Temas

Comunicación y almacenamiento de datos de forma segura

Comunicaciones e Intercambio de Datos

Para tomar las mejores decisiones en su organización sobre cómo comunicarse, es esencial entender los diferentes tipos de protección que pueden tener nuestras comunicaciones, y por qué es importante dicha protección. Uno de los aspectos más importantes para la mayoría de las comunicaciones es mantener en secreto el contenido de los mensajes, de lo que en la era moderna se encarga en gran medida el cifrado. Sin un cifrado adecuado, las comunicaciones privadas pueden ser vistas por un sinnúmero de adversarios. Las comunicaciones inseguras pueden exponer información y mensajes confidenciales, revelar contraseñas u otros datos privados, y posiblemente poner en riesgo a su personal y a su organización, según la naturaleza de sus comunicaciones y el contenido que comparta.

Comunicaciones Seguras y la Sociedad Civil

Imagen de manifestantes políticos en Bielorrusia

Miles de activistas y organizaciones por la democracia y los derechos humanos confían cada día en los canales de comunicación seguros para mantener la confidencialidad de las conversaciones en entornos políticos difíciles. Sin estas prácticas de seguridad, olas autoridades pueden interceptar y utilizar los mensajes confidenciales para atacar a los activistas y disolver las protestas. Un ejemplo destacado y bien documentado de esto ocurrió tras las elecciones de 2010 en Bielorrusia. Como se detalla en este informe de Amnistía Internacional, el gobierno interceptó grabaciones telefónicas y otras comunicaciones no codificadas y las utilizó en los tribunales contra destacados políticos y activistas de la oposición, muchos de los cuales pasaron años en prisión. En 2020, otra oleada de protestas poselectorales en Bielorrusia hizo que miles de manifestantes adoptaran aplicaciones de mensajería seguras y fáciles de usar que no estaban disponibles tan fácilmente diez años antes para proteger sus comunicaciones delicadas.

¿Qué es el cifrado y por qué es importante?

El cifrado es un proceso matemático que se utiliza para codificar un mensaje o un archivo de manera que solo una persona o entidad con la clave pueda “descifrarlo” y leerlo.  Sin la implementación de ningún cifrado, nuestros mensajes quedan abiertos a que los lean posibles adversarios, incluso su proveedor de servicios de telecomunicaciones o de internet (ISP, por sus siglas en inglés), gobiernos hostiles o hackers en la web. La Guía de Autoprotección Digital contra la Vigilancia de la Electronic Frontier Foundation ofrece una explicación práctica (con gráficos) de lo que significa el cifrado:

Mensajería No Cifrada

Imagen de un mensaje en tránsito sin la utilización de cifrado

Como se puede ver en la imagen anterior, un teléfono inteligente envía un mensaje de texto verde y sin cifrar (“hola”) a otro teléfono inteligente que aparece en el extremo derecho. En el trayecto, una torre de telefonía móvil (o en el caso de algo enviado por internet, su ISP) pasa el mensaje a los servidores de la empresa. Desde allí, salta a través de la red hasta otra torre de telefonía móvil, que puede ver el mensaje de “hola” sin cifrar, y finalmente se dirige al destino. Es importante señalar que, sin ningún tipo de cifrado, todos los que participan en la transmisión del mensaje, y cualquiera que pueda echar un vistazo a su paso, puede leer su contenido. Esto puede no importar mucho si todo lo que dice es “hola”, pero podría ser un gran problema si comunica algo más privado o delicado que no quiere que lo vea su empresa de telecomunicaciones, el ISP, un gobierno hostil o cualquier otro adversario. Por ello, es esencial evitar el uso de herramientas no cifradas para enviar cualquier mensaje delicado (e idealmente cualquier tipo de mensaje). Tenga en cuenta que algunos de los métodos de comunicación más populares (como los SMS y las llamadas telefónicas) prácticamente funcionan sin ningún tipo de cifrado (como en la imagen anterior).

