Surveillance
Self-Defense

¿Defensora de Derechos Humanos?

  • ¿Defensora de Derechos Humanos?

    Consejos para organizaciones que necesitan protegerse de la escucha del gobierno

    Si estás encargado de llevar una organización cuyo trabajo sea, quizás, vigilado por gobiernos —ya sea localmente o cuando viajas—necesitas pensar en blindar tus comunicaciones. Aquí está una guía básica para pensar en la planificación de tu autoprotección con respeto a la vigilancia institucional.

  • Evaluando tus riesgos

    Intentar proteger todos sus datos de todo el mundo, todo el tiempo, es poco práctico y agotador. ¡Pero no tengas miedo! La seguridad es un proceso, y a través de una planificación cuidadosa, puede evaluar lo apropiado para usted. La seguridad no se trata de las herramientas que usa o del software que descarga. Comienza con la comprensión de las amenazas únicas que enfrenta y cómo puede contrarrestar esas amenazas.

    En seguridad informática, una amenaza es un evento potencial capaz de socavar cualquier esfuerzo para defender sus datos. Puede contrarrestar las amenazas que afronta determinando lo que necesita proteger y de quien necesita protegerlo. Este proceso se llama "modelado de amenazas".

    Esta guía le enseñará cómo modelar la amenaza, o cómo evaluar los riesgos para su información digital y cómo determinar qué soluciones son las mejores para usted.

    ¿Cómo podría lucir este  modelo de amenazas? Digamos que usted quiere mantener su casa y sus posesiones seguras, aquí hay algunas preguntas que se podría hacer:

    ¿Qué tengo dentro de mi casa que valga la pena proteger?

    • Los activos incluirían: joyas, electrónica, documentos financieros, pasaportes o fotos

    ¿De quién lo quieres proteger?

    • Los adversarios podrían incluir: ladrones, compañeros de habitación o invitados

    ¿Cuán probable es que necesites protegerlo?

    • ¿Mi barrio tiene un historial de robos? ¿Qué tan confiables son mis compañeros de cuarto/invitados? ¿Cuáles son las capacidades de mis adversarios? ¿Cuáles son los riesgos que debo considerar?

    ¿Cuán destructivas pueden ser las consecuencias si fallas?

    • ¿Tengo algo en mi casa que no pueda reemplazar? ¿Tengo tiempo o dinero para reemplazar estas cosas? ¿Tengo un seguro que cubra el robo de bienes de mi casa?

    ¿Cuánto esfuerzo estás dispuesta a hacer para prevenirlas?

    •  ¿Estoy dispuesto a comprar una caja fuerte para documentos sensibles? ¿Puedo comprar una cerradura de alta calidad? ¿Tengo tiempo para abrir una caja de seguridad en mi banco local y guardar mis objetos de valor?

    Una vez que se ha hecho estas preguntas,  está en posición de poder evaluar qué medidas tomar. Si sus posesiones son valiosas, pero el riesgo de un robo es bajo, entonces usted puede no desear invertir demasiado dinero en una cerradura. Pero, si el riesgo es alto, usted querrá conseguir la mejor disponible en el mercado y considerar sumarle un sistema de seguridad.

    La construcción de un modelo de amenaza  ayuda a comprender las amenazas únicas a las que se enfrenta, sus activos, su adversario, sus capacidades y la probabilidad de riesgos a los que se enfrenta.

    ¿Qué es el modelado de amenazas y por dónde empiezo?

    El modelado de amenazas le ayuda a identificar amenazas a las cosas que usted valora y determina de quién necesita protegerlas. Cuando construya un modelo de amenaza, responda a estas cinco preguntas:

    1. ¿Qué es lo que quieres proteger?
    2. ¿De quién lo quieres proteger?
    3. ¿Cuán probable es que necesites protegerlo?
    4. ¿Cuán destructivas pueden ser las consecuencias si fallas?
    5. ¿Cuánto esfuerzo estás dispuesta a hacer para prevenirlas?

    Miremos estas preguntas más de cerca

    ¿Qué quiero proteger?

    Un "activo o acción" es algo que valoras y quieres proteger. En el contexto de la seguridad digital, un activo suele ser algún tipo de información. Por ejemplo, sus correos electrónicos, listas de contactos, mensajes instantáneos, ubicación y archivos son todos los activos posibles. Sus dispositivos también pueden ser activos.

    Haga una lista de sus activos: datos que guarda, donde se guarda, quién tiene acceso a él y qué impide que otros accedan a él.

    ¿De quién quiero protegerlo?

