Manual de los problemas de seguridad en la comunicación y cómo evitarlos

El conocimiento es poder, y conociendo el origen de tus posibles problemas de comunicación, puedes sentirte más seguro al realizar tu labor. La siguiente lista resume las diferentes formas de acceso o de manipulación ilegal de tu información o de tu sistema de comunicación, y sugiere varias medidas para evitar estos problemas de seguridad.

Hablar

No es necesario que la información pase por Internet para que accedan a ella ilegalmente. Cuando discutas temas confidenciales, considera los siguientes puntos:

1. ¿Confías en la persona con la que estás hablando?
2. ¿Necesita la información que le estás dando?
3. ¿Te encuentras en un entorno seguro? A menudo se colocan micrófonos ocultos u otros dispositivos de escucha en zonas que la gente considera seguros, tales como oficinas privadas, calles con mucha circulación, habitaciones de la casa y coches.

Es difícil responder a la tercera pregunta, porque pueden haber instalado grabadoras o micrófonos ocultos en la habitación para grabar o transmitir todo lo que allí se dice. También pueden haber micrófonos láser apuntando a las ventanas para escuchar las conversaciones desde una gran distancia. Las cortinas gruesas, al igual que la instalación de ventanas de doble acristalamiento, pueden protegerte en parte de los micrófonos láser. Algunos edificios seguros tienen dos juegos de ventanas en las oficinas para reducir el riesgo de los aparatos de escucha por láser.

¿Qué puedes hacer?

• Presume siempre que hay alguien escuchando. Una actitud de paranoia saludable, podría ayudarte a ser más cauteloso con los asuntos confidenciales.

• Los detectores de micrófonos o rastreadores pueden detectar los aparatos de escucha, pero pueden ser caros y difíciles de adquirir. Además, a veces los propios encargados de detectar los micrófonos son los responsables de colocarlos. Durante una barrida, podrían o bien encontrar algunos “desechables” (micrófonos ocultos baratos diseñados para ser encontrados) o curiosamente no encontrar nada y declarar tus oficinas “limpias”.

• El personal de limpieza puede representar una grave amenaza de seguridad, porque pueden acceder a tus oficinas fuera del horario laboral y se llevan la basura consigo cada noche. Todo el personal debería ser examinado cuidadosa y regularmente por el dispositivo de seguridad, ya que podrían comprometerse una vez incorporados a tu organización.

• Cambia las salas de reuniones tan a menudo como te sea posible. A mayor número de habitaciones o lugares donde intercambies información, mayor número de personal y equipo serán necesarios para la escucha.

• Sospecha de los regalos diseñados para que los lleves contigo a todas horas, como un bolígrafo caro, un pin o un broche de solapa; o para que los utilices en tu oficina, como un bonito pisapapeles o un cuadro grande. En el pasado se ha hecho uso de este tipo de objetos para escuchar conversaciones.

• Presume que una parte de tu información está expuesta en todo momento. Tal vez decidas cambiar de planes y códigos a menudo, ofreciendo a tus oyentes sólo fragmentos de la información verídica. Podrías entregar información falsa para comprobar si alguien hace uso o responde a ella.

• Para minimizar la efectividad de los micrófonos láser, discute los asuntos confidenciales en un sótano o en una habitación sin ventanas. Las tormentas u otros cambios climáticos pueden reducir la efectividad de algunos dispositivos de escucha.

• Pon una grabación de ruido blanco o una canción popular de fondo para que interfieran en la recepción del sonido. Sólo la alta tecnología puede filtrar los ruidos sobrepuestos a una conversación.

• Los espacios abiertos pueden resultar tan prácticos como nocivos. Si te reúnes en un lugar aislado te resultará más fácil comprobar si alguien te sigue u observa, pero te será imposible esconderte entre la gente y escapar. Las muchedumbres pueden ayudarnos a pasar inadvertidos pero también es mucho más fácil ser visto y oído en ellas.

Teléfonos móviles

Si el oyente posee una buena capacidad tecnológica podrá escuchar todo tipo de llamadas telefónicas. Ningún tipo de llamada puede considerarse segura. Los teléfonos móviles digitales son más seguros que los teléfonos móviles análogos y las líneas fijas son más seguras todavía.

La vigilancia celular puede detectar tu ubicación y tus conversaciones. Para dar con tu paradero no es necesario que estés hablando - con que tengas el teléfono móvil encendido ya es suficiente.

No guardes información confidencial como nombres y números de teléfono en la memoria de tu teléfono. Si te lo robaran, dicha información podría ayudarles a localizar y comprometer a la gente que quieres proteger.

