móviles.
COMPRA UN iPHONE
La gran mayoría de las personas involucradas en el mundo de la ciberseguridad —con excepción, tal vez, de los ingenieros de Android— creen que los iPhones son los teléfonos celulares más seguros que puedes comprar. Existen varias razones para creerlo, pero la principal es que iOS, el sistema operativo de Apple para celulares, es extremadamente estricto. Las aplicaciones tienen que pasar pruebas exhaustivas antes de llegar a la App Store, y existen varias medidas de seguridad, como la aprobación de códigos y firmas digitales de Apple (medida conocida como code-signing), y el hecho de que las aplicaciones están limitadas a vincularse con otras apps (sandboxing).
Estos lineamientos hacen que sea muy difícil para los hackers atacar las partes confidenciales del sistema operativo. Ya que Apple controla la infraestructura de iOS, los iPhones reciben actualizaciones inmediatas y con regularidad; las actualizaciones urgentes de seguridad para muchos dispositivos Android pueden tomar semanas o meses para los usuarios. Incluso el iPhone 5, cuyo lanzamiento fue en 2013, cuenta con dicha cobertura.
Si eres un paranoico, el iPhone es la opción más segura en el mercado. Pero a menos de que tengas una muy buena razón, no lo liberes. Aunque el mismo hecho de liberación y los hackers detrás del mismo han contribuido a hacer del iPhone un celular más seguro, liberar uno de estos dispositivos en la actualidad no te provee ninguna función que valga la pena correr el riesgo en realidad. En el pasado, los hackers solo han podido atacar iPhones liberados.
Sin embargo, nada es a prueba de hackers. Sabemos que algunos gobiernos están armados con herramientas valoradas en millones de dólares para hackear iPhones, y quizás algunos criminales sofisticados también cuenten con ellas. De cualquier manera, cómprate un iPhone, instala las actualizaciones, no lo liberes, y posiblemente todo saldrá bien.
¿Y SI AMO LOS DISPOSITIVOS ANDROID? BIEN…
Android es el sistema operativo más popular en el mundo gracias a su naturaleza descentralizada de código abierto, y el hecho de que muchos sets de teléfonos están disponibles a precios más bajos que los del iPhone. En algunos sentidos, dicha naturaleza de código abierto fue el pecado original de Android: Google se encargaba del control y, por lo tanto, de la seguridad de la cuota de mercado. De esta manera, las actualizaciones urgentes de seguridad dependen de los portadores y fabricantes de dispositivos, quienes históricamente han sido displicentes para entregarlas.
Las buenas noticias es que en los últimos dos años esto ha mejorado mucho. Google ha presionado a los socios para que entreguen a sus usuarios actualizaciones mensuales, y los propios dispositivos insignia de Google cuentan con casi el mismo tipo de respaldo que gozan los iPhones con Apple, al igual que algunas funciones de seguridad.
Así que tu mejor apuesta son los celulares Pixel o Nexus, cuya seguridad no depende de nadie, solo de Google. Si no quieres un teléfono de esta compañía, estos celulares tienen buena reputación para entregar actualizaciones de seguridad, de acuerdo con el propio Google.
No importa qué tipo de teléfono Android tengas, siempre debes tener mucho cuidado con las apps que instalas. Los hackers tienen fama de introducir aplicaciones dañinas a la Play Store, por ello tienes que pensar dos veces antes de bajar una app poco conocida. A finales del año pasado, más de un millón de usuarios de Android instalaron una versión falsa de WhatsApp en sus dispositivos. También procura bajar siempre las apps de la Play Store y no de tiendas de terceros, las cuales podrían ser peligrosas. En la mayoría de los teléfonos Android, la instalación de aplicaciones por medio de terceros está desactivada por default, así que no la actives.
Para proteger los datos en tu teléfono Android asegúrate de que el cifrado de disco esté completamente activado. Abre Configuraciones, ve a Seguridad, y presiona Encriptar télefono, si es que no está activado. (Si esto no funciona en tu dispositivo, busca las instrucciones específicas en Google).
Finalmente, aunque no es obligatorio, podría ser una buena idea instalar un antivirus para móviles como Lookout o Zips. Aunque suelen ser efectivos contra malware, no creemos que puedan detener a hackers del gobierno.
