Cómo escoger herramientas digitales seguras

From wiki
Revision as of 17:26, 23 April 2015 by Lab-interconectividades (talk | contribs) (Página creada con «= Introducción = No existe una herramienta que te otorgue una protección absoluta frente a la vigilancia y en todos los casos. Quienes atacan tu seguridad digital siem...»)
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)
Jump to navigation Jump to search

Introducción

No existe una herramienta que te otorgue una protección absoluta frente a la vigilancia y en todos los casos. Quienes atacan tu seguridad digital siempre buscarán el elemento más débil de tus prácticas de seguridad. Cuando utilizas una nueva herramienta segura, debes pensar en cómo su uso podría afectarte y en qué otras formas podría convertirte en blanco. Recuerda tu modelo de amenazas. No necesitas comprar un sistema de telefonía cifrado caro que dice ser "a prueba de la NSA" si tu mayor amenaza es la vigilancia física de un investigador privado sin acceso a las herramientas de vigilancia digitales. Alternativamente, si estás enfrentando un gobierno que encarcela a los disidentes regularmente porque utilizan herramientas de cifrado, tiene entonces sentido usar trucos más simples - como un conjunto de códigos preestablecidos-, en lugar de arriesgarte a dejar en evidencia que utilizas un programa de cifrado en tu computadora portátil.

Criterios

¿Qué tan transparente es?

Cuando estés considerando el uso de una herramienta, debes comprobar si el código fuente está disponible, y si tiene una auditoría de seguridad independiente (es decir, que alguna entidad externa calificada) para confirmar la calidad de su seguridad. 

  Código libre = permite que otrxs puedan examinarlo, modificarlo y compartirlo =buscar fallas de seguridad, y ayudar así a mejorar el  programa.


¿Cuán claros son los creadores acerca de las ventajas y desventajas?

  • Ningún programa ni hardware es totalmente seguro.
  • Honestidad acerca de las limitaciones.
  • Actualizaciones e información para corregir nuevas vulnerabilidades.


¿Qué sucede si los creadores se ven comprometidos?

Los fabricantes de herramientas de seguridad deben tener un modelo de amenaza clara.

Descripción explícita en la documentación frente a qué tipo de atacantes pueden protegerte más eficientemente.

¿Si ellxs mismxs se ven comprometidos o deciden atacar a sus propios usuarios?. Por ejemplo, si un tribunal o gobierno obliga a una empresa a ceder los datos personales o a crear una "puerta trasera" que eliminará todas las protecciones de la herramienta ofrece.

Es posible que desees considerar la jurisdicción (es) donde los fabricantes se basan. Si tu amenaza proviene del gobierno de Irán, por ejemplo, una empresa con sede en los Estados Unidos será capaz de resistir a las órdenes judiciales iraníes, incluso si debe cumplir con las órdenes de EE.UU.

Busca frases en la licencia que aseguren que un creador no puede acceder a los datos privados, en lugar de promesas de que un creador no lo hará. Busca instituciones con fama de luchar contra las órdenes judiciales para proteger los datos personales.


¿Conoces a otrxs que utilizan la misma herramienta?

Mantenerse al día con las últimas noticias de una herramienta en particular es un trabajo enorme para una sola persona, si tienes colegas que usan un producto o servicio en particular, trabaja con ellos para estar al tanto de lo que está pasando. Busca reseñas y críticas en hacklabs, redes y plataformas hacktivistas confiables

Como ya se ha comentado, no existe una "verdad" sobre la privacidad y nadie te la asegura. Se requiere de una dosis de crítica y construir círculos de confianza para determinar qué proceso de seguridad digital es la que más te conviene.


Debate

Hace unos meses, a través de una lista de correos "Unlike Us", se problematizó el ranking que había hecho "Electronic Frontier Foundation" sobre aplicaciones "seguras".

Las principales críticas fueron:

  • que no distingue entre código privativo y código libre. Esto de hecho contradice con los puntos anteriores que vienen de un proyecto de documentación sobre autodefensa digital de la EFF.
  • la auditoría del código por una entidad externa es ambigua (en casos no es externa a la empresa desarrolladora) y no especifica que este examen sea desvinculado a organismos de vigilancia y control. Además, hay una cuestión de poder en la medida que hay desarrolladores que no tienen dinero para pagar una consultoria externa y la EFF tiene un criterio oficialista y formal sobre qué tipo de auditorías puede ser. Ponen el ejemplo de Snapchat.
  • que de todas maneras, después de la auditoría, el gobierno o x pueden obligar a la empresa a introducir una "puerta trasera" en el código.
  • no incluye que se almacenen metadatos (criterio fundamental en según E.Snowden).

Frente a "auditoría" se puede adoptar el término "peer reviewed" (revisado entre pares).

Una alternativa más crítica a la propuesta por EFF es la comparación realizada en Secushare.


No vamos a clavarnos aún con esto, pero sería interesante levantar un grupo de investigación para estudiar esta comparativa, traducirla y probar herramientas. Básicamente destaca que la mayoría de las herramientas, incluso las que se están reconociendo como "supuestamente seguras" no cumplen con uns requisitos más integrales de seguridad y autonomía.


Referencias

"Autodefensa Digital ante la Vigilancia" de la EFF (Electronic Frontier Foundation).

Ranking herramientas seguras de la EFF

Retrieved from "https://wiki.lab-interconectividades.net/index.php?title=Cómo_escoger_herramientas_digitales_seguras&oldid=76"