La protección digital en tu organización

lupa
Blog Privacidad Software libre Tecnologías disruptivas

Comencemos con la tabla de 3×3 de la protección digital de tu organización … que sería algo así como:

PocoMedioMucho
Importancia de la protección digital
Recursos económicos para mejorar la protección digital
Recursos humanos para implementar una mejor protección digital

Ahora pensá cuál es la importancia de la protección digital (PD) en tu organización, o mejor dicho a qué nivel de riesgo te exponés vos o tu grupo y qué podrías hacer al respecto. Por decirlo de un modo peculiar: ¿cuál es el nivel de paranoia que aplica para tu caso? Si es poco o nada, ya puedes dejar de leer el artículo y volver a tus tareas cotidianas. 

Si has seguido leyendo, es porque la protección digital te importa o te importa mucho. Empecemos con una primer posibilidad: la PD es importante, pero no te quita el sueño, sueles pensar «si nada debo, nada temo» o el más popular «no tengo nada que ocultar».

En este primer escenario, te recomendaríamos utilizar los servicios de plataformas corporativas como Google que son muy buenos y nadie hace las cosas tan bien. Además son «gratuitas» (Recuerda la máxima de que cuando algo es gratuito, es porque el producto eres tu. Además suelen dedicar bastantes recursos a protegerte contra ataques de terceros y respaldan toda tu información. No tendrás problemas de velocidad, ni de espacio en «la nube», ni de tamaño en los adjuntos. Estas plataformas lo resuelven todo: Google, Facebook (Instagram y Whatsapp también), Dropbox o Slack. Todas son herramientas semi-gratuitas que funcionan muy bien y te protegen de terceros. En el plano de las computadoras personales, Windows y Mac te ofrecen sistemas operativos que parecen gratuitos 1, que funcionan con todas las impresoras y dispositivos, y que además todas las personas tienen, por lo que son muy interoperables.

Sin embargo todas esas corporaciones, hacen lo que les da la gana con tus datos personales y la información que generas al utilizarlas: la analizan para mandarte publicidad, se la venden a terceros, la revisan minuciosamente en búsqueda de «contenido protegido» o sensible, encienden tu micrófono e incluso se conectan con los mecanismos de vigilancia de diversos países. En algunos casos pueden llegar a borrar la información de tu dispositivo2.

Todo esto se realiza —en la mayoría de los casos— con tu consentimiento 3. Además utilizan sus algoritmos para decidir qué contenido permiten en sus plataformas: determinan si puedes tener una canción almacenada o subir la foto de un pezón o utilizar un hashtag polémico, todo pasa a ser controlado por sus estructuras de poder y sus directivos, en función de sus intereses políticos y comerciales. Son enormes pirámides de negocios y control de información

Si por el contrario, el tema de la PD te resulta extremadamente importante y entiendes que la tecnología determina cada vez más tu vida y todo lo que realizás cotidianamente, pues ya es hora de tomar cartas en el asunto. Quizás ya estés al tanto de los casos Snowden, Assange y Manning (entre otros), que denuncian este entramado del poder y la «vigilancia estratégica» que desarrollan los Estados modernos, en colaboración con las plataformas corporativas de contenido. Al final del artículo te dejamos una serie de documentales, por si necesitas profundizar en este tema.

En este escenario debes protegerte contra los sistemas de vigilancia como PRISMA: debes buscar herramientas tecnológicas libres y comunitarias que te permitan aumentar y mejorar la protección digital, para salvaguardar la soberanía de tu información y la inviolabilidad de tus datos personales, así como los datos sensibles de tu organización. Ya sabemos que la PD te importa muchísimo, por lo que debemos avanzar sobre los otros 2 temas que aparecen en nuestra tabla de 3×3, ¿cuántos recursos económicos y cuántos recursos humanos dispone tu organización para mejorar su protección digital?

Pongamos por caso que tienes muchos recursos económicos y algo de tiempo que podrías dedicar a este tema. Una primer estrategia es montar tu propia infraestructura4: esto te permitirá decidir donde estarán físicamente los datos de tu organización, es decir, si estarán en tu propio país bajo la legislación nacional, o en algún lugar donde la protección de datos sea mayor. Por ejemplo, puedes decidir colocar tu servidor en Holanda o Islandia con mejores leyes de protección de datos.

