Surveillance
Self-Defense

¿Jóven del LGBTQ?

  • ¿Jóven del LGBTQ?

    Consejos y herramientas para ayudarte a acceder los recursos LGBTQ, navegar por las redes sociales, y evitar fisgones de formas más seguras

    Si careces de apoyo adecuado y acceso a los recursos LGBTQ, esta guía te enseña a explorar esos recursos en línea de una manera más segura para ayudar a evitar salida accidental a tus compañeros, familiares o anunciantes en línea como resultado de monitoreo en línea o entrometidos.

  • Eligiendo Tus Herramientas

    Todas las herramientas digitales, ya sean hardware o software, deben ser seguras. Es decir, deben protegerte de la vigilancia y evitar que tu dispositivo sea controlado por otros. Lamentablemente, este no es el caso actual. Para muchas actividades digitales, puedes terminar necesitando programas dedicados o equipos destinados a proveer funciones de seguridad específicas. Algunos ejemplos que utilizamos en esta guía incluyen un programa que te permite cifrar tus mensajes o archivos, como PGP.

    Pero dado el gran número de empresas y sitios web que ofrecen programas o hardware seguros, ¿cómo elegir el más adecuado para tí?

    La Seguridad es un Proceso, no una Compra

    Antes de pensar en cambiar el programa que utilizas o comprar nuevas herramientas debes primero recordar que no existe una herramienta que te otorgue una protección absoluta frente a la vigilancia y en todos los casos. El uso de software cifrado generalmente dificulta que otros lean tus comunicaciones o hurguen en tus archivos digitales. Pero quienes atacan tu seguridad digital siempre buscarán el elemento más débil de tus prácticas de seguridad. Cuando utilizas una nueva herramienta segura, debes pensar en cómo su uso podría afectarte y en qué otras formas podría convertirte en blanco. Por ejemplo, tal vez decides utilizar un programa de mensajes de texto seguro al hablar con tu contacto porque sabes que tu teléfono podría verse comprometido. Entonces, en primer lugar, debes preguntarte: ¿podría este hecho (usar un programa seguro) revelar a tu adversario que estás transmitiendo información confidencial?

    En segundo lugar, recuerda tu modelo de amenazas. No necesitas comprar un sistema de telefonía cifrado caro que dice ser "a prueba de la NSA" si tu mayor amenaza es la vigilancia física de un investigador privado sin acceso a las herramientas de vigilancia digitales. Alternativamente, si estás enfrentando un gobierno que encarcela a los disidentes regularmente porque utilizan herramientas de cifrado, tiene entonces sentido usar trucos más simples - como un conjunto de códigos preestablecidos-, en lugar de arriesgarte a dejar en evidencia que utilizas un programa de cifrado en tu computadora portátil.

    Teniendo en cuenta todo eso, he aquí algunas preguntas que puedes realizarte acerca de una herramienta antes de descargarla, comprarla, o usarla.

    ¿Qué Tan Transparente Es?

    A pesar de que la seguridad digital parece ser sobre todo acerca de tener secretos, hay una fuerte creencia entre los investigadores de seguridad que la apertura y la transparencia conducen a herramientas más seguras. Gran parte de los programas utilizados y recomendados por la comunidad de seguridad digital es gratuito y de código abierto, lo que quiere decir que el código (que define la forma en la cual funciona el programa) es de acceso libre y público, permitiendo que otros puedan examinarlo, modificarlo y compartirlo. Al ser transparentes acerca de cómo funciona el programa, los creadores de estas herramientas invitan a otros desarrolladores a buscar fallas de seguridad, y ayudar así a mejorar el programa.

    El Software Libre ofrece la oportunidad de una mejor seguridad, pero no la garantiza. La ventaja de código abierto se basa, en parte, en contar con una comunidad de tecnólogos que comprueben efectivamente el código, una tarea que para pequeños proyectos (e incluso para los complejos, populares) puede ser difícil de lograr. Cuando estés considerando el uso de una herramienta, debes comprobar si el código fuente está disponible, y si tiene una auditoría de seguridad independiente para confirmar la calidad de su seguridad. Por lo menos, el software o el hardware deben tener una explicación técnica detallada de cómo funciona, para que otros expertos puedan inspeccionarla.

    ¿Cuán Claros Son Los Creadores Acerca De Las Ventajas y Desventajas?

    Ningún programa ni hardware es totalmente seguro. Cuando un creador o vendedor es honesto acerca de las limitaciones de su producto, te dará una idea mucho más sólida si su aplicación es adecuada para tí. Cuando un producto anuncia despreocupadamente que su código es "de nivel militar" o a "prueba de la NSA"; suelen representar una advertencia clara de cuán confiados son sus creadores o que no quieren considerar los posibles fallos en su producto.

    Debido a que los atacantes están intentando descubrir nuevas maneras de romper la seguridad de herramientas de software y hardware, éstas necesitan ser actualizadas continuamente para corregir nuevas vulnerabilidades. Si los creadores de una herramienta no están dispuestos a hacerlo, ya sea por temor a la mala publicidad, o porque no poseen la infraestructura para corregir problemas, su uso puede constituir a mediano plazo un problema grave de seguridad.

    No se puede predecir el futuro, pero un buen indicador de cómo los fabricantes de herramientas se comportarán en el futuro es su actividad pasada. Si el sitio web de la herramienta tiene una sección con enlaces a actualizaciones regulares e información - como, siendo claros, cuánto tiempo ha pasado desde que el software fue actualizado por última vez - puedes estar más seguro que van a seguir prestando este servicio en el futuro.

    ¿Qué Sucede si los Creadores se Ven Comprometidos?

    Los fabricantes de herramientas de seguridad - sea tanto software como hardware - deben tener un modelo de amenaza clara. Los mejores creadores describirán explícitamente en su documentación frente a qué tipo de atacantes pueden protegerte más eficientemente.

    Pero hay un atacante en el que muchos fabricantes no quieren pensar: ¿Si ellos mismos se ven comprometidos o deciden atacar a sus propios usuarios?. Por ejemplo, si un tribunal o gobierno obliga a una empresa a ceder los datos personales o a crear una "puerta trasera" que eliminará todas las protecciones de la herramienta ofrece. Es posible que desees considerar la jurisdicción (es) donde los fabricantes se basan. Si tu amenaza proviene del gobierno de Irán, por ejemplo, una empresa con sede en los Estados Unidos será capaz de resistir a las órdenes judiciales iraníes, incluso si debe cumplir con las órdenes de EE.UU.

    Incluso si un creador es capaz de resistir la presión del gobierno, un atacante puede intentar conseguir el mismo resultado irrumpiendo en los mismos sistemas de los fabricantes de herramientas con el fin de atacar a sus clientes.

    Las herramientas más resistentes son las que consideran ésto como un posible ataque, y están diseñadas para defenderse contra ellos. Busca frases en la licencia que aseguren que un creador no puede acceder a los datos privados, en lugar de promesas de que un creador no lo hará. Busca instituciones con fama de luchar contra las órdenes judiciales para proteger los datos personales.

    Busca Reseñas y Críticas en la Red

    Por supuesto, las empresas que venden productos y la publicidad entusiasta de la última versión de software puede inducir a error, ser engañosa o incluso una completa mentira. Podrías, a futuro, descubrir terribles fallas de seguridad en un producto, que originalmente era seguro. Asegúrate de estar bien informada sobre las últimas noticias acerca de las herramientas que utilizas.

    ¿Conoces a Otros Que Utilizan la Misma Herramienta?

    Mantenerse al día con las últimas noticias de una herramienta en particular es un trabajo enorme para una sola persona, si tienes colegas que usan un producto o servicio en particular, trabaja con ellos para estar al tanto de lo que está pasando.

