Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Security 101

Alejandro Echeverri
April 16, 2020
Technology
0
50

Security 101

En esta presentación contaré cuál es el estado actual de nuestra "privacidad" cuando accedemos a servicios en línea, cómo estos usan nuestros datos y cómo podemos mitigar esos riesgos protegiéndonos a través de diferentes herramientas y prácticas en nuestro uso diario de estos servicios y dispositivos.

Alejandro Echeverri

April 16, 2020
Tweet

More Decks by Alejandro Echeverri

See All by Alejandro Echeverri
cats-effect vs ZIO vs Monix
alejandrome
3
940

Other Decks in Technology

See All in Technology
リンクアンドモチベーション ソフトウェアエンジニア向け紹介資料 / Introduction to Link and Motivation for Software Engineers
lmi
4
300k
日経電子版のStoreKit2フルリニューアル
shimastripe
1
130
OTelCol_TailSampling_and_SpanMetrics
gumamon
1
190
AWS Lambda のトラブルシュートをしていて思うこと
kazzpapa3
2
180
ISUCONに強くなるかもしれない日々の過ごしかた/Findy ISUCON 2024-11-14
fujiwara3
8
870
これまでの計測・開発・デプロイ方法全部見せます! / Findy ISUCON 2024-11-14
tohutohu
3
370
組織成長を加速させるオンボーディングの取り組み
sudoakiy
2
200
サイバーセキュリティと認知バイアス:対策の隙を埋める心理学的アプローチ
shumei_ito
0
390
CDCL による厳密解法を採用した MILP ソルバー
imai448
3
120
ドメインの本質を掴む / Get the essence of the domain
sinsoku
2
160
OCI Network Firewall 概要
oracle4engineer
PRO
0
4.2k
DynamoDB でスロットリングが発生したとき_大盛りver/when_throttling_occurs_in_dynamodb_long
emiki
1
430

Featured

See All Featured
What's new in Ruby 2.0
geeforr
343
31k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
28
2k
Building an army of robots
kneath
302
43k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
44
6.8k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
26
2.1k
GitHub's CSS Performance
jonrohan
1030
460k
Building a Scalable Design System with Sketch
lauravandoore
459
33k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
47
2.1k
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
126
18k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
109
49k
Happy Clients
brianwarren
98
6.7k

Transcript

  1. Security 101

  2. Agenda Postulados básicos 01 Medidas de seguridad 1: higiene de

    contraseñas 05 Intermedio 04 Redes de comunicación 02 Medidas de seguridad 2: anti-tracking / navegación segura 06 Criptografía 03 Medidas de seguridad 3: dispositivos móviles 07 Medidas de seguridad 4: mensajería / redes sociales 08

  3. Agenda Medidas de seguridad avanzadas 09 Conclusiones 10

  4. DISCLAIMER Esta es una charla de seguridad enfocado especialmente a

    personas no-técnicas

  5. 01 Postulados básicos

  6. “Somos el producto” https://lifehacker.com/if-youre-not-paying-for-it-youre-the-product-5697167

  7. “Internet es inseguro”

  8. “Nuestros datos valen una montaña de dinero” https://www.nytimes.com/interactive/2019/12/19/opinion/location-tracking-cell-phone.html

  9. “¿Seguridad o conveniencia?” https://auth0.com/blog/security-vs-convenience/

  10. “Estamos siendo constantemente vigilados” https://www.nytimes.com/2020/01/24/opinion/jeff-bezos-phone-hack.html

  11. “No tengo nada qué esconder / El que nada debe,

    nada teme” https://en.wikipedia.org/wiki/Nothing_to_hide_argument

  12. ¿Y ahora? ¿Está seguro que después de estos pocos argumentos

    todavía siente que no es necesario tener un mínimo de protección?

