Protocolo de seguridad cibernética

Page 1

Relatoría para la Atención a Defensoras y Defensores de DH Secretaría para la Promoción de los Derechos Humanos e Incidencia en Políticas Públicas

México, D.F. a 20 de febrero de 2013

Protocolo de seguridad cibernética En el marco de un incremento de casos de hackeo a páginas suplantación de cuentas de correo electrónico de organizaciones civiles y de personas defensoras de derechos humanos, la Relatoría para la Atención a Defensoras y Defensores de Derechos Humanos ofrece una serie de sugerencias para proteger nuestra información y privacidad digital. 1. Respaldo de todo tipo de información. Respaldar toda la información que se encuentre en el o los discos duros de nuestra computadora, así como la lista de contactos del correo electrónico y de los documentos, fotos o cualquier información que queramos preservar y que esté almacenada en el ciberespacio. Casos recientes han demostrado que el robo de información muy valiosa ha sido sustraída del ciberespacio, por lo que es recomendable tener una copia adicional. De preferencia, los respaldos de información deberán guardarse fuera la organización o del domicilio de los defensores/as. 2.

Proteger tu computadora de software malicioso (malware) y piratas informáticos (hackers). Las computadoras pueden ser vulnerables a los piratas informáticos (hackers) o al software malicioso (malware), tales como virus y software espía (spyware). El acceso no autorizado a la información en tu computadora puede llevarse a cabo de manera remota, si el 'intruso' es capaz de leer o modificar tus datos a través de la Internet, o físicamente, si logra conectarse con tu hardware. Para prevenir lo anterior se sugiere instalar un buen programa antivirus y activar las actualizaciones automáticas que se producen cuando nos conectamos a internet.1 Por otro lado, un buen cortafuegos (firewall) nos ayuda a ser invisibles ante los hackers y nos protege de los intrusos que pretenden entrar en nuestro sistema. También evita que los programas como los troyanos envíen información fuera o abran agujeros por los que un hacker puede entrar.

3. Proteger la información de amenazas físicas. Una cuidosa evaluación de riesgo del lugar en el que se encuentra la información y nuestra computadora puede evitar el acceso fácil a ella o la sustracción. 4. Contraseñas seguras. Se sugiere que cada dos o tres meses, se modifiquen las contraseñas de acceso al equipo de cómputo, cuentas de correo electrónico, configuración de la página web o blog, así como del acceso a la cuenta de twitter, facebook u otras redes sociales. La contraseña deberá constar de no menos ocho 1

En la Virus Information Library (biblioteca de información sobre virus) www.vil.nai.com se puede encontrar información sobre os últimos parches de información. Retomado del Nuevo Manual de Protección para los Defensores de Derechos Humanos por Protection Internacional.

