Sobre seguridad y privacidad en Internet
INTRODUCCIÓN
Este es un tema mucho más importante de lo que la gente en general se piensa.
La privacidad es una de las cosas mas importantes para el ser humano.
Si tienes alguna duda, o si eres de aquellos que piensan “a mí no me afecta, porque no tengo nada que esconder…” recomendamos, y pensamos que será vital para todos, que veas esta conferencia (20:37 en inglés y con subtítulos) o leas la transcripción de la misma escogiendo el idioma: Porqué importa la privacidad.
Después de leer o ver esta conferencia puedes seguir leyendo este artículo.
Lo que ocurre con Internet es que la gente no llega a ser consciente de que todo lo que hace delante de un ordenador conectado a la red está siendo almacenado y utilizado para una vigilancia masiva. Pero, al igual que el avestruz al esconder la cabeza bajo tierra, al no tener físicamente en frente a aquellos que nos vigilan, tenemos dificultades en ser conscientes de que estamos siendo vigilados. Para complementar esta conferencia, sugerimos también el visionado de esta otra más corta (09:32) en castellano de Marta Peirano:
Softonic explica cómo eliminar nuestros datos de Google a través de nuestra cuenta de Google.
Pero lo que no dice, es que aunque los eliminemos de nuestra cuenta, nuestros datos seguirán sin borrar en los servidores de Google. Y que a través de Google, Facebook, Gmail, Yahoo, Whatsapp, Twitter, Paltalk, AOL, Skype, YouTube, Apple, es decir, todos los servicios asociados a Google y Microsoft, hacen una recopilación sistemática de todos los datos recogidos que, junto con los datos capturados y almacenados por sofisticados sistemas de rastreo en EEUU, son compartidos con las principales agencias de inteligencia del mundo, no sólo con la NSA y la CIA.
Esto significa que, una vez los datos han sido recopilados o capturados, ya no se puede hacer nada para sacarlos de la red. En cambio, lo que sí se puede hacer, es prevenir males mayores defendiendo nuestra seguridad y privacidad desde el principio, tanto de los datos como de las comunicaciones.
Hay que tener en cuenta que nuestros hábitos en Internet y telefonía móvil, no los hemos adquirido por propia elección y con consentimiento informado, nos los han ido embuchando, poco a poco, sin que nos demos ni cuenta. Ha sido un proceso gradual en el que nos hemos visto sometidos durante el último par de décadas. Pero, una vez conscientes de la forma en que hemos ido perdiendo nuestra privacidad, incluso nuestra intimidad, no podemos pretender recuperarla de golpe sin dejar de utilizar la tecnología con la que, bien podemos decir, nos han llevado al huerto.
Entonces ¿cómo lo podemos hacer? Pues poco a poco y sin agobiarnos. Lo lógico es que vayamos cambiando algunas herramientas, incorporando de nuevas y modificar paulatinamente algunos de nuestros hábitos en nuestro proceder diario con Internet (Redes sociales, correo electrónico, navegación, etc.).
Tenemos pues ante nosotros dos objetivos que se complementan:
- Aumentar en lo que podamos nuestro nivel personal de privacidad y seguridad en la red.
- Dificultar la vigilancia masiva. Empezando por dejar de entregar voluntariamente todo lo que hacemos y pensamos a través de las redes sociales de pescar información.
Vamos a empezar pues con lo que menos nos costará hacer y lo que más beneficios nos reportará. Y, en ese orden, os exponemos algunas ideas básicas a poner en práctica:
REDES SOCIALES
Lo primero a tratar aquí no es un cambio de herramientas, sino un cambio fundamental de hábitos.
Son redes de pescar información y una de las herramientas más potentes de vigilancia masiva. Son totalmente innecesarias para nosotros y deberíamos prescindir de ellas. Teniendo en cuanta que, todo lo que ahí hayamos metido, ahí se quedará para siempre.
¡HAY QUE DEJAR DE UTILIZARLAS!
ALTERNATIVA AL WHATSAPP
Telegram
Sólo implica cambio de hábitos en cuanto que vamos a dejar de comunicarnos por este medio con la gente que utiliza Whatsapp, convirtiéndonos en promotores de Telegram y la defensa de la privacidad.
