8 pasos para ser (casi) completamente anónimo en línea

0
24

El anonimato y la privacidad no se reducen a cerrar la puerta cuando usted va al baño. Para un individuo, pueden tratarse de autonomía personal, libertad política o simplemente de protección en el mundo digital.

Para la industria, la privacidad de los empleados mitiga el riesgo de ataques de ingeniería social, incluso el chantaje. Cuanto más pueda aprender un atacante acerca de las personas clave dentro de una organización, más selectivos y efectivos serán sus ataques. Por lo tanto, educar a los empleados sobre cómo proteger su privacidad, debería ser una parte central de cualquier programa de concientización sobre seguridad.

Puede tomar medidas concretas y específicas para proteger su privacidad, así como la de los empleados de su organización, pero dichas medidas requieren energía, tiempo y algunos conocimientos técnicos.

Privacidad vs. Anonimato
El universo cree en el cifrado, un hombre sabio una vez opinó, porque es astronómicamente más fácil cifrar que descifrar por fuerza bruta. Sin embargo, el universo no parece creer en el anonimato, ya que permanecer anónimo requiere un trabajo significativo.

Estamos utilizando la privacidad y el anonimato de manera intercambiable, y esto es incorrecto. Un mensaje cifrado puede proteger su privacidad porque, además de usted y su destinatario (con suerte), nadie más puede leerlo, pero el cifrado no protege los metadatos y, por lo tanto, tampoco a su anonimato. Con quién está hablando, cuándo, por cuánto tiempo, cuántos mensajes, tamaño de los archivos adjuntos, tipo de comunicación (mensaje de texto, correo electrónico, llamada de voz, nota de voz, llamada de video), toda esta información no está cifrada y los hackers sofisticados la detectan fácilmente por medio de un aparato de vigilancia masiva, que es lo más común en estos días.

Un pensamiento final antes de profundizar en herramientas técnicas específicas: «En línea” ahora son palabras sin sentido. El meatspace y el ciberespacio se han fusionado. Solíamos vivir en el «mundo real” y nos «conectábamos”. Ahora vivimos en línea, y cosas como el geotracking de teléfonos celulares, el reconocimiento facial en espacios físicos públicos, etc., significan que ninguna cantidad de «anonimato en línea” le ayudará si su meatspace no es anónimo, lo cual es casi imposible en estos días.

A continuación, algunos pasos para, dentro de lo posible, obtener el mayor nivel de anonimato.

1- Use Signal
Es posible que haya escuchado el mantra, «Use Signal, use Tor”, y si bien este combo doble es un gran comienzo, no derribará a su oponente. Signal es la mejor aplicación de mensajería cifrada, que le permite enviar mensajes de texto y notas de voz, así como llamadas de voz y llamadas de audio. Se ve y se siente como cualquier otra aplicación de mensajería, pero bajo el capó utiliza un cifrado que, según nuestro conocimiento, ni siquiera la Agencia Nacional de Seguridad puede usar fuerza bruta contra ella.

¿Qué pasa con los metadatos? Para empezar, cualquier adversario de nivel de red puede darse cuenta de que usted está utilizando Signal, y si su adversario se trata de Estados Unidos o Five Eyes, estos tienen acceso de vigilancia masiva a todo el tráfico de Signal, y saben quién está hablando con quién, cuándo y por cuánto tiempo.

Cifrado de correo electrónico
PGP, una vez criptografía de vanguardia para las masas, se ha quedado atrás en el tiempo. Ningún software de seguridad puede ser efectivo si es inutilizable por su público objetivo, y PGP es tan exigente de usar que es extremadamente fácil dispararse en el pie con él. Si es un desarrollador de software, usar PGP para firmar su código es imprescindible. Sin embargo, para una comunicación segura, privada y cifrada de extremo a extremo -a menos que tenga uno o tres países grandes como amenaza, y sea técnicamente competente- no debe usar PGP. Use Signal en su lugar.

Los creadores de Signal son conscientes de estas limitaciones técnicas y están investigando formas de superar los límites de lo que es posible. La comunicación resistente a los metadatos es un problema de investigación técnica de vanguardia aún sin ser resuelto.

