Temas

Mantenerse a Salvo en Internet

Navegar de Manera Segura

Uso de HTTPS

El paso más importante para limitar la capacidad de un adversario de vigilar a su organización en línea es minimizar la cantidad de información disponible sobre su actividad en internet y la de sus colegas. Asegúrese siempre de conectarse a los sitios web de manera segura: compruebe que la URL (ubicación) comience con “https” y muestre un pequeño ícono de candado en la barra de direcciones de su navegador.

Cuando navegue por internet sin cifrado, queda expuesta la información que se teclea en un sitio (como contraseñas, números de cuenta o mensajes), los detalles del sitio y las páginas que se visitan. Esto significa que (1) cualquier hacker en su red, (2) su administrador de red, (3) su proveedor de servicios de internet (ISP, por sus siglas en inglés) y cualquier entidad con la que puedan compartir datos (como las autoridades gubernamentales), (4) el ISP del sitio que visita y cualquier entidad con la que ellos puedan compartir datos, y por supuesto (5) el sitio que está visitando, todos tienen acceso a bastante información potencialmente delicada.

Veamos un ejemplo real de cómo es la navegación sin cifrado:

Diagrama de navegación sin cifrado utilizando solo http
Adaptado de How the Internet Works(Cómo funciona internet) del Totem Project (CC-BY-NC-SA)

Cuando navega sin cifrado, todos sus datos están expuestos. Esto incluye dónde se encuentra, los sitios y páginas que visita, y sus contraseñas y otros datos confidenciales que ingresa en una página de inicio de sesión, formulario o el sitio web en sí. Como se muestra arriba, un adversario puede ver dónde está usted, que navega en news.com, mirando específicamente la página sobre las protestas en su país, y ver su contraseña, que usted comparte para entrar en el sitio. Esta información en manos equivocadas no solo expone a su cuenta, sino que también da a sus adversarios una buena idea de lo que usted podría estar haciendo o pensando.

El uso de HTTPS (la “s” significa “seguro” en inglés) significa que hay cifrado. Esto le ofrece mucha más protección. Veamos cómo es la navegación con HTTPS (es decir, con cifrado):

Diagrama de navegación con cifrado en tránsito mediante https
Adaptado de How the Internet Works(Cómo funciona internet) del Totem Project (CC-BY-NC-SA)

Al navegar con HTTPS en un sitio, la información que comparte con un sitio web está encriptada. Sin embargo, las personas aún pueden ver dónde se encuentra y qué sitios visita. Los adversarios sofisticados también pueden saber qué páginas específicas visita en un sitio determinado. Al existir HTTPS, un adversario potencial ya no puede ver su contraseña u otra información privada que usted podría compartir en un sitio web. Sin embargo, un adversario potencial puede seguir viendo qué dominios (por ejemplo, news.com) visita. Y aunque HTTPS también cifra la información sobre las páginas individuales de un sitio (por ejemplo, website.com/protests) que usted visita, los adversarios sofisticados pueden seguir viendo esta información al inspeccionar su tráfico de internet. Así que con la existencia de HTTPS, un adversario podría saber que usted va a news.com, pero no podría ver su contraseña, y sería más difícil (pero no imposible) para ellos ver que usted busca información sobre las protestas (para usar nuestro ejemplo). Esa es una diferencia importante. Compruebe siempre que existe la extensión HTTPS antes de navegar por un sitio web o de introducir información sensible. También puede utilizar la extensión de navegador HTTPS Everywhere para asegurarse de utilizar HTTPS en todo momento, o si es usuario de Firefox, activar el modo solo HTTPS en el navegador.

Si su navegador le avisa de que un sitio web puede ser inseguro, no lo ignore. Algo está mal. Puede ser algo benigno, como que el sitio tenga un certificado de seguridad caducado, o que el sitio haya sido suplantado o falseado maliciosamente. En cualquier caso, es importante tener en cuenta la advertencia y no acceder al sitio.

Uso de un DNS Cifrado

Si, teniendo en cuenta su entorno de amenazas, quiere hacer más difícil (pero no imposible) para un ISP que pueda conocer los detalles de los sitios web que visita, puede utilizar un DNS cifrado. 

Si se lo pregunta, DNS significa “Domain Name Service” (Sistema de Nombres de Dominio). El sistema de nombres de dominio es esencialmente la guía telefónica de internet, que traduce los nombres de dominio aptos para las personas (como ndi.org) en direcciones de protocolo de internet (IP, por sus siglas en inglés) aptas para la web. Esto permite a las personas utilizar los navegadores para buscar y cargar fácilmente recursos de internet y visitar sitios web. Sin embargo, el DNS no está cifrado de manera predeterminada.