    Productos Mencionados en Esta Guía

    Tratamos de asegurar que el software y el hardware que mencionamos en esta guía cumple con los criterios que hemos enumerado más arriba: hemos hecho un esfuerzo de buena fe para sólo listar los productos que tienen una base sólida en lo que actualmente sabemos sobre seguridad digital, y que son - generalmente - transparentes sobre su funcionamiento (y sus fallos), tienen defensas contra la posibilidad de que los propios creadores se vean comprometidos, y también son actualmente mantenidos. Además cuentan con una base de usuarios grande y técnicamente bien informada. Creemos que ellos tienen, al momento de escribir esta guía, la atención de una amplia audiencia que los están investigando en busca de fallos, y expondría cualquier problema al público rápidamente. Por favor, entienda que no tenemos los recursos para examinar o brindar garantías independientes acerca de su seguridad, no estamos apoyando estos productos y no podemos garantizar competencia en cuanto seguridad.

    ¿Qué Teléfono Debo Comprar? ¿Qué Equipo?

    Una de las preguntas más frecuentes que reciben los capacitadores en seguridad es "¿Debo comprar Android o un iPhone?" O "¿Debo usar un PC o un Mac?" O "¿Qué sistema operativo debo usar?." No hay respuestas simples a estas preguntas. La seguridad relativa del software y los dispositivos cambia constantemente, a medida que se descubren nuevos defectos y errores viejos son resueltos. Las empresas pueden competir entre sí para ofrecerle una mejor seguridad, o al mismo tiempo, todas pueden estar bajo la presión de los gobiernos para debilitarla.

    Sin embargo, algunas recomendaciones generales son casi siempre correctas. Cuando compres un dispositivo o un sistema operativo, mantente al corriente respecto a las actualizaciones de software. Las actualizaciones suelen solucionar problemas de seguridad en código antiguo que los ataques pueden explotar. Los teléfonos y los sistemas operativos más antiguos ya no tienen soporte ni actualizaciones de seguridad. En particular, Microsoft ha dejado claro que Windows XP y versiones anteriores de Windows no recibirán correcciones, incluso para los problemas de seguridad graves. Si utiliza XP, no puede esperar que sea seguro contra atacantes. (Lo mismo se aplica a las versiones de OS X anteriores a 10.7.5 o "Lion").

    Última actualización: 
    2014-11-04
  • Protegiéndote en las Redes Sociales

    Las redes sociales son algunas de las herramientas y sitios web más populares que utilizamos en Internet. Facebook, Google+ y Twitter tienen cientos de millones de usuarios cada uno.

    A menudo las redes sociales se basan en la idea de compartir mensajes, fotografías e información personal. Sin embargo, también se han convertido en foros para la organización y el discurso, gran parte de los cuales se basan en la privacidad y los seudónimos. Por lo tanto, las siguientes preguntas son importantes a considerar al usar las redes sociales: ¿Cómo puedes interactuar con estos sitios protegiendo al mismo tiempo tu privacidad? ¿Tu identidad? ¿Tus contactos y asociaciones? ¿Qué información quieres mantener en privado? y ¿De quién la quieres mantener en privado?

    Dependiendo de las circunstancias, puede que tengas que protegerte contra el propio sitio de redes sociales, de otros usuarios del sitio o ambas cosas.

    Estos son algunos consejos a tener en cuenta cuando estás configurando tu cuenta:

    Registrarse en una Red Social

    • ¿Quiéres usar tu nombre real? Algunos sitios de redes sociales usan las denominadas "políticas de nombre verdadero," pero éstas se han vuelto más laxa con el tiempo. Si no deseas utilizar tu nombre real al registrarse en un sitio de redes sociales, no lo hagas.
    • Al registrarte no proporciones más información que la necesaria. Si te preocupa esconder tu identidad, usa una dirección de correo electrónico diferente. Ten en cuenta que tu dirección IP puede quedar registratada.
    • Elije una contraseña sólida y, si es posible, habilita la autenticación de dos factores.
    • Cuidado con las preguntas de recuperación de contraseñas cuyas respuestas pueden ser extraídos de la información publicada en redes sociales. Por ejemplo: "¿En qué ciudad nací" o "¿Cuál es el nombre de tu mascota". Es posible que desees elegir respuestas de recuperación de contraseñas que son falsas. Una buena manera de recordar las respuestas a las preguntas de recuperación de contraseña, sobre todo si eliges usar respuesta falsa para mayor seguridad, es tomar nota de tus respuestas elegidas en una billetera segura.

    Revise la Política de Privacidad de la Red Social

    Recuerde que la información almacenada por terceros está sujeto a sus propias políticas y puede ser utilizado con fines comerciales o compartida con otras empresas, por ejemplo, empresas de marketing. Sabemos que la lectura de las políticas de privacidad es una tarea casi imposible, pero puede que desee echar un vistazo a las secciones sobre cómo se utiliza su información, cuando se comparte con terceros, y cómo el servicio responde a las solicitudes de aplicación de la ley.

    Las redes sociales, por lo general con fines de lucro, a menudo recopilan información sensible más allá de lo que ingresas de forma explícita - ¿dónde te encuentras?, ¿qué intereses? y ¿a qué anuncios reaccionas?, ¿qué otros sitios has visitado (por ejemplo, a través de los botones "me gusta"). Puede ser útil bloquear las cookies de terceros y utilizar las extensiones del navegador de bloqueo de seguimiento para asegurarte que la información no se transmite pasivamente a terceros.

    Algunos sitios de redes sociales, como Facebook y Twitter, tienen relaciones de negocios con agentes de datos con el fin de dirigir la publicidad más efectivamente. EFF cuenta con guías que le señalaran cómo darte de baja de estos sistemas de seguimiento:

    Cambia la Configuración de Privacidad

    En concreto, cambiar los ajustes predeterminados. Por ejemplo, ¿deseas compartir tus mensajes con el público o sólo con un grupo específico de personas? ¿debería la gente ser capaz de encontrar tu dirección de correo electrónico o número de teléfono? ¿quiéres que tu ubicación se comparta de forma automática?

    Recuerda, las configuraciones de privacidad están sujetas a cambios. A veces, estas configuraciones de privacidad se vuelven más fuertes y más granulares; a veces no. Asegúrate de prestar atención a estos cambios muy de cerca para ver sí la información que antes era privada será compartida o si ninguna configuración adicional te permitirá tener más control sobre tu privacidad.

    Tus Gráficos Sociales

    Recuerda que no eres la única persona que puede revelar datos potencialmente sensibles acerca de tí. Tus amigos pueden etiquetarte en fotos, informar tu ubicación e identificar tus conexiones públicas en una variedad de maneras. Se puede tener la opción de desetiquetarte de estos mensajes, pero la privacidad no funciona de manera retroactiva. Puedes hablar con tus amigos acerca de lo que haces pero quizás si te sientas incómodo compartiendo tu información personal con el público en general.

    Última actualización: 
    2014-10-17
  • Evaluando tus riesgos

    Intentar proteger todos sus datos de todo el mundo, todo el tiempo, es poco práctico y agotador. ¡Pero no tengas miedo! La seguridad es un proceso, y a través de una planificación cuidadosa, puede evaluar lo apropiado para usted. La seguridad no se trata de las herramientas que usa o del software que descarga. Comienza con la comprensión de las amenazas únicas que enfrenta y cómo puede contrarrestar esas amenazas.

    En seguridad informática, una amenaza es un evento potencial capaz de socavar cualquier esfuerzo para defender sus datos. Puede contrarrestar las amenazas que afronta determinando lo que necesita proteger y de quien necesita protegerlo. Este proceso se llama "modelado de amenazas".

    Esta guía le enseñará cómo modelar la amenaza, o cómo evaluar los riesgos para su información digital y cómo determinar qué soluciones son las mejores para usted.

    ¿Cómo podría lucir este  modelo de amenazas? Digamos que usted quiere mantener su casa y sus posesiones seguras, aquí hay algunas preguntas que se podría hacer:

    ¿Qué tengo dentro de mi casa que valga la pena proteger?

