Etiqueta: amenazas-comunes-como-cuidarte

3.09 Robo de dispositivos

Sabemos que probablemente alguna vez en la vida te hayas enfrentado a un robo de, por ejemplo, tu celular en el espacio público o en un medio de transporte. Aparte de preocuparte por la pérdida económica que supone comprarte otro celular, ¿Te has puesto a pensar en la cantidad de información personal y de otros que llevamos en estos dispositivos? Desde archivos, accesos a cuentas, fotos personales y de tu familia y amistades. Ahora imagínate que el dispositivo robado es tu PC o laptop: la cantidad de información a la que el ladrón o atacante podría llegar a tener acceso es mayor.

Como activista, que un potencial adversario acceda a la información que cargas en tus dispositivos no solo podría vulnerar tu integridad, sino la de toda tu organización y de aquellas personas con las que trabajas y a las que apoyas.

¿Qué hábitos de seguridad digital debo practicar para evitar que esto pase?

💡Hiperión recomienda:

  1. ⚡Establecer un protocolo de transporte de dispositivos físicos (disco duro, USB, CDs).
  2. ⚡Hacer un backup constante y mantenerlo en el lugar más seguro que considera la organización (Puede ser un lugar físico o digital). En lo posible, su traslado debe ser mínimo.
  3. ⚡Para el backup en equipos de Apple se puede utilizar Time Machine y como una capa extra de seguridad encriptar esta información.
  4. ⚡Existen opciones de backup online (no es gratis 🙄) como BackBlaze o IDrive.
  5. ⚡Los backup en computadoras o laptops con sistema operativo Windows 10 o más reciente se puede habilitar la opción de Respaldo y Restauración. Y si es posible encriptar esta información haciendo uso de BitLocker.
  6. ⚡Las últimas versiones de los sistemas operativos Android e iOS realizan el encriptado por defecto de su disco pero únicamente si se establece una contraseña de bloqueo. ¡No dejes de activarlas!

Recordemos:

  • La información que tienes guardada en tu dispositivo o celular está asociada a las comunidades con las que te comunicas. Cuidar su información es cuidar a tu comunidad.
  • La salud psicológica de las personas que manejan los dispositivos de tu organización son tan importantes como cualquier otro activo. Tener un plan de acción ante un posible robo de dispositivos ayudará a que esta persona pueda manejar este incidente, en caso de que ocurra, con serenidad.
  • Una buena recomendación de backup es seguir la regla del 3-2-1; tres copias de tu información, dos de manera local en diferentes dispositivos y una copia en un sitio remoto. Para la mayoría, esto se puede entender como la información original en tu computadora, un backup en un disco duro externo y otro en un servicio de backup en la nube.

3.03 Acoso coordinado a activistas

📝Los ataques de acoso coordinado son acciones conjuntas realizadas en Internet con el objetivo de dañar a una persona o una organización. Inclusive cuando las acciones parezcan inocuas por sí solas, logran un efecto abrumador e inhabilitante porque son llevadas a cabo en simultáneo por decenas de personas que se esconden detrás de perfiles falsos o pseudónimos.

En Hiperderecho, hemos identificado hasta tres tipos de acoso coordinados:

  • El uso de datos personales para crear campañas coordinadas de desprestigio y dañar tu reputación.
  • El uso de datos personales para vigilarte: te dicen que ya saben dónde vives o cómo se llaman tus familiares para darte a entender que pueden acercarse a ti en cualquier momento.
  • Y el «reporte masivo» o el abuso de los mecanismos de reporte en redes sociales para eliminar un perfil o una publicación y, de esa manera, eliminarte de ese espacio.

[Este post sobre acoso coordinado te puede interesar]

¿Qué hábitos de seguridad digital debo practicar para evitar que esto pase?

