Seguridad Privacidad Digital

download Seguridad Privacidad Digital

of 148

Transcript of Seguridad Privacidad Digital

  • 8/6/2019 Seguridad Privacidad Digital

    1/148

  • 8/6/2019 Seguridad Privacidad Digital

    2/148

    Este libro est dedicado a todos los defensores de los derechos humanosque continan su trabajo, difcil y honesto, tambin en Internet.

    Algunas de estas personas estn en prisin debido a sus actividades enla red. Mohammed Abbou cumple una condena de 3,5 aos de prisin en

    Tnez por publicar un artculo en Internet en el que comparaba

    las prisiones tunecinas con la de Abu Ghraib.

  • 8/6/2019 Seguridad Privacidad Digital

    3/148

    Febrero de 2007

    Actualizacin de septiembre de 2009

    Escrito por Dmitri Vitaliev

    Esta obra se halla bajo licencia de Creative Commons Attribution - NonCommercial-ShareAlike 2.5License

    Front Line agradece el apoyo financiero de Irish Aid que ha hecho posible este proyecto.La responsabilidad por el contenido del manual es nicamente del autor y de Front Line.

  • 8/6/2019 Seguridad Privacidad Digital

    4/148

    AgradecimientosFront Line y Dmitri Vitaliev desean agradecer a las siguientes personasy organizaciones su inestimable ayuda en la investigacin y compilacin deeste libro:

    r Reporters sans frontires www.rsf.orgr Privacy International www.privacyinternational.orgr The OpenNet Initiative www.opennetinitiative.orgr Wikipedia www.wikipedia.orgr Berkman Center

    for Internet & Societyat Harvard Law School http://cyber.law.harvard.edu

    r International Freedomof Expression eXchange (IFEX) www.ifex.org

    r The Association forProgressive Communications www.apc.org

    r Peace Brigades International www.pbi.orgr Electronic Frontier Foundation www.eff.orgr Cambridge Security Programme www.cambridge-security.netr Privaterra www.privaterra.org

    Rosemary WarnerSteven MurdochRoss AndersonElijah Zarwan

    Julian WolfsonBert-Jaap KoopsWojtek BoguszMary LawlorAndrew Anderson

    ...as como a los numerosos defensores de los derechos humanos que seencuentran en pases de todo el mundoentre ellos Zimbabwe, Guatemala,China, Cuba, Tnez, Arabia Saudita, Egipto, Yemen, Kirguistn, Rusia,Bielorrusia, Mxico, etc. , por responder preguntas y ofrecer testimoniosy pruebas que dieron lugar a la idea que subyace a este libro y su contenido.

    diseo grfico e ilustracionesAssi Kootstra

    II

  • 8/6/2019 Seguridad Privacidad Digital

    5/148

    FRONT LINEThe International Foundationfor the Protection of Human Rights Defenders

    Los derechos humanos son garantizados por el derecho internacional, pero tra-bajar para asegurarse de que se efecten y hacerse cargo de los casos de laspersonas cuyos derechos han sido violados puede ser una tarea peligrosa en pa-

    ses de todo el mundo. Los defensores de los derechos humanos son a menudola nica fuerza entre la gente comn y el poder inmoderado del Estado. Son esen-ciales para el desarrollo de procesos e instituciones democrticos, para acabarcon la impunidad y para la promocin y proteccin de los derechos humanos.Los defensores de los derechos humanos suelen sufrir acoso, detencin, tortura,difamacin, suspensin de su empleo, negacin de la libertad de circulacin y difi-cultad para obtener el reconocimiento legal de sus asociaciones. En algunos pa-ses son asesinados o estn desaparecidos.Front Line fue fundado en Dubln en el ao 2001 con el objetivo especfico de pro-teger a los defensores de los derechos humanos, personas que trabajan en formano violenta a favor de todos o alguno de los derechos consagrados en laDeclaracin Universal de los Derechos Humanos. Front Line tiene como objetivoabordar algunas de las necesidades identificadas por los propios defensores,incluida la proteccin, la creacin de redes, la formacin y el acceso a mecanis-mos temticos y de pas de la ONU y otros organismos regionales.El objetivo principal de Front Line se centra en los defensores de los derechoshumanos que se encuentran en riesgo, ya sea temporal o permanente, debido altrabajo que realizan en nombre de sus conciudadanos. Front Line cuenta con unprograma de pequeas subvenciones para garantizar la seguridad de los defen-sores, y moviliza campaas y cabildeo en nombre de los defensores que se hallanen peligro inmediato. En situaciones de emergencia, Front Line puede facilitar reu-bicacin temporal.Front Line realiza investigaciones y publica informes sobre la situacin de los defen-sores de los derechos humanos en pases concretos. La organizacin se encar-ga tambin de elaborar materiales de recursos y de formacin, en nombre de losdefensores de los derechos humanos, as como de facilitar la creacin de redesy el intercambio entre los defensores en diferentes partes del mundo. Los proyec-tos de Front Line se realizan, por lo general, en asociacin con organizaciones dederechos humanos especficas de cada pas.Front Line promueve la conciencia de la Declaracin Universal de los DerechosHumanos y trabaja para garantizar que los principios y normas establecidos en la

    Declaracin sobre el derecho y el deber de los individuos, los grupos y las institu-ciones de promover y proteger los derechos humanos y las libertades fundamen-tales universalmente reconocidos (conocida como la Declaracin sobre losDefensores de los Derechos Humanos) sean conocidos, respetados y observadosen todo el mundo.Front Line tiene un Estatus Especial Consultivo del Consejo Econmico y Social delas Naciones Unidas.Para sufragar este trabajo, Front Line se basa enteramente en la generosidad delos fondos individuales e institucionales.Front Line ha tenido la suerte, desde su lanzamiento en 2001, de recibir financia-miento de una gran diversidad de fuentes, as como donaciones de particulares.Front Line tiene el estatus de organizacin benfica (CHY NO 14029) y esindepen-diente e imparcial.

    III

  • 8/6/2019 Seguridad Privacidad Digital

    6/148

    NDICEIntroduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1

    Los problemas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1La seguridad como proceso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2Gua para el manual. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3

    1.1 Seguridad e inseguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4Los mtodos y tendencias de vigilancia, la censura y la agresin electrnica.5Las amenazas especficas a las que se enfrentan los defensores de losderechos humanos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6

    1.2 Sensibilizacin sobre la seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8Cmo asegurar su entorno operativo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8En la oficina. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8rea personal de trabajo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9Entorno pblico (p. ej., cibercaf). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9Preguntas que debe hacerse. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10

    1.3 La evaluacin de amenazas y el crculo de seguridad . . . . . . . . . . . . . . . . .13Prevencin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15Reaccin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15Descripcin del crculo de seguridad: seguridad compleja. . . . . . . . . . . .17

    2.1 La seguridad de Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19La actualizacin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19Para los techies. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22BIOS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22La instalacin de software. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22

    2.2 La proteccin por contrasea . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24Descifrar contraseas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24Perfiles de contraseas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25Ingeniera social. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25Fuerza bruta. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26La creacin de contraseas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26Mtodos mnemotcnicos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26

    2.3 Copia de seguridad, destruccin y recuperacin de la informacin . . .28Copia de seguridad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28Estrategias de copias de seguridad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29Para los techies. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29Destruccin de la informacin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .30Los problemas de la eliminacin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .30La limpieza de datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .30Archivos temporales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31Pautas para la limpieza de datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31Para los techies. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .32La recuperacin de la informacin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .32Prevencin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33

    2.4 La criptologa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34Historia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34El cifrado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34El cifrado de discos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35El cifrado de clave pblica. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35

    1

    2

    IV

  • 8/6/2019 Seguridad Privacidad Digital

    7/148

    Cifrar y descifrar un mensaje. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35Seguridad de las claves. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36Para los techies. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .37Firma digital. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .37La inseguridad del cifrado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .38

    2.5 Vigilancia en Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .41Monitorizacin de la navegacin por Internet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .41Monitorizando la actividad de sitios web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .42Filtrado y censura de sitios web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .43Censura en Internet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .44Listas negras y modificacin de DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .45Secuestro de DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .45Filtrado por palabras clave. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .46

    2.6 Evasin de la censura y del filtrado en Internet . . . . . . . . . . . . . . . . . . . . . . .48Retorno a la censura. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48Utilizando un proxy para conectarte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48Anonimizadores. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .49

    Utilizando servicios proxy cifrados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .50Redes privadas virtuales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .51Redes de anonimato. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .52Resumen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .52

    2.7 Cifrado en Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .54Certificados SSL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .55Correo electrnico seguro. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .58Crculo de seguridad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .60Para Techies. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .61Man-in-the-Middle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .61

    2.8 Esteganografa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .63Esteganografa lingstica. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .63Semagramas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .64Cdigos abiertos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .64Cdigos ocultos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .65Esteganografa de datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .66Ocultando en imgenes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .67Ocultando en audio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .68El software de esteganografa. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .68

    2.9 Software malicioso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .71Virus. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .71Historia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .72Variaciones del software malicioso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .72Spam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .75Historia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .75Previniendo el spam. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .76

    2.10 Perfiles de identidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .78Identidad digital. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .79Perfiles digitales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .80Autenticidad y autentificacin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .81Hacia el anonimato digital. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .83

    V

  • 8/6/2019 Seguridad Privacidad Digital

    8/148

    3.1 Censura del contenido online . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .88Publicacin de materiales online. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .883.2 Vigilancia de comunicaciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .933.3 Criptografa. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .953.4 Persecucin de los Defensores de Derechos Humanos. . . . . . . . . . . . . . . . .96

