El día que empezó la invasión rusa en Ucrania la hacker noruega residente en Nueva York Runa Sandvik tuiteó que podía ayudar: “Si optas por quedarte en Ucrania e informar sobre lo que está pasando, estaré encantada de analizar la seguridad física y digital contigo de forma gratuita”, escribió, junto a su dirección de email. El mensaje se viralizó. El uso de internet se mantiene en Ucrania y el móvil es una herramienta básica para periodistas y ciudadanos. Pero en 2022 la conciencia de que un dispositivo digital es útil y a la vez puede ser una lacra porque registra nuestro comportamiento, que puede ser observado.
If you’re choosing to stay in Ukraine and report on what’s happening, I’m happy to discuss physical and digital safety with you pro bono. Email me at runa dot sandvik at gmail. 🇺🇦🔐
— Runa Sandvik (@runasand) February 24, 2022
Esa conciencia se ve solo con una ojeada a las apps más descargadas en Ucrania: hay apps de conexión, mensajería y navegación cifrada, limpieza del dispositivo o información estricta sobre la guerra. Sandvik, que ha trabajado en la Fundación Tor, el navegador de la web oscura, y ha sido directora de seguridad de la información de la redacción del New York Times, creía que con pocos detalles podía ayudar: “Es lo que llamo seguridad fundacional, que sirve para el público en general”, dice a EL PAIS por videoconferencia desde Nueva York.
Los consejos sirven para elevar la complejidad de acceder a un móvil, no para defenderse contra adversarios sofisticados, pero ya es mucho más de lo que tiene la inmensa mayoría de usuarios. Las recomendaciones son precisamente asumibles porque una zona de guerra es, además de muchas otras cosas, estresante: “Si estás en un país informando sobre la guerra allí, es estresante, es frenético. Hay muchas cosas desconocidas”, dice Sandvik. Para esos momentos solo sirve algo conciso y sencillo. Lo único que cambiaría entre un usuario en un país en paz y alguien en una zona en conflicto sería el orden de los siguientes consejos.
1. Contraseñas únicas
“La primera mejor práctica es tener una contraseña segura y única en todos los sitios que utilizas”, dice. ¿Por qué? Para evitar que la pérdida o robo de una permita el acceso a varias de nuestras cuentas. También para que sea más difícil de adivinar probando a fuerza bruta. La mayoría de contraseñas que usamos se parecen mucho a las que usan otros: evitar eso es un paso asumible.
“Para ayudar con eso, puedes emplear un gestor de pasaportes”, añade. Es un programa que almacena docenas de contraseñas detrás de una sola. Es un esfuerzo pequeño comparado con el beneficio de disponer de contraseñas de 30 caracteres aleatorios y no tener que recordarlas nunca más.
2. Otra capa de seguridad
“La autenticación de dos factores sirve para agregar una capa adicional de seguridad a todas las cuentas”, dice Sandvik. Además de una buena contraseña, con la activación de este proceso si alguien pudiera obtenerla, aún necesitaría ingresar un código que recibes en el teléfono móvil para acceder a la cuenta. “Esto no es algo que hagan todas las empresas”, dice, pero sí la mayoría de grandes redes y bancos.
3. Los ajustes de las redes sociales
“Si estuviera hablando con un reportero en Ucrania, cambiaría el orden de lo que sugiero que hagan”, dice. El acceso a redes sociales de reporteros es, para Sandvik, un problema potencialmente más serio durante un conflicto. “Diría que mire la configuración de privacidad y seguridad en su cuenta de redes sociales para que pueda estar al tanto de lo que está compartiendo, cuándo y con quién”, añade.
Este tipo de ajustes sirve sobre todo para Facebook, que ha creado una nueva función para proteger cuentas en Ucrania.
2/ Last night, we also took steps to help people in region protect themselves online. We’ve launched a new feature in Ukraine that allows people to lock their profile to provide an extra layer of privacy and security.
— Nathaniel Gleicher (@ngleicher) February 24, 2022
También Twitter ha recordado cómo desactivar sus cuentas o proteger los tuits.
If you feel safest deleting your account, deactivating your Twitter account will be the first step and will mean that your username, profile, and Tweets won’t be viewable anymore unless you reactivate within 30 days. https://t.co/a3UJRpY1mC
— Twitter Safety (@TwitterSafety) February 24, 2022
4. ¿Una red privada virtual?
Otra recomendación centrada en zonas con acceso restringido a internet son las redes privadas virtuales o VPN. Es un modo de lograr acceso a contenido que en algunos lugares no está disponible.
“Si estás en un lugar donde por ejemplo el acceso a Facebook está bloqueado puedes usar un servicio VPN. También podría servir para limitar el acceso a nuestra navegación”, dice. Los VPN tienen sin embargo un problema. Cuando se usa uno de estos servicios el proveedor no puede ver nuestra navegación, pero sí quién nos proporciona el VPN. Eso los hace un proveedor tentador par comerciar con esos datos. Para evitar eso, Sandvik ofrece cuentas seguras de VPN con OpenVPN o recomienda este enlace donde se muestran otros dos proveedores.
