Contenido
Introducción
En el vasto entorno digital, cada interacción es una oportunidad de compartir o acceder a información. Sin embargo, no toda información tiene el mismo grado de relevancia o sensibilidad según nuestro contexto. Los datos sensibles, por su naturaleza o contenido, requieren de un cuidado especial para evitar daños directos o indirectos. Es crucial adoptar medidas adecuadas para resguardar nuestra información, adecuándonos a cada situación que enfrentamos.
Esta guía se diseñó como una herramienta para entender y actuar sobre la protección de la información. Abordaremos desde los conceptos básicos, pasando por la identificación y manejo de información sensible, hasta cómo actuar ante diferentes escenarios y planificar los siguientes pasos en nuestra estrategia de seguridad digital.
¿Por qué es importante?
Te presentamos algunos datos para dimensionar la relevancia de la seguridad de la información para activistas, periodistas y personas defensoras de derechos humanos.
-
- Protección de fuentes y colaboradores: Es vital para resguardar la identidad y la seguridad de las fuentes de información y colaboradores. Según el Comité para la Protección de Periodistas (CPJ), la exposición de fuentes puede tener consecuencias graves, desde represalias hasta violencia física, lo que subraya la necesidad de salvaguardar su identidad. Un ejemplo destacado es el de Reality Winner, una contratista de la NSA, quien fue arrestada en 2017 después de que un medio de comunicación informara sobre una filtración de documentos clasificados; el medio permitió ver indicios en torno a la impresión de los mismos que condujo a la identificación de la contratista.
- Integridad de la información: Activistas y periodistas manejan información crítica que, si se ve comprometida, puede tener un impacto negativo en la precisión y confiabilidad de su trabajo. El acceso no autorizado a los sistemas y la manipulación de datos pueden socavar la integridad de la información. Por ejemplo, durante las elecciones de Estados Unidos en 2016, los correos electrónicos del Comité Nacional Demócrata fueron filtrados en línea. La manipulación de estos datos afectó la integridad del proceso electoral y resalta la importancia de proteger la información sensible.
- Resistencia al espionaje y vigilancia: La seguridad digital ayuda a resistir la vigilancia y el espionaje, que son amenazas comunes para personas defensoras de derechos humanos. Según Amnistía Internacional, gobiernos y actores maliciosos a menudo utilizan técnicas de vigilancia para monitorear a activistas y periodistas, lo que subraya la importancia de medidas de seguridad sólidas. Edward Snowden, el excontratista de la NSA1, reveló la extensa vigilancia gubernamental a nivel global.
Conceptos básicos
Antes de responder esta pregunta, es necesario considerar tres temas: datos y metadatos, estados de la información, e identificación de la información a proteger.
Datos y metadatos
Imagina que tienes una botella de jugo. El contenido de la botella, es decir, el jugo en sí, es similar a lo que llamamos datos. Son en esencia la información principal que deseamos consumir, proteger o compartir. Ahora, piensa en la etiqueta de información nutricional y la fecha de caducidad del jugo. Esta información adicional que te dice más sobre el jugo, pero no es el jugo en sí mismo, se asemeja a lo que denominamos metadatos. Con esto en mente, podemos definir de forma general ambos términos.
Datos: Son la información principal. En el mundo digital, esto podría ser el cuerpo de un correo electrónico, una fotografía, un documento o una grabación de voz.
Metadatos: Son datos sobre datos. Usando el ejemplo del correo electrónico, los metadatos serían el asunto, la fecha y hora de envío, el remitente, el destinatario y el tamaño del correo, entre otros. No te dicen exactamente lo que el mensaje contiene, pero sí ofrecen información sobre el mensaje.
¿Por qué es importante saber la diferencia? En el contexto de la seguridad digital, a veces los metadatos pueden revelar tanto o incluso más que los datos mismos. Por ejemplo, aunque no leas el contenido de un mensaje, saber que una persona envió correos electrónicos a un abogado especializado en disputa de territorio varias veces en una semana puede darte una idea de lo que está pasando en su vida.
¿En qué estado se encuentra la información?
Al igual que un libro puede estar en un estante o siendo leído, nuestra información tiene distintas etapas: puede estar en reposo, en tránsito o en uso. Entender estos estados es esencial para protegerla adecuadamente.