    4.1 Caso prctico 1 Creando una poltica de seguridad . . . . . . . . . . . .100Elaborando un plan de seguridad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .101Componentes del plan. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .101Poniendo en prctica tu plan. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .102

    4.2 Caso prctico 2 Canales de comunicacin . . . . . . . . . . . . . . . . . . . . . . . . .105Resumen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .105Amenazas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .105Soluciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .106Comunicacin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .106Informacin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .107

    4.3 Caso prctico 3 Asegurando y archivando datos . . . . . . . . . . . . . . . . . . .111Resumen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .111

    Amenazas y Vulnerabilidades. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .111Soluciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .112Acceso a la informacin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .112Respuestas detalladas a las amenazas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .114

    4.4 Caso prctico 4 Correo electrnico seguro y blogs . . . . . . . . . . . . . . . . .116Resumen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .116Amenazas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .116Soluciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .116Correo electrnico seguro. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .116Asegurando la informacin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .117Correo electrnico annimo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .118Evitando los bloqueos de sitios web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .118Protegiendo la identidad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .119Asegurando el porttil. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .119Contraseas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .119

    Apndice A. Ordenadores explicados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .121Historia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .121La actualidad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .122Cmo funcionan los ordenadores. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .122

    Sistemas operativos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .124Software Propietario vs FOSS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .125Apndice B. Internet explicado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .126

    Historia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .126La World Wide Web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .126Internet hoy en da. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .127Infraestructura bsica. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .127Correo electrnico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .130Sitios web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .131Voz sobre IP (VoIP). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .131Blogs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .132Redes sociales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .132

    Apndice C Cmo de larga debera ser mi contrasea? . . . . . . . . . . . . . . .133Glosario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .134

    A

    VI

    34

  • 8/6/2019 Seguridad Privacidad Digital

    9/1481

    Como sabemos, hay cosas conocidas conocidas. Hay cosas quesabemos que sabemos. Tambin hay desconocidos conocidos.Es decir, cosas que sabemos que no sabemos. Pero tambin hay cosas desconocidas desconocidas, las que no sabemos que nosabemos.

    Donald Rumsfeld, Secretario de Defensa de EE.UU., diciembre 2003

    INTRODUCCINLos defensores de los derechos humanos usan cada vez ms ordenadores eInternet en su trabajo. Aunque el acceso a la tecnologa sigue siendo un granproblema en todo el mundo, los medios electrnicos de almacenamiento y trans-misin de informacin son cada vez ms comunes en las organizaciones dederechos humanos. En muchos sentidos, Internet ha mejorado el trabajo y laseguridad de los defensores: aument la eficacia de su misin, facilit su acce-so a la informacin y estimul su comunicacin con las organizaciones asocia-das. Por otra parte, sin embargo, tambin conllev algunos problemas y vulne-

    rabilidades que antes no existan.Este libro no est dirigido a un mago de los ordenadores. Sus objetivos soninformar a los usuarios de ordenadores comunes y ofrecerles soluciones a losproblemas de privacidad y seguridad que pueden surgir en un entorno digitalmoderno.

    Escribimos documentos, dibujamos y nos comunicamos por ordenadores eInternet. Los programas para llevar a cabo estas acciones son tan sencillos queno necesitamos saber exactamente cmo funciona un ordenador, mientras fun-cione correctamente. As, utilizamos una tecnologa que no comprendemos total-mente; sin embargo, dependemos de ella en gran medida. Como consumido-res de la era digital, queremos un producto acabado, no una lista de sus com-ponentes.Pero, qu hacemos si las cosas van mal?, cuando nuestro ordenador se estro-pea y aniquila aos de trabajo duro?, cuando nuestros correos electrnicos nollegan a los destinatarios o cuando no podemos acceder a un sitio web? Cmoreaccionar ante la noticia de un virus que daa ordenadores en todo el mundo,o ante un correo electrnico recibido supuestamente de un amigo que nos pideque abramos el archivo adjunto? Las decisiones tomadas sin informacin con-ducen a malas elecciones, y la confianza ciega en la tecnologa suele dar lugara costosos errores.

    El trabajo de los defensores y las organizaciones de derechos humanos se entre-laza con la tecnologa. sta facilita la comunicacin y nos permite almacenar yprocesar grandes cantidades de informacin de forma barata y dentro de unespacio mnimo. Incluso permite a una organizacin pequea y remota adquiriruna voz global. Una conversacin electrnica mantenida un par de aos antespuede recordarse en cuestin de segundos, y el autor de una violacin de losderechos humanos, por ejemplo, puede recibir miles de correos electrnicos yfaxes furiosos de todo el mundo. En poco tiempo, los ordenadores e Internetse han convertido en partes esenciales e inseparables del trabajo en derechos

    humanos.Los problemasLa abundancia de informacin almacenada en forma digital y la capacidad dedifundirla en el mundo entero ha creado una de las industrias ms grandes en

    I N T R O D U C C I N

  • 8/6/2019 Seguridad Privacidad Digital

    10/1482

    la historia humana: la industria de la informacin. Mueve miles de millones dedlares y genera enormes ganancias para los que controlan y operan su estruc-tura subyacente. La capacidad de manipular, seguir y restringir la informacinelectrnica se ha convertido en un pasatiempo, un trabajo o una poltica paramuchas personal, empresas y departamentos gubernamentales. La guerra con-tra el terrorismo les ha dado carta blanca para poner en prctica la vigilanciay la censura de Internet, que antes era abierto y libre. Las justificaciones detales actividades son profundas y con frecuencia erosionan algunos derechos

    humanos y libertades bsicos. Algunos pases incluso han introducido leyes que justifican y alientan estas prcticas para aumentar an ms la persecucin y elsufrimiento de los defensores de los derechos humanos y debilitar su legtimotrabajo, reduciendo as su capacidad para proteger los derechos de otros.Decenas de defensores y periodistas se encuentran actualmente en prisin portratar de difundir su trabajo por el mundo digital sin el conocimiento adecuadode cmo hacerlo de manera segura.

    Hay que decir aqu que la tecnologa en general todava no ha alcanzado todoslos rincones de nuestro planeta. Hay millones de personas que nunca han vistoun semforo, y mucho menos un ordenador. La enorme brecha material entrelas naciones ricas y pobres tambin se manifiesta en el mundo de tecnologaelectrnica y es conocida como brecha digital. Las posibilidades de llegara la comunidad mundial de los defensores de los derechos humanos que sehallan en el lado equivocado de la brecha son muy reducidas.

    Este libro es una introduccin al mundo creciente y complejo de la seguridadelectrnica. No solo va a aumentar su nivel de conocimiento y sensibilizacinacerca de los ordenadores e Internet, sino que tambin le advertir de los dis-tintos riesgos a los que puede exponerse en el entorno digital y le dir cmoabordarlos.

    El libro est escrito para los defensores de los derechos humanos, y por lotanto, introduce las formas de prevenir la erosin de las libertades universal-mente garantizadas. Junto a la teora, ofrece posibles soluciones a algunos delos problemas de la seguridad en los ordenadores e Internet.

    La seguridad como procesoEsto no es un libro de respuestas. Imagine que acude a un experto en seguri-dad para que lo asesore sobre cmo reaccionar a las amenazas de la vida realy al acoso fsico. Antes de darle una respuesta, es probable que el experto le

    haga una serie de preguntas sobre la naturaleza exacta de los riesgos y ame-nazas a los que se enfrenta. Lo mismo ocurre con la seguridad electrnica: noexiste una solucin inmediata a cada problema de seguridad en los ordenado-res e Internet. Tal vez se haya percatado que los expertos rara vez ofrecenrespuestas directas.Este manual de seguridad es un proceso descriptivo para presentarle los muchosaspectos distintos ded funcionamiento del ordenador y de Internet (en estecaso, concretamente para los defensores de los derechos humanos). El objeti-vo es mejorar su conocimiento y aumentar la conciencia de la seguridad elec-trnica y las cuestiones de privacidad digital. Este libro trata de los hechos,teoras, mtodos y posibles explicaciones de la inseguridad informtica y lassoluciones a la misma. Le ayudar a resolver y fortalecer su propia seguridadelectrnica. Esperamos que el manual tambin despierte el inters suficientepor los temas antes mencionados como para inspirarle a llevar a cabo su pro-pia investigacin y seguir aprendiendo.

  • 8/6/2019 Seguridad Privacidad Digital

    11/1483

    Gua para el manualEste manual est dividido en cuatro partes que pueden leerse en cualquier orden.El lector no requiere conocimientos especiales, aunque tener unas nocionesbsicas del funcionamiento del ordenador y de Internet le ayudara. Los captu-los que contienen informacin de carcter ms tcnico estn marcados Paralos techies.

    La primera seccin se dedica a comprender sus necesidades y vulnerabilida-

    des de seguridad, con un enfoque no tcnico al entorno digital. Le ofrece unmtodo para identificar las amenazas que plantean situaciones concretas y, deeste modo, ayudarlo a decidir las estrategias ms adecuadas a la hora de apli-car las soluciones de privacidad y seguridad.

    En la segunda seccin se enumeran diferentes elementos relativos a la seguri-dad en los ordenadores e Internet. Se presentan al lector las operaciones infor-mticas y la infraestructura de Internet. Se explican en de forma detallada mto-dos de asegurar los datos, esquivar la censura ciberntica y protegerse con-tra ataques maliciosos.

    La tercera seccin es un resumen de la legislacin mundial para restringir yseguir el flujo de informacin y las comunicaciones. En ella se muestra la ten-dencia a la baja causada por el aumento de las restricciones a los derechos ala libertad de expresin, la privacidad y la comunicacin en muchos pases. Sepresentan casos de defensores de los derechos humanos que actualmente seencuentran en prisin o perseguidos por su trabajo a travs de Internet, comoejemplos de la forma que tienen algunos gobiernos de hacer cumplir estas leyes.

