Cuando el Estado Golpea la Puerta: ¿Cómo proteger tu información digital?

Conectado con el Pasado por Federico Uribe

Tras el ataque al periodista Luis Carlos Díaz y su pareja Naky Soto por parte del Estado, que concluyó parcialmente con una medida sustitutiva de libertad y prohibición de hacer declaraciones por medios públicos, es necesario volver a resaltar la importancia de cómo tratamos y protegemos nuestra información.

Personalmente, desde el año 2002 comencé a darle un trato distinto a toda la información que manejo, desde los archivos y expedientes de mis clientes hasta cosas tan banales, como fotografías de algún cumpleaños o los emails que recibía de amigos en el extranjero contándome sobre sus viajes.

A medida que pasaba el tiempo y la tecnología de protección de datos evolucionaba, más insistente me ponía con familiares y amigos, así como con clientes. La naturaleza de mi trabajo exige ciertas precauciones en manejo de información, pero en cada recomendación que hacia siempre surgía la misma reacción: “¿Encriptar el correo electrónico?, ¿Para qué?, ¿Acaso tu trabajas para la CIA?

Vale señalar que la mayoría de mis contactos profesionales en esa época usaban @cantv.net.

Desde hace pocos días pareciera que en Venezuela se comienza a tomar conciencia, preguntándonos si estamos dándole el tratamiento adecuado a nuestra información; pregunta que no surgió incluso cuando comenzaron los reportes del posible uso de FinFisher por parte del gobierno, ni cuando se demostró el uso abusivo de técnicas como el Phishing (ingeniería social) o el DNS-Spoofing (ataque técnico) por parte del Estado a través de la Compañía Anónima Nacional Teléfonos de Venezuela (CANTV).

“La orden era llevarse todos los equipos electrónicos que teníamos en casa. Se llevaron pendrives, computadoras dañadas, viejas.”

Naky Soto (@naky)

El miedo siempre ha sido la seguridad del password de Instagram, de Facebook y del correo electrónico, pero tras varios casos de allanamientos y requisas (así como de robo), ha surgido la pregunta sobre cuáles medidas podemos tomar para resguardar nuestra información digital, incluso en caso de accesos físicos.

Nota del Autor: Las siguientes son recomendaciones básicas que siempre pueden ser implementadas a un nivel superior y nunca son del todo fiable, pues dependerán de que tan estrictos somos en su aplicación. Me tomo ciertas libertades e imprecisiones técnicas al momento de explicarlas, por lo que recomiendo investigar a fondo y pedir ayuda de profesionales de la seguridad para su implementación efectiva. Asimismo, están dirigidas para el caso Venezuela, donde actualmente hay una situación de indefensión por parte de los ciudadanos frente a las autoridades publicas.

TU PASSWORD.

En esto voy a ser breve. Y obviar lo basico, no debes tener el password anotado en ningún lado y mucho menos compartirlo.

Tu password no puede ser único para todos los sitios y los dispositivos.

La razón principal de esta afirmación, es que, si por cualquier motivo el password llega a caer en manos extrañas, estarías dándole acceso a esas personas a todas tus redes y servicios, por eso, debes tener varios passwords que puedas calificar dependiendo de la importancia y el tipo de servicio que deseas proteger.

Igualmente, hay servicios que te permiten generar passwords aleatorios, lo cual no es una mala opción si manejas todo centralizado, el problema de esta técnica es que suele ir acompañada por un software que se dedica a administrarlos y si el dispositivo donde se encuentra instalado cae en manos de autoridades, una orden judicial pudiera obligarte a revelar la contraseña maestra.

Hasta ahora, la mejor recomendación es no limitar los passwords a palabras. La tendencia actual en seguridad, señala que la mejor política es usar oraciones compuestas con números y caracteres especiales,y asi disminuir su vulnerabilidad ante ataques de fuerza bruta o de diccionarios.

Password: EnAlgunLugarDe#LaManchaDeCuyoNombreNoMeQuieroAcordar2019

No es difícil de olvidar, pero es sumamente difícil de atacar.

