En el ámbito de la seguridad de la información, se han estudiado las distintas formas de manipular a las personas en situaciones y contextos específicos para obtener acceso a su información privada o inducirles a realizar una acción deseada.
La ingeniería social explora un conjunto de técnicas basadas en características específicas de los seres humanos, tales como: reciprocidad, consistencia, evidencia, autoridad, empatía, escasez. Fuera del mundo de Internet, algunos ejemplos conocidos de ingeniería social son secuestros de teléfonos falsos, pero puedes ver muchos más ejemplos aquí.
En el contexto político y virtual, algunas técnicas conocidas son:
Infiltración
Ronda virtual (OSINT)
SIM swap
Doxxing
Phishing
A menudo, estas técnicas se combinan entre sí para garantizar la efectividad de la acción que la persona, aquí llamada «atacante», busca realizar.
Un ejemplo reciente del uso de la ingeniería social es el caso de Balta Nunes, en Brasil. Un oficial del ejército que se infiltró en grupos de activistas en 2016 y utilizó la ronda virtual y una infiltración para localizar y seducir a los activistas a fin de recopilar información para interferir en sus planes. El oficial fue descubierto cuando dirigió a un grupo de activistas a la policía -en una manifestación contra el ex-presidente Michel Temer- y todos, excepto él, fueron arrestados.
La ingeniería social también es utilizada por las empresas, tanto para espionaje como para manipular personas, datos o interferir en la toma de decisiones públicas, como lo ilustra este reportaje.
Ronda virtual
La Ronda Virtual, en seguridad de la información, es cuando una o más personas rastrean todas las pistas que dejas en línea, una forma de cacería virtual. Esta técnica es ampliamente utilizada en la vigilancia por parte de la policía -en este ámbito se le llama OSINT (inteligencia de fuente abierta)- y fue con ella que se iniciaron muchas investigaciones en Brasil contra activistas: verificar los gustos de las páginas de Facebook, confirmar invitaciones a eventos en línea para ir a manifestaciones, y publicaciones públicas.
Cómo proteger tu información: haz que tus cuentas de redes sociales sean privadas, agrega únicamente a personas que conozcas, evita confirmar tu presencia en los eventos en línea (opte por la opción «guardar») y desactiva el etiquetado en fotos de redes sociales. En el caso de figuras públicas que necesitan exposición, es necesario un análisis de riesgo más preciso y específico.
SIM Swap
SIM Swap es la clonación o el robo del chip de tu teléfono celular, para tener acceso a y / o robar tu información personal. Fue ampliamente utilizada en el período electoral de Brasil en 2018 contra activistas feministas de #EleNão. No es necesariamente el robo de tu teléfono celular o tu chip físico, sino extraer tus datos personales junto con los del operador telefónico de tu dispositivo.
A menudo, las personas dejan tus números de teléfono disponibles en sus redes sociales, o son víctimas de doxxing y se filtran estos datos. Una vez que esos datos han sido expuestos, un atacante puede usarlos para suplantar la identidad de su víctima frente a un operador telefónico. Como las cuentas de sitios web o aplicaciones a menudo están vinculadas a tu número de teléfono celular, un atacante podría obtener acceso a tus cuentas e incluso suplantar tu identidad en aplicaciones de mensajería, como WhatsApp.
Cómo proteger tu chip SIM/teléfono celular: deja tu número de teléfono privado y habilita la «autenticación de dos pasos» (2FA, por sus siglas en inglés) que sirve para verificar tu identidad mediante una aplicación o contraseña/pin. Puedes usarla en las aplicaciones que desees proteger (como WhatsApp, Signal, redes sociales, etc.), así -si eres víctima de este tipo de ataques- cuando un atacante intente suplantar tu identidad y acceder a tu información se encontrará con una barrera que le impedirá acceder a tu datos, mensajes, etc.
Recuerda que es importante crear una contraseña única (no utilizada en otros servicios), protegerla y cambiarla con frecuencia.