Hay dos formas de cifrar los datos en movimiento: el cifrado de la capa de transporte y el cifrado de extremo a extremo. Para adoptar prácticas de comunicación más seguras, es importante conocer el tipo de cifrado que admite un proveedor de servicios a medida que su organización toma decisiones. Estas diferencias se describen bien en la guía de Autoprotección Digital contra la Vigilancia, que se adapta de nuevo aquí:

El cifrado de la capa de transporte, también conocido como seguridad de la capa de transporte (TLS, por sus siglas en inglés), protege los mensajes cuando viajan desde su dispositivo a los servidores de la aplicación o del servicio de mensajería y desde allí al dispositivo de su destinatario. Esto los protege de las miradas indiscretas de los hackers que se encuentran en su red o en sus proveedores de servicios de internet o telecomunicaciones. Sin embargo, en el medio, su proveedor de servicios de mensajería o correo electrónico, el sitio web por el que navega o la aplicación que utiliza pueden ver copias no cifradas de sus mensajes. Como los servidores de la empresa pueden ver sus mensajes (y a menudo almacenarlos), estos pueden ser vulnerables a las solicitudes de la policía o al robo si los servidores de la empresa se ven comprometidos.

Cifrado en la Capa de Transporte 

Imagen del cifrado de la capa de transporte que se utiliza para un mensaje

La imagen anterior muestra un ejemplo de cifrado de la capa de transporte. A la izquierda, un teléfono inteligente envía un mensaje verde sin cifrar: “Hola”. Ese mensaje se cifra y luego se transmite a una torre de telefonía móvil. En el medio, los servidores de la empresa son capaces de descifrar el mensaje, leer el contenido, decidir dónde enviarlo, volver a cifrarlo y enviarlo a la siguiente torre de telefonía móvil hacia su destino. Al final, el otro teléfono inteligente recibe el mensaje cifrado y lo descifra para leer “Hola”.

El cifrado de extremo a extremo protege los mensajes en tránsito desde el emisor hasta el receptor. Garantiza que su emisor original (el primer “extremo”) convierta la información en un mensaje secreto y su destinatario final (el segundo “extremo”) la descifre. Nadie, ni siquiera la aplicación o el servicio que utiliza, puede “escuchar” ni espiar su actividad.

Cifrado de Extremo a Extremo

Imagen del cifrado de extremo a extremo que se utiliza para un mensaje

La imagen anterior muestra un ejemplo de cifrado de extremo a extremo. A la izquierda, un teléfono inteligente envía un mensaje verde sin cifrar: “Hola”. Ese mensaje se cifra y se transmite a una torre de telefonía móvil y, a continuación, a los servidores de la aplicación o servicio, que no pueden leer el contenido, sino que transmitirán el mensaje secreto a su destino. Al final, el otro teléfono inteligente recibe el mensaje cifrado y lo descifra para leer “Hola”. A diferencia del cifrado de la capa de transporte, su ISP o el host de mensajería no pueden descifrar el mensaje. Solo los puntos finales (los dispositivos originales que envían y reciben mensajes cifrados) tienen las claves para descifrar y leer el mensaje.

¿Qué tipo de cifrado necesitamos?

A la hora de decidir si su organización necesita un cifrado de la capa de transporte o un cifrado de extremo a extremo para sus comunicaciones, las grandes preguntas que debe plantearse tienen que ver con la confianza. Por ejemplo, ¿confía en la aplicación o el servicio que utiliza? ¿Confía en su infraestructura técnica? ¿Le preocupa la posibilidad de que un gobierno hostil pueda obligar a la empresa a entregar sus mensajes y, en ese caso, confía en las políticas de la empresa para protegerse de las peticiones de la policía?

Si responde “no” a alguna de estas preguntas, entonces necesita un cifrado de extremo a extremo. Si responde “sí”, entonces puede ser suficiente un servicio que solo admita el cifrado de la capa de transporte, pero en general es mejor optar por servicios que admitan el cifrado de extremo a extremo cuando sea posible.

Cuando envíe mensajes a grupos, tenga en cuenta que la seguridad de sus mensajes es solo tan buena como la de todos los que los reciben. Por eso, además de elegir cuidadosamente las aplicaciones seguras, es importante que todos los miembros del grupo apliquen otras buenas prácticas en relación con la seguridad de las cuentas y los dispositivos. Basta con una persona mal intencionada o un dispositivo infectado para que se filtre el contenido de todo un chat o una llamada de grupo.

