Seguridad digital:
Conceptos y herramientas básicas 2023
Esta guía de seguridad digital está dirigida a entender los riesgos a los que nos enfrentamos y qué podemos hacer para mitigarlos.
Esta guía ha sido escrita pensando en periodistas, defensores y defensoras de derechos humanos, activistas y personas que, independientemente de su espacio de desarrollo profesional, desean iniciarse en el camino de la seguridad digital y la privacidad.
Edición: Julio 2023
Autora: Oriana Hernández
Diseño y diagramación: Aliz Segovia
Colaboradores: Mario Felaco
Esta obra está bajo una Licencia Creative Commons Atribución-CompartirIgual 4.0 Internacional.
índice
QUÉ ES SUSCEPTIBLE DE SER INTERVENIDO. QUÉ DEBEMOS PROTEGER
a. Cómo crear contraseñas seguras
Usar administradores de contraseñas
Cambiar las contraseñas de servicios más importantes para mantener tu privacidad
AUTENTICACIÓN DE DOS FACTORES (2FA o DOBLE PASO
a. Qué es la autenticación de dos factores
b. Servicios de uso frecuente donde se puede activar la autenticación de dos factores
Mensajería instantánea o chats
c. Protección física de la información en teléfonos móviles
Qué podemos hacer para detectar y eliminar malware de nuestros equipos
NAVEGACIÓN SEGURA, EVASIÓN DE CENSURA Y ANONIMATO
Ventajas y desventajas de usar una VPN
Introducción
Para quién es esta guía
Esta guía ha sido escrita pensando en periodistas, defensores y defensoras de derechos humanos, activistas y personas que, independientemente de su espacio de desarrollo profesional, desean iniciarse en el camino de la seguridad digital y la privacidad. La adopción total o parcial de las recomendaciones que se ofrecen dependerá de los riesgos que enfrenta la persona u organización interesada en implementarlas. Es por ello que antes de comenzar recomendamos que se realice una evaluación de riesgos.
La guía de SAFETAG define el riesgo como “la evaluación actual de la probabilidad de que ocurran eventos dañinos. El riesgo se evalúa comparando las amenazas que enfrenta un agente con sus vulnerabilidades y su capacidad para responder o mitigar las amenazas emergentes”, así:
Amenaza: es un posible ataque que tiene el potencial de dañar la vida, la información, las operaciones, el medio ambiente y/o la propiedad.
Vulnerabilidad: Es un atributo o característica que hace que una entidad, activo, sistema o red sea susceptible a una amenaza dada.
Capacidad: es la combinación de fortalezas, atributos y recursos disponibles de una persona u organización, que al ser implementados o utilizados, pueden reducir el impacto o la probabilidad de las amenazas.
Para más información sobre cómo realizar un completo análisis de riesgo recomendamos consultar el manual “Seguros y Documentados para el Activismo” (SDA).
Qué es susceptible de ser intervenido y qué debemos proteger
Cuando hablamos de seguridad digital normalmente nos referimos al conjunto de acciones que podemos llevar a cabo para proteger y tener control sobre nuestras comunicaciones, información y, en general, sobre nuestros datos, procurando garantizar su disponibilidad, integridad y confidencialidad, pero ¿qué es exactamente lo que debemos proteger?, ¿cómo hacerlo?, ¿dónde comenzar? Una manera de explicarlo es a través de la siguiente imagen:
En la imagen te mostramos cómo es el recorrido regular de la información cuando navegamos en Internet. Vemos como una persona, utilizando su computadora, se conecta a una red Wi-Fi para enviar, por ejemplo, un correo electrónico. Para ello la información pasa, en primera instancia, por la infraestructura de su proveedor de servicios de Internet o ISP y a continuación entra a la Internet, específicamente al servidor de Google.
A continuación, para que la información pueda ser consultada por el destinatario, este debe tener un equipo (en este caso un teléfono móvil) que accede a Internet a través de su propio ISP.
En la imagen es posible identificar varios componentes que hacen posible la comunicación: los usuarios y usuarias (“personas”), los equipos, las redes internas, los ISPs y, finalmente, lo que hemos denominado el “Internet”.
Para mejorar nuestra seguridad digital será necesario tomar medidas en cada uno de estos componentes porque cada uno posee vulnerabilidades que pueden ser aprovechadas por los atacantes. El orden en que llevemos a cabo las medidas de protección o el componente donde deseemos comenzar no es lo relevante, sino llegar a cubrir cada uno de estos para cerrar todas las posibles “puertas de entrada” a nuestros datos.
Es por ello que se dice que la seguridad es un proceso en el que se van añadiendo capas de seguridad a cada uno de los componentes que intervienen en la administración de la información. No existe una herramienta mágica que te proteja de todo ataque.
Con esta guía deseamos invitarte a iniciar este proceso poniendo en práctica las recomendaciones que te ofrecemos en cada uno de los temas.
Antes de comenzar
Las siguientes son algunas premisas relacionadas al mundo de la seguridad que son útiles de conocer antes de empezar a poner en práctica el contenido de esta guía:
En seguridad digital se dice que “la cadena es tan fuerte como el eslabón más débil”. Si eres parte de una organización, es muy conveniente que todos los miembros puedan poner en práctica las recomendaciones acordadas, así lograrán estar más seguros. Como individuo, es recomendable ver tu seguridad como un todo y no pensar que con una sola medida ya estarás seguro: piensa que quizás exista otra manera de tener acceso a tus datos distinta a la que aseguraste.
La mayor parte de la mejora de tu seguridad depende de que puedas cambiar tus hábitos, otra parte depende de que comiences a utilizar nuevas herramientas o aplicaciones y otra de que configures correctamente herramientas o servicios que ya usas.
Aunque pongas en práctica todas las recomendaciones de esta guía tu información nunca estará 100% segura. Solo estarás disminuyendo la probabilidad de ocurrencia o el impacto de tus riesgos, por ello es conveniente que puedas realizar con regularidad una evaluación de los mismos y diseñar planes para su mitigación.
Hablamos de seguridad holística cuando de forma coordinada se utilizan herramientas y tácticas para el bienestar y la seguridad psicosocial, física y digital. Te invitamos a consultar recursos que abordan técnicas para mejorar tu seguridad física y psicosocial, así como a consultar recursos adicionales a esta guía en la parte de seguridad digital.
Las herramientas que te presentamos a continuación se caracterizan por tener en cuenta la seguridad y privacidad de las personas que las usan; se someten a auditorías independientes; están bien valoradas por la comunidad de seguridad digital; son generalmente transparentes sobre su operación (incluyendo sus fallas) y no tienen costo monetario (o tienen al menos una versión de este tipo).
Contraseñas
Una contraseña es un texto cuyo uso permite a las personas acceder a un determinado tipo de información, cuentas de diferentes servicios, entre otros.
Hoy en día, a pesar de que existen múltiples formas de autenticación (pines de 4 o 6 dígitos, patrones, reconocimiento de voz y facial, entre otros), las contraseñas siguen siendo la principal puerta de acceso a nuestras cuentas de usuario y dispositivos. Es por ello que tener contraseñas de acceso seguras, que no puedan ser fácilmente descifradas, es fundamental.