Información en reposo: Por un lado, puede estar en reposo local. Piensa en un diario que guardas en un cajón de tu escritorio. Esa es la información en reposo en tu dispositivo (celular, usb, etc.). No se está moviendo ni compartiendo; simplemente está almacenada y espera ser usada. Por otro lado, puede estar en reposo en la nube. Si decides almacenar tu diario en una biblioteca privada especial, aunque no está en tu hogar, sigue siendo tu diario y puedes acceder a él cuando quieras. Eso es guardar información en la nube.
Información en transmisión: Imagina que decides enviar tu diario por correo a un amigo. Mientras viaja de tu casa a la de tu amigo, el diario está «en tránsito». Similarmente, en el ámbito digital, cuando envías un correo o compartes una foto, esa información está viajando y, por lo tanto, en tránsito. Sí, incluso cuando abres una página web, la información de esa web viaja hasta tu dispositivo.
Información en uso: Si decides compartir una página de tu diario en un blog o en redes sociales, estás haciendo pública una parte de tu diario. En términos digitales, la información «en uso» es cuando estás mostrando, procesando o trabajando activamente con tus datos.
Puedes profundizar más en estos conceptos en nuestra
El Cifrado
El cifrado es una de las medidas más robustas para la seguridad de la información. Al cifrar, se transforman la información legible en un «texto cifrado» que es ilegible y requiere una “clave” para descifrarlo. Todo este proceso utiliza algoritmos matemáticos muy complejos; sin embargo, es semejante a mezclar un Cubo Rubik: el texto cifrado es el Cubo Rubik completamente revuelto, pero la «clave» actúa como las instrucciones para resolver el Cubo Rubik, logrando revertir el texto cifrado a su formato original legible. Este proceso asegura la confidencialidad tanto de la información en tránsito como en reposo. En tránsito se protegen los datos transmitidos a través de una red (como Internet). En reposo, resguarda los datos almacenados en dispositivos, impidiendo el acceso no autorizado a la información, incluso si el dispositivo es robado.
Si deseas entender mejor el cifrado, te recomendamos consultar nuestra
¿Cómo podemos identificar la información a proteger?
Aunque el tema de clasificar e identificar la información a proteger la hemos abordado en profundidad en nuestra Guía de Introducción a la Seguridad Digital –de nuevo, te recomendamos consultarla, cof cof!–, te dejamos una versión más concisa.
Pública: Información accesible a cualquier persona. Ejemplo: la dirección de correo de la organización o el nombre de una persona. Generalmente, esta información no conlleva grandes riesgos, así que es importante solo compartir lo que no pueda causarnos daño.
Privada: Información que requiere un control selectivo sobre quién tiene acceso y quién puede modificarla, para mantener nuestra autonomía y seguridad. Aunque compartir esta información con ciertas personas es necesario, un manejo inadecuado podría causar daño.
Sensible: Aquella información que, si se expone, tendría graves consecuencias. Debemos ser muy cuidadosos con su acceso y edición, dándole la máxima protección posible. Te en cuenta que es posible que cierta información pública adquiera el carácter de “sensible” en determinadas circunstancias.
¿Qué riesgos y amenazas acechan las comunicaciones?
Lo primero que tenemos que preguntarnos cuando reflexionamos sobre seguridad de la información es ¿de qué queremos proteger qué? o, dicho de otra manera, según mis actividades y el tipo de información que manejo cotidianamente, ¿qué riesgos tiene esta información? y ¿cuáles son las amenazas para esa información? Cada persona tendrá un perfil de riesgo distinto. Antes de adoptar todas las medidas de seguridad posibles, te recomendamos hacer una evaluación de riesgos para identificar en dónde será prioritario aplicar medidas.
¿A qué tipos de ataques digitales son susceptibles las comunicaciones?
En SocialTIC, ofrecemos una tipología de ataques digitales que se dividen en vulneraciones técnicas y vulneraciones por conducta humana. Esta tipología sirve como punto de entrada para reconocer y describir los tipos de ataques digitales relevantes para activistas, personas defensoras de derechos humanos y periodistas.
