Mensajes cifrados de extremo-a-extremo, correos en PGP o protocolos OTR para nuestras chats. La reacción más habitual cuando oímos hablar de seguridad informática o privacidad online –un tanto abrumados por impronunciables términos y un sinfín de amenazas que nos acechan– suele ser la de “yo no tengo nada que ocultar”.
Sin embargo, sin querer esconder información de forma deliberada, basta con que haya algo que no queremos que sea necesariamente público. Ya nos han contado que las agencias de seguridad recopilan de forma masiva nuestras comunicaciones, pero no hace falta que seamos sus objetivos directos para convertirnos en victimas del ciberespionaje y que nuestra información personal sea ultrajada y utilizada con fines diversos.
Desde cibercriminales que a través de correo spam implantan spywares y malwares para robar nuestras contraseñas del banco, hasta exparejas que acceden a nuestro perfil en Facebook o controlan el historial de nuestro navegador, pasando por grandes corporaciones que utilizan nuestros metadatos con fines comerciales. Las amenazas son muchas en el inmenso universo digital, e incluso en muchas ocasiones, como en los buenos thrillers, el enemigo está dentro de casa. En este caso los sistemas y dispositivos en los que confiamos y que creemos que protegen nuestra privacidad pueden ser nuestros verdaderos enemigos; y cuando no se puede confiar en nadie más que en uno mismo, es casi una obligación tomar todas las medidas de autoprotección posibles.
Con esta finalidad nace el último proyecto de la Electronic Frontier Foundation (EFF), el manual interactivo “Surveillance Self-Defence” (SSD), y que cuenta con una versión completa en español: “Autoprotección Digital Contra La Vigilancia: Consejos, Herramientas y Guías Para Tener Comunicaciones Más Seguras”. En realidad, se trata del relanzamiento de la guía de autodefensa digital que la organización publicó en 2009 en respuesta a la creciente demanda de alternativas por parte de ciudadanos iraníes para defenderse del ciberasedio que estaba aplicando el gobierno de Mahmud Ahmadineyad a la población durante las protestas populares tras su reelección como presidente.
Esta nueva edición completamente revisada y adaptada a los grandes cambios que se han producido en apenas unos años, ofrece una guía de herramientas y actuaciones, en lenguaje sencillo y didáctico, apta para muy diversos perfiles: un kit básico para quien se acerca por primera vez a esto de la ciberseguridad, herramientas avanzadas para aumentar el set de autoprotección de los usuarios de internet, ayudas específicas para periodistas que buscan confidencialidad para sus fuentes, consejos clave para activistas y organizaciones bajo la lupa de las fuerzas de seguridad o trucos para cualquier manifestante que necesite proteger su información o identidad cuando acude a una protesta.
Puede sorprender que en la era pre-Snowden, cuando la mayoría de nosotros sólo había oído hablar de mensajes cifrados en las películas de espías, ya hubiera online un manual diseñado para hacer un uso casero de la criptografía y todo tipo de artimañas para escapar a la censura digital. Pero lo cierto es que la Electronic Frontier Foundation lleva mucho tiempo monitorizando casos de vigilancia, de hecho, lleva defendiendo las libertades de las personas en el mundo digital desde prácticamente antes de que los ordenadores llegaran a los hogares españoles.
Fundada en 1990 en Estados Unidos, esta organización sin ánimo de lucro es hoy en día un referente internacional en la lucha por la defensa de la libertad de expresión, la privacidad online y los derechos de los consumidores en la Red –algo así como la Amnistía Internacional del mundo digital. Aparte de ser grandes combatientes en los tribunales, una de las principales misiones de la organización es la de educar y formar a otras organizaciones, gobiernos, medios de comunicación y ciudadanos sobre las amenazas cada vez más comunes contra nuestros derechos como usuarios de Internet.
“Los fallos sobre las que funciona nuestra tecnología que permiten a la NSA espiarnos, son los mismos fallos que son explotados por cibercriminales que pueden estar compartiendo contigo una red wifi y recogiendo toda la información sobre lo que estás haciendo”, explica a eldiario.es Danny O’Brien, director internacional de EFF. Pero también cada vez más cuerpos de seguridad locales o investigadores privados los usan. “No solo me preocupan los servicios de inteligencia sino también ese funcionario local corrupto que quiere saber todo acerca de un periodista para que éste no pueda tener una fuente secreta en el ayuntamiento o exparejas que tienen acceso a leer emails o el historial del navegador incluso después de haber dejado la relación. Todo esto es de lo más normal hoy en día”.
