El prefacio de esta serie de guías de seguridad,
La Parte 1 describe los elementos básicos que comprenden un modelo de amenaza y ofrece orientación para crear el suyo. Después de evaluar las expresiones de activos y adversarios de la ecuación del modelo de amenaza, es probable que haya determinado el nivel de peligro de su adversario y, por extensión, el calibre de sus herramientas.
Esta entrega comienza nuestra exploración de la sustancia central de la serie: cómo identificar los medios del adversario para atacar su activo y las contramedidas que puede implementar. Esta pieza aborda lo que la Parte 1 clasifica como un adversario de "categoría 1": el operador de un servicio que cataloga los datos que proporcionan los usuarios.
Si bien se adapta a las amenazas asociadas con los enemigos de categoría 1, todo lo cubierto en este artículo forma una base para resistir a los adversarios de categoría superior. Con eso en mente, recomiendo que cualquiera que quiera saber cómo pensar sobre posibles fuentes de compromiso lea esto. Sin embargo, las técnicas cubiertas aquí no serán suficientes para defenderse de los adversarios de nivel superior.
Sharp FAANGs toman un megabyte de datos
Más que cualquier otro factor, es nuestro activo el que determina el tipo de adversario que enfrentamos. Aquellos de nosotros que apuntamos a un adversario de categoría 1 estamos en esta posición porque nuestro activo es el corpus de datos personales sensibles como consecuencia de las transacciones en línea.
Todo esto se reduce a la cantidad de datos que un adversario puede obtener de usted y qué tan exhaustivamente puede analizarlo. Si sus datos pasan a través de algún software o hardware, su desarrollador o mantenedor disfruta de alguna medida de control. La realidad de la infraestructura de Internet es que no podemos examinar todos los dispositivos o códigos que interactúan con nuestros datos, por lo que debemos suponer que cualquier nodo que pueda retener nuestros datos ha hecho exactamente eso.
Los servicios de tecnología ubicua Facebook, Amazon, Apple, Netflix y Google, a menudo denominados "FAANG", son quizás los mayores acumuladores de datos de usuarios, aunque no están solos.
Cuando los servicios en línea recopilan afirmativamente nuestros datos, generalmente son para uno o ambos propósitos: Primero, un servicio realmente puede desear mejorar su experiencia. Es más probable que un servicio que anticipa sus deseos y necesidades retenga su usuario, y la única forma de hacerlo con precisión es aprender de sus deseos y necesidades tal como las expresa.
La segunda razón más común para la minería de datos es agregar y vender perfiles de usuario con fines publicitarios. Si una plataforma no puede obtener ingresos al descubrir lo que le gusta, transmite sus cuidadosas observaciones a una empresa que sí puede. Los datos del usuario pueden venderse varias veces, con más datos combinados en el camino, pero generalmente termina con un anunciante, que luego usa esos datos para mostrarle anuncios de productos que es más probable que compre.
En teoría, los perfiles de usuario en conjuntos de datos minados están anonimizados. A las empresas publicitarias no les importa quién es usted, solo qué anuncios desea ver. Aún así, si los datos contienen suficientes "clasificadores" (columnas en una tabla en la que los perfiles son filas), cada perfil expresará una combinación única, haciendo que los usuarios sean identificables. Es fácil, entonces, comprender la reticencia de las personas a dejar que se acumulen estos datos.
Sin embargo, los defensores de la categoría 1 no solo deben preocuparse por los datos, sino también por los metadatos, que a menudo son más reveladores. Un concepto notoriamente difícil de entender, los metadatos pueden considerarse como información que se genera inherentemente como consecuencia de la creación o existencia de datos.
Considera enviar un correo electrónico. El contenido semántico del correo electrónico serían los datos, mientras que los metadatos consistirían en la marca de tiempo de cuándo se envió, las direcciones de correo electrónico del remitente y el destinatario, sus respectivas direcciones IP, el tamaño del correo electrónico y muchos otros detalles.
Una transacción que precipita metadatos es lo suficientemente reveladora, pero los metadatos exponen significativamente más a medida que se observa con el tiempo. Para continuar con nuestro ejemplo, esto significaría procesar todos los correos electrónicos enviados y recibidos de un usuario, lo que un proveedor de correo electrónico puede hacer fácilmente. Al correlacionar las marcas de tiempo con la dirección IP del usuario, que proporciona una geolocalización y se reasigna a medida que el usuario cambia de red, el proveedor de correo electrónico puede inferir los patrones de movimiento espacial y las horas de vigilia del usuario. Por lo tanto, los metadatos aumentan el valor de los datos, su activo, de manera exponencial.