    • Los activos incluirían: joyas, electrónica, documentos financieros, pasaportes o fotos

    ¿De quién lo quieres proteger?

    • Los adversarios podrían incluir: ladrones, compañeros de habitación o invitados

    ¿Cuán probable es que necesites protegerlo?

    • ¿Mi barrio tiene un historial de robos? ¿Qué tan confiables son mis compañeros de cuarto/invitados? ¿Cuáles son las capacidades de mis adversarios? ¿Cuáles son los riesgos que debo considerar?

    ¿Cuán destructivas pueden ser las consecuencias si fallas?

    • ¿Tengo algo en mi casa que no pueda reemplazar? ¿Tengo tiempo o dinero para reemplazar estas cosas? ¿Tengo un seguro que cubra el robo de bienes de mi casa?

    ¿Cuánto esfuerzo estás dispuesta a hacer para prevenirlas?

    •  ¿Estoy dispuesto a comprar una caja fuerte para documentos sensibles? ¿Puedo comprar una cerradura de alta calidad? ¿Tengo tiempo para abrir una caja de seguridad en mi banco local y guardar mis objetos de valor?

    Una vez que se ha hecho estas preguntas,  está en posición de poder evaluar qué medidas tomar. Si sus posesiones son valiosas, pero el riesgo de un robo es bajo, entonces usted puede no desear invertir demasiado dinero en una cerradura. Pero, si el riesgo es alto, usted querrá conseguir la mejor disponible en el mercado y considerar sumarle un sistema de seguridad.

    La construcción de un modelo de amenaza  ayuda a comprender las amenazas únicas a las que se enfrenta, sus activos, su adversario, sus capacidades y la probabilidad de riesgos a los que se enfrenta.

    ¿Qué es el modelado de amenazas y por dónde empiezo?

    El modelado de amenazas le ayuda a identificar amenazas a las cosas que usted valora y determina de quién necesita protegerlas. Cuando construya un modelo de amenaza, responda a estas cinco preguntas:

    1. ¿Qué es lo que quieres proteger?
    2. ¿De quién lo quieres proteger?
    3. ¿Cuán probable es que necesites protegerlo?
    4. ¿Cuán destructivas pueden ser las consecuencias si fallas?
    5. ¿Cuánto esfuerzo estás dispuesta a hacer para prevenirlas?

    Miremos estas preguntas más de cerca

    ¿Qué quiero proteger?

    Un "activo o acción" es algo que valoras y quieres proteger. En el contexto de la seguridad digital, un activo suele ser algún tipo de información. Por ejemplo, sus correos electrónicos, listas de contactos, mensajes instantáneos, ubicación y archivos son todos los activos posibles. Sus dispositivos también pueden ser activos.

    Haga una lista de sus activos: datos que guarda, donde se guarda, quién tiene acceso a él y qué impide que otros accedan a él.

    ¿De quién quiero protegerlo?

    Para responder a esta pregunta, es importante identificar quién podría querer acceder a usted o a su información. Una persona o entidad que represente una amenaza para sus activos es un "adversario". Ejemplos de adversarios potenciales son su jefe, su ex pareja, su competencia empresarial, su gobierno o un hacker en una red pública.

    Haga una lista de sus adversarios, o de aquellos que puedan querer obtener sus bienes. Su lista puede incluir individuos, una agencia gubernamental, o corporaciones.

    Dependiendo de quiénes son sus adversarios, en algunas circunstancias, esta lista podría ser algo que desee destruir después de terminar de modelar la amenaza.

    ¿Qué tan malas son las consecuencias en caso de fallo?

    Hay muchas maneras en que un adversario puede amenazar su información. Por ejemplo, un adversario puede leer sus comunicaciones privadas a medida que pasan a través de la red o pueden eliminar o dañar sus datos.

    Los motivos de los adversarios difieren mucho, al igual que sus ataques. A un gobierno deseoso de evitar la difusión de un video demuestrando violencia policial puede bastarle simplemente con borrar o reducir la disponibilidad de ese video. En contraste, un oponente político puede desear tener acceso a contenido secreto y publicar ese contenido a sus espaldas.

    El modelado de amenazas implica entender cuán malas podrían ser las consecuencias si un adversario ataca con éxito uno de sus activos. Para determinarlo, debe considerar la capacidad de su adversario. Por ejemplo, su proveedor de telefonía móvil tiene acceso a todos sus registros telefónicos y por lo tanto tiene la capacidad de utilizar esos datos en su contra. Un hacker en una red Wi-Fi abierta puede acceder a sus comunicaciones sin cifrar. Su gobierno podría tener capacidades más fuertes.

    Anote lo que su adversario podría querer hacer con sus datos privados.

    ¿Qué tan probable es que necesite protegerlo?

    El riesgo es la probabilidad de que ocurra una amenaza particular contra un activo particular. Va de la mano con la capacidad. Aunque su proveedor de telefonía móvil tiene la capacidad de acceder a todos sus datos, el riesgo de que publiquen sus datos privados en línea para dañar su reputación es bajo.

    Es importante distinguir entre amenazas y riesgos. Si bien una amenaza es algo malo que puede suceder, el riesgo es la probabilidad de que ocurra la amenaza. Por ejemplo, existe la amenaza de que su edificio se derrumbe, pero el riesgo de que esto suceda es mucho mayor en San Francisco (donde los terremotos son comunes) que en Estocolmo (donde no lo son).

    Realizar un análisis de riesgo es un proceso personal y subjetivo; no todo el mundo tiene las mismas prioridades o ve amenazas de la misma manera. Muchas personas encuentran ciertas amenazas inaceptables sin importar el riesgo, porque la mera presencia de la amenaza en cualquier probabilidad no vale la pena el costo. En otros casos, las personas no tienen en cuenta los riesgos elevados porque no ven la amenaza como un problema.

    Tome nota de las amenazas que va a tomar en serio, y de aquellas que puedan ser demasiado raras o inofensivas (o demasiado difíciles de combatir) para preocuparse.

    ¿Cuánto problemas estoy dispuesto a afrontar para prevenir posibles consecuencias?

    Responder a esta pregunta requiere llevar a cabo el análisis de riesgo. No todo el mundo tiene las mismas prioridades o ve las amenazas de la misma forma.

    Por ejemplo, un abogado que representa a un cliente en un caso de seguridad nacional probablemente estaría dispuesto a ir más lejos para proteger las comunicaciones sobre ese caso, como usar un correo electrónico cifrado, que una madre que regularmente envía correos electrónicos a su hija.

    Escriba las opciones que tiene disponibles para ayudar a mitigar sus amenazas únicas. Tenga en cuenta si tiene restricciones financieras, restricciones técnicas o restricciones sociales.

    El modelado de amenazas como práctica regular

    Tenga en cuenta que su modelo de amenaza puede cambiar mientras cambia su situación. Por lo tanto, realizar evaluaciones frecuentes de modelos de amenazas es una buena práctica.

    Cree su propio modelo de amenaza basado en su propia y particular situación. A continuación, marque su calendario para una fecha en el futuro. Esto le pedirá que revise su modelo de amenaza y vuelva a comprobar si sigue siendo relevante en su caso.

    Última actualización: 
    2017-09-07
  • Comunicándote Con Otros

    Las redes de telecomunicación y el Internet han hecho la comunicación con otros mas fácil que nunca, sin embargo, han hecho la vigilancia mas prevalente en la historia de la humanidad. Sin tomar pasos extras para proteger tu privacidad, cada llamada telefónica, cada mensaje de texto, email, mensaje instantáneo, llamada de voz sobre IP (VoIP), video charla, y mensaje en la red social podrían ser vulnerables a la escucha secreta.

    Muchas veces la mejor manera de comunicarte con otros es en persona, sin involucrar computadoras o teléfonos. Sin embargo, ello no es siempre posible. Si necesitas proteger el contenido de tu comunicación, el otro medio preferido para comunicarte a través de una red es el uso del cifrado de punto-a-punto (“end-to-end encryption”)

    ¿Cómo Trabaja el Cifrado de Punto-a-Punto?

