Contenido
Introducción
Garantizar la seguridad de nuestras comunicaciones es especialmente importante para individuos y grupos activistas, en la defensa de los derechos humanos, periodismo y organizaciones de la sociedad civil, ya que a menudo utilizan información sensible. Esto implica adoptar estrategias, herramientas y prácticas que protejan la información intercambiada en la red, para prevenir riesgos y mitigar impactos si algún aspecto de la comunicación se ve comprometido.
Mantener seguras nuestras comunicaciones en línea y el intercambio de archivos digitales significa que sólo las personas deseadas pueden acceder al contenido y a los datos asociados a un mensaje; teniendo en cuenta que medios comunes como las llamadas telefónicas, los mensajes SMS y los correos electrónicos carecen de cifrado por diseño, siendo así canales potencialmente vulnerables.
Ante este escenario, el cifrado funciona como una barrera contra las intrusiones, transformando nuestras comunicaciones en ilegibles para cualquier actor no autorizado. Las técnicas de cifrado varían en eficacia y es esencial elegir de forma informada las más adecuadas según nuestras necesidades. Por ello, en esta guía buscamos fortalecer la comprensión y aplicación de prácticas seguras en comunicación digital.
¿Por qué es importante?
Para ilustrar la trascendencia de la seguridad digital en nuestras comunicaciones, compartimos ejemplos y datos que evidencian cómo la información y medidas pueden ser un salvavidas:
-
- Aplicaciones de uso cotidiano no incluyen aspectos de seguridad por diseño. Algunos ejemplos: Facebook Messenger no tenía cifrado de extremo a extremo (E2EE) por defecto sino hasta 2023; lo mismo para los mensajes directos en X (Twitter). Además, algunas aplicaciones de citas, como Bumble, no implementa cifrado de la mensajería.
- La implementación del cifrado en tránsito, aunque protege las comunicaciones mientras viajan, permite que los datos almacenados en los servidores de la compañía sean visibles para quienes lo administran (y quienes tengan acceso a esos). Esto aplica para el correo electrónico común. Una de las consecuencias de esto se relaciona con este caso: Facebook entregó chat de joven que abortó en EE. UU. que sirvió para incriminarla.
- En ocasiones la implementación insuficiente de mecanismos de seguridad por parte de los proveedores puede derivar en una filtración de datos que incluya todos nuestros mensajes. ¿Qué implica esto? Que entre otros datos, los chats estarían expuestos en Internet. Algunos ejemplos de mensajes privados expuestos: Gab (2021), Liker (2021), The Kodi Foundation (2023) y Lawyers Order of Rome (2019).
Conceptos básicos
Cifrado
El cifrado funciona como un cerrojo que mantiene segura nuestra información en espacios digitales. Cuando ciframos un mensaje, lo que hacemos es «bloquearlo», transformándolo en un texto ilegible para cualquiera que lo vea, excepto para quienes tienen la «llave» para descifrarlo.
Para visualizarlo, imagina que tienes un Cubo Rubik resuelto, con todos sus colores en su lugar. Ese cubo representa un mensaje claro y legible. Ahora, cuando ciframos este mensaje, es como si mezcláramos ese Cubo Rubik. Los colores (la información) se revuelven y se tornan difíciles de interpretar.
La persona a la que le envías el mensaje cifrado tiene una guía para resolver ese Cubo Rubik mezclado. Esas instrucciones son la «clave de cifrado». Solo con esas instrucciones, o clave, la persona destinataria puede reorganizar el cubo (descifrar el mensaje) y acceder a su contenido original. Por lo tanto, si alguien más intenta interceptar tu Cubo Rubik en su estado mezclado y no tiene la guía correcta, le será difícil descifrar el mensaje.
Tipos de cifrado y su uso cotidiano
Cifrado simétrico: Aquí, emisor y receptor usan la misma clave. Imagina un candado con una única llave que tanto tú como otra persona poseen. Ambas personas pueden cerrar y abrir el candado con esa misma llave.
Cifrado asimétrico: En este caso, hay dos claves. Una «clave pública» para cerrar (o cifrar) la información y una «clave privada» para abrirla (descifrarla). Es como si la otra persona tuviera una llave especial solo para cerrar un candado y tú tuvieras la única llave para abrirlo.