La seguridad del material de información de la oficina

Mantén la oficina cerrada a todas horas, incluyendo puertas y ventanas. Utiliza llaves que requieran una autorización específica para hacer una copia y no pierdas de vista ninguna de las copias. NO des llaves a terceros, ni siquiera al personal de limpieza o de mantenimiento, y asegúrate de que tú o alguien de confianza esté siempre presente cuando hayan personas ajenas en la oficina. Si esto no es posible, asegúrate de disponer una habitación con acceso limitado para guardar los archivos confidenciales. Procura cerrar con llave todas las puertas de la oficina y al finalizar el día deja todos los residuos no-confidenciales en el pasillo.

Utiliza una trituradora de papel para todos los documentos confidenciales. Las tiras de papel trituradas son casi completamente inservibles. Si quieres deshacerte de un material extremadamente confidencial, puedes quemar los desechos, pulverizar las cenizas y tirarlas por el baño.

Seguridad básica de ordenadores y archivos

• Si es posible procura guardar los ordenadores bajo llave al salir de la oficina. Aparta las pantallas de los ordenadores de las ventanas.

• Utiliza un protector de sobrecarga para todas las tomas de corriente (las variaciones de la corriente eléctrica pueden dañar tu ordenador).

• Guarda las copias de seguridad, incluyendo los archivos de papel, en un lugar seguro y apartado. Asegúrate de que las copias de seguridad estén protegidas guardándolas en un disco duro encriptado con datos seguros de la organización, o protegido con sofisticados cerrojos.

• Para reducir el riesgo de acceso a tu ordenador protégelo con una frase de pase y apágalo siempre que lo abandones.

• Encripta tus archivos por si acaso alguien consiguiera acceder a tu ordenador o averiguar la frase de pase.

• Crea copias de seguridad diariamente por seguridad y para poder recuperar tus archivos en caso de que te roben o destruyan el ordenador. Mantén los documentos de seguridad encriptados lejos de tu oficina en un lugar seguro.

• Los archivos borrados no podrán ser reconstruidos si utilizas el PGP Wipe u otro programa de utilidades, en vez de eliminarlos o colocarlos simplemente en la papelera de reciclado del ordenador.

• Tu ordenador puede ser programado sin que te des cuenta para enviar tus archivos fuera o para dejarte indefenso. Para evitar esto, adquiere tu ordenador de una fuente segura, allana el ordenador (es decir, reformatea el disco duro) al estrenarlo, e instálale únicamente el software que necesites. Permite sólo a los técnicos de confianza que se ocupen del mantenimiento de tu ordenador y obsérvalos en todo momento.

• Desconecta el módem/conexión telefónica de tu ordenador, o sino desconéctate de Internet, cuando vayas a dejar el ordenador desatendido. De esta forma, los programas maliciosos que llamen en mitad de la noche no funcionarán. Nunca dejes tu ordenador conectado si piensas pasar el día fuera. Procura instalar un software que invalide el acceso tras un tiempo determinado de inactividad. De esta manera, tu ordenador no estará expuesto mientras te tomes un café o hagas unas fotocopias.

• En tus preferencias de Internet, activa las extensiones de archivos para saber qué tipo de archivo es antes de abrirlo. Podrías atrapar un virus si abres un archivo ejecutable creyendo que era un archivo de texto. Si utilizas Internet Explorer, haz clic en el Panel de control de tu ordenador y después en Opciones de carpeta. Haz clic en Ver y comprueba que el cuadro de Ocultar las extensiones de archivo para tipos de archivo conocidos NO esté activado.

Problemas de seguridad con Internet

Tu correo electrónico no pasa directamente de tu ordenador al ordenador del destinatario, sino que pasa por varios nodos y va dejando información en el recorrido. Se puede acceder a tu correo desde cualquier parte del recorrido (¡no sólo desde tu país!)

Alguien podría estar mirando por encima de tu hombro mientras tecleas. Esto es particularmente problemático en los Internet cafés. Si estás conectado a una red, todo el mundo en la oficina tiene acceso a tu correo electrónico. Tu sistema administrativo puede tener unos privilegios administrativos especiales para acceder a todos los correos electrónicos.

Tu proveedor del servicio de Internet (ISP) tiene acceso a tus correos electrónicos, y cualquier persona con influencia sobre tu ISP podría presionarlo para conseguir que le remita copias de todos tus correos electrónicos o para impedir que pasen ciertos correos electrónicos.

Al pasar por Internet, tus correos electrónicos recorren cientos de sitios inseguros. Los piratas informáticos pueden acceder a los mensajes de correo electrónico mientras transitan. El ISP de tu destinatario también puede ser vulnerable, al igual que su red y su oficina.

Seguridad de Internet básica

Los virus y otros problemas, tales como los Caballos de Troya o los Troyanos, pueden proceder de cualquier parte; incluso tus amigos pueden propagarte un virus sin saberlo. Utiliza un buen programa anti-virus y mantenlo actualizado con conexiones automáticas a la Web. Constantemente se crean y descubren virus nuevos, así que consulta la Biblioteca de Información sobre Virus en www.vil.nai.com para saber lo último sobre los parches de protección.

