Boletín de Privacidad de z3r0trust #2

Un agradecimiento especial a @151mp137471n por traducir del inglés al español

La imagen por excelencia del “Hacker” en una campera con capucha (Pista: Los Hackers no siempre se visten así).

En la parte 2 de esta serie, me adentraré más en el mundo del subterráneo y hablaré de algunas técnicas más avanzadas que puedes aplicar. Antes de proceder, sin embargo, asegúrate de que tienes una buena comprensión de los conceptos discutidos en la Parte 1 de esta serie. Ten en cuenta que volverse virtualmente imposible de rastrear es más una actitud que otra cosa. Por supuesto que hay muchos “hackeos” físicos y técnicos que puedes poner en práctica en tu vida para hacerte menos visible, pero se trata sobre todo de fortalecer tu mente. Si eres capaz de lograr eso, entonces estarás por delante de las masas.

En términos conceptuales…

“Доверяй, но проверяй; Doveryai, no proveryai” es un proverbio ruso que quiere decir “Confía, pero verifica.”

Aunque no tengo ninguna simpatía por Rusia, me gusta ese proverbio, porque fue utilizado con frecuencia por el difunto ex presidente Ronald Reagan. Simplificando aún más, podemos adaptar éste proverbio ruso a nuestros propios propósitos como una declaración absoluta: “Cero Confianza, Siempre Verificar.” Puedes identificar este eslogan con el de la empresa Centrify, que ha construido su línea de productos en torno a un modelo de seguridad de confianza cero. Aunque no gano dinero promocionando los productos o servicios de Centrify, soy un fuerte partidario de este concepto. Por lo general, trato de mantenerme alejado de los absolutos, porque suelen ser necios y poco realistas. Sin embargo, al menos en lo que respecta a la ciberseguridad, que es un campo de estudio muy técnico, el mero hecho de luchar por conseguir y mantener esos absolutos te acercará más a tu objetivo que lo contrario. Si realmente quieres llegar a ser virtualmente imposible de rastrear, entonces esta declaración de cuatro palabras absolutas son tu nuevo lema, si te parece bien, el cual puedes intentar cumplir y por el cual puedes intentar vivir de ahora en más. Tener cero confianza y siempre verificar es, en mi humilde opinión, la única forma verdadera de permanecer seguro y a salvo en el siglo XXI ya sea en el mundo físico o en el cibernético. En un entorno de seguridad de confianza cero, cada función y acción debe ser confirmada y re-autenticada antes de proceder para evitar que un atacante obtenga acceso no autorizado en algún lugar del camino. Debes entrenar tu mente para pensar de esta manera, no confiar en nadie ni en nada, y verificar siempre todo lo que entra en tu vida. Pensar así es una forma de vida, no es para el entusiasta casual de la privacidad ya que requiere mucho trabajo y esfuerzo de lograr y mantener. No es natural, hay que ir en contra de la corriente, porque la sociedad ha hecho que tu información personal esté en todas partes y sea accesible para casi todo el mundo. Esto es inadecuado, inaceptable y debe ser rectificado. Si el Congreso y/o los legisladores estatales no están dispuestos a arreglar las cosas, entonces tenemos que hacerlo nosotros mismos en la medida de lo posible, así que manos a la obra…

Escenario 1

Imagínate que estás hablando por teléfono con una compañía proveedora de servicios y que un representante de atención al cliente [desconocido] está del otro lado y te pregunta: “¿Puede darme su número de seguro social [por teléfono] para que pueda verificar con quién hablo en este momento?”. Tu respuesta siempre debe ser: “No, lo siento pero no me siento cómodo dando esa información, ¿hay algún otro método que pueda usar para verificar mi identidad que no implique darle mi número de seguro social a través de una línea telefónica insegura?” Tal vez puedas verificar por tu dirección física o mejor aún, una palabra clave secreta que no tiene ningún vínculo contigo. Si la respuesta es “No, sólo el número de seguro social funcionará”, entonces te sugiero que cierres tu cuenta y detengas los servicios en ese momento. Quién sabe, puede que hayas evitado sin darte cuenta un ataque de ingeniería social llamado ataque de “hombre en el medio”, especialmente si el representante de la “compañía” fue quien te llamó y no al revés.