BLOQUEA LA TARJETA SIM
Hace poco dimos a conocer que los hackers han utilizado un error informático (bug) en un sitio de T-Mobile para obtener datos personales de clientes con la intención de hacerse pasar por esas personas. Este tipo de ataques, conocidos como SIM swapping o SIM hijacking, permiten a los hackers tomar el control de tu número de teléfono y todo a lo que esté conectado. El SIM hijacking es lo que hace de la autenticación de dos factores vía SMS una práctica tan peligrosa.
Tu número de teléfono suele ser un punto de entrada hacia otras partes, quizás más delicadas, de tu vida digital: tu correo electrónico, cuenta de banco y los respaldos de iCloud.
Como consumidor, no puedes controlar los bugs que tu portador deja abiertos para los hackers. Pero puedes complicarles la vida un poco. La solución es fácil, aunque no mucha gente la conoce: una contraseña alternativa o código de seguridad que necesitas proveer cuando llamas a tu proveedor de telefonía.
Llama a tu proveedor y solicita que hagan esto por ti. Desde luego, asegúrate de recordar la contraseña o, aún mejor, escríbela en tu administrador de contraseñas.
Tras el atentado del 11 de septiembre, Estados Unidos puso en marcha un ingente aparato de vigilancia con el que comprometía los derechos constitucionales del país y limitaba la posibilidad de recurrir al sistema judicial.
Ante este despliegue extraordinario de medidas de vigilancia, es normal que haya estadounidenses que sientan cierta paranoia. Y es que no solo hablamos de la Agencia Nacional de Seguridad (NSA, por sus siglas en inglés): el FBI e incluso la policía disponen ahora de más herramientas que nunca para espiar los movimientos de los ciudadanos. El alcance de esta supervisión pasiva e inesperada presenta muchos factores preocupantes: ahora, las cuentas de redes sociales pueden ser utilizadas como prueba en juicios, los emails y llamadas se pueden registrar masivamente y los metadatos de los teléfonos móviles pueden capturarse vía capturadores de identidad IMSI o Stingray inicialmente dirigidos a otros individuos.
Sin importar en qué país te encuentres, no hay que olvidar que la antivigilancia no es la solución, sino una más de las medidas de protección que puedes tomar. Tal vez tú no seas el objetivo más probable, pero eso no significa que no debas preocuparte por mejorar tu seguridad en la red. El tema de la vigilancia es muy complejo: por muchas medidas de seguridad que tomes, si te estás comunicando con alguien que no lo haga, corres el mismo riesgo de ser espiado a través del dispositivo de tu interlocutor, por ejemplo.
Por eso es importante normalizar una serie de buenas prácticas de seguridad, con más razón aun si no tienes nada que temer, ya que al implementar estas herramientas estarás protegiendo a esos amigos tuyos que son, por ejemplo, inmigrantes indocumentados o activistas. El actual director de la CIA considera que el uso de cualquier tipo de cifrado “puede por sí mismo levantar sospechas”. Si no tienes “nada que ocultar”, el uso de cifrado puede ayudar a personas en situación vulnerable al añadir ruido a la vigilancia. Siguiendo los pasos de esta guía estarás contribuyendo a la seguridad de alguien. Piensa en ello como en una especie de inmunidad colectiva: cuanta más gente aplique estas buenas prácticas, mayor será la seguridad de todos.
Los consejos que te hemos dado anteriormente siguen siendo aplicables: si puedes protegerte contra posibles ciberataques, también tendrás más posibilidades de evitar ser espiado. Pero las herramientas tecnológicas no son la panacea a todos estos problemas, ya que los gobiernos disponen de un arma que los hackers no tienen: el poder de la ley. Muchos de los consejos de esta sección de la guía te serán de ayuda no solo en caso de ser objeto de requerimientos judiciales o de vigilancia gubernamental, sino también en caso de que alguien intente espiarte.
No es necesario que te conviertas en un experto en seguridad. Simplemente piensa en los riesgos que corres y no te dejes intimidar por la tecnología. La seguridad implica un proceso de aprendizaje continuo, ya que tanto las amenazas como las herramientas que se usan para combatirla cambian constantemente. Esta es una de las razones por las que a veces los consejos en este campo pueden parecer variables y contradictorios. En cualquier caso, las siguientes recomendaciones son un buen punto de partida.
MODELACIÓN DE RIESGOS (EDICIÓN DE PRIVACIDAD Y VIGILANCIA)
En primer lugar, debes tener en cuenta que cada problema debe resolverse con una herramienta específica. Sin un modelo de riesgos, es fácil acabar abrumado por la cantidad de utilidades disponibles. En el caso de la vigilancia, el modelo de riesgo en el ámbito de la vigilancia es similar al del hackeo, si bien hay una serie de matices que varían según la situación.