    Cuando dos personas quieren comunicarse de manera segura (por ejemplo, Akiko y Boris) ambos necesitan generar una llave de cifrado. Antes que Akiko envíe un mensaje a Boris, ella cifra su mensaje con la llave de Boris; así solo Boris podrá descifrarlo. De esta forma, lo que Akiko hará es enviar el mensaje ya cifrado vía Internet. Si alguien está escuchando a escondidas a Akiko y Boris-- inclusive sí el atacante tiene acceso a los servicios que Akiko está usando para enviar sus mensajes (tales como su cuenta de email)--los atacantes sólo podrán ver la información cifrada y no podrán leer el mensaje. Cuando Boris reciba el mensaje, él debe de usar su llave de cifrado para descifrar el mensaje y hacerlo legible.

    El cifrado de punto-a-punto involucra algunos esfuerzos adicionales, pero estos son la única manera para que el usuario puede verificar la seguridad de sus comunicaciones sin tener que confiar en la plataforma que ambos están usando. Algunos servicios como Skype dicen que ofrecen al público servicios de cifrado de punto-a-punto cuando en la realidad ellos no los ofrecen. Para que un cifrado de punto-a-punto sea seguro, los usuarios deben poder verificar que la llave cifrada, a la que ellos están enviando el mensaje cifrado, pertenece a la persona que ellos creen le pertenece. Si el software no lleva esa funcionalidad construida dentro de sí mismo, entonces cualquier mensaje cifrado podría ser interceptado por el mismo proveedor de servicio, de hecho ellos están obligados hacerlo, por ejemplo si el gobierno se lo requiere.

    Puedes leer el reporte de La Fundación de Libertad de Prensa (Freedom of the Press Foundation's whitepaper), Encryption Works para detalles e instrucciones de como usar cifrado de punto-a-punto para proteger mensajes instantáneos y email. Asegúrate de mirar también los siguientes módulos de SSD:

    Llamada de Voz

    Cuando haces una llamada desde un teléfono fijo o desde un móvil, tu llamada no es cifrada de punto-a-punto. Si estás usando un teléfono móvil, tu llamada puede ser cifrada (de forma débil) entre tu equipo y las torres de telefonía celular. Sin embargo, como la comunicación está viajando a través de las redes telefónicas, las mismas se hacen vulnerables a interceptaciones por parte de la compañía telefónica, del mismo modo que es vulnerable frente a cualquiera otra rama del gobierno, organización, o institución que tenga poder sobre la compañía. La manera mas fácil de asegurarte que tienes el sistema de cifrado de punto-a-punto en una conversación de voz, es usando en su lugar, el sistema VoIP (Voz-sobre-el Protócolo de Internet).

    ¡Ten cuidado! Los proveedores mas populares de VoIP, tales como Skype y Google Hangouts, ofrecen transporte de cifrado que los atacantes que vigilan a escondidas no pueden oír, pero los mismos proveedores tienen la capacidad técnica de escuchar la conversación. Dependiendo de tu modelo de amenaza, esto podría ser o no un problema.

    Algunos de los servicios que ofrecen cifrado de punto-a-punto de llamadas VoIP incluyen:

    Para poder tener una conversación VoIP cifrada de punto-a-punto, ambos lados tienen que usar el mismo software o software compatible.

    Mensajes de Texto

    Los mensajes de texto estándar no permiten el cifrado de punto a punto. Si quieres enviar mensajes cifrados desde tu teléfono, piensa en utilizar un programa de mensajería instantánea cifrada en vez de mensajes de texto.

    Algunos de estos servicios de mensajería cifrada de punto a punto utilizan su propio protocolo. Por eso, por ejemplo, los usuarios de Signal sobre Android e iOS pueden chatear con seguridad con otras personas que utilizan esos programas. ChatSecure es una aplicación para móviles que encripta conversaciones con OTR sobre cualquier red que utilice XMPP, lo que implica que puedes elegir entre una variedad de servicios de mensajería instantánea independientes.

    Mensajes Instantáneos

    Los mensajes “Off-the-record", comúnmente llamado OTR, es un protócolo de cifrado de punto-a-punto para conversaciones de textos en tiempo real (al momento), el cual puedes usar sobre una variedad de servicios.

    Algunas de las plataformas que incorporan OTR con mensajes instantáneos incluyen:

    Email

    La mayoría de los proveedores de email proporcionan una forma de acceso a tu email usando un navegador de web, tales como Firefox o Chrome. De estos proveedores, la mayoría apoyan los protócolos HTTPS, o transporte de cifrado en capa (“transport-layer encryption”). Puedes saber si tu proveedor de email soporta HTTPS si ingresas a tu Webmail y el URL (en la parte superior de tu navegador) comienza con las letras “HTTPS” en vez de “HTTP” (por ejemplo: https://mail.google.com).

    Si tu proveedor permite HTTPS, pero no lo hace por defecto, trata de reemplazar HTTP con HTTPS en la URL , y actualiza la página. Si quieres estar seguro que siempre estás usando HTTPS en los sitios donde HTTPS esté disponible, baja el HTTPS Everywhere, un “plug-in” para el navegador de Firefox o Chrome.

    Algunos proveedores de webmail que usan HTTPS de manera estándar incluyen:

    • Gmail
    • Riseup
    • Yahoo

    Algunos de los proveedores de webmail que le dan la opción de escoger el uso de HTTPS de manera estándar en sus ajustes. El servicio mas popular que todavía lo ofrece es Hotmail.

    ¿Qué hace el protócolo de transporte de cifrado en capa (“transport-layer encryption”)? y ¿por qué podrías necesitar éste? HTTPS, es también denominado SSL o TLS, éste cifra tu comunicación, y de esa manera no puede ser leída por otras personas en tu red. Estos pueden incluir otras personas usando el mismo Wi-Fi en un aeropuerto o en un café, las otras personas en tu oficina o escuela, el administrador en tu ISP, crackers malignos, gobiernos, e oficiales del órden público.

    Un atacante puede fácilmente interceptar y leer las comunicaciones que envias sobre tu navegador web, incluyendo las páginas web que visitas y el contenido de tus emails, entradas de blog, y mensajes si usas HTTP en vez de HTTPS.

    HTTPS es el nivel mas básico de cifrado para tu navegador que le podríamos recomendar a todo el mundo. Es tan básico como el ponerse el cinturón de seguridad cuando manejas.

    Pero hay algunas cosas que el HTTPS no hace. Cuando envías un email usando HTTPS, tu proveedor de email también recibe una copia descifrada de tu comunicación. El gobierno y las fuerzas del orden público podrían tener acceso a esta información con una orden judicial, o una citación. En los Estados Unidos, la mayoría de proveedores de email tienen una política de privacidad que dice que ellos te notificaran cuando reciban una solicitud del gobierno para recolectar tus datos, siempre y cuando ellos estén legalmente permitidos, pero estas políticas son estrictamente voluntarias, y en mucho de los casos, los proveedores están legalmente impedidos de informarles a los usuarios sobre la petición de información.

    Algunos proveedores de email, tales como Google, Yahoo, y Microsoft, publican un reporte de transparencia, detallando el número de solicitudes por parte del gobierno para obtener información de sus usuarios, que país hizo la solicitud, y cuántas veces la compañía ha obedecido a las solicitudes, entregándoles la información.

    Si tu modelo de amenaza incluye algún gobierno o fuerza de orden público o tienes otras razones de querer estar seguro que tu proveedor de servicios de email no entregará tu información a una tercera persona, quizás quieras considerar usar cifrado de punto-a-punto para tus comunicaciones de email.

    PGP (o Pretty Good Privacy/Privacidad Muy Buena) es el estandar de seguridad de punto-a-punto para tu email. Usado correctamente, éste ofrece una protección muy fuerte para sus comunicaciones. Para detalles e instrucciones de cómo instalar y usar PGP para cifrar tu email, vea esta sección:

    ¿Qué es lo que un Cifrado de Punto-a-Punto No Hace?