En este capítulo te enseñamos cómo crearlas, qué hábitos son convenientes que cambies y qué alternativas para la administración de tus contraseñas existen en el mercado.
Cómo crear contraseñas seguras
Las contraseñas seguras son aquellas que incorporan en su diseño los siguientes elementos:
Longitud: Mientras más larga, más segura será la contraseña. Cuando diseñamos contraseñas es recomendable hacerlas tan largas como sea posible o como el servicio o dispositivo lo permita. Aunque no hay un consenso sobre cuál debería ser el mínimo, 15 caracteres es un número recomendable. ¿El máximo? Incluso 100 caracteres o más.
Uso de distintos tipos de caracteres: mayúsculas, minúsculas, números y símbolos.
Que no sea predecible: Otra de las técnicas empleadas para descifrar contraseñas es el uso de la “ingeniería social”. Aunque inicialmente consiste en usar la psicología para obtener información de la víctima, las características de este tipo de información hacen que pueda ser obtenida a través de las publicaciones que se realizan en redes sociales y otros sitios de Internet. En este sentido la recomendación es no utilizar información personal (nombres de mascotas, fechas importantes, nombres de familiares, datos personales) en el diseño de las contraseñas.
Una de las técnicas utilizadas por los atacantes para descifrar contraseñas son los llamados “ataques de fuerza bruta”, que consisten en ingresar al sistema todas las combinaciones posibles de contraseñas en forma sistemática y secuencial.
También encontramos los “ataques de diccionario” en donde se prueban todas las palabras registradas y sus combinaciones, por lo que aquellas contraseñas que consisten, por ejemplo, en palabras comunes, serán fácilmente descifradas por el atacante. En este sentido, si consigues incorporar todas las características que hemos descrito anteriormente en tus contraseñas, harás que una persona malintencionada deba emplear mayores recursos (tiempo y hardware, principalmente) y difícilmente pueda dar con la contraseña.
Evita estos hábitos
Repetir contraseñas: Si hackean una de tus cuentas, pueden hackear todas. Recordemos el caso en junio de 2016 de Mark Zuckerberg, CEO de Meta, quien utilizó la clave de acceso de LinkedIn en Twitter, ahora X. Los atacantes habían robado en 2012 una base de datos de contraseñas de LinkedIn y gracias a eso lograron acceder a la cuenta de Twitter de Zuckerberg.
Malas respuestas para las preguntas de seguridad: Muchos servicios ofrecen como alternativa de recuperación de cuenta preguntas que al ser respondidas correctamente permiten de nuevo el acceso al servicio. La recomendación es responder a estas preguntas de seguridad con contraseñas en sí mismas, así evitaremos que terceras personas accedan a nuestros datos por esta vía.
Correos de recuperación no seguros: Al igual que en el punto anterior, otra vía de acceso a nuestras cuentas puede ser a través de correos electrónicos alternativos o de recuperación. La recomendación en este caso es asegurar el acceso al correo de recuperación con las mismas medidas de seguridad. Eliminar el correo de recuperación por contraseñas seguras, así estaremos cerrando otra puerta de acceso a nuestros datos. Eliminar el correo electrónico de recuperación es también una alternativa que puede ponerse en práctica.
Dejar copias físicas o digitales accesibles: Las notas en el celular, los documentos de texto en la computadora, las notas adhesivas en los monitores y las anotaciones de contraseñas en pizarras y libretas no son considerados como buenos hábitos si nuestro objetivo es evitar el acceso de terceras personas a nuestras cuentas. En el caso de las libretas, si consideras que es ésta es tu mejor opción tomando en cuenta los riesgos, recuerda que aquí lo fundamental es que no sea físicamente accesible.
Acceso en equipos que no son de confianza: No es recomendable acceder a nuestras cuentas de usuario desde ordenadores y equipos que no son de confianza. Algunos equipos pueden estar infectados con programas espías capaces de capturar tus contraseñas.
Compartir contraseñas: Las contraseñas son información privada que no debería ser compartida con ninguna otra persona. Si se trata de una cuenta a la que varias personas tienen acceso, como suele ser el caso de las redes sociales de una organización, es importante compartir la contraseña por vías seguras y almacenarlas también en lugares seguros.
Guardar contraseñas en el navegador: Debido a nuevas formas de ataques de phishing y vulnerabilidades que se han registrado en diversos momentos, los navegadores no se consideran lugares seguros para el almacenamiento de nuestras contraseñas. Adicionalmente, es común que los navegadores nos pregunten si deseamos almacenar en ellos una contraseña que acabamos de ingresar. En este caso lo ideal para evitar cliquear en “aceptar” es ir a la configuración del navegador y deshabilitar la opción de guardar contraseñas.
Exceso de confianza: Cada vez son más las técnicas engañosas en las que los usuarios pueden estar facilitando su información sin autorización a desconocidos. Navega siempre en sitios seguros (con HTTPS), chequea que la dirección del sitio web en la barra superior sea correcta y desconfía de cualquier anuncio, correo electrónico, llamada, entre otras formas de comunicación, que soliciten información personal.
Cuidado con el cambio frecuente de contraseñas: Estudios han demostrado que el cambio frecuente de contraseñas podría no ser tan seguro debido a que el usuario tiende a realizar pequeños cambios sobre la contraseña anterior formando patrones cada vez más fáciles de adivinar y, estos patrones también son conocidos por los atacantes. Si has diseñado una contraseña con todos los elementos que hemos descrito anteriormente como seguros, entonces no será necesario realizar un cambio frecuente de esta contraseña a menos de que se sospeche que ha sido tomada por un tercero no autorizado.
Recomendaciones
Usar frases como contraseñas
El uso de una frase es una alternativa de contraseña segura que consiste en utilizar una secuencia de palabras como acceso a nuestras cuentas. Lo importante es que sea larga y no se corresponda con información personal. Por ejemplo:
Esta última bien podría ser una clave segura y tendría la ventaja de ser de fácil memorización. Añadiremos más seguridad si intervenimos la frase incorporando números, símbolos o cambiando algunas de las letras, por ejemplo: “UsoFr@sesC0m0Contr@sen@$”, o agregando más palabras.
Usar administradores de contraseñas
Una alternativa más definitiva para la generación, almacenamiento y gestión de contraseñas, es el uso de un “administrador de contraseñas”. Actualmente existen varios servicios con versiones de escritorio, aplicaciones o de almacenamiento en la nube. Algunos de ellos son: Bitwarden, 1Password, KeePass en sus múltiples versiones y PassPack.
Aunque hay variaciones entre ellos y tomar la decisión de usar uno u otro dependerá de nuestras necesidades específicas, la característica más importante es que todos permiten almacenar de forma segura nuestras contraseñas y, una vez que hemos cargado en el servicio toda la información, solo tendremos que recordar la clave de acceso a nuestro administrador de contraseñas, tal y como funciona una caja fuerte.
Cambiar, al menos, las contraseñas de los principales servicios y equipos
Si hasta este punto de la guía consideras que tus contraseñas, o los hábitos que tienes sobre ellas, no son los mejores, te invitamos a realizar estos cambios comenzando por los siguientes servicios y equipos:
Si la alternativa que escoges como administrador de contraseñas no es de escritorio, te recomendamos descargar la extensión de navegador del administrador de contraseñas para utilizar la función de autorrellenado de campos de usuario y contraseña, entre otros. Esto facilitará su uso y estarás más seguro frente a algunos tipos de ataques de phishing.