Escenario 2

Otro escenario ficticio modelado a partir de un ejemplo de la vida real tiene que ver con un Disco Compacto (CD) que aparece misteriosamente en tu buzón de correo con una carta remitida supuestamente por la compañía fabricante de tu ordenador personal/portátil (por ejemplo, HP, Mac, Alienware, Lenovo o Huawei) que contiene instrucciones que indican que debes instalar el software en el CD que contiene los controladores específicos para actualizar tu sistema. La carta sospechosa indica algo como que la empresa no instaló los controladores en tu computadora antes de enviártela a ti o a la tienda en la que la compraste. Tu «sentido arácnido» comienza a cosquillear y en su lugar decides tirar el CD a la basura después de meterlo en un viejo microondas que ya no usas durante exactamente 5 segundos y buscar en Google a la empresa en Internet. Descubres que esta técnica en particular es una conocida estafa cibernética utilizada para obtener acceso a tu sistema informático mediante la cual se engaña a la persona para que cargue el CD en su ordenador e instale un troyano que permite al atacante acceder de forma remota al ordenador y robar datos personales confidenciales como información bancaria, fotos personales, archivos, contraseñas que se almacenan en el navegador o en el gestor de contraseñas. Incluso podría ser un software legítimo, pero con malware invisible que se instala en segundo plano o desde un servidor remoto. Malas vibraciones en cualquiera de los casos. No caigas en este tipo de estafas. Está en el ABC de la seguridad.

Además, intenta, dentro de lo posible, verificar la autenticidad de cualquier archivo que descargues en tu ordenador comparando lo que se conoce como “hash” (por ejemplo, MD5, SHA-256 o SHA-512) del archivo descargado con el hash publicado en el sitio web de donde lo descargaste. Una explicación detallada de lo que es el hash de archivos y cómo funciona está fuera del alcance de este artículo, pero te animo a que lo conozcas y lo utilices. Si los dos hashes de archivo son iguales, entonces es probable que el archivo sea auténtico y seguro de instalar. Ha habido excepciones (Avast CCleaner), pero generalmente el caso es que es auténtico. En cualquier caso, aún debes cuestionar el motivo general y la necesidad de la actualización del software, ya que típicamente este tipo de acciones se realizan descargando el software del sitio del proveedor en línea y no de un CD que llega por correo. Nunca introduzcas en tu equipo un CD, DVD, unidad USB o cualquier otro medio externo que hayas encontrado o que un desconocido te haya dado. Si tienes los medios, conéctalo a un equipo de repuesto que no esté conectado a Internet pero que esté cargado con definiciones de software antivirus actuales que puedas recuperar fácilmente si se infecta con malware.

Imagen de como funciona el ”hashing” de archivos cortesía de HowToGeek.com

Una persona consciente de la seguridad nunca envía información de identificación personal (IIP) a través de canales no seguros sin algún tipo de protección criptográfica como el uso de una contraseña o frase de contraseña para proteger el archivo (por ejemplo, el archivo protegido con contraseña de MS Word, Excel o Adobe Acrobat .PDF). Ocasionalmente, esto podría incluso significar conducir a la tienda de la compañía para tratar el asunto en persona en vez de proporcionar información personal delicada sobre líneas telefónicas inseguras.

Conejo tonto, las cookies del navegador no son para comer

Las cookies del navegador de Internet son necesarias para iniciar sesión en muchos sitios, pero hay algunas medidas que se pueden tomar para anular o al menos reducir el número de cookies que se alojan en el navegador. En primer lugar, debes comprobar si tu navegador Web tiene la opción de eliminar automáticamente el historial y las cookies cada vez que sales del mismo. Si no es así, es hora de buscar un nuevo navegador. Tanto Google Chrome como Mozilla Firefox tienen esa opción y son excelentes opciones si no te sientes cómodo utilizando Tor o alguno de los otros navegadores anónimos (Dark Web). Internet Explorer (IE) de Microsoft es un navegador Web heredado que todavía puedes usar, pero que ya no es compatible. Que ya no esté soportado significa que no recibirá actualizaciones para las vulnerabilidades que se vayan descubriendo, porque Microsoft no está invirtiendo más tiempo ni esfuerzo en actualizarlo. Muchas personas afirmarán que IE no fue seguro desde un comienzo, pero el hecho de que ya no sea compatible o reciba actualizaciones no ha impedido que Microsoft lo incluya en las nuevas versiones de Windows 10. Mi recomendación es mantenerse alejado de IE, es arriesgado usarlo. Microsoft también desarrolla el explorador Edge, que reemplazó a IE. Hasta ahora no ha estado a la altura de las expectativas. Definitivamente no tiene el mismo nivel de seguridad que Chrome o Firefox, que obviamente se preocupan más por la seguridad “sin necesidad de configuración” que Microsoft. Aparentemente, cuando se es la compañía de software más grande del mundo, lo único que importa es la funcionalidad del usuario y el balance final. En la opción de configuración de tu navegador, selecciona la opción de eliminar el historial del navegador, las cookies, el historial de descargas, las contraseñas y las imágenes y archivos en caché cada vez que salgas del navegador. Sí, es doloroso tener que volver a introducir tus contraseñas de acceso cada vez que vuelves a abrir el navegador, pero es más seguro y las cookies de terceros no podrán seguirte tan fácilmente de esta manera. Tendrás que habilitar algunas cookies para visitar ciertos sitios, pero se eliminarán cuando cierres el navegador. Como se mencionó en la Parte 1, el uso de un complemento para el navegador, como el Privacy Badger, es de gran ayuda.