  13. 02 Redes de comunicaciones

  14. Definición básica En el principio de la era de la

    computación, las computadoras estaban “aisladas”. Normalmente eran usadas en investigación por parte de universidades y en departamentos militares Estadounidenses. Digital PDP-11

  15. Definición básica Pero en los 60’s, una iniciativa del ARPA

    contemplaba crear una red en la que múltiples computadoras estuvieran interconectadas con el fin de intercambiar información y poder de cómputo. Su nombre fue ARPANET y esta fue la primera red de área extensa (WAN) que existió. Diagrama físico de ARPANET en 1977

  16. Definición básica El desarrollo de los PCs, paralelo al de

    las redes, hizo que no sólo universidades y entes gubernamentales pudieran estar interconectados, sino también personas del común. Nace Internet como “red de redes”. Primer servidor Web en el CERN. Equipo de Tim-Berners Lee. C. 1991

  17. Stack de protocolos A este punto ya tenemos Internet, ¿eso

    qué significa? Podemos transferir información entre equipos conectados, ¿pero cómo?

  18. Texto plano En los inicios de internet (¡y aún todavía

    en ciertos casos!) toda la comunicación entre equipos se hacía a través de texto plano. “Man in the middle” attack

  19. ¿Y ahora? ¿Esto se solventó o se puede solventar?

  20. 03 Criptografía

  21. Definición básica Es el estudio de prácticas y técnicas para

    comunicación segura debido a la presencia de agentes externos llamados “adversarios” https://en.wikipedia.org/wiki/Cryptography

  22. Definición básica Si se mira la historia, desde hace cientos

    (sino miles) de años se han usado técnicas de cifrado con el fin de proteger la comunicación

  23. Definición básica La segunda guerra mundial, para no ir tan

    atrás, fue un hito en este ámbito. Alan Turing y su equipo ayudaron a romper el cifrado usado por la máquina enigma, implementada por los Alemanes durante dicha guerra para transmitir información encriptada. Una versión de Enigma

  24. Criptografía en computación Con la evolución gradual de la computación,

    la criptografía se volvió una parte fundamental de esta Modelo de operación de la encriptación simétrica Modelo de operación de la encriptación asimétrica

  25. Algoritmos de cifrado Existen diferentes algoritmos de cifrado; unos más

    seguros que otros, los cuales tienen como fin último proteger la información, por ende la privacidad de la misma. Simétricos Asimétricos https://cryptofundamentals.com/algorithms

  26. ¿Y ahora? ¿Y cómo la criptografía ayuda en la seguridad?

  27. Caso general: HTTPS HTTPS asegura que la comunicación entre dispositivos

    esté asegurada y no sea visible por nadie más.

  28. Caso general: HTTPS

  29. Caso general: Passwords**

  30. Asterisco Desafortunadamente todavía hay sitios/apps que no hashean ó encriptan

    sus passwords https://haveibeenpwned.com/

  31. Caso general: PGP/GPG PGP (Pretty Good Privacy) es un software

    que permite encriptar y firmar contenido (emails, discos duros, texto plano/mensajes, archivos, etc).

  32. ¿Y ahora? ¿Cómo se conecta todo lo que hemos visto

    hasta ahora?

  33. 04 Intermedio

  34. Aprendizaje 1. Qué somos/significamos para las compañías que ofrecen servicios

    “gratuitos” 2. Cualquiera de nosotros somos un blanco activo para atacar 3. La interconexión en la que vivimos. Todo es una red 4. Naturaleza insegura de todo lo que sea parte de una red 5. Criptografía como columna vertebral de la privacidad/seguridad

  35. Medidas ¿Qué medidas prácticas son necesarias para protegernos de las

    amenazas a las que nos podemos ver expuestos?

  36. Medidas 1. Descripción de la medida 2. Razón detrás de

    la medida

  37. 05 Medidas de seguridad 1: higiene de contraseñas

  38. Contraseñas inseguras https://securityscorecard.com/blog/worlds-worst-passwords

  39. None

  40. Medida de seguridad 1: no usar una contraseña común /

    fácilmente descifrable Postulado: ¡NO use una contraseña “común”/fácil de adivinar! Razón: cuando se quieren comprometer cuentas, estas contraseñas siempre van a ser las primeras que los atacantes van a intentar usar

  41. Medida de seguridad 2: no reusar Postulado: ¡NO reutilice las

    contraseñas! Razón: si su password en un sitio es comprometido, estará comprometido en el resto de sitios en el que usa la misma contraseña

  42. ¿Cómo funciona el reuso de contraseñas?

