Etiqueta: resiste

3.01 Phishing

📝Esta es una técnica maliciosa utilizada para obtener información sensible (datos de tarjetas de crédito, nombres de usuario y contraseñas, etc.) de los usuarios. Los atacantes se hacen pasar por una entidad de confianza para que las víctimas confíen en ellos y revelen sus datos confidenciales. Los datos recogidos a través de phishing se pueden utilizar para el robo financiero, robo de identidad, para obtener acceso no autorizado a las cuentas de la víctima,  chantaje y más.

¿Qué hábitos de seguridad digital debo practicar para evitar que esto pase?

💡Hiperión recomienda:

  1. ⚡Analiza la veracidad de los mensajes que recibas vía SMS, Mail, WhatsApp u otra aplicación de mensajería. Se puede tomar un Test de phishing para conocer qué tanto podemos identificar posibles amenazas de phishing.
  2. ⚡Utiliza un Password Manager para asegurar las recomendaciones de contraseñas seguras. 
  3. ⚡Activa un método de autenticación de dos pasos para el ingreso a tus cuentas. Esto permite que los atacantes, a pesar de tener tu contraseña, no sean capaces de ingresar.
  4. ⚡Mantén actualizado tus programas y sistema operativo tanto como sea posible. Las actualizaciones siempre vienen con parches y mejoras de seguridad.

Recordemos:

  • Una contraseña se considera segura si no es una palabra o frase relacionada a tu vida personal (cumpleaños, mascota, fecha de nacimiento, nombre, etc).
  • Mientras más larga la contraseña, más segura.
  • Otra característica de una contraseña segura es que sea una diferente para cada red social o cuenta en Internet (no utilices la misma contraseña para todo).
  • En caso quisieras saber si tu contraseña fue filtrada en algún ataque a una aplicación o servicio web lo puedes comprobar en haveibeenpwned.com.
  • Un gestor de contraseñas nos facilita la manera de escoger contraseñas seguras. Existen opciones gratuitas como LastPass, Firefox Lockwise pero también otras muy buenas de pago como 1Password.
  • La autenticación en dos pasos nos permite adicionar una segunda capa de seguridad para acceder a nuestras cuentas en Internet. Esto significa que incluso cuando alguien conozca tu contraseña, no les será posible acceder a tus cuentas.

Según la configuración, este factor puede ser un código enviado al teléfono celular o correo electrónico. En otras ocasiones es posible tener una aplicación a manera de Token. Para este último caso tenemos alternativas como Authenticator de Google, Microsoft Authenticator o Authy.

3.00 Amenazas comunes y cómo cuidarte

Como activista, tienes derecho a existir en Internet y utilizarla libremente y de manera segura. Lamentablemente, puede que te encuentres con formas de violencia como éstas, que buscan entorpecer tu trabajo:

Y otras formas de violencia que ponen en riesgo la integridad de las y los miembros de la colectiva con la que activas.

Por eso es tan valioso saber sobre seguridad digital. Te permite cuidarte de estas formas de violencia, proteger tu identidad, cuidar a tu comunidad y sobre todo – asegurarte de que el importante trabajo que realizas sea sostenible a lo largo del tiempo.

👈En esta sección encontrarás una descripción de cada amenaza, junto a recomendaciones y herramientas para mitigar estas amenazas.

2.04 Protocolo de seguridad digital

📝A diferencia de un plan, un protocolo es un conjunto de medidas o acciones relacionadas con la seguridad digital que están conectadas a una actividad o proceso específico dentro de una organización o colectivo. Los protocolos son prácticas continuas que siguen vigentes incluso cuando un plan de seguridad digital se ha implementado por completo, y evolucionará con el tiempo en respuesta a los cambios que implementes en tu organización.

¿Cuándo debo crear mi protocolo de seguridad digital?

Es recomendable que implementes tu protocolo al mediano plazo, para que identifiques lo que funciona y lo que no y que lo revises cada cierto tiempo (a tu discreción). Recomendamos también que armes el protocolo organizacional de manera colectiva para que refleje las necesidades, intereses, fortalezas y vulnerabilidades de todo tu equipo.

¿Cómo creo mi protocolo de seguridad digital?

