Boletín de Privacidad de z3r0trust #13

Un agradecimiento especial a @151mp137471n por traducir del inglés al español

“Una meta no siempre se hace para ser alcanzada, a menudo sirve simplemente como objetivo.” ~Bruce Lee

La vida no está hecha para ser demasiado complicada. Como humanos, a menudo tendemos a complicarla demasiado con distracciones. Intenta mantener las cosas simples y decide conscientemente deshacerte de las cadenas mentales con las que la cultura popular esclaviza a la gente.

Cada boletín es único, pero de temática similar, con la intención de facilitar y promover la privacidad independientemente de tus razones personales para querer tener más. En esta afortunada decimotercera entrega (¡Uf! ¡Nunca imaginé que esta serie llegaría tan lejos!), te invito a que viajes conmigo aun más al fondo del abismo de la privacidad en Internet y aprendas más formas de aumentar tu nivel de anonimato en la red. También, en una nota personal, explicaré por qué y cómo por fin me deshice de Google, la mayor amenaza a la privacidad del gigante de la tecnología que existe actualmente.

Despotricamiento de Privacidad Obligatorio

Adiós Google; crédito: Lifehacker.com

La entrega 13 de la serie Boletín de Invisibilidad Digital es una edición especial ya que marca mi decisión de, finalmente, seguir mi propio consejo y dejar la Nube y Google de un tirón. Esto es algo de lo que estoy increíblemente orgulloso, ya que es algo con lo que he luchado durante años. Siempre se trata de la conveniencia o la seguridad. ¿Qué es más importante para el individuo en cuestión? Fue increíblemente simple y fácil de hacer.

Mucha gente piensa que sería muy difícil cortar los lazos con Google porque siempre lo han usado y empezaron a usar los servicios de la Nube para el almacenamiento de archivos o algo así. Siento que la poca cantidad de datos que tengo está mejor protegida por mí en mi propio sistema, no en la Nube posiblemente desprotegida y vulnerable a la violación. Lo mismo ocurre con mi correo electrónico, mis hábitos de escucha de música, etc. Para alguien que ha escrito extensamente sobre la privacidad de los datos y que intenta ser virtualmente irrastreable, estaba viviendo una mentira. Era la vieja paradoja del cliché “Haz lo que digo, no lo que hago” que muchos de nosotros aprendimos de nuestros padres cuando éramos niños y que detestamos. Ya era hora de que empiece a hacer lo que predico en vez de hablar por hablar. Así que lo hice. Me desconecté de todo lo relacionado con Google y Cloud y déjame decirte, ¡se siente genial! Te animo a que lo hagas, por muy desalentadora que parezca la tarea. Realmente no hubo ningún inconveniente en hacerlo o ajustes que tuviera que hacer. Recuerda, estás pagando para usar sus servicios gratuitos con tu información personal y los hábitos de uso que venden a los anunciantes, o estás pagando para usar sus servicios de miembro premium y ellos siguen vendiendo tus datos de uso a pesar de todo. Lee los Términos de Servicio y las declaraciones de privacidad. Ya hemos hablado de esto anteriormente…

Aplicaciones/Servicios que estaba usando y que ya no uso o que he cambiado por otras aplicaciones, lo que además resulta en algunos pequeños ahorros financieros. Decidí liberarme de todas las cuentas de redes sociales, excepto de mi cuenta de Twitter, para poder estar al tanto de los acontecimientos de la comunidad InfoSec. Este tipo de cuentas son, después de todo, un tesoro de información de OSINT. Tengo mejores cosas que hacer con mi tiempo, ya que hay poco valor a cambio de estas actividades en línea.

