Seguridad de la información para gente normal. | https://www.TheNewOil.org | https://thenewoil.org/blog-index.html

Privacidad y Seguridad 101: Superponiendo tus Estrategias

Honestamente, no sé que tan larga será esta publicación porque el concepto básico es realmente simple, pero haré todo lo posible para explicarlo sin exagerar.

Esta mañana, mientras recopilaba enlaces para compartir en mi cuenta de Mastodon, encontré esta joya. En resumen, un proveedor de VPN afirmaba no mantener registros y luego fue atrapado con una base de datos no segura que exponía: contraseñas en un documento de texto plano (ni siquiera toquemos este tema), claves de sesión de VPN, direcciones IP de usuarios y servidores, marcas de tiempo, geoetiquetas y otras cosas. Esta no es una publicación sobre VPN, pero esta historia remarca el tema. Este post trata sobre uno de los conceptos fundamentales más importantes en privacidad y seguridad, del cual raramente se habla: Superponer tus estrategias.

Puntos de Falla y Redundancia

En la mayoría de las industrias, existe lo que se conoce como un “punto de falla”. En otras palabras, “el lugar más probable donde algo saldrá mal”. Debido a mi experiencia, voy a usar un concierto como ejemplo: al conectar un sistema de sonido, los puntos de falla suelen ser los propios cables. Cuantos más cables tenga, más puntos de falla introduciré y mayor será el riesgo de que algo salga mal. Cuanto mayor sea la estructura, mayor cantidad de puntos de falla. Lo que nos lleva a la redundancia.

La redundancia es simplemente tener dos cosas que hacen lo mismo. Sigamos con el ejemplo de concierto anterior: un “snahWKv!EiQLShN{A”%C<gRh{RF^(Q&g-,4f5L2~R6*ke” es básicamente un cable de audio super-largo que se extiende desde la cabina de sonido unos cientos de pies delante del escenario hasta el escenario. Así es como la señal se transporta desde los micrófonos al mezclador (donde se procesa el sonido) y de regreso a los altavoces. En la actualidad, los cables Ethernet se utilizan normalmente en reemplazo de los Snake porque son baratos, rápidos, confiables y más pequeños que un Snake tradicional. Pero los cables Ethernet también suelen ser menos resistentes físicamente que los XLR tradicionales, lo que significa que es más probable que fallen. Muchos mezcladores de sonido modernos vienen con dos Puertos Ethernet Snake, un A y un B. Si A falla, puedes cambiar instantáneamente (y a veces automáticamente) a B y mantener el espectáculo en marcha sin (o casi sin) brechas notables en el sonido. Esto es redundancia. Un sistema que es redundante tiene más puntos de falla porque hay más cosas funcionando, pero debido a la superposición también hay menos riesgo de que esa falla sea un gran problema. Las probabilidades de que ambos cables Ethernet fallen al mismo tiempo son casi inexistentes.

Privacidad, Puntos de Falla y Redundancia

Si bien recomiendo el uso de un proveedor de VPN de buena reputación (entiéndase: uno que no anuncie en todo su sitio web que es gratis UFO), tampoco lo recomiendo como una única táctica de privacidad. Mencioné en un post anterior que si eliminas Facebook, obtendrás un poco de privacidad. Si usas Signal, obtienes privacidad y seguridad. Si hace ambas cosas, obtendrás aún más privacidad y seguridad. Así es como la privacidad y la seguridad deben ejecutarse correctamente, colocando una técnica de privacidad sobre otra. Uso Tor porque confío en su naturaleza descentralizada, pero también superpongo el uso de Tor con otras tecnologías de seguridad como TLS. Utilizo contraseñas seguras, pero lo combino con el uso de autenticación de dos factores en todos los sitios que puedo. Mis contraseñas tienen un punto de falla. Mi doble factor tiene otro punto de falla. ¿Pero las probabilidades de que ambos se vean comprometidos por la misma persona simultáneamente? Son casi inexistentes. La clave para ser privado y seguro con éxito es ser redundante, tener tácticas superpuestas que ayuden a lograr el mismo objetivo y asegurarse de que no haya un solo punto de falla en el enfoque.