  43. ¿Cómo funciona el reuso de contraseñas? https://services.google.com/fh/files/blogs/google_security _infographic.pdf

  44. ¿Y quién se va a poner a invertir el tiempo

    en esto? 1. Operadores de botnets 2. “Traficantes” de cuentas de redes sociales (especialmente aquellas con muchos seguidores) 3. Agentes específicos (ataques dirigidos) 4. Compañías de publicidad con “prácticas oscuras” 5. ...

  45. Medida de seguridad 3: no use contraseñas con patrones Postulado:

    ¡NO reuse parte de su contraseña complementándola con un patrón! Razón: usar “123456” con el prefijo/sufijo “twitter” como su contraseña en dicha red social sigue haciendo dicha contraseña vulnerable a ataques de diccionario.

  46. Medida de seguridad 4: no use contraseñas que incluyan datos

    personales Postulado: ¡NO use datos personales como parte de sus contraseñas! Razón: usar su fecha/lugar de nacimiento; número de identificación nacional o algún otro dato sensible expone doblemente su privacidad y seguridad: un atacante ya no sólo tendría su contraseña sino que tendría un “data point” adicional sobre usted.

  47. Medida de seguridad 5: no use contraseñas cortas Postulado: ¡NO

    use contraseñas cortas! Razón: una contraseña corta tiene muchas más posibilidades de ser comprometida. Asterisco: la longitud debe ir siempre acompañada de complejidad. No sirve de nada tener la contraseña “12345678901234567890…” sólo porque es “larga”.

  48. Medida de seguridad 6: contraseña de su correo primario Postulado:

    ¡La contraseña de su correo electrónico principal SIEMPRE debe ser diferente a la de cualquier otro servicio que use! Razón: siendo este postulado una extensión del reuso de contraseñas, si comprometen la contraseña de su correo, todas sus cuentas atadas al mismo se verán automáticamente comprometidas, así el password no sea el mismo

  49. Medida de seguridad 7: contraseñas por defecto Postulado: Las contraseñas

    por defecto en dispositivos conectados a Internet, al igual que contraseñas auto-asignadas en servicios a los que usted se registra deben ser cambiadas. Razón: especialmente en los dispositivos (como routers, TVs, cualquier cosa conectada a Internet) que venga con una contraseña preestablecida por el fabricante, al ser de dominio público, un atacante intentará comprometer el dispositivo ingresando con estas credenciales

  50. https://howsecureismypassword.net/

  51. En resumen, entonces debo... 1. Tener contraseñas diferentes en los

    95 servicios / portales /apps en los que estoy registrado. 2. Tener contraseñas “largas”, de más de X caracteres. 3. Tener contraseñas difíciles de adivinar, con combinaciones de números / letras / caracteres especiales. 4. No emplear ninguno de los “comodines” que normalmente uso (fecha de nacimiento, cédula, …) en mis contraseñas. 5. No dejar contraseñas por defecto / pre-asignadas en los servicios / dispositivos que uso. 6. ...

  52. En resumen, entonces debo...

  53. ¡Nada de nervios!

  54. Password managers Un password manager es un “almacén de secretos”

    el cual tiene como funciones: 1. Almacenar seguramente sus contraseñas. 2. Generar contraseñas para cualquier servicio en el que se vaya a registrar, con los parámetros de seguridad que describimos anteriormente. 3. “Auto-completar”* sus contraseñas en sitios en los que se vaya a loguear. 4. “Desentenderse” de memorizar passwords. Sólo debe saber su “contraseña maestra” para tener acceso al resto de contraseñas. 5. Administrar sus contraseñas en múltiples dispositivos: PC, tablet, smartphone, Internet*, etc.

  55. Password managers A continuación, los password managers recomendados

  56. KeePassXC Recomendado (todo público) https://keepassxc.org/

  57. Bitwarden Recomendado (todo público) https://bitwarden.com/

  58. Pass Control total (público avanzado o técnico) https://www.passwordstore.org/

  59. Alternativas comerciales (no recomendadas)

  60. Medida de seguridad 8: no usar el password manager del

    navegador Postulado: los navegadores web y los sistemas operativos móviles ofrecen almacenamiento y en algunos casos generación de contraseñas (Google Passwords, iCloud Keychain). Procure no usar estas alternativas. Razón: los datos, si bien están “encriptados”, son administrados por terceros de maneras que el usuario final no conoce. Dichos terceros podrían tener la capacidad incluso de descifrar los passwords con el fin de entregárselos a agencias gubernamentales en caso de que sean requeridos. Es el mismo caso del por qué no sugerimos usar los password managers comerciales.