• Gmail>>>>>>>>>>>>>>>>>>>>>>>>>>>>>ProtonMail
• Google Calendar>>>>>>>>>>>>>>>>Paper Calendar Planner
• YouTube>>>>>>>>>>Igual se puede usar sin una cuenta de Google
• Búsqueda de Google>>>>>>>>>>>>>>>>>>>>Duck-Duck-Go
• Noticias de Google>>>>>>>USA Today [de hecho, leo varias fuentes de noticias]
• Navegador Chrome>>>>>>Brave/Firefox (ya hace un tiempo que no uso Chrome)
• Google Play Store (Android)>>>>>>>>Aplicaciones cargadas via PC/Conexión USB
• Dropbox (no Google Drive)>>>>>>>> Copias de seguridad normales en la CPU de casa usando diferentes formatos y almacenados en diferentes lugares.
• Evernote>>>>>>>>>>>Sticky Notes, MS Word, Notepad, Wordpad
• LinkedIn>>>>>>>>>>>>>>>>>>>>>>>Cuenta desactivada

Cargando Apps lateralmente a un dispositivo Android; crédito Lifehacker.com

Ahora bien, como todavía necesito un teléfono móvil para estar en contacto con mi familia y mi trabajo cuando salgo y mi teléfono resulta ser Android (porque detesto absolutamente a Apple y su línea elitista de productos de mierda a precios excesivos), me veo obligado a ser un poco creativo cuando se trata de instalar nuevas aplicaciones en mi dispositivo móvil. Pero aún así se puede hacer con bastante facilidad usando una técnica conocida como carga lateral. En lugar de explicar cómo hacerlo, si te interesa, puedes consultar el siguiente enlace.

How to Manually Install or Sideload Apps on Android

Además, si estás pensando seriamente en dejar de usar Google, como yo lo hice, es posible que desees consultar estos otros artículos que ofrecen algunas opciones alternativas para tus necesidades de aplicaciones.

I Stopped Using Google As My Search Engine, Here’s Why…

How I Fully Quit Google (And You Can, Too)

Para mí, al menos, es un consuelo saber que mis archivos están exactamente donde quiero que estén en mi ordenador de casa o en un disco duro externo o en otro tipo de soporte que estoy usando como medio de respaldo. Claro que estoy renunciando a la redundancia de datos que proporciona el almacenamiento en la nube, pero todavía puedo asegurar un nivel de redundancia yo mismo, utilizando diferentes tipos de medios de respaldo (los CD/DVD no son vulnerables a los ataques de EMP) o almacenando memoria no volátil con cifrado de disco completo (HDD externo) en una caja de seguridad a prueba de fuego o en un cofre de seguridad.

Tampoco me gusta ser rastreado incesantemente por Google a través del seguimiento de la ubicación que yo había habilitado voluntariamente para que mi esposa supiera dónde encontrar mi teléfono, al menos, si yo desaparecía. Si estaba corriendo en algún lugar del bosque y era atacado por un puma, podría ser un punto de partida para comenzar la búsqueda de mis restos si aún tuviera batería y no fuera destruido por los elementos o un animal, o si estuviera fuera del alcance de la señal. ¿Empiezas a entender cuántas cosas tienen que alinearse para que estas cosas funcionen correctamente? Ahora puedo establecer los términos y condiciones que quiero seguir si decido usar uno de los servicios de Google en el futuro. Se trata de reclamar tu privacidad e identidad.

Responsabilidad de la Privacidad

Ejemplo de biografía de Twitter; eres libre de no mencionar cualquier detalle verdadero

Recientemente un seguidor hizo un comentario en Twitter sobre el hecho de que twittear era lo opuesto a “volverse imposible de rastrear”. Tuve que reírme cuando lo leí ya que estaba claramente dirigido a mí, el autor de dicha serie. El seguidor estaba en lo cierto al decirlo y me señaló mi uso de Twitter, aunque yo diría que es un poco diferente cuando eres un escritor tratando de auto-publicitar tu trabajo y llamar la atención sobre tu causa y tus obras escritas. Además, no creas ni por un segundo en todo lo que lees en línea. ¿Alguna vez has oído hablar de la tergiversación o la desinformación? Personalmente, creo que un poco de desinformación es una práctica saludable. Por ejemplo, en tu perfil de Twitter, hay opciones para listar una breve biografía de 140 caracteres (ver foto arriba), dónde vives, la URL de un sitio web y tu fecha de nacimiento. La información que he incluido en mi biografía de Twitter es en su mayor parte completamente verdadera, pero eso es sólo porque no siento que revele nada sobre mí que no me importe que la gente sepa. Gracias a varias violaciones de datos que me han afectado a lo largo de los años, la mayor parte de mi Información de Identificación Personal (IIP) es pública de todas formas.