    Para responder a esta pregunta, es importante identificar quién podría querer acceder a usted o a su información. Una persona o entidad que represente una amenaza para sus activos es un "adversario". Ejemplos de adversarios potenciales son su jefe, su ex pareja, su competencia empresarial, su gobierno o un hacker en una red pública.

    Haga una lista de sus adversarios, o de aquellos que puedan querer obtener sus bienes. Su lista puede incluir individuos, una agencia gubernamental, o corporaciones.

    Dependiendo de quiénes son sus adversarios, en algunas circunstancias, esta lista podría ser algo que desee destruir después de terminar de modelar la amenaza.

    ¿Qué tan malas son las consecuencias en caso de fallo?

    Hay muchas maneras en que un adversario puede amenazar su información. Por ejemplo, un adversario puede leer sus comunicaciones privadas a medida que pasan a través de la red o pueden eliminar o dañar sus datos.

    Los motivos de los adversarios difieren mucho, al igual que sus ataques. A un gobierno deseoso de evitar la difusión de un video demuestrando violencia policial puede bastarle simplemente con borrar o reducir la disponibilidad de ese video. En contraste, un oponente político puede desear tener acceso a contenido secreto y publicar ese contenido a sus espaldas.

    El modelado de amenazas implica entender cuán malas podrían ser las consecuencias si un adversario ataca con éxito uno de sus activos. Para determinarlo, debe considerar la capacidad de su adversario. Por ejemplo, su proveedor de telefonía móvil tiene acceso a todos sus registros telefónicos y por lo tanto tiene la capacidad de utilizar esos datos en su contra. Un hacker en una red Wi-Fi abierta puede acceder a sus comunicaciones sin cifrar. Su gobierno podría tener capacidades más fuertes.

    Anote lo que su adversario podría querer hacer con sus datos privados.

    ¿Qué tan probable es que necesite protegerlo?

    El riesgo es la probabilidad de que ocurra una amenaza particular contra un activo particular. Va de la mano con la capacidad. Aunque su proveedor de telefonía móvil tiene la capacidad de acceder a todos sus datos, el riesgo de que publiquen sus datos privados en línea para dañar su reputación es bajo.

    Es importante distinguir entre amenazas y riesgos. Si bien una amenaza es algo malo que puede suceder, el riesgo es la probabilidad de que ocurra la amenaza. Por ejemplo, existe la amenaza de que su edificio se derrumbe, pero el riesgo de que esto suceda es mucho mayor en San Francisco (donde los terremotos son comunes) que en Estocolmo (donde no lo son).

    Realizar un análisis de riesgo es un proceso personal y subjetivo; no todo el mundo tiene las mismas prioridades o ve amenazas de la misma manera. Muchas personas encuentran ciertas amenazas inaceptables sin importar el riesgo, porque la mera presencia de la amenaza en cualquier probabilidad no vale la pena el costo. En otros casos, las personas no tienen en cuenta los riesgos elevados porque no ven la amenaza como un problema.

    Tome nota de las amenazas que va a tomar en serio, y de aquellas que puedan ser demasiado raras o inofensivas (o demasiado difíciles de combatir) para preocuparse.

    ¿Cuánto problemas estoy dispuesto a afrontar para prevenir posibles consecuencias?

    Responder a esta pregunta requiere llevar a cabo el análisis de riesgo. No todo el mundo tiene las mismas prioridades o ve las amenazas de la misma forma.

    Por ejemplo, un abogado que representa a un cliente en un caso de seguridad nacional probablemente estaría dispuesto a ir más lejos para proteger las comunicaciones sobre ese caso, como usar un correo electrónico cifrado, que una madre que regularmente envía correos electrónicos a su hija.

    Escriba las opciones que tiene disponibles para ayudar a mitigar sus amenazas únicas. Tenga en cuenta si tiene restricciones financieras, restricciones técnicas o restricciones sociales.

    El modelado de amenazas como práctica regular

    Tenga en cuenta que su modelo de amenaza puede cambiar mientras cambia su situación. Por lo tanto, realizar evaluaciones frecuentes de modelos de amenazas es una buena práctica.

    Cree su propio modelo de amenaza basado en su propia y particular situación. A continuación, marque su calendario para una fecha en el futuro. Esto le pedirá que revise su modelo de amenaza y vuelva a comprobar si sigue siendo relevante en su caso.

    Última actualización: 
    07-09-2017
  • Comunicándote Con Otros

    Las redes de telecomunicación y el Internet han hecho la comunicación con otros mas fácil que nunca, sin embargo, han hecho la vigilancia mas prevalente en la historia de la humanidad. Sin tomar pasos extras para proteger tu privacidad, cada llamada telefónica, cada mensaje de texto, email, mensaje instantáneo, llamada de voz sobre IP (VoIP), video charla, y mensaje en la red social podrían ser vulnerables a la escucha secreta.

