La guía más completa para que no te hackeen

El jueves 11 de enero a las 22:30 estrenamos el show CYBERWAR de VICELAND en el canal de televisión Odisea. Una serie que demuestra que la guerra en línea es igual de peligrosa que la que se da en el mundo real.

Nota de los editores: Esta Guía exhaustiva de la seguridad digital de Motherboard sustituye a varias otras guías publicadas anteriormente y se irá actualizando regularmente.

Videos by VICE

Última actualización: 14 de noviembre de 2017.

Una de las cosas que más nos preguntan en Motherboard es: “¿qué puedo hacer para evitar que me hackeen?”.

Como vivir en una sociedad moderna exige que depositemos demasiada confianza en terceros, la respuesta más frecuente es: “poca cosa”. Si no, mira por ejemplo el famoso hackeo a Equifax, que afectó a casi la mitad de la población estadounidense, aunque muy pocos de los implicados se hubieran suscrito a su servicio voluntariamente.

Los hackers acceden a millones de contraseñas de una sola vez y ocasionalmente causan pérdidas de información a gran escala. Deberíamos empezar a asumir, además, que lo más probable es que en el futuro esto no mejore: tenemos desastres en la vida real causados por la interconectividad del internet, con robots domésticos que podrían llegar a matarte, ordenadores portátiles voladores que pueden hackear y hackers que amenazan con robar tus datos genéticos. Mientras tanto, la creciente vigilancia pasiva se ha infiltrado en el Estado y en la policía de manera incesante y amenaza cada vez más nuestra privacidad digital.

Esto no quiere decir que solo haya desesperanza. Hay muchas cosas que puedes hacer para complicarle la vida a los hackers o a los vigilantes que quieren acceder a tus dispositivos y cuentas, y el propósito de esta guía es darte unos pasos claros para que mejores tu seguridad digital. Existen, en términos generales, dos tipos de hackeos: los impredecibles y que por ello no pueden prevenirse, y los predecibles que sí se pueden evitar. Queremos ayudarte a mitigar el daño causado por el primero, y evitar la ocurrencia del segundo.

Tú, como usuario, no puedes hacer nada por impedir que hackeen la información de tu proveedor de email, o de la compañía que guarda tu información financiera. Pero sí puedes evitar un ataque de suplantación que le permita a un hacker acceder a tu correo personal, y evitar que una contraseña capturada en un hackeo mayor sea reutilizada en otra de tus cuentas.

Esta guía no es absoluta ni personalizada; no existe nada parecido a la “seguridad perfecta” y no hay una solución unívoca que encaje en todos los problemas. Solo queremos que esto sea un punto de partida para aquellos que busquen subir la guardia en su vida digital.

Por eso hemos querido que esta guía sea lo más accesible posible, pero si encuentras un término que desconoces, hay un glosario que te podrá ayudar.

Esta guía es producto del trabajo de muchas personas que hacen o hicieron parte del personal de Motherboard, y fue revisada por muchas de nuestras fuentes, a quienes les debemos mucho. Grandes secciones fueron escritas por Lorenzo Franceschi-Bicchierai, Joseph Cox, Sarah Jeong y Jason Koebler, pero los consejos que contienen son el resultado de textos e investigaciones hechas por docenas de reporteros y profesionales de la seguridad informática. Considéralo un trabajo en continuo progreso que recibirá al menos una actualización anual y pequeñas modificaciones en la medida en que nuevas vulnerabilidades queden expuestas. Un agradecimiento especial a Matt Mitchell, de Crypto Harlem, y Eva Galperin, de la Electronic Frontier Foundation, por reseñar partes de esta guía.

Dicho esto: esta es la guía de Motherboard para evitar ser hackeado.

Fundamentos de la seguridad digital

MODELOS DE AMENAZA

Todo en esta guía comienza con los “modelos de amenaza”, que es el lenguaje del hacker para evaluar qué probabilidad hay de que vayas a ser hackeado o vigilado. Cuando piensas cómo proteger tus comunicaciones digitales, es imprescindible que primero sepas de qué y de quién las estás protegiendo. “Depende de tu modelo de amenaza” es algo que los profesionales de la seguridad dicen cuando se les pregunta si Signal es la mejor aplicación para mandar mensajes o si Tor es el servidor más seguro. La respuesta a cualquier pregunta acerca de lo “mejor” en seguridad es, esencialmente: “depende”.

Ningún plan de seguridad es idéntico a otro. El tipo de protecciones que tengas depende de quién esté intentando entrar en tus cuenta o leer tus mensajes. La mala noticia es que no hay algo perfecto contra todo (¡lo sentimos!), pero la buena es que la mayoría de personas encajan en un modelo de amenaza que les permite no tener que vivir como reclusos paranoicos para navegar con razonable seguridad por internet.

Entonces, antes de hacer cualquier cosa, debes determinar tu modelo de amenaza. Básicamente pregúntate, ¿qué estás intentando proteger y de quién lo quieres proteger?

La Fundación Electronic Frontier recomienda hacerte estas preguntas a ti mismo para determinar tu modelo de amenaza:

  • Qué quieres proteger?
  • ¿De quién lo quieres proteger?
  • ¿Cómo de necesario es que lo protejas?
  • ¿Cómo de graves son las consecuencias si no logras protegerlo?
  • ¿Qué inconvenientes estás dispuesto a afrontar para hacer esto?

¿Tu amenaza es un ex que podría querer entrar en tu cuenta de Facebook? Entonces, asegurarte de que no sepa tu contraseña es un buen punto de partida (no compartas contraseñas importantes con la gente, no importa quién sea; si estamos hablando de Netflix, asegúrate de nunca usar esa contraseña en otro lugar).

¿Estás intentando evitar que “doxers” (personas de mentes brillantes que ya tienen toda tu información personal lista para hacerte llorar) inoportunos recopilen tu información personal —como la fecha de tu cumpleaños— que puede ser utilizada para encontrar más detalles? Bien, entonces es buena idea fijarte en qué tipo de cosas publicas en redes sociales. Y la autenticación en dos pasos (más de esto, abajo) debería ser suficiente para disuadir a criminales más serios. Si eres un activista, periodista o, por alguna razón, tienes razones para sospechar que el Gobierno, el Estado u otros actores de la ley quieran hackearte o vigilarte, los pasos que debes tomar para protegerte a ti mismo son significativamente diferentes de los que deberías tomar si lo que estás ocultando es la fiesta sorpresa de tu mejor amigo.

Sobrevalorar tu amenaza también puede ser un problema: si empiezas a usar sistemas operativos personalizados y de difícil uso, máquinas virtuales o cualquier cosa técnica cuando no es realmente necesario (o no sabes cómo usarlo), probablemente estás perdiendo el tiempo y podrías estar poniéndote en riesgo tú mismo. En el mejor de los casos, incluso las tareas más simples pueden tardar un poco más; en el peor de los casos, puedes tener una falsa sensación de seguridad con servicios y hardwares que no necesitas, sin tener en cuenta lo que realmente te importa y los problemas reales que podrías estar afrontando.