¿Qué herramientas de mensajería cifrada de extremo a extremo debemos utilizar (a partir de 2021)?

Si necesita utilizar el cifrado de extremo a extremo, o simplemente quiere adoptar la mejor práctica independientemente del contexto de amenazas de su organización, aquí tiene algunos ejemplos de servicios de confianza que, a partir de 2021, ofrecen mensajería y llamadas cifradas de extremo a extremo. Esta sección del Manual se actualizará periódicamente en línea, pero tenga en cuenta que todo cambia rápidamente en el mundo de la mensajería segura, por lo que es posible que estas recomendaciones no estén actualizadas en el momento en que usted lea esta sección. Tenga en cuenta también que sus comunicaciones son tan seguras como su dispositivo. Por ello, además de adoptar prácticas de mensajería segura, es esencial implementar las mejores prácticas descritas en la sección de seguridad de los dispositivos de este Manual.

Mensajes de texto (individuales o de grupo)

  • Signal
  • WhatsApp (solo con configuraciones específicas detalladas a continuación)

Llamadas de Audio y Video:

  • Signal (hasta 40 personas)
  • WhatsApp (hasta 32 personas en audio, y 8 personas en video)

Uso compartido de archivos:

  • Signal
  • Keybase/Keybase Teams
  • OnionShare + una aplicación de mensajería cifrada de extremo a extremo como Signal

¿Qué son los metadatos y qué nos debe preocupar?

Las personas con quienes usted y su personal hablan, y cuándo habla y dónde lo hacen, a menudo puede ser tan delicado como qué se habla. Es importante recordar que el cifrado de extremo a extremo solo protege el contenido (el “qué”) de sus comunicaciones. Aquí es donde entran en juego los metadatos. La Guía de Autoprotección Digital contra la Vigilancia de la EFF ofrece una visión general de los metadatos y de por qué son importantes para las organizaciones (incluida una ilustración de cómo son los metadatos):

Imagen de descripción de metadatos

Los metadatos suelen describirse como todo lo que no es el contenido de sus comunicaciones. Puede pensar en los metadatos como el equivalente digital de un sobre. Al igual que un sobre contiene información sobre el remitente, el destinatario y el destino de un mensaje, también lo hacen los metadatos. Los metadatos son información sobre las comunicaciones digitales que se envían y reciben.

Algunos ejemplos de metadatos son:

  • con quién se comunica
  • la línea de asunto de sus correos electrónicos
  • la extensión de sus conversaciones
  • la hora en la que tuvo lugar una conversación
  • su ubicación cuando se comunica

Incluso una pequeña muestra de metadatos puede proporcionar una visión íntima de las actividades de su organización. Echemos un vistazo a lo reveladores que pueden ser los metadatos para los hackers, las agencias gubernamentales y las empresas que los recopilan:

  • Saben que usted llamó a un periodista y habló con él durante una hora antes de que ese periodista publicara una noticia con una cita anónima. Pero no saben de qué habló usted.
  • Saben que varios miembros del personal de su organización enviaron un mensaje a un destacado capacitador en seguridad digital local. Pero el tema de los mensajes sigue siendo un secreto.
  • Saben que recibió un correo electrónico de un servicio de análisis de COVID, luego llamó a su médico y después visitó el sitio web de la Organización Mundial de la Salud a la misma hora. Pero no saben lo que había en el correo electrónico ni lo que ha hablado por teléfono.
  • Saben que ha recibido un correo electrónico de un grupo local de defensa de los derechos humanos con el asunto: “Dígale al gobierno: dejen de abusar de su poder”. Pero el contenido del correo electrónico es invisible para ellos.

Los metadatos no están protegidos por el cifrado que ofrece la mayoría de los servicios de mensajes. Así que, por ejemplo, si envía un mensaje en WhatsApp, tenga en cuenta que aunque el contenido de su mensaje esté cifrado de extremo a extremo, sigue siendo posible que otros sepan con quién se comunica, con qué frecuencia y (con llamadas telefónicas) durante cuánto tiempo. En consecuencia, debe tener en cuenta qué riesgos existen (si los hubiera) si ciertos adversarios son capaces de averiguar con quién habla su organización, cuándo ha hablado con ellos y (en el caso del correo electrónico) las líneas de asunto generales de las comunicaciones de su organización.