    Muchas veces la mejor manera de comunicarte con otros es en persona, sin involucrar computadoras o teléfonos. Sin embargo, ello no es siempre posible. Si necesitas proteger el contenido de tu comunicación, el otro medio preferido para comunicarte a través de una red es el uso del cifrado de punto-a-punto (“end-to-end encryption”)

    ¿Cómo Trabaja el Cifrado de Punto-a-Punto?

    Cuando dos personas quieren comunicarse de manera segura (por ejemplo, Akiko y Boris) ambos necesitan generar una llave de cifrado. Antes que Akiko envíe un mensaje a Boris, ella cifra su mensaje con la llave de Boris; así solo Boris podrá descifrarlo. De esta forma, lo que Akiko hará es enviar el mensaje ya cifrado vía Internet. Si alguien está escuchando a escondidas a Akiko y Boris-- inclusive sí el atacante tiene acceso a los servicios que Akiko está usando para enviar sus mensajes (tales como su cuenta de email)--los atacantes sólo podrán ver la información cifrada y no podrán leer el mensaje. Cuando Boris reciba el mensaje, él debe de usar su llave de cifrado para descifrar el mensaje y hacerlo legible.

    El cifrado de punto-a-punto involucra algunos esfuerzos adicionales, pero estos son la única manera para que el usuario puede verificar la seguridad de sus comunicaciones sin tener que confiar en la plataforma que ambos están usando. Algunos servicios como Skype dicen que ofrecen al público servicios de cifrado de punto-a-punto cuando en la realidad ellos no los ofrecen. Para que un cifrado de punto-a-punto sea seguro, los usuarios deben poder verificar que la llave cifrada, a la que ellos están enviando el mensaje cifrado, pertenece a la persona que ellos creen le pertenece. Si el software no lleva esa funcionalidad construida dentro de sí mismo, entonces cualquier mensaje cifrado podría ser interceptado por el mismo proveedor de servicio, de hecho ellos están obligados hacerlo, por ejemplo si el gobierno se lo requiere.

    Puedes leer el reporte de La Fundación de Libertad de Prensa (Freedom of the Press Foundation's whitepaper), Encryption Works para detalles e instrucciones de como usar cifrado de punto-a-punto para proteger mensajes instantáneos y email. Asegúrate de mirar también los siguientes módulos de SSD:

    Llamada de Voz

    Cuando haces una llamada desde un teléfono fijo o desde un móvil, tu llamada no es cifrada de punto-a-punto. Si estás usando un teléfono móvil, tu llamada puede ser cifrada (de forma débil) entre tu equipo y las torres de telefonía celular. Sin embargo, como la comunicación está viajando a través de las redes telefónicas, las mismas se hacen vulnerables a interceptaciones por parte de la compañía telefónica, del mismo modo que es vulnerable frente a cualquiera otra rama del gobierno, organización, o institución que tenga poder sobre la compañía. La manera mas fácil de asegurarte que tienes el sistema de cifrado de punto-a-punto en una conversación de voz, es usando en su lugar, el sistema VoIP (Voz-sobre-el Protócolo de Internet).

    ¡Ten cuidado! Los proveedores mas populares de VoIP, tales como Skype y Google Hangouts, ofrecen transporte de cifrado que los atacantes que vigilan a escondidas no pueden oír, pero los mismos proveedores tienen la capacidad técnica de escuchar la conversación. Dependiendo de tu modelo de amenaza, esto podría ser o no un problema.

    Algunos de los servicios que ofrecen cifrado de punto-a-punto de llamadas VoIP incluyen:

    Para poder tener una conversación VoIP cifrada de punto-a-punto, ambos lados tienen que usar el mismo software o software compatible.

    Mensajes de Texto

    Los mensajes de texto estándar no permiten el cifrado de punto a punto. Si quieres enviar mensajes cifrados desde tu teléfono, piensa en utilizar un programa de mensajería instantánea cifrada en vez de mensajes de texto.

    Algunos de estos servicios de mensajería cifrada de punto a punto utilizan su propio protocolo. Por eso, por ejemplo, los usuarios de Signal sobre Android e iOS pueden chatear con seguridad con otras personas que utilizan esos programas. ChatSecure es una aplicación para móviles que encripta conversaciones con OTR sobre cualquier red que utilice XMPP, lo que implica que puedes elegir entre una variedad de servicios de mensajería instantánea independientes.