Usamos cifrado a diario, muchas veces sin darnos cuenta.
-
- Mensajes: Aplicaciones de mensajería como WhatsApp usan cifrado de extremo a extremo, esto quiere decir que solo tú y tu contacto pueden leer lo que se envía en sus dispositivos.
- Correo: Herramientas como PGP cifran emails, permitiendo que sólo quien posea la clave pueda leerlos.
- Almacenamiento: Podemos cifrar discos duros o memorias USB. Así, si alguien se apodera de ellos, no podrá acceder a la información sin la clave.
Gestor de correo electrónico
Un gestor de correo electrónico permite manejar correos electrónicos desde una aplicación en una computadora o dispositivo móvil. Con un gestor de correo electrónico, puedes enviar, recibir, organizar (por ejemplo, en carpetas o etiquetas) y almacenar mensajes de correo electrónico. Algunos gestores de correo electrónico ofrecen características de seguridad integradas o permiten la integración con tecnologías de cifrado como PGP, lo que puede ayudar a proteger la privacidad y la seguridad de las comunicaciones.
Canales de comunicación y sus consideraciones
Correo electrónico: Orientado a la comunicación asíncrona, típicamente formal, facilita el rastreo de información, acuerdos y mantiene un historial de las comunicaciones. Esta tecnología surge alrededor de 1970, por lo cual los protocolos de comunicación de correo electrónico no fueron diseñados para la privacidad y seguridad. No obstante, es posible implementar el cifrado de extremo a extremo en el contenido de los correos mediante tecnologías como PGP o utilizando servicios seguros como Tutanota o ProtonMail.
Para adoptar medidas que aseguren las comunicaciones es necesario distinguir: (a) servicios de correo electrónico común, (b) Correo electrónico común adicionado con cifrado PGP, (c) servicios de correo electrónico diseñados para la privacidad y, (e) servicios de correo electrónico desechable.
- Correo electrónico común: En estos tipos de correos, la información solo está cifrada en tránsito, significa que no tienen cifrado de extremo a extremo. Los correos llegan a un servidor donde reposan sin cifrado y, por tanto, serían visibles para el personal autorizado del proveedor del servicio. Es notable que el cifrado en tránsito no es tan robusto como se desearía en el manejo de información sensible. Ejemplos populares de estos servicios son Gmail, Yahoo y Outlook (Hotmail).
- Correo electrónico común + cifrado PGP: Si queremos transmitir información sensible a través del correo electrónico común, necesitaremos implementar manualmente el cifrado PGP. Se puede hacer: mediante un gestor de correo electrónico o mediante una extensión para el navegador web.
Recomendamos consultar estas guías de cómo implementar PGP: - Correo electrónico diseñado para la privacidad: Estos servicios cifran automáticamente la información de extremo a extremo (usualmente con PGP) y operan bajo un modelo de cero conocimiento, evitando que el proveedor acceda a tu cuenta si la pierdes.
⚠️ NOTA IMPORTANTE
- Los correos entre cuentas (direcciones de correo electrónico) del mismo proveedor están siempre cifrados.
- No están cifrados por defecto al enviar a otros proveedores; por ejemplo, a Gmail (salvo que ambos usen PGP y compartan llaves públicas).
- Algunos proveedores permiten enviar correos cifrados mediante un enlace que reemplaza el contenido del correo.
-
- Correo electrónico desechable: Son correos de uso breve, ideales para probar servicios sin comprometer tu información. Algunos también permiten enviar correos, ofreciendo un nivel de anonimato. Sin embargo, sugerimos tener precaución al utilizarlos, ya que muchos de estos servicios en línea pueden comprometer tu privacidad de diversas maneras; por ejemplo:
- Rastreo de datos: almacenamiento de datos de uso e IP.
- Falta de cifrado: mensajes pueden ser interceptados fácilmente.
- Políticas de privacidad débiles: potencial de compartir datos con terceros.
- Retención de datos: mensajes no siempre son eliminados definitivamente.