En pocas palabras: Signal es la aplicación de mensajería más segura y fácil de usar disponible hasta la fecha, y ofrece marginalmente más anonimato que cualquier otra aplicación. Sin embargo, no confíe en ella para un fuerte anonimato. De hecho, es cuestionable si algo proporciona un fuerte anonimato en estos días, lo que nos lleva a Tor…

2 – Use Tor
Tor es el proyecto de software resistente a metadatos más grande, robusto y efectivo, y el Tor Project hace un gran trabajo en el espacio, pero las limitaciones técnicas de cuánto anonimato pueden lograr Tor han sido evidentes para los investigadores durante algún tiempo. No existen reparaciones claras o reemplazos que se ciernen en el horizonte.

El Onion Router, mejor conocido como Tor (que no es un acrónimo, por cierto; la ortografía de mayúsculas iniciales es un lenguaje para identificar extraños) está optimizado para la navegación web de baja latencia, soporta TCP (no UDP, lo siento, fanáticos de los torrents), y no funcionará al acceder a muchas páginas web grandes, ya que bloquean el acceso a través de Tor.

Tor no ofrece anonimato garantizado y completo, incluso para la navegación web, pero es lo mejor que tenemos en este momento. Al igual que muchas cosas en la vida (e Internet), Tor es de doble uso.Con fines maliciosos, los delincuentes también usan la misma tecnología que usan los periodistas para investigarhistorias anónimamente. Cuando escuche a la gente hablar mal de la aterradora «Dark Web” y sugiera «alguien debería hacer algo”, recuérdeles que solo porque los ladrones de bancos conducen autos en la carretera, no significa que debamos proponer prohibir autos o autopistas.

El TorBrowser debería ser su opción preferida para el uso móvil. El navegador Brave también ofrece una opción Tor. Hay una aplicación oficial de TorBrowser para dispositivos Android y OnionBrowser ofrece una aplicación no oficial respaldada por Tor Project para iOS.

3 – No espere el anonimato de las VPN
Las VPN no son anónimas. Literalmente, no hay nada anónimo sobre el uso de una VPN. Aquí no existe el anonimato. ¿Mencionamos que las VPN no ofrecen el anonimato? Solo quería asegurarme de que tengamos claro este punto.

Dado que todos esperan que las VPN estén en una lista de herramientas de anonimato, vamos a desacreditar esa idea. Todo lo que hace una VPN es trasladar la confianza de su ISP o, si se encuentra viajando, su cafetería local o la red Wi-Fi del hotel o aeropuerto al servidor de otra persona. Existen muchas razones de seguridad legítimas por las que usar una VPN es una gran idea, pero el anonimato no está en esa lista. En ningún lado. Ni siquiera al último.

A diferencia de Tor, que rebota su tráfico a través de tres nodos Tor distribuidos por Internet, lo que hace que sea muy difícil, pero no imposible, que un adversario vea lo que está haciendo, una VPN simplemente cambia su tráfico de su ISP (en casa) o cafetería Wi-Fi (mientras está de viaje) a los servidores de la VPN. Eso significa que el proveedor de VPN puede ver todo su tráfico. Eso significa que un adversario que obtiene el control de los servidores de la VPN, mediante hacking o entregándole al proveedor de VPN una orden judicial, también puede ver todo su tráfico.

Las VPN son geniales. Úselas. Las buenas son mucho más confiables que su red Wi-Fi de cafetería local, pero no ofrecen anonimato.

4 – Utilice servicios de conocimiento cero
Google puede leer cada correo electrónico que envía y recibe. Office 365 escanea todo lo que escribe. Dropbox abre y examina todo lo que carga. Las tres compañías, entre muchas otras, son proveedores de PRISM, según los documentos de Snowden, lo que significa que cooperan con los programas de vigilancia masiva. Si Google puede verlo, también la gente de Washington. No tiene privacidad en ninguno de estos servicios.

Por supuesto, puede cifrar todo antes de usar Gmail o antes de subir sus fotos de vacaciones a Dropbox. Si le importa la privacidad y puede descubrir cómo usar PGP, probablemente debería hacerlo. Por otro lado, sin embargo, también puede optar por utilizar proveedores de servicios que anuncien el almacenamiento de archivos sin conocimiento.

Aunque nunca se puede confiar plenamente que un proveedor de servicios no ha sido backdoored, la alternativa de Dropbox, SpiderOak, con sede en Estados Unidos, publicita contar con conocimiento cero de almacenamiento de archivos. ProtonMail, con sede en Suiza, anuncia contar con correos electrónicos de conocimiento cero, y afirma que es matemáticamente imposible que le entreguen su correo electrónico a un tercero.

