Temas

Mantenerse seguro en internet

Navegar de Manera Segura

Uso de HTTPS

El paso más importante para limitar la capacidad de un adversario de vigilar su parlamento en línea es minimizar la cantidad de información disponible sobre la actividad suya y de sus colegas en internet. Asegúrese siempre de conectarse a los sitios web de manera segura: compruebe que la URL (ubicación) comienza con "https" y muestra un pequeño ícono de candado en la barra de direcciones de su navegador.

Cuando navega por internet sin cifrado, quedan expuestos la información que se teclea en un sitio (como contraseñas, números de cuenta o mensajes), los detalles del sitio y las páginas que visita. Esto significa que tienen acceso a bastante información potencialmente delicada: (1) cualquier pirata informático en su red, (2) su administrador de red, (3) su ISP y cualquier entidad con la que puedan compartir datos (como autoridades gubernamentales), (4) el ISP del sitio que visita y cualquier entidad con la ellos que puedan compartir datos, y por supuesto (5) el sitio que visita.

Veamos un ejemplo real de cómo es la navegación sin cifrado:

Diagrama de navegación sin cifrado con el uso de solo http
Adaptado de How the Internet Works (Cómo funciona internet) del Totem Project (CC-BY-NC-SA)

Al navegar sin cifrado, todos sus datos están expuestos. Como se presentó antes, un adversario puede ver dónde se encuentra, que visita news.com y mira la página específica sobre protestas en su país, y quizás lo más importante como MP o integrante del personal parlamentario, ve su contraseña, que usted comparte para iniciar sesión en el sitio. Tal información en las manos equivocadas no solo expone su cuenta, sino que también brinda a adversarios potenciales, en cualquier lugar del mundo en que se encuentren, una buena idea de lo que podría estar haciendo o pensando.

El uso de HTTPS (la "s" es por "seguro") significa que hay cifrado. Esto le ofrece mucha más protección. Veamos cómo es la navegación con HTTPS (es decir, con cifrado):

Diagrama de navegación con cifrado en tránsito con el uso de https
Adaptado de How the Internet Works (Cómo funciona internet) del Totem Project (CC-BY-NC-SA)

Al existir HTTPS, un adversario potencial ya no puede ver su contraseña u otra información sensible que usted podría compartir en un sitio web. Sin embargo, aún puede ver qué dominios visita (por ejemplo, news.com). Y aunque HTTPS también cifra la información sobre las páginas individuales de un sitio (por ejemplo, website.com/protests) que usted visita, los adversarios sofisticados pueden seguir viendo esta información al inspeccionar su tráfico de internet. Con el HTTPS implementado, un adversario podría saber que visita news.com, pero no podría ver su contraseña, y sería más difícil (pero no imposible) que viera que usted busca información sobre protestas (para usar ese ejemplo). Esa es una diferencia importante. Compruebe siempre que existe la extensión HTTPS antes de navegar por un sitio web o de introducir información sensible. También puede utilizar la extensión de navegador HTTPS Everywhere para asegurarse de utilizar HTTPS en todo momento, o si es usuario de Firefox, activar el modo solo HTTPS en el navegador.

Si su navegador le avisa de que un sitio web puede ser inseguro, no lo ignore. Algo está mal. Puede ser algo benigno –como que el sitio tenga un certificado de seguridad caducado– o que el sitio haya sido suplantado o falseado maliciosamente. En cualquier caso, es importante tener en cuenta la advertencia y no acceder al sitio.

Uso de un DNS Cifrado

Si desea hacer más difícil (pero no imposible) que un ISP conozca los detalles de los sitios web que visita, puede usar un DNS cifrado. 

Si se lo pregunta, DNS significa "sistema de nombres de dominio". Es en esencia un directorio telefónico de internet, en el que se traducen nombres de dominio fáciles de usar para los seres humanos (como ndi.org) a direcciones de protocolo de internet (IP) fáciles de usar en la web. Esto permite a las personas utilizar los navegadores para buscar y cargar con facilidad recursos de internet y visitar sitios web. Sin embargo, el DNS no está cifrado de manera predeterminada.

Para utilizar el DNS cifrado y al mismo tiempo añadir un poco de protección a su tráfico de internet, una opción fácil es descargar y activar la aplicación 1.1.1.1 de Cloudflare en su computadora y dispositivo móvil. Existen otras opciones de DNS cifrado, como el 8.8.8.8 de Google, pero requieren más pasos técnicos para su configuración. Si utiliza el navegador Firefox, el DNS cifrado está ahora activado de manera predeterminada. Los usuarios de navegadores Chrome o Edge pueden activar el DNS cifrado con la configuración de seguridad avanzada del navegador para lo que deben activar "usar DNS seguro" y seleccionar "Con: Cloudflare (1.1.1.1)" o el proveedor de su preferencia.