- Servicios malintencionados: riesgo de ser víctima de spam o estafas.
- Correo electrónico desechable: Son correos de uso breve, ideales para probar servicios sin comprometer tu información. Algunos también permiten enviar correos, ofreciendo un nivel de anonimato. Sin embargo, sugerimos tener precaución al utilizarlos, ya que muchos de estos servicios en línea pueden comprometer tu privacidad de diversas maneras; por ejemplo:
Mensajería instantánea: Las aplicaciones de mensajería instantánea están diseñadas para facilitar conversaciones rápidas, generalmente de naturaleza informal. Ofrecen comunicación en tiempo real, lo que es útil para la coordinación operativa y el seguimiento de acuerdos a corto plazo. No están diseñadas para mantener un registro duradero y sus protocolos de seguridad varían ampliamente; algunas ofrecen privacidad robusta, mientras que otras pueden ser inseguras.
Llamadas y videollamadas a través servicios por Internet: Están pensadas para conversaciones en tiempo real, resultando apropiados para eventos y conferencias o conversaciones. Por lo general no conservan registro y tienden a ser efímeras. Los protocolos varían, pero continuamente se han adoptado protocolos de seguridad en estos canales, encontrando servicios pensados para la privacidad y seguridad.
Mensajería de texto SMS y llamadas por línea telefónica: Son canales antiguos con baja seguridad, por lo que recomendamos evitar su uso para información sensible. Resultan viables únicamente en contextos donde otros canales son imposibles (por ejemplo, por falta de conexión a Internet).
Proxy
Imagina que quieres enviar una carta, pero no quieres que la persona a quien se la envías sepa que proviene de ti. En lugar de enviarla directamente, se la das a alguien de confianza para que la entregue en tu nombre. De esta manera, la otra persona recibirá la carta, pero no sabrá directamente que tú la enviaste.
En Internet, un proxy actúa como ese intermediario, «tunelizando» tus solicitudes en línea y enviándolas por ti, ocultando tu dirección IP original. Hay muchos tipos de proxy, pero en contextos de seguridad digital preferimos dos: las VPN y los MPR.
VPN (Virtual Private Network o Red Privada Virtual): Una VPN es como un túnel seguro y privado en una carretera muy transitada. Imagina que quieres viajar de un punto A a un punto B sin ser visto. Usas un túnel especial que te permite moverte de manera segura y privada, sin que nadie más en la carretera sepa por dónde vas. Las VPNs «tunelizan» todo tu tráfico de Internet, cifrándolo para que tu actividad en línea sea privada y segura.
PR (Multi-Party Relays): Siguiendo con la idea del túnel, un MPR sería como tener varios túneles interconectados con varias salidas. En lugar de ir directamente de un punto A a un punto B, viajas a través de varios puntos intermedios antes de llegar a tu destino final. Esto maximiza la privacidad ya que es aún más difícil rastrear tu ruta original. Los MPR están diseñados con la privacidad en su arquitectura misma, lo que significa que no solo esconden tu ubicación, sino que están construidos desde cero para proteger tu identidad en línea.
¿Qué riesgos y amenazas acechan las comunicaciones?
Cuando reflexionamos sobre la seguridad de las comunicaciones, nos preguntamos: ¿de qué la quiero proteger? o, dicho de otra manera, según mis actividades y el tipo de información sensible que manejo, ¿a qué amenazas están expuestas? y ¿qué canales de comunicación debo priorizar?
Cada persona tendrá un perfil de riesgo distinto. Antes de adoptar todas las medidas de seguridad posibles, te recomendamos hacer una evaluación de riesgos para identificar en dónde será prioritario aplicar medidas.
¿A qué tipos de ataques digitales son susceptibles las comunicaciones?
Es necesario reconocer los ataques a los cuáles son susceptibles mis comunicaciones en línea. En Protege.la, el programa de seguridad de SocialTIC, contamos con una tipología de ataques digitales.
Esta tipología sirve como punto de entrada para reconocer y describir los tipos de ataques digitales relevantes para activistas, personas defensoras de derechos humanos y periodistas. La tipología se divide en: vulneraciones técnicas y vulneraciones mediante conducta humana. Esta última se divide, a su vez, en dos categorías: indirectas y directas.