Ademas de ser un medio seguro y de confianza, la funcionalidad de la aplicación le da vueltas al Whatsapp.
Pero hay quienes no acaban de fiarse del todo de Telegram porque, aún conociendo el fuerte cifrado que utilizan para proteger nuestra información y las buenas intenciones de sus creadores, Telegram sí que podría tener acceso a nuestra información almacenada en sus servidores.
Pero hay una forma de utilizar Telegram que lo convierte en un medio blindado para nuestras comunicaciones. Se trata de mandar los mensajes como secretos (el Chat secreto), con posibilidad de poner fecha de caducidad al mensaje.
En este caso, lo que hace Telegram es dirigir el mensaje, por supuesto cifrado, directamente del teléfono del remitente al del destinatario, sin que pase por sus servidores ni quede registro alguno de ello. Y, si el mensaje incorpora fecha de caducidad, se autodestruye en dicha fecha en los dos teléfonos, el del remitente y el del destinatario. También utiliza programación de código abierto.
EL CORREO ELECTRÓNICO
Ha llegado el momento de cerrar todas las cuentas de Google y dejar de utilizar Gmail, Yahoo, etc. Esto representa un ligero cambio de hábitos, muy ligero. Porque vamos a pasar de tener almacenado todo el correo de nuestra vida en estos servidores de correo, a disponer de un espacio limitado de archivo de correos en el servidor. Pero, en cuanto a privacidad, los beneficios son monumentales, un correo electrónico seguro y tan fácil de manejar como Gmail y compañía:
ProtonMail
ProtonMail representa una verdadera revolución en el correo electrónico. Si todos quienes usan Gmail lo cerrasen y se abriesen una cuenta en ProtonMail, habríamos avanzado un montón en proteger nuestra privacidad. ProtonMail ha desarrollado un sistema con el que ni ellos mismos pueden acceder a nuestra información, aunque quisieran no podrían hacerlo. Y por supuesto utilizan programación de código abierto.
El conjunto de servidores se encuentra en Suiza, cuya jurisdicción lo hace todo más fácil. Pero, incluso llegado el caso de que hubiera una razón legal por la cual se produjera un requerimiento judicial solicitando los datos e información de un usuario, ProtonMail no podría entregar dicha información por no tener acceso a ella. Veamos la sencillez de su funcionamiento para el usuario.
Las comunicaciones entre usuarios de ProtonMail son cifradas por defecto. Esto significa que el usuario no tiene que hacer nada especial, sólo enviar y recibir correos.
En cambio las comunicaciones de Gmail (por poner un ejemplo) a ProtonMail NO ESTARÁN CIFRADAS. Pero los correos de ProtonMail hacia Gmail, si se desea podrán ser cifrados con una contraseña compartida creada por el usuario de ProtonMail. Esta contraseña deberá ser comunicada al usuario de Gmail, receptor del correo, a través de un medio seguro y de confianza. Ya sea presencialmente, por teléfono o por Telegram (pero nunca por Whatsapp, Skype o cualquier otro medio bajo el control de Google y Microsoft).
El ingenio tecnológico para conseguir esto, da muestras de una creatividad digna de ser admirada por aquellos usuarios avanzados que tengáis curiosidad.
De momento ProtonMail sólo está disponible a través de la web. Están trabajando para poder ofrecer también el servicio a través del POP e IMAP.
EL BUSCADOR
Dejar de hacer búsquedas con el Google.
Esto no representa ningún cambio de hábitos. Los mejores buscadores en cuanto a privacidad son StartPage y DuckDuckGo. Estos buscadores no comparten tu IP con nadie.
EL NAVEGADOR
Alternativas al Google Chrome:
TOR
Es la opción más segura de todas. Basado en la versión de Firefox 52.2.0 y desarrollado para convertirse en el mejor navegador en cuanto a seguridad. Utiliza la red de anonimato TOR para mantener el anonimato de nuestra identidad, escondiendo la IP, así como otros datos sensibles para identificarnos, y protegiendo los datos en circulación.
Como veréis a continuación, para disfrutar de la seguridad que nos ofrece, es desaconsejable tocar la configuración de TOR, o añadir complementos. Hemos traducido del inglés la siguiente información de cómo utilizarlo:
Necesitas cambiar algunos de tus hábitos, ya que algunas cosas no funcionarán exactamente como solían.
