Jan 2
Boletín de Privacidad de z3r0trust #8
Un agradecimiento especial a @151mp137471n por traducir del inglés al español
“Todo puede colapsar. Las casas, los cuerpos y los enemigos se derrumban cuando su ritmo se trastoca. En la estrategia a gran escala, cuando el enemigo comienza a colapsar, debes perseguirlo sin posibilidad de soltarlo. Si no aprovechas el colapso de tus enemigos, es posible que se recuperen”. ~Miyamoto Musashi
Es conveniente comenzar a leer esta serie desde el principio para comprender todo lo que se ha cubierto hasta ahora. Recomiendo encarecidamente hacerlo antes de leer esta entrega, pero es tu decisión. He cubierto una inmensa cantidad de material en entregas anteriores, tanto que estoy considerando convertir esta serie en un libro en un futuro no muy lejano. En la octava parte de la boletín de Invisibilidad Digital, continuaré con mi metafórica lucha contra las redes sociales, hablaré un poco más sobre algunos navegadores web alternativos populares y les daré algunos consejos más sobre cómo permanecer lo más anónimo posible en línea.
Manteniendo la privacidad en la era de la brecha de datos
¿Cómo protegemos nuestra información de identificación personal (IIP) en la Era de la Brecha de Datos? Para mantener un perfil bajo en estos tiempos en los que parece que hay una nueva brecha de datos por semana, uno debe ser consciente y dudar a la hora de poner cualquier información personal en línea. La forma de hacer esto es UTILIZAR INFORMACIÓN FALSA sobre ti mismo en línea TANTO COMO SEA POSIBLE. ¿Por qué necesitas usar tu nombre real, dirección y número de teléfono? ¿Sabes cuánto daño puede hacer alguien con esa información? Mucho.
A pesar de que estamos en 2019, todavía hay mucha gente que se sorprende al saber cuánta información sobre ellos está disponible gratuitamente en línea y abierta para que el mundo entero la vea, o al menos, para cualquiera que se preocupe por buscarla. El mundo es un enorme escenario con pequeñas migas de pan digital de información dejadas aquí y allá para aquellos que son lo suficientemente perspicaces como para recogerlas. Pistas sutiles aquí y allá, senderos digitales para seguir. Muchos tipos diferentes de personas usan las herramientas, métodos y técnicas del OSINT para muchos propósitos diferentes. Algunos son cazadores de amenazas cibernéticas, otros son ciberdelincuentes, algunos lo usan con fines forenses digitales, otros pueden sólo querer rastrear a alguien de su pasado o determinar cuánta información personal sobre ellos está en línea.
La apertura del foco de investigación OSINT puede ser ampliada o reducida dependiendo de lo que estemos buscando. A veces la búsqueda es amplia y profunda, otras veces la búsqueda puede ser estrecha y poco profunda. La investigación OSINT se trata de saber con qué herramienta o combinación de ellas se obtendrán los mejores resultados. Probablemente no utilizarías un marrón para colgar un cuadro. Algunas herramientas funcionan mejor que otras dependiendo de la información a la que se apunte.
La ola de popularidad que ha experimentado la Inteligencia de Código Abierto (OSINT, por sus siglas en inglés) ha dado lugar a un surgimiento de nuevas herramientas y técnicas de software que prácticamente cualquier persona puede utilizar para reunir “inteligencia” sobre otra persona u organización. Hay una multitud de herramientas y recursos de software disponibles para este tipo de actividad, tantos de hecho que sería imposible enumerarlos todos aquí. Sin embargo, algunas de las mejores herramientas del OSINT no fueron diseñadas para ser herramientas en absoluto. Las redes sociales pueden ser una de las mejores herramientas del OSINT. Profundicemos un poco más en esto.
Si la privacidad digital es algo que valoras y utilizas sitios de redes sociales como Linkedin para conectarte con tus colegas de trabajo, sos más vulnerable a las violaciones de la privacidad de lo que te imaginas. En Linkedin, a menos que estés publicando activamente desinformación sobre ti mismo para despistar a los demás, cualquiera puede buscar para quién trabajas y potencialmente tomar represalias contra ti enviando fotos, publicaciones o Tweets a tu empleador en un intento de hacer que te despidan o al menos te reprendan. ¿Por qué motivo ibas a querer darle esa oportunidad a alguien que ni siquiera conoces?
