Eligiendo sus Herramientas

Con tantas empresas y sitios web que ofrecen herramientas orientadas a ayudar a las personas a mejorar su propia seguridad digital, ¿cómo elegir las herramientas adecuadas para usted?

No tenemos una lista infalible de herramientas que pueden defenderte (aunque puedes ver algunas opciones comunes en nuestras Guías de herramientas). Pero si tienes una buena idea de lo que quieres proteger, y de quién quieres protegerlo, esta guía puede ayudarte a elegir las herramientas adecuadas utilizando algunas directrices básicas.

Recuerde que la seguridad no consiste en las herramientas que utiliza o el software que descarga. Empieza por comprender las amenazas únicas a las que te enfrentas y cómo puedes contrarrestarlas. Consulta nuestra guía de planificación de la seguridad para obtener más información.

La seguridad es un proceso, no una compra anchor link

Lo primero que hay que recordar antes de cambiar el software que utilizas o comprar nuevas herramientas es que ninguna herramienta o programa te ofrecerá una protección absoluta contra la vigilancia en todas las circunstancias. Por lo tanto, es importante pensar en sus prácticas de seguridad digital de forma holística. Por ejemplo, si utilizas herramientas seguras en tu teléfono, pero no pones una contraseña en tu ordenador, puede que las herramientas de tu teléfono no te sirvan de mucho. Si alguien quiere averiguar información sobre ti, elegirá la forma más fácil de obtenerla, no la más difícil.

Es imposible protegerse contra cualquier tipo de truco o atacante, así que debes concentrarte en quién podría querer tus datos, qué podría querer de ellos y cómo podría conseguirlos. Si tu mayor amenaza es la vigilancia física de un investigador privado sin acceso a herramientas de vigilancia por Internet, no necesitas comprar un costoso sistema telefónico encriptado que dice ser "a prueba de la NSA". Por otra parte, si te enfrentas a un gobierno que suele encarcelar a disidentes porque utilizan herramientas de encriptación, puede tener sentido utilizar tácticas más sencillas -como organizar un conjunto de códigos inofensivos y preestablecidos para transmitir mensajes- en lugar de arriesgarte a dejar pruebas de que utilizas software de encriptación en tu portátil. La elaboración de un conjunto de posibles ataques contra los que planea protegerse se denomina modelado de amenazas.

Por todo ello, aquí tienes algunas preguntas que puedes hacerte sobre una herramienta antes de descargarla, comprarla o utilizarla.

¿Hasta qué punto es transparente? anchor link

Los investigadores en seguridad creen firmemente que la apertura y la transparencia conducen a herramientas más seguras.

Gran parte del software que utiliza y recomienda la comunidad de seguridad digital es de código abierto. Esto significa que el código que define su funcionamiento está a disposición del público para que otros lo examinen, modifiquen y compartan. Al ser transparentes sobre cómo funciona su programa, los creadores de estas herramientas invitan a otros a buscar fallos de seguridad y ayudar a mejorar el programa.

El software de código abierto ofrece la oportunidad de mejorar la seguridad, pero no la garantiza. La ventaja del código abierto depende, en parte, de que una comunidad de tecnólogos compruebe realmente el código, lo cual, en el caso de los proyectos pequeños (e incluso de los populares y complejos), puede ser difícil de conseguir.

Cuando consideres una herramienta, comprueba si su código fuente está disponible y si cuenta con una auditoría de seguridad independiente que confirme la calidad de su seguridad. Como mínimo, el software o hardware debe tener una explicación técnica detallada de su funcionamiento para que otros expertos puedan inspeccionarlo.

¿Hasta qué punto son claros sus creadores sobre sus ventajas e inconvenientes? anchor link

Ningún software o hardware es totalmente seguro. Busca herramientas con creadores o vendedores que sean honestos sobre las limitaciones de su producto.

Las afirmaciones generales de que el código es "de grado militar (o bancario)" o "a prueba de la NSA" son señales de alarma. Estas afirmaciones indican que los creadores son demasiado confiados o no están dispuestos a considerar los posibles fallos de su producto.

Dado que los atacantes intentan descubrir nuevas formas de vulnerar la seguridad de las herramientas, el software y el hardware necesitan actualizaciones para corregir las vulnerabilidades. Puede ser un problema grave si los creadores no están dispuestos a hacerlo, ya sea porque temen la mala publicidad o porque no construyeron la infraestructura para hacerlo. Busque creadores que publiquen estas actualizaciones y que sean honestos y claros sobre por qué lo hacen.

Un buen indicador de cómo se comportarán los fabricantes de herramientas en el futuro es su actividad pasada. Si el sitio web de la herramienta enumera ediciones anteriores y enlaces a actualizaciones periódicas e información -como, por ejemplo, cuánto tiempo ha pasado desde la última actualización del software-, puedes estar más seguro de que seguirán prestando este servicio en el futuro. A menudo se puede consultar el historial de actualizaciones en las tiendas oficiales de aplicaciones, App Store de Apple o Google Play, en GitHub o en el sitio web del desarrollador. Esto por sí solo puede mostrar que un desarrollador está trabajando en el software con cierta regularidad, pero es un indicador aún mejor si incluyen notas detalladas sobre lo que se incluye en cada actualización.