MANTÉN TUS APLICACIONES ACTUALIZADAS

Probablemente lo más importante y básico que puedes hacer para protegerte es actualizar el software que usas a su versión más reciente. Esto significa, usar la versión actualizada del software de cualquiera que sea el sistema operativo que uses y actualizar todas tus aplicaciones y el software. También significa actualizar el firmware de tu router, dispositivos conectados y cualquier otro dispositivo que uses que se pueda conectar a internet.

Ten en mente que en tu ordenador, no necesariamente tienes que usar la última versión del sistema operativo. En algunos casos, incluso las versiones más antiguas de los sistemas operativos hacen actualizaciones de seguridad. (Desafortunadamente, este ya no es el caso de Windows XP, así que ¡deja de usarlo!) Lo que es más importante es que tu sistema operativo siga recibiendo actualizaciones de seguridad y las estés descargando.

Si quieres quedarte con una lección de esta guía es: actualiza, actualiza, actualiza o mantente al día con las mejoras.

Muchos ciberataques comunes toman como ventaja las vulnerabilidades de softwares desactualizados como servidores web viejos, lectores de PDF o herramientas de hojas de cálculo y de texto. Teniendo todo actualizado, tienes menos posibilidades de convertirte en la víctima de un malware, porque los realizadores responsables y desarrolladores de software rápidamente crean parches (mejoras de software) a sus productos después de que aparezcan nuevos hacks.

Hackear es frecuentemente un camino de menor resistencia: vas tras los objetivos fáciles y suaves primero. Por ejemplo, los hackers detrás del destructivo ransomware conocido como WannaCry llegaron a quienes no habían actualizado su sistema de seguridad, que estaba disponible desde hace semanas. En otras palabras, ellos sabían que iban a lograrlo porque sus víctimas no le habían puesto seguro a sus puertas a pesar de que sus llaves ya se habían puesto a disposición de todos.

CONTRASEÑAS

Todos tenemos demasiadas contraseñas para recordar, razón por la cual algunas personas simplemente reutilizan las mismas una y otra vez. Reutilizar contraseñas es malo porque, por ejemplo, un hacker obtiene el control de tu contraseña de Netflix o Spotify y puede usarla para acceder a tus aplicaciones de transporte y viajes compartidos, o de la cuenta bancaria para acceder a tu tarjeta de crédito. Aunque nuestros cerebros no son realmente tan malos para recordar contraseñas, es casi imposible recordar docenas de contraseñas únicas y seguras.

La buena noticia es que la solución a estos problemas ya está aquí: los administradores de contraseñas. Son aplicaciones o extensiones del navegador que realizan un seguimiento de las contraseñas por ti, automáticamente te ayudan a crear buenas contraseñas y simplifican tu vida en línea. Si usas un administrador, todo lo que tienes que recordar es una contraseña, la que desbloquea la serie de las otras contraseñas.

Sin embargo, más vale que esa única contraseña sea buena. Olvídate de las letras mayúsculas, símbolos y números. La forma más fácil de crear una contraseña maestra segura es con una frase: varias palabras aleatorias pero pronunciables— y por lo tanto más fáciles de memorizar—. Por ejemplo:floodlit siesta kirk barrel amputee dice (sin embargo, no uses esta, acabamos de gastarla).

Una vez que tengas esto, puedes usar contraseñas únicas hechas de muchos caracteres para todo lo demás, siempre y cuando las crees con un administrador de contraseñas y nunca las vuelvas a utilizar. La contraseña maestra es mejor como una frase porque es más fácil de memorizar y las otras contraseñas no necesitan ser memorizadas porque el administrador las recordará.

Intuitivamente, podrías pensar que no es prudente guardar tus contraseñas en tu ordenador o con un administrador de contraseñas. ¿Qué pasa si un hacker entra? ¿es mejor, seguramente, que las recuerde todas en mi cabeza? Bueno, no realmente: el riesgo de que un delincuente reutilice una contraseña compartida que ha sido robada de otro lado es mucho mayor a que algún hacker sofisticado ataque de forma independiente tu base de datos de contraseñas.

Por ejemplo, si usaste la misma contraseña en diferentes páginas web, y esa contraseña fue robada en los hacks masivos de Yahoo! (que incluyen, tres mil millones de personas), esta podría ser fácilmente reutilizada en tu Gmail, Uber, Facebook y otras páginas web. Algunos administradores de contraseñas guardan tus contraseñas cifradas en la nube. Incluso si la empresa es hackeada, tus contraseñas estarán seguras. Por ejemplo, el administrador de contraseñas LastPass ha sido hackeado al menos dos veces, pero no se han robado contraseñas reales porque la compañía las almacenó de forma segura. LastPass sigue siendo un administrador de contraseñas recomendado a pesar de esos incidentes. De nuevo, se trata de entender tu propio modelo de amenazas.

Así que, por favor, usa uno de los muchos administradores de contraseñas que hay, como 1Password, LastPass o KeePass. No hay razón para no hacerlo. ¡Te hará a ti —y al resto de nosotros— estar más seguros! y hará tu vida más fácil.

Y si tu jefe te pide que cambies las contraseñas periódicamente por razones de seguridad, dile que es una idea terrible. Si utilizas un administrador de contraseñas, autenticación en dos pasos (ver más adelante) y tienes contraseñas seguras y únicas para cada cuenta, no es necesario cambiarlas todo el tiempo, a menos que haya un incumplimiento con el servidor o tu contraseña haya sido robada de alguna manera.

AUTENTICACIÓN EN DOS PASOS

Tener contraseñas únicas y fuertes en seguridad es un gran primer paso, pero incluso estas pueden ser robadas. Entonces, para tus cuentas más importantes (piensa en tu correo electrónico, cuentas de Facebook y Twitter y cuentas bancarias o financieras) debes agregar una capa adicional de protección conocida como autenticación en dos pasos (o de dos factores o 2FA). Actualmente hay un montón de servicios que ofrecen autenticación en dos pasos, por lo que es muy recomendable activarla en tantas páginas como puedas. Mira todos los servicios que ofrecen 2FA en twofactorauth.org.

Al habilitar esta función necesitarás algo más que solo tu contraseña para iniciar sesión en esas cuentas. Por lo general, es un código numérico enviado a tu móvil a través de mensajes de texto o puede ser un código creado por una aplicación especializada (que es mejor si tu móvil no tiene señal en el momento de iniciar sesión) o algún pequeño dispositivo parecido a una USB (a veces llamada YubiKey, gracias a la marca más popular de las mismas).

Ha habido mucha discusión en el último año sobre si los mensajes de texto pueden considerarse un “segundo factor” seguro. El número telefónico de la activista DeRay McKesson fue filtrado, lo que significó que los hackers con acceso a los códigos adicionales de seguridad que protegen sus cuentas podían enviárselos directamente a sí mismos…Y el Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés), un organismo del gobierno de los Estados Unidos que escribe directrices sobre reglas y medidas, incluida la seguridad, recientemente desaconsejó el uso de mensajes de texto basado en 2FA.

El ataque a DeRay fue posible gracias a la “ingeniería social”. En este caso, un criminal engañó a un representante de servicio al cliente para dejar a DeRay vulnerable. El ataque se realizó consiguiendo el teléfono de su compañía y emitiendo una nueva tarjeta SIM para los atacantes, permitiéndoles hacerse cargo de su número. Eso significa que cuando usaron su primer factor (la contraseña) para iniciar sesión en su cuenta, el código del segundo factor fue enviado directamente a ellos. Este es un hackeo común que está aumentando cada vez más.