  61. Medida de seguridad 9: 2FA en todas sus cuentas Postulado:

    active 2FA en TODOS los servicios/aplicaciones que ofrezcan esta opción. Razón: 2FA hace mucho más difícil (aunque no es imposible) que un atacante pueda comprometer sus cuentas, así haya conseguido su contraseña.

  62. Two/Multi-factor authentication (2FA - MFA) Es una técnica la cual

    exige una “segunda ó más pruebas” de propiedad de su cuenta. Si su password se encuentra comprometido, el atacante necesita el acceso al segundo factor con el fin de finalizar el ingreso a su cuenta.

  63. Two/Multi-factor authentication (2FA - MFA) 1. Algo que el usuario

    “sabe” (su contraseña). 2. Algo que el usuario “posee” (dispositivo físico). 3. Lo que el usuario “es” (métodos biométricos: cara, huellas dactilares, iris).

  64. Tipos de 2FA/MFA

  65. Factor de autenticación común: TOTP

  66. Aplicaciones (móviles) para TOTP 1. Google Authenticator 2. Microsoft Authenticator

    3. Authy 4. Duo

  67. ¿Cuáles servicios soportan 2FA-MFA? https://twofactorauth.org/#

  68. Backup de los códigos QR Si usted llega a perder

    el dispositivo físico que contiene sus TOTP, tendrá que “resetear” todas sus cuentas con 2FA activo, por lo que es necesario que almacene una copia del código QR cuando esté haciendo el proceso de enrollment. Tome un pantallazo del QR y almacénelo en un lugar seguro. De preferencia, imprímalo y destruya el archivo original. Si cae en manos de alguien más, esa persona podría enrolar el TOTP en un dispositivo y así acceder a su cuenta.

  69. Passwords Y la ñapa...

  70. La ñapa https://xkcd.com/936/

  71. La ñapa 2 https://haveibeenpwned.com/

  72. 06 Medidas de seguridad 2: anti-tracking y navegación segura

  73. ¿Qué es el “fingerprinting”? https://www.deviceinfo.me/

  74. ¿Qué es el “fingerprinting”? Es una técnica por la cual

    el navegador web recoge un detallado set de datos acerca del dispositivo que se está usando, además de la información sobre los sitios visitados y su metadata (fecha de visita, links visitados, etc) con el fin de crear una “huella digital” de nosotros. Esto sirve para, desde mostrar “publicidad dirigida” hasta con fines maliciosos y de rastreo.

  75. Algunos datos recolectados “normalmente” 1. Sistema operativo del dispositivo 2.

    Resolución de pantalla 3. Dirección IP y sus metadatos (nombre del ISP, ciudad y país “aproximados” de ubicación) 4. Nombre del navegador web y versión 5. Tipo de conexión a Internet (fija, móvil) 6. Lenguajes preferidos 7. Modelo de la cámara, micrófono, CPU, cantidad de memoria RAM, batería, capacidad de la misma... 8. Orientación del dispositivo (portrait/landscape) 9. Plugins instalados en el navegador 10. ...

  76. Lo “mejor” del asunto es Todo esto pasa de manera

    “invisible” (no es fácilmente determinable para un usuario común) y sin nuestro consentimiento explícito al navegar en internet o al usar apps en nuestros dispositivos.

  77. https://www.nytimes.com/2019/07/03/technolo gy/personaltech/fingerprinting-track-devices-w hat-to-do.html

  78. Medida de seguridad 1: usar un navegador “privacy-friendly” Postulado: Google

    Chrome, Microsoft Edge y Apple Safari hacen tracking por defecto. NO debería usar estos navegadores en ninguno de sus dispositivos. Razón: si bien ningún navegador es inmune al fingerprinting, algunos de estos tienen como fin ulterior esta práctica (como Chrome). Se recomienda instalar un navegador que respete la privacidad y permita tomar medidas de mitigación ante el tracking.