Los gestores de contraseñas son geniales porque permiten crear y guardar fácilmente contraseñas sofisticadas y largas y, mejor aún, frases de contraseña. Sin embargo, las extensiones de administración de contraseñas para el navegador como OnePass o LastPass son potencialmente vulnerables de ser hackeadas y podrían permitir a un atacante hacerse con tu contraseña maestra y acceder a toda la lista de contraseñas de cada sitio para el que guardas contraseñas. No selecciones la opción de que tu navegador guarde tus contraseñas automáticamente. No hace falta ser un genio para saber que eso no es buena idea. Para evitar este tipo de riesgo contra el administrador de contraseñas del navegador, deberías activar la autenticación en dos pasos (en adelante llamada 2FA) que está vinculada a tu correo electrónico o smartphone para que el atacante no pueda acceder a tu administrador de contraseñas. Sin embargo, si quieres estar aún más seguro, utiliza un gestor de contraseñas almacenado localmente como KeePass. KeePass es una aplicación gratuita y de código abierto de administración de contraseñas para sistemas operativos Windows, macOS o Linux que almacena tus contraseñas localmente en el disco duro encriptado de tu computadora en una carpeta cifrada que sólo se descifra con la correspondiente clave de contraseña maestra almacenada en el sistema local. KeePass tiene su propio generador de contraseñas, es compatible con 2FA, tiene un modo de escritorio seguro y fue desarrollado con la ventaja añadida de poder importar bases de datos de contraseñas de más de 30 diferentes administradores de contraseñas de uso común (por así decirlo). Este es un mejor sistema para la administración de contraseñas que el almacenamiento de tus contraseñas en tu navegador Web o que un servicio de administración de contraseñas en la nube, pero si debes tener portabilidad de tu base de datos de contraseñas entonces al menos usa una frase de contraseña muy fuerte como tu contraseña maestra para servicios como OnePass y LastPass y usa autenticación en dos pasos (2FA).

Borrado criptográfico y Unidades de Autocifrado

La Publicación Especial 800–88 del Instituto Nacional de Estándares y Tecnología (NIST) explica cómo la eliminación de la clave de encriptación de tus datos personales, una técnica conocida como borrado criptográfico, puede ser usada para prevenir el acceso de lectura de tus datos borrados y eliminarlos para siempre sin la posibilidad de que sean recuperados. El borrado criptográfico funciona borrando la llave de encriptación que se usa para desbloquear o descifrar los datos encriptados. De esta manera, incluso si alguien pudiera de acceder de alguna manera a tus archivos encriptados, todo lo que vería sería un texto cifrado sin una clave de para leerlos. El borrado criptográfico es una buena práctica de uso general, pero especialmente si guardas datos personales cifrados en la Nube, donde no eres propietario del equipo en el que están alojados tus datos personales. Incluso si tu proveedor de servicios en la nube (C-SP) está obligado legalmente a revelar tus datos, el texto cifrado será ilegible. El borrado criptográfico funciona mejor cuando se encriptan los archivos localmente en tu dispositivo antes de subirlos a la nube o copiarlos a cualquier tipo de medio. Una vez que guardes archivos desprotegidos en un medio, es posible recuperar esos archivos incluso luego de eliminados usando técnicas de análisis de datos y software forense digital especializado. Simplemente acostúmbrate a encriptar cada archivo que tengas usando las técnicas descritas en la Parte 1 de esta serie (ver EFS).

Un principio fundamental de la seguridad informática es la automatización de la seguridad, porque el área de superficie es muy amplia y hay mucho que proteger. Por lo tanto, el objetivo es minimizar toda superficie de ataque al menor grado posible y automatizar lo que sea posible. Puedes comprar unidades con autocifrado (SED –Self-Encrypting Drive) que encriptan automáticamente tus datos personales y los protegen contra el descubrimiento casual o intencionado. Fry’s vende una unidad de estado sólido (SSD) portátil Samsung T5 de 500 GB por $130. Por lo tanto, no son tan caras como para resultar inaccesibles. Las SSD son mucho más rápidas que el típico disco duro porque no tienen piezas móviles, sino que los datos se almacenan en microchips. Los usuarios avanzados saben que deben cargar sus sistemas operativos (SO) en sus SSD para que vibren a toda velocidad durante el arranque y el procesamiento. Lo ideal para una velocidad de procesamiento óptima es que tanto el sistema operativo como los datos se almacenen en una unidad SSD con autocifrado. También puedes usar un software de cifrado para encriptar la unidad de disco duro o la unidad SSD, pero ¿por qué no compras una unidad SED que realice esa tarea por ti? Las SED realizan el cifrado y descifrado de los datos mediante un chip procesador criptográfico dedicado que forma parte del controlador de la unidad, lo que es mucho mejor que almacenar la clave de cifrado en la memoria del sistema operativo.