Si eres parte de una organización es muy conveniente que puedas evaluar la suscripción a un administrador de contraseñas en su versión para equipos, familias o negocios, que incorpore funciones de administrador. Esta característica permite, entre otras cosas, que los administradores puedan devolver el acceso a usuarios del equipo que han olvidado su contraseña maestra sin borrar la información que habían cargado previamente. Además, permiten la creación de bóvedas o carpetas para compartir contraseñas de forma segura con el resto de los miembros de la organización.
How Secure Is My Password? Al ingresar una contraseña esta herramienta estima cuánto tiempo tomaría romperla. Se recomienda no poner contraseñas reales. La medida de tiempo es referencial.
Have I Been Pwnd? Esta herramienta nos dice si un correo electrónico ha sido afectado en filtraciones de credenciales documentadas.
Autenticación de dos factores (2FA o doble paso)
Qué es la autenticación de dos factores
La autenticación de dos factores, también llamada de doble paso, consiste en activar un segundo elemento (además de la contraseña) para lograr acceder a nuestras cuentas. De esta manera estaremos más seguros porque se necesitan ambas vías de autenticación para lograr obtener el acceso. Este segundo elemento puede ser:
Algo que sabes: Consiste en agregar una segunda contraseña para lograr obtener el acceso a tu cuenta. Este es el ejemplo del 2FA en Signal y WhatsApp.
Algo que tienes: Consiste en introducir un código que solo tú podrás obtener a través de un mensaje de texto, una aplicación o un dispositivo específico o token.
Algo que eres: Consiste en utilizar la identificación biométrica, es decir, las características del cuerpo de una persona, para verificar su identidad. Por ejemplo, a través de huellas dactilares, cara o iris. Debido al riesgo de filtración de datos y lo vulnerables que pueden ser estos métodos, la autenticación a través de información biométrica no es método que recomendamos cuando esta información es almacenada en servidores externos.
Servicios de uso frecuente donde puedes activar la autenticación de dos factores
Estos son algunos de los principales servicios donde podrás activar la autenticación de dos factores:
Puedes consultar https://2fa.directory/int/ para una lista más completa.
Recomendaciones
Debido a que los mensajes de texto son inseguros y es posible que no puedas obtener el código de acceso en caso de que estés fuera de tu país de residencia, te recomendamos que actives el doble factor a través del uso de una aplicación móvil de autenticación.
Esta aplicación es segura y siempre podrás obtener tus códigos de acceso sin importar en dónde te encuentres. Las aplicaciones que recomendamos son:
Otra opción segura que recomendamos y que ofrece ventajas adicionales contra ataques de phishing es el uso de las llaves de seguridad.
De ahora en adelante cada vez que desees acceder a una cuenta donde hayas activado el doble factor, el servicio te pedirá tu contraseña y también el factor de autenticación.
¡TEN RESPALDOS!
Es importante que puedas garantizar que siempre tendrás acceso a tus métodos de doble factor de autenticación y, por lo tanto, a tus cuentas, incluso en situaciones de robo, pérdida o extravío de dispositivos. Para ello puedes activar cualquiera de los siguientes métodos de respaldo:
Dispositivos de confianza: marcar los dispositivos como “de confianza” te permitirá acceder a tus cuentas porque en estos dispositivos el servicio sólo te pedirá la clave pero no el código de autenticación para acceder. Toma en cuenta que si borras los datos de navegación esta identificación podría borrarse.
Dos (o más) llaves de seguridad: si tu método de doble autenticación es a través de llaves de seguridad, te recomendamos configurar al menos dos, de modo que una de ellas sea un respaldo que puedas mantener en un lugar seguro.
Códigos de seguridad: también puedes descargar, y almacenar de forma segura, códigos de doble factor de uso único en cada uno de los servicios donde hayas activado el doble factor de autenticación llamados “códigos de seguridad”.
Códigos cifrados en la nube: otra opción que puedes evaluar es tener respaldos de tus códigos en la nube, con una contraseña segura de acceso, activando esta opción en los servicios que lo permitan, sólo asegúrate de que estén cifrados.
No es recomendable activar códigos de verificación que lleguen a través de mensajes de texto (SMS), ni tener asociado un número de teléfono de recuperación en las cuentas de usuario.
Teléfono móvil
Este capítulo ofrece recomendaciones con relación a las llamadas, chats, rastreo y protección física de la información contenida en los dispositivos móviles.
Llamadas
Recomendaciones
Es muy recomendable que abandones el hábito de realizar llamadas usando una línea fija cableada o desde tu línea móvil telefónica y comiences a llamar únicamente desde aplicaciones que cifren las llamadas de extremo a extremo, como WhatsApp o Signal.
En caso de que sea indispensable realizar la llamada a través de líneas telefónicas tradicionales, evita hacer mención a temas sensibles que pongan en riesgo tu seguridad.
¡EVITA EL RASTREO!
Hay múltiples formas de ser rastreado pero, cuando nos referimos a las antenas de telefonía, tanto tu equipo celular como el chip son rastreables y están continuamente transmitiendo información a dichas antenas haciendo posible determinar tu ubicación.
Apagar el teléfono una vez que has llegado a un lugar no es una buena práctica si deseas ocultar en dónde te encuentras, por lo tanto, si deseas tener una reunión con una persona y no deseas que se conozca tu ubicación, lo recomendable es acordar la fecha y hora del encuentro por una vía segura (como Signal), dejar el teléfono encendido donde normalmente estarías y acudir a la reunión sin tu equipo celular.
Fake Antenna Detection (FADe) es un proyecto que puso a prueba la metodología diseñada por SEAGLASS, de la Universidad de Washington, para detectar anomalías en la red de telefonía celular y encontrar dispositivos móviles de vigilancia capaces de interceptar comunicaciones telefónicas, conocidos como IMSI-Catchers. Este estudio se realizó en 10 ciudades latinoamericanas obteniendo 2.548.478 mediciones a través de 21 pruebas que buscaron inconsistencias en un ecosistema de 8.050 antenas, resultando 130 sospechosas de ser potencialmente IMSI Catchers o antenas falsas.
Mensajería
Generalmente, cifrado se refiere al proceso matemático de hacer que un mensaje sea ilegible, excepto para la persona que posee la clave para descifrarlo en forma legible. Existen dos formas principales en las que se aplica el cifrado: el cifrado en reposo y el cifrado en tránsito.
El cifrado en reposo se refiere a la codificación de la información almacenada en un dispositivo.
El cifrado en tránsito se refiere a codificación de la información que se está moviendo a través de una red de un lugar a otro.
En internet hay dos maneras frecuentes de cifrar los datos en tránsito:
Cifrado en la capa de transporte (HTTPS a través de TLS): El cifrado de la capa de transporte protege los mensajes a medida que viajan desde un dispositivo a los servidores de un servicio, aplicación o sitio web y desde estos servidores al dispositivo de potenciales destinatarios. En el medio, el proveedor de servicios de mensajería (o el sitio web que está navegando, o la aplicación que está utilizando) puede ver copias no cifradas de tus mensajes.