    Mensajes Instantáneos

    Los mensajes “Off-the-record", comúnmente llamado OTR, es un protócolo de cifrado de punto-a-punto para conversaciones de textos en tiempo real (al momento), el cual puedes usar sobre una variedad de servicios.

    Algunas de las plataformas que incorporan OTR con mensajes instantáneos incluyen:

    Email

    La mayoría de los proveedores de email proporcionan una forma de acceso a tu email usando un navegador de web, tales como Firefox o Chrome. De estos proveedores, la mayoría apoyan los protócolos HTTPS, o transporte de cifrado en capa (“transport-layer encryption”). Puedes saber si tu proveedor de email soporta HTTPS si ingresas a tu Webmail y el URL (en la parte superior de tu navegador) comienza con las letras “HTTPS” en vez de “HTTP” (por ejemplo: https://mail.google.com).

    Si tu proveedor permite HTTPS, pero no lo hace por defecto, trata de reemplazar HTTP con HTTPS en la URL , y actualiza la página. Si quieres estar seguro que siempre estás usando HTTPS en los sitios donde HTTPS esté disponible, baja el HTTPS Everywhere, un “plug-in” para el navegador de Firefox o Chrome.

    Algunos proveedores de webmail que usan HTTPS de manera estándar incluyen:

    • Gmail
    • Riseup
    • Yahoo

    Algunos de los proveedores de webmail que le dan la opción de escoger el uso de HTTPS de manera estándar en sus ajustes. El servicio mas popular que todavía lo ofrece es Hotmail.

    ¿Qué hace el protócolo de transporte de cifrado en capa (“transport-layer encryption”)? y ¿por qué podrías necesitar éste? HTTPS, es también denominado SSL o TLS, éste cifra tu comunicación, y de esa manera no puede ser leída por otras personas en tu red. Estos pueden incluir otras personas usando el mismo Wi-Fi en un aeropuerto o en un café, las otras personas en tu oficina o escuela, el administrador en tu ISP, crackers malignos, gobiernos, e oficiales del órden público.

    Un atacante puede fácilmente interceptar y leer las comunicaciones que envias sobre tu navegador web, incluyendo las páginas web que visitas y el contenido de tus emails, entradas de blog, y mensajes si usas HTTP en vez de HTTPS.

    HTTPS es el nivel mas básico de cifrado para tu navegador que le podríamos recomendar a todo el mundo. Es tan básico como el ponerse el cinturón de seguridad cuando manejas.

    Pero hay algunas cosas que el HTTPS no hace. Cuando envías un email usando HTTPS, tu proveedor de email también recibe una copia descifrada de tu comunicación. El gobierno y las fuerzas del orden público podrían tener acceso a esta información con una orden judicial, o una citación. En los Estados Unidos, la mayoría de proveedores de email tienen una política de privacidad que dice que ellos te notificaran cuando reciban una solicitud del gobierno para recolectar tus datos, siempre y cuando ellos estén legalmente permitidos, pero estas políticas son estrictamente voluntarias, y en mucho de los casos, los proveedores están legalmente impedidos de informarles a los usuarios sobre la petición de información.

    Algunos proveedores de email, tales como Google, Yahoo, y Microsoft, publican un reporte de transparencia, detallando el número de solicitudes por parte del gobierno para obtener información de sus usuarios, que país hizo la solicitud, y cuántas veces la compañía ha obedecido a las solicitudes, entregándoles la información.

    Si tu modelo de amenaza incluye algún gobierno o fuerza de orden público o tienes otras razones de querer estar seguro que tu proveedor de servicios de email no entregará tu información a una tercera persona, quizás quieras considerar usar cifrado de punto-a-punto para tus comunicaciones de email.

    PGP (o Pretty Good Privacy/Privacidad Muy Buena) es el estandar de seguridad de punto-a-punto para tu email. Usado correctamente, éste ofrece una protección muy fuerte para sus comunicaciones. Para detalles e instrucciones de cómo instalar y usar PGP para cifrar tu email, vea esta sección:

    ¿Qué es lo que un Cifrado de Punto-a-Punto No Hace?

    El cifrado de punto-a-punto solo protege el contenido de tu comunicación, no la veracidad de la misma. Este no protege tus metadata, la cual es otra cosa, incluyendo el asunto de tu email, o con quien te está comunicando y cuando.

    Los metadatos puede revelar información extremadamente sensible sobre tí inclusive cuando el contenido de tu comunicación se mantiene privada.