Los ataques más relevantes para la seguridad de la información incluyen: dentro de las técnicas el daño o pérdida del dispositivo, el acceso no autorizado, phishing, la intervención de dispositivos y la intervención de líneas de comunicación. En cuanto a conducta humana, se dividen en directas como la extorsión, e indirectas tales como doxing, suplantación y robo de identidad, y vigilancia.
Para más detalles sobre estos ataques, te invitamos a revisar nuestras guías de:
¿Cómo proteger información sensible?
Una vez que conocemos nuestro perfil de riesgo y los ataques a los que somos vulnerables, es momento de decidir qué medidas de seguridad aplicar para prevenir, mitigar y controlar el riesgo de dichos ataques. No podemos cubrir todos los escenarios posibles, así que habrá escenarios con medidas específicas y, si existiesen, con herramientas específicas también.
Higiene digital
La higiene digital se refiere a las prácticas y hábitos que los individuos deben adoptar para mantener un entorno digital seguro y protegido. Es un pilar fundamental para la seguridad digital de la información, ya que las prácticas adecuadas de higiene digital minimizan los riesgos de exposición y compromiso de datos sensibles. La higiene digital y la seguridad digital de la información están intrínsecamente entrelazadas, siendo la primera un paso esencial para asegurar la segunda.
Compartimentaliza2
-
- Separar tu almacenamiento en la nube en cuentas para diferentes ámbitos. Es recomendable al menos separar lo personal de lo laboral o, si es el caso, lo personal de las actividades de activismo o defensoría de derechos.
- Controla info en medios como USB, CD o SD porque se pierden fácil y otros podrían acceder a ellos.
Permisos
-
- Revisa accesos en la nube: quién puede ver, modificar o distribuir. Sabrás quién accede a tus datos y evitarás divulgaciones no deseadas.
Limpieza
-
- Elimina información sensible que no uses. Usa borrado seguro3 si la info no está cifrada.
Respaldos
-
- Sigue la regla 3-2-1: Haz 3 copias de tu info: dos locales (en diferentes dispositivos) y una en la nube. Así previenes pérdidas por fallos o accidentes.
- Cifra la info sensible en respaldos para proteger tus datos, si alguien accede a tus copias.
- Verifica tus respaldos para que estén al día y completos. Así te aseguras de recuperar lo esencial cuando lo necesites.
Cifrado
Como mencionamos, el cifrado transforma la información a un “texto cifrado” que es ilegible para quienes no poseen la clave adecuada. Mencionamos que se puede cifrar la información tanto en tránsito como en reposo, evitando accesos no autorizados y garantizando que solo las partes autorizadas puedan leerla. Aunque hay muchas maneras de resolver el cómo hacerlo, es importante adoptar adoptar las siguientes medidas:
Información en reposo: dispositivos
-
- Cifra tu equipo de cómputo. Esto crea una barrera digital que impide que personas no autorizadas accedan a tu información, incluso si tienen tu dispositivo en sus manos.
- Cifra dispositivos como discos duros, USB o SD. Si estos dispositivos se pierden o son robados, el cifrado evita que alguien pueda acceder a tus datos sin la contraseña correcta.
- Cifra archivos individuales con información muy sensible. Aunque alguien logre entrar a tu dispositivo, esta capa adicional de protección asegura que no pueda leer la información contenida en esos archivos específicos sin la clave de cifrado.
Información en reposo: la nube
-
- Encripta los archivos sensibles antes de subirlos a servicios comunes como Google Drive o Microsoft Onedrive utilizando herramientas como Cryptomator. Esto crea una capa adicional de protección para tu información en caso de que alguien obtenga acceso a tu cuenta de almacenamiento, ya que no podrán leer directamente los datos.
- Considera usar servicios de nube especializados con cifrado de extremo a extremo. Estos servicios mantienen tu información oculta incluso ante el proveedor del servicio. Sin embargo, esto no necesariamente protege contra accesos no autorizados.