    El cifrado de punto-a-punto solo protege el contenido de tu comunicación, no la veracidad de la misma. Este no protege tus metadata, la cual es otra cosa, incluyendo el asunto de tu email, o con quien te está comunicando y cuando.

    Los metadatos puede revelar información extremadamente sensible sobre tí inclusive cuando el contenido de tu comunicación se mantiene privada.

    Los metadatos de tus llamadas telefónicas pueden proporcionar información muy íntima y sensible. Por ejemplo:

    • Ellos pueden saber que llamaste a un servicio de sexo telefónico a las 2:24 am y habló por 18 minutos, pero no pueden saber que conversaste.
    • Ellos pueden saber que llamaste a una línea de prevención de suicidio desde el Puente Golden Gate, pero el tópico de la conversación se mantiene en secreto.
    • Ellos pueden saber que llamaste a un servicio de prueba para VIH, después a tu doctor, después a tu seguro de salud a la misma hora. Pero ellos no pueden saber que discutiste.
    • Ellos saben que recibiste una llamada desde la oficina local de la Asociación Nacional del Rifle (o su acrónimo en inglés NRA) mientras que ellos desarrollaban tu campaña sobre la legislatura de armas, y llamaste a tu senador y a tus representantes en el congreso inmediatamente después, pero el contenido de esas llamadas se mantienen privadas frente a la intrusión del gobierno.
    • Ellos saben que llamaste a un ginecólogo, hablaste por media hora, y luego llamaste a la oficina local de Planificación Familiar, pero nadie sabe que conversaste.

    Si estás llamando desde un celular, la información de tu localidad es metadatos. En el 2009, el político del Partido Verde en Alemania, Malte Spitz, demandó a la compañía Deutsche Telekom para forzarlos a que le entreguen los metadatos de tu teléfono por un período de seis meses, la cual hizo público en un periódico alemán. La visualización resultante demuestra en detalles la historia de los movimientos de Spitz.

    El proteger tus metadatos requiere que utilices otras herramientas, por ejemplo Tor, al mismo tiempo que utilizas el cifrado de punto-a-punto.

    Para un ejemplo de cómo Tor y HTTPS trabajan conjuntamente para proteger el contenido de tus comunicaciones y tus metadatos de una variedad de posibles atacantes, tal vez desee echar un vistazo a esta explicación.

    Última actualización: 
    2017-01-12
  • Creando Contraseñas Seguras

    Creando contraseñas seguras usando administradores de contraseñas

    Reutilizar contraseñas es una práctica de seguridad excepcionalmente mala. Si un mal actor obtiene una contraseña que ha reutilizado en varios servicios, puede obtener acceso a muchas de sus cuentas. Es por eso que tener contraseñas múltiples, fuertes y únicas es tan importante.

    Afortunadamente, un administrador de contraseñas puede ayudar. Un administrador de contraseñas es una herramienta que crea y almacena contraseñas para usted, por lo que puede usar muchas contraseñas diferentes en diferentes sitios y servicios sin tener que memorizarlas. Los Administradores de contraseñas: 

    • Pueden generar contraseñas seguras, que un ser humano no tenga probabilidades de adivinar
    • almacena varias contraseñas (y respuestas a preguntas de seguridad) de forma segura.
    • protejen todas sus contraseñas con una sola contraseña maestra (o frase clave).

    KeePassXC es un ejemplo de administrador de contraseñas, es de código abierto y gratuito. Puede mantener esta herramienta en su escritorio o integrarla en su navegador web. KeePassXC no guarda automáticamente los cambios que realice al usarlo, por lo que si se bloquea después de haber agregado algunas contraseñas, puede perderlas para siempre. Pero puede cambiar esto en la configuración.

    ¿Preguntándose si un administrador de contraseñas es la herramienta adecuada para usted? Si un adversario poderoso como un gobierno lo tiene en la mira, puede que no lo sea.

    Recuerde:

    • el uso de un administrador de contraseñas crea un único punto de falla.
    • los administradores de contraseñas son un objetivo obvio para los adversarios.
    • las investigaciones sugiere que muchos administradores de contraseñas tienen vulnerabilidades.

    Si le preocupan ataques digitales más costosos, considere algo más de baja tecnología. Puede crear contraseñas seguras manualmente (consulte "Crear contraseñas seguras usando dados" a continuación), escríbalas y guárdelas en un lugar seguro para usted.

    Espera, ¿no se supone que debemos guardar las contraseñas en nuestras cabezas y nunca escribirlas? En realidad, escribirlass y guardarlos en un lugar como su billetera, es útil para que al menos sepa si sus contraseñas escritas faltan o son robadas.

    Creando contraseñas seguras usando dados

    Hay algunas contraseñas que debe memorizar y que deben ser particularmente fuertes. Éstas incluyen:

    Una de las muchas dificultades cuando las personas eligen las contraseñas es que las personas no son muy eficientes tomando decisiones aleatorias e impredecibles. Una forma efectiva de crear una contraseña segura y memorable es usar dados y una lista de palabras para elegir palabras al azar. Juntas, estas palabras forman su "frase clave". Una "frase clave" es un tipo de contraseña que es más larga para mayor seguridad. Para el cifrado del disco y su administrador de contraseñas, recomendamos seleccionar un mínimo de seis palabras.

    ¿Por qué usar un mínimo de seis palabras? ¿Por qué usar los dados para elegir palabras en una frase al azar? Cuanto más larga y aleatoria sea la contraseña, más difícil será adivinar para las computadoras y los humanos. Para descubrir por qué necesita una contraseña tan larga y difícil de adivinar, aquí hay un video explicativo.

    Intente crear una frase clave usando una de las listas de palabras de EFF.

    Si su computadora o dispositivo se ve comprometido y hay spyware  instalado, el spyware puede ver como escribe su contraseña maestra y robar el contenido del administrador de contraseñas. Por lo tanto, es muy importante mantener su computadora y otros dispositivos limpios de malware cuando se usa un administrador de contraseñas.

    Una palabra sobre las "Preguntas de seguridad"

    Tenga cuidado con las "preguntas de seguridad" que los sitios web usan para confirmar su identidad. Las respuestas honestas a estas preguntas son, a menudo, hechos descubribles públicamente, que un adversario con determinación puede encontrar y utilizar fácilmente para eludir por completo su contraseña.

    En cambio, de respuestas ficticias que nadie más conozca además de usted. Por ejemplo, si la pregunta de seguridad es:

    "¿Cómo se llamaba su primera mascota?"

    Su respuesta podría ser una contraseña aleatoria generada por su administrador de contraseñas. Puede almacenar estas respuestas ficticias en su administrador de contraseñas.

    Piense en los sitios donde ha utilizado preguntas de seguridad y considere cambiar sus respuestas. No use las mismas contraseñas o respuestas a preguntas de seguridad para varias cuentas en diferentes sitios web o servicios.

    Sincronizando tus contraseñas entre múltiples dispositivos

    Muchos administradores de contraseñas le permiten acceder a sus contraseñas en todos los dispositivos a través de una función de sincronización de contraseñas. Esto significa que cuando sincronice su archivo de contraseña en un dispositivo, lo actualizará en todos sus dispositivos.

    Los administradores de contraseñas pueden almacenar sus contraseñas "en la nube", es decir cifradas en un servidor remoto. Cuando necesite sus contraseñas, estos administradores recuperarán y descifrarán las contraseñas automáticamente. Los administradores de contraseñas que usan sus propios servidores para almacenar o ayudar a sincronizar sus contraseñas son más convenientes, pero son un poco más vulnerables a los ataques. Si sus contraseñas están almacenadas tanto en su computadora como en la nube, un atacante no necesita hacerse cargo de su computadora para encontrar sus contraseñas. (Sin embargo, necesitarán romper la frase clave de su administrador de contraseñas).

