Seguridad digital - Round one!!

¿Te has preguntado alguna vez por dónde pasa un mensaje o correo electrónico antes de llegar a su destino? ¿Cómo funciona Internet? ¡No es magia! Hay muchas empresas o servicios que participan en ese recorrido que hace, desde que le das enviar y sale de tu casa hasta que es recibido por la otra persona.

El siguiente diagrama te explica:

Descarga folleto ¿Cómo funciona Internet?

¿Cómo funciona Internet?
Análisis de entorno

Análisis de entorno

Cuando hablamos de tecnología, muchas veces el enemigo somos nosotros mismos. Piensa en el espacio donde trabajas todos los días, de la forma en que está organizado ¿qué podría salir mal?
Revisa la imagen que está de lado izquierdo e identifica posibles riesgos. ¿Hay cables mal ubicados? ¿Alguna ventana abierta? ¿Contraseñas expuestas? Toma nota de los riesgos que identifiques.
Ahora, descarga el formato de análisis del entorno e identifica los riesgos que hay en tu lugar de trabajo.

Descargar formato (Análisis de entorno)

¿Qué pasaría con tu información, documentos, videos, canciones, tesis, fotos si…. hoy tu computadora dejará de funcionar o si perdieras tu teléfono celular?
Piensa ¿qué tipo de información generas constantemente? Fotografías de eventos, documentos, audios, contactos, etcétera. Después que hayas identificado el tipo de información detalla cuál es el nivel de importancia de la misma y con qué frecuencia la generas.
Lo anterior, te ayudará a determinar con qué frecuencia desde realizar un respaldo de esa información. Ahora descarga el programa dependiendo del sistema operativo que tienes en tu equipo de cómputo.

Descargar formarto (Mapeo de información)
Descargar cobian (windows)
Descargar iBackup (Mac OSX)

¿Usarías la misma llave para tu casa y tu coche?

Todos los días utilizas diferentes llaves para guardar las cosas que consideras importantes como tu casa, tu coche, caja fuerte… En el mundo digital, también debemos de crear llaves o contraseñas que nos ayuden a resguardar nuestra información.
El siguiente diagrama te explica qué debes de tomar en cuenta para crear contraseñas más seguras. También existen programas como llaveros o gestores de contraseñas, que pueden ayudarte a almacenar cada una de las contraseñas de los servicios que tienes. Puedes descargar un programa gratuito para Windows y para Mac.

Descarga gestor de contraseñas (Windows)
Descarga gestor de contraseñas (Mac OSX)
contraseña segura

Protege tu equipo de cómputo y demás dispositivos (sí, tu teléfono también) con un antivirus. Recuerda que una vez instalado debes de mantenerlo actualizado y hacer un análisis al menos una vez al mes. Hay antivirus gratuitos, ¡abajo de damos opciones! Usar antivirus pirata no es una buena idea, tampoco lo es usar dos antivirus al mismo tiempo.

Aquí te recomendamos 3 antivirus gratuitos disponibles para Windows, Mac OSX, Androis y iOS

avast
AVG
Avira

Seguramente alguna vez te ha llegado un correo pidiéndote datos bancarios, o te has encontrado algún banner o página que asegura que has ganado un concurso. Hay correos fraudulentos que son muy sencillos de identificar pero hay otros que no lo son. Si el banco donde tienes tu cuenta te pide tus datos de acceso, podrías llegar a mandarselos vía correo electrónico, pero.. ¿estás seguro de que es un correo de tu banco o de alguien que se hace pasar por tu banco?
No mandes información como cuentas o claves de acceso por correo electrónico, verifica con tu banco e identifica quién lo está enviando, las url que incluye el mensaje hacia dónde direccionan.
Hay herramientas que te ayudan a bloquear, mientras navegas en Internet, los banners que son anuncios, un ejemplo es uBlock. También existe HTTPS Everywhere, una extensión para tu navegador que cifra la conexión entre tu computadora y el servidor de Facebook (por ejemplo) para evitar que alguien pueda intervenir tus conversaciones. Ojo: la extensión sólo funciona si la página que visitas tiene cuenta con HTTPS.