Además de ello, puedes elegir cuántos servicios van a estar disponibles para los miembros de tu organización: correo, nube, gestor de proyectos, CRM, gestor de inventario, tableros Kanban, chat, etc.. Entonces, el área tecnológica de tu organización puede ir creciendo conforme se vayan incorporando nuevas personas o proyectos, o cuando aumente la complejidad de tu trabajo. El problema con este enfoque es que suele llevar mucho trabajo y a veces se vuelve difícil encontrar los recursos humanos especializados para llevarla adelante. Por último vale la pena destacar que este escenario no es muy común en las organizaciones de Latinoamérica.

Veamos ahora el escenario opuesto: tu organización no tiene recursos económicos, ni humanos para dedicarle a la PD. Eventualmente sabes que la protección digital es importante, pero no te queda muy claro cómo utilizar plataformas alternativas o cambiar tus prácticas y las de tu organización. Además, tampoco tienes mucho tiempo para dedicarle el tema, ya que las tareas cotidianas son demasiadas y urgentes. Lamentablemente para este caso, no hay mucho para hacer y volvemos al inicio: con Google, Dropbox y Slack y los sistemas de vigilancia.

El escenario ideal

Entonces pensemos un escenario «ideal», un intermedio donde la organización tiene algo de recursos económicos y puede, de a poco, empezar a dedicar recursos humanos para mejorar sus prácticas y aumentar la protección digital.

PocoMedioMucho
Importancia de la protección digitalX
Recursos económicos para mejorar la protección digitalX
Recursos humanos para implementar una mejor protección digitalX

Establecimiento de protocolos

Desde TEDIC hemos realizado auditorías de seguridad digital organizacional (ORGSEC) implementando la metodología de SAFETAG de Internews a organizaciones de la sociedad civil y activistas de derechos humanos como CONAMURI, CREAR Movimiento Estudiantil, CODEHUPY y ReAcción. Como resultado de estos procesos, hemos aprendido que un aspecto importante es la creación de protocolos internos que la organización pueda utilizar como base de sus procesos y prácticas de seguridad digital.

Hay una parte de esa tarea que depende estrictamente de los y las usuarias, como por ejemplo el manejo de contraseñas. Tu organización debería establecer un «Protocolo de protección digital» que incluya directivas que deberían seguirse para cambiar las prácticas y reducir los riesgos. Una sugerencia, podría ser la siguiente:

  • Política de contraseñas
  • Herramientas de comunicación interna
  • Prácticas de higiene digital: tanto para escritorio como para móvil
  • Política de actualizaciones de computadoras de escritorio
  • Política de instalación de programas
  • Protocolo de entrada y salida de miembros
  • Criterios de publicación de contenidos
  • Plataforma de servidores: instalación, actualización, respaldos, etc..

Toda esta documentación y sus prácticas asociadas, son pasos imprescindibles para comenzar a transitar el camino hacia una mejor PD. Hay una herramienta que te ayuda a crear la política de protección digital para tu organización, a partir de una serie de preguntas: https://usesoap.app (por el momento esta herramienta está en inglés).

Entonces tomando en cuenta todo lo anterior, podemos hacer un análisis de 3 ejes: (a) el factor humano, por ejemplo, la «Política de contraseñas». Luego (b) el factor tecnológico local, que incluye la «Política de instalación de programas» o la «Higiene digital», (c) la relación con los gigantes de la información y por último (d) la infraestructura, es decir los servidores y servicios que generalmente se instalan y actualizan remotamente.

a. El factor humano

El factor humano, implica lograr que los equipos de trabajo estén «en la misma página», que todas las personas sean conscientes de las razones por las cuales la organización quiere cambiar ciertas prácticas: cuál es la importancia estratégica de hacerlo y las dificultades esto puede implicar. Sobre todo, los beneficios futuros de aumentar la PD de la organización. Hay diversas estrategias y mucho material didáctico5 para trabajar estos temas y lograr cambiar las prácticas organizacionales.

En esta línea es importante sensibilizar sobre temas como los riesgos de la violencia digital, así como amenazas de suplantación de identidad (phishing), el problema de las contraseñas, el cruce de fronteras, el robo de dispositivos y otros.

Debes establecer una política institucional de contraseñas e insistir en su cumplimiento. Debes lograr que las personas de tu oficina instalen y utilicen keppassxc, que las contraseñas sean diferenciadas, de largo no menor a 8 y que se cambien con cierta periodicidad. 