Los virus suelen ser propagados a través del correo electrónico, así que procura hacer un uso seguro del correo electrónico (véase abajo). Los virus son programas únicos diseñados para replicar y podrían o no ser nocivos. Los Troyanos son unos programas diseñados para ofrecer el acceso de tu ordenador a terceros (¡o a cualquiera!).

Un buen cortafuegos puede ayudarte a pasar desapercibido ante los piratas informáticos y mantener alejados a los intrusos que intenten acceder a tu sistema. De esta forma desde tu ordenador sólo podrán conectarse a Internet las aplicaciones autorizadas e impide también que programas como el de los Troyanos te envíen información o abran las “puertas traseras” de tu ordenador para dejar pasar a los piratas informáticos.

El sistema de “key logger” puede localizar cada tecla que pulses. Estos programas pueden ser instalados o bien accediendo a tu ordenador en tu ausencia, o a través de un virus o un Troyano que ataca tu sistema desde Internet. Los Key loggers localizan las pulsaciones de tu teclado e informan de tus actividades, normalmente por Internet. Se les puede derrotar utilizando una frase de pase para proteger tu ordenador, haciendo uso del correo electrónico de forma segura, utilizando un programa anti-virus, y un programa para teclear tu contraseña con el ratón. También se puede incapacitar a los Key loggers desconectando físicamente el ordenador del acceso a Internet - normalmente sólo necesitas desenchufar la conexión telefónica del ordenador – cuando no lo estés utilizando.

La dirección de correo electrónico puede ser “spoofed” (manipulada/falsificada) o utilizada por una persona que no es el propietario real. El pirata informático puede conseguir esto accediendo al proveedor de servicios de Internet del ordenador de esa persona y obteniendo el acceso y su contraseña, o utilizando una dirección casi idéntica. Por ejemplo, si intercambiamos la “l” minúscula por el número “1”, obtendremos una dirección muy parecida y casi nadie notará la diferencia. Para evitar ser engañado por un spoof, escribe frases coherentes en la línea de Asunto y formula preguntas periódicamente que sólo la persona en cuestión pueda responder. Confirma toda solicitud de información por medio de otro sistema de comunicación.

Mantén la privacidad de tu actividad de navegación no aceptando cookies y eliminando tu caché cada vez que termines de navegar en la web. En Internet Explorer, haz clic en Herramientas, y luego en Opciones. En Netscape Navigator, haz clic en Edición, y luego en Preferencias. Una vez dentro de cualquiera de estos menús borra todo tu historial, todas las cookies que puedas tener y vacía tu caché. Recuerda borrar también todos tus marcadores. Los navegadores también archivan las páginas Web que has visitado en ficheros de caché, así que averigua qué ficheros deberían ser borrados de tu sistema.

Actualiza todos los navegadores de Internet para que adopten una encripción de 128-bits. Esto te ayudará a proteger cualquier información que quieras enviar a través de Internet, incluyendo contraseñas y otros datos confidenciales recogidos en formularios. Instala los parches de seguridad más actuales en todo el software que utilices, sobretodo en Microsoft Office, Microsoft Internet Explorer y Netscape.

No utilices un ordenador que contenga información confidencial para conexiones a Internet no esenciales.

Seguridad básica del correo electrónico

Existen métodos seguros de utilizar el correo electrónico que tú y tus amigos y asociados deberíais poner en práctica. Informa a tus amigos y asociados de que no abrirás sus mensajes a no ser que practiquen una correspondencia electrónico segura.

1. NUNCA abras un mensaje de un desconocido.

2. NUNCA reenvíes un mensaje de un desconocido, o originado por un desconocido. Todos esos mensajes de “Ten pensamientos felices” que la gente se envía pueden contener virus. Al enviárselos a tus amigos y asociados podrías infectar sus ordenadores. Si tanto te gusta el texto, rescríbelo y envíalo tú mismo. Si no merece la pena perder el tiempo reescribiéndolo, es señal de que no era tan importante.

3. NUNCA descargues o abras un archivo adjunto sin saber qué contiene y si es seguro. Desconecta las opciones de descarga automática de tu programa de correo electrónico. Muchos virus o Troyanos se auto-propagan en forma de “gusanos” y los gusanos modernos suelen ser enviados por un conocido. Los gusanos inteligentes escanean tu agenda de direcciones, sobretodo si utilizas Microsoft Outlook o Outlook Express, y la replican haciéndose pasar por archivos adjuntos legítimos de contactos legítimos. Si haces que el PGP firme tu correo electrónico, con o sin archivos adjuntos, reducirás en gran parte la confusión sobre los archivos adjuntos sin virus que puedas enviar a tus compañeros (PGP es un software diseñado para encriptar información, véase más abajo en “Encripción”)

4. NO utilices HTML, MIME o un formato de texto enriquecido en tu correo electrónico - únicamente un texto normal. Los correos electrónicos enriquecidos pueden contener programas incorporados que permiten el acceso o dañan los archivos de tu ordenador.