ublock

uBlock

Evita anuncios maliciosos con esta extensión:
uBlock para Chrome
uBlock para Firefox
uBlock para Safari
ublock

HTTPS Everywhere

Asegurate de navegar seguro con esta extensión:
HTTPS Everywhere para Chrome
HTTPS Everywhere para Firefox
HTTPS Everywhere para Android

¿Cómo identificar cuál de tu información es sensible? Descargar el formato, enlista qué tipo de información estás generando todos los días: conversaciones, fotografías, búsquedas de Internet, documentos. Ahora piensa, qué servicio utilizas para intercambiar o almacenar esa información. Y por último, piensa ¿qué pasaría si esa información cayera en otras manos? ¿Hay algún riesgo económico, físico o social relacionado con eso? Enumera del 0 al 5 ese riesgo, donde 0 es nulo y 5 es grave. La información que salga con un total más alto, esa es la información más sensible en tu caso.

Descarga formato (Análisis de impacto paea identificar información sensible)

Una vez que identificaste tu información sensible, revisa las alternativas seguras que te damos a los servicios que estás usando actualmente. Todas las herramientas son gratuitas y te permiten cifrar tu información.

Cifrar dispositivo: Es posible cifrar tu teléfono móvil o tu computadora, en la sección de configuración de cada dispositivo encontrarás la opción. Recuerda que puede tomar tiempo el proceso de cifrado la primera vez que lo haces, así que de preferencia hazlo por la noche o cuando no vayas a ocupar tu equipo.

Servicio Sustituto
eMail Tutanota | ProtonMail
Whatsapp Whatsapp | Telegram-Chat secreto
Servicio Sustituto
Chat crypto.cat
Skype/Hangouts Jitsi
Servicio Sustituto
Drpbox Tresorit | Spideroak
Compartir archivos miniLock

La privacidad es tu derecho a que tu información no sea más pública de lo que tú quieres, es el control del flujo de nuestra información.

Reflexiona: ¿Te sientes en control de tu información en Internet? ¿Por qué sí? ¿Por qué no? ¿De qué depende?

Podemos decir que la privacidad depende de:
  • ¡De ti! El primer filtro sobre qué es público y qué no, eres tú.
  • El conocimiento de la herramienta. Aprende más sobre las herramientas que usas y cómo configurarlas.
  • ¿De otras personas? Consulta con las demás personas antes de hacer pública información que las incluya.

Ejercicio:

  • Entra a google.com y a duckduckgo.com y busca tu nombre completo ¿Qué aparece en web, video, imágenes?
  • Revisa la configuración de las redes sociales que utilizas, pon especial atención en quién puede ver tus publicaciones y en la geolocalización. En Facebook por ejemplo puedes utilizar las listas de personas para segmentar el público que puede ver tus publicaciones.

Es el número o dirección que se le asigna a tu equipo cuando navegas en Internet. Esta dirección es la que te permite navegar, ya que el módem sabe a dónde entregar la información o sitios que estás “pidiendo” visitar.

Esta IP incluye tu ubicación geográfica, entra a http://findipinfo.com y revisa dónde aparece que estás ubicado.

Saber cual es mi IP

El anonimato en Internet es la posibilidad de ocultarte u ocultar tus movimientos en la web. Mientras que la comunicación segura lo que te permite es proteger tu información en caso de que pueda ser interceptada.

Las herramientas de anonimato en la red que veremos son: VPN y TOR. No confundas navegación anónima con las opciones de Navegación incógnita de tu navegador, ya que la última en realidad únicamente evita que se almanece tu información en el navegador que estás usando.

Una VPN (red privada virtual) te permite crear una conexión segura a través del Internet para evadir la censura, anonimizar tu ubicación y cifrar tu tráfico.

Este servicio es útil cuando:

  • te conectas desde una red de Internet público.
  • quieres escoger otra ubicación geográfica para que los servicios que vas a usar como Youtube por ejemplo te muestren contenido que está restringido o censurado en tu país.

