La privacidad absoluta en la red es una utopía pero si es posible mejorar y velar por los datos personales o un derecho humano o tan evidente como es la privacidad de una manera muy sencilla.
No es posible entrar en consejos tan absurdos como paranoicos como estar usando constantemente Tor cargándonos la experiencia y la velocidad en la red o usar exclusivamente una mensajería a riesgo de que no haya nadie excepto tú. Excepto si estás claramente bajo vigilancia de NSA, Mossad, CIA, FSB u otra agencia de seguridad no tiene una razón ni lógica ni sensata para tomar tales medidas pero si es posible buscar un equilibrio entre el disfrute de las ventajas de la red frente a la no necesidad de vender tus datos, tus fotos o tu privacidad a cambio.
Junto a cada problema, añadiré una posible solución que pueda resultar interesante para mejorar tu satisfacción y calidad a la hora de aprovechar aspectos tan básicos como usar correo, navegar, trabajar en la nube, etc. incluso si quieres, puedes guardarla en tus «favoritos» para lograr una aplicación o plataforma segura para un uso cotidiano de internet.
La privacidad es lo más importante
Los problemas de privacidad ya surgen desde el primer momento en el que una persona se conecta y dichos problemas pueden ser el robo de tu tarjeta de crédito, de tus datos personales tales como tu DNI, número de cuenta, dirección, teléfono, datos de tus hijos, familiares, amigos o seres queridos en general.
El velar por la privacidad en Internet es velar por evitar que piratas, personas malintencionadas, empresas o incluso gobiernos puedan conocer tus hábitos, costumbres, datos o cualquier otro aspecto por el beneficio propio.
La privacidad es un derecho humano fundamental (Artículo 12) y un requisito previo para la democracia. Tanto para los gobiernos como para las empresas que buscan lucrarse, las invasiones de la privacidad de los usuarios son un medio muy útil de control.
Modelo de amenaza
Un modelo de amenaza es un método para evaluar los riesgos de seguridad y privacidad con el fin de mitigarlos estratégicamente. Este modelo puede ir desde la investigación privada, investigación inversa, contenido, imágenes, datos personales o empresariales, etc. para lograr el simple robo de datos personales e imágenes para una suplantación de identidad como robo económico a través de métodos de pago convencionales u online, Definiendo el método de amenaza a nivel personal es posible comprender y entender las prioridades en cuanto a privacidad a la que trabajar realizandose uno mismo unas simples preguntas:
- ¿Qué información quieres proteger?
- ¿Quién podría querer acceder a esa información?
- ¿Dónde se almacena y transfiere esa información?
Debido a que no existe la privacidad al 100%, si se puede escoger las herramientas, métodos o costumbres habituales que seguir para reducir la posibilidad de que podamos ser víctimas de un ataque.
Navegar en internet de forma segura
Los datos de navegación son extremadamente valiosos para muchas empresas que compran y venden publicidad dirigida a los usuarios como Facebook, Google y Amazon y, tal es el dinero que se mueve y obtienen de dichos datos que los datos personales son en la actualidad más valiosos que el petróleo mismo.
Pero como es habitual, estas compañías ni ponen ni desean poner la misma atención en proteger la privacidad de los usuarios que tanto beneficio les aporta y tanto las violaciones de datos como los escándalos de privacidad son en la actualidad el pan nuestro de cada día. Es tan evidente que hasta hay empresas como Google que hacen bandera del uso de la privacidad con aspectos tan falsos como inútiles como «el nuevo método encriptado y seguro de Gmail» o la «navegación privada en Chrome» pero que quedan fabulosamente bien de cara al marketing.
El problema no solo reside en las empresas que viven y se enriquecen a costa de los usuarios sino de gobiernos y especialmente los más autoritarios que extraen los datos personales para obtener toda la información necesaria para mantener el control de sus ciudadanos aplicando medidas o restricciones para evitar cualquier cambio que pueda poner en peligro un Status Quo de desigualdad y máxime si se es periodista o activista a nivel individual.
Hasta hace poco la alternativa a no caer en el uso de plataformas «gratuitas» era hacer uso de plataformas de pago (si bien las dos son de pago aunque unas es con pago económico y otra con pago de datos) pero por suerte, en los últimos años hay empresas que logran adquirir un compromiso por la privacidad con modelos de negocios diferentes como ofrecer un servicio gratuito básico y opciones de pago para «extras».
Algunas de estas plataformas o empresas son, por ejemplo ProtonMail (Suiza), Mailfence (Bélgica) o Tutanota (Alemania), todas ellas europeas. Esto viene a raíz de que el uso de compañías o plataformas con sede en EEUU tienen la obligación de ceder cualquier dato de usuarios a petición del gobierno por más encriptado que sea.