5. Si utilizas Outlook ó Outlook Express, desconecta la opción de vista previa de la pantalla.

6. Codifica tu correo electrónico siempre que puedas. Un correo electrónico sin encriptar es como una postal que puede ser leída por todo aquél que la ve o que tiene acceso a ella. Un correo electrónico encriptado es como una carta en un sobre dentro de una caja fuerte.

7. Titula tus mensajes con frases significativas para que el destinatario te reconozca. Pide a todos tus amigos y colegas que hagan siempre un comentario personal en la línea de Asunto para asegurarte de que son realmente ellos quienes te envían el mensaje. Sino alguien podría estar practicando spoofing con ellos, o un Troyano podría haber enviado un programa infectado a toda su agenda de direcciones, incluyéndote a ti. Sin embargo, no utilices las líneas de Asunto para revelar información confidencial de mensajes encriptados. No olvides que la línea de Asunto no está encriptada y podría revelar el tema del mensaje encriptado, lo que puede desencadenar ataques. En la actualidad hay muchos programas de piratas informáticos que escanean y copian mensajes de correo electrónico con títulos “interesantes” como “informe”, “confidencial”, “privado” y demás para indicar que el mensaje es de interés.

8. NUNCA envíes un mail a un gran grupo utilizando las líneas "Para" o "CC". Envíate el mensaje a ti mismo e incluye el nombre de los demás en las líneas de "bcc". Esto es por pura cortesía al igual que una buena práctica de privacidad. Sino, estarás enviando MI dirección a gente que no conozco, una práctica que es maleducada, ofensiva y probablemente igual de frustrante que peligrosa.

9. NUNCA contestes al correo basura, incluso a las proposiciones de borrarles de la lista. Los servidores de spam envían mensajes a grandes cantidades de direcciones y nunca saben cuáles están "activas" - es decir que la dirección de correo electrónico está siendo utilizada activamente. Al responder, el servidor te reconoce como una cuenta “activa” y consiguientemente te envía más correo basura. 10. Si es posible, mantén un ordenador separado, que no esté conectado a ningún otro y que no contenga ningún archivo de datos, para la correspondencia electrónica general.

Encriptación: Preguntas y Respuestas

Seguidamente encontrarás una lista con las preguntas y respuestas más frecuentes. Para cualquier consulta no dudes en contactar a la ONG Privaterra en www.privaterra.org

P: ¿Qué es la encriptación?

R: Encriptar significa transformar datos en un código secreto que puede ser descifrado únicamente por la parte interesada. Contando con el tiempo y el poder informático suficientes, todos los mensajes encriptados pueden ser descodificados, pero es necesario invertir enormes cantidades de tiempo y recursos. Para simplificar, la encriptación es una forma de esconder tus archivos y correo electrónico de la vista de los espías. Tus archivos se traducen a un código – aparentemente una colección de números y letras escogidos al azar – que no guardan sentido alguno para quien lo vea. Para encriptar un archivo, lo “bloqueas” con una tecla, que representa una frase de pase. Para encriptar un mensaje, lo bloqueas con un par de teclas utilizando tu frase de paso. Sólo podrá abrirlo su destinatario, utilizando su propia frase de pase.

P: ¿Por qué los grupos de derechos humanos deberían utilizar la encriptación?

R: Todo el mundo debería utilizar la encriptación, porque las comunicaciones digitales son intrínsicamente inseguras. Sin embargo, los trabajadores de derechos humanos corren un mayor riesgo que la mayoría de la gente y sus archivos y comunicaciones son más confidenciales. Es fundamental que los trabajadores de derechos humanos utilicen la encriptación para protegerse a sí mismos y a la gente que intentan ayudar.

La tecnología digital representa una ventaja para los grupos de derechos humanos, ya que les otorga una comunicación más fácil, una mayor eficacia y más oportunidades. Sin embargo, toda ventaja conlleva ciertos peligros. El simple hecho de ponerse un cinturón de seguridad no significa que vayas a tener un accidente cada vez que conduzcas. Cuando conduces en una situación más peligrosa, como en una competición, eres más propenso a utilizar el cinturón de seguridad, simplemente por seguridad.

Los trabajadores de derechos humanos son conocidos blancos de vigilancia. Desde que es posible acceder y leer los correos electrónicos encriptados con cierta facilidad, resulta casi inevitable que tus mensajes encriptados sean interceptados en algún momento. De hecho, tal vez tu correo ya haya sido interceptado por tus oponentes y tú nunca lo sepas. Los adversarios de la gente que ayudas con tu labor también son tus adversarios.