Los principales tipos de ataques técnicos que pueden afectar las comunicaciones son la intervención de comunicaciones, el acceso no autorizado y la intervención de dispositivos.
Además, también son vulnerables a los siguientes ataques mediante conducta humana, que pueden ser de dos tipos, directos o indirectos. Los directos son el acoso, las amenazas, el hostigamiento y la extorsión. Los indirectos son la vigilancia y la suplantación o robo de identidad.
⚠️ NOTA IMPORTANTE
Ten en cuenta que, dependiendo del servicio de comunicación que adoptes, este puede recopilar metadatos. Aunque no pueda acceder a tus mensajes, puede analizar información asociada a estos, resultando en algunos casos reveladora (este sería el caso de WhatsApp, por ejemplo).
Por otra parte, algunas aplicaciones de teclado para celular pueden registrar y enviar por Internet lo que tecleas o guardar información localmente, lo cual puede ser un riesgo para la privacidad.
¿Cómo proteger nuestras comunicaciones?
Higiene digital
La higiene digital se refiere a las prácticas y hábitos que adoptamos para mantener un entorno seguro y saludable en el espacio digital.
Sugerimos llevar a cabo estas medidas con apoyo técnico, desde el área de seguridad digital de SocialTIC, podemos apoyarte. Escríbenos a seguridad@socialtic.org.
Compartimentaliza
-
- Separa cuentas o servicios de correo y mensajería, al menos teniendo cuentas diferentes para lo laboral y lo personal. Esto ayuda a que en caso de un incidente o ataque digital, solo se comprometa información de cierto ámbito o compartimento.
- Separa los números de celular de trabajo y personal.
- Procura usar alias diferentes entre las distintas plataformas, esto dificulta que adversarios puedan recopilar información tuya de diferentes fuentes con tan solo buscarte en diferentes plataformas con el mismo dato. Esta medida ayuda a protegerte del doxing y la vigilancia.
Limpieza regular
-
- Limpia regularmente el correo electrónico (y la papelera) con el fin de que la información que ya no requiere conservarse no se vea afectada en caso de un incidente.
Gestionar la identidad 1
-
- Utiliza alias o máscaras de email. Esto ayuda a reducir la exposición de la dirección de correo electrónico principal, minimizando los riesgos asociados con el spam, el phishing y el doxing.
- Usa direcciones de correo desechables. Son útiles para realizar acciones en línea que requieren una dirección de correo electrónico pero que no son críticas, como registrarse en una nueva plataforma para probarla.
- Evitar vincular cuentas pre-existentes. Esto ayuda a mantener separados los perfiles y las actividades en línea, reduciendo el riesgo de un compromiso en cadena donde el acceso no autorizado a una cuenta podría llevar a un acceso no autorizado a otras cuentas vinculadas o a su información.
Ante ataques técnicos
Ante las amenazas de origen técnico, adoptar medidas de seguridad nos ayuda a proteger nuestra información y garantizar una comunicación segura, lo cual nos permitirá navegar e interactuar en línea con mayor confianza y resguardo.
Ante la intervención de comunicaciones
-
- Adopta el cifrado de extremo a extremo. Esto asegura que la información transmitida sea únicamente legible por la persona remitente y la destinataria, incluso si el proveedor del servicio o cualquier posible atacante accediera a ella e intentara leerla.
- Usa PGP en las comunicaciones por correo electrónico. Es la implementación del cifrado para los correos electrónicos, consiguiendo un cifrado de extremo a extremo en el contenido del correo. Si deseas una implementación manual de PGP te sugerimos dos guías: Tutorial Thunderbird + GPG/PGP y PGP o cómo cifrar correos electrónicos.
- Conserva en un lugar seguro las llaves públicas y privadas PGP1 para el cifrado de correo electrónico. Esto es similar al resguardo de contraseñas: son totalmente privadas.
- Evitar la conexión a redes públicas o desconocidas, puesto que no podemos asegurar que no haya un atacante en la red o que esté apropiadamente configurada su seguridad. Si fuese necesario hacerlo, es clave adoptar el siguiente punto.