Para utilizar el DNS cifrado y al mismo tiempo añadir un poco de protección a su tráfico de internet, una opción fácil es descargar y activar la aplicación 1.1.1.1 de Cloudflare en su computadora y dispositivo móvil. Existen otras opciones de DNS cifrado, como el 8.8.8.8 de Google, pero requieren más pasos técnicos para su configuración. Si utiliza el navegador Firefox, el DNS cifrado está ahora activado de manera predeterminada. Los usuarios de los navegadores Chrome o Edge pueden activar el DNS cifrado también a través de la configuración de seguridad avanzada del navegador, activando “usar DNS seguro” y seleccionando “Con: Cloudflare (1.1.1.1)” o el proveedor de su elección.

1.1.1.1 de Cloudflare con WARP cifra su DNS y los datos de navegación, lo que proporciona un servicio similar a una VPN tradicional. Aunque WARP no protege completamente su ubicación de todos los sitios web que visita, es una función fácil de usar que puede ayudar al personal de su organización a aprovechar el DNS cifrado y la protección adicional de su ISP en situaciones en las que una VPN completa no es funcional o necesaria dado el contexto de la amenaza. En la configuración avanzada del DNS de 1.1.1.1 con WARP, el personal también puede activar el 1.1.1.1 para Familias a fin de proporcionar una protección adicional contra el malware mientras se accede a internet.

El HTTPS es esencial y el sistema de nombres de dominio cifrado proporciona cierta protección adicional contra el fisgoneo y el bloqueo de sitios, pero si su organización está preocupada por la vigilancia altamente selectiva con respecto a sus actividades en línea y se enfrenta a una sofisticada censura en línea (como el bloqueo de sitios web y aplicaciones), es posible que desee utilizar una red privada virtual (VPN, por sus siglas en inglés) de confianza.

¿Qué es una VPN?

Una VPN es esencialmente un túnel que protege contra la vigilancia y el bloqueo de su tráfico de internet por parte de los hackers de su red, su administrador de red y su proveedor de servicios de internet y cualquier persona con la que puedan compartir datos. Este es un ejemplo de cómo se ve la navegación con una VPN:

foto de mapeo
Adaptado de How the Internet Works(Cómo funciona internet) del Totem Project (CC-BY-NC-SA)

Navegar con una VPN crea un túnel seguro para todo su tráfico de Internet entre su computadora y la propia VPN. Sin embargo, sigue siendo esencial utilizar HTTPS y asegurarse de que confía en la VPN que utiliza su organización.

Para describir las redes privadas virtuales en mayor profundidad, esta sección hace referencia a la Guía de Autoprotección Digital contra la Vigilancia de EFF:

Las VPN tradicionales están diseñadas para disfrazar su dirección IP real de la red y crear un túnel cifrado para el tráfico de internet entre su computadora (o teléfono o cualquier dispositivo “inteligente” conectado a la red) y el servidor de la VPN. Dado que el tráfico en el túnel se cifra y se envía a su VPN, es mucho más difícil para terceros (como los ISP o los hackers en la wifi pública) controlar, modificar o bloquear su tráfico. Después de pasar por el túnel desde su ubicación hasta la VPN, el tráfico sale de la VPN hacia su destino final, enmascarando su dirección IP original. Esto ayuda a disfrazar su ubicación física para cualquiera que mire el tráfico después de que abandone la VPN. Esto le ofrece más privacidad y seguridad, pero el uso de una VPN no lo hace a usted completamente anónimo en línea: su tráfico sigue siendo visible para el operador de la VPN. Su ISP también sabrá que utiliza una VPN, lo que podría aumentar su perfil de riesgo.

Esto significa que es esencial elegir un proveedor de VPN de confianza. En algunos lugares como Irán, los gobiernos hostiles han creado sus propias VPN para poder rastrear lo que hacen los ciudadanos. Para encontrar la VPN adecuada para su organización y el personal, puede evaluar las VPN en función de su modelo de negocio y reputación, de los datos que recopilan o no y, por supuesto, de la seguridad de la propia herramienta.

¿Por qué no debería utilizar una VPN gratuita? La respuesta corta es que la mayoría de las VPN gratuitas, incluso las que vienen preinstaladas en algunos teléfonos inteligentes, vienen con una gran trampa. Al igual que todas las empresas y proveedores de servicios, las VPN tienen que sostenerse de alguna manera. Si la VPN no vende su servicio, ¿cómo mantiene su negocio a flote? ¿Solicita donaciones? ¿Cobra por los servicios premium? ¿Está respaldada por organizaciones benéficas o financiadores? Desafortunadamente, muchas VPN gratuitas ganan dinero recopilando y vendiendo sus datos.