Herramientas

hotspotshield
tunnelbear
bitmask

Tor es una red destinada a proveer anonimato, pero también te permite evitar la censura. Cuando usas la red Tor, tu tráfico es rebotado a través de redes de servidores o computadoras distribuidos, llamados “onion routers.”

Este servicio es útil cuando:

  • quieres que tu tráfico en Internet no pueda ser rastreado.
  • quieres que el servicio que visitas como Youtube te registre con otra IP diferente a la tuya y por ende, otra geolocalización.
  • no quieres que los sitios que visitas recolecten información tuya.
tor
Móvil:
Orbot Configura tu Android para la red Tor
Orfox Navegador para Android pre-configurado para navegar por la red Tor

Los metadatos son los “datos de los datos”. Es decir, una fotografía o un documento de texto presentan en sí mismo información como una fotografía que puede mostrar personas y lugares; o un documento que incluye texto sobre un tema. Además de eso, cada uno de estos archivos, trae consigo más información sobre el archivo como: tamaño, fecha de creación, geolocalización, entre otros.

metadata

Es importante que sepamos que en el mundo digital, cada uno de nuestros archivos tiene esa huella impresa siempre. Los metadatos no son buenos ni malos, en muchos casos depende de cuál sea el uso que quieras darle, una foto con geolocalización puede decirle al mundo dónde estás y también los mismos metadatos pueden servir como prueba para presentar un video durante un juicio.

Identifica cuándo podrías utilizar los metadatos de un archivo a favor y cuándo podrían funcionar en tu contra. A continuación mencionamos algunas herramientas que pueden ser útiles para borrarlos:

Borrar metadatos en imágenes:

Windows MAC y Windows Linux, Mac y Windows
JPEG and PNG stripper MetaData Stripper ExifTool/

Borrar metadatos en video:

Android Linux, Mac y Windows
ObscuraCam Para eliminar metadatos de video puedes hacerlo directamente desde el programa de edición que utilices. Aquí un ejemplo de cómo hacerlo en Premiere. Es importante que antes de borrar los metadatos consideres guardar el archivo original en algún lugar seguro. /
Borrar metadatos de otros tipos de documentos: Metadata Anonymisation Toolkit

En 2009, Malte Spitz pidió a su compañía celular toda la información que tenían almacenada sobre él y decidió tomar únicamente la geolocalización para mostrarla en un mapa interactivo. (pudes ver el mapa aquí) ¿Cómo pudieron obtener información tan detallada de él?

En ocasiones pensamos que con desactivar la opción de GPS desde configuración en nuestros teléfonos, ya no podemos ser localizados, pero la realidad es que mientras nuestros teléfonos celulares estén encendidos, la información sobre nuestra ubicación se está generando. ¿Por qué? Aún cuando tengamos el símbolo de GPS desactivado, el teléfono debe seguir indicando dónde está ubicado a las antenas del servicio de telefonía para que podamos seguir recibiendo llamadas y mensajes.

La geolocalización es la información privada que el celular genera para el proveedor, mientras que GPS es la información que se te brinda a ti para compartir en servicios como mapas o redes sociales.

Esta IP incluye tu ubicación geográfica, entra a http://findipinfo.com y revisa dónde aparece que estás ubicado.

Saber cual es mi IP

Los teléfonos móviles almacenan mucha información tuya e información de otras personas, es necesario que tomes medidas para proteger tu dispositivo.

  • Activa el bloqueo de pantalla en tu teléfono celular de modo que te pida una contraseña para poder utilizarlo.
  • Activa el rastreo de tu móvil, en caso de robo o extravío podrás ubicarlo o borrar tu información a distancia también. Si tienes iPhone entra a este sitio y en caso de Android a aquí.
  • Descarga un antivirus en tu teléfono como Avast o Avira
  • Cifra tu teléfono. Cuando activas el cifrado en tu teléfono el proceso inicial puede tomar varios minutos, después únicamente se tomará unos segundos más cada vez que lo prendas pero te servirá para que la información dentro de él quede ilegible en caso de robo.
  • Utiliza herramientas seguras para comunicarte como Signal o Telegram chat secreto.