Doxxing
Doxxing es una técnica de recopilación de datos privados y/o públicos para intimidar a una persona o grupo de personas. Es extremadamente común en la disputa de narrativas, y puede conducir a la violencia de alto riesgo para las partes involucradas.
El phishing es una técnica antigua del mundo web, es la práctica de crear páginas o correos electrónicos similares a sitios web oficiales o redes sociales con el objetivo de robar datos de una persona específica o de varias personas al azar. El phishing se usa ampliamente para el robo de cuentas bancarias, cuentas de redes sociales y correos electrónicos.
¿Cómo evitarlo? No hagas click en los enlaces enviados por extraños, siempre verifica la dirección del sitio web al que está accediendo, nunca des tu contraseña a terceros y verifica -con la institución oficial- la información que te soliciten a través de llamadas, mensajes o correos; especialmente si se trata de un banco. Cuando accedas al sitio web de una organización, empresa o institución, verifica que tu conexión esté encriptada con un certificado válido. Es decir: usando https:// antes de la dirección,asegurándote de que el candado -que aparece a un lado de la dirección url- esté cerrado y comprobando que la dirección visitada corresponda con el sitio web de la organización, institución o empresa.
Haz clic en la imagen para agrandarla. Haz clic aquí para descargar la publicación.
2020 será recordado como el año que vivimos confinados. La crisis desatada por la agresiva expansión del COVID-19 ha transformado por completo nuestras vidas cotidianas y, para una buena parte de la población mundial, cuestiones tan normales como dejar la casa por la mañana para ir al trabajo o a estudiar, visitar a nuestras familias o compartir con nuestras amistades se han transformado en un recuerdo cada vez más lejano de la vida “pre-crisis”.
Las estrictas medidas de confinamiento —forzadas o autoimpuestas— requeridas para evitar el contagio y la propagación del virus, nos han obligado a buscar otras maneras de mantener el contacto. Es así como hemos visto un explosivo aumento de las videollamadas. Antes principalmente una herramienta de trabajo, hoy su uso intenta llenar el vacío que nos ha dejado la imposibilidad de compartir con los otros, y se extiende al abanico completo de “lo social”, desde las reuniones familiares a las clases de yoga.
Zoom ha sido la empresa que probablemente mejor haya capitalizado la ansiedad provocada por la pandemia, pasando de 10 millones de usuarios diarios a 200 millones de cada día. Pero este explosivo crecimiento vino acompañado de un mayor escrutinio y las distintas falencias de la plataforma comenzaron a adquirir visibilidad también. Entre las más importantes, el hecho de que Zoom comparte datos sobre sus usuarios con terceras partes, como Facebook, y que la compañía mintió respecto a la implementación de cifrado de extremo a extremo. Al mismo tiempo, prácticas como el “zoombombing” —la intromisión no deseada de extraños en una videollamada con el fin de desbaratarla—se han vuelto tristemente populares.
Desde luego, el “zoombombing” no es un problema exclusivo de Zoom, como tampoco lo son las consideraciones por la seguridad y la privacidad. Existen alternativas, cada una con sus pros y contras. ¿Cuál deberías utilizar? Elegir puede ser difícil, por lo que hemos desarrollado esta guía para ayudarte a tomar una decisión informada.
La idoneidad de un software sobre otro dependerá en gran medida de las necesidades específicas de tu videollamada. Además, es necesario recordar que ninguna solución es perfecta y que muchas veces es necesario hacer concesiones. Qué ceder dependerá de tus prioridades. Tampoco está demás decir que las videollamadas son una de las posibilidades en un abanico bastante nutrido de opciones, que quizás sea buena idea explorar. Alternativas como los correos electrónicos y los llamados telefónicos puedan parecerte anacrónicos, pero, dependiendo de las circunstancias, pueden ser mucho más cómodos y efectivos. Considera además que la tecnología que posibilita las videollamadas está lejos de ser perfecta, los cortes y las interrupciones son comunes, y la experiencia puede volverse bastante ingrata.
¿Necesitas hacer una videollamada? Perfecto. Veamos cuáles son tus opciones.