Protección de cuentas en línea con información sensible
La protección de cuentas en línea que albergan información sensible es crucial para evitar accesos no autorizados y posibles daños. Una estrategia robusta incluye la utilización de contraseñas fuertes y únicas, la activación de la autenticación de dos factores (2FA), y la revisión periódica de los ajustes de seguridad y privacidad. Además, es importante estar atentos a cualquier actividad sospechosa. Te presentamos una serie de recomendaciones en mayor detalle:
Adopta buenas prácticas con tus contraseñas
-
- Longitud Mínima de 16 Caracteres. Esto aumenta la complejidad y dificulta los intentos de adivinación o ataques de fuerza bruta.4
- Uso de frases aleatorias. Crea frases que se compongan de 4 a 6 palabras aleatorias5, añade algunos números y mayúsculas y sustituye los espacios entre las palabras por símbolos. Si utilizas palabras medio inventadas, mejor aún, ya que esto añade un nivel extra de dificultad para adivinar o descifrar la contraseña, pues no se encuentran en diccionarios. Algunos ejemplos seguros (¡No uses estos ejemplos! Son solo ilustrativos):
- Santa_Frio_7Ser_Pientes
- Murciégalos+Hantónimos=3Murcielónimos
- Renueva anualmente tus contraseñas. Esto reduce el riesgo a largo plazo, en caso de que una contraseña se haya visto comprometida sin tu conocimiento.
- Mantén tus contraseñas privadas y si necesitas compartirlas, utiliza canales y herramientas seguras.
- Usa un gestor de contraseñas para resguardarlas en un lugar seguro y crear contraseñas robustas sin tener que recordarlas todas.
Se precavido con tus contraseñas
Evita pistas obvias. No utilices pistas de contraseña que faciliten a un adversario adivinar o probar múltiples contraseñas hasta dar con la correcta.
-
- Cuidado con las preguntas de seguridad:
- Trátalas como contraseñas, pues a menudo pueden usarse como sustituto de tu contraseña en caso de que la olvides o pierdas. En ese caso, cumplen la función de la contraseña: permitir el acceso a tu cuenta.
- Evita preguntas de seguridad predecibles (como el nombre de tu primera mascota) ya que para un adversario podría ser más fácil responder estas preguntas que adivinar tu contraseña.
- Evita que las preguntas entre tus cuentas sean las mismas.
- Verifica la fortaleza de tus contraseñas. Utiliza las herramientas especializadas que recomendamos para verificarlo. Hemos escogido estas herramientas con mucha cautela; la idea es que tus contraseñas tarden siglos en ser descifradas con la tecnología disponible en el momento.
- Revisa frecuentemente las filtraciones de datos: Evalúa que tus contraseñas y otros datos no se hayan filtrado en Internet debido a alguna brecha en las cuentas que usas, y si encuentras una cuenta tuya comprometida, cambia la contraseña de inmediato. Dependiendo de tu gestor de contraseñas, podrías recibir informes automáticos sobre la seguridad de estas.
- Cuidado con las preguntas de seguridad:
Evita las malas prácticas con contraseñas
-
- Evita reutilizar las contraseñas para minimizar el riesgo de compromiso en múltiples servicios en caso de una brecha de seguridad o incidente.
- Excluye información personal identificable o deducible en tus contraseñas, ya que esto podría facilitar la tarea de los atacantes que tienen conocimiento sobre ti.
- Almacenarlas en un lugar seguro. No guardes tus contraseñas en lugares como post-its, hojas de cálculo o libretas; en su lugar, utiliza gestores de contraseñas seguros que cifren tu información.
- Evita usar patrones predecibles en contraseñas, ya que los atacantes pueden identificarlos fácilmente. Un patrón muy conocido para cumplir con los requerimientos de seguridad de las contraseñas es del tipo: Contraseña123!. El patrón es sencillo: iniciar con una mayúscula, seguir con algunas minúsculas, incluir un número al final y terminar con un símbolo. Si tus contraseñas son así, nuestra recomendación es cambiarlas pronto
Adopta la Autenticación de Dos Factores
Esta tecnología añade un segundo nivel de seguridad a tus cuentas. Tras ingresar tu email y contraseña, se te solicitará un código, el cual es aleatorio. En 2FA Directory puedes buscar si las cuentas que usas tienen esta opción. Te recomendamos activarla al menos en:
-
- Aplicaciones de mensajería instantánea
- Redes sociales
- Correo electrónico
- Almacenamiento en la nube
Por otra parte, hay varias formas de recibir el código: (a) SMS o llamada telefónica, no recomendados por la posibilidad de interceptación relativamente fácil; (b) correo electrónico, aunque mejor que los SMS, pueden ser interceptados o comprometidos más fácilmente que otros métodos de 2FA; (c) a través de una aplicación dedicada o llave física es nuestra mayor recomendación, pues no requieren acceso a Internet, no revelan información personal y ofrecen protección superior ante phishing.