¿Qué ocurre si se compromete a los creadores? anchor link

Cuando los creadores de herramientas de seguridad construyen software y hardware, ellos (igual que tú) deben tener un plan de seguridad claro. Los mejores creadores describen explícitamente en su documentación de qué tipo de adversarios pueden protegerte.

Pero hay un atacante en el que muchos fabricantes no quieren pensar: ellos mismos. ¿Y si se ven comprometidos o deciden atacar a sus propios usuarios? Por ejemplo, un tribunal o un gobierno puede obligar a una empresa a entregar datos personales o crear una "puerta trasera" que elimine todas las protecciones que ofrece su herramienta. Así que ten en cuenta la jurisdicción o jurisdicciones donde tienen su sede los creadores. Si te preocupa protegerte del gobierno de Irán, por ejemplo, una empresa con sede en Estados Unidos podrá resistirse a las órdenes judiciales iraníes, aunque deba cumplir las estadounidenses.

Incluso si un creador es capaz de resistir la presión gubernamental, un atacante puede intentar entrar en los propios sistemas del fabricante de herramientas para atacar a sus clientes.

Las herramientas más resistentes son las que consideran esto como un posible ataque y están diseñadas para defenderse de ello. Busque un lenguaje que afirme que un creador no puede acceder a datos privados, en lugar de prometer que no lo hará. Del mismo modo, busque en el sitio web o en la política de privacidad de la herramienta información sobre el cifrado de datos, las políticas de conservación de datos, la venta a terceros y cualquier detalle sobre cómo podría gestionar la empresa las solicitudes de las fuerzas de seguridad. Esta guía del Washington Post incluye algunos consejos para leer la política de privacidad de una empresa que resultan útiles para hacerse una idea de qué información puede almacenar o compartir una empresa.

¿Ha sido retirado o criticado en Internet? anchor link

Las empresas que venden productos y los entusiastas que anuncian sus últimos programas informáticos pueden inducir a error, ser engañosos o incluso mentir descaradamente. Un producto que en principio era seguro puede tener terribles fallos en el futuro. Asegúrate de estar bien informado sobre las últimas novedades de las herramientas que utilizas.

Es mucho trabajo para una sola persona mantenerse al día de las últimas novedades sobre una herramienta. Si tienes colegas que utilizan un determinado producto o servicio, colabora con ellos para mantenerte informado.

¿Qué teléfono comprar? ¿Qué ordenador? anchor link

A menudo se pregunta a los formadores de seguridad: "¿Debería comprar un dispositivo Android o un iPhone?" o "¿Debería usar un PC o un Mac?" o "¿Qué sistema operativo debería usar?". No hay respuestas sencillas a estas preguntas. La seguridad relativa del software y los dispositivos cambia constantemente a medida que los investigadores descubren nuevos fallos y viejos errores. Las empresas pueden competir entre sí para ofrecerle una mayor seguridad, o pueden estar todas bajo la presión de los gobiernos para debilitar esa seguridad.

Sin embargo, algunos consejos generales son casi siempre ciertos. Cuando compre un dispositivo o un sistema operativo, manténgalo al día con las actualizaciones de software. Las actualizaciones a menudo solucionan problemas de seguridad en código antiguo que los ataques pueden aprovechar. Ten en cuenta que es posible que algunos teléfonos y sistemas operativos antiguos ya no reciban soporte, ni siquiera para actualizaciones de seguridad.

En el caso de los teléfonos móviles, hay algunas diferencias clave entre los dos sistemas operativos. Android es de código abierto y tiene varias versiones centradas específicamente en la privacidad y la seguridad, como CalyxOS y GrapheneOS. El sistema operativo del iPhone, iOS, no es de código abierto, pero ha demostrado su fortaleza frente a las herramientas forenses. Como cualquier herramienta de seguridad, una no es universalmente mejor que la otra para todo el mundo.

Ahora que ha considerado las amenazas a las que se enfrenta y sabe lo que debe buscar en una herramienta de seguridad digital, puede elegir con más confianza las herramientas más adecuadas para su situación particular.

Productos mencionados en Autodefensa contra la Vigilancia anchor link

Intentamos asegurarnos de que el software y el hardware mencionados en SSD cumplen los criterios enumerados anteriormente. Hemos hecho un esfuerzo de buena fe para enumerar únicamente productos que:

• Tener una base sólida de lo que sabemos actualmente sobre seguridad digital
• Son generalmente transparentes sobre su funcionamiento (y sus fallos)
• Disponer de defensas contra la posibilidad de que los propios creadores se vean comprometidos.
• Se mantienen en la actualidad, con una base de usuarios amplia y técnicamente bien informada que los examina en busca de fallos.

Por favor, comprenda que no disponemos de los recursos necesarios para examinar o dar garantías independientes sobre su seguridad. No respaldamos estos productos y no podemos garantizar su total seguridad.