 

💡Hiperión recomienda:

  1. ⚡Dentro de las posibilidades de la organización, seguir el proceso de verificación en redes sociales (check azul) como en Facebook, Instagram o Twitter.
  2. ⚡Control adecuado de los permisos en carpetas compartidas o formularios.
  3. ⚡Googleate a ti mismo(a) para ver qué información privada está disponible en Internet, y de ser posible solicita eliminarla a la persona que administre la cuenta o el sitio en la que esté publicada esta información.
  4. ⚡Asegurarse (de tener una web) que esté protegida ante distintos tipos de ataque. Una buena herramienta es utilizar Cloudflare.
  5. ⚡De ser necesario, configurar sus redes sociales en privado, deshabilitar la opción de recibir mensajes de personas que no conocemos o también filtrar el contenido que pueden escribir en nuestras publicaciones, videos en vivo, etc. Un ejemplo para Instagram es habilitar el filtro de palabras ofensivas. También está disponible una opción para páginas de Facebook.
  6. ⚡Para el caso de redes sociales como Facebook, puedes configurar las opciones de privacidad para que tu perfil no se muestre como resultado de las búsquedas por nombre, número de celular o correo electrónico.
  7. ⚡Como organización, definir roles de respuesta ante este tipo de ataques.
  8. ⚡Si tienes una cuenta personal, recomendamos limitar el alcance de las personas que pueden ver tu contenido (fotos, publicaciones) de tu cuenta privada. Al paralelo, puedes crear una cuenta únicamente para hacer activismo, en la que no publiques fotos personales ni etiquetas familiares, etc.

Recordemos:

  • Recordar nuestro espacio en Internet y quiénes son las personas que están expuestas en los frentes de este espacio y que, por lo tanto, están expuestas a este tipo de ataques.
  • Los canales digitales más frecuentes son las cuentas de redes sociales, páginas web, correos electrónicos y cuentas en las aplicaciones de mensajería para dar apoyo a su comunidad (WhatsApp, Telegram, Signal, etc).
  • Es importante documentar estos eventos como evidencia y como parte de la ficha de incidentes.
  • La salud psicológica de las personas detrás de las actividades y plataformas de la organización son tan importantes como cualquier otro activo.

3.07 Interceptado de comunicaciones

📝Por interceptado de comunicaciones nos referimos a la escucha o grabación del contenido de una comunicación, o la captación de sus datos, durante su transmisión. Es decir, en el transcurso del día de tus datos de un punto al otro.

¿Qué hábitos de seguridad digital debo practicar para evitar que esto pase?

💡Hiperión recomienda:

  1. ⚡Navegación segura, asegurando que los sitios que ingresemos tengan el indicador de sitio seguro o utilizar la herramienta HTTPS Everywhere.
  2. ⚡Utilizar aplicaciones de mensajería con encriptación de punto a punto.
  3. ⚡De ser posible, tener líneas telefónicas dedicadas para las actividades de la organización.
  4. ⚡Googléate a ti mismo(a) para ver qué información personal está disponible en Internet, y de ser posible, solicita eliminarla a la persona que administre la cuenta o el sitio en la que esté publicada esta información.
  5. ⚡Para el caso de redes sociales como Facebook, puedes configurar las opciones de privacidad para que tu perfil no se muestre como resultado de las búsquedas por nombre, número de celular o correo electrónico.
  6. ⚡Procura ser precavide al ingresar a las zonas de WiFi gratuito. Analiza su seguridad o evita ingresar a cuentas de información sensible o de gran importancia como la del banco, formularios con datos personales, etc.
  7. ⚡Utiliza navegadores que mantengan anonimidad o herramientas que permitan conservar la anonimidad de la actividad en Internet como VPNs, Tor o utilizar buscadores que sean respetuosos con la privacidad como DuckDuckGo

Recordemos:

  • Una conexión HTTP no puede considerarse segura porque, si alguien intercepta ese flujo de datos, podrá ver todos los parámetros que estamos enviando. Por ejemplo un formulario, un usuario y contraseña, etc.
  • HTTPS por el contrario, permite una comunicación cifrada. Existen plugins para instalar en nuestros navegadores para asegurar este tipo de configuración.
  • Una red puede considerarse insegura si no nos garantiza el transporte de información de manera encriptada. Un buen indicador en los navegadores es el candado verde en la sección donde aparece el nombre de la página que estamos visitando.
  • La encriptación de punto a punto se encarga de cifrar nuestros mensajes de tal manera que únicamente el emisor y receptor del mensaje puedan entenderlo (descifrarlo). Esto significa que incluso cuando el mensaje sea interceptado, será imposible de leer o entender.
  • Es importante analizar sobre nuestra presencia en Internet y cómo nuestros dispositivos pueden llegar a tener una huella única. Esta información puede ser utilizada para el perfilado a partir de la información recolectada sobre nuestras actividades de navegación.
  • Recordar también que Internet no es un espacio invisible. Existe toda una infraestructura física que soporta esta tecnología.