Mucha gente aconseja simplemente que uses Signal o Tor, pero estas soluciones no siempre son útiles para todo el mundo. Una amiga, por ejemplo, usaba el servicio de mensajería integrado en Words With Friends para hablar con la gente de los maltratos a los que la sometía su ex porque sabía que el hombre leía sus mensajes de texto y los que escribía en Gchat. Words With Friends no es un sistema de mensajería particularmente seguro, pero en este caso concreto resulta mejor opción que Signal o Hangouts porque a él no se le ocurrió leer los mensajes en el juego.
Cuando entran en juego actores gubernamentales, a veces resulta útil clasificar la vigilancia en dos categorías: la vigilancia de metadatos (quién eres, con quién te comunicas y cuándo lo haces) y la vigilancia de contenido (qué dices en tus comunicaciones). Como ocurre con la mayoría de cosas, cuando ahondas un poco, ves que las cosas no son tan sencillas, pero para empezar es suficiente.
La legislación sobre vigilancia es compleja, pero en pocas palabras, tanto la ley como la infraestructura tecnológica actual facilitan más la obtención de metadatos que de contenido. Los metadatos no tienen por qué ser menos importantes o reveladores que el contenido. Pongamos un ejemplo: recibes una llamada de una clínica que practica abortos, luego llamas a tu pareja, luego al seguro. Toda esa información va a aparecer en la factura del teléfono, y la compañía telefónica podría cederla al Gobierno si este lo requiriera. La empresa de telefonía probablemente no esté grabando tus conversaciones —el contenido de estas es privado—, pero a estas alturas eso es lo de menos, ya que solo con los metadatos una persona puede hacerse una idea muy clara de lo que está ocurriendo.
Empieza a plantearte qué información está abierta y expuesta y qué puedes proteger. A veces hay que resignarse al hecho de que podemos hacer muy poco respecto a determinados canales de comunicación. Si las circunstancias son muy adversas, la única solución será buscar una alternativa.
SIGNAL
Signal es un servicio de mensajería cifrada para smartphones y computadores de escritorio. En muchos casos —no todos— es una buena opción para burlar la vigilancia. Dado que el Gobierno tiene la capacidad de interceptar mensajes electrónicos en el momento de su transmisión, es importante que tus comunicaciones se hagan siempre con cifrado de extremo a extremo, en la medida de lo posible.
Usar Signal es muy sencillo. Solo tienes que descargarlo de la tienda de aplicaciones de tu teléfono celular (en la iOS App Store y en Google Play se llama “Signal Private Messenger” y está desarrollada por Open Whisper Systems).
Si tienes en tu lista de contactos el número de teléfono de tu interlocutor, aparecerá en Signal y podrás enviarle mensajes o llamarlo. Siempre y cuando esa persona también tenga Signal, los mensajes se cifrarán automáticamente.
Esta aplicación dispone incluso de una variante para computadores de escritorio, para usarla del mismo modo que los usuarios de iOS / Mac OS utilizan iMessage. Puedes ir al sitio web Signal.org y descargar la aplicación para tu sistema operativo siguiendo las instrucciones.
Signal dispone de una función para establecer un tiempo de vida de los mensajes, transcurrido el cual se borrarán de todos los dispositivos. Puedes determinar el periodo de tiempo que quieras, incluso si es muy breve. Esta función es muy útil para periodistas que quieren proteger a sus fuentes o mantener seguras las conversaciones con editores.
Estas características son la razón principal por la que recomendamos Signal antes que cualquier otra aplicación de mensajería. iMessage y WhatsApp también usan cifrado de extremo a extremo pero tienen sus desventajas.
No recomendamos WhatsApp porque es propiedad de Facebook, plataforma a la que ha estado cediendo información de los usuarios. Aunque solo se trata de metadatos, no deja de ser un quebrantamiento de la promesa que hizo WhatsApp en su día, cuando fue adquirida por Facebook. Creemos que esto resta fiabilidad a la aplicación.