La verificación de dos pasos agrega una capa más a la seguridad de tus cuentas y cada vez son más los servicios que se suman como Facebook o Gmail. Esta medida plantea la necesidad de presentar algo que sabes: tu contraseña, y algo que tienes: puede ser tu celular como en el caso de Google que puedes descargar la app para generar códigos desde tu teléfono.

De esta forma, incluso si alguien obtiene tu contraseña no podrá acceder a menos que tenga la otra forma de verificar. Revisa cómo activarla en tus cuentas de Google, Facebook, Twitter, Outlook y Yahoo.

Es importante que los temas revisados a lo largo del curso se conviertan en un plan de acción para determinadas ocasiones o grupos con los que colabores. Que puedas saber cuándo harás cada una de las actividades que revisamos. ¿Cómo identificar momentos críticos o acciones a implementar?

Actividad:

  • En una hoja, enlista todas las actividades que realizas durante un día normal. Piensa en: a qué hora despiertas, qué haces, qué dispositivos utilizas. ¿Tienes reuniones fuera de casa? ¿Te trasladas con tu equipo? ¿Cómo es tu regreso a casa? ¿En qué momento consultas tus dispositivos y cuentas de correo?
  • Si tienes días que sean más agitados también describe uno de esos días: ¿sales de viaje? ¿qué equipo llevas? ¿con quién te comunicas cuando sales de viaje? ¿esa persona sabe qué hacer en caso de algún incidente?
  • Ahora identifica en ambos casos o en los diferentes tipos de días que hayas descrito
    1. ¿En qué momento te sientes más vulnerable? ¿Por qué?
    2. ¿Involucra a alguien más?
    3. ¿Qué acciones puedes llevar a cabo para prevenir daños, pérdida o riegos en general? ¿Con qué frecuencia?
  • Haz una lista de acciones a tomar. De esta actividad puede salir un protocolo de viajes, un protocolo a implementar con el equipo de tu oficina o ligado a un sólo proyecto en específico.

Recomendaciones generales

  • Empieza a llevar una bitácora donde tú y tu equipo de trabajo puedan registrar cualquier incidente, incluso si no está directamente relacionado con algo digital.
  • Revisar las actualizaciones y los permisos de las apps que instalas en tus dispositivos.
  • Aceptar las actualizaciones de software y sistema operativo.
  • Identifica tu huella digital, que rastros dejas cuando navegas en Internet y qué dicen de ti.
  • Protege tu módem, cambiando la contraseña que viene preestablecida.

¿Cómo identificar herramientas seguras?

Las herramientas de seguridad digital cambian constantemente y cada día también salen a la luz nuevos proyectos. Por eso es necesario que aprendas a identificar en qué herramientas sí puedes confiar y en cuáles no.

Aquí algunas recomendaciones para identificar herramientas confiables:

  • Muchas de las herramientas de seguridad digital son de código abierto, lo que permite que comunidades de desarrolladores puedan hacer auditorias y comprobar que las herramientas cumplen con los criterios de servicio que ofrecen como cifrado, almacenamiento o no de información del usuario, entre otros.
  • Busca información y referencias sobre las herramientas: comentarios en las tiendas de descargas como Google Play, comentarios en redes sociales, menciones en blogs de colectivos que trabajan en seguridad digital.
  • Muchas veces los proyectos tienen cuentas en redes sociales, búscalas para ver si el proyecto sigue vigente y qué comentarios reciben.
  • Investiga: ¿Quién financia el proyecto? ¿Qué información almacena del usuario? ¿Dónde se almacena? Es importante saber dónde están los servidores ya que a veces ahí es donde se determina qué legislación es la que aplica.
  • ¿Quién tiene tu llave? En seguridad digital hablamos mucho de llaves, en el caso de las pgp tú eres quien las crea y quien almacena la llave privada, pero en el caso de otros servicios ellos mismos son quienes las almacenan o las crean cada vez que inicias una comunicación.