Boletín de Privacidad de z3r0trust #3

Un agradecimiento especial a @151mp137471n por traducir del inglés al español

Keanu Reeves como “Neo” en ‘The Matrix’, imagen cortesía de The Playlist

“Opta por la privacidad y la soledad. Eso no te convierte en antisocial ni te hace rechazar al resto del mundo. Pero necesitas respirar. Y necesitas ser.” — Albert Camus, Cuadernos III (1951–1959)

En la parte 3 de esta serie, haremos como si todos nos hubiéramos tragado la proverbial “Píldora Roja” y seguiré adentrándome en el pozo sin fondo de la privacidad. Las técnicas de privacidad discutidas en esta entrega son un poco más avanzadas de lo que una persona promedio probablemente necesitaría o querría implementar. Sin embargo, si eres del tipo súper paranoico o extremadamente atento a la privacidad entonces, por favor, impleméntalas. El descargo de responsabilidad estándar sigue siendo aplicable: Antes de proceder, asegúrate de que tienes una sólida comprensión de los conceptos discutidos en las primera y segunda partes de esta serie.

También cabe señalar que el hecho de ser prácticamente irrastreable ha sido estigmatizado negativamente por la sociedad, en relación a los que adoptan este modo de vida. La sociedad no puede entender por qué alguien querría vivir de esta manera. La expectativa de la sociedad es que todos sean un picaflor social y cuenten en los redes sociales lo que comieron o la ropa que usaron ese día. Llamo a esta tendencia “diarrea del teclado”. A nadie le importan esas tonterías, y el mundo estaría mejor sin ellas. Sin embargo, volverse virtualmente irrastreable no se trata de ser antisocial o de ser un recluso. Se trata de proteger tu privacidad de manera inteligente.

Algunas personas se empeñan en volverse irrastreables por pura necesidad, y para ellos, ser irrastreables se convierte en una forma de vida. Generalmente son personas muy reservadas que no ofrecen mucha información personal cuando se las piden, a menos, tal vez, cuando están cerca de familiares o amigos. Para otros, puede ser simplemente un concepto novedoso con el que sólo pueden fantasear cuando se encuentran atrapados en el proceso sistemático de ser rastreados por todas partes, todo el tiempo, en cada aspecto de sus vidas. Si estás cansado de estar anclado en este proceso, recuerda que siempre tienes la opción de liberarte. Puede requerir trabajo de tu parte, pero nadie puede obligarte a vivir de determinada manera. No somos rehenes de las expectativas de la sociedad. Esa es la belleza de vivir como un hombre libre en una sociedad semi-libre. Seguro que tenemos leyes que se espera que todos cumplamos, y ciertos derechos individuales nos son otorgados por la Constitución y sus enmiendas. Pero, si nos sentimos así, entonces no nos importa lo que la sociedad piense. ¿Cuándo la sociedad te ha llevado por el camino correcto? Estoy dispuesto a apostar que la respuesta es nunca.

El punto es que esta mentalidad, o este concepto de ser imposible de rastrear, tiene mucho que ver con tu propia perspectiva de la vida. ¿Eres el tipo de persona que se preocupa profundamente por lo que los demás piensan de ti? Tal vez sea necesario por razones laborales o sociales en tu situación particular. He tenido trabajos en los que, en algunos casos, si no te ajustas a la cultura empresarial, te obligan literalmente a renunciar o eres despedido porque se te percibe como un perjuicio para el equipo y la organización. ¿O eres la clase de persona a la que no le importa lo que piensen los demás? Si eres tú, por favor, date cuenta de que esta actitud es un lujo que muchos no se pueden permitir, así que valórala mientras dure. Algunas de estas técnicas pueden ser muy poco realistas para que las implementes en tu vida personal, pero quienes quieran ser virtualmente imposibles de rastrear, harán los sacrificios necesarios para lograrlo en la medida de lo posible.

Engaño sofisticado usando la esteganografía digital para ocultar archivos a simple vista

Ejemplo de esteganografía por medio del bit menos significativos (LSB); imagen cortesía de Chesbro en Seguridad

Los magos son maestros del engaño sofisticado. Son bien conocidos por ser capaces de engañar a la gente con juegos de manos, haciendo desaparecer cosas de la vista de sus audiencias. También hay formas de hacer este tipo de cosas digitalmente, usando la esteganografía digital, que es un método de ocultar información a simple vista. Hay formas antiguas e incluso más recientes de esteganografía que involucran tintas indelebles escritas en pergaminos, tatuajes ocultos bajo el crecimiento del cabello, e incluso micropuntos que contienen una página entera de texto. En este contexto, sin embargo, nos centraremos en la forma informática o digital de la esteganografía. La esteganografía digital a menudo se clasifica erróneamente como una forma de encriptación. Aunque a veces se hace referencia a la esteganografía como el “primo oscuro” de la criptografía, son dos tipos de algoritmos que utilizan procesos muy diferentes.