Aunque es muy positivo que Apple cifre de extremo a extremo los mensajes de iMessages, esta aplicación realiza copias de seguridad de los mismos en iCloud de forma predeterminada, razón por la cual puedes enviar mensajes desde todos tus dispositivos Apple. Esta función es genial, pero si sospechas que puedes ser objeto de vigilancia gubernamental, recuerda que Apple se ajusta a lo que estipula la ley y cederá tus datos al Gobierno si este lo exigiera: “Para tu comodidad, los mensajes SMS y de iMessage se guardan en una copia de seguridad de iCloud”, señala la página de privacidad de Apple. Es posible desactivar esta función, pero en teoría Apple podría verse obligada a acceder a mensajes de iMessages que hubieras enviado a personas que tienen activada esa función.
Signal conserva muy poca información. Lo sabemos porque el año pasado, Open Whisper Systems tuvo que comparecer a petición del Gobierno y fue obligado a ceder información, pero los datos que conservaban eran mínimos, concretamente números de teléfono, fecha de creación de las cuentas, y la hora de la última conexión de los usuarios a los servidores de Signal. Como ves, no es mucho.
Existen alternativas mucho peores que WhatsApp o iMessage. Por ejemplo, deberías evitar a toda costa utilizar Telegram para realizar cualquier tipo de comunicaciones delicadas. Y Google lee todos tus chats en Gchat a no ser que tomes medidas específicas para cifrarlos de extremo a extremo. Hay otras alternativas decentes en el mercado (como Wire), pero al igual que WhatsApp y iMessage, han sido desarrolladas por empresas con ánimo de lucro y nadie sabe con certeza qué planes de monetización tienen para el futuro. Signal es un proyecto de código abierto y sin ánimo de lucro. No obstante, también tiene sus defectos. Por ejemplo, no es tan elegante como iMessage ni puede permitirse el lujo de tener un nutrido equipo de seguridad trabajando para ellos. Por eso no es mala idea hacer algún donativo si decides bajarte la aplicación.
Respecto a Signal, cabe destacar que para usarlo es necesario asociar el dispositivo a un número de teléfono. Eso significa que debes fiarte de la persona con la que te vas a mensajear porque va a tener tu número; obviamente, hay muchas razones por las que no querrías revelar tu número a un interlocutor, lo que convierte este requisito en una de las debilidades de Signal.
También conviene recordar que el hecho de que una comunicación esté cifrada de extremo a extremo no significa que sea invisible a los ojos del Gobierno. Simplemente significa que el contenido está cifrado entre ambos extremos; si alguien intercepta uno de esos mensajes mientras está siento enviado, el contenido aparecerá como texto ilegible.
Sin embargo, si uno de los extremos se ve comprometido —es decir, si alguien hackea tu teléfono o te lo requisan las autoridades—, se acabó el juego.
El cifrado, por tanto, no imposibilita al Gobierno a espiarte, pero sí se lo pone más complicado. La idea es que introducir cierto grado de fricción en la ecuación resulta en una mayor privacidad.
SÉ CONSCIENTE DE LO QUE PUBLICAS EN REDES SOCIALES
Si sueles publicar contenido en redes sociales, depende de en qué país estés, has de saber que la policía a veces hace seguimiento de los activistas en línea. Facebook, Instagram y Twitter, por ejemplo, han cedido datos a los productos de seguimiento de redes sociales que usó la policía estadounidense para controlar a los activistas de Black Lives Matter.
Incluso cuando eliges las opciones de privacidad más restrictivas, los desarrolladores de redes sociales están sujetos a requerimientos judiciales que los obligan a facilitar a las autoridades tu información en caso necesario. Y la mayoría de las veces, lo harán sin que te des ni cuenta. En lo que respecta a las redes sociales, parte de la base de que todo lo que subes será público. Esto no quiere decir que debas dejar de usar redes sociales, sino que debes usarlas con inteligencia.
Si eres activista, plantéate utilizar un pseudónimo y, a la hora de publicar cosas, ten en cuenta también la seguridad de los demás.
¿A quién etiquetas en tus publicaciones? ¿Sueles añadir información sobre tu ubicación? ¿A quién tomas fotos y por qué? Has de tener especial cuidado con las fotos de protestas, manifestaciones y encuentros multitudinarios. La tecnología de reconocimiento facial ha avanzado muchísimo y, aunque no etiquetes a alguien, al parecer existe un algoritmo capaz de detectar e identificar a activistas en una fotografía. De hecho, en las sugerencias sobre el etiquetado de Facebook ya se hace mención a ello.
Si le tomas una foto a alguien en una manifestación, asegúrate de que esa persona te da su permiso para publicarla y de que conoce las implicaciones de que su imagen se suba a un medio público.