Cómo es interpretada tu actividad en Internet, crédito: Panoptykon Foundation

El reconocimiento de la Inteligencia de Código Abierto (OSINT) aportará información más valiosa, pero todavía hay que cuestionar la exactitud de dicha información. Las coordenadas de Latitud/Longitud que aparecen en mi biografía de Twitter son las de Los Ángeles, California, que tal vez no sepas que es una metrópolis masiva o más bien una megalópolis. No te dice exactamente dónde estoy ubicado, pero entiendes el punto.

Lo importante de esto es que es inteligente no compartir demasiada información personal porque puede ser usada para localizarte y rastrearte. Quieres hacer que el seguimiento sea más difícil, así que deberías pagar en efectivo y no usar tarjetas de crédito/débito porque dejan un rastro. Deberías esforzarte por mezclarte con la multitud, no llamar la atención como un dolor de muelas. ¿Por qué hacerlo innecesariamente? Poner un montón de pegatinas en los parachoques y un marco de placa de matrícula que nadie más tenga que diga “Mi otro ordenador es tu ordenador” no sólo es una bobada, sino que identifica tu vehículo de forma única para que cualquiera pueda seguirte o reconocerlo.

“¡Hey! Ahí está el tipo que me cortó el paso en la autopista ayer… ¡Ahora lo agarro!”

Pegatinas como estas probablemente sea mejor dejarlas fuera de tu vehículo a menos que te guste llamar la atención.

Alguien ha estado viendo demasiadas películas de Matrix…

Tampoco te olvides de los Lectores Automáticos de Matrículas (ALPR). No estoy sugiriendo que hagas algo ilegal, como cubrir tu matrícula con un cartel como en la foto de abajo. Pero si lo haces, asegúrate de usar la sintaxis adecuada de las sentencias SQL: “DROP TABLE nombre_de_tabla”; No, en serio, llamar indebidamente la atención sobre ti mismo no es inteligente. Te convierte en un objetivo de la misma manera que un coche deportivo rojo se destaca a un policía de tránsito.

(In)Seguridad de Chips

A riesgo de sonar como un teórico de la conspiración, lo cual te aseguro no soy, se ha hecho muy evidente que no se puede confiar en los chips de los procesadores de las computadoras. Y punto. No perdamos nuestro valioso tiempo discutiendo este hecho. Las cosas son así y recientemente se han expuesto algunas fallas que están profundamente integradas en ellos.

Researchers find security flaws in 40 kernel drivers from 20 vendors | ZDNet

Los sistemas operativos (SO) y el firmware están plagados de vulnerabilidades, tanto es así que, de hecho, no sorprendería a nadie que existiera colaboración a nivel estatal detrás de al menos algunas de las vulnerabilidades recientemente descubiertas. Tal vez algún tipo de Amenaza Persistente Avanzada en un ataque a la cadena de suministro en una colaboración entre fuerzas del gobierno y fabricantes de electrónica informática. No sería la primera vez que ocurre. Independientemente de que estos numerosos defectos de diseño de los chips de procesador hayan sido intencionados o no, o de que su intención sea usarlos contra blancos extranjeros o no, se pueden utilizar contra cualquier persona del mundo que posea una computadora con un conjunto de chips vulnerable. Esto es una mala noticia para la seguridad informática y la privacidad de los datos, porque si tienes un conjunto de chips comprometido en la capa física, ahí se terminó el juego, porque podría permitir el acceso a todo el sistema operativo y al conjunto de aplicaciones.

Intel, IBM, Google, Microsoft & others join new security-focused industry group | ZDNet

El Consorcio de Computación Confidencial está compuesto por empresas como “Alibaba, Arm, Baidu, Google Cloud, IBM, Intel, Microsoft, Red Hat, Swisscom y Tencent” (Cimpanu, 2019). Su objetivo es desarrollar “soluciones técnicas para aislar los datos de los usuarios dentro de la memoria de una computadora mientras se procesa, para evitar exponerlos a otras aplicaciones, al sistema operativo o a otros tenedores de servidores en nube” (Cimpanu, 2019). Piensa en los conceptos de modelos de computación segura, sólo que ahora están siendo aún más aislados y refinados para su procesamiento en entornos virtuales que están segmentados y protegidos de otros procesos y elementos de computación.