    Los metadatos de tus llamadas telefónicas pueden proporcionar información muy íntima y sensible. Por ejemplo:

    • Ellos pueden saber que llamaste a un servicio de sexo telefónico a las 2:24 am y habló por 18 minutos, pero no pueden saber que conversaste.
    • Ellos pueden saber que llamaste a una línea de prevención de suicidio desde el Puente Golden Gate, pero el tópico de la conversación se mantiene en secreto.
    • Ellos pueden saber que llamaste a un servicio de prueba para VIH, después a tu doctor, después a tu seguro de salud a la misma hora. Pero ellos no pueden saber que discutiste.
    • Ellos saben que recibiste una llamada desde la oficina local de la Asociación Nacional del Rifle (o su acrónimo en inglés NRA) mientras que ellos desarrollaban tu campaña sobre la legislatura de armas, y llamaste a tu senador y a tus representantes en el congreso inmediatamente después, pero el contenido de esas llamadas se mantienen privadas frente a la intrusión del gobierno.
    • Ellos saben que llamaste a un ginecólogo, hablaste por media hora, y luego llamaste a la oficina local de Planificación Familiar, pero nadie sabe que conversaste.

    Si estás llamando desde un celular, la información de tu localidad es metadatos. En el 2009, el político del Partido Verde en Alemania, Malte Spitz, demandó a la compañía Deutsche Telekom para forzarlos a que le entreguen los metadatos de tu teléfono por un período de seis meses, la cual hizo público en un periódico alemán. La visualización resultante demuestra en detalles la historia de los movimientos de Spitz.

    El proteger tus metadatos requiere que utilices otras herramientas, por ejemplo Tor, al mismo tiempo que utilizas el cifrado de punto-a-punto.

    Para un ejemplo de cómo Tor y HTTPS trabajan conjuntamente para proteger el contenido de tus comunicaciones y tus metadatos de una variedad de posibles atacantes, tal vez desee echar un vistazo a esta explicación.

    Última actualización: 
    12-01-2017
  • Manteniendo Tus Datos Seguros

    Si tiene un teléfono inteligente, un portátil o una tableta, lleva consigo una gran cantidad de datos en todo momento. Sus contactos sociales, comunicaciones privadas, documentos personales y fotos personales (muchos de los cuales tienen información confidencial de docenas, incluso miles de personas) son sólo algunos ejemplos de cosas que puede almacenar en sus dispositivos digitales. Debido a que almacenamos y transportamos tantos datos, puede ser difícil mantenerlos seguros, especialmente porque se los podemos quitar con relativa facilidad.

    Sus datos pueden ser confiscados en la frontera, arrebatados en la calle, o extraídos de su vivienda y copiados en segundos. Desafortunadamente, bloquear el dispositivo con contraseñas, números de identificación personal (PIN) o gestos puede que no proteja sus datos si el dispositivo mismo es confiscado. Es relativamente fácil evitar estos bloqueos porque los datos se almacenan en un formato de fácil lectura dentro del dispositivo. Un adversario sólo tendría que acceder directamente al almacenamiento para copiar o examinar sus datos sin su contraseña.

    Dicho esto, puede hacer que sea más difícil para aquellos que roban físicamente sus datos para desbloquear sus secretos. Estas son algunas maneras en las que puede ayudar a mantener sus datos seguros.

    Cifrar sus datos

    Si utiliza el cifrado, su adversario necesita tanto su dispositivo como su contraseña para descifrar los datos cifrados. Por lo tanto, lo más seguro es cifrar todos sus datos, no sólo unas pocas carpetas. La mayoría de los teléfonos inteligentes y ordenadores ofrecen un cifrado completo y completo del disco como opción.

    Para smartphones y tabletas:

    • Android ofrece cifrado de disco completo cuando configura el teléfono por primera vez en dispositivos nuevos, o en la configuración de "Seguridad" en dispositivos antiguos.
    • Los dispositivos Apple como el iPhone y el iPad lo describen como "Protección de datos" y lo activan si usted configura una contraseña.

    Para computadoras:

    • Apple proporciona una caracteristica incorporada de cifrado de disco completo en macOS llamada FileVault.  
    • Las distribuciones Linux normalmente ofrecen cifrado de disco completo al configurar su sistema por primera vez
    • Windows Vista o posteriores incluyen una función de cifrado de disco completo llamada BitLocker.

