Difference between revisions of "Cómo escoger herramientas digitales seguras"
(Página creada con «= Introducción = No existe una herramienta que te otorgue una protección absoluta frente a la vigilancia y en todos los casos. Quienes atacan tu seguridad digital siem...») |
|||
| Line 6: | Line 6: | ||
= Criterios = | = Criterios = | ||
| + | |||
| + | Generalmente, las herramientas suelen tener página web oficial. Desde ahí pueden obtener información para revisarlo bajo los siguientes criterios: | ||
== ¿Qué tan transparente es? == | == ¿Qué tan transparente es? == | ||
| Line 13: | Line 15: | ||
Código libre = permite que otrxs puedan examinarlo, modificarlo y compartirlo =buscar fallas de seguridad, y ayudar así a mejorar el programa. | Código libre = permite que otrxs puedan examinarlo, modificarlo y compartirlo =buscar fallas de seguridad, y ayudar así a mejorar el programa. | ||
| + | Para ello, puedes fijarte si la licencia es libre. Suele aparecer en la descripción del software/herramienta o a pie de página en la web de la herramienta/software. Si tardas más de 5 minutos en encontrar la [[Licencia]], mala señal. | ||
| − | == ¿Cuán claros son | + | == Lee los Términos de Servicios y Políticas de Privacidad == |
| + | |||
| + | ¿Qué tipo de cláusulas estipula la herramienta? ¿Qué pretenden hacer con tus datos? ¿Cuáles son las condiciones de usar la herramienta? | ||
| + | |||
| + | == ¿Cuán claros son lxs desarrolladorxs acerca de las ventajas y desventajas? == | ||
* Ningún programa ni hardware es totalmente seguro. | * Ningún programa ni hardware es totalmente seguro. | ||
* Honestidad acerca de las limitaciones. | * Honestidad acerca de las limitaciones. | ||
| − | |||
| + | == Actualizaciones & Documentación == | ||
| − | == ¿Qué sucede si | + | ¿Tiene actualizaciones e información para corregir nuevas vulnerabilidades? Una herramienta desactualizada es una herramienta insegura. También que haya documentación, manuales acerca de cómo funciona y cómo usar el software. |
| + | |||
| + | == Posicionamiento político: ¿Qué sucede si lxs desarrolladorxs se ven comprometidos? == | ||
Los fabricantes de herramientas de seguridad deben tener un modelo de amenaza clara. | Los fabricantes de herramientas de seguridad deben tener un modelo de amenaza clara. | ||
| Line 33: | Line 42: | ||
Busca frases en la licencia que aseguren que un creador no puede acceder a los datos privados, en lugar de promesas de que un creador no lo hará. Busca instituciones con fama de luchar contra las órdenes judiciales para proteger los datos personales. | Busca frases en la licencia que aseguren que un creador no puede acceder a los datos privados, en lugar de promesas de que un creador no lo hará. Busca instituciones con fama de luchar contra las órdenes judiciales para proteger los datos personales. | ||
| + | |||
| + | == ¿A qué lógica responde? == | ||
| + | |||
| + | ¿Sigue un modelo empresarial? ¿Puede una herramienta con enfoque empresarial asegurar una privacidad en el sentido amplio? | ||
| + | |||
| + | Ejemplo: https://www.ghostery.com/en/ | ||
| + | ''Ghostery ® is a global technology company that provides solutions for online transparency and control to individuals and businesses.'' | ||
| Line 40: | Line 56: | ||
Como ya se ha comentado, no existe una "verdad" sobre la privacidad y nadie te la asegura. Se requiere de una dosis de crítica y construir círculos de confianza para determinar qué proceso de seguridad digital es la que más te conviene. | Como ya se ha comentado, no existe una "verdad" sobre la privacidad y nadie te la asegura. Se requiere de una dosis de crítica y construir círculos de confianza para determinar qué proceso de seguridad digital es la que más te conviene. | ||
| − | + | ||
| + | Checa referencias en: | ||
| + | |||
| + | https://prism-break.org/es/ | ||
| + | http://wiki.hackcoop.com.ar | ||
| + | http://tacticaltech.org | ||
= Debate = | = Debate = | ||
Revision as of 10:42, 28 April 2015
Contents
- 1 Introducción
- 2 Criterios
- 2.1 ¿Qué tan transparente es?
- 2.2 Lee los Términos de Servicios y Políticas de Privacidad
- 2.3 ¿Cuán claros son lxs desarrolladorxs acerca de las ventajas y desventajas?
- 2.4 Actualizaciones & Documentación
- 2.5 Posicionamiento político: ¿Qué sucede si lxs desarrolladorxs se ven comprometidos?
- 2.6 ¿A qué lógica responde?
- 2.7 ¿Conoces a otrxs que utilizan la misma herramienta?
- 3 Debate
- 4 Referencias
Introducción
No existe una herramienta que te otorgue una protección absoluta frente a la vigilancia y en todos los casos. Quienes atacan tu seguridad digital siempre buscarán el elemento más débil de tus prácticas de seguridad. Cuando utilizas una nueva herramienta segura, debes pensar en cómo su uso podría afectarte y en qué otras formas podría convertirte en blanco. Recuerda tu modelo de amenazas. No necesitas comprar un sistema de telefonía cifrado caro que dice ser "a prueba de la NSA" si tu mayor amenaza es la vigilancia física de un investigador privado sin acceso a las herramientas de vigilancia digitales. Alternativamente, si estás enfrentando un gobierno que encarcela a los disidentes regularmente porque utilizan herramientas de cifrado, tiene entonces sentido usar trucos más simples - como un conjunto de códigos preestablecidos-, en lugar de arriesgarte a dejar en evidencia que utilizas un programa de cifrado en tu computadora portátil.