Si eres usuario de Google Drive, Amazon Drive o Microsoft Office Online siempre tendrás opciones incluso gratuitas como Graphite donde nada que se queda almacenado en los servidores o si deseas guardar archivos, Sync.com es sin duda la mejor opción de encriptación y cifrado de extremo a extremo.
En lugar de Google Keep, por ejemplo, que puedes acceder y escanear tus archivos y documentos más importantes haciendo un encriptado de extremo a extremo en el que ni los propios servidores pueden ser descifrados como por ejemplo la aplicación de notas Standard Notes.
Use un navegador enfocado en la privacidad
Google Chrome es el navegador más conocido del mundo pero, la diferencia de Chrome frente a los navegadores de antaño como Internet Explorer o Netscape es su enorme recopilación de datos de registro, de contraseñas y de hábitos de navegación que hasta The Washington Post creó el artículo mencionando que Chrome «se ha convertido en software espía «.
Lo mejor es hacer uso de un navegador web que permita el bloqueo de publicidad, de software espía de cookies desconocidas, de scripts malintencionados o la monitorización de nuestra navegación y, por ende, cuanta menos carga más rápido se navega . Firefox es el navegador más popular centrado en la privacidad, pero Brave, Opera o Safari también son grandes opciones.
Cifrar nuestra navegación por Internet con una VPN
Una VPN permite encriptar la conexión a Internet desde un ordenador o dispositivo al servidor de tu proveedor de internet.
Por defecto, los servidores de nuestros proveedores (Orange, Telefónica, Vodafone, etc) pueden ver sin ningún límite ni restricción el uso constante que hacemos de internet, por donde navegamos, qué hacemos, para qué lo hacemos, etc aunque dicha navegación sea realizada desde la versión «incógnito» del navegador.
El uso de una VPN encriptada ayuda a mantener el tráfico web a salvo de cualquier persona o empresa que supervise la red a nivel local: hackers, tu proveedor de servicios de Internet o agencias de vigilancia.
Una VPN también ocultará tu verdadera ubicación y dirección IP, lo que te permitirá navegar de forma más privada y acceder a contenido restringido geográficamente.
Ejemplos de VPN pueden ser ProtonVPN, vyprvpn, privateVPN, NordVPN, TunnelBear VPN o el conocido 1.1.1.1 con versión gratuita pero muy segura de Cloudfare.
Protege tus consultas de búsqueda
Google principalmente pero también Bing, Yahoo o cualquier otro buscador tras una gran empresa rastrean todas las consultas de búsqueda. Si has iniciado sesión en cualquiera de estos buscadores, las empresas recopilarán todos los datos «en pro de su satisfacción» para refinar las búsquedas según tus gustos u ofrecer publicidad relevante, sin embargo esto es útil principalmente para la compañía para recopilar tus preferencias, necesidades y datos privados.
Recomendación: DuckDuckGo es una fantástica alternativa privada y segura. Otra nueva opción y muy interesante es el buscador francés Qwant.com también bajo la prioridad de la privacidad de los usuarios.
Limitar la información que se comparta públicamente.
Una gran cantidad de información confidencial sobre ti está indexado en internet está disponible públicamente en Internet. Parte de esto es de manera involuntaria e injusta como es un registro público, registro judicial, publicaciones en el BOE, direcciones ol registro de votantes. Pero gran parte de estos datos siendo sinceros se publican voluntariamente, generalmente y sobre todo a través de las redes sociales. Datos como fotos (a menudo y para más INRI etiquetadas con la ubicación), nombres de familiares, lugar de trabajo, aficiones, etc.
Los hackers pueden usar estas pistas para la ingeniería social y para responder preguntas de seguridad como nombre de tu mejor amigo, tu mascota o enviar un mail personalizado y adaptado a aspectos que teóricamente «solo deberías saber» tú o tus personas más próximas.
Tus fotos publicadas en Facebook, Instagram, etc pueden incluso usarse para crear videos falsos tuyos o sobre tí de DeepFake . Casi todos los servicios en línea y los dispositivos con conexión a Internet tienen configuraciones de privacidad que puede ajustar para restringir la cantidad de información recopilada y / o compartida en línea. También es importante tener una cuenta Fake/Spam de correo electrónico solo para darse de alta en lugares no fiables en lugar de dar tu cuenta de correo principal.
Limitar la información que se comparte de forma privada
Las compañías que ofrecen internet (Telefónica, Orange, Vodafone, etc) pueden ser vulnerables a las violaciones de datos , y esto puede comprometer instantáneamente la privacidad. Ni siquiera las grandes compañías que hacen tráfico de datos privados como Google o Facebook son vulnerables a ataques o robo de datos.