Es difícil defenderse de un ataque como este, y es una triste realidad saber que no hay una forma de seguridad inexpugnable. Pero hay pasos que puedes llevar a cabo para que estos ataques sean menos probables, y los detallamos a continuación, en la sección de seguridad móvil.

La autenticación en dos pasos por medio de mensaje de texto puede ser manipulada, y también es posible que se aprovechen de las vulnerabilidades en la infraestructura de telecomunicaciones que guardan nuestras conversaciones. También se puede usar lo que se conoce como un capturador IMSI (también conocido como Stingray) para tomar las comunicaciones de tu móvil, incluidos tus textos de verificación. No pretendemos asustarte, sino poner de manifiesto que, aunque todas las formas de autenticación en dos pasos son mejores que nada, debes utilizar una aplicación de autenticación o, mejor aún, una llave física, si es posible.

Deberías, si la página web lo permite, usar otra opción 2FA que no esté basada en mensajes de texto, como una aplicación de autenticación en tu smartphone (por ejemplo, Google Authenticator, DUO Mobile o Authy) o un token físico. Si esa opción está disponible, es una gran idea usarla.

QUÉ HACER Y QUÉ NO HACER

Usa antivirus: sí, ya lo has oído antes. Pero sigue siendo verdad. Los antivirus están, irónicamente, llenos de vulnerabilidades de seguridad, pero si no eres una persona en la mira de los hackers de la nación o de criminales avanzados, tener un antivirus es buena idea. Aun así, el software de un antivirus está lejos de ser una panacea, y en 2017 necesitas más que eso para estar seguro. También debes saber que, por definición, el antivirus es increíblemente invasivo: necesita instalarse muy dentro de tu ordenador para escanear y detener malware. Y hay quien puede abusar de este alcance. Por ejemplo, el Gobierno de Estados Unidos acusa a Kaspersky Lab, uno de los antivirus más conocidos del mundo, de haber pasado documentos sensibles de uno de sus clientes al Gobierno ruso.

Usa plugins de seguridad sencillos: a veces, todo lo que un hacker necesita para controlarte es llevarte al sitio correcto, plagado de malware. Por eso vale la pena usar plugins simples que puedas instalar fácilmente y olvidarte, como los bloqueadores de publicidad, que te protegen del malware contenido en la publicidad de muy sospechosos que puedes encontrarte en internet, y a veces incluso en sitios certificados. (Obviamente, nos gustaría que permitieras la publicidad en VICE, porque gracias a ella sobrevivimos.)

Otro plugin útil es HTTPS Everywhere, que obliga a que tu conexión permanezca encriptada (cuando el sitio lo permita). No te servirá si el sitio en el que estás navegando tiene malware, pero en algunos casos, ayuda a evitar que los hackers te envíen a versiones falsas de ese sitio (si es que hay uno encriptado disponible) y en general evita que los hacker manipulen tu conexión en el sitio auténtico.

Usa un VPN: las Virtual Private Networks (redes virtuales privadas) son un canal seguro entre tu ordenador e internet. Si usas una VPN, primero te conectas a ella y luego a al resto de la red, agregando una barrera más de seguridad y privacidad. Si utilizas internet en un espacio público, ya sea un Starbucks, un aeropuerto o incluso un Airbnb, lo estás compartiendo con personas que no conoces. Y si algún hacker está en la misma red que tú, puede intervenir tu conexión y potencialmente tu ordenador. Vale la pena investigar un poco más sobre las VPN antes de utilizar una, porque algunas son mucho mejores que otras (la mayoría de las gratuitas no realizan bien sus funciones de protección de la privacidad). Nosotros recomendamos Freedome, Private Internet Access, o si eres un usuario técnico, Algo.

Desactiva las macros: los hackers pueden usar las macros de Microsoft Office dentro de los documentos para propagar malware en tu ordenador. Es un viejo truco, pero recuperó su vigencia para difundir ransomware. ¡ Desactívalos!

Haz copias de seguridad: no es un consejo nuevo, pero si te preocupa que los hackers destruyan o bloqueen tus archivos (con ransomware, por ejemplo), debes hacer copias de seguridad. Idealmente, deberías hacerlo mientras estás desconectado de la red y dejar la copia en un disco duro externo para que, si te infecta un ransomware, la copia esté segura.

No uses Flash: históricamente, Flash es uno de los softwares más inseguros que has tenido jamás en tu ordenador. A los hackers les encanta Flash porque tiene más agujeros que un queso suizo. La buena noticia es que gran parte de la red le han dado la espelda a Flash, por lo que realmente ya no lo necesitas para tener una experiencia de navegación rica y completa. Plantéate eliminarlo de tu ordenador, o por lo menos cambia la configuración de tu navegador para que tengas que autorizar la ejecución de Flash en cada ocasión.

No te sobreexpongas sin razón: la gente adora compartir casi toda su vida en redes sociales. Pero por favor, no tuitees una foto de tu tarjeta de crédito o de unos billetes de avión, por ejemplo. En general, es bueno ser consciente de que una publicación en redes sociales a menudo está expuesta a cualquier persona en internet que se moleste en mirar tu perfil, incluso si se trata de adivinar la dirección de tu casa a través de tus rutas frecuentes en sitios como Strava, una red social para corredores y ciclistas.

La información personal como la dirección de tu casa o de tu instituto (la mascota de la escuela está a una búsqueda en Google de distancia) puede usarse para conseguir más información a través esquemas de ingeniería social. Entre más información personal tiene un atacante, más probable es que consigan acceso a una de tus cuentas. Con eso en mente, quizá te plantees aumentar también la configuración de privacidad de algunas de tus cuentas.

No abras documentos adjuntos sin precaución: durante décadas, los cibercriminales han escondido malware en documentos adjuntos de Word o en formato PDF. Los antivirus a veces pueden detener estas amenazas, pero es mejor utilizar el sentido común: no abras documentos adjuntos (o hagas clic en enlaces) de personas que no conoces o que no estabas esperando. Y si en verdad quieres hacerlo, toma precauciones, como abrir los documentos en Chrome (sin descargar nada). O aun mejor, guarda el archivo en Google Drive y ábrelo en el propio Drive, lo cual es más seguro porque el documento lo abre Google y no tu ordenador.

Ahora vivimos en un mundo en el que los smartphones se han convertido en los dispositivos de cálculo principales. No solo usamos los móviles más que los ordenadores de sobremesa, sino que están con nosotros casi todo el tiempo. Huelga decir, pues, que los hackers van tras los móviles cada vez más.

La buena noticia es que hay una serie de pasos sencillos y algunas precauciones que pueden minimizar los riesgos, y vamos a decirte cuáles son

MODELOS DE AMENAZA EN MÓVIL

La mayoría de las personas usan códigos de seguridad, contraseñas o patrones para “bloquear” sus teléfonos móviles. Si eres de las personas que no lo hace, sin duda deberías hacerlo (los patrones son más fáciles de adivinar o de copiar mirando que los PIN o códigos de seguridad, según un estudio reciente).