Criterios
Generalmente, las herramientas suelen tener página web oficial. Desde ahí pueden obtener información para revisarlo bajo los siguientes criterios:
¿Qué tan transparente es?
Cuando estés considerando el uso de una herramienta, debes comprobar si el código fuente está disponible, y si tiene una auditoría de seguridad independiente (es decir, que alguna entidad externa calificada) para confirmar la calidad de su seguridad.
Código libre = permite que otrxs puedan examinarlo, modificarlo y compartirlo =buscar fallas de seguridad, y ayudar así a mejorar el programa.
Para ello, puedes fijarte si la licencia es libre. Suele aparecer en la descripción del software/herramienta o a pie de página en la web de la herramienta/software. Si tardas más de 5 minutos en encontrar la Licencia, mala señal.
Lee los Términos de Servicios y Políticas de Privacidad
¿Qué tipo de cláusulas estipula la herramienta? ¿Qué pretenden hacer con tus datos? ¿Cuáles son las condiciones de usar la herramienta?
¿Cuán claros son lxs desarrolladorxs acerca de las ventajas y desventajas?
- Ningún programa ni hardware es totalmente seguro.
- Honestidad acerca de las limitaciones.
Actualizaciones & Documentación
¿Tiene actualizaciones e información para corregir nuevas vulnerabilidades? Una herramienta desactualizada es una herramienta insegura. También que haya documentación, manuales acerca de cómo funciona y cómo usar el software.
Posicionamiento político: ¿Qué sucede si lxs desarrolladorxs se ven comprometidos?
Los fabricantes de herramientas de seguridad deben tener un modelo de amenaza clara.
Descripción explícita en la documentación frente a qué tipo de atacantes pueden protegerte más eficientemente.
¿Si ellxs mismxs se ven comprometidos o deciden atacar a sus propios usuarios?. Por ejemplo, si un tribunal o gobierno obliga a una empresa a ceder los datos personales o a crear una "puerta trasera" que eliminará todas las protecciones de la herramienta ofrece.
Es posible que desees considerar la jurisdicción (es) donde los fabricantes se basan. Si tu amenaza proviene del gobierno de Irán, por ejemplo, una empresa con sede en los Estados Unidos será capaz de resistir a las órdenes judiciales iraníes, incluso si debe cumplir con las órdenes de EE.UU.
Busca frases en la licencia que aseguren que un creador no puede acceder a los datos privados, en lugar de promesas de que un creador no lo hará. Busca instituciones con fama de luchar contra las órdenes judiciales para proteger los datos personales.
¿A qué lógica responde?
¿Sigue un modelo empresarial? ¿Puede una herramienta con enfoque empresarial asegurar una privacidad en el sentido amplio?
Ejemplo: https://www.ghostery.com/en/ Ghostery ® is a global technology company that provides solutions for online transparency and control to individuals and businesses.
¿Conoces a otrxs que utilizan la misma herramienta?
Mantenerse al día con las últimas noticias de una herramienta en particular es un trabajo enorme para una sola persona, si tienes colegas que usan un producto o servicio en particular, trabaja con ellos para estar al tanto de lo que está pasando. Busca reseñas y críticas en hacklabs, redes y plataformas hacktivistas confiables
Como ya se ha comentado, no existe una "verdad" sobre la privacidad y nadie te la asegura. Se requiere de una dosis de crítica y construir círculos de confianza para determinar qué proceso de seguridad digital es la que más te conviene.
Checa referencias en:
https://prism-break.org/es/ http://wiki.hackcoop.com.ar http://tacticaltech.org
Debate
Hace unos meses, a través de una lista de correos "Unlike Us", se problematizó el ranking que había hecho "Electronic Frontier Foundation" sobre aplicaciones "seguras".
Las principales críticas fueron:
- que no distingue entre código privativo y código libre. Esto de hecho contradice con los puntos anteriores que vienen de un proyecto de documentación sobre autodefensa digital de la EFF.
- la auditoría del código por una entidad externa es ambigua (en casos no es externa a la empresa desarrolladora) y no especifica que este examen sea desvinculado a organismos de vigilancia y control. Además, hay una cuestión de poder en la medida que hay desarrolladores que no tienen dinero para pagar una consultoria externa y la EFF tiene un criterio oficialista y formal sobre qué tipo de auditorías puede ser. Ponen el ejemplo de Snapchat.
- que de todas maneras, después de la auditoría, el gobierno o x pueden obligar a la empresa a introducir una "puerta trasera" en el código.
- no incluye que se almacenen metadatos (criterio fundamental en según E.Snowden).
Frente a "auditoría" se puede adoptar el término "peer reviewed" (revisado entre pares).
Una alternativa más crítica a la propuesta por EFF es la comparación realizada en Secushare.
No vamos a clavarnos aún con esto, pero sería interesante levantar un grupo de investigación para estudiar esta comparativa, traducirla y probar herramientas. Básicamente destaca que la mayoría de las herramientas, incluso las que se están reconociendo como "supuestamente seguras" no cumplen con uns requisitos más integrales de seguridad y autonomía.
Referencias
"Autodefensa Digital ante la Vigilancia" de la EFF (Electronic Frontier Foundation).