    Si esto le resulta preocupante, no sincronice sus contraseñas con la nube y opte por guardarlas solo en sus dispositivos.

    Mantenga una copia de seguridad de su base de datos de contraseñas por si acaso. Tener una copia de seguridad es útil por si pierde la base de datos de sus contraseñas en un choque o si le quitan su dispositivo. Los administradores de contraseñas generalmente tienen una forma de crear una copia de seguridad, o puede usar su programa de respaldo regular.

    Verificación de múltiples factores y contraseñas de un solo uso

    Las contraseñas sólidas y únicas hacen que sea mucho más difícil para los malos actores acceder a sus cuentas. Para proteger aún más sus cuentas, habilite la autenticación de dos factores.

    Algunos servicios ofrecen verificación de dos factores (también llamada 2FA, verificación de múltiples factores o verificación en dos pasos), que requiere que los usuarios posean dos componentes (una contraseña y un segundo factor) para obtener acceso a su cuenta. El segundo factor podría ser un código secreto único o un número generado por un programa que se ejecuta en un dispositivo móvil.

    La autenticación de dos factores con un teléfono móvil se puede hacer de una de estas dos formas:

    • su teléfono puede ejecutar una aplicación verificadora que genere códigos de seguridad (como Google Authenticator o Authy) o puede usar un dispositivo de hardware independiente (como una YubiKey); o
    • el servicio puede enviarle un mensaje de texto SMS con un código de seguridad adicional que debe ingresar cada vez que inicie sesión.

    Si tiene otra opción, elija la aplicación autenticadora o el dispositivo de hardware autónomo en lugar de recibir códigos por mensaje de texto. Es más fácil para un atacante redirigir estos códigos a su propio teléfono que eludir el autenticador.

    Algunos servicios, como Google, también le permiten generar una lista de contraseñas de un solo uso, también llamadas contraseñas desechables. Estos están destinados a ser impresos o escritos en papel y llevados con usted. Cada una de estas contraseñas funciona solo una vez, por lo que si una es robada por spyware al usarla, el ladrón no podrá usarla para nada en el futuro.

    Si usted o su organización manejan su propia infraestructura de comunicaciones, hay software libre disponible que puede usarse para habilitar la autenticación de dos factores para acceder a sus sistemas. Busque software que ofrezca implementaciones del estándar abierto "Contraseñas de un solo uso basadas en el tiempo" o RFC 6238.

    A veces, deberá revelar su contraseña

    Las leyes sobre la revelación de contraseñas difieren de un lugar a otro. En algunas jurisdicciones, es posible que pueda impugnar legalmente la demanda de su contraseña, mientras que en otras, las leyes locales le permiten al gobierno exigir la divulgación e incluso lo encarcelan bajo la sospecha de que puede conocer una contraseña o llave. Las amenazas de daño físico se pueden usar para obligar a alguien a renunciar a su contraseña. O puede encontrarse en una situación, como cruzar una frontera, donde las autoridades pueden retrasarlo o confiscar sus dispositivos si se niega a dar una contraseña o desbloquear su dispositivo.

    Tenemos una guía independiente para cruzar la frontera de los EE. UU. Que brinda asesoramiento sobre cómo tratar las solicitudes de acceso a dispositivos mientras viajan hacia o desde los Estados Unidos. En otras situaciones, debe pensar en cómo alguien podría obligarlo a usted o a otros a entregar sus contraseñas, y cuáles serían las consecuencias.

    Última actualización: 
    2017-10-15
  • Cómo esquivar la censura en línea

    Este es un breve resumen sobre como eludir la censura en línea, pero de ninguna manera es exhaustivo.

    Los gobiernos, las empresas, las escuelas y los proveedores de Internet usan a veces  software para impedir que sus usuarios accedan a ciertos sitios web y servicios. Esto se conoce como filtrado o bloqueo de Internet y es una forma de censura. El filtrado viene en diferentes formas. Los censores pueden bloquear páginas web individuales o incluso sitios web enteros. A veces, el contenido se bloquea en función de las palabras clave que contiene.

    Hay diferentes maneras de derrotar a la censura de Internet. Algunos lo protegen de la vigilancia, pero muchos no. Cuando alguien que controla tu conexión de red filtra o bloquea un sitio, casi siempre puedes usar una herramienta de elusión para obtener la información que necesitas. Tenga en cuenta que las herramientas de elusión que prometen privacidad o seguridad no siempre son privadas o seguras. Y las herramientas que usan términos como "anonymizer" no siempre mantienen tu identidad completamente secreta.

    La herramienta de elusión más adecuada para ti depende de tu modelo de amenazas. Si no estás seguro acerca de cuál es tu modelo de amenaza, comienza aquí.

    En este artículo, hablaremos de cuatro maneras de burlar la censura:

    • Visitar un proxy web para acceder a un sitio web bloqueado.
    • Visitar un proxy web cifrado para acceder a un sitio web bloqueado.
    • Uso de una red privada virtual (VPN) para acceder a sitios web o servicios bloqueados.
    • Utilizar el Navegador Tor para acceder a un sitio web bloqueado o proteger su identidad

    Técnicas básicas

    Las herramientas de elusión trabajan generalmente desviando tu tráfico web, evitando así a las máquinas que lo filtran o bloquean. Un servicio que redirige tu conexión a Internet a través de esos bloqueos suele llamarse proxy.

    HTTPS es la versión segura del protocolo HTTP que usas para acceder a sitios web. A veces, un censor bloqueará solamente la versión insegura (HTTP) de un sitio. Esto significa que puedes acceder al sitio bloqueado con solo acceder a la versión de la dirección web que comienza con HTTPS.

    Esto es útil si la censura con la que luchas bloquea páginas web individuales basadas en su contenido. HTTPS impide que los censores lean tu tráfico web, por lo que no pueden saber qué palabras clave se trasmiten o qué página web individual estás visitando.

    Los censores aún pueden ver los nombres de dominio de todos los sitios web que visitas. Así, por ejemplo, si visitas "eff.org/https-everywhere", los censores pueden saber que estás en "eff.org" pero no que estás en la página "https-everywhere".

    Si sospechas de este tipo de bloqueo simple, intenta ingresar https:// antes del dominio en lugar de http:

    Intenta instalar la extensión de EFF HTTPS Everywhere para activar HTTPS automáticamente donde sea posible.

    Otra forma en que puedes ser capaz de eludir las técnicas básicas de censura es probar un nombre de dominio o URL. Por ejemplo, en lugar de visitar http://twitter.com, intenta la versión móvil del sitio en http://m.twitter.com. Los censores que bloquean sitios web o páginas web funcionan a partir de una lista negra de sitios web prohibidos, por eso cualquier cosa  que no esté en esa lista negra pasará. Es posible que no conozcan todas las versiones diferentes del nombre de un sitio web en particular, especialmente si los administradores del sitio saben que está bloqueado y registran más de un dominio.

    Proxies basados en web

    Un proxy basado en web (como http://proxy.org/) es un sitio web que permite a sus usuarios acceder a sitios web bloqueados o censurados. Por lo tanto, es una buena manera de evitar la censura. Para usar un proxy basado en web, visite el proxy e ingresa la dirección web que desea ver; El proxy mostrará la página web que solicitaste.

    Sin embargo, los proxies basados en web no proporcionan ninguna seguridad y serán una mala elección si tu modelo de amenazas incluye alguien que supervisa tu conexión a Internet. No te ayudarán a usar servicios bloqueados, como tus aplicaciones de mensajería instantánea. El proxy basado en web tendrá un registro completo de todo lo que haces en línea, algo que puede ser un riesgo de privacidad para algunos usuarios, dependiendo de sus modelos de amenazas.