Una de las razones por las que Signal es tan recomendable es que, además de proporcionar cifrado de extremo a extremo, ha introducido funciones y ha asumido compromisos para reducir la cantidad de metadatos que registra y almacena. Por ejemplo, la función “Sealed Sender” (Remitente sellado) de Signal cifra los metadatos sobre quién habla con quién, de modo que Signal solo conoce el destinatario de un mensaje, pero no el remitente. De manera predeterminada, esta función solo se activa cuando se comunica con contactos o perfiles existentes (personas), con los que ya se ha comunicado o que tiene almacenados en su lista de contactos. Sin embargo, puede habilitar esta configuración de “Sealed Sender” en “Allow from anyone” (Permitir de cualquier persona) si es importante para usted eliminar dichos metadatos en todas las conversaciones de Signal, incluso en aquellas con personas desconocidas para usted.

¿Qué pasa con el correo electrónico?

La mayoría de los proveedores de correo electrónico, por ejemplo, Gmail, Microsoft Outlook y Yahoo Mail, emplean cifrado de capa de transporte. Por lo tanto, si debe comunicar contenido confidencial a través del correo electrónico y le preocupa que su proveedor de correo electrónico pueda estar legalmente obligado a proporcionar información sobre sus comunicaciones a un gobierno u otro adversario, puede considerar usar una opción de correo electrónico encriptado de extremo a extremo. Tenga en cuenta, sin embargo, que incluso las opciones de correo electrónico cifrado de extremo a extremo dejan algo que desear desde una perspectiva de seguridad, por ejemplo, no cifran las líneas de asunto de los correos electrónicos y no protegen los metadatos. Si necesita comunicar información particularmente sensible, el correo electrónico no es la mejor opción. En su lugar, opte por opciones de mensajería segura como Signal.

Si su organización continúa utilizando el correo electrónico, es fundamental adoptar un sistema para toda la organización. Esto lo ayuda a limitar los riesgos comunes que surgen cuando el personal usa su correo electrónico personal para su trabajo, como las malas prácticas de seguridad de la cuenta. Por ejemplo, si el personal tiene cuentas de correo electrónico oficiales de la organización, se puede aplicar mejores prácticas como contraseñas seguras y 2FA en cualquier cuenta que administre su organización. Si, según su análisis anterior, el cifrado de extremo a extremo es necesario para su correo electrónico, tanto Protonmail como Tutanota ofrecen planes para organizaciones. Si el cifrado de la capa de transporte es adecuado para el correo electrónico de su organización, las opciones como Google Workspace (Gmail) o Microsoft 365 (Outlook) pueden ser útiles.

¿Realmente podemos confiar en Whatsapp?

WhatsApp es una opción popular para la mensajería segura, y puede ser una buena opción, dada su amplia difusión. A algunos les preocupa que sea propiedad de Facebook y esté controlada por esta empresa, que ha estado trabajando para integrarla con sus otros sistemas. A la gente también le preocupa la cantidad de metadatos (es decir, información sobre con quién se comunica y cuándo) que recoge WhatsApp. Si decide utilizar WhatsApp como opción de mensajería segura, asegúrese de leer la sección anterior sobre los metadatos. También hay algunos ajustes que debe verificar para que estén configurados correctamente. Lo más importante es asegurarse de desactivar las copias de seguridad en la nube, o, por lo menos, activar la nueva función de copias de seguridad cifradas de extremo a extremo de WhatsApp usando una clave de encriptación de 64 dígitos o una contraseña larga, aleatoria y única guardada en un lugar seguro (como en su administrador de contraseñas). También asegúrese de encender las notificaciones de seguridad y verificar los códigos de seguridad. Puede encontrar guías sencillas para configurar estos ajustes para teléfonos Android aquí y para iPhone, aquí. Si su personal *y aquellos con los que todos se comunican* no configuran adecuadamente estas opciones, entonces no debería considerar a WhatsApp como una buena opción para las comunicaciones confidenciales que requieren cifrado de extremo a extremo. Signal sigue siendo la mejor opción para este tipo de necesidades de mensajería cifrada de extremo a extremo, dada su configuración segura predeterminada y la protección de los metadatos.