Mientras que la criptografía utiliza aplicaciones informáticas, protocolos y algoritmos matemáticos para cifrar datos; la esteganografía digital utiliza aplicaciones informáticas y algoritmos matemáticos para cifrar, comprimir e incrustar datos en archivos multimedia que se usan como portadores utilizando cualquiera de los diferentes métodos de esteganografía digital (por ejemplo, el método del bit menos significativo, LSB, o la transformación de coseno discreto, DCT). Muchas aplicaciones de esteganografía digital ofrecen la capacidad adicional de cifrar el o los archivos secretos como parte del proceso de incrustación, de modo que, incluso si se descubre la presencia de la esteganografía digital, los datos secretos seguirán siendo inaccesibles sin la correspondiente contraseña. Una historia completa y una explicación de cómo funciona exactamente la esteganografía digital está más allá del alcance de este artículo, pero eres más que bienvenido a aprender a gusto sobre la esteganografía, si lo deseas, aquí.

Para darte un contexto de cómo el uso de la esteganografía digital puede ser útil, te ofrezco este escenario escrito en términos sencillos. Si cifraras un correo electrónico utilizando Open Pretty Good Privacy (PGP) con tu clave PGP privada y la enviaras a un destinatario que ya tuviera tu clave PGP pública para descifrar y leer esa comunicación, aparecería como texto indescifrable durante el tránsito, excepto por el encabezado del paquete de datos que revelaría las direcciones IP de origen y destino entre otros detalles básicos del paquete. Los servicios gratuitos de correo electrónico como Gmail, ProtonMail, Yahoo, o Hotmail no ofrecen, sin embargo, cifrado de extremo a extremo ni infraestructura de clave pública (PKI), por lo que es posible que tus mensajes privados de correo electrónico y los archivos adjuntos de datos adjuntos puedan leerse mientras transitan por la red a lo largo del camino hacia su dirección IP de destino. Lo máximo que pueden ofrecer estos servicios gratuitos de correo electrónico son buzones de correo electrónico cifrado (pista: tu contraseña es la clave de descifrado) y cifrado estándar de seguridad de la capa de transporte (TLS) mientras los paquetes de datos del correo electrónico están en tránsito de punto a punto por la Internet.

Existen extensiones de navegador que se pueden agregar a Chrome, Firefox y otras que ofrecen la capacidad de cifrar el correo electrónico mediante PGP. El cifrado es excelente, no me malinterpretes. Lo uso siempre que puedo, sin embargo, no es tan secreto como parece. Es posible interceptar paquetes de datos encriptados y determinar inspeccionando los encabezados de los paquetes qué dirección IP de origen lo envió y la dirección IP de destino a la que se dirigirá. El uso de una red privada virtual (VPN) ayuda a mantener su anonimato como se discutió anteriormente en la Parte 1 de esta serie, pero no es una privacidad perfecta porque el proveedor de VPN todavía conoce su verdadera dirección IP y los gobiernos y las fuerzas del orden público pueden obtener esta información. Además, hay algunos proveedores de servicios VPN turbios que venderán sus datos de navegación privados a terceros. Entonces, ¿cómo podemos evitar eso y aún así enviar información secreta encriptada? Introduzca la esteganografía digital.

Cómo funciona el PGP, imagen cortesía de DarkNetMarkets

Por el contrario, digamos que enviaras un correo electrónico en texto plano (sin cifrar) con un archivo stego (también conocido como “objeto stego” en la figura de abajo) adjunto, con algún texto poco llamativo como “Hola Bob, Alice y yo queremos ir de visita. Echa un vistazo a esta foto de nuestras nuevas flores”. El hecho de que no estés enviando un mensaje encriptado no levantaría sospechas, sólo aparecería como otro aburrido correo electrónico con un archivo de imagen adjunto de lo más anodino. Sin embargo, lo que cualquier persona desprevenida que vea el correo electrónico y el archivo de imagen no sabrá es que la imagen es en realidad un archivo portador con un archivo secreto cifrado oculto en su interior que sólo se abrirá con la clave correcta (contraseña/frase). ¿Ves la sutil diferencia entre estos dos escenarios? Ahora, puede que no siempre necesites usar la esteganografía digital, pero está ahí si la necesitas. Hay aplicaciones de esteganografía digital que incrustarán archivos en prácticamente cualquier tipo de formato de archivo existente (audio, texto, video, imagen, VoIP, etc.).