En el caso de dispositivos móviles, debes lograr que las personas utilicen bloqueo de pantalla, lo que reduce la posibilidad de acceso a la información por parte de personas extrañas, en caso de extravío o robo de dispositivo. Cuando los móviles no están protegidos, esto se convierte en uno de los elementos más débiles de la seguridad de las organizaciones.

Para profundizar en alguno de estos temas te recomendamos los siguientes recursos:

b. La informática local

Dentro del factor tecnológico local, se encuentran la higiene digital, la instalación cuidada de programas y el establecimiento de mecanismos de comunicación segura, utilizando cifrado de extremo a extremo.

Instalación e higiene

La instalación de programas es un tema clave que debe ser revisado y acordado tanto para programas de escritorio como aplicaciones móviles. Es decir, qué tipo de programas se van a poder instalar y quién lo hará. La instalación de un software infectado o malicioso puede poner en riesgo la seguridad de toda la organización. Por ello se deben tener criterios estrictos en este sentido.

En este sentido, debe establecerse una política de actualizaciones, es decir, cada cuánto y cómo se actualizará el sistema operativo de las computadoras y de los dispositivos móviles. Uno de los factores de riesgo más importantes son las vulnerabilidades de día 0 (zero days). Son fallas en los programas que cierta persona, grupo u organización encuentra y aprovecha para vulnerar a terceros. Mientras la falla no sea descubierta, el atacante actúa con total impunidad y la utiliza para vulnerar a sus oponentes. Con el paso del tiempo, estas fallas se van haciendo públicas y los diferentes programas se van corrigiendo. No hay forma de protegerse 100% contra este tipo de problemas, pero sí se pueden reducir los riesgos con una buena política de actualizaciones.

Además será recomendable no tener decenas de programas instalados si es que no los utilizas. El caso paradigmático es el celular, que muchas veces contiene aplicaciones que no utilizas, como juegos u otras y que pueden ser una fuente de vulnerabilidad. Dejar instalado solo lo necesario es una buena práctica para aumentar la protección digital.

Cifrado de dispositivos

Un segundo elemento de gran importancia, sobre todo para organizaciones sociales y defensores de derechos humanos es el cifrado completo de tus dispositivos. Ya que las organizaciones trabajan bajo amenaza y mantienen una serie de datos sensibles, sería muy problemático que terceros accedan a la información de tu organización. 

En el caso de los dispositivos móviles, ya vienen con cifrado completo y solo es necesario establecer el bloqueo de pantalla, tal como se mencionó en apartado anterior. Para escritorio, GNU/Linux ya cuenta con la posibilidad del cifrado completo desde el momento de su instalación, mientras que en Windows existe una herramienta  denominada BitLocker. 

Cabe mencionar que no confiamos en Windows, ni en BitLocker, ni en los programas de código cerrado. Ya han sido documentados los casos que Microsoft y empresas similares colocan «puertas traseras» para acceder a la información de los y las usuarias. Por ello recomendamos VeraCryp, que puede cifrar caprtas, dispotivos USB o el disco duro completo de tu computador, y además es software libre.

Comunicación interna y repositorio de archivos

En lo que refiere a mensajería interna, uno de los programas más equilibrados en cuanto a usabilidad y seguridad es Signal: Ha sido creado bajo la el concepto de privacidad por diseño y permite comunicación mediante, texto, audio y video con máxima protección. Funciona tanto en iPhone como en Android y permite conectar con tu dispositivo de escritorio tanto en Windows, Mac o Linux. Para profundizar en esta herramienta, te recomendamos leer nuestro artículo «Cuida tus comunicaciones con Signal».

Para videollamadas «uno a uno» también te recomendamos utilizar Signal: esta aplicación funciona muy bien tanto en modo audio, como cuando es audio y video. En caso de tener que realizar una conversación entre varias personas, te recomendamos utilizar Jitsi, que también es software libre y utiliza cifrado extremo a extremo. Es muy sencillo de utilizar ya que no requiere creación de usuario y en el caso de escritorio no requiere instalación. Si quieres utilizar Jitsi desde tu dispositivo móvil, te recomendamos instalar su app. Además, cumple muy buenos estándares de protección digital.