- Usa un servicio proxy para tunelizar la conexión a la red. Esto protege toda la información transmitida hacia internet, además de simular que proviene desde otra localización física. Se pueden conseguir distintos niveles de seguridad dependiendo del protocolo de tunelización, entre ellos las VPN o los MPR como Tor2, Lokinet3 o SPN4.
Ante la intervención de dispositivos
-
- Utiliza software original y de fuentes confiables, manteniéndolo actualizado frecuentemente, para evitar programas espías, infecciones en el dispositivo y asegurar que no esté alterado maliciosamente, además de recibir mejoras que aborden problemas de seguridad anteriores.
- Usa antivirus/antimalware para protegerte de intentos de infección.
Ante el acceso no autorizado
Para reducir el potencial daño:
-
- Utiliza mensajes y correos efímeros que se borren automáticamente, reduciendo el riesgo de exposición de historial de conversación ante accesos no autorizados.
- Activa el autoborrado de la papelera en el correo electrónico para que los correos eliminados se vuelvan irrecuperables tras un periodo determinado.
- Evita la sincronización de mensajes antiguos en nuevos dispositivos para prevenir la exposición de conversaciones previas si alguien accede a tu aplicación de chat.
- Establece un PIN para proteger selectivamente ciertos chats en las aplicaciones que lo permitan.
- Oculta el contenido de los mensajes en la pantalla de bloqueo, evitando que se puedan leer los mensajes recibidos sin desbloquear el dispositivo.
- Fortalece el proceso de autenticación:
Puedes profundizar las recomendaciones de autenticación en:
-
- Establece una contraseña robusta como primera línea de defensa.
- Activa la autenticación de doble factor como protección adicional en caso de compromiso de la contraseña.
- Bloquea las apps usando un PIN o datos biométricos para dificultar el acceso a ellas.
- Genera y guarda códigos de recuperación para regresar el acceso a tu cuenta en línea si pierdes el acceso a tu método de autenticación en dos pasos.
Ante ataques de conducta humana
Protege tus datos de contacto
-
- Utiliza alias en correo electrónico y mensajería instantánea para dificultar que te localicen y ataquen en diferentes plataformas o cuentas. Los beneficio son:
- (a) tener alias para diferentes propósitos,
- (b) proteger tu identidad ante ciertos servicios o contactos,
- (c) redirigir rápidamente nuevos correos a otra dirección si la principal es comprometida,
- (d) controlar qué correos deseas recibir, y
- (e) reducir el impacto de una brecha de seguridad protegiendo tu identidad.
- Opta por ocultar tu número de contacto para evitar que quienes chatean contigo lo conozcan y se comuniquen por otros medios.
- Utiliza alias en correo electrónico y mensajería instantánea para dificultar que te localicen y ataquen en diferentes plataformas o cuentas. Los beneficio son:
Ante la vigilancia
-
- Deshabilita el estado en línea para evitar que otros sepan cuándo estás activo.
- Desactiva la confirmación de mensajes leídos o vistos.
- Deshabilita la visibilidad de tu última conexión para ocultar la fecha aproximada de tu actividad reciente.
- Gestiona el control de acceso a grupos para prevenir la entrada de contactos intrusos.
- Oculta tus datos de contacto y localización en la medida de lo posible.
- Limita la visibilidad de tus cuentas en diversos servicios reduciendo la información pública disponible en tus perfiles.
Ante el robo de identidad
-
- Activa la verificación de dos pasos para registrar nuevos dispositivos en servicios de mensajería instantánea.
- Verifica contactos y habilita la notificación de cambio de código de verificación para confirmar la identidad de tus contactos y estar al tanto si cambian de dispositivo o reinstalan la aplicación.
¿Qué herramientas NO protegen nuestras comunicaciones?
Servicios de mensajería que nunca debes usar para información sensible: Facebook Messenger, Twitter DM, Mastodon DM, Mensajería de aplicaciones de citas, Telegram y WhatsApp.