  79. Navegadores recomendados 1. Brave (no requiere customización) 2. Mozilla Firefox

    (requiere customización para mitigar el fingerprinting) 3. Iridium browser (avanzado -- sólo funciona en desktop)

  80. Navegadores recomendados https://www.washingtonpost.com/technology/2019/06/21/google-chro me-has-become-surveillance-software-its-time-switch/

  81. Medida de seguridad 2: tener un bloqueador de publicidad (ad-blocker)

    Postulado: Si no usa Brave, debe instalar un bloqueador de publicidad en su navegador. Brave ya tiene bloqueo de publicidad por defecto. Razón: aparte de lo invasiva que es la publicidad en Internet y cómo influye en la carga de una página, esta misma se genera en gran parte por la información que los publicitadores (advertisers) tienen de nosotros.

  82. Extensiones de ad-blocking recomendadas 1. uBlock 2. AdBlock Plus (en

    caso de que uBlock no esté disponible en su navegador)

  83. Ejemplo: sin ad-blocking

  84. Ejemplo: con ad-blocking

  85. Medida de seguridad 3: tener una extensión que bloquee el

    tracking (anti-tracking) Postulado: En algunos navegadores ya hay medidas anti-tracking instaladas por defecto, pero es recomendable para algunos de ellos tener una extensión especializada para esto. Razón: los anti-trackers son extensiones que conocen cuáles trackers se intentan llamar al acceder a un dominio, bloqueando y mitigando su operación.

  86. Extensiones de anti-tracking recomendadas 1. Privacy Badger 2. Disconnect *

    No instale las dos al tiempo, ya que pueden “colisionar” entre ellas y hacer que los sitios no se carguen correctamente

  87. Ejemplo: tracking en el New York Times Privacy Badger nos

    está diciendo que bloqueó 6 de los 7 trackers que la página del New York Times carga sin nosotros saber. Muchos de estos son trackers de agencias de publicidad que se lucran de nuestra información para crear un perfil detallado de nosotros y así servirnos “publicidad dirigida”. Además de rastrearnos, claro está.

  88. Medida de seguridad 4: forzar a las webs a usar

    HTTPS Postulado: muchos sitios cargan en sus versiones “no seguras” a través de HTTP, pero ofrecen la opción de hacerlo a través de HTTP (seguro). Podemos hacer esto instalando una extensión llamada HTTPS Everywhere. Razón: siempre, desde que el sitio web lo soporte, debemos usar su versión segura (HTTPS). Forzarlo a que lo haga es lo que HTTPS Everywhere nos ayuda a lograr.

  89. Medida de seguridad 5: motores de búsqueda Postulado: muchos buscadores

    también hacen tracking a través de lo que buscamos en ellos. Google y Bing lo hacen activamente. Deberíamos usar meta-buscadores o buscadores que sean privacy-friendly. Razón: nuestro historial de búsqueda también les ayuda a las compañías de Internet a “entendernos” con el fin de servirnos publicidad dirigida y productos/servicios específicos. Ellos tienen normalmente políticas de datos agresivas respecto a la información que recolectan y almacenan.

  90. Buscadores recomendados 1. DuckDuckGo 2. Swisscows 3. Metager

  91. 07 Medidas de seguridad 3: dispositivos móviles

  92. La mejor manera de estar 100% seguros es no tener

    smartphone (ni “dumb-phones”).

  93. https://ssd.eff.org/en/module/proble m-mobile-phones

  94. Ya entendido que un teléfono en nuestro bolsillo no nos

    da seguridad, unos consejos...

  95. Medida de seguridad 1: ¿qué apps tengo instaladas? Postulado: nuestros

    teléfonos siempre tienen apps instaladas, algunas (quizá muchas) de ellas nunca las usamos. Estas deben ser desinstaladas. Razón: apps innecesarias y que son abiertas pocas veces mientras viven en el teléfono son candidatas a estar enviando información, en caso de que no hayamos configurado sus permisos.