Sin embargo, como cualquier dispositivo o herramienta de seguridad, los SED no son perfectos. Al igual que un smartphone encriptado, una vez desbloqueado (o desencriptado) para su uso, permanecerá en estado desbloqueado hasta que se apague y se vuelva a encriptar. Esto presenta algunas vulnerabilidades notables incluso cuando se combina con Microsoft Windows BitLocker y el Módulo de Plataforma de Confianza (TPM). Sin embargo, los SED son efectivos contra criminales básicos, fisgones o alguien que encuentre con tu ordenador personal y no posea habilidades avanzadas de hacking.

Viajes al extranjero

En términos generales, si un atacante obtiene acceso físico a tu dispositivo electrónico, entonces hay una alta probabilidad de que sea capaz de derrotar su seguridad si tiene los recursos y habilidades necesarias. Si has trabajado con ordenadores durante algún tiempo, sabes que esto es un hecho. Acceso físico = acceso a la información. Por lo tanto, para proteger mejor tus datos, tienes que prever esa posibilidad. Si tienes pensado viajar a un país como China, Rusia, Irán o Corea del Norte, ya sabes que no son países aliados de los Estados Unidos y debes esperar que cualquier dispositivo electrónico que lleves contigo se vea comprometido en alguna medida, especialmente si lo dejas en la habitación de tu hotel cuando no estás allí. Esto está comprobado y ha ocurrido en numerosas ocasiones. Búscalo en Google. Incluso he escuchado de agencias de inteligencia de los Estados Unidos que piden que el disco duro del portátil de la empresa o del gobierno sea entregado para su análisis después de viajes al extranjero para aprender qué técnicas y procedimientos de espionaje fueron utilizadas por los adversarios. Las protecciones de la Cuarta Enmienda Constitucional de los Estados Unidos en cuanto a la búsqueda e incautación no se conceden a los estadounidenses que viajan fuera de los Estados Unidos. En.eso.estás.solo. Podrían pedirte que desbloquees tu dispositivo y, si te niegas, pueden confiscarlo y luego meterte en la cárcel por tiempo indeterminado.

El punto es que las leyes son diferentes en el extranjero y en algunos casos parece que las inventan sobre la marcha. Así que, en lugar de pasar por todo ese fastidio, la mejor defensa contra esta amenaza tan real es llevar sólo dispositivos “descartables” que no contengan absolutamente ningún dato personal o, al menos, sólo aquellos con los que uno pueda vivir si se ven comprometidos. De esta manera, si tienes que soltar tu PIN, contraseña o autenticación biométrica, entonces parecerá que cooperas, porque ya sabes que no hay nada de valor en tu dispositivo de todos modos. Además, cualquier dato que generes mientras estés en el extranjero, puedes enviártelo por correo electrónico, subirlo a un servicio seguro en la nube o limpiar el disco duro antes de salir del país y cuando vuelvas a entrar en los EE.UU., donde la Patrulla de Aduanas y Fronteras (CBP) está legalmente autorizada a realizar búsquedas sin orden judicial y a detener a ciudadanos estadounidenses durante un máximo de 36 horas en caso de que se nieguen a desbloquear su dispositivo para la inspección. He escuchado diferentes informes sobre esto, y no siempre pasa. La mayoría de las veces lo hacen con personas que cruzan la frontera a pie, ya que las líneas de automóviles que hay que cruzar son largas y hay menos tiempo. Por lo tanto, trata de cruzar la frontera en automóvil, pero ya sea en un aeropuerto, en un cruce a pie, en un puerto marítimo o en una aduana de entrada de automóviles, la CBP puede registrarte a ti y a tus dispositivos. Debes estar preparado de antemano. Si tu dispositivo está equipado con el cifrado completo de la unidad de disco duro, como debe ser (recuerda la Parte 1), entonces asegúrate de que el dispositivo está apagado de modo que requiere tu PIN o clave para desbloquearlo.

La excentricidad es enemiga de ser virtualmente imposible de rastrear. No buscas llamar la atención, así que tienes que disimular lo más posible. Esto significa usar ropa sencilla y no convencional y tener un tipo de equipaje similar al de las personas comunes. Por eso, probablemente sea mejor dejar en casa el portátil cubierto de stickers de todas las conferencias de seguridad a las que hayas ido. Los stickers te harán destacar como un párroco en un burdel y podrían identificarte para una inspección secundaria o como alguien de interés para las autoridades de inteligencia extranjeras. ¿Tienes muchos tatuajes? No hay problema, usa una camisa de manga larga al menos cuando viajes por los aeropuertos o cualquier otro lugar donde creas que tendrás una alta probabilidad de ser monitoreado. La TSA está utilizando sistemas de reconocimiento facial ahora por si no te has enterado y en el año 2020 todo el mundo tendrá que actualizar sus licencias de conducir a un ID REAL para poder subir a un avión.