Aparte de descargar e instalar los parches de firmware proporcionados por el proveedor del chip para protegerse de amenazas como los defectos de Intel Spectre y Meltdown, es poco lo que el usuario medio puede hacer para protegerse de esta amenaza.

Son vulnerabilidades en el diseño moderno de los chips que podrían permitir a los atacantes eludir las protecciones del sistema en casi todos los PC, servidores y teléfonos inteligentes recientes, lo que permitiría a los hackers leer información sensible, como las contraseñas, desde la memoria” (Heath, 2018).

Árbol de clasificación de las variantes Spectre & Meltdown, con ataques demostrados (rojo, negrita), y resultados negativos (blanco). crédito: Gráfica: Canella et al. Imágen editada: James Sanders/TechRepublic

Por esto es esencial conocer tu modelo de amenaza, como he mencionado antes. Lo más probable es que las agencias del gobierno no te tengan como objetivo. Sé que a todos nos gusta pensar que podría ser posible, pero a menos que estés en la lista de los 10 más buscados del FBI o seas un “enemigo del estado”, las posibilidades son escasas, lo siento. Si te están buscando y rastreando es poco lo que puedes hacer para evitarlo o intervenir, excepto tratar de ser imposible de rastrear en la medida de lo posible. Lo mejor es operar como si tus comunicaciones estuvieran siendo atacadas implementando una encriptación de datos en reposo (Encriptación de Disco Completo o FDE) y de datos en tránsito (Encriptación de extremo a extremo o E2E). Pronto también veremos la encriptación de los datos en uso, pero ésto impone fuertes restricciones a la velocidad de procesamiento de datos y de red, lo que significa que se requerirá una nueva infraestructura de TI para implementarla completamente sin degradar drásticamente las velocidades de red y de procesamiento.

Tácticas, Técnicas & Procedimientos de Privacidad Destacados

El escáner “Panopticlick” de la Electronic Frontier Foundation comprueba la privacidad del navegador

Revisa tu navegador de Internet con la herramienta “Panopticlick 3.0” de EFF para ver qué tan bien te protege tu navegador de los rastreadores Web. Te proporcionará resultados que se parecerán a esto:

Haz clic en la opción “Show full results for fingerprinting” para mostrar los resultados estadísticos del escaneo Panopticlick 3.0 de tu navegador.

Puedes probar diferentes navegadores web como Tor, Brave, Firefox o incluso Chrome de Google o Edge de Microsoft y comprobar los resultados del análisis de “fingerprinting” de tu navegador. Ajusta la configuración de privacidad de tu navegador para obtener los mejores resultados (por ejemplo, bloqueando las cookies, bloqueando los rastreadores de sitios cruzados, usando sólo HTTPS; bloqueando los scripts, reconocimiento de dispositivos, etc.).

Seguridad de Baja Tecnología: Consejo de Evasión y Anonimato

Ninja — la encarnación definitiva del sigilo y lo indetectable; crédito.

“Manifestar sencillez, abrazar la simplicidad, reducir el egoísmo, tener pocos deseos” ~Lao Tzu

Valora tu privacidad personal y tu derecho a existir en un mundo lleno de codicia que está empeñado en absorber toda la información que pueda de ti en cualquier formato para que pueda ser recogida, procesada, analizada y comercializada para obtener beneficios de ti o rastrearte. Mucha gente mira imágenes o recreaciones de ninjas y piensa que son sólo ficción o que nunca existieron realmente. De lo que no se dan cuenta es que el ninja o “shinobi no mono”, como se les conocía en la historia medieval japonesa, no sólo era real, sino que también era muy respetado incluso entre los guerreros samuráis.

Los ninjas eran parecidos a los guerreros de las fuerzas especiales de élite de su tiempo, no sólo como han sido retratados en Hollywood como asesinos vestidos de negro con katanas que brillan a la luz de la luna y dardos y shurikens que vuelan por todas partes. Aunque las inexactitudes históricas de los ninjas están envueltas en el misterio, es difícil argumentar que los ninjas no fueron en cierto modo maestros del sigilo y la invisibilidad. Su ubicación de clase en la sociedad japonesa ha ido involucionando a lo largo de la historia, pero lucharon junto a los samuráis durante mucho tiempo como respetados elementos de las fuerzas especiales de los ejércitos japoneses.