  96. Medida de seguridad 2: limitar los permisos Postulado: ¿aquel juego

    de tetris que descargamos necesita acceder a la ubicación, cámara y micrófono? Razón: muchas apps piden acceso a permisos que a veces no son necesarios para su propósito. Debe denegar aquellos que no sean necesarios (como el micrófono, la cámara o la ubicación) para cada una de ellas.
  97. None

  98. Medida de seguridad 3: cuidado con las apps no verificadas

    Postulado: al instalar apps “manualmente” (a través del .apk en Android o por medio de Jailbreak en iOS) se está incurriendo en un riesgo de seguridad, ya que no hay manera de verificar si dicha app está comprometida. Razón: las tiendas de aplicaciones se encargan de filtrar y aprobar aplicaciones “seguras” (aunque en ciertos casos fallan en esta curaduría). Siempre deberíamos instalar apps de desarrolladores verificados o confiables.

  99. Medida de seguridad 4: apps potencialmente maliciosas Postulado: aplicaciones para

    “espiar” en el teléfono de otro, “antivirus gratuitos”, apps para “mejorar el performance” / “limpiar la memoria” / “optimizar la batería” del teléfono y otras, normalmente serán apps maliciosas. Razón: el postulado descrito es una generalización en la que preferimos caer, dado que estas categorías de aplicaciones son los vectores de ataque más comunes para instalar software malicioso (“malware”) en nuestros dispositivos.

  100. Medida de seguridad 5: limitar el tracking a nivel de

    sistema operativo Postulado: Google y Apple hacen tracking por defecto desde Android y iOS. Deberíamos desactivar esta característica. Razón: los dispositivos móviles hacen rastreo por defecto, el cual puede ser desactivado (parcialmente). Una guía para hacerlo se encuentra aquí.

  101. Medida de seguridad 6: actualizar el sistema operativo Postulado: siempre

    que haya una actualización de su sistema operativo móvil (iOS/Android) debería instalarla. Razón: muchas personas no actualizan sus sistemas operativos por diferentes razones. Si su teléfono todavía recibe actualizaciones, estas se encargan de parchar “huecos de seguridad”, por lo cual es importante que estas actualizaciones estén instaladas en su dispositivo.

  102. Medida de seguridad 7: limitar la recolección de datos de

    Google Postulado: muchas personas “dependemos” de los servicios de Google a costa de nuestros datos. Sin embargo, podemos limitar la recolección de los mismos y esto es algo que deberíamos hacer. Razón: entre menos recolecten de nosotros, mejor. Para limitar dicha práctica podemos hacer el privacy checkup o cambiar la configuración de datos.

  103. Medida de seguridad 8: limitar el acceso a la ubicación

    precisa Postulado: nuestros dispositivos son GPSs, implicando que cualquier atacante que comprometa nuestro dispositivo pueda rastrearnos de manera precisa. Debemos limitar al máximo el acceso a este recurso. Razón: en Android se puede deshabilitar el acceso a la ubicación a través del menú de acceso rápido. En iOS es un poco más complicado por la naturaleza de la funcionalidad pero podemos limitar su acceso a lo estrictamente necesario siguiendo esta guía.

  104. Medida de seguridad 9: redes inseguras Postulado: siempre que sea

    posible, evite conectarse a redes Wi-Fi públicas (“abiertas”) Razón: a cambio del “servicio gratis” usted puede estar conectado a una red que espía todo su tráfico e inclusive puede atacar su dispositivo inyectándole malware. Desafortunadamente esto no se sabe si no se recurren a técnicas de escaneo avanzadas, por lo cual la recomendación es evitarlas al máximo.

  105. Medida de seguridad 10: en iOS, asegure su cuenta de

    iCloud Postulado: tome todas las medidas preventivas (activar 2FA, activar “Buscar mi iPhone”, añadir números de recuperación) Razón: la cuenta de iCloud es la columna vertebral de un dispositivo iOS. Si este se llega a perder/ser robado y el ladrón logra acceder a su cuenta de iCloud, este tendrá control total sobre el dispositivo.
  106. None

  107. 08 Medidas de seguridad 4: mensajería / redes sociales

  108. Las redes sociales revelan mucho de nosotros, más allá de

    si “aparentamos” algo que no somos.