Necesito comunicarme con otra (1) persona
Lo primero que es importante saber es si es que la otra persona es menor de edad y/o si el contenido de la llamada es sensible. Si la respuesta es sí a cualquiera de esas preguntas, entonces te recomendamos el uso de software que proteja las videollamadas por medio de cifrado punto a punto. Esto quiere decir que los mensajes se transmiten codificados y son descifrados solamente cuando llegan a los usuarias o usuarios finales. Así, en caso de que alguien intentara interceptar la comunicación, no sería capaz de acceder a su contenido, incluyendo a quien administre la plataforma. Si bien hay situaciones donde el cifrado de extremo a extremo puede no ser esencial, recomendamos encarecidamente preferir las aplicaciones que lo han implementado.
En ese sentido, una alternativa interesante por su masividad es WhatsApp, que cifra el contenido de las videollamadas en ambos extremos. Esto significa que Facebook —dueños de WhatsApp- no pueden saber sobre qué están hablando sus usuarios y usuarias. Sin embargo, sí pueden conocer todo aquello relativo al contexto de la llamada: quién está hablando con quién, desde dónde, cuánto duró la videollamada, etc. Esta información se conoce con el nombre de metadatos. WhatsApp comparte metadatos con Facebook, por lo que si la privacidad de tu videollamada es muy importante para ti, te recomendamos utilizar Signal, una aplicación de mensajería similar a WhatsApp, pero diseñada con un compromiso especial por la privacidad. Ha sido desarrollada y mantenido por una fundación sin fines de lucro, (la Signal Technology Foundation) y es un software gratuito y de código abierto. Muy recomendable.
Otra alternativa interesante es Jitsi. Al igual que Signal, es un software gratuito y de código abierto. Una de sus características más atractivas es que su versión de escritorio no requiere la instalación de ningún sofware extra: basta un enlace (que puedes generar acá) para comunicarte con quién quieras. Si bien Jitsi está experimentando con la posibilidad de ofrecer cifrado de extremo a extremo a las videollamadas, lamentablemente la funcionalidad no está hoy disponible. (*) Una forma de paliar este inconveniente es utilizar un servidor seguro. El Grupo de Pesquisa em Tecnologia, Educação & Cultura recomienda los siguientes:
Otra opción es Skype, que admite el cifrado de extremo a extremo, pero es necesario habilitarlo. Para ello debes acceder al menú desplegable “Nuevo chat” y seleccionar la opción “Nueva conversación privada”. Y si da la casualidad de que las dos personas que participaran en la videollamada usan productos Apple, pueden utilizar Facetime, una opción bastante conveniente, pero solamente disponible para los usuarios y usuarias de dispositivos fabricados por esta empresa.
¿El contenido de tu videollamada no es particularmente sensible? Quizás vale la pena considerar la posibilidad de llamar por teléfono, una opción rápida y sencilla.
Necesito tener una conversación privada con un grupo pequeño de personas
Si el contenido de tu videollamada no es sensible y no involucra menores de edad —por ejemplo, si lo que quieres es juntarte con un grupo de amigos para ver cómo están y compartir a través de la cámara web— entonces probablemente las opciones listadas más arriba sean suficientes: WhatsApp admite videollamadas con hasta 8 personas, 32 en Facetime, 50 en Skype y 75 en Jitsi.
Otras opciones pueden ser Webex y GotoMeeting. Estas dos plataformas fueron diseñadas para el ámbito laboral y tienen múltiples funcionalidades, pero son más complejas de manejar. GotoMeeting es un software de pago y es probablemente una buena opción para empresas que necesiten seguir reuniéndose con sus empleados. Webex liberó recientemente una versión gratuita que soporta hasta 100 participantes. Y aunque soporta cifrado de extremo a extremo, este solo está activado para clientes de pago; quienes hayan creado una cuenta gratuita después del 18 de marzo deben solicitar la habilitación del cifrado de extremo a extremo a soporte al cliente (más información acá).
Tanto Webex, GotoMeting y Jitsi permiten asegurar las videollamadas con una contraseña, una medida que te ayudará en contra del “zoombombing”, mientras que WhatsApp, Skype y Facetime requieren identificar a cada uno de los participantes, protegiéndote contra la intrusión de desconocidos con ánimos de arruinar tu videollamada.
