martes, 1 de enero de 2013

Seguridad Informática para Defensores de Derechos Humanos



A principios de Diciembre, estuve en el Taller de Seguridad digital para defensores de derechos humanos y organizaciones no gubernamentales, auspiciado por COFAVIC (Comité de Familiares Víctimas de los sucesos ocurridos en 1989), e impartido por el ciberactivista Luis Carlos Díaz, en los espacios de la Biblioteca Los Palos Grandes en Caracas.

Esta temática es importante para todos los que somos usuales usuarios de Internet, sin embargo, cobra una especial relevancia para los defensores de derechos humanos y organizaciones sociales, puesto que éstas suelen manejar información muy "delicadas" para los grupos de poder y ellos pueden ser objeto de represalias, intimidaciones, acusaciones, entre otras cosas. Así, proteger nuestra informaciónes vital en la defensa de los derechos humanos.

Entendiendo cómo se viola la seguridad, es el mejor modo de saber como defendernos. Para empezar, debemos entender que existen 2 métodos para violar la seguridad informática: a través de medios técnicos y a través de la ingeniería social.

Los medios técnicos son los distintos programas (software) o aparatos (hardware) que puede utilizar una persona para violar la seguridad. En esta categoría entrarían los virus, trojanos, keyloggers, entre otros. En cuanto a sistemas operativos, aunque puede que sea complicado para muchos, hay que considerar la opción de utilizar un sistema operativo distinto a Windows, por uno de software libre, como lo es Linux. Esto en vista de que, al ser Windows el sistema operativo más popular y utilizado del mundo, eso también lo hace más vulnerable puesto que la gran mayoría de los virus, trojanos y demás están diseñados para atacar este sistema. Sin embargo, es comprensible que muchos no deseen hacer este cambio, ya que adentrarse en lo desconocido no es fácil, pero puedo garantizar que es gratificante la experiencia de conocer y manejar un nuevo sistema operativo. Para ponerlo de algún modo: es como tener dos hogares, y te puedes sentir a gusto en ambos. Pero, si no se desea cambiar de sistema operativo, hay que resaltar la importancia de tener software de antivirus y firewall. La versión antivirus recomendada en el taller es Avast el cual está considerado entre los mejores y, además, dispone de una versión gratuita. En cuanto a firewall, por acá verás una lista de 10 firewalls alternativos y gratuitos para Windows.

En cuanto a navegadores web, se recomienda olvidarse completamente de "Internet Explorer", el navegador predeterminado que viene incluido con Windows y, en cambio, utilizar otros exploradores como Chrome o Firefox. Esto en vista de que estos últimos ofrecen una mayor rapidez, estabilidad, flexibilidad y seguridad que Internet Explorer. Y al igual que ocurre con el sistema operativo Windows, al ser Internet Explorer el navegador más utilizado, también es el más vulnerable al ser el que más recibe ataques. Si se desea utilizar este navegador y no otros, lo ideal es que éste esté actualizado. Últimamente, Microsoft se ha tomado muy en serio la seguridad y funcionalidad de su navegador, y ha mejorado muchos aspectos.

Al momento de revisar nuestro correo, nuestras redes sociales, cuentas bancarias, y otras páginas coninformación sensible o que requieran de nuestros datos personales y contraseñas, es muy importante hacerlo accediendo mediante "HTTPS".
Hyper Text Transfer Protocol Secure (en español: Protocolo seguro de transferencia de hipertexto)
Tal como lo muestra la imagen, es importante notar que cada vez que accedemos a una web coninformación importante, la dirección web debe incluir la "S" después del "http". Esto es importante porque, en primer lugar, eso nos quiere decir que accedemos a una dirección confiable (no se trata de un fraude); y, en segundo lugar, porque esa dirección va a encriptar todas nuestras contraseñas, evitando un posible robo de ellas (Leer más en Ataque Man-In-The-Middle).

Muchas veces creemos que todo lo que hacemos en Internet nadie lo puede saber, que somos anónimos. Pero nada más lejos de la realidad. Todo lo que hacemos en Internet deja una huella, sin importar si usted deja su nombre o no. Y todo esto se debe a nuestro número IP (Internet Protocol). La dirección IP es una enumeración que nos identifica dentro de la red, y con ella no sólo se puede saber que páginas visitamos, sino cual es tu país, ciudad, localidad, incluso que navegador usas, que sistema operativo usas, que cosas buscas en internet, etc.