Cifrado de extremo a extremo (E2E): El cifrado de extremo a extremo protege los mensajes en tránsito desde el remitente hasta el receptor. Garantiza que la información se convierta en un mensaje secreto por su remitente original (el primer «extremo») y que sólo sea decodificado por su destinatario final (el segundo «extremo»). Nadie, incluyendo los administradores de la aplicación que estás usando, puede «escuchar» y acceder a tu actividad.
SMS
No es recomendable comunicarse a través de mensajes de texto (SMS) ya que el proveedor de servicio, o incluso personas cerca de tu teléfono, pueden llegar a leerlos con facilidad.
Mensajería instantánea o chats
Cuando decimos que una aplicación de chat es segura nos referimos a que cumple con varias características entre las cuales destacan: cifrado en tránsito, cifrado de extremo a extremo, documentación de procesos, auditorías independientes, transparencia en la operación (incluyendo la comunicación de las fallas a los usuarios), entre otras.
No todas las aplicaciones que encontramos en el mercado cumplen con estas características de seguridad. Te recomendamos que, en adelante, cuando desees usar una nueva aplicación de mensajería, verifiques con cuáles de estas características cumple y evalúes si es conveniente su uso.
A continuación te mostramos las características de WhatsApp, por tratarse de la aplicación de mensajería más utilizada, y de Signal que es la alternativa que consideramos más segura y respetuosa de tu privacidad.
ASPECTOS POSITIVOS
Cifrado en tránsito.
Cifrado de extremo a extremo.
Posibilidad de activar un código como doble factor de autenticación.
Bloqueo de acceso a la aplicación.
Envío de fotos con visualización única (sin posibilidad de capturas de pantalla).
Bloqueo de chats con identificación biométrica o PIN.
ASPECTOS DE ATENCIÓN
Está asociado a tu número de teléfono.
No tiene la opción de bloqueo de captura de pantalla
POTENCIALES AMENAZAS
Almacena una cantidad importante de metadatos.
Comparte información con Meta.
Incentiva la creación de respaldos de las conversaciones en la nube, los cuales podrían ser vulnerados.
Es de código cerrado, por lo que no es posible conocer con exactitud cómo trabajan sus algoritmos y sus potenciales vulnerabilidades.
ASPECTOS POSITIVOS
Cifrado en tránsito.
Cifrado de extremo a extremo.
Posibilidad de activación de un código como doble factor de autenticación.
Bloqueo de acceso a la aplicación.
Posibilidad de activación de desaparición de mensajes personalizable para cada conversación o grupo.
ASPECTOS DE ATENCIÓN
Está asociado a tu número de teléfono.
¿QUÉ SON LOS METADATOS?
“Los metadatos a menudo se describen como todo excepto el contenido de tus comunicaciones. Puedes pensar en los metadatos como el equivalente digital del sobre de una carta”. Tomado de “Por qué los metadatos son importantes” del programa Surveillance Self-Defense de Electronic Frontier Foundation.
Los tipos más comunes de metadatos son números de teléfono, direcciones de correo electrónico, nombres de usuario, datos de geolocalización, fecha y hora de tus llamadas telefónicas, información sobre el dispositivo que estás usando, el asunto de los correos electrónicos, entre otros.
Recomendaciones
Descarga Signal y comienza a usarla para tener tus conversaciones más sensibles, incluso con grupos, de forma segura.
Adicionalmente, te recomendamos activar la desaparición de mensajes para cada conversación: esta característica borra automáticamente el contenido de los chats para todos los involucrados pasada una determinada cantidad de tiempo después de leído (personalizable desde 1 segundo hasta 4 semanas).
En la configuración de Signal
1. Activa el bloqueo de registro: equivalente a la verificación en dos pasos de WhatsApp. Consiste en un PIN que la app te solicitará para verificar tu identidad, por ejemplo, al registrar tu número de teléfono en un nuevo equipo celular.
2. Desactiva las copias de seguridad. (Disponible sólo en Android).
3. Chequea que los “dispositivos enlazados” sean únicamente los autorizados por tí.
4. Activa el bloqueo de pantalla o acceso a la aplicación y configura el tiempo de inactividad para el bloqueo.
5. Configura las notificaciones para que no sean visibles los chats en la pantalla bloqueada, principalmente el nombre del remitente y el contenido de los mensajes.
6. Desactiva la “vista previa de enlaces”.
7. Activa la protección contra capturas de pantalla. (Disponible sólo en Android).
8. Activa la función de teclado incógnito. (Disponible sólo en Android).
9. Activa la “desaparición de mensajes” automática para todas las conversaciones o las que consideres más sensibles.
En la configuración de WhatsApp
1. Activa la verificación en dos pasos.
2. Activa la característica “Mostrar notificaciones de seguridad”.
3. Evalúa la conveniencia de desactivar las copias de seguridad así como borrar los respaldos que hayas hecho anteriormente.
4. Si decides activar copias de seguridad, hazlo con la opción de “copias cifradas de extremo a extremo (E2EE)”.
5. Chequea que en “WhatsApp Web/Escritorio” estén enlazados únicamente los dispositivos autorizados por ti.
6. Desactiva la descarga automática de archivos en la galería de tu dispositivo.
7. Revisa que no estés compartiendo tu “ubicación en tiempo real” de forma involuntaria.
8. Evalúa la activación de “mensajes temporales”, principalmente si enviarás información sensible por esta vía.
9. Activa el bloqueo de chats para dar una capa adicional de seguridad a algunas conversaciones en caso de que tu teléfono ya esté desbloqueado.
10. Ajusta según tus necesidades las confirmaciones de lectura, la actividad de “última vez y en línea” y quiénes pueden y quiénes pueden ver tu foto, información de perfil y estado.
11. Activa la “desaparición de mensajes” automática para todas las conversaciones o las que consideres más sensibles.
Protección física de la información en teléfonos móviles
Para la protección física de tu teléfono móvil y de la información contenida en él, te recomendamos las siguientes prácticas:
Recomendaciones
Contraseña de acceso: añade una contraseña de acceso a tu teléfono que sea alfanumérica (que haga uso del teclado completo). No se recomienda el uso de patrones, pines de 4 o 6 dígitos o reconocimiento de voz o facial como forma de acceso al teléfono.
Cifra el dispositivo: Tener una contraseña de acceso no es suficiente para proteger la información contenida en tu dispositivo móvil. Lo único que evitará que alguien pueda tener acceso a tu información en caso de robo o extravío es la activación del cifrado (o encriptado). Los teléfonos inteligentes más recientes activan el cifrado automáticamente al colocar una contraseña de acceso, sin embargo, en dispositivos más antiguos es conveniente revisar si está activada esta característica en las configuraciones de seguridad.
Activa Find My Device (Android) o Find My (iOS): Te recomendamos revisar que esté activo, o activar, con antelación Find My Device, si eres usuario Android, o Find My si eres usuario iOS. Con esta característica podrás rastrear, recuperar, bloquear o incluso restablecer a la configuración de fábrica a tu teléfono perdido o robado accediendo a tu cuenta Google o Apple, según sea el caso. Al marcar tu dispositivo como perdido ninguna persona, salvo tú, podrá desbloquearlo.