5. ¿Y qué ‘app’ de mensajería hay que usar?
Sandvik recomienda dos: “Mi favorita es Signal y WhatsApp es la segunda, muy cerca de la primera”, dice.
¿Y Telegram? Tiene problemas. “Es importante reconocer que Telegram es extremadamente popular en Europa del Este y mucha gente la usa. Sin embargo, desafortunadamente, Telegram a lo largo de los años ha sido descrito como una aplicación de mensajería segura y no lo es. No está cifrada de la forma en que lo está la señal en WhatsApp. Así que Telegram es genial para acceder a la información. Probablemente también sea bueno para compartir memes y chistes y cosas así. Pero si está buscando una aplicación de mensajería segura que cifre sus llamadas y sus mensajes, sería Signal”, añade.
En Ucrania parecen haber detectado estas diferencias entre necesidad y comodidad. Las tres aplicaciones llevan desde el principio del conflicto entre las más descargadas. Para un uso más seguro de Telegram, la Electronic Frontier Foundation ha hecho una guía.
6. Qué hacer con el email
“Puedes tener un correo electrónico muy seguro, donde ejecutas todo tú mismo, tienes el control del servidor cuando haces eso”, dice. “Pero entonces es como si fueras el administrador del sistema, el ingeniero de seguridad, la persona que se hace cargo de todos los costes y además debes responder a los emails”, añade. Lo que se convierte en inviable.
Sandvik es muy consciente de la necesidad de encontrar el equilibrio para cada ocasión y usuario, entre la seguridad y la facilidad de uso que se necesita: “En un contexto periodístico creo que es completamente apropiado usar un servicio como Google para email. Y luego simplemente saber cuándo y con qué propósito puedes o debes usar otra cosa”, dice. El objetivo es, cuando sea necesario, configurar una segunda cuenta de correo con un proveedor diferente para un proyecto específico o para el futuro.
Por ejemplo en Ucrania, o aún mejor, dice Sandvik, si hubieras ido a los Juegos Olímpicos de invierno en Pekín: ”Olvídate de tu Gmail y configura uno solo para esos días y da ese cuando estés allí”, dice. En un momento de riesgo, dice, no es conveniente tener que ir saltando entre cuentas de correo.
7. ¿Y los enlaces sospechosos?
Los periodistas suelen recibir mensajes interesantes de fuentes propicias con un archivo o enlace. La tentación de pinchar es obvia: ¿cómo protegerse del peligro de que sea un intento de phishing o fraude?
Sandvik recomienda usar el servicio urlscan.io. “Aunque debes tener mucho cuidado si vas a copiar el enlace desde un teléfono móvil”, advierte, para que no cliques sin querer.
Para archivos adjuntos, si estás en Gmail debes simplemente hacer clic en el adjunto dentro de la interfaz web de Gmail y se abrirá en su navegador. “En ese momento, Gmail crea una zona de pruebas para los archivos adjuntos”, explica. Así, si hay algo malicioso en el archivo adjunto, solo afectará a la zona de pruebas [sandbox]. No a la cuenta, navegador o computadora. “El riesgo de archivos adjuntos maliciosos aparece principalmente si se descarga en el ordenador y luego lo abres. Pero solo ver el archivo adjunto en el navegador generalmente está bien”, dice.
Un truco adicional para trabajar con el documento sin descargarlo es desde la versión web de Gmail “imprimir como pdf” el documento. Así creas una copia para uso propio.
8. ¿Cómo lidiar con conexiones wifi?
Sandvik no parece especialmente preocupada por el tipo de navegación que puede ver el proveedor de wifi. “El reto ahí y lo que hay que tener en cuenta cuando estás en wifi en un hotel, biblioteca o aeropuerto, el administrador puede ver qué sitios estás visitando, pero debido a que tantas páginas ofrecen cifrado, el administrador no puede ver a lo que accedes”, dice.
Aunque siempre hay métodos: el dueño del wifi no puede ver la búsqueda que haces en Google pero sí puede ver el enlace en el que clicas. “Pero si has buscado un libro y has pinchado en amazon, no verá qué libros es”, añade Sandvik.
9. ¿Y si hay mucho presupuesto?
El mayor consejo de hardware es usar un ordenador de usar y tirar para viajes delicados. Si existe el temor de que alguien pueda acceder al dispositivo si se deja por ejemplo en una habitación de hotel, la mejor protección es usar uno vacío y sin acceso permitido a cuentas delicadas. Con el móvil es menos necesario porque siempre se lleva encima.
“Hoy tenemos la tecnología, herramientas y software para realmente ayudar a usuarios a trabajar de manera segura. Solo es cuestión de incorporar eso en el trabajo diario”.
Puedes seguir a EL PAÍS TECNOLOGÍA en Facebook y Twitter o apuntarte aquí para recibir nuestra newsletter semanal.
Contenido exclusivo para suscriptores
Lee sin límites