Esto es fácilmente mitigable y es limitar la información que se pueda compartir incluso de manera privada para que nadie pueda disponer de estos datos que puedan compartirse. Incluso los grandes servicios como Google o Facebook no son inmunes a las violaciones de datos. En caso de compartir datos altamente seguros como el PIN de la tarjeta, número de cuenta, DNI, etc es necesario e importante eludir usar servicios ofrecidos por Facebook (Whatsapp, Facebook Messenger, etc), Google (Gmail, Hangouts, etc) o conexiones sin encriptar (navegar sin VPN). De este modo nos aseguramos que nuestros datos, incluidos los privados puedan ser expuestos por un ataque.
Haz tu cuenta segura y protegida
Lo primordial es mantener las cuentas privadas y seguras y el paso más importante es una contraseña compleja, difícil e incluso difícil de recordar hasta por nosotros con un generador de contraseña. Nunca repetir la misma en diferentes servicios y usar un servicio de generación y guardado de contraseñas.
La segunda línea de defensa es la autenticación de dos factores (2FA). Esta es una forma de asegurar tu cuenta con una segunda capa, generalmente algo que tiene contigo, como un código creado en una aplicación de autenticador o doble contraseña.
Importante: Nunca usar ordenadores públicos, ajenos o compartidos para acceder a tus cuentas porque los keyloggers (grabadores de contraseñas) pueden registrar tus credenciales de inicio de sesión. Y si es realmente obligatorio o necesario usar un ordenador público o compartido es imprescindible asegurarse varias veces cerrar correctamente la sesión de tus cuentas una vez utilizadas.
Muchos servicios permiten revisar cuándo y desde qué IP se ha accedido a su cuenta. Si no reconoces uno de estos inicios de sesión, la mayoría de servicios permiten cerrar sesión de forma remota.
Recomendación: Hay servicios treméndamente buenos para guardar, generar, encriptar y asegurar tus inicios de sesión y contraseñas como, por ejemplo, Bitwarden, LastPass o 1Password.
Usar HTTPS en todas partes
La manera más sencilla de ver si nuestra conexión y navegación está enciprtada es verificar que las páginas por las que navegamos empiezan por https.
Recomendación: Hay un complemento que permite forzar la navegación encriptada en todo momento que és HTTPS Everywhere y que puede ayudarte a hacerlo automáticamente.
Tor
Si tu modelo de amenaza requiere un nivel muy alto de privacidad y confidencialidad en Internet la mejor opción es conectarse a Internet a través de Tor. Tor es una tecnología mantenida por el Proyecto Tor sin fines de lucro, que permite utilizar Internet de forma anónima. Funciona rebotando tu conexión a través de múltiples capas de cifrado, tanto protegiendo tus datos como ocultando tu origen. Tor también permite acceder a sitios web bloqueados (como los que ofrecen servicios E2EE) a través de la web oscura. La desventaja de Tor es que generalmente es mucho más lento en comparación con el uso de una VPN o conexión convencional.
Recomendación: Si se dispone únicamente de unos conocimientos básicos lo mejor es directamente descargar el Navegador Tor y así no es necesario tener que configurar toda la red o VPN para la conexión a través de esa red.
Mantén tus comunicaciones privadas
Al establecer una comunicación en la red, hay varias maneras en que las compañías o los piratas informáticos pueden acceder a sus conversaciones privadas. Sin un cifrado, un atacante que estupervisando la conexión a Internet podría ver la información que transmites, desde tarjetas de crédito hasta mensajes de chat.
Por supuesto, la gran mayoría de los servicios en línea utilizan algún tipo de cifrado para proteger los datos que se transmiten hacia y desde los servidores. Pero solo unas pocas empresas de tecnología cifran la información de tal manera que ni siquiera la compañía pueda descifrarla. Este tipo de cifrado se denomina cifrado de extremo a extremo (E2EE). Siempre que sea posible, utiliza los servicios que ofrecen E2EE y proteje tu privacidad de forma predeterminada.
Usar correo electrónico encriptado
Servicios como Gmail y Yahoo escanean tu buzón de correo para recopilar datos, la publicidad relacionada con las palabras clave de los correos que estás leyendo no es arte de magia, es resultado de ver el contenido del correo y mostrar publicidad relacionada.
Sin ir más lejos, Google recopila y almacena todas las compras que realizas sin tu consentimiento previo.
Si no deseas que tu servicio de correo electrónico tenga acceso a este tipo de información privada, deberías cambiar a un proveedor de correo electrónico cifrado de extremo a extremo.
Los mensajes entre los usuarios de Tutanota o ProtonMail por ejemplo siempre se transmiten en forma cifrada. Cuando un usuario envía un correo electrónico a otro usuario de ProtonMail, los correos electrónicos se cifran en el dispositivo del remitente y solo pueden ser descifrados por el destinatario. Todos los correos electrónicos enviados a / desde una cuenta de ProtonMail (incluso si la otra parte no utiliza ProtonMail) se almacenan con cifrado de acceso cero . Una vez que el mensaje está cifrado, solo el propietario de la cuenta puede descifrarlo.