Mapa de los estados participantes cortesía de DHS.gov

Correo Electrónico Autodestruible y Signal SMS

También puedes enviar correos electrónicos que expiran y se autodestruyen después de un tiempo que se establece al enviarlo. Esta es una capacidad proporcionada por un pequeño número de proveedores de servicios de correo electrónico como Google (es decir, Gmail) y ProtonMail. Gizmodo ha publicado algunas otras opciones que también ofrecen la función de autodestrucción de mensajes. La capacidad no es necesariamente nueva, pero sólo hace poco que Google añadió la función a Gmail. Mucha gente incluso no sabe que esta capacidad existe. Pruébala, adelante. No es perfecta, por supuesto, pero tampoco lo es ninguna otra medida de seguridad. Ten en cuenta que es probable que las copias de todos los mensajes de correo electrónico que has enviado sigan residiendo en los servidores del proveedor de servicios de correo electrónico o que los destinatarios de tu correo puedan guardar una captura de pantalla o un archivo .PDF.

Signal es un servicio de mensajes de texto cortos (SMS) enfocado a la privacidad que proporciona encriptación de extremo a extremo para mensajes de texto. Como a Tor y a las VPN, los gobiernos lo odian. Sólo eso es suficiente. Úsalo. Haz que tu familia y amigos lo usen.

Formas de pago irrastreables

A pesar de todo el alboroto que hay hoy en día en torno a las criptomonedas o “altcoins” como BitCoin, Ethereum o Monero, éstas no se crean de la misma manera cuando se trata de anonimato o imposibilidad de rastreo. De hecho, las criptomonedas son muy utilizadas en actividades ilegales por parte de cibercriminales para lavar dinero sucio, extorsionar dinero de las víctimas de, por ejemplo, ataques de ransomware, y la compra y venta de productos ilegales en la web oscura. A menos que seas un experto en tecnología y conozcas bien cómo funcionan las criptomonedas, no te aconsejo que las utilices para hacer transacciones “irrastreables “ en línea. Son muy inestables en este momento. Hay que darles más tiempo. Este no es una publicidad de Blockchain, así que no voy a entrar en detalles, salvo para decir que es una especie de sistema de contabilidad descentralizada basada en tecnología digital.

Muchas personas hacen compras con tarjeta de crédito en sitios web como Amazon.com o Target.com y no saben realmente cómo su información personal es transmitida o protegida mientras transita por Internet y cómo cada compra en línea que hacen es un faro para que las fuerzas del orden o los analistas de Inteligencia los rastreen, de la misma manera que sus teléfonos celulares pueden ser usados para rastrearlos usando triangulación GPS de los pings a las torres de telefonía celular. Antes de hacer una compra en línea, asegúrate de que el sitio web utiliza HTTPS, que significa “Hypertext Transfer Protocol Secure” (Protocolo de transferencia de hipertexto seguro) y emplea Transport Layer Security (TLS) para encriptar las comunicaciones de un extremo a otro. Esto es muy importante porque si el sitio web no utiliza HTTPS, entonces estás enviando tu información a través de Internet en texto plano, lo que significa que cualquier persona con las habilidades adecuadas y herramientas de detección de paquetes puede interceptarla y leerla.

Desde el momento en que presionas el botón “Enviar” en esa transacción de compra en línea, acabas de señalar 1) Que estás vivo o alguien está usando tu tarjeta, 2) Lo que compraste, 3) Dónde lo compraste, 4) Cuánto pagaste, y 5) Si el que quiere saber es inteligente puede incluso averiguar dónde y cuándo te será entregado. Tampoco es necesario ser agente de la ley o analista de una agencia de inteligencia para tener acceso a este tipo de información. El ciberdelincuente podría obtener la mayor parte, si no toda, esta información de tu cuenta de correo electrónico pirateada (¡Hola de nuevo, 3 mil millones de cuentas de Yahoo!). A veces los ciberdelincuentes colocan malware en los sistemas de puntos de venta (POS), como las cajas registradoras de las tiendas o las máquinas lectoras de tarjetas de crédito, para obtener información sobre las tarjetas de crédito y los PIN. ¿Qué más se necesita para rastrearlte o configurar el ataque físico perfecto de tipo “hombre en el medio”? Es posible que tengas flashbacks de la película de Jennifer López “Nunca Más” en la que su ex-marido dispone de un investigador privado y contactos policiales que utilizan sus habilidades, métodos y herramientas especiales para localizarla dondequiera que use una tarjeta de crédito/débito o le reenvíen su correo. Da miedo, pero no está fuera de lo posible.