Una cosa que es necesario considerar es que la calidad de la videollamada se verá afectada tanto por la calidad de la conexión de cada todos los y las participantes, así como también por el número de personas conectadas a la videollamada; entre más personas participen, más difícil será asegurar la calidad de la conexión y la estabilidad de la comunicación.
Necesito tener una comunicación pública con muchas personas
El contexto de pandemia y cuarentena ha obligado a repensar los eventos públicos. Algunos han tenido que ser cancelados, mientras que otros se han transformado para satisfacer el imperativo del distanciamiento social. Si estás pensando organizar el lanzamiento de un libro, un conversatorio o un webinar, lo que necesitas no es una videollamada, sino una plataforma de streaming.
El streaming te permite transmitir audio y video en tiempo real a través de internet. Algunas de las alternativas gratuitas más populares son Youtube Live (de Google), Facebook Live (de Facebook) y Periscope (de Twitter). Otra alternativa popular, aunque de pago, es Twitch (propiedad de Amazon).
Hay dos beneficios principales que destacar de las plataformas de streaming: en primer lugar, te aseguran mejor calidad de audio y video, y mayor estabilidad de la conexión. En segundo lugar, puesto que los espectadores solamente pueden participar a por medio de texto en una ventana de chat, es más difícil ser víctima del “zoombombing”.
Una alternativa interesante puede ser utilizar una palataforma de videollamadas junto a una plataforma de Streaming, por ejemplo Jitsi y Youtube.
Necesito tener una conversación privada con un grupo grande de personas
Hay muchas razones por las cuales esto no puede funcionar a nivel técnico. Por un lado, la dificultad de mantener videollamadas con un gran número de participantes; por otro, la dificultad de mantener algo privado cuando un número importante de personas están involucradas, por mencionar solo dos.
Dicho eso, si es algo que quieres intentar, dependiendo de cuántas personas participen, puedes utilizar las alternativas listadas más arriba (Jitsi, Skype, GotoMeeting, Webex).
¿Y qué hay de Zoom?
Probablemente la plataforma de videollamadas que más visibilidad ha adquirido en el marco de la cuarentena, Zoom no ofrece cifrado de extremo a extremo, entre otras muchas consideraciones de seguridad y privacidad. Pero si se te hace cómodo utilizarla, la videollamada no involucra menores de edad y consideras que el contenido de tu comunicación no es sensible, obviamente puedes usarla (de todos modos, sigue estos consejos para evitar el “zoombombing”). Otra opción similar es Google Meet, que recientemente abrió una versión gratuita que permite comunicarse con hasta 100 personas a través de audio y video. Como Zoom, Meet no protege las videollamadas con cifrado de extremo a extremo, pero si el contenido de la llamada no es sensible y te resulta fácil de usar (está incrustada en la versión de escritorio de Gmail), es una opción a considerar.
(*) La versión original de esta guía, publicada el 26 de mayo, indicaba que el cifrado de extremo a extremo era posible en Jitsi cuando la videollamada se restringía a dos participantes, siguiendo lo señalado por Freedom of the Press en “Which Video Conferencing Tool is Right for the Job”. Aunque esto es técnicamente correcto, el 16 de junio nos hemos visto en la obligación de modificar la redacción de la guía pues, tras revisar con más atención la discusión en torno a este punto, nos hemos dado cuenta de que no es posible garantizar que la videollamada se mantendrá cifrada de extreno a extremo. Para mayor información sobre este punto, por favor revisar la ilustrativa discusión acá https://github.com/jitsi/jitsi-meet/issues/409
Guía que busca ayudar en la selección del software más apropiado para realizar videollamadas, particularmente en el contexto de la pandemia de enfermedad causada por el COVID-19
Compilación de consejos básicos de seguridad digital, principalmente dirigidos a medios de comunicación independientes, comunicadoras y comunicadores sociales, para el mejor resguardo de sus plataformas de difusión de contenidos.