Otros hábitos
En la mayoría de los casos, el malware en los teléfonos tiene forma de aplicación. Para evitarlo es recomendable:
Descargar las aplicaciones únicamente de las tiendas oficiales (AppStore o PlayStore).
Descargar solo las aplicaciones necesarias.
Revisar con frecuencia qué permisos (como acceso a cámara o micrófono) tiene cada aplicación.
Evitar cargar el teléfono usando cables o puertos USB en dispositivos desconocidos.
Actualizar el sistema operativo, así como las aplicaciones, tan pronto exista una nueva versión disponible.
Respaldar frecuentemente la información más importante en la nube u otros dispositivos.
Descargar las aplicaciones únicamente de las tiendas oficiales (AppStore o PlayStore) y habilitar la solicitud de autenticación para compras/instalaciones.
Deshabilitar la previsualización del contenido de los chats en las notificaciones del sistema operativo y, en especial, en pantalla bloqueada.
MODO HERMÉTICO DE APPLE
Si tu nivel de riesgo es elevado y crees que puedes ser víctima de algún ataque cibernético dirigido a tus dispositivos Apple, es conveniente que puedas activar el Modo Hermético (Lockdown Mode en inglés). Esta característica limita algunas funciones y aplicaciones para dar prioridad a la seguridad, bloqueando algunos canales que pueden ser utilizados para instalar malware, por ejemplo, en FaceTime, se bloquean las llamadas entrantes a menos que hayas llamado a ese contacto anteriormente. Puede activarse de forma separada en iPads, computadores Mac y iPhones. Para más información visita “Acerca del Modo Hermético” de Apple.
Phishing
Qué es el phishing
El phishing es una técnica de ataque que busca obtener alguna pieza (o piezas) de información de una persona basándose en la idea de que es más fácil engañar a los usuarios que vulnerar algún punto de la infraestructura que interviene en el envío de información a través de internet.
Para ello, un atacante puede usar múltiples canales para engañar a su víctima, por ejemplo, enviando mensajes por correo electrónico, SMS, WhatsApp, Signal o a través de llamadas telefónicas, con la intención de que se le suministre información como códigos de doble factor, usuarios, contraseñas o se instale algún tipo de malware a través clicks en links o archivos que llevan a la descarga de software malicioso. Otro canal de ataque son las páginas web falsas, en ocasiones muy sofisticadas, donde las personas, pensando que están navegando en los sitios oficiales, terminan suministrando información.
Si recibes algún mensaje por cualquiera de los canales antes mencionados y no estás seguro del emisor, no esperabas recibir tal información y te invitan a tomar alguna acción urgente describiendo una situación que te genera algún sentimiento como temor, estrés o rabia, es probable que te encuentres frente a un ataque de phishing.
Antes de ejecutar cualquier acción te recomendamos que intentes verificar el mensaje a través de lo siguiente:
Recomendaciones
Desconfiar de mensajes que instan a tomar acciones rápidas o de urgencia: Muchas veces estos mensajes se aprovechan de situaciones de riesgo o emergencia para convencer a la víctima de tomar acciones apresuradas.
Verificar la información recibida en páginas oficiales: Si tienes sospechas de que la información que recibes puede ser cierta, la recomendación es que verifiques la información directamente en las páginas oficiales de las entidades bancarias, compañías de correo, entre otras, según sea el caso. Toma en cuenta que en la mayoría de los casos una institución nunca te pedirá información confidencial. Si, por el contrario, el mensaje de alarma que recibiste no se refiere a cuentas comprometidas sino a personas o familiares en riesgo, la sugerencia es que, antes de tomar cualquier acción, intentes contactarte directamente con la persona aparentemente afectada. En ninguno de estos casos es recomendable seguir vínculos incluidos en el mensaje sospechoso.
Verificar el emisor del mensaje: Si pretende ser un mensaje de parte de una red social o compañía de correo electrónico, verifica que las cuentas de correo utilizadas sean las oficiales. Si dice ser alguien conocido, verifica con la persona por otro medio (preferiblemente en persona) y pregunta si en efecto ha enviado estos mensajes y a quién.
Si el mensaje incluye links, revisar si los dominios parecen sospechosos o son de páginas legítimas.
No descargar ningún archivo, instalar software o abrir ningún enlace web antes de verificar su procedencia y veracidad.
Nunca compartir códigos de doble factor de autenticación.
Adicionalmente, hay acciones que puedes tomar de forma preventiva que te ayudarán a evitar que algunos ataques de phishing sean exitosos:
Mantener actualizado el software: Los ataques de phishing que utilizan malware con frecuencia se basan en vulnerabilidades en el software para instalarlo y comprometer tus dispositivos.
Utilizar un administrador de contraseñas con autocompletado: Otra ventaja del uso de los administradores de contraseñas que tienen la característica de autocompletado de los campos de usuario y contraseña, es que ésta información está asociada al URL del sitio oficial al que pertenecen estas credenciales. Si el atacante consigue dirigirte a un sitio web malicioso, tu administrador de contraseñas no reconocerá el lugar que pretende robar tu información.
Activar la autenticación de dos factores, idealmente a través del uso de llaves de seguridad: Si un atacante llegara a obtener la contraseña de alguna de tus cuenta de usuario, la activación del 2FA evitará que pueda entrar al servicio porque necesitará de ese segundo factor de autenticación que solo tú posees.
Utilizar Dangerzone para abrir de forma segura PDFs, imágenes y documentos de office: Dangerzone es una herramienta que convierte documentos e imágenes en PDFs seguros al eliminar elementos que podrían ejecutar código malicioso de forma automática una vez abiertos. Puedes obtener mas información en su sitio web (https://dangerzone.rocks/).
En Google Calendar configurar el agregado de invitaciones que vengan sólo de contactos conocidos, o luego de responder la asistencia a un evento.
Para verificar a dónde se dirige un link acortado te recomendamos utilizar unshorten.me o unshorten.it
Para mejorar tus habilidades de detección de phishing te invitamos a realizar el test de phishing diseñado por Jigsaw y Google: https://phishingquiz.withgoogle.com/.
Malware
Qué es el malware
El malware es cualquier programa, aplicación o código que ejecuta acciones no deseadas en nuestros dispositivos. Éstos pueden llegar a nosotros a través de correos electrónicos maliciosos, descargas en Internet, memorias USB, documentos infectados o cualquier otro canal por el que recibimos información.
El malware puede ejecutar cualquier acción que un programa legítimo haría pero con malas intenciones, entonces podría, entre otras cosas, ver tu cámara, tus archivos, el texto que escribes en el teclado (que generalmente incluye contraseñas), borrar tu información e incluso puede hacer tu equipo inutilizable. El malware puede afectar cualquier equipo capaz de ejecutar código, por lo que nuestras computadoras, teléfonos celulares e incluso equipos de red y dispositivos del “Internet de las cosas”, como televisores inteligentes o equipos del hogar conectados a Internet, pueden ser afectados por malware.