Antes de que podamos comenzar a equiparnos para defenderse de los adversarios de categoría 1, tengamos una mejor idea de quiénes son y de lo que son capaces de hacer. Los actores que se ajustan a la categoría 1 pueden variar desde proveedores de servicios de Internet (ISP) hasta los servicios en línea que usa e incluso a otros que se complementan con los que usa. El hilo conductor es su posición privilegiada con respecto a sus comunicaciones: las sirven, transportan o median de una forma u otra.
Las implicaciones completas de esta posición son más claras después de evaluar algunos puntos que un adversario de categoría 1 podría ocupar. Las entidades a continuación se dan en orden de cuán fundamentales son para facilitar su comunicación en línea. Además, son acumulativos: al abordar cualquiera de estos, también debemos manejar todo lo que aparece antes.
Una de las partes que siempre juega un papel en sus comunicaciones y todo lo demás en una computadora es el desarrollador del sistema operativo del dispositivo. Esto se debe a que el sistema operativo es responsable de interactuar con todo el hardware de red de su dispositivo y de pasar datos de un lado a otro entre los programas y la red.
Todo este intercambio de datos está impulsado por procesos de SO de bajo nivel que la mayoría de las personas no miran y no saben cómo interpretar. En términos prácticos, es difícil abordar el acceso del sistema operativo a sus datos. También es excesivo para este modelo de amenaza, pero lo cito aquí en aras de la exhaustividad, y para presentar el concepto para una discusión posterior.
La otra entidad que siempre ocupa un enlace en la cadena entre su dispositivo y la red es su ISP. Esta es la compañía que le asigna una dirección IP en Internet pública y le permite acceder a la red troncal de Internet a través de su infraestructura.
Debido a que todo lo que envía incluye la dirección IP geolocalizable para el remitente y el destinatario, y el ISP es responsable de entregarlo entre los dos, el ISP sabe en qué parte de Internet (y en el mundo real) se encuentra en todo momento.
Dado que todos los paquetes de Internet se registran por marca de tiempo, el ISP puede alinearlos con registros de direcciones IP a patrones de navegación de usuario divinos. Los ISP no solo están en condiciones de espiar su tráfico, sino que también tienen todos los incentivos para hacerlo. Los ISP recientemente fueron desregulados, lo que les permite
vende tus hábitos de navegación. Todo eso los convierte en uno de los mayores jugadores de categoría 1.
Dado que gran parte de nuestra comunicación digital se transmite a través de la Web, los navegadores web figuran en la mayoría de los modelos de amenazas. Es probable que se acceda a casi todos los servicios a través de un navegador, y lo más probable es que sea el software más utilizado.
Como es de esperar para una navegación web adecuada, un navegador conoce su dirección IP y la de cada sitio web de destino. Por lo tanto, su navegador sabe tanto sobre sus hábitos en línea como su ISP, pero está restringido a la web (es decir, solo HTTP).
Los navegadores también tienden a recopilar datos de diagnóstico (registros que catalogan posibles condiciones de falla de carga de la página) y enviarlos al desarrollador del navegador. En sí mismo, esto es útil, pero existe el riesgo de que estos datos atraviesen la esfera de influencia de una entidad particular que depende de la minería de datos para su beneficio: Google.
A excepción de Mozilla Firefox, todos los navegadores principales se basan en Chromium, el proyecto en el corazón del navegador Chrome de Google, y sobre el cual Google ejerce cierta influencia.
Los navegadores son responsables no solo de establecer conexiones a sitios web, sino también, de manera crucial, de administrar cookies y otros procesos en segundo plano. Una cookie del navegador es un fragmento de código que un sitio que visita deposita en su navegador para realizar alguna tarea, como permitirle permanecer conectado a un sitio en el que ya ha iniciado sesión. Sin embargo, de forma predeterminada, las cookies persisten independientemente de dónde navegue más tarde, hasta que su navegador lo elimine. En la mayoría de los casos, esto nunca es.
Las cookies producen simultáneamente la experiencia web a la que nos hemos acostumbrado y la minería de datos que lo sustenta. Por ejemplo, el seguimiento de las cookies se basa en sus hábitos de navegación, como las pestañas que tiene abiertas en cada momento, a las entidades que las instalaron en su navegador.