Cómo funciona la esteganografía digital; imagen cortesía de studentweb.niu.edu

No necesitas ser un criminal para tener archivos que quieras esconder de ojos entrometidos. Por ejemplo, tal vez tienes un diario electrónico que quieres mantener en privado o tal vez algunas fotos o videos picantes de ti mismo o de un ser querido que prefieres mantener en secreto. Eso no es un delito siempre y cuando todas las partes estén de acuerdo y sean mayores de edad. Sin embargo, una vez que se toman este tipo de fotos o videos comprometedores, la posibilidad de que puedan ser utilizados en tu contra de alguna manera (por ejemplo, chantaje o porno de venganza) o filtrados sin tu consentimiento, pasa a ser una posibilidad real. En el ámbito de la ciberseguridad, si algún tipo de amenaza es una posibilidad, entonces se considera un riesgo que debe ser mitigado en la medida de lo posible. Si guardas este tipo de material en tu computadora personal o en tu teléfono inteligente conectados a Internet, entonces el riesgo de que esas fotos y videos puedan ser robados es un riesgo real. Lo mismo aplica a cualquier cámara o dispositivo de grabación de video que hayas utilizado para producir dicho material. Las herramientas de software de recuperación forense digital disponibles gratuitamente pueden localizar y recuperar fácilmente los archivos eliminados. Así que debes preguntarte, antes de dedicarte a ciertas actividades, si realmente vale la pena grabarlas. Es posible que también tengas información financiera o una lista de contraseñas que quieras mantener oculta. Un método para ocultar archivos personales sensibles es utilizar una aplicación de esteganografía digital para incrustar secretamente tus archivos personales en un archivo multimedia de apariencia aparentemente normal, como una imagen. Por ejemplo, decides incrustar el archivo de texto de tu receta de cerveza casera en una imagen que está protegida por contraseña.

La última vez que me fijé, había más de 1.200 aplicaciones diferentes de esteganografía digital disponibles en Internet. No todas estas aplicaciones de esteganografía digital son creadas igual, algunas están más desarrolladas que otras, lo que significa que el código está mejor escrito. Algunas de las aplicaciones de software de esteganografía sólo funcionan para archivos de audio, video, texto o imagen, mientras que otras aplicaciones son más robustas y pueden realizar múltiples tipos de esteganografía digital. Si alguna vez has visto el programa de televisión de USA Network ‘Mr. Robot’, entonces habrás notado que el personaje principal ‘Elliot’ (interpretado por el actor Rami Malek) utiliza la aplicación de esteganografía digital DeepSound para ocultar datos dentro de archivos de audio como álbumes de música. Para realizar la esteganografía de archivos de audio o video, el archivo portador debe ser mucho más grande en tamaño para poder incrustar los datos ocultos sin causar una notable “distorsión de ruido” en el archivo de audio/video. Esto se conoce como relación señal-ruido de pico (PSNR) y, cuanto menor sea, mejor para evitar la detección.

Muchas de estas aplicaciones de esteganografía digital ofrecen la capacidad de combinar fuertes algoritmos de encriptación y compresión para ocultar los archivos personales dentro de otros archivos (llamados archivos portadores). Cuando el/los archivo(s) oculto(s) se incrusta(n) en el archivo portador, el archivo se conoce como archivo stego. El cifrado puede desbloquearse o descifrarse con una contraseña o frase de contraseña que el destinatario debe que conocer antes de recibirlo, usando la misma aplicación de esteganografía para abrir el archivo. Deepsound, por ejemplo, ofrece un cifrado AES de 256-bits para el archivo stego, que es un cifrado potente, al menos hasta que la criptografía de computación cuántica se convierta en una amenaza real.

Crea Discos Virtuales Encriptados Escondidos Dentro de un Archivo

A esta altura de la serie, con suerte, te he convencido de la necesidad de implementar una encriptación de disco completo en todas tus computadoras y dispositivos electrónicos. Si compras un iPhone, ya sabes que la encriptación del disco completo de Apple en el teléfono es de primera categoría, pero existen “rodeos” y el FBI ha pagado para obtenerlos. Si el FBI tiene métodos para crackear la encriptación del iPhone, entonces sabes que otras agencias gubernamentales (por ejemplo, la NSA, la CIA, etc.) y otras empresas de seguridad también tienen métodos para acceder a estos dispositivos y así incluir gobiernos extranjeros y amenazas como los ciberdelincuentes. Microsoft Windows BitLocker y BitLocker-To-Go son una opción si usas la edición Profesional de Windows 7, 8, 8.1, o 10. Pero BitLocker no es la mejor opción para el cifrado de disco duro completo por múltiples razones en las que no voy a profundizar aquí. Además, Microsoft mantiene la capacidad de abrir una puerta trasera (“backdoor”) a tus claves de BitLocker y del Sistema de Cifrado de Archivos (EFS) en el momento que lo considere necesario. Este acceso estilo “Gran Hermano” a los sistemas Windows hace difícl confiar en el cifrado BitLocker y facilita enormemente a las fuerzas del orden o a las agencias gubernamentales entrar en un equipo o dispositivo cifrado con BitLocker o EFS.