Qué podemos hacer para detectar y eliminar malware de nuestros dispositivos
A pesar de que no se puede asegurar que no tenemos malware operando en nuestros equipos, especialmente por las técnicas cada vez más creativas usadas para esconderlo y hacerlo pasar por aplicaciones benignas, la gran mayoría de software malicioso es conocido y puede ser detectado y eliminado. Sin embargo, la mejor estrategia que podemos adoptar no es detectar y eliminar malware en nuestros equipos, sino evitar que los infectemos. En primer lugar, esto se logra mayormente teniendo hábitos rigurosos en el uso de nuestros dispositivos.
Recomendaciones
Mantener el sistema operativo y demás software actualizado y original. Ten en cuenta que las actualizaciones también aplican para las aplicaciones del teléfono móvil y los navegadores.
Instalar sólo aplicaciones de confianza y obtenidas usando canales oficiales.
Instalar y mantener actualizado un programa antivirus. Actualmente las opciones comerciales gratuitas tienen niveles de protección similares o equivalentes a las versiones pagas. Evita tener más de un antivirus instalado ya que estos no se llevan bien entre sí y pueden ralentizar tu computadora y no detectar correctamente amenazas reales. Si eres usuario de Windows es suficiente con verificar que tienes activo Microsoft Defender.
Instalar un programa antimalware que complemente al antivirus buscando más tipos de amenazas a través de otro tipo de técnicas. Todos los virus son un tipo de malware, pero el malware incluye mucho más que solo virus. Los antivirus y los antimalware sí pueden convivir instalados a la vez. Como antimalware recomendamos Malwarebytes.
Revisar las recomendaciones contra el phishing ofrecidas en esta guía, debido a que se ha demostrado que esta es la vía más utilizada para infectar a usuarios con malware.
Evitar o limitar las actividades riesgosas como la búsqueda y uso de software no legítimo o “pirata”, frecuentar sitios web de streaming de series y películas o descargar aplicaciones de páginas no oficiales.
ATAQUES DE DÍA CERO (ZERO DAY O 0-DAY)
Los ataques de día cero son ataques que buscan instalar algún tipo de malware en los dispositivos de sus víctimas basándose en vulnerabilidades preexistentes de software que hasta ese momento pueden ser desconocidas por los usuarios y fabricantes. En la mayoría de los casos son ataques dirigidos, no masivos, lo que los hace poco probables.
La mejor forma de protegerse frente a este tipo de ataques es manteniendo los sistemas operativos y otros programas actualizados, aunque si consideras que estás en un contexto de alto riesgo es muy recomendable que, adicionalmente, actives el “modo hermético” disponible en los dispositivos de Apple.
Si tienes sospechas de que tus dispositivos han sido infectados con malware a través de este tipo de ataque, te recomendamos contactar a alguna organización que pueda hacer un análisis forense de tus dispositivos para determinar si hay algún indicio de infección y ayudarte a canalizar el incidente.
Al usar Internet existe información privada o sensible que no queremos revelar a terceros no autorizados (datos personales, comunicaciones con denunciantes anónimos, fuentes periodísticas, entre otros). A continuación te ofrecemos algunas recomendaciones para que tu navegación en Internet sea más segura.
Redes inalámbricas
Recomendaciones
Configurar una contraseña segura de acceso a la red.
Deshabilitar las funciones UPnP y WPS si aún lo ves disponible.
Seleccionar el protocolo WPA2, o WPA3, en lugar de WEP o WAP debido a que estos últimos no son considerados seguros.
Habilitar una red de invitados de ser posible.
Mantener actualizado el router.
HTTPS
HTTPS es un protocolo de transmisión de datos que añade cifrado en la capa de transporte, protegiendo la información que envías al navegar en Internet, desde el dispositivo que utilizas hasta los servidores del sitio que quieres consultar.
Cuando navegas en páginas web con HTTPS evitas que terceros, incluyendo tu proveedor de servicios de Internet (ISP), puedan capturar la información que intercambias con el sitio que estás consultando. Esto no sucede en las páginas que no tienen activado el protocolo HTTPS sino que, por el contrario, tienen HTTP.
En la siguiente imagen vemos lo que sucedería con la información que viaja a través de HTTP y la que viaja a través de HTTPS, donde los cuadrantes de la izquierda representan lo que se ve en pantalla y los de la derecha lo que se transmite en la red:
Observamos que con HTTP la información de usuario y contraseña puede ser capturada de manera legible, debido a que el canal por donde pasa esta información no está cifrado, mientras que con el protocolo HTTPS, tal captura de datos no es posible porque la información viaja a través de un canal cifrado.
Al usar HTTPS tu proveedor de servicios de internet, aunque puede ver que estás consultando un determinado URL, no puede ver en qué parte específica de la página te encuentras ni la información que intercambias con el sitio (como usuarios y contraseñas).
La implementación del protocolo HTTPS en una página web, depende enteramente de los encargados de la administración de dicha página a través de la instalación de certificados TLS/SSL.
Como usuario, sólo puedes escoger navegar únicamente en páginas con HTTPS para tener mayor seguridad en la navegación o, al menos, evitar intercambiar información (como usuarios y contraseñas) con páginas que aún utilicen el protocolo HTTP.
El uso de HTTPS no asegura que la comunicación sea con el servicio deseado: recomendamos estar muy al tanto de que la dirección web sea la correcta y de que no hayan errores de cifrado.
VPN
Qué es una VPN: Una VPN (Red Privada Virtual) es una tecnología que establece un túnel seguro de comunicación entre dos o más dispositivos, lo que le permite navegar por la web de forma más segura y privada, incluso si se usa una red Wi-Fi pública.
La siguiente es una gráfica de cómo funciona una conexión sin VPN (y sin HTTPS activado):
Vemos cómo el usuario accede a internet a través de una red wifi y, a continuación, a partir del router se envía la información al proveedor de servicio de Internet (ISP) para posteriormente llegar hasta el servidor del sitio web que desea consultar. En este tipo de conexión sin VPN el ISP es capaz de ver cuáles son las páginas en las que navega el usuario así como la información que transmite si la página que consulta no cuenta con HTTPS.
La siguiente es una gráfica de cómo funciona una conexión con VPN:
Ventajas y desventajas de usar una VPN
Ventajas
Cifrar la información que envías en el tramo que va desde el origen (tu dispositivo) hasta el servidor VPN. Esto es una ventaja cuando, por ejemplo, necesitas navegar en una página que no tiene configurada una conexión HTTPS o tienes sospechas de que tus comunicaciones están siendo vigiladas.
Ocultar a tu proveedor de servicio de Internet (ISP) las páginas en las que navegas.
Ocultar tu identidad al servicio que quieres consultar como destino final (Ejemplo: google.com). Esto sucede porque el destino final supone que quien realiza la consulta es el servidor VPN.
Tener acceso a los sitios que han sido bloqueados por tu proveedor de servicios de Internet, o que son bloqueados por tu ubicación geográfica.
Desventajas
Es posible que al activar una VPN percibas que tu conexión se vuelve más lenta. En este caso, te recomendamos encenderla solo cuando vas a navegar en páginas sin HTTPS o sensibles, cuando quieras consultar sitios bloqueados o cuando realices trabajos de investigación. También puedes intentar cambiar de servidor VPN a uno más cercano a ti.