3.06 Vigilancia del gobierno

📝De acuerdo con Amnistía Internacional, algunos gobiernos espían lo que hacemos en Internet. Esta organización señala también que los documentos que Edward Snowden hizo públicos en 2013, por lo cual tuvo que huir de Estados Unidos, han revelado cómo las agencias de seguridad estatales utilizan la vigilancia masiva para recoger, almacenar y analizar en secreto millones de comunicaciones privadas de personas en todo el mundo. Si un gobierno  espía a sus habitantes de esta manera, está violando sus derechos humanos.

A partir de esta información, valdría la pena preguntarnos qué significa esto para aquellas personas activistas por la defensa de derechos de las mujeres y poblaciones LGTBIQ+ que además sostienen posturas críticas contra el gobierno, así como de distintas instituciones e instancias del poder gubernamental.

¿Qué hábitos de seguridad digital debo practicar para evitar que esto pase?

💡Hiperión recomienda

  1. ⚡Googléate a ti mismo(a) para ver qué información personal está disponible en Internet, y de ser posible, solicita eliminarla a la persona que administre la cuenta o el sitio en la que esté publicada esta información.
  2. ⚡Para el caso de redes sociales como Facebook, puedes configurar las opciones de privacidad para que tu perfil no se muestre como resultado de las búsquedas por nombre, número de celular o correo electrónico.
  3. ⚡Revisa el contenido en las plataformas digitales sobre la información brindada de los/las participantes de la organización y analizar si algunos datos son relevantes o no.
  4. ⚡Utiliza aplicaciones de mensajería encriptadas de punto a punto.
  5. ⚡Desactiva la visibilidad de las notificaciones en tus smartphone.
  6. ⚡Navega de manera segura, con plugins anti-trackers como Privacy Badger o utilizando navegadores con esta capacidad activada por defecto como Brave
  7. ⚡Utiliza un Password Manager para asegurar las recomendaciones de contraseñas seguras.
  8. ⚡Habilitar autenticación por dos pasos en las diferentes plataformas de uso.

Recordemos

  • Un gestor de contraseñas nos facilita la manera de escoger contraseñas seguras. Existen opciones gratuitas como LastPass, Firefox Lockwise pero también otras muy buenas de pago como 1Password.
  • La autenticación en dos pasos nos permite adicionar una segunda capa de seguridad para acceder a nuestras cuentas en Internet. Esto significa que incluso cuando alguien conozca tu contraseña, no les será posible acceder a tus cuentas.
  • Según la configuración, este factor puede ser un código enviado al teléfono celular o correo electrónico. En otras ocasiones es posible tener una aplicación a manera de Token. Para este último caso tenemos alternativas como Authenticator de Google, Microsoft Authenticator o Authy.
  • Una red puede considerarse insegura si no nos garantiza el transporte de información de manera encriptada. Un buen indicador en los navegadores es el candado verde en la sección donde aparece el nombre de la página que estamos visitando.
  • Una buena recomendación de backup es seguir la regla del 3-2-1; tres copias de tu información, dos de manera local en diferentes dispositivos y una copia en un sitio remoto. Para la mayoría, esto se puede entender como la información original en tu computadora, un backup en un disco duro externo y otro en un servicio de backup en la nube.
  • La encriptación de punto a punto se encarga de cifrar nuestros mensajes de tal manera que únicamente el emisor y receptor del mensaje puedan entenderlo (descifrarlo). Esto significa que incluso cuando el mensaje sea interceptado, será imposible de leer o entender.
  • Es importante analizar sobre nuestra presencia en Internet y cómo nuestros dispositivos pueden llegar a tener una huella única. Esta información puede ser utilizada para el perfilado a partir de la información recolectada sobre nuestras actividades de navegación.

3.05 Robo de identidad en redes sociales

Como persona activista que probablemente cuenta con una voz y opinión públicas, ¿Te imaginas lo peligroso que sería que se creara una cuenta falsa que contenga tu nombre, datos personales y contactos que difunda información con la que no estás de acuerdo o, peor aún, rechazas?