Una de las mayores amenazas es que alguien tenga acceso físico a tu dispositivo móvil y pueda desbloquearlo. Esto significa que tu seguridad es tan buena como tu contraseña: si puedes hacerlo, evita compartir tu código de seguridad o contraseña, y evita usar dígitos fáciles de adivinar como tu fecha de nacimiento o dirección. Incluso los códigos simples funcionan bien para detener a carteristas o delincuentes, pero no cuando te preocupa lo que tu pareja abusiva pueda hacer.

Con esto en mente, te damos algunos puntos básicos que puedes llevar a cabo para prevenir otras amenazas comunes que afectan a tus dispositivos móviles.

COMPRA UN iPHONE

La gran mayoría de las personas involucradas en el mundo de la ciberseguridad —con excepción, tal vez, de los ingenieros de Android— creen que los iPhones son los teléfonos móviles más seguros que puedes comprar. Existen varias razones para creerlo, pero la principal es que iOS, el sistema operativo de Apple para móviles, es extremadamente hermético. Las aplicaciones tienen que pasar pruebas exhaustivas antes de llegar a la App Store, y existen varias medidas de seguridad, como la aprobación de códigos y firmas digitales de Apple (medida conocida como firma de código), y el hecho de que las aplicaciones tienen limitaciones a la hora de vincularse con otras (sandboxing).

Estas funciones hacen que sea muy difícil para los hackers atacar las partes confidenciales del sistema operativo. Ya que Apple controla la infraestructura de iOS, los iPhones reciben actualizaciones inmediatas y con regularidad; las actualizaciones urgentes de seguridad para muchos dispositivos Android pueden tardar semanas o meses en llegar a los usuarios. Incluso el iPhone 5, cuyo lanzamiento fue en 2013, cuenta con dicha cobertura.

Si eres un paranoico, el iPhone es la opción más segura del mercado. Pero a menos que tengas una muy buena razón, no lo liberes. Aunque el mismo hecho de liberación y los hackers detrás del mismo han contribuido a hacer del iPhone un móvil más seguro, liberar uno de estos dispositivos en la actualidad no te aporta ninguna función por la que valga la pena correr el riesgo. Antiguamente, los hackers solo podían atacar iPhones liberados.

Sin embargo, nada es a prueba de hackers. Sabemos que algunos gobiernos disponen de herramientas valoradas en millones de dólares para hackear iPhones, y quizás algunos criminales sofisticados también cuenten con ellas. De cualquier manera, cómprate un iPhone, instala las actualizaciones, no lo liberes, y posiblemente todo salga bien.

¡PERO ES QUE ANDROID ME ENCANTA! VALE…

Android es el sistema operativo más popular del mundo gracias a su naturaleza descentralizada de código abierto, y el hecho de que muchos terminales están disponibles a precios más bajos que los iPhones. En algunos sentidos, dicha naturaleza de código abierto fue el pecado original de Android: Google se encargaba del control y, por lo tanto, de la seguridad de la cuota de mercado. De esta manera, las actualizaciones urgentes de seguridad dependen de los operadores y fabricantes de dispositivos, quienes históricamente han sido poco serios en las entregas.

La buena noticia es que en los últimos dos años esto ha mejorado mucho. Google han presionado a los socios para que entreguen a sus usuarios actualizaciones mensuales, y los propios dispositivos insignia de Google cuentan con casi el mismo tipo de respaldo del que gozan los iPhones con Apple, al igual que algunas funciones de seguridad.

Así que tu mejor apuesta son los móviles Pixel o Nexus, cuya seguridad no depende de nadie, solo de Google. Si no quieres un teléfono de esta compañía, estos móviles tienen buena reputación de ofrecer actualizaciones de seguridad, de acuerdo con el propio Google.

No importa qué tipo de teléfono Android tengas, siempre debes tener mucho cuidado con las aplicaciones que instalas. Los hackers tienen fama de introducir aplicaciones dañinas en la Play Store, por ello tienes que pensártelo dos veces antes de bajar una aplicación poco conocida. A finales del año pasado, más de un millón de usuarios de Android instalaron una versión falsa de WhatsApp en sus dispositivos. También procura bajar siempre las aplicaciones de la Play Store y no de tiendas de terceros, las cuales podrían ser peligrosas. En la mayoría de los teléfonos Android, la instalación de aplicaciones por medio de terceros está desactivada por defecto, así que no la actives.

Para proteger los datos de tu teléfono Android, asegúrate de que el cifrado de disco está completamente activado. Abre Ajustes, ve a Ajustes avanzados, Seguridad, y pulsa Cifrar télefono, si es que no está activado. (Si esto no funciona en tu dispositivo, busca las instrucciones específicas en Google).

Finalmente, aunque no es obligatorio, podría ser una buena idea instalar un antivirus para móviles como Lookout o Zips. Aunque suelen ser efectivos contra malware, no creo que puedan detener a hackers del gobierno.

BLOQUEA LA TARJETA SIM

Hace poco dimos a conocer que los hackers han utilizado un error informático (bug) en un sitio de T-Mobile para obtener datos personales de clientes con la intención de hacerse pasar por esas personas. Este tipo de ataques, conocidos como SIM swapping o SIM hijacking, permiten a los hackers tomar el control de tu número de teléfono y todo a lo que esté conectado. El SIM hijacking es lo que hace de la autenticación en dos pasos vía SMS una práctica tan peligrosa.

Tu número de teléfono suele ser un punto de entrada hacia otras partes, quizás más delicadas, de tu vida digital: tu correo electrónico, cuenta de banco y copias de seguridad de iCloud.

Como consumidor, no puedes controlar los bugs que tu operador deja abiertos para los hackers. Pero puedes complicarles la vida un poco. La solución es fácil, aunque no mucha gente la conoce: una contraseña alternativa o código de seguridad que necesitas proveer cuando llamas a tu proveedor de telefonía.

Llama a tu proveedor y solicita que hagan esto por ti. Desde luego, asegúrate de recordar la contraseña o, aun mejor, escríbela en tu gestor de contraseñas.

La guía Motherboard sobre privacidad, mensajería y protección contra la vigilancia del Estado y las autoridades

Tras el atentado del 11 de septiembre, Estados Unidos puso en marcha un ingente aparato de vigilancia con el que comprometía los derechos constitucionales del país y limitaba la posibilidad de recurrir al sistema judicial.

Ante este despliegue extraordinario de medidas de vigilancia, es normal que haya estadounidenses que sientan cierta paranoia. Y es que no solo hablamos de la Agencia Nacional de Seguridad (NSA, por sus siglas en inglés): el FBI e incluso la policía disponen ahora de más herramientas que nunca para espiar los movimientos de los ciudadanos. El alcance de esta supervisión pasiva e inesperada presenta muchos factores preocupantes: ahora, las cuentas de redes sociales pueden ser utilizadas como prueba en juicios, los emails y llamadas se pueden registrar masivamente y los metadatos de los teléfonos móviles pueden capturarse vía capturadores de identidad IMSI o Stingray inicialmente dirigidos a otros individuos.