Razones para no recomendar Telegram5
Telegram, promocionada como aplicación segura, ha enfrentado críticas debido a su versión personalizada de cifrado, considerada inadecuada. Además, el cifrado de extremo a extremo no está activado por defecto, solo en «chats secretos», lo que puede confundir a los las personas usuarias sobre la seguridad de sus comunicaciones. La jurisdicción legal de Telegram es incierta, lo cual podría representar riesgos legales. Y aunque Telegram afirma ser transparente, ha entregado datos privados a terceros mediante órdenes judiciales.
Razones para no recomendar WhatsApp6
Primero, pertenece a Meta, una empresa conocida por recolectar y analizar grandes cantidades de datos de usuarios para publicidad y otros fines, lo que puede resultar en una falta de privacidad. Aunque WhatsApp ofrece cifrado de extremo a extremo, la empresa matriz tiene acceso a metadatos, como quién se comunica con quién, cuándo y con qué frecuencia, lo que puede revelar patrones de comunicación importantes. Además, ha habido informes de vulnerabilidades de seguridad que pueden ser explotadas para infiltrarse en los chats privados o instalar malware. Los cambios en las políticas de privacidad de WhatsApp, que pueden permitir una mayor integración con otros servicios de Facebook y compartir más datos, también han sido una fuente de preocupación. Por último, WhatsApp no es una plataforma de código abierto, lo que significa que no puede ser auditada de forma independiente para verificar su seguridad y privacidad.
¿Qué hacer en caso de…?
Si enfrentas ataques de conducta humana como acoso, hostigamientos, amenazas o extorsión, sugerimos:
- Documentar: Toma capturas de pantalla y registra detalles de los incidentes maliciosos, incluyendo fecha, hora y medio por el cual se recibió.
- Preservar la evidencia: Guarda copias de los mensajes, correos electrónicos o registros de llamadas en un lugar seguro y fuera de línea si es posible.
- Reportar: Reporta los incidentes a las plataformas de redes sociales o proveedores de servicios de comunicación implicados.
- Bloquear y eliminar a los agresores de tus cuentas y canales de comunicación.
- Revisar configuraciones de privacidad para controlar quién puede ver o interactuar con tu perfil y contenido, esto puede reducir la exposición a posibles agresores y protege tu información personal.
- Buscar asesoramiento legal y técnico: Consulta con organizaciones y personas especialistas en seguridad digital y considera obtener asesoramiento legal, especialmente si las amenazas o el acoso tienen un carácter grave.
Desde el área de seguridad de SocialTIC podemos apoyarte y referirte con otras especialistas, escríbenos a seguridad@socialtic.org
Siguientes pasos
Para continuar fortaleciendo tu seguridad digital, considera herramientas adecuadas que te ayuden a proteger los diferentes ámbitos críticos.
Para responder de manera efectiva ante cualquier incidente de seguridad que pueda presentarse
Este material ha sido posible gracias al apoyo del pueblo de los Estados Unidos de América a través de la Agencia de los Estados Unidos para el Desarrollo Internacional (USAID). El contenido de este material es responsabilidad única de SocialTIC y no refleja necesariamente los puntos de vista de USAID o los del Gobierno de los Estados Unidos.
- Las llaves PGP son una forma de encriptación que permite a las personas enviar mensajes seguros y verificar la identidad del remitente, usando un par de llaves única: una pública para cifrar y una privada para descifrar.
- Tor enruta el tráfico de internet a través de una red de superposición voluntaria, ocultando la ubicación y el uso del usuario ante la vigilancia de red o el análisis de tráfico. En este caso el tráfico pasa a través de tres nodos.
- Lokinet utiliza un protocolo de enrutamiento Onion de baja latencia para permitir la navegación web sin exponer el destino u origen de los paquetes de datos.
- La Red Privada Segura (SPN, por sus siglas en inglés) de Portmaster es similar a Tor pero tan fácil de usar como una VPN. A diferencia de Tor, que se centra en el navegador, SPN se aplica a toda la computadora, integrándose con otros módulos de privacidad y dispersando las conexiones en lugar de enrutar todo a través del mismo circuito.
- Secure Messaging Apps Comparison | Privacy Matters
- Secure Messaging Apps Comparison | Privacy Matters