Al abrir la aplicación por primera vez dará un tour por las funcionalidades básicas del programa y al final hará un quiz sorpresa con preguntas relevantes sobre el riesgo de usar la aplicación, los dos puntos más importantes de considerar son:
Cualquiera que esté monitoreando nuestra red o nuestro tráfico de internet puede saber que estamos usando OONI Probe.
Los datos recopilados en las pruebas será cargado de forma automática al servidor central del proyecto (hacen lo posible por ocultar información con la que nos puedan identificar pero se advierte que en algunos casos esto puede ser insuficiente para anonimizar algunos resultados).
Uso básico
La interfaz principal de la aplicación es como sigue, se pueden ejecutar análisis sobre sitios web, clientes de mensajería instantánea, Rendimiento y Middleboxes (equipamiento usado para vigilar tráfico en internet), todas estas pruebas tienen opciones automáticas que son ejecutadas al momento de pulsar ejecutar y algunas permiten configurar exactamente qué se quiere probar.
Prueba sobre sitios web
Esta prueba analiza si existen bloqueos técnicos para consultar sitios web, además en caso de existir estima por qué métodos técnicos se están ejecutando los bloqueos correspondientes. Si se ejecuta en análisis por defecto que propone la aplicación se probara una lista preexistente por países que puede estar desactualizada dependiendo de la región particular. También se pueden definir sitios personalizados para probar y estas listas de sitios pueden ser compartidas por otros para que ejecuten más pruebas.
En caso de que quieras ejecutar pruebas sobre sitios propios, haz lo siguiente:
Prueba sobre servicios de mensajería
Esta prueba verifica que se puede acceder correctamente a Whatsapp, Telegram y Facebook Messenger. Sólo da opción de ejecutar la prueba para esos servicios de forma predeterminada, no permite agregar otros servicios
Prueba de middleboxes
Esta prueba intenta detectar equipamiento usado generalmente para vigilar tráfico de red y en ocasiones censurarlo, esta prueba no toma ningún parámetro personalizado por lo que sólo es necesario pulsar ejecutar en la pantalla principal para iniciarlo
Compartir resultados
Aunque en https://explorer.ooni.org/ se pueden consultar los resultados cargados en el servidor de OONI Probe, normalmente estos tardan en aparecer, por lo que se recomienda buscar los resultados de forma manual y enviarlos a quien pueda interpretarlos o guardarlos en notas propias, correos electrónicos, etc. Para conservar documentación de los hallazgos.
Algunas consideraciones
Cuando el servicio de internet está intermitente es posible que algunos resultados sean falsos positivos, por lo que se recomienda.
Confirmar en varios dispositivos de varias personas antes de publicar que un sitio o servicio está siendo bloqueado.
Esta aplicación no está diseñada para medir apagones de internet, en este caso se recomienda documentar la falta de señal o cobertura de otras formas.
Esta aplicación NO detecta vigilancia de llamadas de voz o mensajes de texto.
Boletín imprimible con información introductoria, técnica y legal sobre el uso de Tor, su utilidad y cómo montar un relay de salida, enfocado en los usuarios Mexicanos.
El #DecretoEspía ordena la recopilación masiva de datos comunicaciones por un periodo mayor a dos años. Aquí te explicamos por qué eso es un atentado a nuestra privacidad.
Hace unos días fue anunciada una vulnerabilidad que afecta a todas las redes Wi-Fi modernas que utilizan el protocolo WPA2 para proteger la señal con contraseña. El ataque, denominado «Key Reinstallation Attacks» (KRACKS), es el resultado de una investigación académica enviada a revisión a mediados de mayo y hecha pública hace un par de semanas. Utilizando esta vulnerabilidad, un atacante que esté dentro del rango de la señal Wi-Fi podría obtener el contenido de nuestra navegación: mensajes, imágenes y contraseñas entre otro tipo de datos privados que circulan en la red Wi-Fi mientras utilizamos Internet. Además, dependiendo de la configuración de la red, el atacante también podría engañarnos haciéndonos ingresar datos privados en versiones de sitios que no corresponden a los oficiales u obligándonos a descargar algún tipo de virus o aplicación que no deseamos en el dispositivo. ¿Qué se puede hacer frente a esto?