Para alojar tu repositorio institucional, existen 2 herramientas muy útiles: una es Syncthing, que es una forma de intercambiar archivos y carpetas «entre pares» (peer-to-peer). Es decir, no se establece un servidor central donde se alojan los datos, sino que cada computadora cuando está conectada envía y recibe hacia y desde las otras. La única desventaja de este sistema es que si hay horarios de trabajo muy diferentes, se pueden presentar problemas de sincronización ya que requiere que cada dispositivo esté encendido y con conectividad para realizarla. Como beneficio, está el hecho de que tu información no está en ningún dispositivo remoto. 

Existe otra herramienta para almacenar archivos de forma compartida y segura que se llama Nextcloud. A diferencia de la anterior, esta requiere un «servidor» para instalarla: en el apartado «Infraestructura» te proponemos algunos proveedores que brindan Nextcloud como parte de sus servicios. Esta herramienta ofrece: 

  • almacenamiento y gestión colectiva de archivos
  • con control de versiones y acceso diferenciado mediante permisos
  • calendario
  • gestión de contactos
  • editor incorporado de textos
  • y más…

Además posee un ecosistema de plugins que permite ampliar su funcionalidad. Nextcloud tiene un cliente de escritorio que sincroniza tus carpetas remotas con las locales, al estilo Dropbox. Como si todo esto fuera poco, también tiene una aplicación para móviles, lo que habilita el acceso a tu repositorio institucional desde cualquier lugar en que te encuentres.

Nextcloud también es una aplicación creada con privacidad por diseño: brinda la posibilidad de cifrar tus archivos, así como habilitar un segundo factor de autenticación. En otras palabras, es una herramienta muy poderosa para mantener el repositorio de tu organización de forma soberana y fuera del PRISMA.

Algunas de estas recomendaciones de protección digital están disponibles en nuestro artículo «Recomendaciones de protección digital 2019».

Además, te dejamos dos listas de recomendaciones para aumentar la protección digital de tu organización (actualizados al segundo semestre de 2019):

Recuerda: para adoptar un nuevo programa o práctica, debes investigar los beneficios y problemas que puede implicar, además de realizar experimentos de implementación y sobre todo hacerlo de forma progresiva.

c. Relación con los gigantes de la información

Este punto es importante para la protección digital ya que implica cuestionarse la soberanía de la producción y almacenamiento de la información y así como la posible pérdida o bloqueo de tus datos. Partiendo de la base de que la información es uno de los activos más importantes de cualquier organización, cabe preguntarse: 

  • ¿dónde voy a publicar?
  • ¿bajo qué jurisdicción está mi contenido?
  • ¿quién tiene el poder de dar de baja mi contenido?
  • ¿qué caminos tomar en casos de censura?

Está claro que si nuestro canal principal de publicación de contenido es una plataforma que pertenece a una empresa poderosa, con una estructura vertical y criterios autoritarios de filtrado, le estarás otorgando la posibilidad de censurar el contenido. Esto coloca a tu organización en un estado de vulnerabilidad importante.

Por el contrario, si estableces tu punto de publicación en una página web, externa a estas plataformas, obtendrás un mayor control, y la probabilidad de censura y pérdida de información se reducen bastante. Ahora ya puedes utilizar las plataformas hegemónicas para distribuir tu contenido, pegando allí tus enlaces y utilizarlas como «caja de resonancia».

Por último, no te olvides que existe una diversidad enorme de redes libres y federadas que puedes comenzar a explorar y utilizar: https://the-federation.info/

d. La infraestructura

Sobre el tema de la infraestructura informática existen una serie de proyectos colectivos y políticos que se dedican específicamente a proveer infraestructura y servicios con perspectiva de privacidad por diseño, respeto por las personas y con modelos de gobernanza alternativos: se decide por asamblea, o toman formas de cooperativa de trabajo.

En este sentido podemos recomendar Primero de Mayo (MayFirst) que es una cooperativa de servicios informáticos con sede en EEUU y México. Con un costo relativamente bajo, puedes solicitar la membresía para tu organización y formar parte de la misma, y acceder a beneficios como:

  • casillas de correo ilimitadas
  • listas de correo (tipo «googlegroups»)
  • alojamiento web (para colocar tu sitio web)
  • almacenamiento de archivos (brindan Nextcloud, que ya mencionamos en apartado anterior)
  • videollamadas (a través de una instalación propia de jitsi, también mencionado más arriba)
  • y más… 

Además de aprovechar de todos estos servicios, puedes participar en los procesos de toma de decisiones, ya que las mismas se realizan en colectivo; puedes proponer nuevos servicios, solicitar ayuda, colaborar en traducciones, etc..