O’Brien habla de una “democratización de la vigilancia”. “Esto solía ser algo que solo los tipos James Bond podían hacer pero todas esas debilidades de los sistemas y las ‘puertas traseras’ que se han dejado abiertas, hacen posible que otra muchas personas hagan un mal uso de ello. Y no es solo culpa de la NSA, muchas compañías fueron también muy vagas a la hora de utilizar encriptación para proteger sus comunicaciones. Y de hecho muchas de esas empresas tienen unos modelos de negocio que requieren dejar nuestros datos entreabiertos para poder ellas mismas tener acceso y monitorizarlos. Pero eso deja la puerta abierta para muchas otras personas”, denuncia.
Por ello, una de las razones por las que la organización decidió elaborar SSD es “porque la gente puede que no sepa todos los detalles acerca de la vigilancia pero sí saben quién es Snowden y son mucho más conscientes de la cara negativa de Internet y de los peligros de compartir información personal en el mundo digital. Ahora mismo la gente no sabe las respuestas, pero sus preguntas son un poco más claras. En SSD intentamos resolver algunas de esas preguntas”.
El “Do it Yourself” de la seguridad online
“A la gente le han enseñado que los problemas en los ordenadores se solucionan descargando un nuevo software, comprando un programa nuevo o incluso cambiando de ordenador. Ese es uno de los grandes retos que tenemos, en el caso concreto de la seguridad informática no se trata tanto de comprar siempre la más novedosa protección para tu ordenador sino de pensar en qué datos posees, quién puede estar interesado en tu información y qué medios tienen para obtenerla”, critica O’Brien.
Definir el modelo de amenaza es precisamente el primer paso una vez decididos a tomar las riendas de la seguridad de nuestro ordenador o dispositivo móvil. La recomendación general que encontramos en este manual de “Autoprotección Digital Contra La Vigilancia”, independientemente del tipo de usuario que seamos o nuestro grado de conocimiento informático, es identificar nuestras propias amenazas, ya que “la seguridad digital no se basa en qué herramientas usamos, sino en el entendimiento de las amenazas que encontramos y cómo necesitamos protegernos de ellas”.
Para definir nuestro modelo de amenaza bastan unos simples listados preguntándonos ¿qué tipo de información poseemos y cual de ella queremos proteger? ¿Dónde está guardada y quien puede tener acceso a ella? ¿Quién quiere poder apropiarse de mi información? ¿Qué querrían hacer con mis datos? Y ¿cuánto esfuerzo estamos decididos a emplear en la labor de protección?
Una vez identificados los riesgos podemos hacer un cálculo razonable de cuánto tenemos que ocultar. Si bien, más que una cuestión de cuánto tengo que ocultar se trata de “cuánta información personal tengo almacenada de forma vulnerable y quiero proteger”, opina O’Brien. Y recurre a un ejemplo muy práctico como es el de los teléfonos móviles: estos dispositivos emiten señales que informan de dónde estamos en todo momento, haciendo muy sencillo para alguien reconstruir nuestros movimientos o con quién hemos estado hablando, incluso identificar nuestro círculo de amigos y familiar. Además en ellos almacenamos una ingente cantidad de archivos con información personal e íntima, que muy seguramente no nos gustaría que conociera nuestro vecino y que incluso en ciertas circunstancias puede llegar a suponer un riesgo mayor si cae en manos de profesionales del delito informático.
Kit de supervivencia para cualquier usuario
Independientemente de nuestro nivel de conocimientos informáticos, todos utilizamos la misma tecnología, y en la mayoría de ocasiones para comunicarnos, por ello existen una serie de herramientas básicas para asegurar la privacidad de nuetsras comunicaciones aptas para cualquier tipo de usuario.
Tal y como alertan desde SSD “sin tomar pasos extras para proteger tu privacidad, cada llamada telefónica, cada mensaje de texto, email, mensaje instantáneo, llamada de voz sobre IP (VoIP) –es decir mediante internet—, videoconferencia y mensaje en una red social podrían ser vulnerables a la escucha secreta”. Para proteger el contenido de nuestras comunicaciones a través de una red se aconseja el uso de la criptografía, es decir el cifrado end-to-end (extremo-a- extremo).
Cuando dos personas eligen el cifrado de extremo-a-extremo para comunicarse de forma segura ambos necesitan generar una llave de cifrado. Antes de enviar el mensaje la persona ha de cifrarlo introduciendo la llave de su destinatario, para que sola éste pueda descifrarlo. Si un tercero interceptase el mensaje, solo podría ver la información cifrada, sin poder leerlo, ya que es necesaria la llave introducida para poder hacerlo legible.