Un proveedor de VPN que no recopila datos en primer lugar es la mejor opción. Si los datos no se recopilan, no pueden venderse ni entregarse a un gobierno si lo solicita. Al examinar la política de privacidad de un proveedor de VPN, compruebe si la VPN realmente recopila datos del usuario. Si no indica explícitamente que los datos de conexión del usuario no se registran, lo más probable es que sí los registre. Aunque una empresa afirme que no registra los datos de conexión, esto no siempre es una garantía de buen comportamiento.

Merece la pena hacer una búsqueda sobre la empresa que está detrás de la VPN. ¿Está avalada por profesionales independientes de la seguridad? ¿Se han escrito artículos sobre la VPN? ¿Alguna vez la han sorprendido engañando o mintiendo a sus clientes? Si la VPN fue creada por personas conocidas en la comunidad de la seguridad de la información, es más probable que sea de confianza. Sea escéptico con respecto a una VPN que ofrezca un servicio por el que nadie quiera apostar su reputación personal, o que esté dirigida por una empresa que nadie conozca.

VPN Falsas en el Mundo Real

Imagen que muestra una VPN falsa

A finales de 2017, tras el aumento de las protestas en el país, los iraníes comenzaron a descubrir una versión “gratuita” (pero falsa) de una popular VPN que se compartía a través de mensajes de texto. La VPN gratuita (que en realidad no funcionaba) prometía dar acceso a Telegram, que en ese momento estaba bloqueado a nivel local. Lamentablemente, la aplicación falsa no era más que un malware que permitía a las autoridades rastrear los movimientos y vigilar las comunicaciones de quienes la descargaban.

Entonces, ¿qué VPN debemos utilizar?

Si el uso de una VPN tiene sentido para su organización, un par de opciones de confianza incluyen TunnelBear y ProtonVPN. Otra opción es configurar su propio servidor utilizando Outline de Jigsaw, donde no hay una empresa que gestione su cuenta, usted tiene que configurar su propio servidor. Si su organización es un poco más grande, puede considerar una VPN para empresas que ofrezca funciones de administración de cuentas, como el plan Teams de TunnelBear. Para determinadas organizaciones de la sociedad civil y de los derechos humanos que reúnan los requisitos necesarios, TunnelBear proporciona créditos para el uso gratuito de su VPN (que suele costar unos $3 al mes). Si cree que su organización cumple los requisitos y está interesado, comuníquese con [email protected] para obtener más información.

Aunque la mayoría de las VPN modernas han mejorado en lo que respecta al rendimiento y la velocidad, conviene tener en cuenta que el uso de una VPN podría reducir la velocidad de navegación si se encuentra en una red con un ancho de banda muy bajo, sufre una alta latencia o retrasos en la red, o experimenta cortes intermitentes de internet. Si está en una red más rápida, debería usar una VPN predeterminada todo el tiempo.

Si recomienda que el personal utilice una VPN, también es importante asegurarse de que la gente mantenga la VPN encendida. Puede parecer obvio, pero una VPN que está instalada, pero no funciona, no proporciona ninguna protección.

Anonimato a través de Tor

Además de las VPN, es posible que haya oído hablar de Tor como otra herramienta para utilizar internet de forma más segura. Es importante entender qué son ambos, por qué se puede utilizar uno u otro y cómo ambos pueden afectar a su organización.

Tor es un protocolo para transmitir datos de forma anónima en internet mediante el enrutamiento de mensajes o datos a través de una red descentralizada. Puede obtener más información sobre cómo funciona Tor aquí, pero en resumen, enruta su tráfico a través de múltiples puntos a lo largo del camino hacia el destino para que ningún punto tenga suficiente información para exponer a la vez quién es usted y qué hace en línea.

Tor es diferente a una VPN en algunos aspectos. Fundamentalmente, se diferencia porque no depende de la confianza de un punto específico (como un proveedor de VPN). 

Este gráfico, desarrollado por la EFF, muestra la diferencia entre una VPN tradicional y Tor.