📝Este tipo de violencia se refiere al uso y/o falsificación de la identidad de una persona sin su consentimiento, por medio de la creación de perfiles falsos que utilizan la imagen o información de una persona u organización. La persona agresora roba o duplica la identidad virtual de la víctima, con el objetivo de circular información falsa adoptando su identidad o acercarse a su círculo cercano. El objetivo puede variar desde buscar dañar la reputación de una persona, hasta intimidar a la víctima haciéndola sentir que pueden apropiarse de su información.

¿Qué hábitos de seguridad digital debo practicar para evitar que esto pase?

💡Hiperión recomienda:

  1. ⚡Dentro de las posibilidades de la organización, seguir el proceso de verificación en redes sociales (check azul) como en Facebook, Instagram o Twitter.
  2. ⚡De ser posible adquirir los dominios más parecidos al de la organización para evitar suplantaciones o confusión con las personas de tu comunidad.
  3. ⚡Asegurarse (de tener una web) que esté protegida ante distintos tipos de ataque. Una buena herramienta es utilizar Cloudflare.
  4. ⚡Analizar la veracidad de los mensajes que recibas vía SMS, Mail, WhatsApp u otra aplicación de mensajería [Test de phishing].
  5. ⚡En caso de que quisieras saber si tu contraseña fue filtrada en algún ataque a una aplicación o servicio web lo puedes comprobar en este enlace.
  6. ⚡Para el caso de redes sociales como Facebook, puedes configurar las opciones de privacidad para que tu perfil no se muestre como resultado de las búsquedas por nombre, número de celular o correo electrónico.
  7. ⚡De ser necesario, configurar tus redes sociales en privado, deshabilitar la opción de recibir mensajes de personas que no conocemos o también filtrar el contenido que pueden escribir en nuestras publicaciones, videos en vivo, etc. Un ejemplo para Instagram es habilitar el filtro de palabras ofensivas. También está disponible una opción para páginas de Facebook.
  8. ⚡Limita el alcance de las personas que pueden ver tu contenido (fotos, publicaciones).
  9. ⚡Si consideras necesario, crea una cuenta para hacer activismo, o no poner fotos personales ni taggear familiares, desactivar la opción de geolocalización, etc.
  10. ⚡Utiliza un Password Manager para asegurar las recomendaciones de contraseñas seguras.
  11. ⚡Habilitar autenticación por dos pasos en las diferentes plataformas de uso.
  12. ⚡Evita utilizar redes abiertas que puedan parecer sospechosas.
  13. ⚡Hacer un backup constante y mantenerlo en el lugar más seguro que considera la organización (Puede ser un lugar físico o digital). En lo posible, su traslado debe ser mínimo.

Recordemos:

  • Un dominio o nombre de dominio, es la dirección de tu sitio web. Algunas personas también le dicen URL, por ejemplo facebook.com, google.com o hiperderecho.org.
  • Un servidor, dentro de la infraestructura de Internet, es una computadora ejecutando ciertas tareas de manera constante. Usualmente se utilizan para alojar sitios web pero pueden ser utilizados para otros trabajos específicos como por ejemplo almacenamiento de archivos.
  • Un gestor de contraseñas nos facilita la manera de escoger contraseñas seguras. Existen opciones gratuitas como LastPass, Firefox Lockwise pero también otras muy buenas de pago como 1Password
  • La autenticación en dos pasos nos permite adicionar una segunda capa de seguridad para acceder a nuestras cuentas en Internet. Esto significa que incluso cuando alguien conozca tu contraseña, no les será posible acceder a tus cuentas.
  • Según la configuración, este factor puede ser un código enviado al teléfono celular o correo electrónico. En otras ocasiones es posible tener una aplicación a manera de Token. Para este último caso tenemos alternativas como Authenticator de Google, Microsoft Authenticator o Authy.
  • Una red puede considerarse insegura si no nos garantiza el transporte de información de manera encriptada. Un buen indicador en los navegadores es el candado verde en la sección donde aparece el nombre de la página que estamos visitando.
  • Una buena recomendación de backup es seguir la regla del 3-2-1; tres copias de tu información, dos de manera local en diferentes dispositivos y una copia en un sitio remoto. Para la mayoría, esto se puede entender como la información original en tu computadora, un backup en un disco duro externo y otro en un servicio de backup en la nube.