Dependiendo de tu personalidad, es probablemente sólo cuestión de tiempo antes de que te metas en una pelea con alguien en las redes sociales. Podrías ser la persona más amable y dulce, pero si a alguien no le gusta algo que escribiste o posteaste, la cosa ya está en marcha. No se detendrán ante nada para intentar arruinarte la existencia. Sólo mira lo reciente de los ataques ‘Swatting’ que han resultado en la muerte de víctimas inocentes. Cuando las cosas se intensifiquen como suele pasar todo el tiempo en las redes sociales con estos trogloditas de pelo corto, ¿a qué crees que van a recurrir? Honestamente, no se necesita mucha experiencia en la web para llegar a conocer las herramientas y técnicas de recolección de OSINT. En otras palabras, no es necesario ser un maestro de la OSINT para dañar la reputación de alguien en poco tiempo.
¿Borras los metadatos de localización de las fotos antes de subirlas a cualquier sitio web? Si no, podrían rastrearte. Los metadatos de las fotos se conocen como datos EXIF y hay varias herramientas que cualquier persona con conocimientos puede utilizar para extraer esos datos de las fotos que publiques en línea. Así que piénsalo dos veces antes de tomar esa foto y subirla a Twitter, Facebook o Instagram. No tienes ni idea de quién está al acecho en las sombras… Lo mismo ocurre con otras personas o lugares que quieres proteger.
Incluso si un sitio web anuncia que eliminan automáticamente los datos EXIF, ¿realmente confías en lo que cualquier compañía de tecnología de redes sociales te dice sobre tu privacidad después de los muchos casos probados de escándalos de engaños en Facebook? Para mí, es incomprensible confiar mi información personal a FB o a cualquier compañía tecnológica. ¿Cómo lo dijo el ex presidente George W. Bush?
“Hay un viejo dicho en Tennessee — sé que está en Texas, probablemente en Tennessee — que dice, engañame una vez, vergüenza, vergüenza de ti. Engáñame a mí — no puedes ser engañado otra vez.” ~El ex presidente George W. Bush
Puedes usar herramientas gratuitas como ImageOptim para Macs o a través de servicios web para eliminar los metadatos de las fotos antes de publicarlas en línea. ImageOptim también tiene versiones alternativas de su herramienta disponibles para su uso en otras plataformas de sistemas operativos (OS) como FileOptimizer para Windows y Trimage para Linux. Te recomiendo encarecidamente que borres los datos EXIF de las fotos antes de publicarlas en línea, pero bueno, tú decides.
Piensa en la causa principal de por qué quieres compartir tu información personal en línea en primer lugar. ¿Este impulso de compartir realmente proviene de un deseo más profundo o vacío dentro de ti que quiere ser aceptado, ser popular o gustar? Te aseguro que las redes sociales no son tus amigas. Tampoco lo es Internet, si vamos al caso. No existen lugares “seguros” en línea. Cada sitio web a la vuelta de cada “esquina” está recolectando información sobre ti en forma de cookies. Quieren rastrear tus hábitos de navegación, monetizar los clics del ratón y venderte basura que nunca les pediste de anunciantes de los que tal vez nunca hayas oído hablar. Si te parece bien, entonces deja de leer y sigue adelante con otra cosa.
Sin embargo, si te molesta un poco el hecho de que tus datos privados de navegación e información personal se estén recopilando sin tu consentimiento y se vendan a agregadores de datos de terceros con fines de lucro, entonces tal vez sea hora de que empieces a reducir la cantidad de contenido que subes a Internet en primer lugar. Sin embargo, debes saber que probablemente hayas dado tu consentimiento para la recopilación y venta de, al menos, tus datos de navegación, aunque sea sin saberlo, ya que probablemente estén enterrados en el fondo de páginas y páginas de Términos de Uso y/o Política de Privacidad de los sitios web.
Tal vez sea un buen momento para volver a la línea de tiempo de tu FB, tus viejos Tweets, tus fotos de Instagram y Snapchat, y empezar a eliminar cualquier cosa que pueda ser usada en tu contra en cualquier momento. ¿Qué tal si también borras esa vieja cuenta de MySpace mientras estás en el tema? ¿Qué esperabas?, ¿que se hiciera popular de nuevo? Aquí está el porqué, porque si no lo haces ahora, sólo harás mucho más fácil el trabajo de otra persona. Alguien a quien ni siquiera conoces podría estar revisando tu perfil de Linkedin, tu línea de tiempo de Facebook y cualquier otra cosa que pueda averiguar sobre ti usando motores de búsqueda en línea como Spokeo. Podría ser un enemigo, un desamigo, un amigo, un ex-amante, un empleador actual, un empleador potencial de un trabajo al que has solicitado, un investigador de la policía, o una agencia del gobierno que está construyendo un expediente sobre ti debido a ese viejo Tweet que escribiste sobre cómo desearías que un camión atropellara a tu político menos favorito. El hecho es que no sabes quién está recopilando información sobre ti, así que tienes que tomar medidas preventivas. Si bien es cierto que lo que se pone en Internet está ahí para quedarse, estos son los pasos que puedes dar para hacer mucho más difícil que alguien te acose con éxito.
