En este punto, señalar que las personas ahora están más preocupadas por la privacidad en línea que nunca antes no es una observación novedosa. Sin embargo, lo fascinante es que el interés en la seguridad digital personal se ha mantenido alto desde que el problema explotó hace unos siete años. En otras palabras, en lugar de experimentar un pico de corta duración, se ha mantenido la conciencia de la privacidad digital.
Esto es especialmente alentador para mí, ya que obtuve mi experiencia en tecnología precisamente por el deseo de asegurar mi propia autonomía digital.
Sé mejor que nadie que no siempre está claro a quién recurrir para mejorar la seguridad digital. Manejar el tema puede parecer como intentar saltar a un tren en movimiento. Para ampliar la metáfora, este artículo puede darle un comienzo rápido.
Espero que una guía desde la perspectiva de alguien que no hace mucho tiempo probablemente supiera menos que usted ahora, desarrolle una base suficiente para viajar por su cuenta.
Pegando su modelo de amenaza
Entonces, ¿por dónde empiezas? En pocas palabras, contigo mismo. Todo el propósito de la seguridad es proteger lo que es valioso, y lo que es valioso es diferente para todos. En consecuencia, la seguridad solo es posible después de determinar el objeto de valor. Solo entonces puede evaluar hasta dónde llegar para salvaguardarlo.
Antes de poder pensar en los medios, debe seleccionar el final. En el caso de la seguridad digital, debe averiguar qué es lo que está tratando de proteger. Esto podría ser tan sencillo como ciertos archivos en sus dispositivos, o el contenido de sus comunicaciones con los asociados.
Podría ser más abstracto. Por ejemplo, como consecuencia de su comportamiento, ciertos detalles personales sobre usted, aunque no se encuentran en los archivos como tales, pueden inferirse y capturarse automáticamente como flujos de datos similares a los archivos, llamados "metadatos".
En el contexto de la seguridad digital, todo esencialmente toma la forma de información, por lo que debe pensar detenidamente sobre qué información está protegiendo, y todas las formas que puede tomar o las formas en que se puede acceder a ella. Al principio, esto puede ser una tarea difícil, pero se vuelve más fácil con la práctica.
La definición de la información que desea proteger le brinda el primer componente que comprende lo que se denomina un "modelo de amenaza", básicamente su visión estratégica de alto nivel sobre cómo mantener segura su información. En el contexto de su modelo de amenaza, su valiosa información se conoce con el nombre más sucinto de "activo".
Una vez que haya definido su activo, es hora de identificar a su "adversario", que es el nombre glorificado para las entidades que desean tomar su activo. Esto ejerce una fuerte influencia en cómo se verá su modelo de amenaza en última instancia: su estrategia para conservar su activo será muy diferente dependiendo de si su adversario es su vecino entrometido o un gobierno hostil.
Al contemplar a tu adversario, es fundamental enumerar las amenazas realistas. Puede parecer contradictorio, pero, como verá al final de este manual, en realidad no ayuda a sobreestimar a su enemigo.
La palabra "adversario" puede evocar un enemigo diabólico, pero ese no tiene por qué ser el caso. Aunque no debes inflar a tu antagonista, tampoco debes pasarlo por alto. Si bien es muy fácil distinguir a un adversario como un colectivo de piratería criminal (si ese es realmente el suyo) por sus intenciones manifiestamente malas, su adversario podría ser un servicio que utiliza voluntariamente pero en el que no confía por completo. El punto es que debes catalogar a cada jugador que quiera tu activo, sin importar la razón.
Con esos dos pilares en su lugar, es hora de terminar el trípode: contabilizando su activo y adversario, debe evaluar los medios que el adversario tiene a su disposición y, lo más importante, los medios que tiene y las longitudes que está dispuesto a recorrer. para proteger su activo Estas dos últimas cosas no siempre son iguales, de ahí la distinción.
Afortunadamente, hay una gran cantidad de herramientas disponibles para mantener su activo seguro, si sabe cómo usarlas. Aún mejor, los más efectivos son todos gratuitos. El límite real en la práctica es el de la autodisciplina. Tenga en cuenta que una salvaguarda poderosa es inútil sin la resolución de utilizarla de manera consistente sin ceder.
Categorizar y priorizar
Me gusta pensar que los adversarios ocupan una de tres categorías:
- Los adversarios de categoría 1 son entidades que participan en lo que popularmente se llama "capitalismo de vigilancia", pero técnicamente se denomina "minería de datos". Operando predominantemente en el sector privado, los actores de categoría 1 son aquellos que recopilan información pasiva de usted como consecuencia de su uso de sus servicios. Sin embargo, en los últimos años hemos aprendido que las empresas sobrepasan este pacto implícito de
recopilar datos sobre individuos incluso cuando esas personas
no hagas negocios explícitamente con ellos. En general, estos adversarios no buscan sus datos directamente. En lugar de venir a ti, esperan que vengas a ellos. Por lo tanto, pueden verse frustrados por las elecciones de consumidores más astutos. - Los adversarios de categoría 2 son aquellos que emplean principalmente técnicas ofensivas para ejecutar ataques dirigidos y no dirigidos (es decir, indiscriminados) a los usuarios. Esta categoría incluye un espectro diverso de atacantes, desde sombreros negros solitarios hasta empresas criminales sofisticadas. Lo que todos tienen en común es que sus métodos son intrusivos, violan activamente las defensas y definitivamente no están legalmente sancionados.