VeraCrypt es una aplicación de encriptación libre y gratuita de desarrollo francés que mencioné en la primera parte de la serie y que permite a los usuarios crear discos virtuales encriptados dentro de un archivo y montarlos como discos. ¿Cómo es esto útil, te preguntarás? Podría ser útil en circunstancias particulares como cuando viajas fuera de los EE.UU., o vuelves a los EE.UU. desde el extranjero. También podría ser útil si necesitas ocultar una carpeta o unidad entera a la vista en tu disco duro (HDD). VeraCrypt puede cifrar completamente una unidad flash USB o una partición de un disco duro y permite a los usuarios trabajar con archivos en un sistema de datos en paralelo que se pueden leer, modificar y guardar mientras se vuelven a cifrar sin reducir significativamente la velocidad de procesamiento del ordenador.

Tal vez una de las mejores características de VeraCrypt es su función de volumen oculto que utiliza la tecnología de esteganografía digital para crear un volúmen oculto dentro de otro que es invisible. Esta característica permite a los usuarios mantener una negación plausible en caso de que alguien intente forzarlo a revelar su contraseña. Por ejemplo, esto funciona de la siguiente manera: tienes una partición exterior cifrada con contraseña que es completamente visible pero en la que sólo hay unos pocos archivos no confidenciales. Digamos que has sido detenido por cualquier motivo y alguien de una agencia gubernamental de tres letras te amenaza con una orden judicial para obtener la contraseña para desbloquear tu unidad cifrada. Esta característica es buena porque puedes darle de la contraseña a ese contenedor exterior encriptado a regañadientes y después de hacerle saltar a través de todos los obstáculos legales, y no encontrará nada extraño en el contenedor exterior, salvo unos pocos archivos que pusiste a ahí para que fueran encontrados llegado el caso. Lo que nadie sabe es que tienes un volumen encriptado secreto y oculto dentro de esa unidad encriptada externa, que contiene tus archivos más sensibles y para los que sólo tú tienes la contraseña. Es bastante ingenioso, en mi humilde opinión, y virtualmente imposible de descubrir.

Elimina los metadatos

Antes de subir cualquier imagen a un sitio web o de enviarla a otros por correo electrónico, es aconsejable que primero la pases por una aplicación de filtrado de metadatos (también conocidos como datos EXIF) como AnalogExif o ExifTool para usuarios de Mac o Windows. De lo contrario, a menos que el sitio web al cual estás subiendo esas imágenes elimine automáticamente los metadatos, existe la posibilidad de que se recuperen los datos de geolocalización, la fecha/hora en que se tomó la foto, el tipo de cámara utilizada, entre otros datos, de tus imágenes. Si todavía usas redes sociales, también podrías correr el riesgo de que alguien te acose en tu casa gracias a las fotos que publicaste en ellas.

Usando YubiKey para la Autenticación en dos Pasos

En la segunda parte de esta serie, mencioné brevemente la autenticación de dos pasos (también conocida como “2FA”) que, en pocas palabras, es un mecanismo de control y gestión de identidad y acceso mucho mejor que el simple uso de contraseñas. La aplicación de la autenticación en dos pasos o incluso la autenticación de múltiples factores (MFA) hace mucho más difícil que un atacante se haga con tu cuenta si puede comprometer de alguna manera tu nombre de usuario y contraseña. La mayoría de la gente utiliza su teléfono móvil como segundo factor de autenticación, pero también se puede usar un correo electrónico, un token de seguridad RSA, etc, siendo el el PIN de mensaje de texto el menos seguro. La autenticación 2FA se puede lograr de varias maneras diferentes. Entre los posibles segundos o terceros factores de autenticación se incluyen:

1. Algo que eres… piensa en autenticación biométrica de huellas dactilares, reconocimiento facial, escaneo de iris.

2. Algo que sepas… piensa en la contraseña, el PIN, la palabra clave proporcionada por la voz.

3. Algo que tengas… piensa en un token RSA, una tarjeta con chip RFID (por ejemplo, CAC), YubiKey.

Existen otros factores de autenticación como la ubicación, pero no es aconsejable utilizar el factor de ubicación para la autenticación, ya que puede ser fácilmente falsificado utilizando tecnología moderna. Las YubiKeys son un dispositivo físico de identificación que se conecta al puerto USB de tu computadora o a través de la Comunicación de Campo Cercano (NFC) a tu teléfono inteligente para autenticar con 2FA. Se considera a las YubiKeys la autenticación en dos pasos universal (U2F), y se la considera superior a otras formas de 2FA debido a que el individuo que se autentica debe tener el correspondiente YubiKey para autenticarse y ésta no puede ser duplicada desde un sitio remoto.