Júntate con tu colectiva y contesten juntxs las siguientes preguntas:

  • 🖋️Amenazas y riesgos: ¿A qué amenazas y riesgos nos enfrentamos actualmente? ¿A cuál podríamos enfrentarnos potencialmente en el futuro?
  • 🖋️Vulnerabilidades identificadas: ¿Cuáles de nuestras prácticas como individuos, o circunstancias como organización, podría exponernos a ser atacados?
  • 🖋️Fortalezas y capacidades: Como organización, ¿Con qué capacidades contamos que nos den una ventaja en la respuesta a amenazas y riesgos identificados?
  • 🖋️Acciones para mitigar: ¿Qué acciones necesitamos emprender para mitigar riesgos identificados? 
  • 🖋️Recursos requeridos: ¿Qué recursos (económicos, humanos, etc.) y herramientas necesitamos para implementar estas acciones? 
  • 🖋️¿Quién debe estar involucradx? ¿Qué áreas o personas dentro de nuestra organización tienen que estar involucradas en la implementación? ¿Se requerirá alguna autorización u otros permisos?
  • 🖋️Plan de monitoreo: ¿Cómo sabremos que las acciones están funcionando? ¿Cómo identificar los obstáculos? ¿Qué tan seguido revisaremos este protocolo?

Con toda esta información, podrás diseñar protocolos concretos para cada tipo de amenaza.

 

2.03 Plan de seguridad digital

📝Un plan de seguridad digital es el conjunto de medidas que tomará una persona o colectiva para mejorar su seguridad digital. El plan debe estar basado en nuestro perfil de riesgos y enfocado en crear respuestas y soluciones para atenderlos.

No hay una opción perfecta para la seguridad. No todxs tienen las mismas prioridades, preocupaciones o acceso a los recursos. En esa línea, tu plan de acción te permitirá planificar la estrategia adecuada: equilibrando la conveniencia, el costo y la privacidad — elementos centrales a la hora de elaborar tu plan. 

¿Cómo armo mi plan?

Para armar tu plan debes tomar nota de todo lo que te gustaría hacer para mitigar las amenazas que tu colectiva y tú experimentan. Para cada amenaza, pregúntate: ¿Qué puedo hacer para abordar un riesgo y / o evitar que ocurra?

Ten en cuenta tus capacidades y si tienes restricciones financieras, técnicas o sociales.

 

 

Recuerda que las medidas que tomes para abordar tu amenaza pueden ser divididas en reactivas y proactivas. Por ejemplo, si lo que quiero es una medida que atienda a una situación que ya ocurrió y mitigue los riesgos más inmediatos, buscaría una solución reactiva. Pero si quiero anticiparme a una posible situación de riesgo a futuro, buscaré una medida proactiva.

¿Por qué tener un plan de seguridad digital?

  1. 🤓Te permite tomar pasos concretos para reducir los riesgos a los que está expuesta tu colectiva, y así proteger su información y a tu comunidad.
  2. 🤓Tener un plan de acción le puede dar tranquilidad y serenidad a quienes manejan las redes sociales y tecnologías de tu organización.
  3. 🤓Te da ideas y crea una base sólida para diseñar un protocolo de seguridad digital para tu organización que puedes implementar de manera sistemática.

2.02 Modelo de riesgos con enfoque de género

📝Un modelo de riesgos es una herramienta que te permite medir y evaluar las amenazas que vives en el ámbito digital. Te sirve para conocer el perfil de riesgo de tu organización, y así determinar el tipo de protección que necesitas para cuidar tu información.

¿Qué tan seguido debería modelar mis riesgos?

Es recomendable hacer un modelado de riesgos cada cierto tiempo – puede ser cada 3 ó 6 meses, ó cada año. Depende de qué tanto cambie el panorama de seguridad digital de tu colectiva.

Recuerda tomarte un descanso cuando estés mapeando esta información. Este es un proceso en el que las personas involucradas estarán expuestas a situaciones de recordar amenazas y esto podría perturbar el bienestar individual y grupal. Recomendamos prestar mucha atención a nuestro sentir propio y el de los demás y cuidarse mucho en este proceso. 

¿Cómo creo un modelo de riesgos?

Para crear tu modelo de riesgo y conocer el perfil de riesgo de tu organización debes identificar lo siguiente:

💎1. Identifica qué es lo que quieres proteger o tus activos: Estos son los datos o información que quieres proteger porque pone en riesgo a tu organización o a tu comunidad. Recuerda que la información que guardas en tus dispositivos o que compartes en tus redes sociales puede revelar mucho sobre ti y las personas que quieres cuidar.