1.1.1.1 de Cloudflare con WARP cifra su DNS y los datos de navegación, y proporciona un servicio similar a una VPN tradicional. Aunque WARP no protege por completo su ubicación de todos los sitios web que visita, es una característica fácil de usar que puede ayudar al personal de su parlamento a aprovechar el DNS cifrado y la protección adicional de su ISP en situaciones en las que una VPN completa no es funcional o es necesaria dado el contexto de la amenaza. En la configuración avanzada del DNS de 1.1.1.1 con WARP, el personal también puede activar el 1.1.1.1 para Familias a fin de proporcionar una protección adicional contra el malware mientras se accede a internet.

El HTTPS es esencial y el sistema de nombres de dominio cifrado brinda cierta protección adicional contra el fisgoneo y el bloqueo de sitios, pero si a su parlamento le preocupa la vigilancia altamente selectiva con respecto a sus actividades en internet y enfrenta una sofisticada censura en línea (como el bloqueo de sitios web y aplicaciones), podría utilizar una red privada virtual (VPN, por sus siglas en inglés) de confianza.

¿Qué es una VPN?

Una VPN es en esencia un túnel que protege contra la vigilancia y el bloqueo de tráfico de internet por parte de los hackers de su red, su administrador de red, su proveedor de servicios de internet y cualquier persona con la que pudieran compartir datos. En una organización grande, como un parlamento, las VPN "empresariales" o "corporativas" se usan también muchas veces para ayudar a proteger la integridad del acceso a sistemas y aplicaciones internos (como los que se usan para votación remota). Ya sea que use una VPN personal o una diseñada con fines comerciales, el concepto de proteger su tráfico de internet contra el espionaje en general funciona igual, y sigue siendo esencial continuar usando un HTTPS (incluso con la VPN instalada). También es fundamental asegurarse de que confía en la VPN que utiliza su parlamento. Este es un ejemplo de cómo se ve la navegación con una VPN:

foto de mapeo
Adaptado de How the Internet Works (Cómo funciona internet) del Totem Project (CC-BY-NC-SA)

Para describir las redes privadas virtuales (VPN) en mayor profundidad, en esta sección se hace referencia a la Guía de Autodefensa de Vigilancia de la EFF:

Las VPN tradicionales están diseñadas para disfrazar su dirección IP de red real y crear un túnel cifrado para el tráfico de internet entre su computadora (o teléfono o cualquier dispositivo "inteligente" en red) y el servidor de la VPN. Dado que el tráfico en el túnel se cifra y se envía a su VPN, es mucho más difícil para terceros (como los ISP o los hackers en la wifi pública) controlar, modificar o bloquear su tráfico. Después de pasar por el túnel desde su ubicación hasta la VPN, el tráfico sale de la VPN hacia su destino final, enmascarando su dirección IP original. Esto ayuda a disfrazar su ubicación física para cualquiera que mire el tráfico después de que abandone la VPN. Esto le ofrece más privacidad y seguridad, pero el uso de una VPN no lo hace a usted completamente anónimo en línea: su tráfico sigue siendo visible para el operador de la VPN. Su ISP también sabrá que está utilizando una VPN, lo que podría aumentar su perfil de riesgo.

Esto significa que es esencial elegir un proveedor confiable de VPN. En algunos lugares como Irán, los gobiernos hostiles han creado sus propias VPN para poder rastrear lo que hacen los ciudadanos. Para encontrar la VPN adecuada para su parlamento y el personal, puede evaluarlas en función de su modelo de negocio y reputación, qué datos recogen o no y, por supuesto, la seguridad de la propia herramienta.

¿Por qué no debería utilizar una VPN gratuita? La respuesta corta es que la mayoría de las VPN gratuitas, incluidas las que vienen preinstaladas en algunos teléfonos inteligentes, vienen con una gran trampa. Al igual que todas las empresas y proveedores de servicios, las VPN tienen que sostenerse de alguna manera. Si la VPN no vende su servicio, ¿cómo mantiene su negocio a flote? ¿Solicita donaciones? ¿Cobra por los servicios premium? ¿Está respaldada por organizaciones benéficas o financiadores? Desafortunadamente, muchas VPN gratuitas ganan dinero recopilando y vendiendo sus datos.

Un proveedor de VPN que no recopila datos en primer lugar es la mejor opción. Si los datos no se recogen, no pueden venderse ni entregarse a un gobierno extranjero si lo solicita. Al examinar la política de privacidad de un proveedor de VPN, compruebe si la VPN realmente recopila datos del usuario. Si no indica explícitamente que los datos de conexión del usuario no se registran, lo más probable es que sí los registre. Aunque una empresa afirme que no registra los datos de conexión, esto no siempre es una garantía de buen comportamiento.