Las YubiKeys pueden no ser una opción realista para personas que trabajan en instalaciones seguras con información o tecnología sensible y políticas de seguridad que restringen el uso de dispositivos equipados con Wi-Fi, NFC y Bluetooth. Por lo tanto, aunque sean la opción preferida para la mejor protección de seguridad 2FA, te aconsejo que hagas los deberes antes de decidirte a cambiar. Es eso o no acceder a tus cuentas personales durante las horas de trabajo y en su lugar centrarte en tu trabajo y usar una YubiKey para la autenticación en tu casa. Authy es una aplicación para móviles que se utiliza para 2FA y genera PINs aleatorios de 6 dígitos para autenticar a los usuarios en los sitios web después de que hayan proporcionado el ID de inicio de sesión y la contraseña correctos para acceder al sitio. Espera que Authy se use más ampliamente y se divulgue más para que tengamos 2FA en los teléfonos inteligentes en el futuro próximo.

Wendy obtiene privacidad creando sus propias portadas de libros, “Apuñalados extraños que hablan contigo.” Imagen cortesía de Mark Parisi

Google es el enemigo público número 1 de la privacidad

Nithin Coca escribió un ingenioso artículo sobre por qué dejó del todo de usar Google, y sobre por qué tú también podrías querer ir en esa dirección. Sé lo que estás pensando. “¿Este tipo es real? ¿Dejar Google? ¿Cómo se hace eso y por qué?” Bueno, es una larga historia, pero basta decir que si valoras la privacidad, entonces Google, mi amigo, no es tu amigo y tampoco lo son Facebook, Twitter, Instagram, Snapchat, Tumblr, MySpace (sí, todavía existe) o cualquiera de los gigantes de la tecnología de Internet. Todos ellos se dedican al negocio de recolectar y vender tu información personal. Todos el mundo debería entrar en éstas redes sabiendo esto, pero a menos que tengan el hábito de leer la letra chica en los acuerdos de los Términos de Servicio, nunca lo sabrán, porque estos sitios de redes sociales no tienen el hábito de advertir a sus potenciales clientes por adelantado. Por lo general, es malo para el negocio. Otra razón para no utilizar Gmail es porque obtienen una gran parte de sus beneficios de los anuncios de los proveedores, por lo que existe un claro incentivo por parte de Google para compartir tu correo electrónico y los datos de búsqueda de Google con otros proveedores que los analizan para ofrecerte productos. Todo es un juego de mucho dinero al final, gran sorpresa, lo sé.

En lo que a la privacidad se refiere, ProtonMail es una opción gratuita mucho mejor que la de cualquier otro proveedor de servicios de correo electrónico gratuito por la sencilla razón de que tienen su sede en Suiza, y no entregarán fácilmente tu información a nadie. También es cierto que se obtiene aquello por lo que se paga. Así que, si quieres el mejor correo electrónico privado entonces usa ProtonMail, pero paga la pequeña cuota por las capacidades extra y el almacenamiento extra. Las compañías tienden a tratarte mejor cuando eres uno de los usuarios que pagan. Por otro lado, Google tiene exponencialmente más usuarios que ProtonMail, y tienen todas sus características incorporadas y aplicaciones de funcionalidad multi-sitio. Sin embargo, Google cumple voluntariamente con “decenas de miles de órdenes de búsqueda y citaciones cada año” según su informe de transparencia. ProtonMail no tiene que cumplir con ninguna orden de registro. Sin embargo, cuando se trata de seguridad, es difícil discutir que alguien lo haga mejor a nivel empresarial que Google con respecto a los miles de millones de usuarios que tiene. Google ha sido por mucho tiempo un líder en innovación tecnológica y seguridad en Internet en muchos aspectos. Es un riesgo calculado en cualquier caso, pero el individuo centrado en la privacidad tenderá a rehuir las grandes empresas como Google, que tienen la reputación de compartir los datos de los usuarios para obtener beneficios de mercado.