P: ¿Es el uso de la encriptación ilegal?

R: A veces. En la mayoría de los países del mundo el uso de la encriptación es completamente legal. Sin embargo, existen excepciones. En China, por ejemplo, las organizaciones deben solicitar un permiso para utilizar la encriptación, y cualquier programa de encriptación de tu ordenador portátil debe ser declarada al entrar en el país. Singapur y Malasia tienen leyes que exigen que toda persona que desee utilizar la encriptación notifique sus claves privadas. En India se está tramitando una ley parecida. También existen otras excepciones.

El Centro de Información Electrónica Privada (EPIC) expone un Informe Internacional sobre la Política de Encriptación (International Survey of Encryption Policy) que examina las leyes de la mayoría de los países en http://www2.epic.org/reports/crypto2000/. Su última actualización es del 2000. Si te preocupa, antes de utilizar una encriptación en un país en concreto consúltalo con Privaterra.

P: ¿Qué necesitamos para mantener nuestros sistemas de Tecnología Informática (TI) seguros?

R: Depende de tu sistema y de tus actividades, pero por lo general todo el mundo debería tener:

• Un cortafuegos;
• Disco de encriptación;
• Encriptación de correo electrónico que también realice firmas digitales como el PGP;
• Software para la detección de virus;
• Seguridad de reserva: Envía por correo electrónico todo el material a un sitio seguro y realiza copias de seguridad semanalmente en CD-RW. Luego almacénalo en un lugar apartado y seguro;
• Frases de pase que sean fáciles de recordar pero no de adivinar;
• Una jerarquía de acceso – no todo el mundo en la organización necesita acceso a todos los archivos;
• Consistencia – ¡Ninguna de las herramientas funcionarán si no las utilizas todo el tiempo!

Pero no sólo es necesario disponer del software correcto. Las personas suelen ser la conexión más débil, no la tecnología. La encriptación no funciona si las personas no la utilizan continuamente, si comparten las frases de pase indiscriminadamente o las hacen visibles en una nota pegada en la pantalla, por ejemplo. En caso de un tiroteo o ataque el software de reserva no se salvará si no mantienes la copia de seguridad en un lugar apartado y seguro. La información confidencial debe ser compartida cuando sea necesario y no con todo el mundo de la organización, por lo que es necesario crear jerarquías y protocolos. Por lo general, es importante tener presentes la privacidad y la seguridad en tus actividades diarias. Es lo que denominamos una “paranoia saludable”.

P: ¿Cómo decido qué software de encriptación usar?

R: Normalmente, puedes consultarlo con tus amigos – y confirmarlo con nosotros. Necesitarás comunicarte con ciertas personas y ciertos grupos, y si ya están utilizando un sistema de encriptación específico, deberías utilizar el mismo para facilitar la comunicación. Sin embargo, consúltalo primero con nosotros. Algunos paquetes de software simplemente no funcionan bien, mientras que otros son tarros de miel. Los tarros de miel te atraen ofreciéndote el uso gratuito de un software aparentemente excelente provisto por la misma gente que pretende espiarte. ¿Qué mejor manera de leer tus comunicaciones más confidenciales que la de ser el supervisor de tu software de encriptación? Aún así, existen muchas marcas de confianza tanto de software privado como de software gratuito – simplemente no olvides informarte antes de utilizarlo1.

P: ¿El uso de la encriptación no aumenta el riesgo de que se adopten medidas severas en mi contra?

R: Nadie sabrá que estás utilizando una encriptación a no ser que tu correspondencia electrónica ya esté siendo vigilada. Si es así, tu información privada ya está siendo leída. Eso significa que quienes te vigilan ya han adoptado esas medidas severas. Existe la inquietud de que los espías puedan utilizar otras opciones si no pueden continuar leyendo tus correos electrónicos, así que es importante conocer a tus colegas e implementar unas políticas de reserva seguras y una gestión laboral sólida en cuanto empieces a utilizar la encriptación. (Nota: No disponemos de información de casos dónde el uso de la encriptación haya causado problemas a los defensores. Sin embargo, considera esta posibilidad detenidamente antes de iniciar la encriptación, sobretodo si estás en un país con un conflicto armado pesado – la inteligencia militar podría sospechar que estás pasando información relevante bajo un punto de vista militar – o si muy pocos defensores utilizan la encriptación – esto podría despertar un interés no deseado hacia ti).

P: ¿Por qué es necesario encriptar el correo electrónico y los documentos todo el tiempo?