1

caracteres alfanuméricos. Nunca poner fechas de nacimiento ni información que puede ser fácilmente deducida. 5. Proteger los archivos. Existen dos enfoques generales frente al reto de dar seguridad a tus datos en esta forma. Puedes cifrar tus archivos, haciéndolos ilegibles a cualquiera que no sea tú, o puedes esconderlos confiando en que un intruso será incapaz de encontrar tu información sensible. Existen herramientas que te ayudan con cualquiera de los enfoques, incluyendo una aplicación que es un Software Libre y de Código Abierto (FOSS) llamado TrueCrypt, que puede tanto cifrar como esconder tus archivos. Para ello se recomienda consultar el manual Security in a box2. Asimismo se recomienda no conectar a internet la computadora que tenga información muy sensible. 6. Destruir información sensible. Si por seguridad se elimina información sensible de tu computadora, incluso antes de vaciar la Papelera de Reciclaje, los contenidos de dicho archivo se mantienen en el disco duro y pueden ser recuperados por cualquiera que sepa hacerlo. Existe un software especial que remueve los datos de manera segura y permanente. El Eraser es una de tales herramientas. Se sugiere destruir respaldos obsoletos, eliminar permanentemente los datos de viejos discos duros antes de regalarlos, borrar viejas cuentas de usuario, y limpiar tu historial de navegación. La otra herramienta es el CCleaner, que te puede ayudar a borrar los muchos archivos temporales que tu sistema operativo y las aplicaciones crean cada vez que los usas.3 7. Mantener privada tu comunicación en Internet. Las alternativas digitales como correo electrónico y de la mensajería instantánea (chat) no siempre pueden ser confiables para mantener privada información sensible. Esto ocurre, en parte, debido a que algunas muy poderosas computadoras pueden automáticamente buscar a través de grandes cantidades de información digital para identificar a los remitentes, los destinatarios y palabras claves específicas. La flexibilidad de las herramientas de comunicación de Internet y la fortaleza del cifrado moderno pueden ahora proporcionar un nivel de privacidad adecuado. Para mejorar la seguridad de las comunicaciones está el servicio de correo electrónico Riseup, el complemento OTR para el programa de mensajería instantánea de Pidgin, el Mozilla Firefox y el complemento Enigmail para el cliente de correo electrónico Mozilla Thunderbird. Sin embargo, cuando las utilices debes tener en cuenta que la privacidad de una conversación dada nunca está cien por ciento garantizada. Se sugiere que si queremos que nuestras visitas sean privadas en internet, tendremos que rechazar las cookies (por ejemplo, las contraseñas o direcciones electrónicas que se guardan en la página) o borrar nuestro caché después de entrar a internet. 8. Protección en redes sociales. Aunque las redes sociales pueden ser muy útiles, cuando las utilizas podrías estar poniendo a disposición información para personas que quieran hacer mal uso de ella. Los sitios de redes sociales son propiedad de empresas privadas, y éstas hacen dinero recolectando datos sobre personas y vendiéndolos, especialmente a terceros anunciantes. Cuando ingresas al sitio de una red social, estas 2

La Caja de Herramientas de Seguridad es un esfuerzo colaborativo entre Tactical Technology Collective y Front Line. Fue creado para satisfacer las necesidades de seguridad digital y de privacidad de activistas y defensores de derechos humanos. Visite 3 Consultar https://securityinabox.org/es

2

dejando atrás las libertades de la Internet y estás ingresando a una red que está gobernada y regida por los dueños del sitio. Las configuraciones de privacidad sólo suponen tu protección de otros miembros de la red social, pero no protegen tus datos de los propietarios del servicio. Básicamente estas cediendo todos tus datos a los propietarios y confiándoselos a ellos. Si trabajas con información y tópicos sensibles, y estás interesado en utilizar los servicios de las redes sociales, es importante que seas consciente de los problemas de privacidad y seguridad que estás generan. Los defensores/as de los derechos humanos son particularmente vulnerables a los peligros de los sitos de redes sociales y necesitan ser extremadamente cuidadosos sobre la información que revelan sobre sí mismos y sobre las personas con las que trabajan. 9.

Utilizar los teléfonos inteligentes de la manera más segura posible. Los teléfonos inteligentes usualmente son compatibles con una amplia gama de funcionalidades – navegación en internet, correo electrónico, mensajería de voz y de texto a través de la internet, capturar, guardar y transmitir audios, videos y fotos, habilitar redes sociales, juegos en línea con varios usuarios a la vez, banca en internet, y muchas otras actividades. Sin embargo muchas de estas herramientas y características implican nuevos temas de seguridad, o aumentan riesgos ya existentes. Por ejemplo, algunos teléfonos inteligentes tienen incorporados una funcionalidad de geo-localización (GPS), lo cual significa el teléfono le provee automáticamente al operador de red móvil tu ubicación exacta, como a las aplicaciones que utilizas en tu teléfono inteligente (tales como redes sociales, mapas, navegadores y otras aplicaciones). La funcionalidad adicional del GPS no sólo incrementa la precisión de la información sobre tu ubicación, sino que además aumenta la cantidad de lugares en las que esta información puede ser distribuida.

10. Correo electrónico. Rutinas de seguridad: a. No abrir un correo de alguien que no conozcamos b. No reenviar un correo electrónico de alguien que no conozcamos, pues aunque el mensaje sea positivo, puede contener virus que con la acción de reenviar puede contagiar a otras direcciones c. No descargar o abrir un documento adjunto a menos de estemos seguros de dónde proviene y lo que contiene. d. No escribir correos con HTML, MIME o texto enriquecido, solo con texto sin formato, dado que la función de texto enriquecido pueden contener programas que faciliten el acceso a nuestros archivos. e. Encriptemos los correos siempre que nos sea posible.4 f. No escribir en el título del correo palabras claves sobre información sensible contenida. g. Nunca responder al spam, ni siquiera para pedir que nos borren de la lista.