Paternidad y Privacidad en las Redes Sociales de los Adolescentes

Recientemente, hubo un informe inquietante en las noticias sobre un hombre que acechaba a jóvenes adolescentes de las redes sociales que vivían cerca de su casa. En más de una ocasión el hombre entró por la fuerza en la misma casa mientras estaba desnudo, y se masturbaba en la habitación de la chica mientras ella dormía. Si ves el video de la intrusión inicial en la casa, el hombre parece pasar por la puerta principal que se dejó abierta y luego, de forma inquietante, ve una cámara de video y coloca su índice sobre los labios para pedir silencio mientras sube las escaleras hacia el dormitorio de la adolescente. Si esto no te impacta como padre como un par de guantes de acero en la cara, no sé qué lo hará. Para empezar, los adultos responsables (padres) deben asegurarse de que se realicen las comprobaciones básicas de seguridad de todas las puertas de la casa antes de irse a dormir, pero el hecho de que este tipo haya podido simplemente entrar caminando en la casa después de haber forzado su entrada y hecho esto una vez ya es absolutamente alucinante.

No hay otra forma de decirlo, las redes sociales pueden ser una herramienta peligrosa. Peligrosa para los que la usan, y por todas las actividades nefastas para las que puede ser usada por gente puramente malvada. Tanto quien ignora el peligro como los jóvenes, pueden no entender que existe una clara posibilidad de que lo que ven en las redes sociales o en cualquier lugar de Internet, haya sido creado por alguien con intenciones ocultas. Recientemente, tanto Rusia como Irán han sido noticia en relación con el uso de cuentas falsas de redes sociales para tratar de socavar los resultados de las elecciones nacionales de 2018 en los Estados Unidos pagando anuncios falsos y publicando mensajes políticos, tal como ocurrió en las elecciones presidenciales de 2016. También hay agentes y grupos de riesgo domésticos que intentan trastocar las noticias de manera activa y engañar a la población desprevenida.

Necesitamos concientizar a nuestros niños y ancianos de que las redes sociales son una herramienta que puede ser usada tanto para cosas buenas como malas. Últimamente, parece que haber más cosas de las malas que de las buenas. Las preocupaciones por la privacidad y las redes sociales están en la mente de muchas personas en los EE.UU. Hay una razón por la que los CEO de Facebook y Twitter han tenido que testificar ante el Congreso en los últimos meses. Si todavía sientes que debes usar las redes sociales, entonces al menos trata de usarlas responsablemente y concientizar a quienes pueden no estar al tanto de los peligros. Por último, es tu derecho como padre ser un padre intruso que monitorea las actividades de sus hijos en línea y sus teléfonos celulares. Bajo ninguna circunstancia puedes permitir que un adolescente te convenza de que la vigilancia de su teléfono móvil y de sus actividades en Internet es una invasión de su privacidad. Es más que probable que estés pagando por ellos. Son tu responsabilidad, y lo que hagan en línea puede hacerles daño a ellos y/o a tu familia. Hagan su trabajo, mamás y papás. Sus hijos se lo agradecerán más adelante, cuando aún estén vivos para visitarlos, en lugar de ser secuestrados por los psicópatas que recorren Internet.

Asumir una Nueva Identidad Digital

A veces es bueno empezar de cero. Si te sientes abrumado y necesitas desintoxicarte de tu vida digital, piénsalo bien antes de tomar medidas drásticas y saltar al pozo. Lleva mucho tiempo intentar restablecer una identidad digital una vez que decides borrarla, y no olvides que Internet es muy poco compasiva. Una vez que estás en ella, estás ahí para quedarte, de una manera u otra, lo que significa que todavía habrá migajas digitales que conducirán a tu antigua existencia y que tendrás que intentar limpiar discretamente. Si realmente quieres asumir una nueva identidad digital, te recomiendo que implementes todas las recomendaciones de esta serie que creas necesarias y que leer otros artículos y libros. Aunque puede ser imposible eliminar completamente tu identidad digital, hay muchos pasos que puedes dar para ofuscarla hasta el punto de que sea inexistente en la práctica, como esa vieja cuenta de MySpace que olvidaste pero que todavía ronda por ahí.