    En la cuarta seccin se ofrece a los defensores de los derechos humanos y susorganizaciones posibles escenarios para abordar los problemas de inseguridadelectrnica y garantizar la continuacin de su trabajo. Los escenarios se refie-ren a los conceptos presentados en el manual y las soluciones se basan enacciones viables.

    Despus de los estudios de casos encontrar usted los Apndices, en los quese ofrece informacin detallada sobre los ordenadores e Internet, as comoexplicaciones ms a fondo de determinados temas de seguridad. Al final dellibro hay un glosario en el que se explican muchas de las palabras tcnicas ydesconocidas empleadas en este manual.

    Este libro puede ser utilizado junto con elDigital Security Toolkit (Juego deherramientas de seguridad digital, http://security.ngoinabox.org), una colec-cin de herramientas y manuales desoftware gratuitos que incluye los recur-sos necesarios para lograr una mayor privacidad y seguridad en sus ordenado-res y en Internet. El juego de herramientas est disponible en ingls, francs,espaol, ruso y rabe. Todos los programas mencionados en este manual sepuede encontrarse all o descargar gratuitamente de Internet.

    Algunos de los conceptos y tecnologas descritos y explicados en estemanual se han declarado ilegales en varios pases del mundo. Le roga-mos preste la debida atencin a su legislacin local y tome una deci-sin informada acerca de la posesin y el uso de este manual.

    I N T R O D U C C I N

  • 8/6/2019 Seguridad Privacidad Digital

    12/148

    1.1 SEGURIDADE INSEGURIDADLos ordenadores e Internet abarcan tanto la bsqueda de informacin como sualmacenamiento e intercambio. Por lo tanto, el tema de la seguridad en el mbi-to digital se refiere a la seguridad de la informacin. Debemos operar en unambiente en el que nuestra informacin no sea robada, daada, comprometidao restringida. Internet, en teora, ofrece a todos la igualdad de oportunidadespara acceder y difundir informacin. Sin embargo, como han demostradomuchos incidentes, esto no siempre es as. Los gobiernos y las empresas sedan cuenta de la importancia y el valor del control de los flujos de informaciny de la capacidad de decidir cundo restringirlos. La seguridad de la informa-cin se complica an ms por la accin de personas malintencionadas que creanvirus informticos y por el hackeo en sistemas informticos, a menudo sinotro motivo que causar dao.

    La confusin se ve reforzada por la abundancia desoftware, hardware y dispo-sitivos electrnicos diseados para facilitar el almacenamiento e intercambiode informacin. Hoy en da, un ordenador medio contiene millones de lneas decdigo complejo y cientos de componentes que pueden fallar y daar el siste-ma en cualquier momento. Los usuarios tienen que sumergirse en conceptos ytecnologas que parecen estar muy lejos del mundo real. La seguridad de suordenador recae en primer lugar sobre sus hombros y requiere una cierta com-prensin de cmo funcionan sus sistemas.

    La carrera por llevarse los beneficios de Internet ha dado lugar a la aparicinde numerosos servicios y agencias financieros. Ahora ya puede reservar suvuelo, comprar un libro, hacer transferencias bancarias, jugar al pquer o hacercompras y publicidad en Internet. Hemos aumentado nuestra capacidad paraconseguir ms cosas con mayor rapidez, pero tambin hemos creado una mul-titud de nuevos flujos de informacin, y con ellos, nuevos conceptos de insegu-ridad con los que an no sabemos cmo tratar. Empresas de mercadotecniaestn construyendo los perfiles de usuarios en Internet con la esperanza deconvertir su navegacin en un viaje de compras incesante. La informacin per-sonal recogida por los proveedores de servicios en Internet, los gobiernos ysociedades se vende a empresas de minera de datos, cuyo objetivo es acumu-

    lar la mayor cantidad de detalles posibles acerca de su vida privada y sus hbi-tos. Esta informacin se utiliza posteriormente en las encuestas, el desarrollode productos o actualizaciones de seguridad nacional.

    Puede parecer que nuestro mundo digital est gobernado por el caos. Nada escierto y todo es posible. La mayora de nosotros solo queremos seguir adelan-te con la escritura de nuestro documento, o el envo de correo electrnico, sinla necesidad de tener en cuenta los resultados de la inseguridad.Desafortunadamente, esto no es posible en el entorno digital. Para poder desen-volverse con seguridad y confianza en esta nueva era de las autopistas de infor-

    macin y las tecnologas emergentes, hay que ser plenamente conscientes denuestro potencial y nuestras debilidades. Hay que tener los conocimientos y lashabilidades para sobrevivir y evolucionar con las tendencias cambiantes.

    4

  • 8/6/2019 Seguridad Privacidad Digital

    13/148

    LOS MTODOS Y TENDENCIAS DE VIGILANCIA,LA CENSURA Y LA AGRESIN ELECTRNICAEn el mundo moderno el derecho a la privacidad es un tema polmico. Tienealguien derecho a acceder a nuestra informacin privada? A raz de los ataquesdel 11 de septiembre en los EE.UU., la mayora de los gobiernos parecen pen-sar que deben tener la capacidad para controlar y acceder a nuestra comuni-cacin digital. Muchos pases han aplicado la legislacin e introducido las tec-

    nologa necesarias para aumentar su poder de vigilancia hasta niveles nuncavistos. El proyectoECHELON, por ejemplo, es un sistema de vigilancia mundialcapaz de registrar y procesar comunicaciones por telfono, Internet y satlite.

    En mayo de 2001 la Comisin temporal sobre el sistema de intercepta- cin Echelon del Parlamento Europeo (creada en julio de 2000) publicun informe que conclua que No hay ninguna razn para seguir dudan- do de la existencia de un sistema mundial de interceptacin de las comu- nicaciones... Segn la Comisin, el sistema Echelon (al parecer, dirigi- do por los EE.UU. en cooperacin con Gran Bretaa, Canad, Australia

    y Nueva Zelanda) fue creado al comienzo de la Guerra Fra para obtener informacin y se ha convertido en una red de estaciones de intercepta- cin en todo el mundo. Su objetivo principal, segn el informe, es inter- ceptar comunicaciones privadas y de carcter econmico, no militares1.

    En Internet tambin se ha atacado y repri-mido el derecho a la libertad de expresine informacin. Como consecuencia de ello,muchos gobiernos que no estn dispues-tos a conceder este tipo de libertad a susciudadanos y luchan para restringir estelibre acceso han obtenido la capacidadde acceso a la informacin desde cualquierpunto de conexin a Internet en el planeta,

    independientemente del lugar donde se almacene esta informacin. Se han des-tinado enormes recursos en el desarrollo de unos sistemas de filtrado espec-ficos en cada pas para bloquear la informacin de Internet considerada inade-cuada o perjudicial para las leyes del pas y la moral nacional.

    En China, un sistema conocido como el Gran Cortafuegos dirige todas las cone- xiones internacionales a servidores proxy en portones oficiales, donde los funcio-

    narios del ministerio de seguridad pblica identifican a los usuarios y el contenido,definen derechos y vigilan cuidosamente el trfico de la red, tanto de entrada comode salida del pas. En una conferencia sobre la industria de seguridad celebrada en2001 el gobierno de China anunci un ambicioso proyecto sucesor conocido comoEl Escudo Dorado. En lugar de confiar nicamente en la Intranet nacional de China,separada de la Internet global por un inmenso cortafuegos, China va a incorporar ahora en la red la inteligencia de vigilancia, que le permite ver, or y pensar.La filtracin de contenidos se desplaza desde el nivel nacional a millones de dispo- sitivos de informacin y de comunicacin digitales situados en lugares pblicos y en las casas de la gente. La tecnologa que hay detrs del Escudo Dorado es incre-

    blemente compleja y se basa en investigaciones realizadas en gran medida por lasempresas de tecnologa occidentales, entre las que se halla Nortel Networks, SunMicrosystems, Cisco y otras.2

    1.1

    S E

    G URI DADEI N

    S E G URI DAD

    5

    V La estacin de interceptacin ECHELONen Menwith Hill, Inglaterra

    1Parlamento Europeo, Comisintemporal sobre el sistema de inter-ceptacin Echelon (2001): Informesobre la existencia de un sistemamundial de interceptacin de comu-nicaciones privadas y econmicas(sistema de interceptacin ECHE-LON) , 18 de mayo de 2001.(2001/2098(INI)) (adoptado el 11 julio de 2001). Disponible enhttp://www.europarl.eu.int/temp-com/echelon/pdf/prechelon_en.pdf

    2Privacy International Informe sobreprivacidad y derechos humanos de2004 Amenazas a la privacidad

  • 8/6/2019 Seguridad Privacidad Digital

    14/148

    Estos filtros socavan nuestra capacidad para sacar provecho de Internet y paracruzar fronteras geogrficas en nuestra bsqueda de aprendizaje y comunica-cin. Tambin incumplen varios artculos de la Declaracin Universal de losDerechos Humanos que garantiza los derechos de cada persona a la privaci-dad y la libertad de expresin. Es significativo que estos sistemas no se hayandesarrollado hasta despus de que se advirtiese el crecimiento y el potencialde Internet como intercambio global de informacin. No formaban parte de laidea original que haba detrs del desarrollo de Internet.