Modelos de Redundancia y Amenazas

Ahora, he dicho desde el primer día que no existe un enfoque de privacidad perfecto de “talla única”. Es importante no ser excesivamente redundante por muchas razones. Por un lado, hará que las cosas sean inconvenientes y, a menos que tu vida esté en juego, eventualmente te cansarás de los inconvenientes y dejarás de hacerlo, volviéndolo inútil. Algunas personas predican usar un dispositivo completamente separado para hacer el trabajo financiero, pero eso me parece excesivo en la mayoría de las situaciones. Quizás una máquina virtual sea más apropiada. O, sinceramente, en muchas situaciones basta con usar un contenedor diferente en Firefox o un navegador separado. En otros casos, demasiada redundancia te perjudica más de lo que te ayuda. Por ejemplo, usar demasiados complementos del navegador hace que tu navegador sea más “único” y se destaque entre la multitud. El beneficio de usar estos complementos (deshabilitar los rastreadores automáticos) es mínimo: Tu vida no correrá riesgo si Google descubre que te gusta el helado napolitano y lo agrega a su perfil de marketing.

El punto aquí es que es importante evaluar tu modelo de amenazas y determinar cuánta redundancia necesitas. Un periodista puede encontrar muy importante, dependiendo de la severidad de la información con la que esté trabajando, usar máquinas separadas para el trabajo y el placer. Un operativo de inteligencia puede arriesgar su vida si no tiene los dos factores habilitados. Una celebridad puede poner en riesgo a toda su familia al no comprar una casa en un fideicomiso anónimo o una corporación fantasma. Pero para la mayoría de las personas que leen esto, lo que está en juego es mucho menor.

Conclusión

Espero no haberlos confundido con el último párrafo. Mi punto no es “eh, probablemente no importa si haces o no estas cosas”. Mi punto es asegurarme de que no exageres. Si exageras en algo, existe un riesgo muy alto de que no lo hagas en absoluto. Tomemos las contraseñas y los dos factores de autenticación como ejemplo: todos deberíamos usar contraseñas seguras con un administrador de contraseñas y autenticación de dos factores siempre que sea posible. Fin de la historia, es incuestionable. Pero si tu opción de dos factores es un token de hardware y te lo olvidas con frecuencia en tu casa, probablemente sea seguro utilizar un token de software. La redundancia debería seguir existiendo porque el esfuerzo es mínimo mientras que la recompensa es inmensa. No es necesario ir al otro extremo y decidir que el token de hardware no funciona y simplemente deshabilitar el segundo factor por completo”. Pero en la mayoría de los casos, los riesgos también son mínimos. Es muy poco probable, para la mayoría de mis lectores, que estén siendo atacados por un estado-nación o un pirata informático sofisticado y requieran una medida de seguridad adicional. Un token de software es suficiente. No es necesario que te hagas la vida mucho más difícil. (Por supuesto que si no olvidas el token de hardware y te resulta bastante fácil adaptarte, tampoco hay razón para conformarse con menos).

Espero que esta publicación te haya sido útil y te haya dado algunas ideas. No te conformes con una solución de privacidad “única”. Y cuando tengas un solo punto de falla, por ejemplo, una bandeja de entrada de ProtonMail con muchos mails, asegúrate de comprender los riesgos y cómo mitigarlos. En ese ejemplo, diría que debes estar seguro de que estás utilizando credenciales seguras y de dos factores, y que también mantienes copias de seguridad de tus claves privadas localmente. Asegúrate de que la máquina que estás utilizando para acceder a esa cuenta de correo electrónico sea segura y esté limpia. Son una serie de técnicas superpuestas y de múltiples capas que se suman para crear un estilo de vida más seguro. Quizás otra forma de pensar en ello podría ser una armadura. Un casco es importante. Una pechera es importante. Cualquiera de los dos por sí solo es mejor que estar desnudo. Pero solo combinando toda la armadura se obtiene la máxima protección. Y algunas personas pueden necesitar una armadura a prueba de balas (mi analogía se está desmoronando aquí, pero tengan paciencia conmigo). Otros pueden necesitar algo que detenga pequeñas piedras y cuchillos desafilados. Pregúntate dónde estás, cuáles son las debilidades de tu armadura y cómo puedes solucionarlas. Y recuerda: incluso una armadura tiene puntos débiles. Nada es 100% seguro. Pero ciertamente podemos y debemos apuntar a lo más cercano posible y de manera sostenible.

Puede encontrar más servicios y programas recomendados en TheNewOil.org. También puedes recibir actualizaciones diarias de noticias sobre privacidad en @thenewoil@freeradical.zone o apoyar mi trabajo de diversas maneras aquí. Puedes apoyar estas traducciones con Monero.