Por lo tanto, los navegadores terminan sirviendo como guardianes de sus datos, y su elección de navegador y configuración decide qué tan bien bloqueada está la puerta.
Los proveedores de correo electrónico también se encuentran en una posición excepcionalmente lucrativa para rastrear sus datos, ya que el correo electrónico es la puerta de enlace de facto a todos los servicios web. Es probable que haya visto suficientes correos electrónicos de verificación de cuenta para corroborar esto.
Además, su proveedor de correo electrónico retiene todo su contenido de correo electrónico, tanto entrante como enviado, lo que intrínsecamente corta una amplia franja en su vida. Un análisis a través de mensajes de minoristas, colegas y amigos puede pintar un retrato sorprendentemente vívido de usted. En otras palabras, los proveedores de correo electrónico obtienen el beneficio de cuán prolífico es el correo electrónico como canal de comunicación.
Las redes sociales presentan otra lente novedosa en datos sensibles sobre usted. Aunque las redes sociales no son tan importantes para la comunicación digital como lo es el correo electrónico, su caso de uso previsto permite que las plataformas obtengan mucha información a través de la correlación.
Más allá de eso, ofrece a los operadores datos que no puede expresar en ningún otro medio, especialmente si la plataforma promueve formatos de medios enriquecidos como fotos o incluye características de expresión de afinidad como los me gusta. Las actualizaciones de estado fomentan la actividad regular, las fotos están geoetiquetadas y son un alimento cada vez más rico para la inteligencia artificial de reconocimiento de imágenes, y una constelación de me gusta ensambla perfiles demográficos.
Por supuesto, la capacidad de las plataformas de redes sociales para organizar a los usuarios mediante redes interconectadas de amigos y seguidores, o mediante mensajes directos, revela un "gráfico social", un organigrama de quién fraterniza con quién.
¡Elige tus armas!
Ahora que sabes con qué están armados nuestros adversarios, ¿cómo puedes defenderte de ellos? Una cosa que puede parecer meritoria rudimentaria por lo que se pasa por alto es: la defensa más segura de su información es no almacenarla digitalmente en primer lugar.
Por supuesto, esta no es una opción para algunos registros. Aún así, ciertos datos personales pueden ser retenidos de dispositivos y plataformas digitales. Por ejemplo, no indique dónde vive o cuál es su cumpleaños. Puede dejar cosas como los perfiles de las redes sociales tímidamente desprovistas de intereses profundamente personales o asociaciones interpersonales.
Suponiendo que tiene datos que no puede mantener fuera de la red, el cifrado de extremo a extremo es el instrumento más efectivo que tiene. La criptografía (el estudio del cifrado) es una disciplina demasiado complicada para diseccionar aquí, pero en pocas palabras, el cifrado es el uso de códigos matemáticos que no pueden descifrarse excepto por el remitente y el receptor previstos.
El truco con el cifrado de extremo a extremo es garantizar que su definición de "receptor previsto" coincida con la definición de su servicio. Aunque un servicio puede encriptar su mensaje de usted a sus servidores, desencriptarlo y encriptar nuevamente su mensaje de su servidor a su interlocutor (quien lo desencripta), eso no es de extremo a extremo. El cifrado es de extremo a extremo solo si su mensaje está encriptado para que solo su corresponsal pueda descifrarlo, negando un vistazo a los servidores que interceden.
Con esto en mente, use el cifrado de extremo a extremo siempre que sea posible pero aún pragmático. Cuando haya una alternativa encriptada que no sea más (o solo un poco más) difícil de usar que su opción actual, realice el cambio.
Hay algunos lugares donde esto probablemente será viable para usted. Para comenzar, debe evitar el uso de redes inalámbricas abiertas (es decir, no están protegidas con una contraseña). Si se implementa con discreción, una red privada virtual (VPN) le brinda una sólida protección de uso general. Aún más fácil de configurar es la extensión HTTPS Everywhere, un complemento gratuito para su navegador. No es fácil habilitar el cifrado directamente con el correo electrónico, pero puede elegir un proveedor que prometa cifrado de extremo a extremo al destinatario de su mensaje.
En cuanto a otras contramedidas, es mejor abordarlas mediante un adversario específico.
Una VPN es la herramienta ideal para frustrar a los curiosos ISP. Para entender por qué, visualice el mismo escenario de navegación con y sin uno. Cuando se conecta a un sitio web sin una VPN, su ISP ve una conexión que va directamente desde su dirección IP al sitio. Esto vale para cada sitio que visita.