“La confianza que tenemos en la criptografía no es una confianza como la que puedes tener en Google, en Windows o en Apple… Es una confianza en las matemáticas. De la misma forma dos más dos son cuatro, estamos bastante seguros de que la criptografía es matemáticamente inquebrantable”, explica el representante de EFF.
En este manual tenemos acceso a una práctica introducción a la “Criptografía de Llave Pública y PGP” (Pretty Good Privacy o Privacidad Bastante Buena), así como guías paso a paso sobre cómo utilizar OTR “off-the-record” –un protocolo de cifrado de extremo-a-extremo para mensajería en tiempo real y el cual se aplica ya a una gran variedad de servicios. Sin embargo, sabemos que el cifrado de extremo-a-extremo sólo protege el contenido de la comunicación, dejando visibles los metadatos del mismo. “Podemos cifrar correos electrónicos para que quien husmee en nuestro ordenador no pueda leerlos pero hay más información en los correos de la que aparentemente escribimos. Está lo que sería el sobre del correo electrónico: a quién se lo estás enviando, a dónde lo envías y desde dónde… Toda esa información no puedes cifrarla porque alguien tiene que leerla para poder enviar el mensaje. El equivalente al cartero, digamos”, apunta Danny O’Brien.
Para proteger los metadatos en este tipo de casos se requieren herramientas adicionales, como puede ser, por ejemplo el uso del navegador Tor, al mismo tiempo que utilizas el cifrado de extremo-a-extremo.
Cómo comunicarnos con otros de forma segura
Tampoco cuando realizamos una llamada desde el teléfono fijo o móvil, la metainformación de esa llamada está protegida, dejándola en situación de vulnerabilidad a interceptaciones por parte de la compañía telefónica o cualquier otra persona. Entre las aplicaciones recomendados por la EFF para llamadas de voz seguras encontramos: Ostel, Silent Phone, Signal – Mensajero privado (aplicación gratuita para iPhone) y RedPhone (el homólogo de Signal en Android).
Para proteger los mensajes instantáneos la solución son los mensajes “Off-the-record”, conocidos como OTR; algunas de las plataformas que incorporan OTR con mensajes instantáneos son: Pidgin, Adium o ChatSecure. Mientras que los nostálgicos de los primeros tiempos de la era móvil que siguen recurriendo a los mensajes de texto, el tradicional SMS, pueden probar con TextSecure –disponible en la Google Play Store de Android y que no solo permite el mensajeo cifrado sino el almacenamiento de estos mensajes en el móvil bajo una contraseña.
En otras ocasiones, la comunicación no se produce en un lugar seguro como nuestro teléfono personal sino en un navegador web cualquiera; por ejemplo, para consultar nuestro correo electrónico. La mayoría de proveedores de servicio email se apoyan en protocolos HTTPS o transporte de cifrado en capa (“transport-layer encryption”) como Gmail, Riseup o Yahoo. Sin embargo, hay algunas cosas que el HTTPS no hace. Cuando enviamos un email usando HTTPS, nuestro proveedor de email también recibe una copia descifrada de la comunicación.
Tal y como alerta el director internacional de EFF acerca del gran número de personas que utilizan servicios como Gmail: “La realidad es que Google tiene que ser capaz de mirar en tu email para poder mandarte anuncios personalizados. Los anuncios que ves en Gmail están basados en las palabras que tú usas en tus correos electrónicos; eso significa, que tú estás dando permiso a Google para que espíe tu correo, lo que significa que otras personas tienen la capacidad de hacerlo también”. Así PGP (Pretty Good Privacy o Privacidad Muy Buena) se ha convertido en el estándar de seguridad de extremo-a-extremo para el correo electrónico.
Guardado bajo siete llaves
Al igual que nos aseguramos de cerrar bien la puerta de casa con llave cuando salimos, deberíamos preocuparnos de poner las barreras necesarias a quienes quieran forzar la cerradura de nuestro ordenador o robar la información confidencial almacenada en nuestro teléfono móvil. La mayoría de los ordenadores y smartphones ofrecen la opción de cifrado de disco completo. Para el primer caso, los sistemas Windows ofrecen “BitLocker” y en los Mac podemos encontrarlo como “FileVault”. En los dispositivos móviles, Android permite realizar aumentar la protección en la sección de ajustes de “Seguridad” mientras que los equipos de Apple, tales como el iPhone y el iPad, lo describe como “Data Protection / Protección de Datos” y se activa creando una clave.