CUIDADO CON DISPOSITIVOS COMO CÁMARAS Y MICRÓFONOS
¿Hay cámaras en tu entorno? Si tienes cámaras de seguridad conectadas a internet en casa o una webcam siempre en funcionamiento, no dejes estos dispositivos desprotegidos. Asegúrate de cambiar las contraseñas que tuvieran por defecto y tapa el objetivo cuando no las uses.
Si tienes un portátil o un smartphone, cubre la cámara frontal con un sticker. No hace falta que dejes de hacerte selfis o de usar Facetime; simplemente se trata de evitar que nadie te vea cuando no lo quieres. En Amazon, por ejemplo, se venden stickers de quita y pon para cubrir la cámara de los portátiles que no dejan residuos en su superficie. Cómprate unas cuantas y regala algunas a tus amigos.
Por último, no hay forma alguna de estar seguro de que el micrófono de tu teléfono celular no esté grabando. Si temes que puedas ser objeto de escuchas, apaga el celular y mételo en el microondas (temporalmente, y con el microondas apagado) o déjalo en otra habitación. ¡Ten en cuenta que solo con apagar el teléfono no tienes garantías de seguridad! En cualquier caso, conviene que no dejes tus dispositivos en el cuarto cuando te acuestes con tu pareja.
En 2012, la periodista azerí Khadija Ismayilova fue víctima de un chantaje con una grabación sexual grabada de forma subrepticia. El extorsionador exigía a Ismayilova que dejara de publicar artículos criticando al Gobierno, amenazando con publicar el vídeo si no obedecía (Ismayilova denunció públicamente el chantaje y el vídeo fue subido a internet). En 2015, el Gobierno de Azerbaiyán la condenó a siete años y medio de prisión por evasión fiscal. Actualmente la periodista está en libertad condicional.
Gobiernos de muchos países han utilizado el chantaje con contenido sexual para extorsionar a disidentes. Tenlo en cuenta y protege tu privacidad.
PROTEGE TUS DISPOSITIVOS CON BLOQUEO DE PANTALLA
Establece una contraseña de acceso en el teléfono y el computador. No confíes únicamente en la identificación mediante huella dactilar. Jurídicamente, la policía lo tiene más fácil para obligarte a desbloquear un dispositivo con tu huella que a introducir una contraseña.
UTILIZA OTR (OFF THE RECORD) PARA CHATEAR, SI ES NECESARIO
Lo mejor para chatear en un computador de escritorio es usar Signal, pero hay otra opción especialmente útil para periodistas.
Cierra la ventana de Gmail y descárgate OTR para chatear. Ten en cuenta que solo puedes usar esta aplicación si la otra persona también la tiene*.
Puedes usar tu cuenta de Gmail como ID para este chat. De esta forma, podrás seguir chateando en Gchat pero habrás añadido un nivel extra de cifrado. Abre una ventana de chat y haz clic en el icono del candado para iniciar el cifrado. Asegúrate también de cambiar la configuración para no guardar registros de las conversaciones cifradas.
Como ya hemos dicho, el cifrado de extremo a extremo tiene sus limitaciones. Si tu interlocutor está registrando tus conversaciones, poco importará que te molestes en tomar todas estas medidas de seguridad. Si realmente te preocupa la privacidad, habla con esa persona para que deje de registrar las conversaciones.
*Los usuarios de Mac pueden instalar Adium. Los usuarios de PC y Linux tendrán que instalar Pidgin y luego el plugin de OTR.
INSTALA EL NAVEGADOR TOR
Tor —acrónimo de “The Onion Router”— crea ruido sobre el tráfico de datos que generas en internet enrutando toda la información a través de varios niveles de computadores. De esta forma, cuando accedes a un sitio web, no es posible determinar desde dónde te estás conectando. El modo más sencillo de usar Tor es instalando el navegador Tor Browser. Funciona exactamente igual que Chrome, Firefox o Internet Explorer, solo que más lento, debido al nivel extra de privacidad que ofrece.
SI te acostumbras a usar Tor para todas tus consultas, mejorarás considerablemente tu seguridad en la red, aunque este buscador tiene sus desventajas. No intentes, por ejemplo, ver una serie de Netflix a través de Tor.
Valora tus necesidades y determina en qué medida necesitas usar Tor en tu rutina. Recuerda siempre que tu dirección IP es totalmente pública cuando no usas este navegador.
Hay cuatro razones por las que querrías usar Tor:
- Estás intentando mantener oculta tu identidad.
- Usas muchos puntos de conexión wifi públicos.