Si piensas que los empleadores del siglo XXI no hacen perfiles de los posibles candidatos a un puesto de trabajo buscando en Internet y, con toda seguridad, buscando tu nombre en las redes sociales para determinar si quieren o no invitarlos a una entrevista, entonces estás tristemente equivocado. Menos es más en línea. Recuerda, lo que se publica en línea, permanece en línea para siempre. Lo que significa que NUNCA desaparece, ¡nunca! En algún lugar se archiva, o alguien guardó una copia en su disco duro, hizo una captura de pantalla, o lo que sea. Si pudiste borrar tu información, confía en mí si te digo que no desaparece para siempre. No puedes verla por el momento porque la borraste o pediste que la eliminaran. Pero eso no significa necesariamente que no vaya a volver a aparecer. En serio, ¡deja de poner información personal en línea! Puedes agradecérmelo más tarde.
¡Hazte un favor y cállate en línea!
Sé que suena maleducado y era la idea que así fuera, pero no disminuye ni un poco la importancia de lo dicho. No te arrepentirás de haber borrado tu perfil de FB o tu cuenta de Google. No te arrepentirás de haber creado una cuenta de correo electrónico falsa que sólo usas para registrarte en cuentas de sitios web. Con un nombre falso, por supuesto.
Por el amor de Dios, deja de publicar todas esas fotos del pequeño Johnny y Suzie en la maldita Internet. Como han demostrado el escándalo de Facebook de Cambridge Analytica y muchas otras violaciones de datos o traiciones a la confianza de los usuarios, los niños de hoy en día son más propensos a que les roben sus identidades y les arruinen el crédito antes de cumplir los dieciocho años que cualquier otra generación anterior.
“Los padres/tutores legales deberían considerar seriamente congelar el crédito de sus hijos porque es una de las mejores medidas proactivas que pueden tomar para protegerlos. Es importante que los padres/tutores legales comprueben y se aseguren de que no hay ningún archivo de crédito ya asociado con la información de sus hijos. Los niños no deberían tener un informe de crédito, y si se descubre uno, los padres/tutores legales deberían contactar inmediatamente con la línea telefónica gratuita del Centro de Recursos para el Robo de Identidad para que les ayuden a reclamar la identidad de sus hijos: 888–400–5530.” ~Centro de Recursos para el Robo de Identidad
Deja de contar a todo el mundo cuándo y dónde vas a ir cuando viajas. Eso es lisa y llanamente pésima Seguridad Operacional (OpSec). Cuanto menos sepa la gente sobre tus planes de viaje, menos podrán dirigirse a ti o a tus seres queridos que pueden estar esperándote en casa. De nuevo, tengo que cuestionar desde el principio el sentido común de la gente que publica este tipo de información… ¿Quién te piensas que eres realmente? ¿Rihanna, Brad Pitt, JLo? En serio, a nadie le importa lo que estés haciendo o adónde vayas por adelantado. Supera tu ego ya. Publica los detalles y sanea (borra todos los metadatos EXIF) de las fotos solo cuando ya estés de vuelta de tu viaje.
Pruebas de ADN
Hay muchas formas diferentes de que tu ADN pueda acabar en una base de datos ADN pública. No hagas de las pruebas voluntarias de ADN una de ellas. Esta es una de las formas en que la privacidad de los datos falla si alguna vez has pagado voluntariamente para enviar tu ADN para que sea verificado por compañías como la respaldada por Google “23andMe” o “Ancestry[dot]com”. ¿Cómo puedes estar seguro de que la compañía a la que le hiciste la prueba de ADN no venderá tu información genética a tu proveedor de seguro médico? He ahí una catástrofe esperando a suceder en caso de que eso ocurra. ¿No crees que los proveedores de seguros de salud se mueren de ganas de comprar o acceder a esta información genética? En mi opinión, seríamos tontos si no sospecháramos eso.