Al margen del país en el que te encuentres, no hay que olvidar que la antivigilancia no es la solución, sino una más de las medidas de protección que puedes tomar. Tal vez tú no seas el objetivo más probable, pero eso no significa que no debas preocuparte por mejorar tu seguridad en la red. El tema de la vigilancia es muy complejo: por muchas medidas de seguridad que tomes, si te estás comunicando con alguien que no lo haga, corres el mismo riesgo de ser espiado a través del dispositivo de tu interlocutor, por ejemplo.

Por eso es importante normalizar una serie de buenas prácticas de seguridad, con más razón aun si no tienes nada que temer, ya que al implementar estas herramientas estarás protegiendo a esos amigos tuyos que son, por ejemplo, inmigrantes indocumentados o activistas. El actual director de la CIA considera que el uso de cualquier tipo de cifrado “puede por sí mismo levantar sospechas”. Si no tienes “nada que ocultar”, el uso de cifrado puede ayudar a personas en situación vulnerable al añadir ruido a la vigilancia. Siguiendo los pasos de esta guía estarás contribuyendo a la seguridad de alguien. Piensa en ello como en una especie de inmunidad colectiva: cuanta más gente aplique estas buenas prácticas, mayor será la seguridad de todos.

Los consejos que te hemos dado anteriormente siguen siendo aplicables: si puedes protegerte contra posibles ciberataques, también tendrás más posibilidades de evitar ser espiado. Pero las herramientas tecnológicas no son la panacea a todos estos problemas, ya que los gobiernos disponen de un arma que los hackers no tienen: el poder de la ley. Muchos de los consejos de esta sección de la guía te serán de ayuda no solo en caso de ser objeto de requerimientos judiciales o de vigilancia gubernamental, sino también en caso de que alguien intente espiarte.

No es necesario que te conviertas en un experto en seguridad. Simplemente piensa en los riesgos que corres y no te dejes intimidar por la tecnología. La seguridad implica un proceso de aprendizaje continuo, ya que tanto las amenazas como las herramientas que se usan para combatirla cambian constantemente. Esta es una de las razones por las que a veces los consejos en este campo pueden parecer variables y contradictorios. En cualquier caso, las siguientes recomendaciones son un buen punto de partida.

EL MODELO DE AMENAZA (edición de privacidad y vigilancia)

En primer lugar, debes tener en cuenta que cada problema debe resolverse con una herramienta específica. Sin un modelo de amenaza, es fácil acabar abrumado por la cantidad de utilidades disponibles. En el caso de la vigilancia, el modelo de amenaza en el ámbito de la vigilancia es similar al del hackeo, si bien hay una serie de matices que varían según la situación.

Mucha gente aconseja simplemente que uses Signal o Tor, pero estas soluciones no siempre son útiles para todo el mundo. Una amiga, por ejemplo, usaba el servicio de mensajería integrado Words With Friends para hablar con la gente de los maltratos a los que la sometía su ex porque sabía que el hombre leía sus mensajes de texto y los que escribía en Gchat. Words With Friends no es un sistema de mensajería particularmente seguro, pero en este caso concreto resulta mejor opción que Signal o Hangouts porque a él no se le ocurrió leer los mensajes en el juego.

Cuando entran en juego actores gubernamentales, a veces resulta útil clasificar la vigilancia en dos categorías: la vigilancia de metadatos (quién eres, con quién te comunicas y cuándo lo haces) y la vigilancia de contenido (qué dices en tus comunicaciones). Como ocurre con la mayoría de cosas, cuando ahondas un poco, ves que las cosas no son tan sencillas, pero para empezar es suficiente.

La legislación sobre vigilancia es compleja, pero en pocas palabras, tanto la ley como la infraestructura tecnológica actual facilitan más la obtención de metadatos que de contenido. Los metadatos no tienen por qué ser menos importantes o reveladores que el contenido. Pongamos un ejemplo: recibes una llamada de una clínica que practica abortos, luego llamas a tu pareja, luego al seguro. Toda esa información va a aparecer en la factura del teléfono, y la compañía telefónica podría cederla al Gobierno si este lo requiriera. La empresa de telefonía probablemente no esté grabando tus conversaciones ¾el contenido de estas es privado¾, pero a estas alturas eso es lo de menos, ya que solo con los metadatos una persona puede hacerse una idea muy clara de lo que está ocurriendo.

Empieza a plantearte qué información está abierta y expuesta y qué puedes proteger. A veces hay que resignarse al hecho de que podemos hacer muy poco respecto a determinados canales de comunicación. Si las circunstancias son muy adversas, la única solución será buscar una alternativa.

SIGNAL

Signal es un servicio de mensajería cifrada para smartphones y ordenadores de sobremesa. En muchos casos ¾no todos¾ es una buena opción para burlar la vigilancia. Dado que el Gobierno tiene la capacidad de interceptar mensajes electrónicos en el momento de su transmisión, es importante que tus comunicaciones se hagan siempre con cifrado de extremo a extremo, en la medida de lo posible.

Usar Signal es muy sencillo. Solo tienes que descargarlo de la tienda de aplicaciones de tu móvil (en la iOS App Store y en Google Play se llama “Signal Private Messenger” y está desarrollada por Open Whisper Systems).

Si tienes en tu lista de contactos el número de teléfono de tu interlocutor, l aparecerá en Signal y podrás enviarle mensajes o llamarle. Siempre y cuando esa persona también tenga Signal, los mensajes se cifrarán automáticamente.

Esta aplicación dispone incluso de una variante para ordenadores de sobremesa, para usarla del mismo modo que los usuarios de iOS / Mac OS utilizan iMessage. Puedes ir al sitio web Signal.org y descargar la aplicación para tu sistema operativo siguiendo las instrucciones.

Signal dispone de una función para establecer un tiempo de vida de los mensajes, transcurrido el cual se borrarán de todos los dispositivos. Puedes determinar el periodo de tiempo que quieras, incluso si es muy breve. Esta función es muy útil para periodistas que quieren proteger a sus fuentes o mantener seguras las conversaciones con editores.

Estas características son la razón principal por la que recomendamos Signal antes que cualquier otra aplicación de mensajería. iMessage y WhatsApp también usan cifrado de extremo a extremo pero tienen sus desventajas.

No recomendamos WhatsApp porque es propiedad de Facebook, plataforma a la que ha estado cediendo información de los usuarios. Aunque solo se trata de metadatos, no deja de ser un quebrantamiento de la promesa que hizo WhatsApp en su día, cuando fue adquirida por Facebook. Creemos que esto resta fiabilidad a la aplicación.

Aunque es muy positivo que Apple cifre de extremo a extremo los mensajes de iMessages, esta aplicación realiza copias de seguridad de los mismos en iCloud de forma predeterminada, razón por la cual puedes enviar mensajes desde todos tus dispositivos Apple. Esta función es genial, pero si sospechas que puedes ser objeto de vigilancia gubernamental, recuerda que Apple se ajusta a lo que estipula la ley y cederá tus datos al Gobierno si este lo exigiera: “Para tu comodidad, los mensajes SMS y de iMessage se guardan en una copia de seguridad de iCloud”, señala la página de privacidad de Apple. Es posible desactivar esta función, pero en teoría Apple podría verse obligada a acceder a mensajes de iMessages que hubieras enviado a personas que tienen activada esa función.