Puedes comenzar utilizando el correo electrónico y el alojamiento web e ir probando los otros servicios para ver si se adecuan lo que tu organización necesita. También recibirás correo de las instancias de debate y toma de decisiones. Las comunicaciones se realizan en inglés y español.

Además, existen otros proyectos comunitarios que proveen servicios e infraestructura informática, como por ejemplo:

  • Código Sur: https://codigosur.org/ ~ Colectivo de personas pertenecientes a diferentes movimientos sociales, con el propósito de colaborar con el desarrollo y la socialización de la comunicación, la cultura y las tecnologías libres en América Latina. Con sede jurídica en Costa Rica, y un equipo desplegado en diferentes países de América Latina. 
  • Greenhost: https://greenhost.net/ ~ Proveedor con un modelo más comercial , con sede en Holanda. Además de brindar servicios web bajo una perspectiva de privacidad y tecnologías alternativas, también participan en espacios de derechos digitales.
  • Maadix: https://maadix.net/es/ ~ Las personas que integran el equipo de MaadiX, llevan años trabajando en la defensa del derecho a la privacidad de las comunicaciones, la seguridad digital y la libertad de información. A principios de 2016 dieron comienzo a este proyecto con el objetivo de ofrecer soluciones tecnológicas eficaces, prácticas y sólidas, capaces de garantizar estos valores al conjunto de la sociedad, independientemente de los conocimientos técnicos.
  • Pangea https://pangea.org/es/ ~ La misión de Pangea es promover el uso estratégico de las redes de comunicación y las tecnologías de la información y comunicación (TIC) para el desarrollo y la justicia social y convertirse en una herramienta que ayude a cumplir los objetivos de colectivos sociales, organizaciones y movimientos sociales. 

Más allá de la opción que tome tu organización, existen una serie de criterios mínimos para la PD, que deberías conversar con tu proveedor: 

  • ¿Bajo qué jurisdicción se encuentra el servidor?
  • ¿Cómo es la política de actualizaciones?
  • ¿Quién, cómo y cada cuánto se realizan los respaldos? ¿Esos respaldos se guardan cifrados?
  • ¿La información de la organización está cifrada en los discos duros?
  • ¿Qué pruebas de seguridad se han realizado? ¿Qué mecanismos de fortalecimiento de la seguridad se aplica en los servidores?

Establecer todos estos criterios, les ayudarán a tu organización y tu proveedor a aumentar la protección digital y reducir al mínimo los riesgos.

Conclusión

Es fundamental que vos y tu organización tomen «cartas en el asunto» de la protección digital. Debes pensar cuál es el modelo de amenazas de tu organización y ser consciente que están en juego no solamente la información y todo el corpus de conocimiento de tu organización, sino además la integridad física de tus compañeros y compañeras. 

Recuerda que el ciberespacio es un entorno con riesgos que se ven potenciados por la ausencia de fronteras y la vigilancia estatal se hace cada vez más masiva, con la profundización del capitalismo cognitivo. 

Ante el aumento de las contradicciones, es probable que las tensiones aumenten y los más débiles y menor preparados sean los más perjudicados. Es por ello que hay que planificar, entrenar y fortalecerse en protección digital. Esperamos que este artículo te sea de utilidad para lograrlo.

Para seguir investigando

A continuación te dejamos recomendaciones para seguir investigando en este tema. 
Libros recomendados:

Documentales recomendados:

Notas:

  1. Windows y Mac cobran sus regalías cuando adquieres tu computadora. A veces lo hacen utilizando una licencia posterior, para obtener funcionalidad básica, como en el caso de Office
  2. El caso paradigmático es Amazon, cuando borró el libro «1984» de miles de dispositivos de sus usuarios. Este tipo de prácticas las hacen constantemente
  3. Te recomendamos el documental del año 2013, Términos y Condiciones. Ver al final de este artículo
  4. Significa, contratar un espacio para tu servidor propio, para alojar tu web, tu correo electrónico, tu nube, etc..
  5. Revisar algunas sugerencias al final de este apartado