¿Cómo es que todo esto es relevante para la privacidad digital, te preguntarás? Gran pregunta, permíteme explicarte. Volverse irrastreable es tanto un estado mental como lo es la tecnología y cómo la usamos. Por esa razón, creo que vale la pena estudiar las tácticas, técnicas y procedimientos (TTP) del ninja. El deseo de volverse “indetectables” es como la perfección, imposible de alcanzar. Sin embargo, podríamos ser capaces de un acercamiento usando la tecnología si trabajamos duro en ello y si tenemos el estado de ánimo correcto.

Como artista marcial desde muy joven, empecé a aprender Tae Kwon Do cuando tenía 9 o 10 años. Mi padrastro pensó que me daría disciplina y carácter y todavía le agradezco que lo haya hecho, porque creo que tenía razón. En mi adolescencia, estudié karate Kosho Ryu Kempo con Hanshi Bruce Juchnik en Sacramento, California, antes de alistarme como joven marine, donde con el tiempo obtuve un cinturón negro (1er grado) en el Programa de Artes Marciales del Cuerpo de Marines (MCMAP). Aunque ya no practico mucho, las artes marciales están todavía arraigadas en cada fibra de mi ser.

Me parece interesante que todavía se estima que hay alrededor de 400–500 manuales de ninja en Japón. Algunos de los cuales supuestamente se mantienen en secreto. Lo que recuerdo de mi limitada exposición al Ninjutsu es que no era un arte marcial de combate mano a mano en el sentido de que estaba estructurado para quebrar o matar a los oponentes, a diferencia de otras formas de arte marcial que eran menos letales. No soy un experto en ello, pero según recuerdo, el Ninjutsu se basaba en golpes letales, en romper huesos, en golpes incapacitantes en las articulaciones, y generalmente en dejar fuera de combate al oponente de la manera más rápida posible usando golpes con la mano o patadas para romper los codos, las rodillas, o lo que haga falta. Por ejemplo, en el Tae Kwon Do puedes bloquear la patada giratoria de un oponente levantando una rodilla y absorbiendo el golpe mientras esperas que tu atacante salga herido. Sin embargo, en el Ninjutsu, la decisión del oponente de lanzar esa misma patada giratoria puede resultar en un golpe directo a la articulación de la rodilla con suficiente fuerza para romperla, incapacitando a tu oponente y dejándolo indefenso para la técnica finalizadora.

Luego estaba el entrenamiento con armas, que me encantaba. Lanzamiento de Shuriken, Bo (bastón largo), Jo (bastón corto), espada (Iaido), nunchaku (nunchucks). Como estudiantes, también fuimos expuestos a otras disciplinas como shiatsu (acupresión) y la escritura de caracteres Kanji como práctica para los movimientos de espadas. Por encima de todo, lo que saqué de mis años de práctica de artes marciales más allá de la obvia capacidad de defenderme fue que las artes marciales enseñan la autodisciplina, una cualidad inestimable, así como muchas técnicas que pueden ser utilizadas para evadir y aumentar el sigilo y también da serenidad mental para poder pensar con claridad y sin distracciones.

Aunque la privacidad no es fácil de conseguir, creo que es una búsqueda digna para quienes la valoran. Puedes quedarte con tu fama y fortuna, yo elijo quedarme con mi privacidad. Mi esperanza es que hayas aprendido algo nuevo o que algo haya despertado tu interés. Si todos dejáramos de preocuparnos por la privacidad, puedes estar seguro de que a las autoridades les encantaría y serían muy reacias a renunciar a su control orwelliano sobre sus súbditos. Hasta la próxima vez, amigos míos y recuerden:

**No confíes en nadie. Verifica todo. No dejes ningún rastro. **

Additional Privacy Resources

z3r0trust Privacy Newsletters: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, #4–20, #5–20, #6–20, #32–20, #33–20, #8–20, #9–20, 16, 17, 45–20, 46–20, 47–20, 48–20, #1–21, #2–21, #3–21, #6–21

*Privacy-related articles also published by the author can be found here.

Other helpful privacy info: EFFector | Atlas of Surveillance | Privacy Tools | IAPP | ACLU | PogoWasRight.org | DataBreaches.net