Merece la pena hacer una búsqueda sobre la empresa que está detrás de la VPN. ¿Está avalada por profesionales independientes de la seguridad? ¿Se han escrito artículos sobre la VPN? ¿Se la ha encontrado alguna vez engañando o mintiendo a sus clientes? Si la VPN fue creada por personas conocidas en la comunidad de la seguridad de la información, es más probable que sea de confianza. Conviene ser escéptico con una VPN que ofrece un servicio en el que nadie quiere apostar su reputación, o que está a cargo de una empresa que nadie conoce.

Falsas VPN en el Mundo Real

Imagen de una VPN falsa

A finales de 2017, tras el aumento de las protestas en el país, los iraníes comenzaron a descubrir una versión “gratuita” (pero falsa) de una popular VPN que se compartía a través de mensajes de texto. La VPN gratuita (que en realidad no funcionaba) prometía dar acceso a Telegram, que en ese momento estaba bloqueado a nivel local. Por desgracia, la aplicación falsa no era más que un malware que permitía a las autoridades rastrear los movimientos y monitorear las comunicaciones de quienes la descargaban.

Entonces, ¿qué VPN debemos utilizar?

Si, además de garantizar la seguridad del tráfico de internet parlamentario, también necesita una solución para limitar en forma segura el acceso a sistemas y aplicaciones parlamentarios internos solo a quienes se encuentran en su red parlamentaria (incluso mientras trabajan en forma remota), es posible que desee implementar una VPN "comercial" o "corporativa". Existe una variedad de opciones en las que se utilizan diversas tecnologías que puede considerar, incluidas AnyConnect de Cisco, Global Protect de PaloAlto o Access de Cloudflare (técnicamente, un sistema de acceso Zero Trust, no una VPN), solo por nombrar algunas. De cualquier manera, dichos sistemas requieren personal de TI calificado para implementarlos y administrarlos con eficacia.

Si un sistema VPN "corporativo" avanzado está fuera del presupuesto o es innecesariamente complicado para su parlamento, también puede considerar usar opciones de VPN personal como ProtonVPN o TunnelBear (que también ofrece un plan de Teams para simplificar la administración de cuentas) para todos los miembros del parlamento y personal. Otra opción confiable es usar Outline de Jigsaw, en el que no hay una empresa que administre su cuenta, sino que usted tiene que configurar su propio servidor.

Aunque la mayoría de las VPN modernas han mejorado en lo que respecta al rendimiento y la velocidad, conviene tener en cuenta que el uso de una VPN podría reducir la velocidad de navegación si se encuentra en una red con un ancho de banda muy bajo, sufre una alta latencia o retrasos en la red, o experimenta cortes intermitentes de internet. Si está en una red más rápida, debería usar una VPN predeterminada todo el tiempo.

Si recomienda que el personal utilice una VPN, también es importante asegurarse de que la gente mantenga la VPN encendida. Puede parecer obvio, pero una VPN que está instalada pero no funciona no proporciona ninguna protección.

Anonimato a través de Tor

Además de las VPN, es posible que haya oído hablar de Tor como otra herramienta para utilizar internet de forma más segura. Es importante entender qué son ambos y por qué podría usar uno u otro.

Tor es un protocolo para transmitir datos en forma anónima por internet mediante el enrutamiento de mensajes o datos por una red descentralizada. Puede obtener más información sobre cómo funciona Tor aquí, pero en resumen, enruta su tráfico a través de múltiples puntos a lo largo del camino hacia el destino para que ningún punto tenga suficiente información para exponer a la vez quién es usted y qué está haciendo en línea.

Tor es diferente a una VPN en algunos aspectos. La diferencia fundamental es que no depende de la confianza de un punto específico (como un proveedor de VPN). 

Este gráfico, desarrollado por la EFF, muestra la diferencia entre una VPN tradicional y Tor.

Foto de métodos de comunicación

Foto de métodos de comunicación

La forma más fácil de usar Tor es a través del navegador web Tor. Funciona como cualquier navegador normal, excepto que dirige su tráfico a través de la red Tor. Puede descargar el navegador Tor en Windows, Mac, Linux o dispositivos Android. Tenga en cuenta que al usar el Navegador Tor, solo está protegiendo la información a la que accede mientras está en el navegador. No proporciona ninguna protección a otras aplicaciones o archivos descargados que pueda abrir por separado en su dispositivo.  También tenga en cuenta que Tor no cifra su tráfico, por lo que, al igual que cuando se utiliza una VPN, aún es esencial utilizar buenas prácticas como HTTPS cuando navega.