Un servicio de VPN, así como otros servicios que ayudan a lograr el anonimato (Ej. Tor), también pueden ser bloqueados. Si reconoces algún bloqueo denúncialo a través de los medios que tengas a tu disposición, para que la comunidad que apoya el Internet libre ayude a restablecer el servicio u ofrezca otras alternativas de conexión.
ACERCA DE LA NAVEGACIÓN PRIVADA O EN MODO INCÓGNITO
La navegación privada, también llamada en modo incógnito o en ventana privada, es una función de privacidad en algunos navegadores web que evita que se almacene permanentemente de forma local (en los dispositivos) el historial de navegación, cookies y caché web, para evitar que puedan ser recuperados por terceros más adelante. Es importante no confundir esta característica con la navegación con HTTPS o con VPN.
Recomendaciones
Descarga una VPN para cada uno de tus dispositivos móviles y computadoras que puedas tener encendida de forma permanente para obtener las ventajas de seguridad que te hemos descrito anteriormente. Si no puedes mantener la VPN siempre encendida por razones de ancho de banda, entre otras, te recomendamos utilizarla, al menos, para la navegación durante trabajos de investigación u otros similares, cuyo conocimiento por parte de terceros pueda ponerte en riesgo.
Las siguientes son algunas de las VPN que te sugerimos utilizar:
CARACTERÍSTICA «KILL SWITCH«
La característica denominada “kill switch”, que no poseen todos los servicios de VPN, consiste en bloquear todo el tráfico de Internet si por alguna razón la conexión se cae y la aplicación de VPN se desconecta. De esta forma se impide, entre otras ventajas, que puedan revelarse al ISP las páginas que estaban siendo consultadas antes de que se interrumpiera la conexión, es decir, se garantiza que el tráfico (y los datos) no se filtren accidentalmente fuera del túnel seguro.
TOR
La red Tor es una red de servidores distribuidos en diferentes partes del mundo que tiene como objetivo principal facilitar la privacidad y el anonimato de los usuarios al pasar el tráfico de datos por 3 servidores aleatorios. La mejor analogía es con un servidor VPN, con la diferencia de que la red Tor utiliza esta cadena de servidores que cambia para cada sesión de usuario.
El uso de la red Tor tiene básicamente 3 grandes ventajas: permite ocultar al ISP (y otros observadores de la red) las direcciones de los sitios web que se visitan; permite ocultar a los operadores de sitios web la dirección IP real del usuario y evita que los sitios web realicen “fingerprint”, es decir que puedan guardan perfiles de usuarios que finalmente puedan identificarte a partir de la configuración de tu navegador.
Aunque esta plataforma mantiene protocolos de comunicación propios que dificultan el análisis de los datos interceptados, a nivel de cifrado no está diseñada para competir con la infraestructura que utilizan las VPN.
Recomendaciones
Descargar Tor Browser para conectarse a la red Tor y navegar de forma anónima, acceder a sitios bloqueados por tu ISP o visitar sitios propios de la red Tor (a través de los llamados “servicios onion”). Ten en cuenta que, así como sucede con el uso de la VPN, con Tor también puede ocurrir que la conexión a internet se vuelva más lenta.
Si deseas anonimato y, al mismo tiempo, contar con las ventajas del cifrado en tránsito de las VPN, puedes navegar en Tor Browser con la VPN encendida. Será como añadir una capa de seguridad sobre otra.
MEJORA LA PRIVACIDAD EN TU NAVEGACIÓN
Para proteger tu privacidad frente al comercio de datos, te recomendamos instalar en el navegador la extensiones UBlock Origin y Privacy Badger.
Adicionalmente puedes consultar la herramienta «Cover Your Tracks» de EFF. Aquí podrás ver qué tan protegido está tu navegador contra el rastreo y el “fingerprint”. Te muestra cómo los rastreadores ven tu navegador y te ofrece una descripción general de las características que lo identifican.
Mullvad Browser: Es un navegador web centrado en la privacidad desarrollado en colaboración entre Mullvad VPN y Tor Project.
Correos electrónicos seguros
Los correos electrónicos son uno de los medios que más empleamos para comunicarnos y, al igual que con el resto de las herramientas que hemos abordado en esta guía, es importante que aprendamos cuáles son las características de seguridad que debemos buscar en los servicios que utilizamos y cuál es la configuración más adecuada para ganar mayor seguridad y privacidad.
Lo primero que debes saber es que no todos los servicios de correo electrónico incluyen las mismas características de seguridad, por ejemplo, no todos permiten la autenticación de dos factores, así mismo, no todos ofrecen cifrado de extremo a extremo. A continuación te mencionamos las características de seguridad que son convenientes que busques en los servicios de correo que utilizas, así como una tabla comparativa con las características de seguridad de algunos de los servicios de correo.
Recomendaciones
Lo fundamental es que los servicios de correo electrónico que utilizas cuenten con:
HTTPS: para la transmisión de datos en tránsito de forma segura.
Autenticación de dos factores (2FA).
Actualizaciones continuas en las versiones escritorio, aplicaciones y versiones web.
La siguiente recomendación es que puedas decidirte, al menos para los temas más sensibles, por opciones de correo que ofrecen cifrado de extremo a extremo o la posibilidad de que cifres tu mismo tus correos a través del uso de PGP/GPG. Como explicamos en líneas anteriores, este tipo de cifrado permitirá que solo tú y el destinatario (no la compañía proveedora) pueda ver el contenido del correo.
¿QUÉ ES PGP/GPG?
PGP (Pretty Good Privacy) es un protocolo que utiliza una combinación de métodos de cifrado como la criptografía de llaves públicas para mantener los datos seguros. Este proceso se puede utilizar para cifrar archivos de texto, correos electrónicos, archivos de datos, entre otros.
Por su parte, OpenPGP es un estándar de PGP para uso público.
GNU Privacy Guard, también llamado GnuPG o GPG es una implementación completa, gratuita y de código abierto del estándar OpenPGP.
Al utilizar este tipo de cifrado necesitarás una llave — virtual — privada capaz de descifrar el contenido de tus comunicaciones y archivos a la que sólo tú tendrás acceso, por lo cual es muy importante que almacenes esta llave en un lugar seguro.
Adicionalmente, consulta en dónde está registrada la compañía y en dónde alojan sus servidores. Esto es importante porque las compañías deben ajustarse a la legislación del lugar donde operan, lo que significa que, si lo indica la ley, una compañía puede estar obligada a facilitar información de los usuarios a su gobierno.
Por ejemplo, las compañías que ofrecen servicios de correo que tienen sede en Europa deben ajustarse al Reglamento General de Protección de Datos de la Unión Europea. Este reglamento está catalogado como la normativa general más respetuosa a la privacidad y seguridad de los usuarios que está vigente hasta ahora. A partir de aquí los países miembros de la Unión Europa deben implementar sus leyes de protección de datos.
¿USAS GMAIL? CHEQUEA TAMBIÉN LO SIGUIENTE:
En la Revisión de Seguridad en tu cuenta Gmail verifica que tengas activa la verificación en dos pasos, que los dispositivos conectados sean conocidos, que las contraseñas de aplicación se correspondan con los servicios que has activado por esta vía y que la “actividad reciente relacionada con la seguridad” no muestre actividad sospechosa.