¿Te imaginas que te denieguen la cobertura de un procedimiento basado en el análisis de tu proveedor de seguro médico que determinó que genéticamente, sólo vivirás hasta los 56 años aproximadamente? “Lo siento, pero le vamos a negar la cirugía de reemplazo de corazón. No vale la pena el costo ya que según nuestros cálculos usted se va a morir a la edad de 56 años de insuficiencia cardíaca congestiva de todos modos. Es más barato dejarlo morir por causas naturales.”
¿Qué hay de los proveedores de seguros de vida? Sabes que quieren más que nadie esa información genética, a pesar de que tú pagues el seguro. ¿Qué hay de las investigaciones policiales? ¿Has oído hablar de los casos sin resolver? Estamos viendo cada vez más casos en los que la policía es capaz de resolver los misterios de los casos que están cerrados hace décadas con el ADN dado voluntariamente a las compañías de genealogía. Recuerda que la policía y el gobierno pueden solicitar esa información. Ahora, esperemos que nunca hayas estado involucrado en ningún crimen serio, pero sigue siendo un riesgo importante para la privacidad de los datos.
Tácticas, técnicas y procedimientos de privacidad destacados
Freenet
Cuando la gente piensa en la navegación anónima, especialmente en la Red Oscura, piensa en Tor. Sin embargo, hay otras alternativas como I2P y el Proyecto Freenet.
Freenet es un software gratuito que permite compartir archivos de forma anónima, navegar y publicar “freesites” (sitios web a los que sólo se puede acceder a través de Freenet) y chatear en foros, sin temor a la censura. Freenet está descentralizado para que sea menos vulnerable a los ataques, y si se utiliza en modo “oscuro”, en el que los usuarios sólo se conectan con sus amigos, es muy difícil de detectar.
Las comunicaciones de los nodos de Freenet están encriptadas y se enrutan a través de otros nodos, lo que dificulta enormemente la determinación de quién solicita la información y cuál es su contenido.
Los usuarios contribuyen a la red dando ancho de banda y una porción de su disco duro (llamado “almacén de datos”) para almacenar archivos. Los archivos se guardan o se eliminan automáticamente según su popularidad, y los menos populares se descartan para dar paso a contenidos más nuevos o más populares. Los archivos están encriptados, por lo que generalmente el usuario no puede descubrir fácilmente lo que hay en su almacén de datos, y es de esperar que no se le pueda responsabilizar por ello. Los foros de chat, los sitios web y la funcionalidad de búsqueda, están todos construidos sobre este almacén de datos distribuido.
*Nota: Aquí es donde discrepo de Freenet, sin embargo, “…es de esperar que no se se le pueda responsabilizar de ello [por los datos de otra persona]” que se almacenan en el disco duro de su ordenador. Incluso si están encriptados y sólo se almacenan temporalmente, todavía puede conducir a graves consecuencias con impactos que alteran la vida. ¿Cómo le explica a los agentes del FBI que irrumpieron en su puerta con una orden de registro que las imágenes y videos ilegales no son suyos? ¿Es realmente tan ingenuo como para pensar que a un fiscal o un juez le va a importar la sutil complejidad de la función de intercambio de datos descentralizados y distribuidos de Freenet, en la que se le pide que renuncie a una parte del disco duro de su ordenador para almacenar los datos de otras personas? ¿No aceptó las condiciones de uso de Freenet y descargó el software bajo su propio riesgo? Para mí, el riesgo no vale la pena. No puedo ser responsable de lo que otros descarguen y almacenen en sus sistemas y que luego se transfiera al disco duro de mi ordenador. Cifrado o no, sigue siendo un riesgo.
I2P
I2P se parece mucho a Tor y actualmente se encuentra en la versión 0.9.37. Piensa en ella como “una red anónima superpuesta — una red dentro de una red. Está pensada para proteger las comunicaciónes de la vigilancia por arrastre y del monitoreo por parte de terceros como los ISPs. I2P es usado por muchas personas que se preocupan por su privacidad: activistas, personas oprimidas, periodistas y denunciantes, así como la persona promedio. Ninguna red puede ser “perfectamente anónima”. El objetivo continuo de I2P es hacer que los ataques sean cada vez más difíciles de montar. Su anonimato se fortalecerá a medida que el tamaño de la red aumente y a través de la continua supervisión académica. I2P está disponible en ordenadores de sobremesa, sistemas integrados (como el Raspberry Pi) y teléfonos Android”.