    El código de BitLocker es cerrado y patentado, lo que significa que es difícil para evaluadores externos determinar exactamente qué tan seguro es. El uso de BitLocker requiere que confíe en que Microsoft suministra un sistema de almacenamiento seguro sin vulnerabilidades ocultas. Por otro lado, si ya está usando Windows, ya está confiando en Microsoft en el mismo sentido. Si le preocupa la vigilancia de la clase de adversarios que podrían conocer o beneficiarse de una puerta trasera en Windows o BitLocker, considere un sistema operativo alternativo de código abierto como GNU/Linux o BSD, especialmente una versión que haya sido reforzada contra ataques de seguridad, como Tails o Qubes OS. Como alternativa, considere la posibilidad de instalar un software de cifrado de disco alternativo, Veracrypt, para cifrar tu disco duro.

    Recuerde: Cualquiera que sea el nombre de su dispositivo, el cifrado es sólo tan eficaz como su contraseña. Si un adversario tiene su dispositivo, tienen todo el tiempo del mundo para averiguar sus contraseñas. Una forma eficaz de crear una contraseña segura y recordable es usar un dado y una lista de palabras para elegir palabras al azar. Juntas, estas palabras forman su "frase de contraseña". Una "frase de contraseña" es un tipo de contraseña más larga para mayor seguridad. Para el cifrado del disco recomendamos seleccionar un mínimo de seis palabras. Compruebe nuestra guía Creando contraseñas seguras para más información.

    Puede que no sea realista aprender e introducir una frase de contraseña larga en su smartphone o dispositivo móvil. Por lo tanto, aunque el cifrado puede ser útil para evitar el acceso casual, debe preservar los datos verdaderamente confidenciales manteniéndolos ocultos al acceso físico de los adversarios o almacenados en un dispositivo mucho más seguro.

    Creando un dispositivo seguro

    Mantener un ambiente seguro puede ser difícil. En el mejor de los casos, debe cambiar las contraseñas, los hábitos y, quizás, el software que utiliza en el equipo o dispositivo principal. En el peor de los casos, debe pensar constantemente si está filtrando información confidencial o utilizando prácticas inseguras. Incluso cuando conoce los problemas, es posible que no pueda emplear soluciones porque a veces las personas con las que necesita comunicarse utilizan prácticas de seguridad digital inseguras. Por ejemplo, los compañeros de trabajo pueden querer que abra archivos adjuntos de correo electrónico de ellos, aunque sepa que sus adversarios podrían hacerse pasar por ellos y enviarle malware.

    Entonces, ¿cuál es la solución? Considere la posibilidad de acordonar datos y comunicaciones valiosos en un dispositivo más seguro. Puede usar el dispositivo seguro para mantener la copia principal de sus datos confidenciales. Utilice este dispositivo sólo de vez en cuando y, cuando lo haga, tenga mucho más cuidado con sus acciones. Si necesita abrir archivos adjuntos o utilizar software inseguro, hágalo en otro equipo.

    Una computadora extra y segura puede no ser una opción tan costosa como usted piensa. Un ordenador que se utiliza rara vez, y sólo ejecuta unos pocos programas, no necesita ser particularmente rápido o nuevo. Puede comprar un netbook más antiguo por una fracción del precio de un portátil o teléfono moderno. Las máquinas más viejas también tienen la ventaja de que el software seguro como Tails puede ser más propenso a trabajar con ellas que los modelos más nuevos.

    Al configurar un equipo seguro, ¿qué pasos puede seguir para hacerlo seguro?

    1. Mantenga su dispositivo bien oculto y no hable de su ubicación, en algún lugar en el que pueda saber si ha sido manipulado, por ejemplo, en un armario cerrado con llave.
    2. Cifre el disco duro de su ordenador con una contraseña segura para que, en caso de robo, los datos no puedan leerse sin la contraseña..
    3. Instale un sistema operativo centrado en la privacidad y la seguridad como Tails. Puede que no puedas (o quieras) usar un sistema operativo de código abierto en el trabajo diario, pero si sólo es necesario almacenar, editar y escribir mensajes de correo electrónico confidenciales o mensajes instantáneos desde este dispositivo seguro, Tails funcionará bien y los ajustes predeterminados de alta seguridad.
    4. Mantenga su dispositivo sin conexión. No es sorprendente que la mejor manera de protegerse de los ataques de Internet o de la vigilancia en línea sea no conectarse nunca a Internet. Puede asegurarse de que su dispositivo seguro nunca se conecte a una red local o Wifi y sólo copie archivos en el equipo utilizando medios físicos, como DVD o unidades USB. En el ámbito de la seguridad de las redes, esto se conoce como "brecha de aire" entre el ordenador y el resto del mundo. Aunque extremo, esto puede ser una opción si desea proteger los datos a los que rara vez accede, pero que nunca desea perder (como una clave de cifrado, una lista de contraseñas o una copia de seguridad de los datos privados de otra persona que se le han confiado). En la mayoría de estos casos, es posible que desee considerar simplemente tener un dispositivo de almacenamiento oculto, en lugar de un equipo completo. Una llave USB cifrada que se mantiene oculta de forma segura, por ejemplo, es probablemente tan útil (o tan inútil) como un ordenador completo desconectado de Internet..
    5. No inicie sesión en sus cuentas habituales. Si utiliza su dispositivo seguro para conectarse a Internet, cree cuentas web o de correo electrónico separadas que utilice para las comunicaciones desde este dispositivo y utilice Tor (consulte las guías para Linux, macOS, Windows) para mantener su dirección IP oculta a esos servicios. Si alguien está eligiendo atacar específicamente a su identidad con malware, o sólo está interceptando sus comunicaciones, cuentas separadas y Tor pueden ayudar a romper el vínculo entre su identidad, y esta máquina en particular.