Signal conserva muy poca información. Lo sabemos porque el año pasado, Open Whisper Systems tuvo que comparecer a petición del Gobierno y fue obligado a ceder información, pero los datos que conservaban eran mínimos, concretamente números de teléfono, fecha de creación de las cuentas, y la hora de la última conexión de los usuarios a los servidores de Signal. Como ves, no es mucho.

Existen alternativas mucho peores que WhatsApp o iMessage. Por ejemplo, deberías evitar a toda costa utilizar Telegram para realizar cualquier tipo de comunicaciones delicadas. Y Google lee todos tus chats en Gchat a no ser que tomes medidas específicas para cifrarlos de extremo a extremo. Hay otras alternativas decentes en el mercado (como Wire), pero al igual que WhatsApp y iMessage, han sido desarrolladas por empresas con ánimo de lucro y nadie sabe con certeza qué planes de monetización tienen para el futuro. Signal es un proyecto de código abierto y sin ánimo de lucro. No obstante, también tiene sus defectos. Por ejemplo, no es tan elegante como iMessage ni puede permitirse el lujo de tener un nutrido equipo de seguridad trabajando para ellos. Por eso no es mala idea hacer algún donativo si decides bajarte la aplicación.

Respecto a Signal, cabe destacar que para usarlo es necesario asociar el dispositivo a un número de teléfono. Eso significa que debes fiarte de la persona con la que te vas a mensajear porque va a tener tu número; obviamente, hay muchas razones por las que no querrías revelar tu número a un interlocutor, lo que convierte este requisito en una de las debilidades de Signal.

También conviene recordar que el hecho de que una comunicación esté cifrada de extremo a extremo no significa que sea invisible a los ojos del Gobierno. Simplemente significa que el contenido está cifrado entre ambos extremos; si alguien intercepta uno de esos mensajes mientras está siento enviado, el contenido aparecerá como un galimatías.

Sin embargo, si uno de los extremos se ve comprometido ¾es decir, si alguien hackea tu móvil o te lo requisan las autoridades¾, se acabó el juego.

El cifrado, por tanto, no imposibilita al Gobierno espiarte, pero sí se lo pone más complicado. La idea es que introducir cierto grado de fricción en la ecuación resulta en una mayor privacidad.

SÉ CONSCIENTE DE LO QUE PUBLICAS EN REDES SOCIALES

Si sueles publicar contenido en redes sociales, depende de en qué país estés, has de saber que la policía a veces hace seguimiento de los activistas en línea. Facebook, Instagram y Twitter, por ejemplo, han cedido datos a los productos de seguimiento de redes sociales que usó la policía estadounidense para controlar a los activistas de Black Lives Matter.

Incluso cuando eliges las opciones de privacidad más restrictivas, los desarrolladores de redes sociales están sujetos a requerimientos judiciales que los obligan a facilitar a las autoridades tu información en caso necesario. Y la mayoría de las veces, lo harán sin que te des ni cuenta. En lo que respecta a las redes sociales, parte de la base de que todo lo que subes será público. Esto no quiere decir que debas dejar de usar redes sociales, sino que debes usarlas con cabeza.

Si eres activista, plantéate utilizar un pseudónimo y, a la hora de publicar cosas, ten en cuenta también la seguridad de los demás.

¿A quién etiquetas en tus publicaciones? ¿Sueles añadir información sobre tu ubicación? ¿A quién haces fotos y por qué? Has de tener especial cuidado con las fotos de protestas, manifestaciones y encuentros multitudinarios. La tecnología de reconocimiento facial ha avanzado muchísimo y, aunque no etiquetes a alguien, al parecer existe un algoritmo capaz de detectar e identificar a activistas en una fotografía. De hecho, en las sugerencias sobre el etiquetado de Facebook ya se hace mención a ello.

Si le haces una foto a alguien en una manifestación, asegúrate de que esa persona te da su permiso para publicarla y de que conoce las implicaciones de que su imagen se suba a un medio público.

CUIDADO CON DISPOSITIVOS COMO CÁMARAS Y MICRÓFONOS

¿Hay cámaras en tu entorno? Si tienes cámaras de seguridad conectadas a internet en casa o una webcam siempre en funcionamiento, no dejes estos dispositivos desprotegidos. Asegúrate de cambiar las contraseñas que tuvieran por defecto y tapa el objetivo cuando no las uses.

Si tienes un portátil o un smartphone, cubre la cámara frontal con una pegatina. No hace falta que dejes de hacerte selfis o de usar Facetime; simplemente se trata de evitar que nadie te vea cuando no lo quieres. En Amazon, por ejemplo, se venden pegatinas de quita y pon para cubrir la cámara de los portátiles que no dejan residuos en su superficie. Cómprate unas cuantas y regala algunas a tus amigos.

Por último, no hay forma alguna de estar seguro de que el micrófono de tu móvil no esté grabando. Si temes que puedas ser objeto de escuchas, apaga el móvil y mételo en el microondas (temporalmente, y con el microondas apagado) o déjalo en otra habitación. ¡Ten en cuenta que solo con apagar el móvil no tienes garantías de seguridad! En cualquier caso, conviene que no dejes tus dispositivos en el dormitorio cuando te acuestes con tu pareja.

En 2012, la periodista azerí Khadija Ismayilova fue víctima de un chantaje con una grabación sexual grabada de forma subrepticia. El extorsionador exigía a Ismayilova que dejara de publicar artículos criticando al Gobierno, amenazando con publicar el vídeo si no obedecía (Ismayilova denunció públicamente el chantaje y el vídeo fue subido a internet). En 2015, el Gobierno de Azerbaiyán la condenó a siete años y medio de prisión por evasión fiscal. Actualmente la periodista está en libertad condicional.

Gobiernos de muchos países han utilizado el chantaje con contenido sexual para extorsionar a disidentes. Tenlo en cuenta y protege tu privacidad.

PROTEGE TUS DISPOSITIVOS CON BLOQUEO DE PANTALLA

Establece una contraseña de acceso en el móvil y el ordenador. No confíes únicamente en la identificación mediante huella dactilar. Jurídicamente, la policía lo tiene más fácil para obligarte a desbloquear un dispositivo con tu huella que a introducir una contraseña.

UTILIZA OTR (Off The Record) para chatear, si es necesario

Lo mejor para chatear en un ordenador de sobremesa es usar Signal, pero hay otra opción especialmente útil para periodistas.

Cierra la ventana de Gmail y descárgate OTR para chatear. Ten en cuenta que solo puedes usar esta aplicación si la otra persona también la tiene*.

Puedes usar tu cuenta de Gmail como ID para este chat. De esta forma, podrás seguir chateando en Gchat pero habrás añadido un nivel extra de cifrado. Abre una ventana de chat y haz clic en el icono del candado para iniciar el cifrado. Asegúrate también de cambiar la configuración para no guardar registros de las conversaciones cifradas.

Como ya hemos dicho, el cifrado de extremo a extremo tiene sus limitaciones. Si tu interlocutor está registrando vuestras conversaciones, poco importará que te molestes en tomar todas estas medidas de seguridad. Si realmente te preocupa la privacidad, habla con esa persona para que deje de registrar las conversaciones.

*Los usuarios de Mac pueden instalar Adium. Los usuarios de PC y Linux tendrán que instalar Pidgin y luego el plugin de OTR.