Todo, TODO, tiene que ir por VPN.

Muy básica y escuetamente, la tecnología VPN (Virtual Private Network) permite conectar varias computadoras a una red privada a través de internet. Es decir, puedes conectarte del punto A al punto B y del punto B usar todos los recursos que quieras, incluido internet. Uno de sus beneficios es el VPN Tunneling, es decir, los datos viajan por un medio encriptado, eliminando la posibilidad de intersección e incluso generando un anonimato parcial frente a tu proveedor de internet, lo que a la vez se traduce en tener la posibilidad de saltar bloqueos y censuras.

Lo mas fácil para entender la idea, es imaginando que para llamar a una persona, requieres que un tercero llame e interconecte las llamadas, como era antiguamente. La diferencia, es que todo esto ocurre encriptado, logrando así que no se sepa la identidad de las partes ni se pueda entender lo que conversan.

Yo recomiendo AirVpn, es una empresa que aplica (como este sitio) una Warrant Canary, se encuentra fuera de la Jurisdicción de Estados Unidos y la relación velocidad/precio es muy buena.

El Correo Electrónico, depende del uso que le des.

El correo electrónico se suele usar a través de proveedores gratuitos como Gmail. En mi caso siempre recomiendo tener una cuenta en el servicio de Google para uso diario, como afiliarse a algún servicio de noticias o compartir entre comercios o personas no tan allegadas.

Para información privada suelo recomendar tres cuentas de correo, dependiendo el ambiente en que se requiera. ProtonMail a mi parecer es una buena opción. Requiere una contraseña para acceder y luego una segunda para desencriptar el contenido. Asimismo, permite enviar correos encriptados, que el receptor solo puede leer si posee una contraseña previamente compartida, permitiendo a la vez establecer tiempo de caducidad a los mensajes, ya que no quedan almacenados en la cuenta a la que se envían. Para uso profesional es muy recomendado.

El segundo email es únicamente para la red TOR. Existen muchos servicios, pero el más recomendado es TorBox, y su característica principal es que solo permite enviar y recibir correos del mismo servicio, todo únicamente a través de la red TOR sin acceso a la clearnet. Por los momentos, es un servicio usado por muchos periodistas alrededor del mundo.

El tercero es algo mas drástico, se usa mucho en ciertos ámbitos de investigación, I2P-BOTE. Es complicado y sumamente tedioso, pero es seguro y anónimo. Solo funciona en la red I2P. Para que tengan una idea, así luce una dirección de email en esta red:

 >7%vC&Nyq4$ve?1suA=&79r-K39qa8s2WmA”40=I`5|y89F<bIduU5z!i0{;OT-.)

Antivirus, Firewall y todo lo que huela a cloro que limpie tus dispositivos.

De nada sirve tener precauciones si nuestros equipos están comprometidos. Hay cualquier cantidad de software malicioso en internet de los cuales nos debemos cuidar.

Descargar archivos de internet suele ser la fuente principal de estas amenazas. Todo archivo ejecutable es un peligro, así como todo enlace, por más tentador que sea.

Caer en tentaciones con titulares llamativas en redes sociales como “No podrás creer lo que esta haciendo esta persona” o “madre se come a sus hijos por no tener comida”, es la manera predilecta de los lamers.

Otra recomendación es evitar ir a sitios web a través de links, lo mejor es escribir la dirección. Así evitaremos ser víctimas del phishing, por ejemplo.

Asimismo, cuando entres en sitios web que exigen descargar algún archivo, incluyendo paginas del gobierno, no aceptes la descarga, cancélala e investiga que riesgo puede haber. Lo mismo aplica si visitando un sitio web te aparece algún mensaje diciendo que tu computadora posee un virus y debes darle clic aquí, NO LO HAGAS. Si no sabes qué hacer o no puedes cerrar la ventana, recurre a la vieja técnica de apagarla, si no sabes, quítale la batería o jala el enchufe, pero no le des clic a nada.