- Estás intentando burlar la censura del Gobierno del país en el que resides.
- Quieres proteger a otros usuarios de Tor.
Si eres activista y quieres ocultar tu identidad, necesitarás usar Tor para enmascarar tu dirección IP. Estamos hablando de un escenario en el que se hace un uso limitado. Lo que queremos decir es que resulta absurdo abrir Tor, conectarte a tu cuenta de Twitter y escribir, “Hola a todo el mundo, estoy escribiendo desde la oficina de VICE de Barcelona”. En ese caso ya estás dando toda la información que Tor oculta.
Si te conectas a menudo a redes wifi públicas (en hoteles, cafeterías o en el aeropuerto), sí que es muy recomendable que uses Tor. Ofrece las mismas ventajas que una VPN sin muchas de las desventajas de estas (ver la próxima sección para obtener más información al respecto).
En gobiernos en los que se censuran partes de internet, Tor puede ser útil para burlar esa censura.
Por último, una de las mayores ventajas de Tor es que cuanta más gente lo use, más difícil resulta rastrear a todos sus usuarios. La red adquiere más fuerza con cada usuario anónimo que la utiliza, así que si te tomas la molestia de usarla a diario, estarás ayudando a personas que verdaderamente tengan la necesidad de proteger su identidad.
Pero ojo: Tor no es un buscador a prueba de todo. Hay casos de Gobiernos que han conseguido identificar a grupos de usuarios de Tor, del mismo modo que se ha logrado hackear a grupos de usuarios de VPN en masa. Tor ofrece privacidad, no seguridad. Está diseñado para dificultar el rastreo del tráfico de datos que generas, no para imposibilitarlo. Por tanto, siempre existe un riesgo de que tu actividad no sea tan oculta como piensas.
Los computadores que componen la red de Tor —aquellos en los que rebotan los datos de tráfico que generas— pertenecen a voluntarios, instituciones y organizaciones de todo el mundo, muchos de los cuales se están exponiendo a una serie de riesgos por formar parte de esta red. Supuestamente, los datos que pasan por estos equipos no deberían quedar registrados en ninguno de ellos, pero como se trata de un acto altruista, no hay garantías de que así sea. Este riesgo potencial queda mitigado por el hecho de que desde cada nodo únicamente puede verse una instantánea de todo el tráfico de datos que pasa por él y de que nadie tiene acceso ni a la IP del usuario ni a sus datos descifrados. Alguien con malas intenciones tendría que revisar un número considerable de nodos —algo muy difícil— para empezar a reunir información con sentido. Además, Tor dispone de una función de control de este tipo de comportamientos.
En última instancia, por lo que se refiere a la vigilancia gubernamental, Tor es mejor que un VPN, y un VPN es mejor que nada.
El futuro de Tor es incierto, ya que en parte está financiado con ayudas del gobierno estadounidense (como muchas otras tecnologías de última generación, Tor nació como un proyecto militar de este país). Cabe la posibilidad, por tanto, de que Tor pierda toda la financiación a muy corto plazo. Puedes contribuir a evitarlo haciendo un donativo a Tor Project.
VPN (ACRÓNIMO INGLÉS DE REDES VIRTUALES PRIVADAS)
En temas de seguridad, los VPN no son muy útiles. Un VPN ocultará tu dirección IP, pero el Estado puede intervenirlo para obtener información de usuario que acabe delatando tu identidad. Muchas empresas que ofrecen estos servicios, por ejemplo, conservan un registro de las direcciones IP que se conectan a las redes, del momento en que lo hacen y los sitios que visitan. Estos datos pueden acabar revelando tu identidad, sobre todo si estás pagando la suscripción al VPN con una tarjeta de crédito.
Hay proveedores de VPN que aseguran que no guardan registros de ningún tipo de datos. De ti depende valorar en qué medida confías en estos proveedores y tomar una decisión al respecto. Pero en cualquier caso, si te preocupa que el Gobierno te esté espiando, mejor que uses Tor.
PGP (AUNQUE SEGURAMENTE NO VALE LA PENA TOMARSE LA MOLESTIA)
La única solución fiable para cifrar tus emails es PGP, o Pretty Good Privacy. Desgraciadamente, PGP resulta terriblemente engorroso de usar. Incluso su creador, Phil Zimmermann, ha dejado de utilizarlo porque no es compatible con dispositivos móviles. Es en casos como este cuando es útil disponer de un modelo de riesgos que te permita determinar hasta qué punto vale la pena usar PGP para tu situación, teniendo en cuenta lo complejo que es este software.