    Las tcnicas de vigilancia y control han pasado de las manos del personal deinteligencia a los sistemas dehardware y software operados por empresas pri-vadas y agencias gubernamentales. Las escuchas telefnicas y la apertura delas cartas has sido sustituidas por una tecnologa que permite realizar un segui-miento de todo y de todos a la vez. La popularidad de Internet y su integracinen nuestra vida diaria lo han hecho posible. Anteriormente se espiaba a perso-nas que se consideraban peligrosas para la seguridad nacional. Hoy en da todosestamos bajo sospecha como resultado de los sistemas de vigilancia y filtradoinstalados en Internet por nuestros gobiernos. La tecnologa no suele distinguirentre usuarios, ya que espera a que aparezcan determinadas palabras clave ennuestro correo electrnico y bsquedas en Internet. Cuando se activa, alerta aequipos de vigilancia o bloquea nuestra comunicacin.

    El debate sobre el control de Internet y los flujos de informacin con la finali-dad de combatir el terrorismo est fuera de los lmites de este manual. Hay quedecir, sin embargo, que tales prcticas han reducido la libertad de expresin,de asociacin y de la privacidad en todo el mundo, en contravencin directa dela Declaracin Universal. Los gobiernos han instalado sistemas de control desus ciudadanos ms all de las medidas para luchar contra el terrorismo. Sonmuchos los que han visto negado su acceso a informacin sobre los derechoshumanos y las libertades de los medios de comunicacin, la orientacin sexual,pensamiento y movimientos polticos, por nombrar slo unas cuantas.

    () El gobierno de Uzbekistn orden supuestamente a los proveedores de servi- cios de Internet en el pas bloquear la www.neweurasia.net, que alberga una red deweblogs que abarca Asia Central y el Cucaso. Se cree que la decisin del gobier- no de bloquear todo el acceso nacional a www.neweurasia.net es la primera censu- ra de un weblog en Asia Central (...) 3

    Los ataques cibernticos y los ejemplos de ciberguerra en la vida real hanaumentado el alcance de las vulnerabilidades a las que se enfrentan las organi-zaciones que operan los sitios web y dependen de los servicios de Internet. Losataques digitales sufridos en infraestructuras financieras y educativas de Estoniaen 2007 y en 2008 durante el conflicto entre Rusia y Georgia demostraron lanecesidad de defender las fronteras digitales de un estado o una institucin. Elacceso a los sitios web de organizaciones de derechos humanos se ve imposi-bilitado por los ataques organizados de la negacin distribuida del servicio(DDoS), la desfiguracin de los contenidos y eliminacin de datos.

    LAS AMENAZAS ESPECFICAS A LAS QUE SEENFRENTAN LOS DEFENSORES DE LOS DERECHOSHUMANOSLos defensores de los derechos humanos a menudo se convierten en objetivosde la vigilancia y la censura en su propio pas. Su derecho a la libertad de expre-

    6

    3www.newseurasia.net,6 de julio de 2006.

  • 8/6/2019 Seguridad Privacidad Digital

    15/148

    sin es a menudo controlado, censurado y restringido. Frecuentemente se enfren-tan a graves sanciones por continuar con su trabajo. El mundo digital ha sidouna bendicin y una maldicin para ellos. Por un lado, la velocidad de las comu-nicaciones los ha acercado a sus colegas de todo el mundo, y las noticias deviolaciones de los derechos humanos se extienden en cuestin de minutos. Lagente se moviliza va Internet y se han promovido muchas campa?as socialesa travs de la red. El aspecto negativo del uso generalizado de los ordenado-res e Internet consiste en la confianza en la tecnologa compleja y la crecienteamenaza de la vigilancia y los ataques electrnicos. Al mismo tiempo, los defen-sores que se hallan en los pases pobres y no tienen ordenadores o acceso aInternet se han encontrado fuera de foco y el alcance globales: otro ejemplodel desequilibrio provocado por labrecha digital.

    Con los aos, los defensores de los derechos humanos han aprendido a actuaren su propio entorno y han desarrollado mecanismos para su propia protecciny la prevencin de los ataques. Conocen los sistemas jurdicos de sus pases,tienen redes de amigos y toman decisiones basadas en la sabidura cotidiana.Sin embargo, ordenadores e Internet constituyen un nuevo mundo para descu-brir y comprender. Su falta de inters o capacidad para aprender acerca de laseguridad electrnica ha dado lugar a numerosas detenciones, ataques y malen-tendidos en la comunidad de derechos humanos. La seguridad electrnica y pri-vacidad digital deben convertirse no slo en un rea importante para la com-prensin y la participacin, sino tambin en un nuevo campo de batalla en lalucha por la adhesin a los principios de la Declaracin Universal en todo elmundo.

    Los correos electrnicos no llegan a su destino, la conexin a Internet es inter-mitente, se confiscan ordenadores y los virus destruyen aos de trabajo. Estosproblemas son comunes y conocidos. Otro fenmeno comn es la crecienteatencin a las publicaciones en lnea por parte de quienes ostentan el poder.Las autoridades buscan activamente sitios de noticias, blogs y foros a travsde Internet, con una rpida retribucin cuando descubren material no desea-do procedente de un defensor de los derechos humanos. Tomemos el caso deMohammed Abbou, quien cumpla una condena de 3,5 aos de prisin en Tnezpor publicar un artculo en lnea que comparaba las prisiones tunecinas con AbuGhraib4. En China decenas de periodistas se encuentran en prisin debido a susactividades relacionadas con Internet5.

    Los defensores de los derechos humanos tienen que asegurar su trabajo median-te el aprendizaje sobre la tecnologa y los conceptos del funcionamiento delordenador y de Internet. Esto har que sean ms eficaces en su proteccin yen la de los derechos de aquellos a quienes tratan de defender.

    1.1

    S E

    G URI DADEI N

    S E G URI DAD

    7

    4Front Line - http://www.front-linedefenders.org/news/2081

    5Reporters sans frontires www.rsf.org, febrero de 2007

  • 8/6/2019 Seguridad Privacidad Digital

    16/148

    1.2 SENSIBILIZACINSOBRE LA SEGURIDADRESUMEN1 Pregntese: Es fcil para un intruso acceder a su oficina y espacio

    de trabajo?2 Tenga en cuenta que el uso de un ordenador en un cibercaf esms inseguro que el uso de un ordenador en casa.

    3 La informacin almacenada en su ordenador debe estar protegidapor varias capas de acceso: la seguridad del ordenador en smismo, el cuarto en el que se encuentra y el edificio donde ustedtrabaja.

    4 Conozca la ubicacin fsica exacta de sus archivos de datos y cual-quier duplicado archivado.

    5 No use una contrasea vaca y no la revele a los dems.

    6 Extreme la atencin al abrir correos electrnicos y desactive la fun-cin de vista previa en su programa de correo electrnico.7 Restrinja el acceso inmediato a su ordenador cuando no lo est

    atendiendo.

    En este captulo trataremos mtodos no tcnicos para aumentar la seguridadde su informacin y comunicacin. Ser consciente de sus alrededores, y por lotanto, darse cuenta de las amenazas potenciales con que puede encontrarsees el primer paso en su plan de seguridad. Tambin debe comprender su entor-no operativo y tener un enfoque sensato con respecto al riesgo de incidentes

    de seguridad.CMO ASEGURAR SU ENTORNO OPERATIVOLa mayora de los incidentes de seguridad que afectan el trabajo y el sustentode los defensores de los derechos humanos estn relacionados con la violen-cia fsica y la intrusin en su entorno de trabajo. Si trabaja en una oficia, llevaun porttil o utiliza nicamente los cibercafs debe ser siempre consciente desus capacidades y limitaciones. A continuacin se ofrece una lista de pregun-tas que debera ser capaz de responder con seguridad. En cada pregunta ima-gine el peor de los casos y piense cmo actuara.

    En la oficinar Es fcil para alguien de fuera acceder a su oficina sin permiso?r Se pueden romper las ventanas o forzar la puerta?r Tiene un sistema de alarma, y confa en las autoridades que respondern

    a la intrusin?r Tiene una sala de espera o rea de recepcin donde pueda cuestionar al

    visitante antes de que entre en la oficina principal?r Tiene un almacenamiento seguro (p. ej., caja fuerte) para los documentos

    confidenciales?r Tiene un mtodo seguro de destruccin (p. ej., trituradora) de losdocumentos confidenciales?r Qu nivel de confianza le merece el personal de limpieza y qu nivel de

    acceso tiene este a los documentos?

    8

  • 8/6/2019 Seguridad Privacidad Digital

    17/148

    1.2

    9

    r Se deshace de la basura de manera que sera imposible que alguien defuera pudiese buscar o acceder a ella? En este sentido, cmo se deshacede los documentos confidenciales?

    r Est asegurado y tiene una estrategia en el caso de un desastre natural orobo?

    r Son su oficina, el personal y las pantallas de los ordenadores visiblesdesde el exterior de las ventanas?

    r Cuntas copias de llaves de su oficina existen y quin las tiene?

    rea personal de trabajor Hay alguien que pueda ver la pantalla de su ordenador mientras usted est

    trabajando en su escritorio?r Hay alguien en la oficina que conozca su contrasea?r Guarda informacin confidencial en lugares de acceso fcil en su entorno

    de trabajo?r Restringe el acceso inmediato a su ordenador cuando usted no se

    encuentra en su escritorio u oficina?r Est su ordenador o porttil bien fijado a su rea de trabajo o puede

    moverse fcilmente?

    Entorno pblico (p. ej., cibercaf)r Conoce el dueo del cibercaf su nombre y otros datos personales?r Controla el dueo del cibercaf la navegacin de los clientes por Internet?r Est seguro de que el ordenador que est utilizando no est a salvo de

    virus y espionaje?r Puede la gente que hay en el cibercaf ver lo que usted est leyendo

    o escribiendo en la pantalla?r Cuando est descargando archivos de Internet permanecen estos en el

    ordenador despus de irse usted del cibercaf?r Cmo puede estar seguro?r Queda registrada la navegacin por Internet en el ordenador?