Para protegernos de estas amenazas, existen antivirus y paquetes de seguridad muy completos. Personalmente uso Kaspersky, algunos dirán que hay mejores, todo es cuestión de investigar y escoger el que mas se ajuste a tus necesidades.

¡Encripta y oculta todo!

La encriptación protege la data haciendola ilegible, desde un correo electrónico hasta un archivo o un disco duro entero.

Para encriptar el contenido de un correo electrónico, la mejor opción es usar PGP. Básicamente lo que se necesita son “llaves”. Cada persona tiene dos llaves, una pública y otra privada. La pública se comparte con todas las personas con las que deseas tener una transferencia de data encriptada, la privada siempre se mantiene en secreto y de ser posible en un formato análogo, como papel.

Cuando deseas enviar un correo electrónico encriptado, debes usar un programa que, usando tu llave privada, “transforma” el contenido haciéndolo legible solo para el destinatario, quien previamente te ha compartido su llave pública.

Para poder leer el contenido, el destinatario usa tu llave pública junto a su llave privada y vuelve a “transformar” el contenido, haciéndolo nuevamente legible.

Si quieres saber más, te recomiendo buscar tutoriales de PGP en YouTube. Para ambiente Windows, recomiendo GPG4win.

Con lo que respecta a los archivos, mi recomendación es encriptarlos con software como VeraCrypt.

El proceso es un poco complejo al inicio, pero en línea podrás conseguir tutoriales sumamente sencillos para instalarlo y configurarlo.

Ahora bien, con esta técnica puedes encriptar archivos, unidades e incluso todo el dispositivo. Mi recomendación, que es una opción cubierta por VeraCrypt, es crear una partición encriptada oculta. Lo que se hace, es tomar una porción de espacio del disco duro y prepararla para que todo lo que ella contenga se encuentre encriptado y a la vez oculto cuando no se este usando. Para ello, este espacio se protege con password y archivos, es decir, la aplicación te va solicitar no solo que introduzcas tu contraseña, sino que adicionalmente, la puedes configurar para que requiera uno o varios archivos específicos, por ejemplo, la foto de tu graduación.

Este sistema es muy recomendado, ya que la partición no se muestra en el sistema y escapa a la vista de los ojos indiscretos. Al mismo tiempo, al estar compacta, puede moverse con facilidad e incluso transferirse o borrarse con un clic.

2-Step Verification o Verificación de 2-Pasos.

La mayoría de los servicios web permiten activar este servicio como medida adicional de seguridad para verificar tu identidad.

Este segundo paso de verificación, lo que busca al momento de acceder por ejemplo a Facebook o a tu correo de email, una vez verificado tu login y tu contraseña, es que introduzcas un segundo código, que por lo general te es transmitido a través de un mensaje de texto, haciendo las veces de un segundo password generado al azar.

La parte negativa de este servicio, es que necesariamente dependes de batería y conexión, por lo que si estas fuera de tu país sin un plan de datos internacional, no podrás recibir el código de verificación. Aun así, esos son casos muy puntuales y que debes prever con tiempo. Su uso es casi obligatorio hoy en día.

Dispositivos Móviles.

Todo dispositivo móvil debe tener activo siempre tres funciones: Password encriptación y servicio GPS.

El sistema de password que recomiendo es el PIN de 6 (4 sino tienes otra opción) dígitos, con la protección de 3 intentos. Después de los 3 intentos el teléfono borraría la información.

Esta demostrado que el sistema de PIN es mas robusto ante ataques, siempre que uses el sentido común y no coloques 1234, o el año de tu nacimiento. Igualmente, tener la opción que al tercer intento fallido se borre el contenido, no da oportunidad de usar herramientas de fuerza bruta e incluso permite que adrede tu puedas borrar la información en solo 3 intentos.

El teléfono y su tarjeta SD siempre deben estar encriptados, así evitaras que se pueda acceder al contenido a través de conexiones a periféricos, como USB o Bluetooth.