“No importa qué equipo uses, el cifrado es solamente tan bueno como tu contraseña”, nos dicen desde SSD. Por eso es aconsejable huir de las contraseñas de cuatro dígitos a las que estamos tan acostumbrados. Y también evitar su reutilización. Hay herramientas de software para ayudarnos a recordar cuando tenemos un elevado número de contraseñas, llamados “gestores” o “billetera segura para contraseñas”; además un administrador de contraseñas protege todas tus contraseñas con una contraseña maestra (o, idealmente una frase contraseña) por lo que sólo tendremos que recordar una. KeePassX es una billetera segura para contraseñas, gratuita y de código abierto que se puede tener en el escritorio del ordenador.
“En ocasiones son los bancos y corporaciones, como Google, los que te indican que hagas cosas que probablemente no sean lo mejor para ti –explica O’Brien. Uno de los ejemplos más claros es el de las preguntas de seguridad o recuperación de contraseña que hacen referencia al nombre de tu madre, el colegio dónde estudiaste o el nombre de tu mascota. Esa puede ser una buena barrera para un cibercriminal cualquiera pe no para alguien que te conozca o ya tenga información privada sobre ti. La recomendación que hacemos en SSD es la de tratar estas preguntas como si fueran más casillas para contraseñas (código de números y letras) en vez de contestando con el verdadero nombre de tu perro”, indica O’Brien.
Protección en las redes sociales
Cada vez son menos los que pueden decir que están fuera del mundo de las redes sociales. Facebook, Instagram o Twitter tienen cientos de millones de usuarios cada uno. Estas redes se basan en la idea de compartir mensajes, fotografías e información personal, pero también cada vez más se han convertido en foros para la movilización social y el debate político, por lo que muchas de ellas se sustentan en la privacidad y los seudónimos. Ante este cambio de dinámicas, es imprescindible definir qué tipo de usuario nos consideramos y tener en mente qué medidas tomar para proteger nuestra identidad en la media que queramos.
Es importante tener reflexionar sobre las siguientes preguntas antes de hacer uso de las redes sociales: ¿Cómo puedo interactuar en estos sitios protegiendo al mismo tiempo mi privacidad? ¿Y mi identidad? ¿Y mis contactos y asociaciones? ¿Qué información quiero mantener en privado y de quién la quiero mantener en privado?
Es cierto que para ser admitidos en estos clubs sociales debemos aceptar sus condiciones de uso y con ese simple gesto ya estamos cediendo una gran parte de nuestra privacidad –no olvidemos que nuestra dirección IP puede quedar automáticamente registrada— pero también tenemos la posibilidad de negociar con la aplicación algunos aspectos, por lo que podemos (y debemos) cambiar los ajustes predeterminados de la configuración de privacidad de nuestro perfil –si no queremos que, por ejemplo, nuestra ubicación se comparta de forma automática— o pensar en bloquear las cookies de terceros y utilizar extensiones del navegador de bloqueo de seguimiento para asegurarnos de que nuestra información no se transmite pasivamente a terceros.
Un mismo usuario, distintos usos
A parte de que estas consideraciones y herramientas son comunes y aplicables por prácticamente cualquier ciudadano, en “Autoprotección digital contra la vigilancia” podemos encontrar otros consejos útiles para situaciones concretas que responden a diversos perfiles o, más bien, a diversos usos que una misma persona pode hacer de la tecnología en distintos momentos de su vida.
No hace falta ser un activista para ir un día a una manifestación, así que no está de más tener en cuenta cómo preparar nuestros dispositivos personales (teléfonos, cámaras de fotos o video, ordenadores,…) para una protesta. Por ejemplo realizando copias de seguridad previas en otro dispositivo, para no portar información que pueda ser incriminatoria en caso de que el teléfono o cámara sea requisado; borrando todos los metadatos antes de publicar imágenes en las redes sociales para mantener la identidad y localidad secreta o por el contrario, utilizando la herramienta InformaCam, de Guardian Project, para precisamente guardar todos los metadatos registrados por un dispositivo y que puedan localizarnos en caso de estar en una situación de peligro.
Tampoco hace falta ser un defensor de los derechos humanos profesional –otro de los perfiles del manual— para hacer uso de una red privada virtual, VPN (Virtual Private Network) en la que la información con la que trabajamos esté a salvo. Podemos querer utilizarla como red corporativa en la oficina para tener disponible de forma segura los documentos con los que trabajamos mientras estamos de viaje o en casa; prescindiendo así de sistemas como Dropbox o GoogleDrive que dejan las puertas abiertas a la vulnerabilidad de nuestra privacidad.
Las herramientas –la mayoría de ellas gratuitas y de software libre– son tantas como las aplicaciones que podemos darles. Y aunque también son muchas las amenazas a las que nos enfrentamos a diario, con este manual de autoprotección digital contra la vigilancia ya no hay excusa que valga para resignarnos al expolio de nuestra información.