¿Qué sucede con los mensajes de texto?

Los mensajes de texto básicos son muy inseguros (los SMS estándar no están cifrados) y deben evitarse para cualquier cosa que no esté destinada al conocimiento público. Aunque los mensajes de iPhone a iPhone de Apple (conocidos como iMessages) están cifrados de extremo a extremo, si hay una persona que no es de iPhone en la conversación, los mensajes no están protegidos. Es mejor estar seguro y evitar los mensajes de texto para cualquier cosa remotamente delicada, privada o confidencial.

¿Por qué no se recomienda a Telegram, Facebook Messenger o Viber como servicios de mensajería seguros?

Algunos servicios, como Facebook Messenger y Telegram, solo ofrecen cifrado de extremo a extremo si usted los activa deliberadamente (y solo para chats individuales), por lo que no son buenas opciones para la mensajería delicada o privada, especialmente para una organización. No confíe en estas herramientas si necesita utilizar el cifrado de extremo a extremo, porque es bastante fácil olvidarse de cambiar la configuración predeterminada menos segura. Viber afirma que ofrece cifrado de extremo a extremo, pero no ha puesto su código a disposición de investigadores de seguridad externos para que lo revisen. El código de Telegram tampoco se ha puesto a disposición de una auditoría pública. Por ello, muchos expertos temen que el cifrado de Viber (o los “chats secretos” de Telegram) sea deficiente y, por lo tanto, no sea adecuado para las comunicaciones que requieren un verdadero cifrado de extremo a extremo.

Nuestros contactos y colegas utilizan otras aplicaciones de mensajería. ¿Cómo podemos convencerlos de que descarguen una nueva aplicación para comunicarse con nosotros?

A veces hay que elegir entre la seguridad y la comodidad, pero un poco de esfuerzo extra merece la pena para las comunicaciones delicadas. Dé un buen ejemplo a sus contactos. Si va a utilizar otros sistemas menos seguros, sea muy consciente de lo que dice. Evite hablar de temas delicados. En algunas organizaciones, pueden utilizar un sistema para el chat general y otro con la gerencia para las conversaciones más confidenciales. Por supuesto, lo más sencillo es que todo se cifre automáticamente en todo momento: no hay que recordar ni pensar en nada.

Por suerte, las aplicaciones cifradas de extremo a extremo, como Signal, son cada vez más populares y fáciles de usar, por no mencionar que se han adaptado a docenas de idiomas para su uso mundial. Si sus socios u otros contactos necesitan ayuda para cambiar las comunicaciones a una opción cifrada de extremo a extremo, como Signal, tómese un tiempo para explicarles por qué es tan importante proteger adecuadamente sus comunicaciones. Cuando todo el mundo comprenda su importancia, los pocos minutos necesarios para descargar una nueva aplicación y el par de días que puede llevar acostumbrarse a usarla no parecerán un gran problema.

¿Hay otros ajustes para las aplicaciones cifradas de extremo a extremo que debamos conocer?

En la aplicación Signal, también es importante la verificación de los códigos de seguridad (denominados Números de Seguridad). Para ver un número de seguridad y verificarlo en Signal, puede abrir el chat con un contacto, tocar su nombre en la parte superior de la pantalla y desplazarse hacia abajo para tocar “View Safety Number” (Ver número de seguridad). Si su número de seguridad coincide con el de su contacto, puede marcarlo como “verificado” desde esa misma pantalla. Es especialmente importante prestar atención a estos números de seguridad y verificar sus contactos si recibe una notificación en un chat de que su número de seguridad con un determinado contacto ha cambiado. Si usted o el resto del personal necesita ayuda para configurar estos ajustes, Signal proporciona instrucciones útiles.

Si utiliza Signal, ampliamente considerada como la mejor opción para la mensajería segura y las llamadas individuales, asegúrese de establecer también un pin seguro. Utilice al menos seis dígitos, y no algo fácil de adivinar, como su fecha de nacimiento. 

Para obtener más consejos sobre cómo configurar correctamente Signal y WhatsApp, puede consultar las guías de herramientas para ambos desarrolladas por la EFF en su Guía de Autoprotección Digital contra la Vigilancia.