El dinero en efectivo sigue reinando de manera suprema cuando se trata de ser irrastreable. ¿Por qué crees que a tantos trabajadores se les paga “por debajo de la mesa” en efectivo? Es ilegal, pero el hecho de que se les pague en efectivo permite que el empleado evite pagar el impuesto a la renta y al IRS (Servicio de Impuestos Internos, por sus siglas en inglés). Es probable que tu empleador te compense a través de la Transferencia Electrónica de Fondos (EFT) a una cuenta bancaria, y desde allí puedas retirar efectivo del cajero automático, usar una tarjeta de débito/crédito o emitir cheques. Así es como la mayoría de la gente gasta el dinero. Algunas personas con más conocimientos tecnológicos pagan con aplicaciones de Apple, Samsung o Google Pay. Sin embargo, usar sólo efectivo es un riesgo, porque si te asaltan o te roban, podrías perderlo todo. Por eso, si te dedicas exclusivamente a utilizar dinero en efectivo, deberías pensar en diversificar tu billetera, por así decirlo, y repartir tus reservas de efectivo por diferentes lugares donde nadie pensaría en buscar. Tal vez guardes algunas en tu billetera o cartera, otras en tu calcetín o sostén, entre las páginas de un libro, libros ahuecados, dentro de una tabla suelta del piso o el espacio en la pared, algunas en el auto, algunas en la casa/apartamento, algunas en un lugar seguro o en la casa de un familiar/amigo, algunas en una caja fuerte muy pesada. Fíjate que no nombré ni siquiera una vez esconder efectivo abajo de tu colchón. Ese será el primer lugar donde un ladrón buscará, luego empezará a tirar los cajones y a volcar las cosas que tengas en casa. Tienes que ser más inteligente y más creativo que los criminales, y eso es difícil de hacer porque es probable que hayan tenido mucho tiempo para planear y pensar en robarte. Sin embargo, siempre puedes ganar más dinero, así que no cometas el error de no entregar tu dinero a un ladrón. Podría costarte la vida.

La campaña de desinformación

Difundir información falsa sobre ti mismo puede parecer disparatado, pero en realidad es una técnica muy inteligente para aumentar tu anonimato. Crea perfiles falsos de ti mismo con direcciones, números de teléfono y fotos falsas para despistar a cualquiera que intente localizarte en línea. Escribe tu nombre u otra información de identificación de forma ligeramente incorrecta. Inserta una vocal extra al final de tu primer nombre o date un segundo nombre diferente. Inscríbase en una revista barata con una dirección falsa. Esto hará que seas más difícil de encontrar cuando alguien busque tu nombre en los sitios de búsqueda de Internet. Estos sitios web y bases de datos de personas no están configurados para manejar 20 direcciones diferentes de la misma persona o nombres con ortografía similar. Típicamente podrían listar 2 o 3 direcciones previamente conocidas. Si empiezas a inundar Internet con designaciones de nombres falsos y nuevas direcciones (falsas), por ejemplo, cambiando a un nuevo apartado postal cada mes, entonces se sobrescribirá tu dirección real con todas estas direcciones falsas. Sin embargo, hay que tener cuidado si se decide hacer esto, porque esta información falsa también podría terminar reflejándose en tu informe crediticio y afectar tu «valor de personal de crédito». La misma estrategia de desinformación puede aplicarse a los sitios web reales que recogen tu información personal. La mayor parte de las veces, puedes crear un perfil simplemente creando una cuenta gratuita en un sitio web y luego actualizando toda tu información personal identificable, o toda la que te permitan cambiar a información falsa. Esto, obviamente, no funcionará para las oficinas gubernamentales que de hecho tienen mucho interés en que tu dirección e información sean correctas.

Ascendencia genética

Si estás tratando de ser virtualmente imposible de rastrear, no es aconsejable que envíes tu ADN a compañías como 23-and-Me o Ancestry.com para determinar tu ascendencia. Estas compañías mantienen bases de datos con información de ADN de los clientes que pueden ser obtenidas por las agencias de la ley con una orden judicial. Incluso ha habido casos en que los policías han “recolectado” el ADN de una taza de café o un vaso de plástico de soda del restaurante de un sospechoso, y lo han enviado al laboratorio de criminalística para el análisis de ADN. Luego, si los resultados no se vinculn con una persona conocida en su base de datos nacional, envían la muestra de ADN a una compañía de ancestros de ADN para que comprueben si pueden vincularla con alguien. Bastante astuto, debo decir. Es similar a lo que pasó en un caso sin resolver de un asesino en serie en California.

Estilo Cavernícola: Por qué usar menos tecnología no es tan malo

Imagen coresía de CafePress

Me doy cuenta de que muchos se van a quedar descolocados al instante por la mera sugerencia de usar menos tecnología, porque va en contra de todo lo que nos enseñan en la sociedad moderna sobre lo más grande, lo mejor, lo más rudo. A esos mismos lectores probablemente los desanimó la parte del primer artículo que hablaba de dejar de usar teléfonos celulares. Mira, si no quieres ser virtualmente imposible de rastrear, entonces adelante, sigue viviendo tu vida en el statu quo. Por supuesto, nadie dice que te transformes en un espía súper secreto o en un hacker invisible. Estos son sólo consejos prácticos que podrías probar para mejorar tu privacidad, y ver si te gustan. Puede que no adoptes ninguno de ellos, o sólo un par. Es dudoso que alguien los adopte a todos por la dificultad que supone vivir una vida así. Para ser honesto, el tema de usar baja tecnología realmente merece un artículo o libro aparte.