Un alias es otro nombre para un apodo o nombre de usuario. Si por alguna razón, no puedes renunciar a la actividad de tu cuenta de redes sociales porque eres un adicto, está bien porque estoy ahí contigo como escritor y profesional de la ciberseguridad. Aunque sé mucho sobre cómo lograr la privacidad digital, no puedo aplicar muchos de los pasos que recomiendo sin comprometer mi capacidad para publicar mis escritos y mantener mi empleo. Internet es una herramienta útil para mantenerse al día, pero hay que desconfiar mucho de la información que se encuentra en ella. Siempre hay que validarla un poco más. Sin embargo, si esto no es cierto para ti, en primer lugar, tengo envidia, y en segundo lugar, podrías considerar el uso de una técnica que me gusta llamar “metamorfosis de alias”. Esta técnica consiste en cambiar constantemente tu “arroba” de Twitter, o tu “alias” de cualquier otro perfil de redes sociales con el fin de confundir a la gente y despistarla. Muchos hackers ya hacen esto como una cuestión de redundancia. Mantienen varias cuentas diferentes de redes sociales en la misma plataforma bajo nombres diferentes en caso de que la plataforma deshabilite temporalmente su cuenta principal o que necesiten “quemar” esa cuenta por cualquier razón (por ejemplo, porque podría ser vinculada a una actividad de hacking ilegal). Algunos sitios de redes sociales pueden restringir la frecuencia con la que se puede cambiar la dirección o incluso exigir que se elimine la cuenta antigua y se empiece de cero con una nueva. Los sitios de redes sociales tratan de dificultar al máximo el abandono de sus sitios para evitar que los usuarios dejen de usar sus servicios por puro capricho, ya que ello acarrea una pérdida potencial de beneficios para su empresa. Estoy seguro de que puedes entender el motivo, ¿verdad? Siempre sigue el rastro del dinero, nunca te equivocarás.

Otras técnicas que he utilizado consisten en desactivar mi perfil de LinkedIn durante 19 días cuando no necesito que esté accesible por cualquier motivo (por ejemplo, para solicitar nuevos trabajos) y luego reactivarlo justo antes de que caduque y se borre el día 20, sólo para volver a desactivarlo un día o dos después. Mira, ahora que he revelado ese secreto, LinkedIn (también conocido como Microsoft) cambiará su política de desactivación de cuentas. ¿Estás cansado de que tipos raros y completos desconocidos contacten contigo en LinkedIn? Prueba esta técnica. Seguirás manteniendo tu cuenta, pero no será visible mientras esté inactiva durante 19 días y debo señalar que tendrás que configurar todas las preferencias de noticias de tu cuenta de nuevo cuando la reactives. Si mi cuenta de LinkedIn desapareciera accidentalmente por no haberla reactivado a tiempo, no me quitaría el sueño…

Nota: es posible que no quieras hacer esto si te resulta importante tener un gran número de seguidores en las redes sociales, ya que la gente puede no reconocer fácilmente tu nuevo perfil y dejar de seguirte si no te reconoce.

Bórrame de Internet, ¿quieres?

De forma similar al sitio ReputationDefender.com, de quien ya hablamos en la primera parte de esta serie, DeleteMe se ha autoproclamado como “el servicio de eliminación de información más fiable” para desactivar los perfiles públicos tuyos y de tu familia de sitios de intercambio de datos como Intelius, incluyendo nombres, números de teléfono actuales y anteriores, direcciones de correo electrónico, direcciones físicas actuales y anteriores, e incluso fotos de tu casa. Al momento de escribir este artículo, DeleteMe ofrece 3 planes:

1 persona (129 dólares al año), o

2 personas (229 dólares al año), o

2 personas durante 2 años (349 dólares por 2 años).

Encendiendo una luz en los escaneos de la Red Oscura

Algunas empresas como Lifelock y Experian ofrecen servicios de escaneo de la Dark Web (también conocida como ‘DarkNet’) como una herramienta de control de robo de identidad. Mi consejo es no malgastar dinero en esta clase de productos. Las posibilidades de que estos escaneos de la Dark Web sean incluso mínimamente exhaustivos son de escasas a nulas, y es muy probable que la empresa sólo busque en un par de lugares del mercado negro. Aunque hay motores de búsqueda de la Red Oscura como Duck-Duck-Go, entre otros, la naturaleza de la Red Oscura es descentralizada y disgregada, lo que hace que los resultados de la búsqueda sean incompletos, ya que no mostrarán ningún resultado de los sitios de la Red Oscura desconocidos y/o recién creados. Esto podría significar que el escaneo no devolverá ninguna coincidencia para tu información personal, incluso si está en algún lugar del Dark Web.

Hay todo tipo de servicios y sitios ocultos en la Red Oscura, algunos de los cuales sólo son compartidos por personas que los conocen con otras personas de confianza a las que deciden invitar. Eso dificulta que los chicos y chicas buenos descubran y rastreen este tipo de actividad ilegal. En realidad es un nido de ratas, y a menos que sepas en qué te estás metiendo, te sugiero que no visites la Red Oscura. No puedes simplemente hacer de cuenta que no viste algunas de las cosas con las que te puedes tropezar allí. En otras palabras, buscar tu información en la Red Oscura es como tratar de encontrar una aguja en un pajar. Por otro lado, si tienes diez dólares extra al mes para tirar por la borda por este tipo de servicio de escaneo, podrías ahorrar tiempo valioso cambiando tus credenciales de inicio de sesión si resulta que tu información personal aparece en un resultado de búsqueda positivo. Depende de ti, no hace daño, pero tampoco es necesario por las razones que he mencionado. Sin embargo, en general, estos escaneos de la Red Oscura son sólo otro truco que las agencias de informes crediticios, las compañías de robo de identidad y las instituciones financieras comercializarán para ganar más dinero de las personas paranoicas con la seguridad.