Uso de Aplicaciones de Chat en el Mundo Real

Para limitar los daños en caso de pérdida, robo o confiscación del teléfono, es una buena práctica minimizar el historial de mensajes que se guardan en el teléfono. Una forma sencilla de hacerlo es activar la función “disappearing messages” (mensajes que se borran automáticamente) en los chats del grupo de su organización, y animar al personal a hacerlo también en sus chats personales.

En Signal y otras aplicaciones de mensajería populares, puede establecer un temporizador para que los mensajes se borren en un determinado número de minutos u horas después de ser leídos. Esta configuración se puede personalizar en función del chat individual o de grupo. Para la mayoría de nosotros, establecer una ventana de eliminación automática de una semana nos brinda mucho tiempo para buscar cosas y, al mismo tiempo, no conserva mensajes que nunca necesitará, pero que se podrían utilizar en su contra en el futuro. Recuerde que lo que no tiene no se lo pueden robar.

Para activar la eliminación automática de mensajes en Signal, abra un chat, pulse el nombre de la persona o grupo con el que está chateando, pulse la función “disappearing messages”, elija un temporizador y pulse “ok”. Existe una configuración similar en WhatsApp.

En situaciones más graves en las que sea necesario eliminar inmediatamente un mensaje, quizás porque le han robado el teléfono a alguien o porque usted ha enviado un mensaje a la persona equivocada, tenga en cuenta que Signal le permite eliminar un mensaje enviado a un grupo o a una persona del teléfono de todos dentro de las tres horas siguientes al envío, simplemente eliminándolo de su chat. A pesar de sus limitaciones de cifrado, Telegram sigue siendo popular en muchos países por una función similar, que permite a los usuarios borrar mensajes entre dispositivos sin restricciones.

Dicho esto, si su organización está preocupada por la seguridad del personal como resultado de las comunicaciones que podrían verse en sus teléfonos, entonces el uso de mensajes que se borran automáticamente con temporizadores cortos es probablemente la opción más sencilla y sostenible.

¿Qué pasa con las videollamadas de grupos más grandes? ¿Hay opciones de cifrado de extremo a extremo?

Con el aumento del trabajo remoto, es importante tener una opción segura para las videollamadas de los grupos grandes de su organización. Desgraciadamente, actualmente no existen grandes opciones que cumplan todos los requisitos: que sean fáciles de usar, que admitan un gran número de asistentes y funciones de colaboración, y que permitan el cifrado predeterminado de extremo a extremo.

Para grupos de hasta 40 personas, Signal es una opción de cifrado de extremo a extremo muy recomendado. Se puede unirse a las videollamadas en grupo desde un teléfono inteligente o desde la aplicación de escritorio de Signal en una computadora, el cual permite la función de compartir pantalla. Sin embargo, tenga en cuenta que solo sus contactos que ya utilizan Signal pueden ser añadidos a un grupo de Signal.

Si está buscando otras opciones, una plataforma que recientemente ha añadido una opción de cifrado de extremo a extremo es Jitsi Meet. Jitsi Meet es una solución de audio y videoconferencia en la web que puede funcionar para grandes audiencias (hasta 100 personas) y no requiere la descarga de una aplicación o un software especial. Tenga en cuenta que si utiliza esta función con grupos grandes (más de 15 a 20 personas), la calidad de la llamada puede disminuir.Para organizar una reunión en Jitsi Meet, puede ir a meet.jit.si, escribir un código de reunión y compartir ese enlace (a través de un canal seguro como Signal) con los participantes que desee. Para utilizar el cifrado de extremo a extremo, eche un vistazo a estas instrucciones que indica Jitsi. Tenga en cuenta que todos los usuarios individuales tendrán que activar ellos mismos el cifrado de extremo a extremo para que funcione. Cuando utilice Jitsi, asegúrese también de crear nombres aleatorios para las salas de reuniones y de utilizar contraseñas fuertes para proteger sus llamadas.