    Como puede observar, tendr que ser riguroso si quiere asegurar su entornode trabajo y su informacin. Algunas de estas cuestiones pueden resolversefcilmente: por ejemplo, comprando un cable de metal para fijar su porttil alescritorio. Otras requieren la cooperacin de todo el personal por ejemplo,recibir a los visitantes en cuanto entren y preguntarles el propsito de su visi-ta, as como una posible inversin financiera: por ejemplo, en un seguro o unacaja fuerte. La mayora de las organizaciones de derechos humanos operan deuna manera abierta, no secreta; sin embargo, son a menudo responsables dela confidencialidad y la seguridad de sus colegas y de otras personas involu-cradas en los casos que tratan (testigos, vctimas, demandantes, etc.).

    La capacidad de mirarse a s mismo desde un punto de vista diferente y eva-luar su actual situacin de seguridad le ayudar bastante para hacer algo res-pecto a la inseguridad.La evaluacin de la amenaza a su seguridad y la de su ordenador debe comen-

    zar en el nivel fsico del mundo real. Esta es el rea en la que ya tiene experien-cia y conocimientos. Tener xito al eliminar los riesgos que plantean las pregun-tas anteriores le proporcionar una ventaja muy importante en la seguridad desu entorno digital.

    S EN S I BI L I ZA

    CI N

    S OBREL A

    S E

    G URI DAD

  • 8/6/2019 Seguridad Privacidad Digital

    18/148

    Fjese en este diagrama que mues-tra diferentes capas de seguridaden torno a la informacin en suordenador.

    La seguridad se basa en capasque garantizan una exhaustiva pro-

    teccin a travs de la provisin debarreras de acceso. Debe cons-truir las distintas capas de protec-cin alrededor de los equipos y lainformacin. Es necesario prote-ger el acceso a:

    r el edificio o los locales donde se encuentran los equipos o los archivosr el cuarto donde se almacenan los equipos o los archivosr el entorno de trabajo y la ubicacin fsica de su(s) ordenador(es)r sus archivos y datos (incluso la informacin en papel).La seguridad perfecta casi nunca es alcanzable. Como simples humanos, todoscometemos errores, olvidamos informacin importante y nos saltamos nues-tras propias estrategias de seguridad debido a la pereza o falta de tiempo. Alconsiderar nuestra seguridad debemos emplear el sentido comn. No es miintencin ensear el sentido comn a nadie, pero me gustara presentar unalista de preguntas que yo personalmente tratara de responder a la hora degarantizar que mi trabajo dentro y fuera mi ordenador se haga de la maneramenos comprometedora para m y para la seguridad de mi informacin. Los

    captulos que siguen le ayudarn en la aplicacin de las siguientes estrategias,as que no se preocupe si al principio algunas de mis propuestas parecen dema-siado exigentes.

    PREGUNTAS QUE DEBE HACERSEDnde estn mis datos?En primer lugar, tenga siempre presente dnde estn guardados los documen-tos ms importantes. Podran estar en el ordenador de la oficina, o en el por-ttil, o en la tarjeta de memoria USB, o incluso en un montn de discos com-pactos guardados en el armario en algn lugar. Es fundamental que tenga unacopia de estos datos (una copia de seguridad), ya que la prdida accidental odaos intencionados le haran retroceder varios aos. Tambin es importantegarantizar la seguridad de esta copia. Si su oficina o casa est llena de muchosdiscos distribuidos por varios lugares no puede garantizar su seguridad.

    Quin conoce mi contrasea?No revele su contrasea a nadie, aunque a veces desee haberlo hecho (situa-ciones crticas, plazos todos hemos experimentado esto). La presin del tra-bajo a menudo requiere que se d prioridad a terminar algo y se sacrifique todolo dems para ello. Desde una perspectiva de seguridad, esta es una prcticade riesgo. Si un intruso oye su contrasea, si la apunta y luego la pierde o seproduce un accidente, puede perder el acceso a la cuenta de correo electrni-co o un archivo para siempre.Usar una contrasea en blanco es como salir de su casa, no cerrar la puerta

    10

    El edificio

    La habitacin

    El espacio de trabajoEl ordenador

    Archivos y datos

    El ambiente

  • 8/6/2019 Seguridad Privacidad Digital

    19/148

    1.2

    11

    6http://news.bbc.co.uk/2/hi/ programmes/click_online/ 4977134.stm

    con llave y dejarla as toda la noche en un barrio peligroso. Tal vez no entrenadie, o tal vez s y se lo roben todo. En Internet hay programas que buscanautomticamente puertas no cerradas con llave y que van a encontrar la suyabastante pronto. Hace varios aos, Garry McKinnon un pirata informtico bri-tnico logr entrar varias veces en el sistema informtico del gobierno de losEE.UU. y la red del Departamento de Defensa simplemente por probar contra-seas en blanco o estndar (por ejemplo admin o contrasea). Se dice queaccedi a informacin sobre extraterrestres y pruebas de encubrimiento. Al finalfue capturado y se enfrenta a la extradicin frente a los tribunales en los EE.UU.6

    De quin es este ordenador?Muchas veces tenemos que operar desde ordenadores pblicos en un ciberca-f o una biblioteca. A menudo resulta imposible asegurarse de que cada orde-nador est a salvo de virus, espionaje, troyanos u otros agentes dainos. Hayque actuar con precaucin con el tipo de informacin que elija abrir en un orde-nador u otro. Trate de asegurarse de que no trabaja con informacin sensibleque se convertir en una responsabilidad si alguien la roba o est daada.Recuerde que cualquier archivo abierto o ledo en un ordenador pblico puedeser fcilmente guardado para su posterior inspeccin o abuso, si el equipo estconfigurado para ello.Cada ordenador en Internet tiene un identificador nico (volveremos a ello msadelante). Si el dueo del cibercaf apunta su nombre y la hora de la visita, nocrea que su navegacin por Internet es annima: est directamente vinculadaa usted.

    Quin es?Cada vez que reciba un correo electrnico extrao o un enlace no identificadopregntese quin puede ser el remitente de esta informacin. Si alberga cual-quier duda en cuanto a la legitimidad de un mensaje no haga clic en l slo paraaveriguarlo: borre el mensaje de inmediato. Por desgracia, el mundo de losordenadores ha llegado tan lejos que ni siquiera es necesario hacer doble clicsobre algo para que infectarse con un virus. Las tcnicas modernas puedenhacer que el momento de abrir un correo electrnico o un navegador el orde-nador puede infectarse por la nueva marca de algn programa destructivo. Poreso la precaucin es su mejor amiga.

    Quin puede acceder a mi ordenador?

    Al salir de su escritorio al final del da o para ir a comer, apague el ordenador.Mientras que su ordenador est en marcha y desatendido pueden ocurrir innu-merables incidentes. Al apagar el ordenador corta el suministro de energa y loprotege de los ataque de Internet. Sus contraseas de BIOS o Windows no soneficaces si el ordenador est encendido. Algunos virus permanecen en letargohasta la mitad de la noche y despus activan el mdem y marcan un nmerode larga distancia. La mayora de los ordenadores tardan un par de minutos enapagarse, as que todo lo que sacrifica es un poco de tiempo mientras que ganamucho en seguridad.

    Si est utilizando un ordenador pblico en un cibercaf o una biblioteca, tratede reinicializarlo despus de acabar el trabajo (cuando use Windows hgalo pul-sandoInicio > Apagar > Reiniciar y espere a que el ordenador se vuelvaa cargar). Esto borrar muchos de los datos temporales generados de su sesin.

    S EN S I BI L I ZA

    CI N

    S OBREL A

    S E

    G URI DAD

  • 8/6/2019 Seguridad Privacidad Digital

    20/148

    Conozco mi entorno?El conocimiento de su entorno es crucial para su seguridad. Debera ser con-ciente de los riesgos y peligros que presenta cada escenario, y de sus recur-sos para resolverlo. Trabajar por una seguridad electrnica debera incluir elconocimiento de la legislacin local relevante, la seguridad del rea de trabajoen la oficina, un crculo de confianza de amigos y colegas, los conocimientostcnicos y la conciencia de sus propias vulnerabilidades y capacidades y las desu ordenador. Para preparar una mejor poltica de seguridad para usted o suorganizacin necesita construir un modelo de amenaza.

    12

  • 8/6/2019 Seguridad Privacidad Digital

    21/148

    1.3

    L AEVAL UA

    CI NDEAMENAZA

    S YEL

    C R

    C UL

    ODE

    S E

    G URI DAD

    13

    1.3 LA EVALUACINDE AMENAZAS Y EL CR-CULO DE SEGURIDADRESUMEN1 Escriba una lista de posibles amenazas a la seguridad de su informacin.2 Trate de prever y tomar las medidas necesarias para impedir que

    las amenazas de seguridad se hagan realidad.3 Reaccione rpidamente a los incidentes e investigue las causas.4 Cuando reaccione a un incidente de seguridad, suponga el peor

    escenario posible y tome las medidas pertinentes.5 Considere la seguridad desde una perspectiva global. Elimine los

    enlaces dbiles que pueda haber en su estrategia y no comprometaa la gente con quien trabaja o se comunica por ser usted descuida-do con la seguridad.

    6 Ponga sus conclusiones en un diagrama. Esto le permitir a usted ya sus colegas comprender el panorama ms rpidamente.7 Concntrese en el punto ms dbil de su estrategia de seguridad.