-
- Resguarda bien tus códigos de recuperación en un lugar seguro y accesible solo para ti, ya que pueden ser vitales si pierdes acceso a tu método de 2FA. Estos códigos son tu salvavidas en caso de que tu dispositivo de 2FA se pierda o se dañe, permitiéndote acceder a tus cuentas y actualizar tus opciones de 2FA.
Información en transmisión
Utiliza canales seguros
-
- Usa correo cifrado al enviar información sensible que deseas conservar registrada. Esta práctica asegura que solo el destinatario pueda leer el contenido.
- Opta por chats seguros y enfocados en privacidad para enviar información sensible sin dejar registro. Es una forma rápida y eficaz de comunicarse sin dejar huella.
- Considera servicios gratuitos con cifrado de extremo a extremo que no almacenen los datos en la nube. Esto garantiza la seguridad de tus datos sin comprometer espacio en almacenamientos externos.
- Si lo requieres, comparte una contraseña a través de chats seguros y elimínalos una vez leídos por el destinatario. Alternativamente, puedes usar servicios específicos para compartir contraseñas. Estos métodos reducen la probabilidad de exposición y uso indebido de tus contraseñas.
- Al usar servicios web, verifica que la URL inicie con HTTPS://, la ‘S’ es esencial porque indica que la conexión es segura. Si tu navegador advierte sobre un sitio inseguro, es recomendable evitarlo para proteger tus datos.
Usa mensajería efímera
-
- Si no necesitas conservar registro de información sensible enviada, opta por mensajes efímeros que se autoeliminan tras ciertos periodos de tiempo. Esto minimiza el riesgo, asegurando que solo la información más reciente quede expuesta ante un incidente.
Ante el phishing
El phishing es uno de los ataques más comunes y efectivos hacia las cuentas en línea, incluídas cuentas para comunicación. Este ataque permite robar información que puede ser utilizada para accesos no autorizados, como usuarios, contraseñas o datos de recuperación como las preguntas de seguridad.
-
- Sospecha de cualquier mensaje inesperados o que despierte cualquier sentido de urgencia (promociones o que supuestamente hay un problema de seguridad con alguna de tus cuentas)
- No reacciones. Al evitar hacer clic en enlaces o descargar adjuntos, reduces el riesgo de caer en trampas de phishing.
- Verifica. Puedes comunicarte a través de otro canal con la plataforma, servicio, o persona para verificar la información que te llegó proviene de la fuente real.
- Nunca entregues tus contraseñas, códigos de verificación o datos personales. Los agentes legítimos de soporte nunca te pedirán contraseñas o códigos de verificación, ya que poseen los medios necesarios para resolver problemas sin necesidad de esta información.
¿Qué hago en caso de…?
Ninguna medida es infalible. Siempre existen posibilidades de incidentes de seguridad que podrían resultar en accesos no autorizados a tus servicios de comunicación en línea, como chats, videollamadas y correos. Por ende, es esencial saber cómo actuar en caso de una situación así. A continuación, te ofrecemos una guía sobre cómo proceder si aún tienes acceso a tus servicios o si ya no lo posees:
Si aún tienes acceso al servicio de comunicación:
-
- Cambia la contraseña: Hacerlo inmediatamente ayuda a bloquear el acceso continuo del intruso.
- Revisa la actividad: Te permitirá identificar acciones sospechosas y entender la magnitud del acceso no autorizado.
- Activa o reconfigura la Autenticación de Dos Factores (2FA): Establece una nueva capa de seguridad, asegurando que solo tú puedas acceder.
- Verifica las configuraciones: Asegúrate de que tu información de contacto no haya sido modificada.
- Cierra sesiones abiertas: Protege tu información al desconectar al intruso.
- Informa a la plataforma: Tu reporte puede ayudar a tomar medidas y proteger a otros usuarios.
Si no tienes acceso al servicio de comunicación:
-
- Recuperación de la cuenta: Sigue el procedimiento establecido para intentar retomar el control.