Si realmente necesitas cifrar tu correo, esta guía de PGP puede serte de utilidad. Te advertimos que no es nada fácil, así que quizá te vendría bien la ayuda de algún experto en tecnología para configurarlo.
NO CREES UN SERVIDOR DE CORREO PROPIO
Si algo aprendimos en 2016 es que no hay que abrirse un servidor de correo propio.
Si bien es cierto que Google debe cumplir con los requerimientos judiciales que le obliguen a ceder datos como tus mensajes de correo, también lo es que sabe cómo manejar un servidor de correo mucho mejor que tú. ¡Estos servidores son complicados! Y si no, que se lo pregunten a Hillary Clinton.
Si estás cifrando tus mensajes de correo, Google solo puede facilitar los metadatos (quién envía a quién y el asunto del mail). Dado que el cifrado del correo es un verdadero engorro, lo mejor es intentar no comunicar información delicada a través de emails y hacerlo en canales con cifrado de extremo a extremo. No hace falta que dejes de utilizar por completo tus cuentas de mail de terceros: simplemente ten presente que toda la información que haya en ellas puede acabar en manos del Gobierno.
ENCRIPTA TU DISCO DURO
Buenas noticias: hacerlo ya no es tan difícil como antes.
El cifrado del disco duro hace que no pueda accederse a su contenido sin la contraseña correcta.
Muchos smartphones incluyen el cifrado del disco duro por omisión. Si tienes un iPhone con el sistema operativo actualizado (en los últimos tres años), ponle una contraseña y listos.
Si eres propietario de un Android, es posible que ya venga cifrado (Google Pixel lo está), aunque lo más probable es que no. No existe ninguna guía actualizada para activar el cifrado en todos los dispositivos Android, por lo que tendrás que investigar por tu cuenta o pedir ayuda a algún amigo. Y si tienes un teléfono de Windows, que Dios te ayude, porque nosotros no podemos.
Con los computadores, todo es mucho más sencillo que antes: activar la opción de cifrado de disco que se incluye. Para usuarios de MacBook con Lion o superior, es preciso activar FileVault.
Windows, por otro lado, es mucho más complejo. Hay usuarios que tienen el cifrado activado por defecto. Muchos otros tienen la opción de activarlo, pero es un fastidio. Y si usas Bitlocker, de Microsoft, tendrás que trastear mucho con la configuración para aumentar la seguridad. Apple no tiene la capacidad de desbloquear tus dispositivos. Si el Gobierno enviara un requerimiento a Apple, esta no podría desencriptar tu dispositivo, al menos no sin hackear también todos los iPhones del mundo. Con Microsoft no ocurre lo mismo —en algunos casos usan lo que denominan “custodia de contraseña”, lo que significa que se reservan el derecho de descifrar tu dispositivo si fuera necesario—, por lo que tendrás que tomar medidas adicionales para obtener el mismo nivel de protección.
Quizá debas recurrir a VeraCrypt. Muchas guías antiguas recomiendan usar TrueCrypt para cualquier sistema operativo, pero esta recomendación ha quedado obsoleta. VeraCrypt antes se llamaba TrueCrypt, y la historia del cambio de nombre es toda una telenovela informática con brechas en la trama del tamaño de Marte y que no trataremos en esta guía. En cualquier caso, no hay nada malo con VeraCrypt, según los expertos, pero si tienes la posibilidad, usa la opción de cifrado del disco duro de tu sistema operativo.
Si utilizas Linux, tu sistema operativo probablemente ofrezca soporte para cifrado. Sigue las instrucciones durante el proceso de instalación.
TARJETAS DE CRÉDITO
Las entidades bancarias nunca se van a parar contra el Gobierno y cederán cualquier información tuya que posean a la primera oportunidad. Y recuerda que cuando han dado con tu identidad, es muy fácil para ellos ir tirando del hilo.
Un ejemplo es el que comentábamos antes, de pagar un servicio de VPN con tarjeta de crédito. Lo mismo pasaría si has contratado ese servicio con bitcoins y has cambiado esos bitcoins usando tu tarjeta de crédito.
Esto es aplicable a cualquier cosa que compres, desde dominios hasta celulares prepago. A decir verdad, poco se puede hacer a este respecto. Es una de las razones por las que se recomienda el uso de Tor en vez de un VPN.