R: Si sólo usas la encriptación para los asuntos confidenciales, aquéllos que te estén vigilando o tus clientes podrían adivinar cuando se está llevando a cabo una actividad crítica, y ser más propensos a tomar medidas enérgicas en esos momentos. Mientras no puedan leer tus comunicaciones codificadas, no podrán saber si los archivos han sido encriptados o no. Un incremento repentino de la encriptación podría incentivar un ataque, así que es aconsejable empezar a utilizar la encriptación antes de iniciar los proyectos especiales. De hecho, es mejor asegurarse de que la comunicación fluye sin problemas. Envía correos electrónicos encriptados a intervalos regulares, incluso cuando no haya nada de qué informar. De esta forma, cuando necesites enviar información confidencial, no llamarás tanto la atención.

P: Si ya tengo un cortafuegos ¿por qué necesito encriptar mi correo electrónico?

R: Los cortafuegos impiden que los piratas informáticos accedan a tu disco duro y red pero, una vez envías el correo electrónico por Internet, éste queda expuesto al mundo. Necesitas protegerlo antes de enviarlo.

P: Nadie va a entrar a robar en mi oficina, así que ¿por qué debería utilizar un software de privacidad?

R: No sabes si alguien ha entrado en tu sistema o está filtrando información. Sin comunicaciones codificadas, seguridad física o protocolos de privacidad, todo el mundo puede acceder a tus archivos, leer tu correo electrónico y manipular tus documentos sin tu conocimiento. Tus comunicaciones transparentes también podrían exponer a los demás a un riesgo, sobretodo en lugares donde pueden sucederse ataques por motivaciones políticas. Si cierras las puertas con llave, deberías encriptar tus archivos. Es así de sencillo.

P: No disponemos de acceso a Internet y debemos recurrir a un Internet café. ¿Cómo podemos proteger las comunicaciones enviadas desde un ordenador externo?

R: Es posible encriptar tu correo electrónico y tus archivos. Antes de ir al Internet café, codifica todos los archivos que vayas a enviar por correo electrónico y cópialos con un formato codificado en tu disquete o CD. Una vez en el Internet café, inscríbete a un servicio de encriptación como www.hushmail.com o un servicio de anonimato como www.anonymizer.com, y utilízalos cuando envíes tus mensajes. Asegúrate de que la gente que reciba tu correo se inscriba también a estos servicios.

P: Si es tan importante asegurar nuestros archivos y comunicaciones, ¿por qué no lo hace todo el mundo?

R: Esta tecnología es relativamente nueva, pero su uso se está expandiendo. Los bancos, las empresas multinacionales, las agencias de prensa y los gobiernos utilizan todos la encriptación, considerándola una inversión sólida y un coste necesario para sus negocios. Las ONGs corren un mayor riesgo que las empresas, que suelen ser bien acogidas por la mayoría de los gobiernos. Cabe una mayor probabilidad que las ONGs sean un blanco de vigilancia y por lo tanto necesitan tomar la iniciativa e implementar la tecnología. Los trabajadores de derechos humanos se dedican a proteger a personas o grupos perseguidos y poseen archivos que pueden identificar y localizar a la gente. Si se accediera a estos archivos, estas personas podrían ser asesinadas, torturadas, secuestradas, o “persuadidas” a no volver a acudir a la ONG. La información de estos ficheros podría también ser utilizada como prueba contra la ONG y sus clientes en procesos judiciales políticos.

P: Uno de nuestros principios es la transparencia. Estamos trabajando para que el gobierno tenga una mayor transparencia. ¿Cómo podemos utilizar la tecnología de privacidad?

R: La privacidad es compatible con la transparencia. Si el gobierno desea solicitar públicamente tus archivos, puede hacerlo siguiendo los procedimientos correctos y reconocidos. La tecnología de privacidad evita que la gente acceda a tu información de forma clandestina.

P: Seguimos todos los protocolos de privacidad y seguridad y nuestra información continúa filtrándose - ¿Qué ocurre?

R: Tal vez tengas un espía dentro de la organización o alguien sencillamente incapaz de guardar información confidencial. Modifica tu jerarquía de información reduciendo el número de personas con acceso a la información confidencial – y estate especialmente alerta con esas personas. Las grandes corporaciones y organizaciones divulgan regularmente varias piezas de información falsas a ciertas personas específicas como simple táctica. Si la información falsa se filtra, descubrirás que la filtración proviene del empleado a quien se le dio esa información.

Reglas básicas del uso de la encriptación:

• Utiliza la encriptación continuamente. Si tan sólo codificas el material confidencial, la persona que controla tu correspondencia electrónica sabrá cuando está a punto de ocurrir algo importante. Un aumento repentino en el uso de la encriptación podría causar un ataque.

• NO añadas información confidencial en la línea de Asunto. No suelen estar codificadas, aunque el mensaje sí lo esté.