Foto de métodos de comunicación

Foto de métodos de comunicación

La forma más fácil de usar Tor es a través del navegador web Tor. Funciona como cualquier navegador normal, excepto que dirige su tráfico a través de la red Tor. Puede descargar el Navegador Tor en Windows, Mac, Linux o dispositivos Android. Tenga en cuenta que al usar el Navegador Tor, solo protege la información a la que accede mientras está en el navegador. No proporciona ninguna protección a otras aplicaciones o archivos descargados que pueda abrir por separado en su dispositivo.  También tenga en cuenta que Tor no cifra su tráfico, por lo que, al igual que cuando se utiliza una VPN, sigue siendo esencial utilizar las mejores prácticas como HTTPS cuando navega.

Si quiere extender las protecciones de anonimato de Tor a toda su computadora, los usuarios más expertos en tecnología pueden instalar Tor como una conexión a internet en todo el sistema, o considerar el uso del sistema operativo Tails, que enruta todo el tráfico a través de Tor de manera predeterminada. Los usuarios de Android también pueden utilizar la aplicación Orbot para ejecutar Tor con todo el tráfico de internet y las aplicaciones de su dispositivo. Independientemente de cómo utilice Tor, es importante saber que cuando lo usa, su proveedor de servicios de internet no puede ver qué sitios web visita, pero *puede* ver que utiliza Tor. Al igual que cuando se utiliza una VPN, esto podría elevar el perfil de riesgo de su organización considerablemente, porque Tor no es una herramienta muy común y, por lo tanto, se destaca para los adversarios que pueden estar monitoreando su tráfico de internet.

Entonces, ¿debería su organización usar Tor? La respuesta es: depende. Para la mayoría de las organizaciones en riesgo, una VPN de confianza que el personal utilice adecuadamente en todo momento es lo más fácil, lo más práctico y, en la era del mayor uso de VPN a nivel mundial, es menos probable que surjan señales de peligro. Sin embargo, si no puede disponer de una VPN de confianza o si opera en un entorno en el que las VPN se bloquean habitualmente, Tor puede ser una buena opción para limitar el impacto de la vigilancia y evitar la censura en línea.

¿Hay alguna razón por la que no debamos usar una VPN o Tor?

Aparte de las preocupaciones en torno a los servicios VPN de escasa reputación, lo más importante a tener en cuenta es si el uso de una VPN o Tor puede atraer atención no deseada o, en algunas jurisdicciones, ir en contra de la ley. Aunque su ISP no sabrá qué sitios visita mientras usa estos servicios, puede ver que está conectado a Tor o a una VPN. Así que si eso es ilegal donde su organización opera o podría atraer más atención o riesgo que simplemente navegar por la web con HTTPS estándar y DNS cifrado, tal vez una VPN o especialmente Tor (que comúnmente se utiliza mucho menos y, por lo tanto, genera una “señal de alerta” mayor) no es la opción correcta para su organización. Sin embargo, a medida que el uso de la VPN se hace más común, este es un factor menos distintivo. Tener una VPN encendida todo el tiempo es la mejor opción si es legal y posible.

¿Qué navegador debemos utilizar?

Utilice un navegador de confianza, como Chrome, Firefox, Brave, Safari, Edge o el Navegador Tor. Tanto Chrome como Firefox se utilizan mucho y hacen un buen trabajo con la seguridad. Algunas personas prefieren Firefox por su enfoque de privacidad. En cualquier caso, es importante que los reinicie y que reinicie la computadora con relativa frecuencia para mantener su navegador actualizado. Si le interesa comparar las características de los navegadores, consulte este recurso de la Freedom of the Press Foundation.

Independientemente del navegador, también es una buena idea utilizar una extensión o complemento, como Privacy Badger, uBlock Origin o Privacy Essentials de DuckDuckGo, que impide que los anunciantes y otros rastreadores de terceros sepan adónde va y qué sitios visita. Y cuando navegue por internet, considere la posibilidad de cambiar sus búsquedas web predeterminadas de Google a DuckDuckGo, Startpage u otro motor de búsqueda que proteja la privacidad. Este cambio ayudará a limitar también a los anunciantes y rastreadores de terceros.

Seguridad de los Navegadores en el Mundo Real

Navegador de Adobe

Los activistas de la sociedad civil tibetana fueron atacados a principios de 2021 con un complemento del navegador malicioso inteligentemente diseñado, que robó su correo electrónico y datos de navegación. El complemento, denominado “Componentes de actualización de Flash”, se presentaba a los usuarios que visitaban sitios web vinculados a correos electrónicos de phishing (suplantación de identidad). Estos ataques a las extensiones o complementos del navegador pueden ser tan dañinos como el malware compartido directamente a través de descargas de phishing u otro software.