  109. Medida de seguridad 1: datos reales Postulado: si queremos conservar

    nuestra privacidad, datos como nuestro nombre completo (legal), edad, fecha de nacimiento completa, orientación sexual, etc, no deberían ser suministradas a ningún servicio. Razón: si queremos ser nuestra “versión real” en Internet, debemos saber que nuestros datos representarán verazmente quienes somos y sobre eso seremos “un producto”.

  110. Medida de seguridad 2: leer los T&C (al menos parcialmente)

    Postulado: si realmente nos interesa nuestra privacidad y lo que hacen con nuestros datos, antes de registrarnos a un servicio debemos leer los “términos y condiciones”. Razón: todo producto/servicio tiene sus T&C que ciegamente aceptamos, cediendo cosas que con un análisis cuidadoso seguro pensaríamos dos veces antes de hacerlo.

  111. Medida de seguridad 3: dirección de correo para redes sociales

    Postulado: NO use su dirección de correo principal para registrarse en redes sociales. Use un correo alternativo exclusivo para este fin o correos desechables (si el servicio al que se registra no va a ser usado por mucho tiempo), preferiblemente sin su información real. Razón: nuestros datos están interconectados. Compañías que tengan nuestros datos y se los vendan a terceros lograrán, a través de datos comunes como nuestro correo, saber mucho más de lo que el sitio original conoce de nosotros.

  112. Medida de seguridad 4: remover los datos EXIF en las

    fotos Postulado: si va a subir fotos a Internet/redes sociales, elimine los datos EXIF de los archivos. Puede hacerlo siguiendo esta guía. Razón: los datos EXIF son los metadatos de la foto. Estos son aprovechados por muchas plataformas y suman a nuestro “archivo” de datos, haciéndolos potencialmente peligrosos para nuestra privacidad.

  113. Medida de seguridad 5: usar apps de mensajería segura Postulado:

    aplicaciones para mensajería como Signal o Keybase son alternativas más seguras a Whatsapp. Razón: Whatsapp dice tener cifrado de punta a punta, pero su código no es abierto por lo cual es imposible verificarlo. Aparte de esto, Facebook es propietario de este servicio, por lo cual nuestros datos (o parte de ellos) inevitablemente terminan en sus manos.

  114. Medida de seguridad 6: tenga la menor cantidad de cuentas

    en redes sociales Postulado: si tiene redes sociales, trate de que sean pocas (o ninguna en absoluto). Razón: todo se reduce nuevamente a cuánto queremos nosotros que “terceros” sepan sobre nuestra vida. Hay servicios mucho más agresivos (Facebook owned) que otros. Considere bien sus opciones.

  115. 09 Medidas de seguridad avanzadas

  116. Mencionaremos algunas medidas que requieren conocimiento técnico pero que son

    igualmente efectivas. Si no posee el conocimiento para llevar a cabo su implementación, considere pedirle apoyo a alguien que pueda hacerlo por usted :)

  117. Medida de seguridad 1: tener Pihole en su red

  118. None

  119. https://techcrunch.com/2020/04/03/zoom-calls-route d-china/

  120. None

  121. Medida de seguridad 2: tener su propio router (y customizarlo)

    https://openwrt.org/

  122. Medida de seguridad 3: usar una llave de seguridad

  123. Medida de seguridad 4: usar Linux como sistema operativo principal

  124. Medida de seguridad 5: usar servicios “local-based” https://martin.kleppmann.com/papers/local-first.pdf

  125. Medida de seguridad 6: usar un teléfono “UnGoogled-like” https://source.android.com/

  126. Medida de seguridad 7: usar una VPN/Tor

  127. 10 Conclusiones

  128. Nuestra privacidad fue arrebatada

  129. Conocer qué pasa “tras bambalinas” en el uso diario de

    la tecnología nos da poder de decisión

  130. Aplicar al menos un set de las medidas expuestas aquí

    es un gran paso Vista de alguien diciendo: ¡¿“y después de esta charla él quiere que hagamos cada una de las cosas que dijo”?!

  131. “La cadena es tan fuerte como el eslabón más débil”

  132. “Si nosotros no mantenemos la puerta de la casa abierta,

    tampoco deberíamos dejarla abierta en el mundo digital”

  133. La única manera de tener privacidad completa es volviéndose un

    ermitaño

  134. Alejandro Marín [email protected] ¡Gracias!