En la ruta Configuración > Filtros y direcciones bloqueadas, chequea que no exista ningún correo al que se reenvíe la información que recibes.
En la ruta Configuración > Reenvío y correo POP/IMAP, a menos que utilices un cliente de correo como Outlook, es recomendable que inhabilites ambas opciones (POP e IMAP).
Los Informes de transparencia de Google. Estos incluyen reportes relacionados a la privacidad y seguridad de la compañía, solicitudes de retiros de contenido e informes adicionales. Particularmente puedes consultar las solicitudes de información sobre usuarios en todo el mundo.
Otras recomendaciones:
Revisa la configuración de seguridad y privacidad, incluyendo dispositivos y conexiones recientes.
Evalúa utilizar distintas cuentas de correo para tus actividades, así puedes mantener separadas las comunicaciones personales de las profesionales.
Evalúa utilizar correos desechables para servicios o herramientas que quieras probar y requieran de un registro con correo electrónico. Una recomendación es 10minutemail.com o servicios como Firefox Relay.
Toma un tiempo para revisar las políticas de privacidad, particularmente los datos que recopila el servicio, el uso que le dan y cómo se comportan frente a la solicitud de información por parte de terceros.
A continuación te mostramos la siguiente tabla comparativa con las principales características de algunos servicios de correo:
Protección física de la información
Nuestros archivos pueden ser vulnerables a ataques durante las comunicaciones (al momento de enviarlos/recibirlos) debido a que las mismas pueden estar comprometidas o siendo monitoreadas.
También son vulnerables en los equipos donde reposan, debido a que pueden caer en manos equivocadas y volverse inaccesibles. Las siguientes son recomendaciones para la protección de tus archivos frente a estos posibles ataques.
Recomendaciones
CIFRADO DE ARCHIVOS
Es recomendable que cifres tus archivos en los dispositivos que los contienen para evitar que terceros puedan acceder a ellos frente a situaciones de robo, extravío, entre otras. Este cifrado puedes llevarlo a cabo de las siguientes maneras:
Cifrado completo de disco duro: A través de la activación de FileVault (usuarios MacOS), Bitlocker (usuarios Windows), LUKS (usuarios Linux) o Veracrypt (para cualquier sistema operativo).
Para activar el cifrado del disco completo es necesario configurar con contraseña de acceso al equipo que impida que terceros puedan obtener la información. etraer el contenido del disco fácilmente aún sin tener la contraseña de acceso.
BitLocker no se encuentra disponible en versiones Home de Windows. Para activarlo necesitamos obtener versiones Pro de Windows.
Para el cifrado de teléfonos móviles consulta la sección “Teléfono Móvil” de esta guía.
Cifrado de otros volúmenes de almacenamiento: Una alternativa al cifrado completo del disco duro es cifrar volúmenes de almacenamiento extraíbles tales como unidades USB o volúmenes específicos en el disco duro. Herramientas que permiten llevar esto a cabo son VeraCrypt (usuarios MacOS y Windows) y BitLocker (usuarios Windows).
BORRADO DE ARCHIVOS
Cuando eliminas un archivo en tu computadora, incluso cuando vacías la “papelera”, realmente no estás borrando la información, solo estás indicando que ese espacio que ocupa el archivo puede ser sobrescrito en cualquier momento con nueva información. En este sentido, es posible recuperar los datos “borrados” con algún software disponible o métodos forenses.
El borrado seguro en unidades SSD, unidades flash USB y tarjetas SD es muy difícil debido a su diseño (utilizan una técnica denominada “nivelación del desgaste”). Para la protección de los archivos contenidos en estas unidades se recomienda la activación del cifrado completo del disco, o la creación de volúmenes cifrados de VeraCrypt, en conjunto con estrategias del respaldo y otras medidas adicionales tales como evitar llevar consigo los equipos con información sensible durante viajes, entre otras.
RESPALDO DE ARCHIVOS
Para garantizar la disponibilidad de la información es importante que puedas hacer respaldos o copias de seguridad de tus archivos. Lo recomendable es que los respaldos se realicen a través de servicios/herramientas seguras y tomes en cuenta los siguientes criterios sobre tus copias:
Cifradas.
Fácil restitución.
Ubicación física distante al o los sitios que pueden ser vulnerados.
En internet.
Frecuentes.
Copias incrementales.
Existe una estrategia de respaldo bastante conocida llamada “Backup 3-2-1” que consiste en:
Tener al menos tres (3) respaldos de tus datos.
Almacenarlas en dos (2) medios diferentes (físico y virtual).
Conservar una (1) copia en un lugar fuera de las instalaciones que podrían ser vulnerables.os sitios que pueden ser vulnerados.
En esta sección te hemos ofrecido alternativas para la protección de tus archivos en los equipos que los contienen, sin embargo, no debes olvidar tomar medidas de protección en el espacio físico donde se encuentran estos equipos, como tu casa u oficina.
En los últimos años las redes sociales se han convertido en una de las principales vías para comunicarnos, informarnos e intercambiar ideas, pero, al igual que otros medios, también pueden ser utilizadas por atacantes que pueden comprometer nuestros datos y nuestra seguridad. Por otro lado, las redes sociales constituyen una de las principales fuentes de comercio de datos y funcionan en una forma que está afectando la privacidad de sus usuarios.
Para evitar estas amenazas te ofrecemos las siguientes recomendaciones relacionadas no solo con la seguridad sino también con la privacidad de tu información:
Define si tu participación en la red social será a través de tu nombre o un alias.
Define el correo electrónico que estará asociado a tu cuenta. Si es personal, de trabajo o uno anónimo creado para este fin.
Cuando selecciones tu foto de perfil evalúa si usarás la misma en todas tus redes, si mostrarás tu rostro y si tiene el potencial de mostrar más información sobre ti que la que deseas revelar.
Configura una contraseña segura de acceso y toma en cuenta el resto de las recomendaciones que te ofrecemos en la sección de Contraseñas de esta guía, por ejemplo, cómo configurar las respuestas a las preguntas de seguridad.
Activa la autenticación de dos factores.
Evita tener conversaciones sensibles a través de los chats o mensajes directos en redes sociales.
Revisa las opciones de privacidad y seguridad. Por ejemplo, selecciona si deseas que te encuentren a través de tu número de teléfono o escoge quién puede ver tus publicaciones, entre otros. En Twitter es recomendable que desactives las opciones de ubicación en los tweets al igual que las opciones de etiquetado de fotos por terceros.
Configura las notificaciones de forma que puedan avisarte cuando exista una actividad sospechosa en la cuenta, por ejemplo, el intento de inicio de sesión en un nuevo equipo.
Toma un tiempo para revisar las políticas de privacidad, particularmente los datos que recopila el servicio, el uso que le dan y cómo se comportan frente a la solicitud de información por parte de terceros.
Recuerda que, aunque realices las configuraciones adecuadas, todo lo que subes en las redes tiene la posibilidad de hacerse público. Evalúa antes de publicar la conveniencia de compartir una determinada información.