Cuanta más alta la tecnología, mejor, ¿cierto? No siempre, a veces la alta tecnología te puede jugar en contra, al menos en ciertas situaciones en las que puedes querer permanecer indetectable o difícil de encontrar. Por ejemplo, ¿estás huyendo de alguien o de alguna situación en tu vida? ¿Eres un cónyuge/pareja maltratada en una relación abusiva? ¿Quizás eres una víctima de la trata de personas que está tratando de escapar de sus captores? ¿Quizás seas una adolescente fugitiva que está tratando de escapar de unos padres abusivos? Hay una multitud de razones por las que en algún momento de tu vida puedes tener que cortar y huir. Tampoco son todas malas razones. Cualesquiera que sean las tuyas, no hace falta que las compartas con nadie. Eso es asunto tuyo, pero debes saber que huir rara vez da el resultado deseado. Por lo general, es mejor enfrentar tus problemas de frente, pero si eso es demasiado peligroso o arriesgado por la razón que sea, entonces aquí estamos. Alternativas, ¿verdad?

Ahora bien, es importante que sigas pensando en términos de salir de la red o estar escondido cuando intentas ser virtualmente imposible de rastrear. Estos dos conceptos están interrelacionados y hasta cierto punto son inseparables. Hay algunas cosas relativamente simples que puedes hacer para que tu rastro sea más difícil de seguir. Por ejemplo, puede que sólo accedas a Internet desde lugares públicos como un cibercafé o una biblioteca pública mientras intentas ocultarte a conciencia de cualquier cámara de CCTV. El objetivo principal de las investigaciones forenses digitales es poder poner al delincuente detrás del teclado en el momento del delito para poder procesarlo. Los investigadores intentarán hacer esto accediendo a lo que se conoce como “registros de eventos del sistema” en la computadora y si tienen grabado un video de ti usando la computadora pública en un momento y lugar particular que coincida con un evento de ingreso al sistema, entonces te atraparon, amigo mío. Eso sería lo que se llama un “Caso Imposible de Perder” en la corte. De lo contrario, “si no te sentaste, entonces deben exculparte”. Sin embargo, en serio, va a ser mucho más difícil probar un caso si estás entrando a internet cada vez desde diferentes direcciones IP y/o ubicaciones físicas. De esta manera, se crea mucho más trabajo para cualquier investigador y es menos probable que tenga el tiempo, los recursos o la voluntad para completar toda una investigación.

“Pongámonos físicos, físicos”

A continuación, con el enfoque de baja tecnología aun en marcha, puedes considerar conseguir un apartado postal cuya dirección puedas dar a quien sea que quieras que te envíe correo. Es muy sencillo de hacer. De esta manera nadie sabe realmente la dirección de tu casa, excepto las autoridades que pueden encontrar fácilmente esa información basándose en quién registró el apartado postal. Sin embargo, a menos que les informes a todos de tu nuevo apartado postal, seguirás recibiendo correo en tu antigua dirección. También es obvio que, a menos que te mudes a una nueva dirección, todo el mundo seguirá conociendo tu antigua dirección. Por lo tanto, esta técnica funciona mejor cuando te mudas a una nueva dirección. Establece una dirección de casilla de correo inmediatamente y dásela a todos en lugar de tu dirección real. Recuerda que proporcionar información falsa en documentos o licencias del gobierno es una ofensa punible bajo la ley. Los apartados postales requieren dos formas de identificación, de las cuales por lo menos una debe tener una dirección de casa listada en ella. Ahora bien, esa dirección en tu licencia de conducir puede ser una dirección antigua o puede ser actual. ¿Cómo lo sabe la Oficina de Correos? Esto no quiere decir que la gente no presente información falsa en los documentos del gobierno, pasa todo el tiempo. Sin embargo, si te descubren, no digas que no te avisaron. No te suscribas a revistas o periódicos, y menos aún cuando puedes leer la mayoría de los artículos en línea de forma gratuita. Lo que se gana en comodidad se pierde en privacidad y en correo basura.