• Utiliza una frase de pase que contenga letras, números, espacios y puntuación que sólo tú puedas recordar. Algunas técnicas de creación de frases de pase son el uso de diseños de tu teclado o palabras al azar juntadas entre ellas por símbolos. Por lo general, cuanto más larga sea la frase de pase, más segura.

• NO utilices una única palabra, un nombre, una frase popular o una dirección de tu agenda como frase de pase. Podrían descubrirse en cuestión de minutos.

• Haz una copia de seguridad de tu clave privada (el archivo que contiene tu clave privada para la encriptación del software) en un único lugar seguro, como codificado en un disquete o en un diminuto disco duro portátil USB o "keychain" (dispositivo de memoria).

• NO envíes material confidencial a alguien simplemente por haber recibido un mensaje suyo encriptado con un nombre reconocible. Cualquiera puede "spoof"(falsificar) un nombre creando una dirección de correo parecida a la de alguien conocido. Comprueba siempre la identidad antes de confiar en la fuente – comunícate personalmente, por teléfono, o envía otro mail para reconfirmarlo.

• Enseña a los demás a utilizar la encriptación. Mientras más personas lo utilicen, más seguros estaremos todos.

• NO olvides firmar y encriptar el mensaje. Necesitas que tu destinatario sepa si el mensaje ha sufrido alteraciones durante el trayecto.

• Encripta separadamente los archivos que quieras adjuntar. Por lo general no se encriptan automáticamente cuando envías un correo encriptado.

Guía para una gestión más segura de la oficina y la información.

Gestión de oficina más segura

Para conseguir una gestión de oficina más segura es necesario crear ciertos hábitos. Los hábitos en la gestión de oficina pueden ser positivos o nocivos. Para desarrollar unos buenos hábitos, conviene comprender el razonamiento que se esconde detrás de ellos. Hemos elaborado una lista de hábitos que podrían serte de utilidad para gestionar tu información de una manera más segura – pero sólo si desarrollas estos hábitos y reflexionas por qué son importantes.

¿Qué es lo más importante para la privacidad y la seguridad en la gestión de oficina?

• Ser consciente de tu información y de quien tiene acceso a ella.

• Desarrollar hábitos seguros y practicarlos constantemente.

• Utilizar las herramientas apropiadamente.

Administración

Muchas organizaciones poseen un sistema administrador o alguien con privilegios administrativos para acceder al correo electrónico, la red de ordenadores y supervisar la instalación del nuevo software. Si alguien abandona la organización o no está disponible, el administrador puede acceder a su información y el proyecto puede continuar sin interrupción. Esto también significa que hay un responsable de asegurar que el sistema de software esté limpio y que provenga de una fuente de confianza.

El problema es que algunas organizaciones consideran este papel como un simple soporte técnico y conceden a un trabajador externo esos privilegios administrativos. Este administrador tiene un control efectivo sobre toda la información de la organización, y debe por lo tanto ser de absoluta confianza. Algunas organizaciones reparten el papel de administrador entre el director de la organización y otra persona de confianza.

Existen organizaciones que optan por agrupar las claves privadas y contraseñas del PGP, encriptarlas y guardarlas de forma segura y en un lugar remoto con otra organización de confianza. Esto evita problemas en caso de que alguien olvide su contraseña o pierda su clave privada. Sin embargo, la ubicación de los archivos debe ser completamente segura y de confianza, y deben crearse protocolos específicos y extensos en relación al acceso a los archivos.

Las normas:

1. NUNCA otorgues privilegios administrativos a un trabajador externo. No sólo son menos fiables que la gente de la organización, pero en caso de emergencia podría resultar difícil contactar con alguien externo a la oficina.

2. Sólo deberían otorgarse los privilegios administrativos a las personas de mayor confianza.

3. Decide a qué información podrá acceder el administrador: a todos los ordenadores, frases de pase del ordenador, frases de pase para iniciar la sesión, claves y frases de pase del PGP, etc.

4. Si decides mantener copias de frases de pase y claves privadas del PGP en otra organización, deberás crear ciertos protocolos de acceso.

5. Si una persona abandona la organización, sus frases de pase y códigos de acceso personales deberán ser cambiados inmediatamente.

6. Si alguien con privilegios administrativos abandona la organización, todas las frases de pase y códigos de acceso deberán ser cambiados inmediatamente.

Administración del Software

El uso de software pirateado puede exponer a una organización a la denominada “policía de software”. Los policías pueden tomar medidas drásticas con una organización que usa un software ilegal, imponiendo multas muy elevadas y cerrándola. En estos casos la organización no podrá contar con la simpatía o apoyo de los medios de comunicación occidentales porque más que un ataque a una ONG de derechos humamos verán un ataque contra la piratería. Sé extremadamente cauto con tus licencias de software y no permitas que la gente las copie indiscriminadamente. El software pirateado puede también ser inseguro ya que podría contener virus. Utiliza siempre un programa anti-virus cuando instales el software.