    Proxies cifrados

    Numerosas herramientas proxy utilizar cifrado para proporcionar una capa adicional de seguridad en la parte superior de la capacidad de evitar el filtrado. La conexión está cifrada para que otros no puedan ver lo que estás visitando. No obstante, aunque que los proxies cifrados son generalmente más seguros que los proxies basados en web, el proveedor de herramientas puede tener información sobre ti. Podrían tener tu nombre y dirección de correo electrónico en sus registros, por ejemplo. Esto significa que estas herramientas no proporcionan anonimato completo.

    La forma más simple de un proxy web cifrado es aquel que comienza con "https" - esto usará el cifrado normalmente proporcionado por los sitios web seguros, sin embargo, debes ser cauteloso - los propietarios de estos proxies pueden ver los datos que envía a otros Sitios web seguros. Ultrasurf y Psiphon son ejemplos de estas herramientas.

    Redes privadas virtuales  

    Una red privada virtual (VPN) cifra y envía todos los datos de Internet desde tu computadora a través de otra computadora. Este equipo podría pertenecer a un servicio VPN comercial o sin fines de lucro, tu empresa o un contacto de confianza. Una vez que un servicio VPN está configurado correctamente, puedes usarlo para acceder a páginas web, correo electrónico, mensajería instantánea, VoIP y cualquier otro servicio de Internet. Una VPN protege tu tráfico de ser espiado localmente, pero tu proveedor de VPN todavía podría mantener los registros de los sitios web a los que accedes, o incluso permitir que un tercero espie directamente en tu navegación web. Dependiendo de tu modelo de amenazas, la posibilidad de que un gobierno espie tu conexión VPN o se apodere de registros de VPN puede llegar a ser un riesgo significativo. Para algunos usuarios, esto podría sobrepasar a los beneficios a corto plazo de usar una VPN.

    Para obtener información sobre servicios VPN específicos, haga clic aquí

    Nosotros en EFF no garantizamos este listado de VPNs. Algunas VPN con políticas de privacidad ejemplares podrían ser dirigidas por personas tortuosas. No uses una VPN en la que no confíes.

    Tor

    Tor es una aplicación de código abierto diseñada para darte anonimato en la web. Tor Browser es un navegador web construido sobre la red de anonimato Tor. Debido al modo en que Tor maneja tu tráfico de navegación web, también te permite eludir la censura. (Puedes revisar nuestras guías: Cómo utilizar Tor para Linux, macOS  y Windows)

    Al iniciar por primera vez el Navegador Tor, puedes elegir una opción especificando que estás en una red censurada:

    Tor no sólo evitará casi toda la censura nacional, sino que, si está bien configurado, también puede proteger tu identidad frente a un adversario espiando en las redes de tu país. Sin embargo, puede ser lento y difícil de usar.

    Para aprender a usar Tor en una máquina de escritorio, haz clic aquí (Linux), aquí (macOS) o aquí (Windows), pero asegúrate de seleccionar "Configurar" en lugar de "Conectar" en la ventana mostrada arriba.

    Última actualización: 
    2017-08-10
  • Cómo encriptar su iPhone

    Si tienes un un iPhone 3GS o posterior, un iPod touch 3ra generación o posterior, o cualquier iPad, puedes proteger el contenido del equipo usando cifrado. Esto significa que si alguien logra tener control físico de tu equipo, ellos necesitarían tu contraseña para poder descifrar el contenido, incluyendo contactos, mensajes instantáneos o textos, lista de llamadas y email. De hecho, los equipos Apple más modernos cifran su contenido por defecto, con varios niveles de protección. Pero para evitar que alguien obtenga tu data gracias el robo físico de tu equipo, necesitas vincular ese cifrado a una frase contraseña o clave que solo tú conozcas.

    Puedes hacer esto en dispositivos iOS 4-iOS 7 accesando General Settings, y seleccionando Passcode (o iTouch & Passcode). Para iOS 8-9, sigas los pasos para crear un passcode. Debes configurar la opción “Require passcode” para “Inmediatamente”, para que tu dispositivo no sea desbloqueado cuándo no le estés utilizando. Bloquea el “Simple Passcode” para poder utilizar un código con más de 4 dígitos.

    Si eliges una contraseña totalmente numérica, todavía tendrás un teclado numérico a la pantalla para cuándo intentes desbloquear tu teléfono, lo que puede ser más fácil que escribir un conjunto de letras y símbolos en un teclado minúsculo. Con todo, todavía deberías mantener tu contraseña larga por más que el hardware de Apple sea esté pensado para ralentizar herramientas de recuperación de contraseñas. Intenta crear una contraseña con más de 6 dígitos.

    Una vez que configures la contraseña, desplazate a la pantalla hacia el bajo de la página “Passcode settings”. Verás un mensaje que dice “Data protection enabled”. Esto significa que el cifrado del dispositivo ahora está vinculado a tu contraseña, y que la mayoría de los datos de tu teléfono necesitarán de aquél código para desbloqueo.

    How to Encrypt Your iPhone 1

    Abajo siguen otras funcciones de iOS que puedes pensar en utilizar en caso manejes datos privados:

    • iTunes tiene la opción de backup de su dispositivo a tu ordenador. Si seleccionas la opción “Cifrar backup” en la lengüeta “Summary” de tu dispositivo en iTunes, iTunes hará el backup de más información confidencial (cómo contraseña de Wifi e e-mail), pero cifrará todo antes de almacenarlo en tu ordenador. Es apropiado mantener segura la contraseña que utilizas acá: extraer información de un backup es un evento raro, pero excepcionálmente doloroso si no recuerdas la contraseña para desbloquear el backup en una emergencia.
    • Si haces el backup en Apple iCloud, debes utilizar una frase clave larga para proteger a los datos y mantener la frase clave segura. Mientras Apple cifra la mayoría de los datos de sus backups, puede ser posible para la compañía obtener acceso con fines policiales una vez que Apple también controla las llaves utilizadas para el cifrado de iCloud.
    • Si activas la protección de datos descrita arriba, puedes también eliminar la información de tu dispositivo de manera rápida y segura. En las configuraciones de contraseña, puedes configurar tu dispositivo para limpiar todos los datos después de diez intentos fallidos de adivinar la contraseña.
    • De acuerdo con “Apple’s old Law Enforcement Guide”, “Apple puede extraer ciertas categorías de datos activos de dispositivos iOS bloqueados por contraseña. Específicamente, los archivos activos generados por el usuario utilizando contraseña (“user generated active files”) pueden ser extraídos y entregados a las autoridades legales en un medio externo. Apple puede realizar este proceso de extracción de datos en dispositivos iOS 4 o versiones más recientes de iOS. Por favor ten en cuenta que las únicas categorías de archivos generados por el usuario que pueden ser entregues a las autoridades legales bajo orden de registro válido, son: SMS, fotos, videos, contactos, grabaciones de audio y histórico de telefonemas. Apple no puede proporcionar: e-mail, entradas de calendario, ni datos de aplicativos terceros.

    La información descrita a continuación aplica solamente a dispositivos iOS con versiones superiores a 8.0

    • Hoy, Apple afirma que “En dispositivos con iOS 8 y versiones superiores, tus datos personales son almacenados bajo la protección de tu contraseña. Para todos los dispositivos con iOS 8 y versiones más actuales, Apple no hará la extración de datos iOS en respuesta a órdenes de registro del gobierno pues los archivos a ser extraídos son protegidos por una llave de cifrado vinculada a la contraseña del usuario, a la cuál Apple no tiene acceso.

    RECUERDA; Mientras Apple sea incapaz de extraer datos directamente de tu teléfono, en caso el dispositivo esté configurado para sincronizar con iCloud o hacer backup con un ordenador, muchos de estos mismos datos serán accesibles a las autoridades legales. Bajo la mayoría de las circunstancias, el cifrado de iOS solamente será efectivo cuándo un dispositivo esté totalmente apagado (o recién-reiniciado, sin estar desbloqueado). Algunos agresores pueden ser capaces de extraer datos valiosos de la memoria de tu dispositivo mientras estuviere encendido. (Ellos pueden todavía ser capaces de extraer los datos cuándo esté recién apagado). Ten esto en mente, y, si es posible, asegúrate de que tu dispositivo está apagado (o reiniciado y no desbloqueado) si crees que tiene la probabilidad de ser secuestrado o hurtado.