Esta es una vulnerabilidad que existe en WPA2 como tecnología en sí misma, por lo tanto todos los dispositivos y sistemas operativos que utilizan WPA2 para conectarse a redes inalámbricas pueden verse afectados, incluyendo computadores con Windows, Linux o MacOS, celulares iPhone o Android e incluso radios, televisores o aspiradoras «inteligentes». Muchas de las empresas detrás de estos productos ya han publicado actualizaciones de seguridad que se hacen cargo de este problema, por lo tanto la recomendación principal (y permanente) es mantener actualizadas las aplicaciones y sistemas operativos de nuestros dispositivos para evitar de esta manera permanecer expuestos al ataque. En el caso de los dispositivos que ya no tengan soporte por parte del fabricante y que por tanto no puedan ser actualizados, no hay una recomendación clara: deben evaluar si el dispositivo puede conectarse a Internet de otra manera (cableado o por plan de datos de compañías de telefonía móvil), si es realmente necesario que el dispositivo esté conectado a Internet o, por último, utilizar el dispositivo asumiendo que el canal de comunicación (Wi-Fi en este caso) no es confiable y aplicar otras medidas de protección para el contenido, tales como VPN.
¿Cómo funciona el ataque?
Cuando un dispositivo intenta conectarse a una red inalámbrica se realiza un procedimiento llamado «4-way handshake», que es como un saludo doble entre el dispositivo y el punto de acceso o router con el objetivo de verificar que se posee la clave correcta para ingresar a la red y luego entregar una llave de cifrado que protege el contenido de potenciales observadores no deseados. Pues bien, los investigadores descubrieron una manera de engañar al punto de acceso y hacerle creer que el saludo doble nunca se completó, forzándolo a reenviar la llave de cifrado múltiples veces y eventualmente derivar ciertos aspectos criptográficos de la comunicación. Esto permite fácilmente llegar a descifrar el contenido y en algunos casos manipular información, permitiendo inyectar tráfico de red falso para la instalación forzada de ransomware u otro tipo de aplicaciones no deseadas. En sí, este método no permite obtener la clave con la que se accede a la red Wi-Fi, y requiere que el atacante esté dentro del rango que cubre el punto de acceso inalámbrico.
Posibles dudas que aún tengas:
¿Si navego por HTTPS, mi información sigue estando expuesta?
El protocolo HTTPS va a cifrar todo el contenido que se intercambie entre tu navegador y el servidor del sitio web que estás visitando. Lamentablemente esta vulnerabilidad permite que el atacante te fuerce a utilizar HTTP, la versión sin cifrado de HTTPS, dejando expuesto el contenido de tus comunicaciones nuevamente. Existen algunos sitios que solo permiten la navegación a través de HTTPS por lo que simplemente no funcionanrían si fueses victima de este ataque. Por último existe una extensión para Chrome, Firefox y Opera llamada HTTPS Everywhere que protege la navegación forzando el uso de HTTPS.
¿De qué manera me protege el uso de VPN?
Las VPN (Red privada virtual) son una manera de cifrar todo el contenido que viaja desde y hacia Internet en tu dispositivo. Funcionan estableciendo un canal cifrado entre la organización que te ofrece el servicio VPN y tu dispositivo, canal que funciona por encima de la conexión a Internet que estés usando, lo que previene que nadie en el medio pueda ver qué o con quién te estás comunicando, incluyendo a posible atacantes de esta vulnerabilidad pero también incluyendo al ISP que te da acceso a Internet, lo que permite brindar mayor privacidad a tus comunicaciones. Existen numerosas empresas que ofrecen este servicio por un pago mensual y algunas que lo ofrecen de manera gratuita limitando algunas características de uso. Si quieres saber más visita esta página de la EFF.
Las aplicaciones para controlar el ciclo menstrual, hoy tan populares, no son ideológicamente neutras. ¿Qué tal si les hacemos algunas preguntas sobre nuestra privacidad y libertad?