- Contacta con soporte: Pueden ofrecerte asistencia para resolver el problema.
- Documenta: Conserva evidencias del acceso no autorizado; serán útiles para referencias futuras o reportes.
- Notifica a tus contactos: Evita posibles fraudes y protege a tus contactos informándoles de la situación.
- Monitorea otras cuentas: Ayuda a prevenir accesos no autorizados en otras plataformas, sobre todo si usas información similar en diferentes sitios.
Adicionalmente, si has sido blanco de hostigamiento, amenazas, acoso, entre otros, puedes solicitar ayuda a la plataforma y denunciar a los responsables. También te recomendamos comunicarte con el equipo de seguridad de SocialTIC para orientación y asistencia. Nuestro contacto:
Siguientes pasos
Para continuar fortaleciendo tu seguridad digital, es crucial contar con las herramientas adecuadas que te ayuden a proteger los diferentes ámbitos críticos. Te invitamos a consultar nuestra Lista curada de herramientas recomendadas. Aquí encontrarás un conjunto de herramientas categorizadas por cada ámbito de seguridad digital que deseamos resguardar.
Además, es fundamental estar preparado para responder de manera efectiva ante cualquier incidente de seguridad que pueda presentarse, ya que ninguna medida es infalible. Te recomendamos consultar nuestra Guía sobre respuesta a incidentes, la cual te proporcionará un marco de trabajo y estrategias prácticas para actuar de manera informada y oportuna en caso de una brecha de seguridad o cualquier otro incidente. Esta preparación es un complemento esencial a las medidas preventivas, permitiéndote actuar con rapidez y eficacia para mitigar los impactos y volver a tus actividades lo antes posible.
Este material ha sido posible gracias al apoyo del pueblo de los Estados Unidos de América a través de la Agencia de los Estados Unidos para el Desarrollo Internacional (USAID). El contenido de este material es responsabilidad única de SocialTIC y no refleja necesariamente los puntos de vista de USAID o los del Gobierno de los Estados Unidos.
- La NSA es la Agencia de Seguridad Nacional de los Estados Unidos (en inglés: National Security Agency). La NSA es una agencia de inteligencia y seguridad nacional del gobierno de los Estados Unidos encargada de la recopilación, análisis y protección de información relacionada con la seguridad nacional y la inteligencia electrónica. Esta agencia se dedica a la vigilancia y la recopilación de señales de comunicaciones electrónicas, como llamadas telefónicas y comunicaciones en línea, con el objetivo de obtener información relevante para la seguridad del país. La NSA ha sido objeto de atención y controversia debido a sus programas de vigilancia masiva y su papel en la recopilación de datos en línea.
- El concepto se refiere al hábito de tener separados en “compartimentos” las actividades, dispositivos e información. Un ejemplo es tener un dispositivo (cuenta personal o persona usuaria en un dispositivo) para el trabajo y otro para actividades personales.
- Es como triturar un papel importantísimo en la vida real. En lugar de simplemente tirar un archivo a la basura de tu computadora, lo «despedazas» digitalmente para que nadie pueda volver a armarlo o leerlo. ¡Es una limpieza total Esto es vital porque garantiza que tus archivos eliminados no puedan ser recuperados ni espiados por otros.
- La longitud de una contraseña es más determinante para su fortaleza que la complejidad debido al aumento exponencial de posibilidades que introduce. Por ejemplo, una contraseña de 12 caracteres tiene muchas más combinaciones posibles que una de 6 caracteres, incluso si la más corta utiliza una mezcla de tipos de caracteres. Los atacantes a menudo utilizan ataques de fuerza bruta o diccionarios de contraseñas comunes, y una contraseña más larga requiere más tiempo y recursos para ser adivinada en estos escenarios.
- Utilizar palabras aleatorias en un «passphrase» (frase de contraseña) ayuda a crear una contraseña fuerte y difícil de adivinar. Los atacantes a menudo utilizan diccionarios de palabras comunes, nombres, fechas importantes, etc., en sus intentos de adivinación. Una combinación aleatoria de palabras, especialmente si incluyen letras mayúsculas y minúsculas, números y símbolos, proporciona una mayor complejidad y resistencia frente a estos métodos de ataque, haciendo que la adivinación o el desciframiento sean significativamente más difíciles.