    Si bien tener un dispositivo seguro que contiene información importante y confidencial puede ayudar a protegerla de los adversarios, también crea un objetivo obvio. También existe el riesgo de perder la única copia de sus datos si se destruye la máquina. Si su adversario se beneficiaría de que usted perdiera todos sus datos, no los mantenga en un solo lugar, no importa cuán seguros sean. Cifre una copia y guárdela en otro lugar.

    Una variante de la idea de una máquina segura es tener una máquina insegura: un dispositivo que sólo se usa cuando se entra en un lugar peligroso o se intenta realizar una operación arriesgada. Muchos periodistas y activistas, por ejemplo, llevan consigo un netbook básico cuando viajan. Esta computadora no tiene ninguno de sus documentos o información usual de contacto o correo electrónico, por lo que hay una pérdida mínima si es confiscada o escaneada. Puede aplicar la misma estrategia a los teléfonos móviles. Si por lo general utiliza un teléfono inteligente, considere la posibilidad de comprar un teléfono desechable o desechable barato cuando viaje para comunicaciones específicas.

    Última actualización: 
    28-06-2018
  • Cosas a Considerar al Cruzar la Frontera de los Estados Unidos

    ¿Está pensando cruzar la frontera hacia los Estados Unidos pronto? ¿Sabía que el gobierno de los EE.UU. tiene el derecho de registrar a los viajeros en la frontera sin necesidad de una orden judicial, incluso cuando aterrizan en los aeropuertos internacionales, como parte de su poder tradicional para controlar el flujo de artículos en el país? (Tenga en cuenta que si bien algunas de las mismas justificaciones legales existen para las búsquedas de los que abandonan los EE.UU. y que tales búsquedas son posibles, los viajeros no son registrados rutinariamente a la salida del país.)

    También puede revisar más profundamente el tema en Privacidad Digital en la Frontera de los Estados Unidos: Protección de los datos en sus dispositivos.

    Mientras tanto, aquí hay algunas sugerencias a tener en cuenta al cruzar la frontera de los Estados Unidos:

    Los agentes fronterizos pueden exigir sus datos digitales. Considere sus factores de riesgo individuales. Su estatus migratorio, su historial de viaje, la sensibilidad de sus datos y otros factores pueden influir en sus decisiones.

    Tenga en cuenta que las precauciones inusuales pueden hacer que los agentes fronterizos sospechen.

    • Realice copias de seguridad de sus dispositivos. Esto puede ayudar en el caso de que uno o más de sus dispositivos sean confiscados. Puede utilizar un servicio de copia de seguridad en línea o una unidad de disco duro externa, aunque no recomendamos llevar su portátil y su unidad de disco duro de copia de seguridad al mismo tiempo.
    • Reduzca la cantidad de datos que lleva al otro lado de la frontera. Considere viajar con una computadora portátil "limpia". Pero tenga en cuenta que el simple hecho de arrastrar archivos a la papelera no los elimina por completo. Asegúrese de eliminar sus archivos de forma segura. Considere dejar su teléfono móvil regular en casa y comprar un teléfono temporal y transferir su tarjeta SIM o conseguir un nuevo número cuando llegue a su destino.
    • Cifre sus dispositivos. Recomendamos utilizar cifrado de disco completo en sus dispositivos (portátiles, teléfonos móviles, etc.) y elegir frases de contraseña seguras.
    • Si un agente de fronteras le pide su contraseña, no está obligado a darsela. Sólo un juez puede obligarlo a revelar dicha información. Sin embargo, la negativa a cumplir podría acarrear consecuencias: para los no ciudadanos, se le puede negar la entrada al país; para los ciudadanos, su dispositivo puede ser confiscado o puede ser detenido durante varias horas.
    • Apague sus dispositivos antes de llegar a la frontera para bloquear ataques de alta tecnología.
    • No confíe en las huellas dactilares u otras cerraduras biométricas; son más débiles que las contraseñas.
    • Los agentes pueden obtener contenido en la nube en vivo o en caché de las aplicaciones y navegadores que tiene en su dispositivo. Considere cerrar la sesión, eliminar las credenciales de inicio de sesión guardadas o desinstalar.
    • Al tratar con los guardias fronterizos, recuerde estas tres cosas: Sea cortés, no mienta y no interfiera físicamente con la búsqueda del agente. Los agentes fronterizos tienen derecho a examinar los aspectos físicos de su dispositivo (por ejemplo, para asegurarse de que los medicamentos no estén almacenados en el compartimiento de la batería de una computadora portátil).