💎2. Identifica de quién quieres proteger a tus adversarios: las personas, organizaciones o comunidades que quieren hacerte daño y buscan censurar, bloquear o detener tu activismo por diferentes motivos. Un adversario puede ser una ex pareja, una colectiva organizada, o el gobierno.

💎3. Identifica la capacidad de tus adversarios: o los recursos económicos, sociales y tecnológicos que tiene tu adversario. Existen diferentes niveles de adversario de acuerdo a sus capacidades:

💥 Adversarios poco sofisticados. Usuarios comunes sin conocimiento profundo de tecnología, pero que buscan hacer daño social o emocional. Por ejemplo, usan redes sociales de manera convencional, pero las utilizan para hacer comentarios agresivos o enviar mensajes directos a quienes no piensen como ellos. Pueden ser compañeros de trabajo, de estudio, roommates, etc.

💥 Medianamente sofisticados. Estas personas saben cómo utilizar herramientas para realizar ataques menores a páginas web y podrían tener acceso a información sensible a partir de su círculo social o laboral. Por ejemplo, un empleado de una empresa de telecomunicaciones podría acceder al registro de llamadas o consultar a quién le pertenece un número celular gracias a su posición.

💥 Muy sofisticados. Este adversario tiene mucho alcance y muchos recursos. Por ejemplo, el gobierno puede adquirir o desarrollar herramientas para la vigilancia de activistas o un miembro de la Policía podría solicitar acceso a la ubicación de tu celular en los últimos tres meses sin necesidad de una orden judicial (DL 1182). Mayor información en hiperderecho.org/dl1182.

💎4. Identifica las amenazas o los ataques: incidentes o cualquier evento que tus adversarios podrían llevar a cabo para amenazar la seguridad de nuestros activos y la posible consecuencia de esta amenazas.

¡Tomen un enfoque de género cuando identifiquen amenazas!  Asegúrense de identificar los ataques específicos que como activistas feministas que trabajan en defensa de mujeres, disidencias, y la comunidad LGTBIQ+, podrían recibir. 

💎5. Mide el riesgo o la posibilidad de que una amenaza se vuelva realidad.

¿Cómo mido el riesgo de mi amenaza?

La organización Level-Up nos sugiere un gran método:

1. Identifica la probabilidad de que esa amenaza ocurra y se convierta en realidad. Para evaluar la probabilidad hay que tomar en cuenta factores técnicos y sociales. Toma en cuenta el género y la defensa de los derechos humanos como factores de riesgo. Para medir las probabilidades de estos riesgos, formula una escala simple de 1 a 5, donde 5 equivale a una probabilidad «Muy alta» de que el riesgo podría convertirse en real y 1 es una probabilidad «Muy baja.»

Si no estás segura, puedes revisar tu ficha de documentación de incidentes para notar si es algo que pasa frecuentemente.

2. Determina el impacto que estas amenazas tendrían sobre una persona, organización, ó colectiva si una amenaza se hiciera realidad y cuál sería su reacción. Crea una escala para medir el impacto; esta puede ser otra escala cuantitativa (numérica) similar a la que se utilizó para medir la probabilidad, o puede ser una escala cualitativa (descriptiva).

 

La naturaleza de un impacto y su gravedad dependen de una serie de factores externos. Por ejemplo, una amenaza puede impactar poco la seguridad de información, pero puede impactar mucho la salud mental de tus compañeras. Eso ya la hace urgente de atender. Debes decidir en qué quieres enfocarte, priorizando el bienestar de tu comunidad. 

Este análisis te permitirá saber cuales son las amenazas en las que te tienes que enfocar. Prioriza las que sean más probables, las que crearían un mayor estrés sobre tus compañeras, y las que generen mayor impacto sobre la seguridad de tu información.

¿Por qué debería utilizarla?

  1. 🧚‍♀️ El modelo de riesgos nos permite identificar de manera proactiva las amenazas a las que queremos darle prioridad en nuestros planes o protocolos de seguridad digital.
  2. 🧚‍♀️Es una oportunidad para planear y tomar decisiones conjuntas sobre cómo abordaremos estas amenazas y crear estrategias de respuesta y prevención. ¡El diálogo y la construcción colectiva de la seguridad digital es muy importante!
  3. 🧚‍♀️Es una herramienta que te permitirá cuidar a tu equipo y manejar el nivel de estrés que generan las amenazas de seguridad digital. Cuando hagan un modelo de riesgos,  asegúrense de tomar intervalos frecuentes y recordar que este proceso les ayudará a enfrentar riesgos en el futuro.