Si no eres un fan de Tor, podrías considerar probar I2P. Además, como he dicho anteriormente, hay mucha más información bajo la superficie de la Web, mucha de la cual no es accesible desde los motores de búsqueda de Google o sin algún tipo de tecnología de navegación anónima como Tor o I2P. La Web Profunda suele tener un acceso controlado mediante suscripciones de pago a repositorios periódicos como los que ofrecen las universidades (por ejemplo, LexisNexis para la investigación periodística legal; o ProQuest que ofrece contenido de tecnología de la información). Parte de la Red Profunda está estrechamente controlada por organizaciones o empresas, como en el caso de los registros médicos, los documentos jurídicos, los registros financieros, etc.
La web oscura, sin embargo, es otra historia. Si planeas navegar por la Red Oscura, ten mucho cuidado. Aquí es donde algunos de los peores ciberdelincuentes se sienten como en casa. La Red Oscura es el sórdido punto débil de Internet, accede a ella a tu propio riesgo. Aquí es donde el contenido ilegal y los servicios ocultos son los que pueden ser atractivos para algunos. Sin embargo, también es donde las fuerzas del orden y los investigadores de seguridad tratan de monitorear lo que está pasando.
Tema destacado: Privacidad de los datos
La atención de esta entrega sobre un tema candente de privacidad de datos hace foco en las empresas de servicios de telefonía celular (por ejemplo, AT&T, Verizon, Sprint). Ten en cuenta que estas compañías están vendiendo los datos de geolocalización de tu teléfono a cualquiera que esté dispuesto a pagar unos pocos cientos de dólares. Aunque esto puede ser alarmante, no es sorprendente en lo más mínimo. Las compañías de telefonía celular tienen una larga tradición de ser las empresas más astutas y sombrías.
Lamentablemente, si tienes un teléfono celular, y estadísticamente es casi seguro que lo tengas, no hay casi nada que puedas hacer para protegerte contra esto, a menos que tomes medidas drásticas a diario. Por medidas drásticas, quiero decir quitar la tarjeta SIM y la batería del celular cuando no lo estás usando. O bien haces eso o pones el teléfono en una bolsa de Faraday para que ninguna señal de radiofrecuencia pueda alcanzarlo o escapar de él hacia las torres de telefonía celular cercanas. Estos son los únicos métodos que podrías usar para protegerte de ser rastreado en tiempo real a través de la señal de tu teléfono.
Seguridad de baja tecnología: Consejo de evasión y anonimato
En lugar de proporcionar tu dirección de correo electrónico real para servicios o personas que no quieres volver a oír, utiliza una dirección de correo electrónico falsa de Maildrop. Siempre que servicios como Netflix o Hulu ofrecen períodos de prueba gratuitos y limitados, puedes seguir usando una dirección de correo electrónico falsa tras otra para mantener las cosas gratis durante un tiempo. Ese es un consejo de hacker con el que puedes jugar. Por supuesto, la razón principal para usar una dirección de correo electrónico falsa o al menos una dirección de correo electrónico distinta de tu dirección principal es que casi todos los sitios web requieren ahora que crees una cuenta para acceder a su contenido. Por supuesto, parte del registro del sitio web requiere que proporciones un nombre y una dirección de correo electrónico. No hay nada que requiera que estos sean tu nombre y dirección de correo electrónico reales. Para ambos, debes usar un nombre falso o un seudónimo CADA JODIDA MOMENTO, a menos que quieras que se conozca tu verdadero nombre y estés dispuesto a recibir cantidades impías de spam.
Eso es todo por esta edición de “Cómo ser Virtualmente Imposible de Rastrear”, amigos. Espero sinceramente que hayan disfrutado de la lectura de mi contenido. Si lo hicieron, por favor, tengan la cortesía de aplaudir, retuitear o votar el artículo para hacerme saber que alguien lo disfrutó. Hasta la próxima, y recuerden este mantra para aquellos que buscan ser virtualmente irrastreables:
***No confíes en nadie. Verifica todo. No dejes ningún rastro.***
Additional Privacy Resources
z3r0trust Privacy Newsletters: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, #4–20, #5–20, #6–20, #32–20, #33–20, #8–20, #9–20, 16, 17, 45–20, 46–20, 47–20, 48–20, #1–21, #2–21, #3–21, #6–21
*Privacy-related articles also published by the author can be found here.
Other helpful privacy info: EFFector | Atlas of Surveillance | Privacy Tools | IAPP | ACLU | PogoWasRight.org | DataBreaches.net