Kit de Hacking Raspberry Pi para Principiantes, imagen cortesía de Null Byte

El camino del Hacker

Los hackers son una especie excepcionalmente innovadora e ingeniosa. No importa la tecnología involucrada, los hackers siempre tratarán de encontrar una manera de hacer que la tecnología funcione para sus propósitos, buenos o malos. Si hay una parte de ti que se siente de la misma manera, entonces tal vez tú también seas una especie de hacker, en el fondo. Los hackers generalmente simpatizan con el anonimato y la privacidad, pero no todos. En mi vida como hacker ético, he visto a muchos autodenominados hackers abrazar el concepto de la libertad de información y creer que los datos robados de las bases de datos pirateadas, ya sea para obtener ganancias monetarias, sabotaje o demostrar un punto, deben ser volcados en Internet a pesar de que posiblemente sean perjudiciales para la seguridad nacional (por ejemplo, la información clasificada que se publica en WikiLeaks). Siendo un hacker de Sombrero Blanco, no estoy en absoluto de acuerdo con esta práctica, pero entiendo por qué los hackers lo hacen. Cualquiera sea tu opinión sobre el tema, tienes derecho a ella, pero por favor, primero trata de entender las implicaciones de participar en cualquier actividad ilegal de hacking. La Ley de Fraude y Abuso Informático (CFAA) no es una broma, y ha habido bastantes hackers que han cumplido una larga condena después de haber sido acusados de delitos en violación de la CFAA. La prueba de fuego para saber si algo es legal o no debería ser siempre: “¿Lo que voy a hacer va a violar la CFAA o alguna otra ley como la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA)?” El descubrimiento y el aprendizaje son causas nobles, pero no vale la pena ir a la cárcel por ellos.

Volverse virtualmente imposible de rastrear y ser un hacker van de la mano. Tu objetivo siempre debe ser el de mezclarte y volar bajo el radar, “Nada que ver aquí amigos, muévanse”. Los maestros hackers de Sombrero Negro, o los tipos malos muy hábiles, son muy adeptos a operar en silencio y a cubrir sus huellas. Si no supieras qué buscar, probablemente nunca te darías cuenta de que un hacker experto ha estado en tu red o en tu sistema. Se esforzarán por permanecer ocultos para incluir el malware que escriben y propagan. Para protegerse contra el enemigo, tienes que pensar como el enemigo. Trata de no dar a la gente una razón para que se fijen en ti, vuela bajo el radar. Algunos hackers son excéntricos, y buscan atención, pero a menudo termina siendo una atención abrumadoramente negativa la que finalmente reciben. Resulta que a mucha gente no le gustan los hackers, ¡imagínate! Me pregunto por qué. De cara al futuro, deberías aceptar el reto de intentar permanecer virtualmente irrastreable tanto en el ámbito físico como en el digital. Debemos tratar de recordar siempre la dualidad de la tecnología en nuestros esfuerzos en línea, como una espada de doble filo que puede ser empuñada para salvar o destruir. Simplemente depende de quién esté manejando esa tecnología. Recuerda esto:

Cero confianza, siempre verificar.

¡Gracias por leer! Si disfrutas de estos artículos y quieres apoyarme como escritor, puedes convertirte en miembro de Medium. Por $ 5 por mes o $ 50 por año (una mejor oferta), recibe acceso ilimitado a las historias medianas. Si usa mi enlace de referencia, recibo una pequeña comisión. ¡Salud!

Additional Privacy Resources

z3r0trust Privacy Newsletters: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, #4–20, #5–20, #6–20, #32–20, #33–20, #8–20, #9–20, 16, 17, 45–20, 46–20, 47–20, 48–20, #1–21, #2–21, #3–21, #6–21

*Privacy-related articles also published by the author can be found here.

Other helpful privacy info: EFFector | Atlas of Surveillance | Privacy Tools | IAPP | ACLU | PogoWasRight.org | DataBreaches.net

--

--

experienced privacy & security engineer **stepping away from blogging for an undetermined amount of time to focus elsewhere**

Love podcasts or audiobooks? Learn on the go with our new app.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store
Ian Barwise

Ian Barwise

experienced privacy & security engineer **stepping away from blogging for an undetermined amount of time to focus elsewhere**