- Utilizar el navegador Tor. Cuando lo ejecutes Tor no protege todo el tráfico de Internet del ordenador. Tor sólo protege tus aplicaciones que están configuradas correctamente para enviar su tráfico de Internet a través de Tor. Para evitar problemas con la configuración de Tor, te recomendamos que utilices el navegador Tor. Está preconfigurado para proteger tu privacidad y anonimato en la web, siempre que estés navegando con el propio navegador Tor. Casi cualquier otra configuración de este navegador web es probable que no sea segura para utilizar con la red de Tor.
- No utilizar torrente sobre Tor. Se ha observado que las aplicaciones de reparto de archivos de Torrent ignoran la configuración de proxy y hacen conexiones directas, incluso cuando se les dice que utilicen Tor. Incluso si tu aplicación torrent sólo se conecta a través de Tor, a menudo enviará tu dirección IP real a la solicitud GET del seguidor, porque así funcionan los torrents. No sólo desanonimiza el tráfico de torrents y tu otro tráfico web de Tor simultáneamente, sino que también reduce la velocidad de la red Tor para todos.
- No activar ni instalar los conectores del navegador. El navegador Tor bloqueará los conectores del navegador como Flash, RealPlayer, Quicktime y otros: éstos se pueden manipular para revelar tu dirección IP. Del mismo modo, no recomendamos instalar extensiones o plugins adicionales en el navegador Tor, ya que éstos pueden evitar la red Tor o comprometer tu anonimato y privacidad.
- Utilizar versiones HTTPS de sitios web. Tor cifrará tu tráfico en la red Tor y dentro de ella, pero el cifrado de tu tráfico al sitio web de destino final dependerá de este sitio web. Para ayudar a garantizar el cifrado privado a los sitios web, el navegador Tor incluye HTTPS Everywhere para forzar el uso del cifrado HTTPS con los sitios web más importantes que lo admiten. Sin embargo, deberías mirar la barra de la URL del navegador para asegurarte de que en los sitios web en los que proporcionas información confidencial, aparezca un botón azul o verde en la barra de la URL, que incluya https:// en la URL, y que muestre el nombre esperado adecuado para el sitio web. Examina también la página interactiva de EFF que explica cómo se relacionan Tor y HTTPS.
- No abrir documentos descargados a través de Tor mientras se está en línea.
Tor Browser te avisará antes de abrir automáticamente los documentos que son manejados por aplicaciones externas. NO IGNORES ESTA ADVERTENCIA. - Debes tener mucho cuidado al descargar documentos a través de Tor (especialmente los archivos DOC y PDF, a menos que utilices el visor de PDF incorporado en Tor Browser) ya que estos documentos pueden contener recursos de Internet que se descargarán fuera de Tor por la aplicación que los abre. Esto revelaría tu dirección IP, no Tor. Si tienes que trabajar con archivos DOC y/o PDF, te recomendamos que utilices un ordenador desconectado de la red, o que descargues la VirtualBox gratuita y la utilices como una imagen de máquina virtual con la red deshabilitada o utilizando Tails. Bajo ninguna circunstancia es seguro utilizar BitTorrent y Tor juntos.
- Usar puentes y/o encontrar compañía.
Tor intenta evitar que los atacantes aprendan qué sitios web de destino se conectan. Sin embargo, de forma predeterminada, no impide que alguien que esté viendo tu tráfico de Internet pueda saber que estás usando Tor. Si esto es importante para ti, puedes reducir este riesgo al configurar Tor para que utilice un relé de puente de Tor en lugar de conectarse directamente a la red Tor pública. En última instancia, la mejor protección es un enfoque social: cuanto más usuarios de Tor haya cerca de ti y más diversos sean sus intereses, menos peligroso será para ti. Y también, convence a otras personas para usar Tor!
Sé inteligente y aprende más. Comprende lo que Tor hace y no ofrece.
Esta lista de trampas no está completa, y necesitamos tu ayuda para identificar y documentar todos los problemas.