El administrador debería controlar la instalación del nuevo software para comprobarlo primero. No permitas la instalación de un software presuntamente inseguro, e instala solamente el software que necesites.

Instala los parches de seguridad más actuales en todo el software, sobretodo en Microsoft Office, Microsoft Internet Explorer y Netscape. Las peores amenazas a la seguridad provienen de los software y soportes físicos entregados con vulnerabilidades intencionadas. Mejor todavía, plantéate pasarte a un software de Código Abierto, que no está basado en el modelo de "Seguridad por Oscuridad" sino que invita tanto a expertos de seguridad como a piratas informáticos a probar rigurosamente todos los códigos. El uso del software de Código Abierto y de cualquier otro que no sea Microsoft tiene la ventaja añadida de hacerte menos vulnerable a los virus estándar y a los piratas informáticos generales. Son pocos los virus creados para los sistemas operativos de Linux o Macintosh porque la mayoría de la gente utiliza Windows. Outlook es el programa de correo electrónico más conocido, y por lo tanto el blanco más conocido de los piratas informáticos.

Hábitos del correo electrónico

La encriptación del correo electrónico debería convertirse en un hábito. Es más sencillo encriptarlo todo que crear una política de cuando debería encriptarse el correo electrónico y cuando no. Recuerda que si encriptas siempre el correo electrónico, quien vigile tu correspondencia no sabrá nunca cuando tus comunicaciones pasan a ser más importantes y confidenciales.

Otros puntos importantes:

• Guarda siempre el correo electrónico codificado en un formato encriptado. Siempre podrás desencriptarlo luego, pero si alguien obtiene acceso a tu ordenador, será tan vulnerable como si nunca hubiera sido codificado.

• Recuerda a todo el mundo con quien intercambies correos electrónicos encriptados que no descodifiquen y reenvíen los mensajes, o que no los contesten sin encriptarlos. La pereza individual es la mayor amenaza para tus comunicaciones.

• Sería interesante crear algunas cuentas de correo seguras para las personas en el campo que no se utilicen generalmente y así no caerán en manos de servidores de spam. Estas direcciones deberían ser revisadas constantemente pero no utilizadas, excepto por el personal de campo. De esta forma podrás eliminar direcciones electrónicas que obtengan mucho correo basura sin que peligre tu base de contacto.

Consejos generales para Internet cafés y otros

Los correos electrónicos enviados en un texto legible o descodificado por Internet pueden ser leídos por muchas partes diferentes. Una de ellas es tu Proveedor de Servicios de Internet local (ISP) por el que pasan todos tus correos electrónicos. Un correo electrónico recorre muchos ordenadores para poder pasar del remitente al destinatario; ignora fronteras geopolíticas y podría pasar por servidores de otros países aunque el correo electrónico esté dirigido al mismo país.

Algunos consejos generales sobre asuntos comúnmente malinterpretados por los usuarios de Internet:

• Proteger un archivo con una contraseña protege tan poco el archivo que no merece la pena hacerlo con los documentos confidenciales. Tan sólo proporciona una falsa sensación de seguridad.

• Comprimir un archivo no lo protege de nadie que quiera comprobar su interior.

• Si quieres enviar un archivo o correo electrónico de forma segura, utiliza la encriptación (véase www.privaterra.com).

• Si quieres enviar un correo electrónico o un documento de forma segura, utiliza la encriptación durante todo el trayecto hasta su destinatario final. No es suficiente con enviar un correo electrónico codificado desde una oficina externa hasta Nueva York o Londres o cualquier otro lugar si luego se reenvía ese mismo correo descodificado a otra persona.

• Internet es universal por naturaleza. No hay ninguna diferencia entre enviar un correo electrónico entre dos oficinas de Washington o enviarlo desde un Internet café de Sudáfrica a un ordenador de la oficina de Londres.

• Utiliza la encriptación tan a menudo como te sea posible, aunque el correo electrónico o la información que envíes no sea confidencial.

• Asegúrate de que el ordenador que estás utilizando posee un software de protección de virus. Muchos virus son creados para extraer información de tu ordenador, tanto del contenido de tu disco duro como de tus archivos de correo electrónico, incluyendo la agenda de direcciones del correo electrónico.

• Asegúrate de que tu software esté autorizado. Si utilizas un software sin licencia, automáticamente te conviertes en un pirata del software a los ojos del gobierno y los medios de comunicación. La mejor opción es utilizar un software de código abierto - ¡es gratuito!

• No existe una solución 100% segura para el uso de Internet. Ten en cuenta que una persona puede “piratear socialmente” un sistema haciéndose pasar por otra persona que no tiene acceso al teléfono o correo electrónico. Básate en tu propio juicio y sentido común.