INSTALA EL NAVEGADOR TOR

Tor ¾acrónimo de “The Onion Router”¾ crea ruido sobre el tráfico de datos que generas en internet enrutando toda la información a través de varios niveles de ordenadores. De esta forma, cuando accedes a un sitio web, no es posible determinar desde dónde te estás conectando. El modo más sencillo de usar Tor es instalando el navegador Tor Browser. Funciona exactamente igual que Chrome, Firefox o Internet Explorer, solo que más lento, debido al nivel extra de privacidad que ofrece.

SI te acostumbras a usar Tor para todas tus consultas, mejorarás considerablemente tu seguridad en la red, aunque este buscador tiene sus desventajas. No intentes, por ejemplo, ver una serie de Netflix a través de Tor.

Valora tus necesidades y determina en qué medida necesitas usar Tor en tu rutina. Recuerda siempre que tu dirección IP es totalmente pública cuando no usas este navegador.

Hay cuatro razones por las que querrías usar Tor:

  • Estás intentando mantener oculta tu identidad.
  • Usas muchos puntos de conexión wifi públicos.
  • Estás intentando burlar la censura del Gobierno del país en el que resides.
  • Quieres proteger a otros usuarios de Tor.

Si eres activista y quieres ocultar tu identidad, necesitarás usar Tor para enmascarar tu dirección IP. Estamos hablando de un escenario en el que se hace un uso limitado. Lo que queremos decir es que resulta absurdo abrir Tor, conectarte a tu cuenta de Twitter y escribir, “Hola a todo el mundo, estoy escribiendo desde la oficina de VICE de Barcelona”. En ese caso ya estás dando toda la información que Tor oculta.

Si te conectas a menudo a redes wifi públicas (en hoteles, cafeterías o en el aeropuerto), sí que es muy recomendable que uses Tor. Ofrece las mismas ventajas que una VPN sin muchas de las desventajas de estas (ver la próxima sección para obtener más información al respecto).

En gobiernos en los que se censuran partes de internet, Tor puede ser útil para burlar esa censura.

Por último, una de las mayores ventajas de Tor es que cuanta más gente lo use, más difícil resulta rastrear a todos sus usuarios. La red adquiere más fuerza con cada usuario anónimo que la utiliza, así que si te tomas la molestia de usarla a diario, estarás ayudando a personas que verdaderamente tengan la necesidad de proteger su identidad.

Pero ojo: Tor no es un buscador a prueba de todo. Hay casos de Gobiernos que han conseguido identificar a grupos de usuarios de Tor, del mismo modo que se ha logrado hackear a grupos de usuarios de VPN en masa. Tor ofrece privacidad, no seguridad. Está diseñado para dificultar el rastreo del tráfico de datos que generas, no para imposibilitarlo. Por tanto, siempre existe un riesgo de que tu actividad no sea tan oculta como piensas.

Los ordenadores que componen la red de Tor ¾aquellos en los que rebotan los datos de tráfico que generas¾ pertenecen a voluntarios, instituciones y organizaciones de todo el mundo, muchos de los cuales se están exponiendo a una serie de riesgos por formar parte de esta red. Supuestamente, los datos que pasan por estos equipos no debería quedar registrado en ninguno de ellos, pero como se trata de un acto altruista, no hay garantías de que así sea. Este riesgo potencial queda mitigado por el hecho de que desde cada nodo únicamente puede verse una instantánea de todo el tráfico de datos que pasa por él y de que nadie tiene acceso ni a la IP del usuario ni a sus datos descifrados. Alguien con malas intenciones tendría que revisar un número considerable de nodos ¾algo muy difícil¾ para empezar a reunir información con sentido. Además, Tor dispone de una función de control de este tipo de comportamientos.

En última instancia, por lo que se refiere a la vigilancia gubernamental, Tor es mejor que una VPN, y una VPN es mejor que nada.

El futuro de Tor es incierto, ya que en parte está financiado con ayudas del gobierno estadounidense (como muchas otras tecnologías de última generación, Tor nació como un proyecto militar de este país). Cabe la posibilidad, por tanto, de que Tor pierda toda la financiación a muy corto plazo. Puedes contribuir a evitarlo haciendo un donativo a Tor Project.

VPN ( acrónimo inglés de Redes Virtuales Privadas)

En temas de seguridad, las VPN no son muy útiles. Una VPN ocultará tu dirección IP, pero el Estado puede intervenirla para obtener información de usuario que acabe delatando tu identidad. Muchas empresas que ofrecen estos servicios, por ejemplo, conservan un registro de las direcciones IP que se conectan a las redes, del momento en que lo hacen y los sitios que visitan. Estos datos pueden acabar revelando tu identidad, sobre todo si estás pagando la suscripción a la VPN con una tarjeta de crédito.

Hay proveedores de VPN que aseguran que no guardan registros de ningún tipo de datos. De ti depende valorar en qué medida confías en estos proveedores y tomar una decisión al respecto. Pero en cualquier caso, si te preocupa que el Gobierno te esté espiando, mejor que uses Tor.

PGP (aunque seguramente no merezca la pena tomarse la molestia)

La única solución fiable para cifrar tus emails es PGP, o Pretty Good Privacy. Desgraciadamente, PGP resulta terriblemente engorroso de usar. Incluso su creador, Phil Zimmermann, ha dejado de utilizarlo porque no es compatible con dispositivos móviles. Es en casos como este cuando es útil disponer de un modelo de amenaza que te permita determinar hasta qué punto vale la pena usar PGP para tu situación, teniendo en cuenta lo complejo que es este software.

Si realmente necesitas cifrar tu correo, esta guía de PGP puede serte de utilidad. Te advertimos que no es nada fácil, así que quizá te vendría bien la ayuda de algún experto en tecnología para configurarlo.

NO CREES UN SERVIDOR DE CORREO PROPIO

Si algo aprendimos en 2016 es que no hay que abrirse un servidor de correo propio.

Si bien es cierto que Google debe cumplir con los requerimientos judiciales que le obliguen a ceder datos como tus mensajes de correo, también lo es que sabe cómo manejar un servidor de correo mucho mejor que tú. ¡Estos servidores no son moco de pavo! Y si no, que se lo pregunten a Hillary Clinton.

Si estás cifrando tus mensajes de correo, Google solo puede facilitar los metadatos (quién envía a quién y el asunto del mail). Dado que el cifrado del correo es un verdadero engorro, lo mejor es intentar no comunicar información delicada a través de emails y hacerlo en canales con cifrado de extremo a extremo. No hace falta que dejes de utilizar por completo tus cuentas de mail de terceros: simplemente ten presente que toda la información que haya en ellas puede acabar en manos del Gobierno.

CIFRA TU DISCO DURO

Buenas noticias: hacerlo ya no es tan difícil como antes.

El cifrado del disco duro hace que no pueda accederse a su contenido sin la contraseña correcta.

Muchos smartphones incluyen el cifrado del disco duro por omisión. Si tienes un iPhone con el sistema operativo actualizado (en los últimos tres años), ponle una contraseña y listos.