Es también una de las razones por las que es tan difícil conseguir un celular prepago que sea imposible de rastrear. Para esto no hay una solución fácil. Si te encuentras en una situación en la que tu vida depende de tu capacidad de preservar el anonimato, vas a necesitar mucha más ayuda que la que esta simple guía o cualquier otra pueden ofrecerte.
Una cosa más: hasta el momento, organizaciones estadounidenses como ACLU (acrónimo inglés de Unión Estadounidense por las Libertades Civiles) o NAACP (Asociación Nacional para el Progreso de las Personas de Color) están amparadas por un derecho constitucional que les permite negarse a facilitar el nombre de sus contribuyentes. Sin embargo, PayPal o tu entidad bancaria no tendrán ningún problema en traicionarte. Esto no significa que no debas hacer donativos a organizaciones que luchan contra la opresión y por la defensa de los derechos y las libertades civiles. Al contrario, es más importante que nunca que colabores porque cuanta más gente lo haga, más protegidos estarán los contribuyentes del escrutinio y la sospecha.
AVISO A LOS PERIODISTAS SOBRE EL RIESGO DE CONSERVAR SUS ANOTACIONES
¿Quieres proteger a tus fuentes? Has de saber que todo, desde tus notas hasta los chats de Slack y Gchat, los documentos de Google Drive, de Dropbox, las entrevistas grabadas y las transcripciones pueden acabar usándose como pruebas en un juicio.
No esperes a que una demanda sea inminente para borrar información. Podría ser ilegal y corres el riesgo de acabar en la cárcel. Obviamente, cada caso es distinto: quizá necesites conservar tus anotaciones para guardarte las espaldas. En ese caso, entérate bien de los riesgos, habla con un abogado y actúa con responsabilidad.
QUÉ NOS DEPARA EL FUTURO
Aunque la gran mayoría de las indicaciones de esta guía pueden aplicarse a cualquier país, se elaboraron teniendo en cuenta las capacidades técnicas y jurídicas del Gobierno de los Estados Unidos, y estas pueden cambiar en el futuro. Tal vez el cifrado de alto grado se considere ilegal en unos años. Quizá Estados Unidos empiece a aplicar la censura en internet como ya ocurre en China y otros países o establezca una normativa de identificación para poder acceder a la red, haciendo que sea prácticamente imposible cualquier actividad de forma anónima.
Estas medidas no son fáciles de implementar, por lo que es improbable que ocurran en un futuro cercano.
Tampoco sería descabellado que algunos países presionaran a las tiendas de aplicaciones para que retiraran de la venta Signal u otras aplicaciones con cifrado de extremo a extremo. Ten en cuenta, por tanto, que esta guía puede tener una caducidad, razón de más para actuar contra la vigilancia desde ya y seguir adaptándose a los cambios.
DESCONÉCTATE
Muchos espacios públicos tienen cámaras de vigilancia y existe la posibilidad de que seas objeto de seguimiento. Sin embargo, es mucho más difícil espiar a alguien en persona que recabar información de varias personas a la vez a través de sus comunicaciones electrónicas.
Tómate un descanso del mundo hiperconectado y habla con gente en persona. Si no hay nadie alrededor, puedes hablar de lo que quieras y tus palabras se esfumarán en el aire, sin dejar rastro alguno.
Además, si estás leyendo esta guía, es muy probable que ahora mismo tengas la imperiosa necesidad de que alguien te abrace.
Así que cuadra para verte con un amigo, verifiquen sus claves de Signal y dense un fuerte abrazo. Seguramente los dos estarán asustados y se necesitarán mutuamente más que a ninguna tecnología.
SAL AL MUNDO Y MANTENTE SEGURO
Eso es todo por ahora. De nuevo, esto no pretende ser más que una guía básica para los usuarios promedio de computadores. Así que si eres un activista de derechos humanos que trabaja en un país peligroso o en una zona de guerra, o una organización que está creando infraestructura informática sobre la marcha, esto seguramente no va a ser suficiente y necesitarás más precauciones.
Pero estos son tips esenciales y de sentido común que todos deberían saber.
Claro, algunos lectores aprovecharán para señalarnos todo lo que hace falta en esta guía, y nos gustaría escuchar su retroalimentación. El tema de seguridad está en constante cambio, y lo que puede parecer como un buen consejo hoy podría no serlo mañana, así que nuestro objetivo es mantener esta guía actualizada con alguna frecuencia, así que, por favor, déjennos saber si hay algo incorrecto o que haga falta.
Y recuerden, ¡estén siempre atentos!