Firefox
Puede ser interesante utilizar los dos navegadores, Firefox y Tor, según las necesidades. Utilizando Firefox para navegaciones menos comprometidas, en el sentido de que no estemos persiguiendo el objetivo de esconder la IP y mantener nuestro anonimato (entrar en el banco, entrar en Hacienda, páginas oficiales…).
La forma más segura de navegar con Firefox es abriendo una nueva ventana de navegación privada, accesible a través del menú desplegable superior derecho, y con la protección contra rastreo activada (cuando se abre la ventana aparece la opción de desactivarla) .
Pero todavía se puede mejorar la privacidad en la navegación con estas tres extensiones que se pueden descargar e instalar desde el menú complementos de Firefox (Estos complementos ni hacen falta, ni es recomendable instalarlos en el navegador TOR):
uBlock Origin
Bloquea ventanas emergentes con publicidad… etc.
Por fin, un bloqueador eficiente con un uso mínimo de procesador y memoria. Un bloqueador eficiente: con bajo consumo de memoria y CPU, es capaz de cargar y aplicar miles de filtros más, en comparación con otros bloqueadores populares.
Ejemplo con imágenes ilustrando su eficiencia (en inglés):
https://github.com/gorhill/uBlock/wiki/uBlock-vs.-ABP:-efficiency-compared
https://github.com/gorhill/uBlock/wiki/uBlock-vs.-ABP:-efficiency-compared
Uso: El botón grande de apagado/encendido en la ventana de la aplicación, es para desactivar/activar uBlock permanentemente en el sitio web actual. Sólo se aplica al sitio web actual, no activa o desactiva la extensión de forma general.
NoScript
Herramienta imprescindible para controlar, en cada página visitada, qué Scripts vamos a permitir que se ejecuten y cuáles no.
Protección extra para su Firefox: NoScript sólo permite JavaScript, Java y otros plugins en los sitios web de confianza que Ud. elija (como la web de su banco).
Este planteamiento preventivo basado en una lista blanca evita que se puedan explotar vulnerabilidades (conocidas o incluso desconocidas) sin pérdida de funcionalidad… Los expertos lo confirmarán: Firefox es realmente más seguro con NoScript
Extensión sencilla que hace de Firefox un puente para usuarios censurados en países con regímenes opresivos. Instalar este complemento permite que su navegador se convierta en un puente para los usuarios de Internet censurados. No requiere ningún conocimiento y funciona fuera de la caja.
El icono de la extensión suele estar coloreado en verde.
Significa que todo está funcionando y que ahora está esperando a que la gente censurada acceda a ella. Cyan significa que alguien lo está usando en este momento. Si se produjo un error, se vuelve rojo. En ese caso, reiniciar el navegador podría ayudar.
Si está utilizando otros complementos, como NoScript o Política de solicitud, asegúrese de habilitar JavaScript https://fp-facilitator.org/ y http://crypto.stanford.edu/flashproxy/
Ah, y si te preocupa ejecutar esto en tu navegador: Es sólo un punto de entrada. Usted no enviará la solicitud a sitios web aleatorios, sólo permitirá que las personas accedan a la red Tor. Un relé de salida se encargará de eso.
El bug tracker y el código fuente se pueden acceder a través de GitHub.
Más información sobre la tecnología detrás de ella se puede encontrar en el sitio web de Flashproxy.
EL SISTEMA OPERATIVO
Dejar de utilizar Microsoft y su software. Esto es de vital importancia y, si no lo hemos puesto en primer lugar, es sólo porque sabemos que a mucha gente un cambio de sistema operativo se le hace una montaña. Pero en realidad no lo es. Y actualmente apenas representa un cambio de hábito para el usuario, especialmente si instalamos el Linux Mint.
LINUX
Utilizar Linux y software libre. La privacidad empieza por el sistema operativo. Hay muchas distribuciones de Linux: Linux Mint y Ubuntu son las más populares. Tanto el sistema operativo como el software incluido es gratuito y mantenido por la comunidad. Instalar programas es de lo más fácil. Hay un buscador de programas integrado que los presenta y los instala con sólo un clic.
CONTRASEÑAS
Las contraseñas deben ser lo suficientemente robustas para cumplir bien con su cometido. Hay que utilizar letras mayúsculas, minúsculas, números y caracteres especiales (como + – * / ç ñ ).