    ¿No está seguro de recordar estos consejos? Consulte La Guía de Búsqueda en la Frontera, de EFF, diseñada para ser impresa, doblada y llevada en su bolsillo mientras viaja.

    Última actualización: 
    16-05-2018
  • Escogiendo el VPN Apropiado Para Tí

    ¿Qué es un VPN? Una red privada virtual (VPN por las siglas en inglés de Virtual Private Network) es una tecnlogía que permite a la computadora enviar y recibir información a través de una red compartida o red pública como si estuviera directamente conectada a una red privada, beneficiándose de la funcionalidad, seguridad, y las políticas de administración de una red local.

    ¿Para Qué es Útil una VPN?

    Puedes utilizar una VPN para conectarte a una red corporativa en tu oficina mientras estás viajando, mientras estás en casa, o en cualquier otra situación en que te encuentres fuera de tu oficina.

    También puedes utilizar una VPN comercial para cifrar tu información mientras ésta viaja sobre una red pública, tales como una red Wi-Fi en un café Internet o en un hotel.

    Puedes utilizar una VPN comercial para evadir la censura en la Internet que bloquean ciertos sitios o servicios. Por ejemplo, algunas usuarias chinas utilizan una VPN comercial para entrar a sitios web bloqueados por aplicaciones del “Great Firewall.”

    También puedes conectar tu red casera utilizando tu propio servicio VPN, usando los softwares abiertos tales como OpenVPN.

    ¿Qué es lo Que Una VPN No Hace?

    Una VPN protege tu tráfico de la Internet de ser espiado en la red pública, pero no protege tu información de las personas que están utilizando la red privada que tú también estás utilizando. Si estás utilizando una VPN corporativa, entonces cualquiera que opere esta red podrá ver tu tráfico. Si estás usando una VPN comercial, cualquiera que esté utilizando esos servicios podrá ver tu tráfico.

    Un servicio VPN de dudosa reputación podría hacer esto deliberadamente, para recopilar información personal u otros datos valiosos.

    La persona encargada de tu VPN corporativa o comercial podría encontrarse, bajo presión del gobierno o cuerpo policial, obligada a entregar la información de tu información enviada sobre esta red de servicios. Deberías de revisar las reglas de privacidad de tu proveedor de servicios VPN para tener información sobre las circunstancias en las cuales ellos están obligados a entregar tu información al gobierno o cuerpo policial.

    También debes tomar nota de los países con los cuales tu proveedor VPN hace negocios. El proveedor estará sujeto a las leyes de aquellos países, las cuales podrán incluir las peticiónes legales para obtener tu información por parte de gobierno, y de otros países con los cuales tienen convenio para asistencia legal. En algunos casos, está permitido por ley realizar peticiones de acceso a tu información sin tu consentimiento o previo aviso.

    La mayoría de los servicios de VPNs comerciales requieren que pagues estos servicios utilizando una tarjeta de crédito, la cual incluye información sobre ti que quizás no quieres divulgar a tu proveedor de servicios VPN. Quizás prefieres utilizar un proveedor de VPN que acepta Bitcoin, o quisieras utilizar una tarjeta de crédito temporaria o desechable. Por favor, también ten presente que tu proveedor VPN podría recolectar tu dirección IP cuando utilices sus servicios, el cual podría ser utilizado para identificarte, inclusive utilizando estos métodos de pagos alternativos. Si tu preferirías esconder tu dirección IP de tu proveedor VPN, quizás preferirías utilizar Tor cuando se conecte a su VPN.

    Para obtener información sobre servicios VPN específicos, haga clic aquí

    Nosotros en EFF no garantizamos este listado de VPNs. Algunas VPN con políticas de privacidad ejemplares podrían ser dirigidas por personas tortuosas. No uses una VPN en la que no confíes.

    Última actualización: 
    09-06-2016
Next:
JavaScript license information