No estamos promocionando a ninguno de estos proveedores, y usted debe hacer su tarea antes de confiarles cualquier cosa importante. Sin embargo, el campo del almacenamiento de archivos de conocimiento cero es una señal alentadora, y vale la pena tenerla en cuenta.

5 – Tenga cuidado con lo que publica en línea
La privacidad se trata de autonomía, la noción de que usted elige compartir lo que desea y mantiene en privado lo que quiere mantener en privado. Si hay algo que está pasando en su vida y no quiere compartirlo con el mundo, publicarlo en las redes sociales -donde lo puede ver todo el mundo- probablemente no sea la mejor idea.

Existe una brecha generacional sorprendente en este tema. Las generaciones más viejas se encogen ante la idea de airear sus trapos sucios en público, mientras que la generación que creció con un teléfono celular soldado a la palma de su mano piensa que compartir en exceso es normal. Hay un momento y un lugar para todo. El intercambio deliberado de cosas que desea que el mundo vea claramente tiene valor.

Considere también que puede ser que compartir un detalle particular sobre su vida puede que no parezca delicado por sí solo; pero, en conjunto con muchos otros detalles personales compartidos, podría construir una imagen que usted podría dudar en poner en una Internet hostil.

Publicar en las redes sociales hoy es más permanente que cincelar jeroglíficos en piedra. Dé un paso atrás y considere la imagen completa de lo que está compartiendo.

6 – Verifique los permisos de la aplicación
Las aplicaciones móviles, tanto para iOS como para Android, tienden a solicitar muchos más permisos de los que en realidad necesitan y, frecuentemente, son atrapados extrayendo datos personales de los teléfonos de los usuarios y transmitiendo esos detalles al fabricante de la aplicación de manera bastante inapropiada.

¿Esa aplicación aleatoria realmente necesita acceso a su micrófono? (¿Para qué? ¿Grabará todo lo que habla?) ¿Y qué hay de su ubicación? (¿Por qué? ¿Va a rastrear su ubicación?) ¿Su libreta de direcciones? (¿Esa aplicación realmente necesita saber quiénes son todos sus amigos? ¿Para qué?)

Ni Android ni iOS hacen que sea especialmente fácil hacerlo, pero revise su configuración y desactive los permisos innecesarios con un prejuicio extremo.

7 – Use un bloqueador de anuncios
En los viejos tiemposgloriosos de antaño, los anuncios eran una transmisión de uno a muchos. Un anuncio hoy no tiene relación con los anuncios de su abuelo. Ahora, las redes publicitarias individuales lo miran para orientar mejor sus anuncios.

El seguimiento de cada uno de sus movimientos en línea y, cada vez más, en el meatspace, es el modelo de negocio de grandes porciones de Silicon Valley. Google y Facebook son dos de los jugadores más grandes en este espacio, y le siguen en toda la web y en el meatspace, incluso si no tiene una cuenta con ninguno de ellos (aunque la mayoría de nosotros las tenemos), e incluso si usted no está conectado.

Instalar un bloqueador de anuncios no es una cura mágica, pero una espada de papel maché es mejor que nada cuando las hordas enemigas invaden. Brave Browser bloquea anuncios y rastreadores de forma predeterminada. AdBlock tiene una buena reputación y vale la pena explorar otras extensiones, como la excelente extensión Privacy Badger de Electronic Frontier Foundation. También puede hundir las solicitudes de DNS de la red publicitaria en el nivel de su router local.

8 – Descargue a su asistente de casa
Si valora su privacidad y su anonimato, le imploro que tire a la basura su asistente de casa (Amazon Echo, Google Home, etc.) y su snitch-in-a-box (Amazon Ring). Estos fisgones digitales siempre activos son venenosos para la privacidad y el anonimato, y no existe una manera significativa de hacerlos menos invasivos para la privacidad.

El despliegue ubicuo de tales «asistentes” deja en claro el problema de la acción colectiva: no importa si elige no comprar e instalar uno de estos dispositivos. Si todos sus vecinos los poseen y los usan, entonces su privacidad está perjudicada. Si todos los demás en su vecindario tienen un Ring grabando todo lo que sucede, entonces sus movimientos en el meatspace también serán grabados y rastreados.

Los consejos técnicos que hemos proporcionado aquí ofrecen poco más que un curita en una herida profunda. Úselos, pero no se haga ilusiones de que harán mucho para proteger su privacidad.

JM Porup, CSOonline