Por último, procura tener aplicaciones que permitan ocultar contenido en tu teléfono. Esto te ayudara a ocultar otras aplicaciones e información sensible, como fotografías, notas y mensajes.

Para mensajería, no recomiendo Telegram porque la encriptación no es automática, tampoco WhatsApp, porque ya es notorio que Facebook adquiere cierta data de tu teléfono a través de la aplicación, instala modificaciones aun cuestionadas y su encriptación es vulnerable bajo determinadas situaciones. Mi recomendación principal es Signal, luego Wire y por último Threema.

De los tres, Signal es la opción más sencilla y versátil. Cualquier comunicación entre dos personas usando la app se encripta efectivamente, incluyendo la transferencia de archivos y las llamadas de audio y video, ademas su código es abierto, lo que hace que sea objeto de auditorias confiables y actualizaciones constantes.

Por último, ten una cuenta en Google asociada con tu teléfono, de esa manera, si tienes el GPS activo podrá rastrearlo, pero en el peor de los casos, podrás enviar una orden de borrado, es decir, al momento que el teléfono tenga conexión y reciba la orden, automáticamente borrara el contenido interno, de ahí lo importante que el contenido este encriptado, de otra forma, podrían con software especializado tratar de recuperar la información borrada.

Ten como regla borrar todo lo que en realidad no necesites, mensajes viejos, fotografías, historial de navegación, lista de llamadas entrantes y salientes, etc. Tu dispositivo es móvil, puedes perderlo, puede ser robado o incautado en cualquier momento.

KNOCK KNOCK! LA POLICIA!

Si actualmente te encuentras en Venezuela y bien sea por tu profesión o exposición publica, puedes en algún momento llegar a ser victima de autoritarismo o persecución judicial por parte el Estado, debes tener en cuentas las siguientes recomendaciones:

TEN TU PROTOCOLO DE EMERGENCIA: Debes crear junto a tu familia y amigos un protocolo en caso de que seas victima de una aprehensión injustificada. Cada cuánto tiempo deben comunicarse, qué hacer con los dispositivos y la información en caso de que no haya contacto. Debes tener un plan de acción, que no solo resguarde tus datos, sino que adicionalmente no permita que tu familia sea objeto de chantaje o extorsión judicial.

EL CELULAR: No tengas nada en tu celular. Cuando te digo nada, es nada. Borra todo constantemente, mensajes de fuentes o colaboradores si estas en activismo político o trabajas como periodista. Recuerda que aunque posees privilegios legales, como el secreto de la fuente, hoy en dia no esta garantizado. Es tu obligación protegerte tanto a ti como a tus contactos.

Si posees en tu casa u oficina celulares viejos, es hora de respaldar la información y borrarlos, si no los pretendes usar mas y crees que podrían tener rastros de información sensible, destrúyelos, no los vendas.

Si estas acorralado, pues como en las películas, corre a un microondas y POPCORN!

COPIAS DE SEGURIDAD EN TODOS LADOS: En tu casa u oficina debes tener todos tus equipos resguardados y lo mas importante, copias de seguridad en todos lados, encriptadas y camufladas.

Encripta tu contenido y guárdalo en la nube, sin dejar evidencia en tus dispositivos. Por ejemplo, crea una cuenta en Dropbox solo para respaldar y no la tengas asociada a ninguna aplicación. Igualmente, procura tener tarjetas SD, pendrives o discos duros externos para respaldar físicamente los datos y esconderlos. Un pendrive puede ir dentro de una lampara que usas poco o puede estar enterrado en un matero dentro de una bolsa. Hay distintas formas de guardarlos. También vale dejar señuelos. Si consiguen un disco duro “escondido”, probablemente dejen de buscar.

Tengo un amigo que tiene por toda su casa (y en el carro) pendrives infectados con troyanos, obviamente lo hace para ladrones, pero es una idea tentadora a veces. Quien use esos dispositivos fácilmente se podría convertir en victima.