La basura de una persona es el tesoro de otra

Piensa por un minuto en lo que tiras a la basura diariamente o incluso semanalmente (y no digamos en todo un año). Ahora piensa en lo que alguien que hurga en tu basura podría averiguar sobre ti si quisiera. Es un pensamiento desagradable, me doy cuenta. Sin embargo, no significa que no pase. Una vez más, he vuelto hacer referencia a la gran cantidad de personas sin hogar que va en aumento en los EE.UU. ¿Es difícil de digerir? Creo que sí. ¿Te hace sentir un poco paranoico y te hace querer invertir en una buena trituradora o tal vez quemar todos los papeles con tu nombre? Si no es así, no sé qué otra cosa podrá hacerlo. ¿Quizás necesitas vivir lo que se siente ser víctima de un robo de identidad?

Entonces, ¿qué puedes hacer para protegerte de los de los hurgadores de basura? Fácil, a partir de hoy hazte el hábito de tachar, triturar o quemar a conciencia cualquier pedazo de papel con tu nombre. Nunca tires partes de la computadora sin antes sanearlas. Si el dispositivo contiene algún tipo de memoria digital, entonces te recomiendo que lo destruyas antes de tirarlo en el lugar apropiado del que disponga tu ciudad. Lo último que quieres es que alguien consiga tu viejo ordenador portátil o el disco duro de tu computadora, y luego ejecute un software de recuperación de archivos en él y recupere todos tus archivos personales. Lo mismo aplica a los viejos teléfonos celulares y otros aparatos electrónicos como tabletas, memorias RAM, relojes o dispositivos de fitness, etc. O los guardas para siempre o los destruyes, quemas, pulverizas o desintegras hasta dejarlos totalmente destruidos antes de desecharlos. Tengo mi propia colección de dispositivos IoT para trastear pero que mantengo porque mis datos personales están almacenados en ella. Algunas ya las he borrado, pero es realmente divertido experimentar con ellas o dárselas a los niños para que jueguen.

La infame escena donde rompen la impresora en la película “Office Space”

Recursos adicionales

Lee, hay cientos de buenos recursos publicados que puedes usar para aprender a ser virtualmente imposible de rastrear. @KevinMitnick tiene algunos libros excelentes que vale la pena leer. Las películas de Hollywood, aunque son divertidas de ver, contienen una cantidad considerable de material relacionado con la imposibilidad de ser rastreado y el anonimato que es en gran parte poco realista y que no funciona.

También puedes consultar la Electronic Frontier Foundation (EFF). Ellos tienen muchos recursos y gente inteligente que se preocupa por la privacidad.

En conclusión

Aunque el anonimato completo y la imposibilidad de rastreo totales pueden no ser posibles en su totalidad, puedes conseguir al menos un poco de ambos si te esfuerzas. Al menos haz que quien intente invadir tu privacidad se esfuerce para conseguirlo. Eso es lo menos que puedes hacer, ¿verdad? Lo peor que puedes hacer es no hacer nada, continuar con la vida del statu quo, renunciar a la libertad de tu información personal y después preguntarte si tu asistente de hogar (por ejemplo, Siri, Alexa, Google Home, Cortana) y tu televisión inteligente están escuchando cada palabra que dices cuando ese extraño anuncio sobre la alimentación de los pájaros aparece en tu canal de noticias después de hablar por teléfono con tu madre sobre Pepe el loro. Lo mismo ocurre con los delincuentes: sólo porque hayas pagado un montón de dinero para instalar un sistema de alarma en tu casa, no significa que no te vayan a robar. Sólo disminuye las probabilidades, y ahora pueden haber algunas consecuencias desagradables (con suerte) para el estúpido criminal que decida irrumpir en tu casa si está alarmada. Piensa en una defensa por capas, un sistema de alarma, un perro grande y feo, una llamada al 9–1–1 mientras sacas el bate de béisbol con clavos, anuncias que tienes un arma y, finalmente, si es necesario, la usas como último recurso. En la mayoría de los lugares, disparar en defensa propia se justifica si temes por tu vida. Al hacerte un blanco más difícil en la vida en general, le estás diciendo a los ciberdelincuentes y a otros tipos de criminales y al Gran Hermano que no sos un blanco fácil y tampoco un cordero. ¡Sos un lobo y no serás rastreado fácilmente porque tu privacidad personal es importante! Tu empleador sólo debe saber lo que absolutamente necesario sobre ti y nada más. Nuestros derechos constitucionales seguirán siendo desvirtuados y reducidos a la nada si nos quedamos de brazos cruzados. Los dejo con este pensamiento: Si tu no te cuidas y proteges contra invasiones de la privacidad y vigilancia masiva y absurda, ¿quién lo hará en tu lugar?

Recursos adicionales de privacidad digital:

Additional Privacy Resources

z3r0trust Privacy Newsletters: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, #4–20, #5–20, #6–20, #32–20, #33–20, #8–20, #9–20, 16, 17, 45–20, 46–20, 47–20, 48–20, #1–21, #2–21, #3–21, #6–21

*Privacy-related articles also published by the author can be found here.

Other helpful privacy info: EFFector | Atlas of Surveillance | Privacy Tools | IAPP | ACLU | PogoWasRight.org | DataBreaches.net