Si eres propietario de un Android, es posible que ya venga cifrado (Google Pixel lo está), aunque lo más probable es que no. No existe ninguna guía actualizada para activar el cifrado en todos los dispositivos Android, por lo que tendrás que investigar por tu cuenta o pedir ayuda a algún amigo. Y si tienes un teléfono de Windows, que Dios te asista, porque nosotros no podemos.

Con los ordenadores, todo es mucho más sencillo que antes:
activar la opción de cifrado de disco que se incluye. Para usuarios de MacBook con Lion o superior, es preciso activar FileVault.

Windows, por otro lado, es mucho más complejo. Hay usuarios que tienen el cifrado activado por defecto. Muchos otros tienen la opción de activarlo, pero es un fastidio. Y si usas Bitlocker, de Microsoft, tendrás que trastear mucho con la configuración para aumentar la seguridad. Apple no tiene la capacidad de desbloquear tus dispositivos. Si el Gobierno enviara un requerimiento a Apple, esta no podría descifrar tu dispositivo, al menos no sin hackear también todos los iPhones del mundo. Con Microsoft no ocurre lo mismo ¾en algunos casos usan lo que denominan “custodia de contraseña”, lo que significa que se reservan el derecho de descifrar tu dispositivo si fuera necesario¾, por lo que tendrás que tomar medidas adicionales para obtener el mismo nivel de protección.

Quizá debas recurrir a VeraCrypt. Muchas guías antiguas recomiendan usar TrueCrypt para cualquier sistema operativo, pero esta recomendación ha quedado obsoleta. VeraCrypt antes se llamaba TrueCrypt, y la historia del cambio de nombre es toda una telenovela informática con brechas en la trama del tamaño de Marte y que no trataremos en esta guía. En cualquier caso, no hay nada malo con VeraCrypt, según los expertos, pero si tienes la posibilidad, usa la opción de cifrado del disco duro de tu sistema operativo.

Si utilizas Linux, tu sistema operativo probablemente ofrezca soporte para cifrado. Sigue las instrucciones durante el proceso de instalación.

TARJETAS DE CRÉDITO

Las entidades bancarias nunca van a plantar cara al Gobierno y cederán cualquier información tuya que posean a la primera de cambio. Y recuerda que cuando han dado con tu identidad, es muy fácil para ellos ir tirando del hilo.

Un ejemplo es el que comentábamos antes, de pagar un servicio de VPN con tarjeta de crédito. Lo mismo pasaría si has contratado ese servicio con bitcoins y has cambiado esos bitcoins usando tu tarjeta de crédito.

Esto es aplicable a cualquier cosa que compres, desde dominios hasta móviles recargables. A decir verdad, poco se puede hacer a este respecto. Es una de las razones por las que se recomienda el uso de Tor en vez de una VPN.

Es también una de las razones por las que es tan difícil conseguir un móvil de prepago que sea imposible de rastrear. Para esto no hay una solución fácil. Si te encuentras en una situación en la que tu vida depende de tu capacidad de preservar el anonimato, vas a necesitar mucha más ayuda que la que esta simple guía o cualquier otra pueden ofrecerte.

Una cosa más: hasta el momento, organizaciones estadounidenses como ACLU (acrónimo inglés de Unión Estadounidense por las Libertades Civiles) o NAACP (Asociación Nacional para el Progreso de las Personas de Color) están amparadas por un derecho constitucional que les permite negarse a facilitar el nombre de sus contribuyentes. Sin embargo, PayPal o tu entidad bancaria no tendrán ningún problema en traicionarte. Esto no significa que no debas hacer donativos a organizaciones que luchan contra la opresión y por la defensa de los derechos y las libertades civiles. Al contrario, es más importante que nunca que colabores porque cuanta más gente lo haga, más protegidos estarán los contribuyentes del escrutinio y la sospecha.

AVISO A LOS PERIODISTAS SOBRE EL RIESGO DE CONSERVAR SUS ANOTACIONES

¿Quieres proteger a tus fuentes? Has de saber que todo, desde tus notas hasta los chats de Slack y Gchat, los documentos de Google Drive, de Dropbox, las entrevistas grabadas y las transcripciones pueden acabar usándose como pruebas en un juicio.

No esperes a que una demanda sea inminente para borrar información. Podría ser ilegal y corres el riesgo de acabar en la cárcel. Obviamente, cada caso es distinto: quizá necesites conservar tus anotaciones para guardarte las espaldas. En ese caso, entérate bien de los riesgos, habla con un abogado y actúa con responsabilidad.

QUÉ NOS DEPARA EL FUTURO

Aunque la gran mayoría de las indicaciones de esta guía pueden aplicarse a cualquier país, se elaboraron teniendo en cuenta las capacidades técnicas y jurídicas del Gobierno de los Estados Unidos, y estas pueden cambiar en el futuro. Tal vez el cifrado de alto grado se considere ilegal en unos años. Quizá Estados Unidos empiece a aplicar la censura en internet como ya ocurre en China y otros países o establezca una normativa de identificación para poder acceder a la red, haciendo que sea prácticamente imposible cualquier actividad de forma anónima.

Estas medidas no son fáciles de implementar, por lo que es improbable que ocurran en un futuro cercano.

Tampoco sería descabellado que algunos países presionaran a las tiendas de aplicaciones para que retiraran de la venta Signal u otras aplicaciones con cifrado de extremo a extremo. Ten en cuenta, por tanto, que esta guía puede tener una caducidad, razón de más para actuar contra la vigilancia desde ya y seguir adaptándose a los cambios.

DESCONECTA

Muchos espacios públicos tienen cámaras de vigilancia y existe la posibilidad de que seas objeto de seguimiento. Sin embargo, es mucho más difícil espiar a alguien en persona que recabar información de varias personas a la vez a través de sus comunicaciones electrónicas.

Tómate un descanso del mundo hiperconectado y queda con gente en persona. Si no hay nadie alrededor, puedes hablar de lo que quieras y tus palabras se esfumarán en el aire, sin dejar rastro alguno.

Además, si estás leyendo esta guía, es muy probable que ahora mismo tengas la imperiosa necesidad de que alguien te abrace.

Queda con tu amigo, verificad vuestras contraseñas de Signal y daos un fuerte abrazo. Seguramente los dos estaréis asustados y os necesitaréis mutuamente más que a ninguna tecnología.

SÉ UNA PERSONA SEGURA

Y eso es todo por ahora. Recuerda nuevamente que esta es una guía básica para usuarios medios. Si eres activista de los derechos humanos y actúas en un país peligroso o en una zona de guerra, o si trabajas en una empresa que está creando su infraestructura informática, estos consejos se te quedarán cortos y vas a tener que tomar muchas más precauciones.

En cualquier caso, todo lo dicho en esta guía son consejos esenciales y de sentido común que todo el mundo debería conocer.

Sin duda, habrá muchos lectores más que dispuestos a señalar elementos que faltan en esta guía, y estaremos encantados de escucharles. El mundo de la seguridad está en constante cambio, y lo que hoy se consideran buenos consejos tal vez mañana no lo sean. Nuestro objetivo, por tanto, es mantener esta guía actualizada regularmente, por lo que agradecemos cualquier sugerencia o apunte que podáis hacernos.

Y recordad: no bajéis nunca la guardia.

Traducción por Mario Abad