NECESITAS ALGUIEN DE CONFIANZA: Tienes que tener alguien de confianza, que no viva contigo, que pueda guardar un respaldo de tus datos y a la vez tenga forma de acceder a tus passwords y proteger tus cuentas. Puede ser un hermano o un compañero de trabajo, lo importante es que esa persona sea verdaderamente de confianza. Los passwords pueden darse en un pendrive encriptado y una tercera persona podría tener la contraseña para desencriptarlo. Todo depende el nivel de confianza que tengas con el garante.

GARANTÍA CANARIO: Si eres una persona publica, habla con tus seguidores en redes sociales y explícales que a diario darás el estado del tiempo cada 5 horas a través de un tweet. El dia que no la des, algo pasó. Esto servirá para alarmar a tus contactos y que a la vez traten de contactar a personas que se sabe son parte de tu entorno. Es tu fe de vida diaria.

TALADRO: Pues sí, el ultimo recurso. No tomaste precauciones, están tocando la puerta y no tienes que hacer. Toma un taladro y perfora los discos duros de todos los dispositivos que no entren en un microondas. Esto no siempre garantiza la destrucción de la data al 100%, pero es una manera efectiva de protección.

EL PROBLEMA LEGAL DEL PASSWORD: ¿Puede la policía o cualquier otro cuerpo de seguridad del Estado exigirte el password?

Este es un tema muy complejo, y que actualmente no ha logrado un consenso en el ámbito jurídico global. Hay abogados que sostienen que el contenido de un teléfono esta protegido por el derecho al secreto de las comunicaciones y por ello su desbloqueo no esta permitido, pero otra corriente señala que el contenido almacenado en un teléfono deja de ser comunicación al momento que se almacena y transmuta a la naturaleza de documento. Ambas corrientes tienen cierta lógica, pero esto sera tratado en otra oportunidad.

Mi opinión como abogado, es que ningún Policía u Órgano de Seguridad puede obligarte a desbloquear un dispositivo ni a entregar password alguno, incluyendo los de servicios online.

Ante la negativa, es probable que se genere un cargo de obstrucción a la justicia, pero esto debe ser resuelto por un tribunal, quien sí podría tener la potestad de obligar al imputado a revelar sus contraseñas a efectos de realizar la investigación necesaria.

Debemos entender que si bien el derecho a la propiedad privada y a la intimidad existen, están limitados o garantizados hasta cierto punto, como por ejemplo el derecho a la libertad, el cual se garantiza hasta que el sujeto a sido condenado a prisión por ejemplo.

En la actualidad, un Tribunal tiene la potestad de ordenar allanamientos, inspecciones e incluso embargos y en la ejecución de los mimos es muy probable que se obtengan datos e información que pudiese ser catalogada de sensible, como fotografías intimas o un diario persona. El hecho que esta información este en digital o en físico, no altera para nada el comportamiento que la ley pueda darle, la diferencia reside básicamente que en el ámbito físico, si hay un candado, el Tribunal puede ordenar a un cerrajero que lo abra, pero en el mundo digital esta opción es complicada, por lo que la única vía factible en pro de la economía procesal, seria forzar al imputado a que entregue el password.

El tratamiento que las autoridades den a esa información si esta sometida a un secreto y a una ética profesional, que a la vez esta regulada por las leyes, pero como bien sabemos, esto no es garantía de nada en las circunstancias actuales.

El password por lo tanto no garantiza el secreto ni que la información sea inaccesible, es por esto que recomiendo el camuflaje u ocultamiento de la información como practica efectiva del secreto. No te pueden pedir acceso a algo que no ven.

Debemos comenzar a cuidar nuestra propiedad digital con sentido común y entendiendo nuestro entorno político y jurídico, que al final es el que nos regula y el que nos podría someter a situaciones complejas e incluso peligrosas.

No dudes en contactarme si posees alguna duda u otra recomendación.


RelatedPost

Deja un comentario

avatar
  Subscribe  
Notify of
Scroll hacia arriba

Pin It on Pinterest