Si esta opción no funciona para su organización, puede considerar el uso de una opción comercial popular, como WebEx o Zoom, con cifrado de extremo a extremo activado. Hace tiempo que WebEx permite el cifrado de extremo a extremo, pero esta opción no está activada de manera predeterminada y requiere que los participantes descarguen WebEx para unirse a la reunión. Para obtener la opción de cifrado de extremo a extremo para su cuenta de WebEx, debe abrir un caso de asistencia de WebEx y seguir estas instrucciones para asegurarse de que el cifrado de extremo a extremo esté configurado. Solo el anfitrión de la reunión tiene que activar el cifrado de extremo a extremo. Si los participantes lo hacen, toda la reunión estará cifrada de extremo a extremo. Si utiliza WebEx para reuniones de grupo y talleres seguros, asegúrese de habilitar también contraseñas seguras en sus llamadas.

Tras meses de prensa negativa, Zoom desarrolló una opción de cifrado de extremo a extremo para sus llamadas. Sin embargo, esa opción no está activada de manera predeterminada, requiere que el anfitrión de la llamada asocie su cuenta con un número de teléfono y solo funciona si todos los participantes se unen a través de la aplicación de escritorio o móvil de Zoom en lugar de marcar. Debido a que es fácil desconfigurar accidentalmente estos ajustes, no recomendamos confiar en Zoom como opción de cifrado de extremo a extremo. Sin embargo, si requiere un cifrado de extremo a extremo y Zoom es su única opción, puede seguir las instrucciones de Zoom para configurarlo. Solo asegúrese de comprobar cualquier llamada antes de que se inicie para asegurarse de que realmente está cifrada de extremo a extremo haciendo clic en el candado verde del extremo superior izquierdo de la pantalla de Zoom y viendo que aparece “de extremo a extremo” junto a la configuración de cifrado. También debe establecer un código de acceso fuerte para cualquier reunión de Zoom.

Además de las herramientas mencionadas anteriormente, este diagrama de flujo desarrollado por Frontline Defenders destaca algunas opciones de videollamada y conferencia que, según su contexto de riesgo, podrían tener sentido para su organización.

Sin embargo, vale la pena señalar que ciertas características populares de las herramientas anteriores solo funcionan con el cifrado de la capa de transporte. Por ejemplo, activar el cifrado de extremo a extremo en Zoom desactiva las salas de reuniones, las capacidades de sondeo y la grabación en la nube. En Jitsi Meet, las salas de reuniones pueden desactivar la función de cifrado de extremo a extremo, lo que provoca una disminución involuntaria de la seguridad.

¿Y si realmente no necesitamos el cifrado de extremo a extremo para todas nuestras comunicaciones?

Si no es necesario el cifrado de extremo a extremo para todas las comunicaciones de su organización según su evaluación de riesgos, puede considerar el uso de aplicaciones protegidas por el cifrado de la capa de transporte. Recuerde que este tipo de cifrado requiere que confíe en el proveedor del servicio, como Google para Gmail, Microsoft para Exchange o Facebook para Messenger, porque ellos (y cualquier persona con la que puedan verse obligados a compartir información) pueden ver o escuchar sus comunicaciones. Una vez más, las mejores opciones dependerán de su modelo de amenaza (por ejemplo, si no confía en Google o si el gobierno de los Estados Unidos es su adversario, entonces Gmail no es una buena opción), pero algunas opciones populares y generalmente confiables son:

 

Correo electrónico

  • Gmail (a través de Google Workspace)
  • Outlook (a través de Office 365)
    • No aloje su propio servidor de Microsoft Exchange para el correo electrónico de su organización. Si lo hace actualmente, debería migrar a Office 365.

Mensajes de texto (individuales o de grupo)

  • Google Hangouts
  • Slack
  • Microsoft Teams
  • Mattermost
  • Line
  • KaKao Talk
  • Telegram

Conferencias de grupo, llamadas de audio y video

  • Jitsi Meet
  • Google Meet
  • Microsoft Teams
  • WebEx
  • GotoMeeting
  • Zoom

Uso compartido de archivos:

  • Google Drive
  • Microsoft Sharepoint
  • Dropbox
  • Slack

Nota sobre el intercambio de archivos

Además de compartir mensajes de forma segura, compartir archivos de forma segura es probablemente una parte importante del plan de seguridad de su organización. La mayoría de las opciones para compartir archivos están integradas en las aplicaciones de mensajería o en los servicios que ya utiliza. Por ejemplo, compartir archivos a través de Signal es una buena opción si se necesita un cifrado de extremo a extremo. Y si el cifrado de la capa de transporte es suficiente, el uso de Google Drive o Microsoft Sharepoint podría ser una buena opción para su organización. Tiene que asegurarse de configurar correctamente los ajustes de uso compartido para que solo las personas adecuadas tengan acceso a un determinado documento o carpeta, y asegurarse de que estos servicios estén conectados a las cuentas de correo electrónico de la organización (no a las personales). Si puede, prohíba que se compartan archivos delicados a través de archivos adjuntos de correo electrónico o físicamente con USB. El uso de dispositivos como los USB dentro de su organización aumenta en gran medida la probabilidad de malware o de robo, y confiar en el correo electrónico u otras formas de archivos adjuntos debilita las defensas de su organización contra los ataques de phishing.

 

Alternativas de la Organización para Compartir Archivos

Si busca una opción para su organización a fin de compartir archivos de forma segura, que no esté directamente integrada en una plataforma de mensajería (o tal vez se encuentre con límites de tamaño de archivo al compartir documentos grandes), considere OnionShare. OnionShare es una herramienta de código abierto que permite compartir un archivo de cualquier tamaño de forma segura y anónima. Funciona al hacer que el remitente descargue la aplicación OnionShare (disponible en computadoras Mac, Windows y Linux), suba los archivos que desea compartir y genere un enlace único. Este enlace, que solo se puede procesar en el Navegador Tor, se puede compartir a través de cualquier canal de mensajería seguro (Signal, por ejemplo) con el destinatario. El destinatario puede abrir el enlace en el Navegador Tor y descargar los archivos en su computadora. Tenga en cuenta que los archivos son tan seguros como el método a través del cual comparte el enlace. Tor se explicará con más detalle en una sección posterior “avanzada” del Manual, pero para los propósitos de compartir archivos dentro de su organización, tenga en cuenta a OnionShare como una alternativa más segura para compartir archivos grandes en USB de la oficina si no tiene una opción de proveedor de nube de confianza.


Si su organización ya invierte en un administrador de contraseñas, como se describe en la sección de este Manual sobre contraseñas, y elige la cuenta premium o de equipos de Bitwarden, la función Bitwarden Send es otra opción para compartir archivos de forma segura. Esta función permite a los usuarios crear enlaces seguros para compartir archivos cifrados a través de cualquier canal de mensajería segura (como Signal). El tamaño de los archivos está limitado a 100 MB, pero Bitwarden Send permite establecer una fecha de caducidad en los enlaces, proteger con contraseña el acceso a los archivos compartidos y limitar el número de veces que se puede abrir el enlace.

Comunicar y Compartir Datos de Forma Segura

  • Exija el uso de servicios de mensajería cifrados de extremo a extremo de confianza para las comunicaciones sensibles de su organización (e idealmente para todas las comunicaciones).
    • Dedique tiempo a explicarle al personal y a los socios externos por qué son tan importantes las comunicaciones seguras; esto aumentará el éxito de su plan.
  • Establezca una política sobre el tiempo que conservará los mensajes y cuándo o si la organización utilizará comunicaciones que “se borran automáticamente”.
  • Asegúrese de que la configuración de las aplicaciones de comunicaciones seguras sea la adecuada, por ejemplo, lo siguiente:
    • Asegúrese de que todo el personal esté atento a las notificaciones de seguridad y, si utiliza WhatsApp, no haga copias de seguridad de los chats.
    • Si utiliza una aplicación en la que el cifrado de extremo a extremo no está activado de manera predeterminada (por ejemplo, Zoom o Webex), asegúrese de que los usuarios requeridos hayan activado la configuración adecuada al inicio de cualquier llamada o reunión.
  • Utilice servicios de correo electrónico en la nube, como Office 365 o Gmail, para su organización.
    • No intente alojar su propio servidor de correo electrónico.
    • No permita que el personal utilice cuentas de correo electrónico personales para trabajar.
  • Recuérdele con frecuencia a la organización las mejores prácticas de seguridad relacionadas con la mensajería y los metadatos de grupo.
    • Esté atento a quién se incluye en los mensajes de grupo, chats y cadenas de correo electrónico.