- La categoría 3 abarca a los adversarios más formidables: enemigos que pueden aprovechar los recursos estatales. De hecho, los actores en esta categoría son los únicos que califican para el término de consenso de seguridad de la información "amenazas persistentes avanzadas" o APT. Al igual que los opositores de categoría 2, llevan a cabo operaciones ofensivas invasivas, pero lo hacen con los recursos financieros de una facción política o gobierno detrás de ellos, y en muchos casos, la inmunidad legal de uno también.
Esta es mi propia taxonomía, en lugar de los términos aceptados de la industria, pero espero que ilustre los tipos de adversarios a los que puede enfrentarse lo suficientemente vívidamente para ayudarlo en su modelado de amenazas.
Tendrás que juzgar por ti mismo cuál de estas categorías describe a tus adversarios de la manera más adecuada, pero hay algunos diagnósticos rápidos que puedes ejecutar para caracterizar lo que debes tener en cuenta, en función de tus activos y de los propios adversarios.
Si no considera que su trabajo sea particularmente sensible y solo desea mitigar el factor escalofriante de los datos personales íntimos almacenados y analizados sin piedad y sin piedad, se enfrenta a un escenario de categoría 1. La mayoría de ustedes probablemente se encontrarán en este barco, especialmente si confían en algún grado en las redes sociales o en los servicios de comunicación operados por compañías tecnológicas basadas en los ingresos publicitarios.
Para aquellos de ustedes que poseen información muy valiosa, como datos financieros de más de seis cifras, existe una buena posibilidad de que necesiten armarse contra los atacantes de categoría 2. La naturaleza lucrativa de la información que maneja significa que probablemente atraerá a actores que trabajarán de manera específica y activa para violar sus defensas y robársela.
El tratamiento de datos verdaderamente confidenciales, del tipo que podría significar la vida o la muerte de ciertas personas, lo expone a los adversarios de categoría 3. Si eres el tipo de persona que corre el riesgo de ser atacado por un actor a nivel estatal, como un periodista de seguridad nacional o un profesional del sector de defensa, ya lo sabes. Si defenderse de los atacantes de categoría 3 es su realidad, necesita mucha más seguridad operativa de la que posiblemente podría proporcionarle. Mi tratamiento de los actores de categoría 3 será más por pintar una imagen completa para los lectores en general, y para transmitir una sensación de escala de posibles contramedidas.
Próximos pasos
En este momento, debe tener una idea de cuál es su activo y qué adversario atrae. Esto se alinea con mi hoja de ruta para esta serie de cuatro partes. Las entregas posteriores se centrarán en determinar qué herramientas y prácticas necesitan sus activos y adversarios.
Los siguientes tres artículos de esta serie lo equiparán con algunas herramientas para contrarrestar cada una de las categorías adversarias. En la próxima entrega, que delinea las amenazas de la categoría 1, aprenderá la higiene digital que es beneficiosa para todos y suficiente para la mayoría, pero inadecuada para aquellos que se enfrentan a los enemigos en las categorías 2 y 3.
El artículo que sigue, junto con la educación de aquellos que anticipan amenazas de la categoría 2, podría atraer a aquellos que quieran adelantarse a la manada defendiéndose de la categoría 1. También construirá un puente para aquellos destinados al difícil camino de resistir los ataques de categoría 3 , pero no será suficiente en sí mismo.
En lugar de centrarse en las herramientas de software, la última pieza se esforzará por delinear los patrones de pensamiento necesarios para combatir a los oponentes más intimidantes que uno puede enfrentar en seguridad de la información. Teniendo en cuenta la capacidad inherentemente vasta de las amenazas de categoría 3, el objetivo es describir la mentalidad evaluativa de aquellos que necesitan defenderse de ellas.
No puede tenerlo todo, pero debe intentar tener algunos
Te dejaré con un pensamiento de despedida para establecer el tono de esta serie: no importa cómo se adapte tu modelo de amenaza, enfrentarás una compensación entre seguridad y conveniencia. Nunca tendrá ambos, y su relación inversa significa que un aumento en uno disminuye el otro. Un modelo de amenaza viable es aquel que encuentra el equilibrio entre los dos con los que puede seguir, pero que aún aborda la amenaza en cuestión. La única forma de mantener ese equilibrio es a través de la disciplina.
Esto es exactamente por qué los planes que exageran a tu adversario no funcionan. Todo lo que hacen es cambiar más comodidad de la que puede tolerar por la seguridad que no necesita, lo que lleva al abandono del modelo de amenaza con mayor frecuencia que a una revisión del mismo. En cambio, si encuentra su equilibrio y tiene la voluntad de mantenerlo, se pondrá en el camino hacia el éxito.
Ese camino, como verá, es desafiante y largo, posiblemente interminable, pero hay una recompensa puramente por recorrerlo. Lo único más satisfactorio que comenzar su camino sinuoso es traer una nueva compañía. Entonces, nos vemos la próxima vez, cuando empecemos.
Jonathan Terrasi ha sido columnista de ECT News Network desde 2017. Sus principales intereses son la seguridad informática (especialmente con el escritorio de Linux), el cifrado y el análisis de la política y los asuntos actuales. Es escritor y músico independiente a tiempo completo. Su experiencia incluye proporcionar comentarios técnicos y análisis en artículos publicados por el Comité de Chicago para defender la Declaración de Derechos.