Para poder visitar páginas web sin dejar rastro alguno, existe un servicio llamado Anonymouse. Éste te permite conectarte a un proxy, el cual hace una especie de desviación para llegar a una página a través de otra dirección IP. Es como engañar a un curioso, haciéndole creer que estamos en un lado, cuando en realidad estamos en otro. De igual modo, este servicio puede ser útil para cruzar las barreras que imponen los gobiernos a algunas páginas web. En el caso venezolano, hubo un periodo en que no era posible acceder a Blogger, dado que las direcciones estuvieron bloqueadas por CANTV. Otra herramienta similar y más segura es Tor (www.torproject.org), que es un navegador que toma distintos proxy y lo hace de modo encriptado.

También tenemos MyShadow, para conocer si hay datos que nos vulneren en Internet.

Si estamos muy paranoicos, creemos que nos espían, pero necesitamos comunicarnos en tiempo real a través de un chat, Cryptocat es la solución, ya que nos permite tener conversaciones encriptadas.


Ahora bien, esos fueron los medio técnicos para defendernos ante los riesgos digitales. Pero hay otras cosas que nos vulneran: nosotros mismos. Los hackers no siempre vulneran la seguridad rompiendo lasbarreras de seguridad, sino que también pueden acudir a la ingeniería social y al engaño. Por ejemplo, un usuario suele colocar sus claves en base a información personal: hechos, fechas de cumpleaños, nombres de personas, y cosas que le resultan familiares, por lo que si disponemos de tiempo y recursos, podemos averiguar la clave de una persona si hacemos una investigación rigurosa sobre dicha persona (gustos, familia, mascotas, etc). De igual modo, una persona suele usar una misma clave para todos los servicios, así que si consiguen tener acceso a una cuenta, también podrán acceder al resto. Por esto, lo recomendable es que nuestras claves no estén relacionadas con nosotros o nuestro entorno; que nuestras claves incluyan tanto minúsculas como minúsculas, números y símbolos; y que sea una clave diferente para cada servicio.

Algo que puede parecer complicado es recordar una clave que incluya tanto números, letras, simbolos y mayúsculas, de ahí debemos tener en cuenta un atajo para recordarla, y eso quiere decir recordándo la forma en que se construye y no cada letra, una por una. Por ejemplo, podemos imaginar como clave una frase, la cual será por ahora "Economíaendesarrollo". Podemos empezar a jugar con dicha frase, y cambiar la "E" por un "3", la "I" por un "1", la "A" por un "4", la "O" por un "0" (cero), la "C" por una "K", la "S" por un "5" o "quot; (o utilizar ambas), la "T" por un "7" y todas las combinaciones que se les pueda ocurrir. De ese modo, la clave resultante puede ser "3KoN0m143ND3SaRr0LL0". Otro método es utilizar las iniciales de alguna frase, poema, canción o lo que sea. Por ejemplo, tomé las primeras 2 líneas de la primera estrofa de la canción "Música Ligera" de Soda Estéreo y surgió esto:EDACDLMYYDQS (Ella durmió al calor de las masas y yo desperté queriendo soñarla). Esa es una clave muy difícil de recordar si no entendemos como se construyó, pero muy fácil de recordar si sabes de donde se origina. Además, a dicha clave también podemos aplicar la substitución de letras por números y símbolos, para quedar algo así: 3d4CDLMYyDQ$. Y tener una cuenta distinta en cada servicio podemos hacer algo muy sencillo, tomar la clave anterior, y agregarle un número o letra más para indicar que es de otro servicio. Por ejemplo: 3d4CDLMYyDQ$G (Agrego la G de Google), 3d4CDLMYyDQ$TW (Agrego Tw por Twitter), 3d4CDLMYyDQ$FB (agrego FB de Facebook), y así sucesivamente.

Ninguna medida que tomemos es 100% infalible. Todas las claves, programas y hardware que usamos puede ser violentado en cualquier momento. Pero no buscamos ser infalibles, sino ser molestos a quien nos intente vulnerar al crear distintas capas de seguridad, haciendoles el trabajo más difícil, lento y costoso.

Para terminar, algunos otros consejos y repasos:
  • Conocer bien las plataformas. Conocer bien todos los servicios a los cuales estamos adscritos evitará que nos engañen fácilmente.
  • Contar con antivirus y firewalls.
  • Claves distintas para cada servicio.
  • Renovar las claves al menos una vez al año.
  • No mezclar cuentas personales con las cuentas de la organización.
  • No guardar nuestras claves en línea.
  • Tener especial cuidado con los correos, puesto que lo hacen más vulnerable por su vinculación con otros servicios.
  • Tener precaución con las aplicaciones para redes sociales.
  • No abrir enlaces o anexos que sean dudosos.
  • Tener precaución con las web falsas (pishing), y fijarse en el https en la barra de dirección.
Escrito por Víctor Camacho
@VictorManuelcs