Recomendación: Hay servicios freemium (gratis con opción de mejoras de pago) como ProtonMail, Mailfence o Tutanota donde es posible utilizar la vía del correo electrónico sin sacrificar tu privacidad y sin permitir que sean escaneados para poder hacer uso de ellos.
Chatea en privado con aplicaciones seguras
Para la mensajería instantánea existen muchísimas opciones y posibilidades. Si bien es cierto que el 99% de tus contactos usarán WhatsApp siendo la más popular con diferencia y teóricamente cuenta con E2EE no podemos olvidar lo evidente y es que Facebook es la propietaria de WhatsApp y puede ver fácilmente cómo, cuanto y con quien te comunicas. Si a eso le sumamos que hace una copia de seguridad sin encriptar nos podemos hacer una idea de lo poco que sirve la encriptación en los chats de WhatsApp.. Pero Facebook (que es propietario de WhatsApp) puede ver con quién te comunicas y cuándo y, lo que es más importante, Facebook SI puede leer el contenido de los mensajes a pesar de estar encriptados. Por otra parte tenemos Facebook Messenger cuyos mensajes no están encriptados por defecto al igual que WeChat.
Recomendación: Para contar con un mensajero realmente seguro las mejores opciones son Wire, Signal o mensajes seguros de Telegram.
Aplicaciones de número de teléfono
Las aplicaciones privadas de números de teléfono utilizan la tecnología de VOIP (Protocolo de voz sobre Internet) que te permiten hacer y recibir llamadas y SMS con un segundo número de teléfono. Esto puede ofrecer algunos beneficios de privacidad, ya que no siempre se te exige que proporciones información de identificación al proveedor de la aplicación.
Recomendación: Las aplicaciones como Phoner proporcionan llamadas y mensajes de texto anónimos.
V. Asegura su dispositivo
La amenaza más directa es el robo de un dispositivo móvil o directamente perderlo.
En un smartphone prácticamente ya tenemos nuestra vida dentro, nuestros contactos, nuestros métodos de pago, incluso llaves con NFC. Perder un móvil es lo más parecido a perder nuestra documentación, nuestra tarjeta de crédito, nuestras llaves, nuestros correos y correspondencia, etc. aunque están otros sistemas más sencillos como simplemente ser observados o fotografiados por encima de nuestro hombro.
Recomendación: Ajustar la configuración de bloqueo de pantalla por algo más que un simple PIN (contraseña, lectura de IRIS, de huellas, etc) así como ajustar nuestras notificaciones más importantes como mensajes o movimientos bancarios para que no sean mostrados durante el bloqueo del terminal.
Si estamos haciendo alguna tarea importante y confidencial, asegurarnos del mismo modo que lo hacemos en un cajero o en un TPV, que nadie esté observando nuestra pantalla mientras lo hacemos.
De paso, es importante conocer los procedimientos a seguir existentes en todos los dispositivos de como bloquear o eliminar remotamente y de manera inmediata en caso de haber sufrido un robo o pérdida del terminal para asegurarnos de que nuestros datos no se verán comprometidos.
Encripta tu dispositivo
Últimamente todos los dispositivos más actuales y modernos y, especialmente de gama alta vienen con encriptación por defecto, pero de nada servirá esta encriptación si decidimos usar una tarjeta SD como método de almacenamiento alternativo y ésta no está encriptada.
Es importante asegurarnos de que tanto el terminal como la tarjeta SD están encriptados en todo momento.
Atento a los ataques de phishing
Un ataque de suplantación de identidad (phishing) intenta robar las credenciales de tu cuenta o infectar tu dispositivo con malware al engañar para que hagas clic en un enlace o descargues un archivo adjunto.
El correo electrónico es una de las maneras más fáciles para que los hackers ingresen a tu ordenador. Por lo tanto, es importante estar alerta y nunca hacer clic en enlaces ni descargar nada de una fuente en la que no confíes completamente.
Eliminar las aplicaciones no utilizadas y asegurarnos de que el software esté actualizado
Otra parte crítica de la protección de su dispositivo es mantener tu sistema operativo actualizado, tanto del terminal como del ordenador, cada nueva actualización incluye nuevos parches ante vulnerabilidades encontradas. Puede ayudar evitar que los atacantes instalen malware en tu dispositivo manteniendo tus aplicaciones y sistemas operativos actualizados.
Otro aspecto importante es instalar aplicaciones únicamente desde las tiendas oficiales (App Store o Play Store) y, a pesar de ello asegurarnos de si realmente hacen un uso adecuado de los permisos y si tiene sentido que haga uso de alguno de esos servicios, por ejemplo, un juego para niños necesite el acceso al micrófono o las llamadas.