Si navega a través de una conexión VPN, su ISP verá solo una conexión entre su dirección IP y la dirección del servidor VPN, independientemente de cuántos sitios visite. Con una VPN, su computadora establece un canal cifrado desde usted al servidor VPN, pasa todo su tráfico de Internet a través de ella y hace que el servidor VPN lo reenvíe a donde quiera que se dirija. En otras palabras, la VPN navega en su nombre, pasando sus conexiones a través de un túnel que los observadores (incluido su ISP) no pueden penetrar.
Sin embargo, hay un problema: con una VPN, está ocultando sus datos de una entidad al pasarlos a través de otra. Entonces, si no puede confiar en esto último, no ha prestado más seguridad a sus datos. Asegúrese de leer atentamente las reseñas y las políticas de privacidad de los servicios VPN.
Dado que la mayor parte de la comunicación en línea se basa en la Web, es fundamental actualizar su navegador para bloquear sus datos. Su primera opción debe ser un navegador de código abierto, es decir, uno con código que esté disponible públicamente para que pueda auditarse de forma independiente. Solo Firefox cumple con los requisitos: Chromium, la base de Chrome, es de código abierto, pero Chrome no. Afortunadamente, Firefox es un excelente navegador que durante mucho tiempo ha abierto caminos en la Web.
Deberá cambiar algunas configuraciones. Primero, instale su navegador para eliminar todas las cookies y cachés cada vez que se cierre. Esto lo obligará a iniciar sesión en sus cuentas cada vez, pero de todos modos es una mejor postura de seguridad, ya que las cookies que lo mantienen conectado en las sesiones del navegador pueden ser robadas.
A continuación, debe rastrear la configuración de las opciones de seguimiento y desactivarlas todas.
Finalmente, agregue algunas extensiones que mejoran la seguridad. Lo creas o no, los bloqueadores de anuncios cumplen una función de seguridad, ya que la mayoría de los anuncios extraen datos confidenciales sobre ti y los envían a su nave no cifrada.
También debe instalar el
Electronic Frontier Foundation's Privacy Badger y
HTTPS en todas partes extensiones El primero mata los scripts de seguimiento que intentan insertarse en cada página que carga, mientras que el segundo encripta algunas conexiones web sin cifrar.
Alejarse de los proveedores de correo electrónico de espionaje es complicado, pero es posible para los dedicados entre ustedes. Además de ser dedicado, también debe estar dispuesto a pagar una tarifa de suscripción, para que su proveedor pueda obtener los ingresos para mantener su servicio.
Esto no es seguro, ya que algunos servicios pagados se doblan para vender sus datos. Sin embargo, si su servicio de correo electrónico es gratuito, es casi seguro que monetizará el perfil demográfico creado a partir de su correspondencia. Sepa que sus correos electrónicos están siempre a merced del proveedor de servicios, así que envíelos con prudencia.
Por último, reconsidere las aplicaciones que usa. Si hay aplicaciones o servicios con los que puede funcionar, deséchelos. Cada pieza de software que usa, ya sea instalada en su dispositivo o accedida a través de la nube, es otra entidad que tiene datos de usted.
Si no es posible descartar una herramienta, reemplácela con una que retenga menos datos. Favorezca las alternativas de código abierto siempre que sea posible, ya que están abiertas a un mayor escrutinio. También debe favorecer el software que requiere menos permisos numerosos e invasivos. Si no ve una buena razón por la cual una aplicación que hace X necesita permiso Y, omítala.
Ahora para sus asignaciones
Aquellos obligados a luchar contra las amenazas de categoría 2 y 3 ciertamente no deberían poner demasiada importancia en estas técnicas. De hecho, ese consejo de precaución se aplica también a los defensores de categoría 1, hasta cierto punto.
Este artículo no le brinda todo lo que necesita para tomar el examen, pero debe proporcionarle instrucciones suficientes para que pueda hacer su tarea, encontrar lecciones futuras e identificar su propia mentalidad preferida para consumir el material.
El examen final real será supervisado por su adversario, pero estoy disponible para horario de oficina.
Jonathan Terrasi ha sido columnista de ECT News Network desde 2017. Sus principales intereses son la seguridad informática (especialmente con el escritorio de Linux), el cifrado y el análisis de la política y los asuntos actuales. Es escritor y músico independiente a tiempo completo. Su experiencia incluye proporcionar comentarios técnicos y análisis en artículos publicados por el Comité de Chicago para defender la Declaración de Derechos.