NUNCA utilizar una misma contraseña para TODO. Si alguien tuviera acceso a ella, tendría acceso a TODO. Hay que utilizar una contraseña diferente para cada caso. Esto plantea el problema de recordar tantas contraseñas. La solución es crear un documento de texto, hoja de cálculo, base de datos, lo que uno prefiera, con todas las contraseñas guardadas. Cada ficha, por así decirlo, debe contener como mínimo tres campos: Página web o dominio, Usuario y Contraseña. Por supuesto este documento debe estar protegido con una contraseña fácil de recordar.
Pero esto no es suficiente. Este documento no debe estar nunca guardado en un ordenador, disco duro o dispositivo que esté conectado a Internet, ni que sea temporalmente. Este documento nunca debe estar en contacto directo con Internet.
¿Cómo asegurarnos de mantener nuestra información sensible a salvo?
Todos tenemos cierta información que no quisiéramos por nada en el mundo que alguien accediera a la misma. Por ejemplo, el documento del apartado anterior con todas nuestras contraseñas. Y cualquier otro documento que queramos mantener protegido con la máxima seguridad: Contabilidad, diario personal, proyectos, documentos personales como DNI, Seguridad Social, Declaración de Renta, Certificados electrónicos… etc.
Esta información deberemos guardarla en un 2 dispositivos extraibles, las memoria USB nos sirven a la perfección. La segunda memoria será la copia de seguridad de la primera y, para distinguirlas visualmente, sería recomendable que fuera de otro color. Y, si queremos minimizar el riesgo de perder esta información, no estaría de más disponer de una segunda copia de seguridad.
Por supuesto, no hay que utilizar ninguna “nube”, esto sería exponer la información a un riesgo que queremos evitar.
Procedimiento del uso de nuestra información sensible:
Vamos a explicar como operar tomando el ejemplo del documento con las contraseñas guardadas.
Cada vez que creamos una contraseña nueva para un nuevo uso:
- Anotarla temporalmente en un papel.
- Después de terminar lo que estemos haciendo, desconectar el ordenador de Internet y conectar los dos dispositivos, el 1 (maestro) y el 2 (seguridad).
- Abrir el documento de las contraseñas y añadir la nueva.
- Cerrar el documento y destruir el papel donde habíamos anotado la contraseña.
- Hacer la copia de seguridad (siempre del dispositivo 1 al 2).
- Opcionalmente hacer una segunda copia a un dispositivo 3, por ejemplo semanalmente.
- Nunca abrir un documento en los dispositivos 2 o 3.
- Desconectar los dispositivos.
- Restablecer la conexión a Internet.
Cada vez que necesitamos consultar una contraseña guardada:
- Desconectar el ordenador de Internet.
- Conectar el dispositivo 1 (maestro).
- Abrir el documento y hacer la consulta.
- Si es necesario disponer de los datos estando conectados a Internet, hacer una copia de esos datos y dejarlos en otro documento en el escritorio.
- Desconectar el dispositivo 1 (maestro).
- Conectarse a Internet haciendo uso de los datos que hemos dejado en el escritorio.
- Al terminar borrar el documento del escritorio con un programa que sobrescriba la información en el disco duro (Ver el siguiente apartado).
Destruir información confidencial del disco duro
Como muchos usuarios sabrán, cuando se borran datos del disco duro, estos datos siguen estando en el disco duro aunque hayamos vaciado la papelera y ya no aparezcan a la vista. Y seguirán estando hasta que el ordenador utilice ese espacio del disco para escribir nuevos datos.
Para evitar que alguien pueda acceder a estos datos utilizando programas para encontrar información borrada, debemos utilizar algún programa que sirva para borrar información del disco sobrescribiendo la misma, como por ejemplo:
BleachBit
Uso básico para destruir información:
En el menú superior seleccionar Archivos y luego seleccionar Triturar Archivos o Triturar carpetas, según necesidades. Y proceder seleccionando la información a destruir.
Una última recomendación
Ser prudentes con el uso de la información y de los datos. Y, si quieres asegurarte al 100% de que la privacidad está garantizada, entonces no utilices ni Internet ni el teléfono. La comunicación presencial es la más segura, seguida a una cierta distancia del correo postal.