    Para decidir qu medida de seguridad tomar es necesario tener una idea clarade las amenazas a las que se enfrenta, entre las que pueden hallarse amena-zas de la seguridad de s mismo, del personal, de su reputacin, de la informa-cin y de la estabilidad financiera. Todos estos factores pueden verse compro-metidos de un modo u otro por la inseguridad electrnica. Dado que la situa-cin de cada persona es diferente, slo hemos utilizado ejemplos generales

    para destacar la idea de modelar la amenaza.El diagrama se escribe de arriba hacia abajo. En el nivel superior se describequ es lo que deseamos proteger. La amenaza es la capacidad de comprome-terlo. Al bajar un nivel, se hace una lista de las diferentes inseguridades quepueden producirse: las amenazas a la proteccin del nivel superior. El primerejemplo muestra como modelo la amenaza de alguien que accede a un docu-mento de su ordenador.

    Acceder al ordenador

    Acceder al documento

    Robar el ordenador Confiscar el ordenador Piratear el ordenador Sobornara los empleados

    Entrar en la oficina Contratara un profesional Perfilar a los empleados

    Romperla puerta/ventana Entrar en secreto

    Obteneruna orden judicial

    C

    C C C C

    C

    C C C

    C

  • 8/6/2019 Seguridad Privacidad Digital

    22/148

  • 8/6/2019 Seguridad Privacidad Digital

    23/148

    1.3

    L AEVAL UA

    CI NDEAMENAZA

    S YEL

    C R

    C UL

    ODE

    S E

    G URI DAD

    15

    7BBC Onlinehttp://news.bbc.co.uk/1/hi/

    technology/4694224.stm8Vase el captulo Software malicio-so y spam para entender la dife-rencia entre virus y espionaje.

    Puede seguir desarrollando su modelo mediante la adicin de un lmite de costoo tiempo a cada espacio del rbol. Los espacios superiores contendrn los tota-les de todos los espacios que estn por debajo de ellos. Estos mtodos le pue-den ayudar a decidir la asignacin de presupuestos o recursos para la preven-cin de una posible amenaza.Al principio ser difcil darse cuenta de todas las amenazas a las que puedeestar enfrentndose, especialmente en el dominio digital. El conocimientote lasmismas vendr a base de profundizar en el estudio de las reas especficas dela seguridad electrnica. Despus de haber ledo este manual su comprensinde algunas amenazas relacionadas con la tecnologa debera aumentar. A con-tinuacin, ser conveniente detectar las reas sensibles de su trabajo y evaluarlas amenazas a las que se enfrenta. Aunque esto pueda parecer como una pla-nificacin de decisiones racionales que se tomaran de todas formas, el proce-so puede ayudar a comprender y hacer frente a numerosos factores que con-

    tribuyen a su inseguridad y evitar errores accidentales.PrevencinA diferencia de las amenazas que se presentan en el mundo fsico, las amena-zas digitales a veces son difciles de notar y, por lo tanto, de prevenir. Con losataques electrnicos hay tendencia a comportarse de una manera ms reacti-va que proactiva: esta conducta resulta muchas veces ineficaz. Antes de quesu ordenador sea pirateado hay que instalar un cortafuegos, y debe actualizarel limpiador del virus antes de que pierda documentos debido a una infeccinde virus. Para tratar de manera adecuada la posibilidad de un ataque digital,

    uno tiene que ser muy vigilante y paranoico. Hay que asumir el modelo de ame-naza desde el principio. Hay que comprender y tratar el peor de los casos antesde que suceda. La velocidad en las operaciones informticas y de Internet sig-nifica que las barreras de seguridad pueden ser eludidas en una fraccin desegundo. Microsoft mantiene una opinin de que el 70% de los usuarios deWindows no tienen antivirus osoftware antiespionaje instalados7. La razn deesto no es el coste hay varios antivirus, antiespionaje y cortafuegos gratui-tos , sino la autocomplacencia8. No espere hasta maana para actualizar susistema operativo, no espere hasta que llegue un aviso de virus para actualizarsu software antivirus, no espere hasta que su ordenador quede confiscado o

    daado antes de ejecutar las herramientas necesarias para eliminar o hacercopias de sus datos. Sea proactivo!

    ReaccinSi la seguridad de su ordenador, contrasea o red ya ha quedado comprome-

    Tambin puede evaluar cada riesgo del diagrama anterior por separado. Porejemplo, para evaluar la amenaza de piratera en su ordenador (que un intrusoacceda a este) utilice el diagrama que encontrar ms adelante.

    Entrar en la oficinaAlarma contra Intrusos

    2 hours $450

    Romper la puerta/ventanaReforzar la seguridad del edificio

    4 horas $500

    Entrar en secreto- Poltica de llaves- Poltica de puerta

    3 horas $20

    C C

    7 hours $520

    9 horas $970

    Obtener una orden judicial

    No aplicable

    C

  • 8/6/2019 Seguridad Privacidad Digital

    24/148

    tida debe contar con lo peor y tomar las medidas necesarias. Si se ha encon-trado un virus en su ordenador desconctese de Internet. Ejecute un anlisiscomplete de todo el sistema y ponga en cuarentena cualquier virus que se hayaencontrado. Cuando ya no reciba ningn mensaje de advertencia, vuelva a conec-tarse a Internet para actualizar sus definiciones de antivirus y archivos del sis-tema operativo de Windows y haga una bsqueda por el nombre del virus paraver lo que se sabe sobre l en Internet. Puede encontrar informacin sobre eldao que causa el virus y la manera de erradicarlo de su sistema de forma ade-

    16

    Seguimiento

    - haga una bsqueda del virus enInternet

    - vuelva al momento de la infeccin- analice todas las copias de segu-ridad y dispositivos extrables

    - recupere la configuracin afecta-da por el virus

    - busque espionaje informti-co en Internet

    - cambie todas las contraseasdel sistema y de Internet

    - empiece a usar el navegadorFirefox u Opera (si habausado Internet Explorer)

    - encuentre la causa del acci-dente del ordenador o deldocumento

    - actualice la configuracin delordenador

    - actualice el procedimiento de

    las copias de seguridad y lascopias mismas

    - deshabilite los servicios deWindows (consulte elJohanssons guide10)

    - compre ms RAM- llame a un tcnico

    - utilice un servidorproxy o lared annima

    - use un sitio web de traduc-cin que pueda obtener elcontenido del web

    - informe a su red de contactossobre el bloqueo del sitio web

    - provea el web en varios ordena-dores por duplicacin. Preguntea sus amigos y contactos sipueden reflejar su web.

    - consulte los motivos para blo-quear su sitio web y desarro-lle una estrategia de apela-cin o cumplimiento

    Mtodo(utilizando este manual& Seguridad en un Box Toolkit)

    - ejecute elboot scan del anitvi-rus Avast o un anlisis com-pleto del AntiVir

    - actualice el Avast (o AntiVir)- ejecute otroboot scan delAvast o anlisis completo delAntiVir

    - ejecute anlisis completo delsistema con Spybot

    - actualice el Spybot- inmunice el ordenador contralas nuevas definiciones deespionaje

    - eche un vistazo a sus archi-vos anteriores de Freebyteo Abakt

    - para obtener consejos sobrebsquedas en su ordenadorvase el captulo La seguri-

    dad de Windows- para analizar el ordenador uti-lice el programa HandyRecovery

    - use BCWipe para eliminarlos archivos temporales delordenador

    - use Registry FirstAid parahacer un barrido y limpiar elregistro de Windows

    - vase el apndice B (Internetexplicado y el captuloEvasin de la censura y delfiltrado en Internet)

    - instale Mozilla Firefox yswitchproxy

    - instale Tor o ejecute Torpark

    - vase el apndice B (Internetexplicado y el captuloEvasin de la censura y delfiltrado en Internet)

    - use Httrack (OpenCD)o SmartFTP para reflejar susitio web en un servidordiferente

    Reaccin primaria

    - desconctese de Internet y eje-cute anlisis completo del sis-tema

    - actualice todas las definicionesde virus y el sistema operativo

    - ejecute anlisis completo delsistema otra vez

    - desconctese de Internet yejecute anlisis completo delsistema

    - actualice definiciones deantiespionaje

    - recupere el documento de lacopia de seguridad

    - busque las carpetas tempora-les de documentos reciente-mente modificados (vase elcaptulo La seguridad de

    Windows)

    - compruebe si tiene espaciosuficiente en el disco duro

    - desinstale los programasinnecesarios o instaladosrecientemente

    - en Windows (NT,2000, Me,XP) consulte el visor desucesos para ver la lista desntomas9

    - compruebe si hay virus o espas- averige si otros puedenacceder a web, preguntea sus amigos de otro pas

    - llame al proveedor del sitioweb y consulte el bloqueo

    - llame al proveedor de Internety consulte el bloqueo

    - cambie su web a un provee-dor o nombre de dominiodiferente

    Incidente

    Ataque de virus

    Ataquede espionaje

    Corrupcinde documentos

    Funcionamientolento del ordena-dor

    Su acceso a unsitio web estbloqueado

    Su sitio webest bloqueado

  • 8/6/2019 Seguridad Privacidad Digital

    25/14817

    Seguimiento

    - limpie su ordenador demal- ware e instale o actualice elcortafuegos.

