Guía de Infosec 101 para activistas

 (infosecforactivists.org)
2 puntos por GN⁺ 2025-02-06 | 1 comentarios | Compartir por WhatsApp

Introducción

  • Estados Unidos tiene una fuerte tradición de activismo que comenzó con rebeliones de personas esclavizadas y levantamientos indígenas.
  • Incluso hoy, el activismo en Estados Unidos sigue siendo importante, y las protestas callejeras son una herramienta clave para crear conciencia e impulsar cambios institucionales.
  • Sin embargo, desafiar las estructuras de poder existentes conlleva riesgos, y la exposición puede derivar en acoso, arresto o filtración de información personal.
  • Este documento se centra en la seguridad digital y la seguridad de la información que enfrentan las personas activistas.

Herramientas que deberías usar

  • BitWarden: gestor de contraseñas, gratis, funciones adicionales por $1/mes
  • DuckDuckGo: búsqueda web, gratis
  • DuckDuckGo Maps: mapas y direcciones, gratis
  • Firefox: navegación web, gratis
  • Jitsi: reuniones en línea, gratis
  • ProtonMail: correo electrónico, gratis, funciones adicionales por $5/mes
  • ProtonVPN: VPN, gratis, funciones adicionales por $5/mes o $10/mes
  • Signal: mensajería, gratis

Herramientas que no deberías usar

  • Google Maps: rastrea la ubicación del usuario y guarda los datos de forma permanente.
  • Telegram: tiene problemas de seguridad y no aplica cifrado a los mensajes grupales.
  • WhatsApp: no se recomienda por problemas de seguridad similares.

Cosas que debes saber

  • Los teléfonos son una mina de oro de información de rastreo e identificación.
  • Los mensajes, llamadas telefónicas y más pueden ser registrados por la policía.
  • Actualiza al sistema operativo más reciente y, si tu teléfono ya no recibe actualizaciones de software, es mejor no llevarlo.

Participar en una acción

Antes de la acción

  • No marques "Asistiré" en Facebook.
  • Guarda los detalles en un dispositivo personal o en papel.
  • Usa DuckDuckGo y una sesión de navegación privada cuando busques información en internet.
  • Actualiza tu dispositivo a la versión más reciente del sistema operativo.
  • Configura una cuenta de Signal; también puedes crear un número nuevo con Google Voice para registrarte.

Durante la acción

  • Actúa junto con una persona que te acompañe en la protesta.
  • Usa Apple Maps o DuckDuckGo Maps para encontrar direcciones.

Después de la acción

  • Sal y elimina el grupo de Signal creado para la protesta.
  • No publiques fotos de la protesta en redes sociales.

Preparar tu teléfono

Huella digital

  • Apaga el receptor GPS y desactiva Bluetooth, WiFi y la radio de banda ultraancha (UWB).
  • La compañía de telefonía móvil puede rastrear la ubicación del teléfono, y la policía puede usar esa información.
  • Activa el modo avión para deshabilitar todas las radios.

Protección contra intrusiones

  • Configura una pantalla de bloqueo y desactiva el desbloqueo biométrico.
  • Usa cifrado completo del disco para proteger tus datos.

Ideas de seguridad

Mensajería cifrada

  • Usa cifrado de extremo a extremo (E2EE) para cifrar las comunicaciones privadas.

Reuniones en línea

  • Usa Jitsi para que el contenido de las reuniones no se grabe ni se almacene.

Seguridad de contraseñas

  • Activa la autenticación de dos factores (2FA), usa contraseñas largas y utiliza un gestor de contraseñas.

Otros consejos

  • Piensa con cuidado con quién puedes compartir de forma segura tu participación en actividades.
  • No uses el correo electrónico para conversaciones relacionadas con protestas.
  • Busca tu nombre en Google para ver qué información aparece sobre ti.
  • No hagas check-in en la protesta.
  • No publiques fotos en redes sociales.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-02-06
Opinión en Hacker News

  • Menciona que duda en recomendar Proton por estar involucrado en temas políticos, y que Mullvad no ha cometido ese tipo de errores

    • Recomienda como material relacionado "Activist or Protester?" de la EFF y "The Protester's Guide to Smartphone Security" de Privacy Guides
    • Señala que hay que definir un modelo de amenazas y reconocer que, en el entorno actual, estas medidas no son suficientes
    • Advierte que algunas medidas pueden llamar la atención

  • Señala que el artículo enfatiza la necesidad de asistir a las protestas con un amigo de confianza, pero que no explica cómo encontrar y mantener a ese tipo de amigo

    • Menciona que existe la percepción de que Firefox es más amigable con los activistas y la privacidad que Chrome, pero que Chrome tiene protecciones de runtime más sofisticadas y mejor probadas

  • Cree que las medidas básicas no serán efectivas contra adversarios sofisticados como actores estatales

    • Explica que los smartphones modernos están llenos de firmware privativo con muchas vulnerabilidades de seguridad, y que existen fallas de ejecución remota de código
    • Advierte que la red Find My de Apple puede funcionar incluso en dispositivos apagados, y que es posible que actores estatales tengan puertas traseras para evadirla

  • Señala que hay errores en las recomendaciones sobre los respaldos de iCloud

    • Afirma que no es cierto que el respaldo de iCloud almacene las claves de cifrado de disco completo y que las fuerzas del orden puedan solicitarlas
    • Recomienda activar Advanced Data Protection para cifrar los datos de extremo a extremo

  • Plantea dudas sobre si un respaldo de iCloud puede desbloquear un dispositivo físico

    • Señala que un respaldo puede verse comprometido y que, mediante él, se puede obtener la mayor parte de los datos del dispositivo, pero quiere saber más sobre su relación con el desbloqueo del dispositivo físico

  • Hace una pregunta sobre la comparación de costos de vulnerabilidades 0-day en Firefox y Chrome