Modelo de Amenazas
Estoy seguro de que este tema no será nada nuevo para muchos de mis lectores aquí, sin embargo, parece apropiado comenzar desde el principio, y este es un tema fundamental a tener en cuenta a medida que avanzas por la vida en tu viaje por la seguridad de tu información. El término “modelo de amenaza” (Threat Modeling) es, en el contexto de la privacidad y la seguridad, solo una forma elegante de decir “¿qué estás escondiendo y de quién lo está escondiendo?” Por ejemplo:
- Un periodista puede querer proteger sus fuentes de daños o represalias. Por lo tanto, su modelo de amenaza incluirá formas de evitar el rastreo, cifrar o proteger la información sin censura que se recibe de una fuente y otra información similar que pueda revelar quiénes son sus fuentes o permitir que otros las rastreen hasta sus fuentes.
- Un miembro de las fuerzas del orden público puede desear proteger la ubicación de su hogar de diversas formas para evitar poner a sus familiares en peligro por parte de delincuentes que buscan venganza o simplemente delincuentes en general con algún resentimiento contra el sistema.
- Un activista en un país represivo puede tomar medidas para ocultar su investigación, reuniones u otras actividades para que el gobierno no pueda rastrear su identidad real y usarla en su contra.
Todos compartimos algunos modelos de amenazas comunes. Por ejemplo, todos queremos tomar medidas para proteger nuestras cuentas bancarias. Otras personas pueden tener modelos de amenazas más estrictos. Si bien existen “mejores prácticas” básicas que se aplican a casi (si no) a todos, en realidad no existe una solución única para todos. Algunas personas necesitan más protección. La mayoría de la gente quiere encontrar un equilibrio saludable entre protección y facilidad de uso. Por eso existe este sitio.
El ejemplo que me gusta usar es el infame asesino en serie Richard Chase. Chase acechó el área de Los Ángeles entre 1977 y 1978. Una de las razones por las que fue tan difícil de atrapar fue porque no tenía un patrón. Dijo en una entrevista después de que lo atraparon que simplemente paseaba por los vecindarios hasta que veía una casa con la cual que se sentía obligado a probar. Pero esto es lo que hizo extraño a Chase: si las puertas y ventanas estaban cerradas, seguiría su camino y probaría en una casa diferente. No intentaba entrar a la fuerza.
Todos deberíamos intentar defendernos de los Richard Chase del mundo digital. Mucha gente argumenta que la seguridad es poco inconveniente. Lo és. Es mucho más conveniente usar el nombre y el año de nacimiento de su hija para cada cuenta en lugar de una contraseña generada al azar que no reutilizas en ningún lado. Es mas conveniente permanecer logueado o no usar la autenticación de dos factores. Mi propia VPN a veces me vuelve loco. Pero también es un inconveniente tener que desbloquear mi puerta y abrirla cada vez que llego a casa, pero la cantidad de seguridad que obtengo al no dejar la puerta abierta de par en par en todo momento y usar una simple llave de 2 dólares se paga sola. El mismo principio se aplica a la seguridad de la información. Incluso las pequeñas cosas como las prácticas seguras de contraseñas y 2FA (two-factor authentication) pueden proporcionar una medida de seguridad que supera los inconvenientes, y solo se necesitan unas pocas semanas o incluso días para que se convierta en una sana costumbre.
¿Cuál es tu modelo de amenaza? Esa es una pregunta que solo tú puedes responder. Tal vez solo necesites cerrar la puerta de tu casa, por así decirlo. Quizás necesites contratar a un guardia de seguridad. Quizás necesites mudarte a un búnker subterráneo. Todos somos diferentes y el modelo de amenaza de todos es diferente. Algunas personas pueden encontrar que los beneficios de Facebook valen la pena y mantener su cuenta a pesar de conocer la vigilancia agresiva que realiza la empresa. Otras personas pueden decidir que no quieren ninguna red social en ningún lugar. Estas son preguntas personales. Cuando elabores un modelo de amenaza, recuerda esas dos preguntas iniciales: ¿qué estoy tratando de proteger y de quién? Una vez que lo reduces, el “cómo” suele estar a solo un par de búsquedas en la web. Incluso una simple búsqueda en Google como “¿cómo puedo proteger mi cuenta bancaria de los piratas?” Es un punto de partida bastante sólido que le dará algunas ideas básicas.
En los próximos artículos que publicaré en el futuro, profundizaré en todo tipo de modelos de amenaza, herramientas y prácticas. Hablaremos sobre mensajería segura, VPN, herramientas de desinformación y más. Compararé los diferentes servicios, los pros y los contras de cada uno y lo que se debe tener en cuenta al utilizar estos servicios. Hablaré sobre las mejores prácticas (como la cuestión de “no reutilizar contraseñas” antes mencionada). No dudes en comunicarte con cualquier pregunta que deba abordar, productos que te interesen o cualquier otra cosa. ¡Gracias por leer y buena suerte!
Puede encontrar más servicios y programas recomendados en TheNewOil.org. También puedes recibir actualizaciones diarias de noticias sobre privacidad en @thenewoil@freeradical.zone o apoyar mi trabajo de diversas maneras aquí. Puedes apoyar estas traducciones con Monero.