    - empiece a usar diferentes cuen-tas de correo electrnico (queofrezcan mayor seguridad)

    - comunquese a travs de unmedio diferente (chat en lnea,foros web, telfono)

    - introduzca el protocolo deseguridad en la oficina

    - refuerce la seguridad de laoficina

    - garantice que haya una copiade seguridad fuera de la oficina

    - desarrolle un sistema para ladestruccin rpida de datosen el ordenador

    - cambie la direccin de correoelectrnico

    - desarrolle una poltica espe-cial atencin a la divulgacinde informacin con su direc-cin de correo electrnico

    - registre otras direcciones decorreo electrnico que utilicepara acceder a los serviciosen Internet

    Mtodo(utilizando este manual& Seguridad en un Box Toolkit)

    - vase el apndice B (Internetexplicado)

    - vase El cifrado en la sec-cin de Internet del captuloCriptologa

    - use el Soft Perfect NetworkScanner

    - use Hushmail

    - revise los protocolos de segu-ridad

    - use el Eraser (borrador)para borrar datos

    - use Truecrypt y Freebytepara guardar la copia deseguridad de los datos en unlugar seguro

    - use DeepBurner para hacerla copia de seguridad de CDo DVD

    - use Mozilla Thunderbirdy lea sobreNGO in a Box SE en el captulo sobre la confi-guracin del filtro de correobasura

    - use Avast o AntiViry Spybot

    Reaccin primaria

    - enve el correo electrnicodesde una cuenta diferente(tambinwebmail )

    - trace la ruta para el dominiodel destinatario (vase elapndice Internet explicado)

    - verifique si la direccin decorreo electrnico es correcta

    - haga una evaluacin de laamenaza

    - proteja la informacin sensible- borre la informacin sensible- haga una copia de seguridad

    - instale un filtro de correo nodeseado o empiece a usarThunderbird con filtro integrado

    - bloquee direcciones decorreo electrnico

    - ejecute un anlisis de virusy espas

    Incidente

    El correoelectrnicono llega aldestinatario

    Advertenciade un ataque

    Recepcin decorreo electr-nico no deseado(p. ej., SPAM)

    cuada. He aqu una gua de algunos ejemplos comunes de mal funcionamien-to del ordenador y reacciones sugeridas.

    Nota: Todas las herramientas y mtodos que figuran en el cuadro siguiente se pueden imple-mentar con elDigital Security Toolkit , que puede pedir de Front Line o encontrar en lahttp://security.ngoinabox.org.

    Descripcin del crculo de seguridad: seguridad complejaSu seguridad es tan fuerte como su punto ms dbil. No hay mucho sentidocomprar una fuerte puerta de metal para su oficina si no tiene idea de cuntascopias de llaves existen. Puede ser que, en un juicio, fracase en su defensa deuna vctima de violacin de los derechos humanos si los hechos no son correc-tos. Siempre debe evaluar el alcance completo de su situacin de seguridad yestar dispuesto a percibir y tratar todos los puntos dbiles, porque con frecuen-cia son los que destrozan el proceso de seguridad. Esto tambin es vlido parala seguridad electrnica. Gastarse dinero en un cortafuegos caro no impedirque el ordenador sea reciba daos fsicos o que se lo roben. La aplicacin deun sistema de correo electrnico cifrado no tendr mucho efecto sobre la estra-tegia de comunicacin de su proyecto si los otros miembros del mismo no apli-can el mismo sistema. Debemos considerar nuestra seguridad desde la pers-pectiva de un crculo cerrado. Todos los elementos deben apoyarse unos a otrosy los vnculos dbiles deben ser tratados con el mayor cuidado11. Consideremos,por ejemplo, el proceso de establecer una oficina segura.

    9Al visor de sucesos se accede dela manera siguiente: Inicio >Configuracin > Panel de control> Funciones de administracin >Visor de sucesos. Esta opcinslo est disponible para los usua-rios de Windows NT, 2000, XP.Est atento a las seales de errorindicadas por un signo de excla-macin rojo o amarillo de adver-tencia.

    10http://www.markusjansson.net/

    11Existe otro enfoque para un siste-ma de seguridad: la defensa enprofundidad. Aunque normalmentela seguridad sea tan fuerte comosu vnculo ms dbil, debe ser

    diseada, en lo posible, con pro-tecciones independientes y redun-dantes, de modo que pueda fallaruna sola sin que falle toda la cade-na. Ejemplo: si su ordenador estinfectado por un virus usted podrrecuperar los archivos perdidosde una copia de seguridad.

  • 8/6/2019 Seguridad Privacidad Digital

    26/148

    Asegurarla oficina

    18

    Empleadosfiables

    Cierresseguros depuertas yventanas

    Poltica dellaves

    Sistemade alarma

    Cajafuerte y

    trituradora dedocumentos

    Seguro

    Copia deseguridad

    con los

    Probablemente puede imaginarse cmo un lapso en un rea de este crculopuede conducir a un colapso de todo el sistema. Naturalmente, puede ser unpoco ms complicado: el sistema de alarma y la caja fuerte tendrn una com-binacin secreta para abrir o desactivarlos. Quien conozca esta combinacinpuede poner en peligro este sistema. A veces el personal de confianza puedeser, por desgracia, tambin un nombre equivocado.

    Con todo, tener poca seguridad es mejor que no tener nada seguridad. No sedeje intimidar por las situaciones difciles explicadas en este captulo. Sea unpoco paranoico y ponga un cuidado especial con sus operaciones informticas.Aprenda ms sobre la tecnologa que est utilizando y la legislacin vigente ensu pas. Es mejor tener una contrasea larga que una corta, utilizar elcifradoque no utilizarlo. Pero no confe demasiado en la seguridad electrnica sin antesser consciente de todas las complejidades.

  • 8/6/2019 Seguridad Privacidad Digital

    27/148

    2.1

    L A S E

    G URI DADDEWI ND

    OW

    S

    19

    12http://ubuntu.com

    13http://support.microsoft.com/gp/ lifesupsps#Windows

    2.1 LA SEGURIDAD DEWINDOWSRESUMEN1 Actualice regularmente el sistema operativo.2 Conozca la ubicacin de los diferentes archivos y documentos que

    tiene en su ordenador.3 Utilice una contrasea de BIOS para proteger el ordenador en elinicio.

    4 Utilice la funcin de bloqueo de la pantalla o la contrasea paraproteger la pantalla con el fin evitar el acceso inmediato a su orde-nador.

    5 No use una contrasea vaca y no la revele a los dems.6 Tenga cuidado al instalar software nuevo o comprar un ordenador

    con software preinstalado. Use slo el software que sea necesariopara la funcin que usted desempea y elimine todo lo dems.

    Hemos hablado de la seguridad de su entorno de trabajo y la importancia deconocer el funcionamiento de su ordenador. Este captulo presenta un aspectoms tcnico. La estabilidad del sistema operativo de su ordenador es esencialpara su funcionamiento. Unsoftware y hardware diferentes podran tener unimpacto negativo sobre su funcionamiento y seguridad si usted no sabe vigilar-lo y controlarlo. Su sistema operativo le ofrece la oportunidad de aumentar (odisminuir) la seguridad de su ordenador mediante varios ajustes de configura-cin. Es como la sede central de su ordenador. Si bien la seguridad no depen-de nicamente del sistema operativo, es importante conocer las vulnerabilida-des y los puntos de administracin crticos del mismo.

    El sistema operativo (SO) Windows es bien conocido por sus muchas vulnera-bilidades de seguridad, pero si no cambia a un sistema operativo diferente (p.ej., la distribucin Ubuntu del sistema operativo Linux12), debera al menos serconsciente de la mejor metodologa para asegurar lo que tiene. Esta seccinse divide en diferentes categora y est ordenada por las versiones del SOWindows. Cabe sealar que las versiones especficas de Windows, como XPProfessional, tienen numerosas caractersticas de seguridad pero que, sin embar-go, no vienen activadas por defecto: tiene que activarlas usted mismo.

    La actualizacinLas actualizaciones de Windows son adiciones al SO que no se incluyeron en laversin inicial. Suelen ser actualizaciones y parches para resolver las vulnera-bilidades descubiertas. Las actualizaciones grandes se denominan paquetes deservicio. Microsoft ha dejado de lanzar estas actualizaciones para Windows 95,98 y NT. Puede encontrar y descargar todas las actualizaciones de los aos ante-riores, pero no recibir el apoyo continuo. Las actualizaciones y revisiones deseguridad para Windows 2000 y XP estarn disponibles al menos hasta 201113.

    Si no tiene acceso a Internet es menos vulnerable a muchos de los ataqueselectrnicos. Pero, aun as, es recomendable que encuentre actualizacionespara su SO en el disco o CD. Siempre puede escribir una carta o un correo elec-trnico a Microsoft y solicitar el ltimo paquete de servicio (tenga en cuentaque tendr que incluir datos de las licencias de su producto original).

  • 8/6/2019 Seguridad Privacidad Digital

    28/148

    Si est conectado a Internet, puede visitar http://update.microsoft.com y seguirel proceso descrito en el sitio web para descubrir su versin actual de Windowsy las actualizaciones e instalar todas las que sean necesarias. Si tiene WindowsXP el sitio web, primero, comprobar que su licencia desoftware de Windowssea vlida. Aunque su conexin a Internet sea lenta y costosa, le recomiendoencarecidamente que instale estas actualizaciones. Si la conexin a Internet esun problema le sugiero instalar slo las Actualizaciones crticas.

    Tambin puede obtener todas las actualizaciones para cualquier SO en la pgi-na web del Catlogo de actualizaciones de Microsoft14 de donde puede descar-garse los archivos. Esta es una opcin til para compartir las actualizacionesde Windows entre muchos ordenadores sin tener que conectar cada uno aInternet. El Catlogo de actualizaciones de Microsoft contiene actualizacionespara todas las versiones de su SO y no comprueba la validez de la licencia desu producto.

    Los usuarios de Windows ME, 2000 y XP que tengan una conexin permanen-te a Internet pueden especificar que Windows compruebe peridicamente lasactualizaciones y las instale en cuanto sean publicadas. Vaya a Panel de con-trol y seleccione Actualizaciones automticas (en 2000) o Centro de segu-ridad (en XP). Elija las opciones que automticamente descargarn e instala-rn las actualizaciones.