    • Si estás preocupado con la pérdida o robo de tu dispositivo, puedes todavía configurar tu dispositivo Apple para ser formateado remotamente, utilizando la función “Find My iPhone”. Esto permitirá a Apple localizar remotamente su dispositivo en cualquier momento. Debes equilibrar los beneficios de eliminar los datos en caso pierdas el control de tu dispositivo, bajo el riesgo de revelar tu posición. (Teléfonos móviles transmiten esta información a las compañías telefónicas por rutina; dispositivos Wifi cómo iPads y el iPod Touch no lo hacen).
    Última actualización: 
    2016-04-28
  • Cómo utilizar Signal en iOS

    Instalación de Signal - Mensajero Privado en tu iPhone

    Paso 1: Descarga e instalación de Signal - Mensajero Privado

    Entra a la App Store desde tu dispositivo iOS y busca "Signal". Cuando la encuentres, selecciónala, asegurándote que sea "Signal - Mensajero Privado" by Open Whisper Systems.

    Haz clic para descargar la aplicación y aceptar los Términos y Condiciones de la tienda Itunes seleccionando "Aceptar". La aplicación se descargará e instalará automáticamente. Haz clic en "Abrir" para lanzar la aplicación.

    Paso 2: Registrar y verificar su número de teléfono

    Verá la siguiente pantalla, ingrese su número de teléfono móvil y seleccione; “registrar”.

     

    Para verificar su número de teléfono, se le enviará un mensaje de texto SMS con un código de seis dígitos. Se te indicará que ingreses ese código y hacer click en “Envía tu Código De Verificación”

    Después de que este proceso esté completo, Signal pedirá autorización para acceder a tus contactos, acepta y pulsa, “continuar”

    Signal te pedirá permiso para enviar notificaciones. Presiona "Aceptar".

    Usando Signal

    Para utilizar Signal, la persona a quien llama debe tener Signal instalado. Si intentas enviar un mensaje utilizando Signal a alguien que no tiene instalada la aplicación, enviará un mensaje de texto común, no cifrado. Si intenta llamar a la persona, hará una llamada común.

    Signal proporciona una lista de otros usuarios de Signal en sus contactos. Para eso, la información que corresponde a los números telefónicos en su lista de contactos es subida a los servidores de Signal, aunque estos datos son eliminados casi inmediatamente.

    Como enviar un mensaje cifrado

    Tenga en cuenta que Open Whisper Systems, los creadores de Signal, usan la infraestructura de otras compañías para enviar alertas a sus usuarios cuando reciben un mensaje nuevo. Utiliza Google en Android y Apple en iPhone. Eso significa que la información sobre quién está recibiendo mensajes y cuándo fueron recibidos puede tener fugas a estas empresas.

    Para comenzar a usarlo , toque el icono de composición en la esquina inferior derecha de la pantalla.

    Verás una lista de todos los usuarios registrados en Signal entre sus contactos.

    Cuando toques un contacto, aparecerá la pantalla de mensajes de texto para ese contacto. Desde esta pantalla, puedes enviar mensajes de texto, imagen o video cifrados de extremo a extremo.

    Cómo hacer una llamada encriptada

    Para iniciar una llamada cifrada, elija un contacto y haga clic en el ícono de teléfono.

    lllegados a este punto, Signal puede pedir permiso para usar el microfono, selecciona "OK."

    Una vez establecida la llamada, su llamada está encriptada.

    Cómo iniciar una videollamada cifrada

    Para realizar una videollamada cifrada, simplemente llamea a alguien como describimos arriba:

    Y pulsa el icono de la videocámara. Es posible que tengas que dar permiso a Signal para que tenga acceso al video desde tu cámara. Esto permitirá compartir video con tu amigo (tu amigo puede tener que repetir los mismos pasos):

    Como iniciar un chat grupal cifrado

    Puedes enviar un mensaje de grupo cifrado pulsando el icono de composición en la esquina superior izquierda de la pantalla (el cuadrado con un lapiz apuntando al centro) y seleccionando el ícono en el mismo lugar, con tres figuras en él.

    En la siguiente pantalla, podrá ponerle un nombre al grupo y agregar participantes a él. Después de agregar participantes, puedes pulsar el ícono “+” superior derecha de la pantalla.

    Esto iniciará el chat en grupo.

    Si deseas cambiar el icono de grupo, agregar o quitar participantes, puedes hacerlo desde la pantalla de chat de grupo pulsando el icono de extensión (los tres puntos en la esquina superior derecha de la pantalla) y seleccionando "Editar Grupo".

    Cómo verificar sus contactos

    En este momento, puede verificar la autenticidad de la persona con la que está hablando, para asegurarse de que su llave de cifrado no fue alterada o reemplazada con la clave de otra persona cuando su aplicación la descargó (un proceso llamado verificación de claves). La verificación es un proceso que tiene lugar cuando estás físicamente en presencia de la persona con la que estás hablando.

    En primer lugar, abra la pantalla donde puede enviar mensajes a su contacto, como se describió anteriormente. Desde esta pantalla, seleccione el nombre de tu contacto en la parte superior de la pantalla.

    Desde la siguiente pantalla, selecciona “Verificar Números de Seguridad”

    Ahora serás llevado a una pantalla que muestra un código QR y una lista de "números de seguridad". Este código será único para cada contacto diferente con el que estés conversando. Haz que tu contacto navegue a la pantalla correspondiente a su conversación contigo, de modo que tengan un código QR mostrado en su pantalla también.

    De vuelta a tu dispositivo, pulsa “Escanear Código” en este punto, Signal puede pedir permiso para acceder a la Cámara, selecciona “OK”

    Ahora puedes usar la cámara para escanear el código QR que se muestra en la pantalla de tu contacto. Alinea tu cámara con el código QR:

    Con suerte, tu cámara escaneará el código de barras y mostrará un dialogo que dice: "Números de seguridad verificados!" similar a este.

    Esto indica que has verificado tu contacto correctamente. Si en su lugar ves algo así, algo ha salido mal:

    Es posible que desee evitar discutir temas delicados hasta que haya verificado claves con esa persona.

    Nota para usuarios avanzados: La pantalla que muestra su código QR también tiene un icono para compartir sus números de seguridad en la esquina superior derecha. La verificación en persona es el método preferido, pero es posible que ya haya autenticado su contacto utilizando otra aplicación segura, como PGP. Dado que ya ha verificado su contacto, puede utilizar con seguridad la confianza establecida en esa aplicación para verificar los números de seguridad dentro de Signal, sin tener que estar físicamente en presencia de su contacto. En este caso puede compartir sus números de seguridad con esa aplicación tocando el ícono "compartir" y envíe su contacto a sus números de seguridad.

    Mensajes que desaparecen

    Signal tiene una característica llamada "mensajes que desparecen" que garantiza que los mensajes se eliminarán de su dispositivo y el dispositivo de su contacto después que una cantidad de tiempo – elegido por las partes – desde su lectura, haya transcurrido. Para habilitar "mensajes que desparecen" para una conversación, abra la pantalla donde puede enviar mensajes a su contacto. Desde esta pantalla, selecciona el nombre del contacto en la parte superior de la pantalla, de ahi mueve el control deslizante hacia “Mensajes que desaparecen”

    Aparecerá un control deslizante que te permitirá elegir la rapidez con la que los mensajes desaparecerán:

    Después de seleccionar una opción, puedes tocar el ícono "<" en la esquina superior izquierda de la pantalla y verás información en la conversación indicando que se han habilitado "mensajes que desaparecen".

    Ahora puedes enviar mensajes con la garantía de que se eliminarán después de la cantidad de tiempo elegida.

    Última actualización: 
    2017-03-17
Next:
JavaScript license information