Si quiere extender las protecciones de anonimato de Tor a toda su computadora, los usuarios más expertos en tecnología pueden instalar Tor como una conexión a internet en todo el sistema, o considerar el uso del sistema operativo Tails, que enruta todo el tráfico a través de Tor de manera predeterminada. Los usuarios de Android también pueden utilizar la aplicación Orbot para ejecutar Tor con todo el tráfico de internet y las aplicaciones de su dispositivo. Independientemente de cómo utilice Tor, es importante saber que cuando lo usa, su proveedor de servicios de internet no puede ver qué sitios web está visitando, pero *puede* ver que está utilizando Tor. Al igual que cuando se utiliza una VPN, esto podría elevar su perfil de riesgo de manera considerable, porque Tor no es una herramienta muy común y por lo tanto sobresale para los adversarios que pueden estar monitoreando su tráfico de internet.

Por lo tanto, si bien es probable que haya muy pocos casos en los que sea necesario usar Tor dentro de un contexto parlamentario, si no puede permitirse una VPN confiable o encuentra que su parlamento opera en un entorno en el que las VPN se bloquean en forma rutinaria, Tor puede ser una buena opción, si es legal, para limitar el impacto de la vigilancia y evitar la censura en línea.

¿Hay alguna razón por la que no debamos usar una VPN o Tor?

Aparte de las preocupaciones en torno a los servicios VPN de escasa reputación, lo más importante a tener en cuenta es si el uso de una VPN o Tor podría atraer atención no deseada o, en el orden local, ir contra la ley. Aunque su ISP no sabrá qué sitios está visitando mientras usa estos servicios, puede ver que está conectado a Tor o a una VPN. Si eso es ilegal donde operan su parlamento o su personal o podría causar más atención o riesgo que solo navegar por la web con un HTTPS estándar y DNS cifrado, tal vez una VPN o en especial Tor (que se usa con mucha menos frecuencia y, por lo tanto, es una "bandera roja" más grande) no son la elección correcta.

¿Qué navegador deberíamos utilizar?

Utilice un navegador de confianza, como Chrome, Firefox, Brave, Safari, Edge o el navegador de Tor. Tanto Chrome como Firefox son muy utilizados y hacen un buen trabajo con la seguridad. Algunas personas prefieren Firefox por su enfoque de privacidad. En cualquier caso, es importante que los reinicie y que reinicie la computadora con relativa frecuencia para mantener su navegador actualizado. Si le interesa comparar características de los navegadores, consulte este recurso de la Fundación para la Libertad de Prensa.

Independientemente del navegador, también es una buena idea utilizar una extensión o complemento, como Privacy Badger, uBlock Origin o Privacy Essentials de DuckDuckGo, que impide que los anunciantes y otros rastreadores de terceros sepan adónde va y qué sitios visita. Y cuando navegue por internet, considere cambiar sus búsquedas web predeterminadas de Google a DuckDuckGo, Startpage u otro motor de búsqueda que proteja la privacidad. Este cambio ayudará a limitar también a los anunciantes y rastreadores de terceros.

Seguridad de los Navegadores en el Mundo Real

Navegador de Adobe

Estos ataques a extensiones o complementos del navegador pueden ser tan dañinos como el malware compartido directamente en descargas de phishing u otro software. Por ejemplo, un complemento malicioso diseñado con inteligencia titulado "componentes de actualización de Flash" se dirigió a organizaciones políticas tibetanas a principios de 2021. Se presentó a los usuarios que visitaron sitios web vinculados a correos electrónicos de phishing y, cuando se instalaba, permitía a los piratas informáticos robar correos electrónicos y datos de navegación.

Los complementos del navegador también pueden ser un vector para infectar recursos parlamentarios, como sitios web, que a su vez pueden propagar malware a una amplia gama de visitantes del sitio (incluido el público en general, el personal parlamentario y los propios miembros). Tomemos, por ejemplo, la explotación por parte de piratas informáticos del popular complemento del navegador Browsealoud (ahora conocido como ReachDeck), un programa que convierte el texto del sitio web en audio para usuarios con discapacidades visuales. En 2018, los piratas informáticos insertaron un código malicioso en el complemento del navegador, que se había utilizado en sitios web de varias entidades gubernamentales, incluido el parlamento del estado de Victoria en Australia. Con el complemento del navegador infectado instalado y configurado en forma incorrecta, se infectaron los dispositivos de los visitantes del sitio web con malware al visitar el sitio. En este caso, el malware se usó para aprovechar los dispositivos para extraer criptomonedas, pero los piratas informáticos también podrían usar esas tácticas para propagar malware con fines de robo de datos o espionaje.