4

En https://securityinabox.org/es encontrarás cómo hacerlo.

3

Si tu cuenta ya fue suplantada o usada para enviar mensajes malintencionados…

Una vez que las cuentas han sido suplantadas, por lo general ocurre lo siguiente: 1. Los contactos de la cuenta suplantada reciben correos electrónicos provenientes de dicha cuenta con mensajes falsos, que en ocasionas solicitan algún tipo de ayuda económica señalando la urgencia de responder al llamado. 2. Los dueños de las cuentas no pueden acceder a éstas por un tiempo determinado, esto con la finalidad de evitar que el usuario pueda aclarar que la información del mensaje es falsa 3. En ocasiones el usuario afectado también ha perdido información del disco duro de su PC. ¿Qué hacer si recibes un mensaje proveniente de una cuenta suplantada? Sugerimos tomar en consideración las siguientes medidas.        

No abras por ningún motivo correos electrónicos de ninguna cuenta (incluso si conoces al remitente) cuyo asunto diga: muy importante No reenvíes el correo No lo respondas No lo imprimas Borra el correo y cambia tu IP (al final del documento se incluirá una guía para cambiar la IP), pues el hecho de recibir estos mensajes implica el riesgo de que tu cuenta pueda ser suplantada. Toma contacto con el remitente por otro medio (contacto telefónico u otra cuenta de correo del remitente) para alertarlo y hazle llegar este documento de sugerencias. Toma contacto con la Relatoría para la Atención de Defensoras y Defensores de Derechos Humanos de la CDHDF para registrar el hecho y recibir orientación. En caso de abrir el correo en el que se solicita ayuda económica puedes comunicarte al número 089 para denunciar la extorsión. ¡Qué hacer si tu cuenta ha sido suplantada?

Las personas expertas a las que hemos consultado coinciden en que si tu cuenta fue utilizada para el envío de mensajes malintencionados la mejor solución será cambiar de cuenta de correo electrónico ya que no hay garantía de que no se vuelvan a emitir mensajes de este tipo ni forma de asegurarse de que no quede infiltrada. En ese sentido algunas sugerencias antes de eliminar la cuenta son las siguientes:   

Revisa tu bandeja de salida para asegurarte de en efecto se enviaron mensajes no deseados desde tu cuenta. Abre tu perfil para asegurarte de que tu contraseña y las preguntas y respuestas secretas y correos electrónicos alternativos siguen siendo los mismos. Crea una nueva cuenta y cuentas nuevas alternativas. No cierres la cuenta antigua hasta respaldar toda información contenida en ella (contactos u otro tipo de información). Importe la lista de contactos y correos guardados.

4

 

Por último, informa a todos tus contactos sobre tu nueva dirección. Puedes enviar un correo incluyendo tu nombre y “nueva dirección” en el asunto, así como una disculpa a ellos. Es conveniente usar CCO: y borrar todas las direcciones de correo al enviar el mensaje. Adviérteles no hacer click en enlaces de la antigua dirección. Cambiar la contraseña constantemente no es suficiente, utiliza una contraseña más segura (letras, mayúsculas, signos de puntuación, números, símbolos). Asegúrate de que el resultado sea una contraseña que puedas recordar. Cambia tus preguntas y respuestas secretas frecuentemente. Asegúrate de tomar las medidas que se sugieren al inicio de este Protocolo. Toma contacto con la Relatoría para la Atención de Defensoras y Defensores de Derechos Humanos de la CDHDF para registrar el hecho y recibir orientación. Denuncia el hecho ¿Cómo cambiar tu cuenta IP?

1. 2. 3. 4. 5.

Presiona la tecla del ícono de Windows + la tecla R Dale click a la opción ejecutar cmd Escribe: ipconfig seguido de enter Escribe: ipconfigall/reset seguido de enter Reinicia tu computadora

5

Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.