    EL BLOQUEO DE LA PANTALLACada ordenador con Windows le ofrece la opcin de proteger con una contra-sea el acceso inmediato cuando el ordenador est encendido; podra sermediante la activacin de un bloqueo de la pantalla o una contrasea de salva-pantallas.

    V Bloqueo de la pantalla: Windows NT y 2000

    Asegrese de que su cuenta de usuario permite la contrasea.Presione simultneamente las teclas CRTL + ALT + DEL.

    Presione la tecla Enter.

    V Bloqueo de la pantalla: Windows XP

    Opcin 1:Presione la tecla Windows (si la tiene) + L.

    Opcin 2:Debe usar el tema Clsico de Windows para activar la funcin debloqueo de la pantalla.

    Seleccione Inicio > Configuracin > Panel de control.

    Haga doble clic en Cuentas de usuario.

    Haga clic en Cambiar la forma en que los usuarios inician y cierran

    sesin.

    Desmarque Usar la pantalla de bienvenida.

    Ahora puede usar la combinacin de las teclasCtrl + Alt + Del.

    20

    14http://v4.windowsupdate.microsoft.com/catalog/

  • 8/6/2019 Seguridad Privacidad Digital

    29/148

    2.1

    L A S E

    G URI DADDEWI ND

    OW

    S

    21

    14http://v4.windowsupdate.microsoft.com/ catalog/ Windows 95 users should go tohttp://www.microsoft.com/windows95/

    Opcin 3Haga clic con el botn derecho del ratn en un espacio vaco en del

    escritorio.

    Seleccione Nuevo > Atajo

    Escriba rundll32.exe user32.dll, LockWorkStation.

    Presione Siguiente.

    Escriba un nombre para el icono nuevo (por ejemplo: Bloquear ordena-

    dor).

    Presione OK.

    De este modo, se crear un icono en el escritorio: haga doble clic en l parabloquear la pantalla del ordenador. Para desbloquearla tendr que introducir sucontrasea.

    Windows 95, 98 y MEDesafortunadamente, en estas versiones de Windows no existe una funcinseparada del bloqueo de la pantalla, as que tendr que crear una contraseapara salvapantallas y poner un icono o un lmite de tiempo para activarla.

    Salvapantallas: (todas las versiones de Windows)En el escritorio, haga clic con el botn derecho del ratn y elija Propiedadesdel men que aparece. Vaya a la ficha SALVAPANTALLAS y seleccione un sal-vapantallas. Marque la casilla Proteger con contrasea y escriba la contrase-a deseada. Establezca un lmite de 5 minutos. Ahora cree un atajo para acti-var el salvapantallas a solicitud: as no tendr que esperar 5 minutos antes deque se ponga en marcha.

    Seleccione Inicio > Buscar (archivos y carpetas).

    Escriba *.scr.

    Presione Enter.

    Los resultados mostrarn todos los salvapantallas que hay en su ordenador.Elija cualquier de ellos y haga clic sobre l con el botn derecho del ratn.

    Seleccione Enviar a -> Escritorio (Crear atajo).

    Ahora puede activar el salvapantallas haciendo clic en el icono que habr apa-recido en la pantalla de su escritorio. Sin embargo, se puede hacer an mssimple:

    Haga clic con el botn derecho del ratn en el icono y seleccionePropiedades.Haga clic en el cuadro de texto llamado atajo y presione Ctrl Alt S.

    Presione OK. Ahora, el salvapantallas se iniciar cada vez que se pulse estacombinacin de teclas.No se trata de una medida de seguridad avanzada, pero es mejor que simple-mente el ordenador abierto.

  • 8/6/2019 Seguridad Privacidad Digital

    30/148

    BIOSCada ordenador tiene elBIOS: Basic Input/Output System. Su finalidad es dar

    a su ordenador instrucciones inicia-les para empezar. ElBIOSes unconjunto de rutinas desoftwareesenciales que se ejecutan cuandose enciende el ordenador. Ponen aprueba los dispositivos dehardwa- re e inician el disco duro y el siste-ma operativo. Las instrucciones delBIOSse almacenan en un lugar lla-mado ROM (Read Only Memory,?memoria de solo lectura) y gene-

    ralmente son invisibles para el usuario. Sin embargo, la mayora de los ordena-dores le ofrecen la opcin de inspeccionar y ajustar las configuraciones delBIOS; entre ellas, la proteccin por contrasea.

    Para entrar en elBIOSdel ordenador se le suele a pedir que presione una tecladeterminada de su teclado en la pantalla de inicio. Suele ser la tecla F1, F2,F10 o F12, segn el tipo deBIOSque tenga. A veces, tambin puede ser latecla ESC o DEL. Algunos ordenadores saltan esta pantalla muy rpidamente yes posible que tenga que presionar el botn Detener de su teclado para poderleerla. Aqu solo comentaremos la configuracin de la contrasea. No cambiela configuracin estndar delBIOSsi no conoce su finalidad. No todas lasBIOSson iguales; en el suyo encontrar dos de las siguientes contraseas o todasellas.

    Contrasea de inicio: Esta proteger elBIOScontra el inicio sin una contrase-a vlida. No se cargarn dispositivos y su ordenador no se iniciar.

    Contrasea de disco duro: Esta proteger elBIOScontra el inicio y el lanza-miento del disco duro del ordenador. Esta es una opcin til para su porttil,que a menudo se queda en el modo de espera.

    Contrasea de supervisor (contrasea delBIOS): Esta es la contrasea princi-pal que puede sobrescribir las dos anteriores. No hay que configurarla, pero sila olvida o si quiere cambiar alguna de las otras dos la necesitar.

    La configuracin de estas contraseas impide el acceso inmediato a su orde-nador, si est apagado. Se trata de un elemento de disuasin rpida de un intru-so menos ambicioso. La seguridad est lejos de ser infalible, ya que hay variasformas de eliminar la contrasea deBIOS. Casi todas incluyen la apertura fsi-ca del ordenador. Despus de haber hecho esto, puede resetearBIOSo sim-plemente sacar el disco duro y ponerlo en un ordenador diferente que no tengaproteccin mediante contrasea delBIOS. Por lo tanto, si tiene un candado ensu caja bien construida y fuerte del ordenador est, de nuevo, aumentan-do la seguridad de acceso a su informacin. Si olvida su contrasea delBIOS

    tendr que recurrir a los mtodos descritos anteriormente para restablecerla.

    22

    15These tools can be found in theNGO in a Box Security edition,and on the websitehttp://security.ngoinabox.org

    PARA LOS TECHIES

    El men del BIOS

  • 8/6/2019 Seguridad Privacidad Digital

    31/148

    2.1

    L A S E

    G URI DADDEWI ND

    OW

    S

    23

    15Un gran recurso de diferentes pro-gramas informticos (gratuitos yrevisados) son los juegos de herra-mientas publicados por el TacticalTech Collectivehttp://tacticaltech.org/toolkits.Adems, puede registrarse enhttp://www.socialsourcecom-mons.org para ver qu otras herra-mientas utilizan los activistas y lasONG de todo el mundo.

    LA INSTALACIN DE SOFTWARELa mayora de los ordenadores viene consoftware preinstalado. Tenga encuenta que esto puede ser perjudicial para la seguridad de su ordenador.Todo lo que necesita, en un principio, es el CD de Windows y el juego deherramientasSecurity-in-a-Box . Cualquier otrosoftware puede encontrarlo enInternet y todo gratis15. Elsoftware preinstalado en un ordenador nuevo amenudo contiene muchas versiones de prueba de las herramientas de limpie-za de virus, paquetes grficos, etc. Tambin puede contener programasespa (el gobierno chino est considerando una ley que requiere que todoslos fabricantes y los comerciantes preinstalen unsoftware de censura entodos los equipos nuevos). Si utiliza slo herramientas desoftware recomen-

    dadas y de confianza, instale un limpiador de virus totalmente funcional y uncortafuegos: estar mucho ms seguro cuando se conecte a Internet por pri-mera vez.

    Al instalar nuevosoftware investigue de antemano el productor y tome una deci-sin acerca de su credibilidad. No instalesoftware innecesario que pueda deco-rar su monitor o facilitar el relleno de formularios de Internet. Por lo general,este tipo desoftware lleva muchos de los problemas descritos en este manual.No piense que un ordenador puede manejar cada programa que elija instalar.Si necesita un ordenador slo para consultar el correo electrnico y escribir

    documentos lo nico que le hace falta es el OpenOffice (http://openoffice.org)y Mozilla Thunderbird (http://mozillamessaging.com/thunderbird/). No instalenada ms. Es as de simple.

    Windows seguros

    Instalar lasactualizacionesen cuanto son

    accesiblesBorrar

    archivostemporales

    con frecuencia

    Protegerel ordenador

    con una contraseapara iniciar

    la sesin tras

    arrahqueUtilizar unsalvapantallas con

    contrasea o cerrarla pantalla con llave/ bloquear la pantallacuando no se utiliza

    el ordenador

    Dejar elordenador

    apagado durantela noche

    Utiliazarun cortafuegos

    y softwarede antivirusy antiespa

    Inutilizar todolos componentes

    y serviciosinnecesarios

    PARA LOS TECHIES

  • 8/6/2019 Seguridad Privacidad Digital

    32/148

    2.2 LA PROTECCIN PORCONTRASEARESUMEN1 No se fe en las contraseas de Windows para proteger su informa-

    cin. Son fciles de romper.

    2 Cree contraseas con 10 caracteres o ms. Tambin puede utilizaruna frase corta como contrasea.3 Es mejor apuntar las contraseas y mantenerlas a buen recaudo

    que tener una corta y fcil de adivi