Temas

Construcción de una Cultura de Seguridad
Cimientos Sólidos:
Protección de Cuentas y Dispositivos
Comunicar y Almacenar Datos de Manera Segura
Mantenerse Seguro en Internet
Proteger la Seguridad Física
Qué Hacer Cuando las Cosas Van Mal

Comunicar y almacenar los datos de manera segura

Comunicaciones e Intercambio de Datos

Para tomar las mejores decisiones en su parlamento sobre cómo comunicarse, es esencial entender los diferentes tipos de protección que pueden tener nuestras comunicaciones, y por qué es importante dicha protección. Uno de los elementos más importantes de la seguridad de las comunicaciones se relaciona con mantener comunicaciones privadas de esa forma, de lo que en la era moderna se ocupa en gran medida el cifrado. Sin el cifrado adecuado, cualquier cantidad de adversarios podría ver las comunicaciones internas del parlamento. Las comunicaciones inseguras pueden exponer información y mensajes confidenciales o incómodos, revelar contraseñas u otros datos privados y poner en posible riesgo a sus miembros o personal, según la naturaleza de sus comunicaciones y el contenido que comparta.

Como parlamento, también es importante asegurarse de que las comunicaciones gubernamentales oficiales de los miembros y el personal cumplan con todas las obligaciones abiertas pertinentes de Gobierno (como solicitudes de libertad de información) y los compromisos de seguridad de datos. Por lo tanto, al diseñar e implementar sistemas y políticas de comunicaciones seguras en todo el parlamento, asegúrese de tener en cuenta estos factores para que puedan protegerse como corresponde los mensajes pertinentes y, cuando sea necesario por ley, conservarlos.

Comunicaciones Seguras y Parlamentos

Imagen de manifestantes políticos en Bielorrusia

Ha habido muchos incidentes en los últimos años en los que se han visto comprometidos los sistemas de comunicaciones de los parlamentos y las cuentas de los MP y su personal, lo que ha provocado alteraciones en las operaciones parlamentarias y, en algunos casos, el robo de comunicaciones confidenciales. En julio de 2021, por ejemplo, las autoridades polacas anunciaron que se piratearon las cuentas de correo electrónico de casi una docena de MP locales, incluida una cuenta personal del principal asistente del primer ministro y cuentas de miembros de casi todos los grupos de oposición parlamentaria. Este informe llegó apenas unos meses después de que saliera a la luz una noticia similar sobre un ciberataque contra los sistemas de información y comunicación del parlamento finlandés. Las autoridades de Finlandia describieron ese ataque como "espionaje agravado e interceptación de mensajes" dirigido a su parlamento.

¿Qué es el cifrado y por qué es importante?

El cifrado es un proceso matemático que se utiliza para codificar un mensaje o un archivo de manera que solo una persona o entidad con la clave pueda “descifrarlo” y leerlo. Sin ningún tipo de cifrado, nuestros mensajes quedan abiertos para que los lean adversarios potenciales, incluidos gobiernos extranjeros hostiles o piratas informáticos en la web. Ese cifrado es importante no solo para las comunicaciones parlamentarias internas sino también para las externas en las que es necesario proteger la privacidad y la integridad. En la Guía de autodefensa de vigilancia de la Fundación Frontera Electrónica se ofrece una explicación práctica (con gráficos) de lo que significa:

Mensajería No Cifrada

Imagen de un mensaje en tránsito en el que no se usa cifrado

Como se puede ver en la imagen anterior, desde un teléfono inteligente se envía un mensaje de texto verde y sin cifrar ("hola") a otro situado en el extremo derecho. En el camino, una torre de telefonía celular (o en el caso de algo enviado por internet, su proveedor de servicios de internet, conocido como ISP) pasa el mensaje a los servidores de la empresa. Desde allí, salta a través de la red hasta otra torre de telefonía móvil, que puede ver el mensaje de “hola” sin cifrar, y finalmente se dirige al destino. Es importante señalar que, sin ningún tipo de cifrado, todos los que participan en la retransmisión del mensaje, y cualquiera que tenga capacidad de echar un vistazo mientras va en camino, pueden leer su contenido. Esto puede no importar mucho si todo lo que se dice es "hola", pero podría ser un gran problema si se comunica algo más privado o sensible que no se desea que vean su empresa de telecomunicaciones, el ISP, un Gobierno hostil o cualquier otro adversario. Por eso es esencial evitar el uso de herramientas no cifradas para enviar cualquier mensaje delicado (e idealmente cualquier tipo de mensaje). Tenga en cuenta que algunos de los métodos de comunicación más populares (como SMS y llamadas telefónicas) prácticamente operan sin ningún tipo de cifrado (como en la imagen anterior).

Hay dos formas de cifrar datos en movimiento: cifrado de la capa de transporte y cifrado de extremo a extremo. Es importante conocer el tipo de cifrado que admite un proveedor de servicios cuando su parlamento toma decisiones para adoptar prácticas y sistemas de comunicación más seguros. Estas diferencias se describen bien en la guía de Autoprotección Digital contra la Vigilancia, que se adapta de nuevo aquí:

El cifrado de la capa de transporte, también conocido como seguridad de la capa de transporte (TLS, por sus siglas en inglés), protege los mensajes mientras viajan desde su dispositivo a los servidores de la aplicación o del servicio de mensajería y desde allí al dispositivo de su destinatario. Esto los protege de miradas indiscretas de los piratas informáticos que se encuentran en su red o de proveedores de servicios de internet o telecomunicaciones. Sin embargo, en el medio, su proveedor de servicios de mensajería/correo electrónico, el sitio web por el que navega o la aplicación que utiliza pueden ver copias no cifradas de sus mensajes. Como sus mensajes pueden verlos los servidores de la empresa, y muchas veces se almacenan en ellos, pueden ser vulnerables a solicitudes de la policía o a robo si los servidores de la empresa se ven comprometidos.

Cifrado en la Capa de Transporte 

Imagen de un mensaje en tránsito en el que se usa cifrado de capa de transporte

En la imagen anterior se ve un ejemplo de cifrado de la capa de transporte. A la izquierda, un teléfono inteligente envía un mensaje verde sin cifrar: “Hola”. Ese mensaje se cifra y luego se transmite a una torre de telefonía celular. En el medio, los servidores de la empresa son capaces de descifrar el mensaje, leer el contenido, decidir dónde enviarlo, volver a cifrarlo y enviarlo a la siguiente torre de telefonía móvil hacia su destino. Al final, el otro teléfono inteligente recibe el mensaje cifrado y lo descifra para leer "Hola".

El cifrado de extremo a extremo protege los mensajes en tránsito desde el emisor hasta el receptor. Garantiza que la información sea convertida en un mensaje secreto por su emisor original (el primer “extremo”) y descifrada solo por su destinatario final (el segundo “extremo”). Nadie puede "escuchar" ni espiar su actividad, ni siquiera la aplicación o el servicio que utiliza.

Cifrado de Extremo a Extremo

Imagen de un mensaje en tránsito en el que se usa cifrado de extremo a extremo

La imagen de arriba muestra un ejemplo de cifrado de extremo a extremo. A la izquierda, un teléfono inteligente envía un mensaje verde sin cifrar: “Hola”. Ese mensaje se cifra y se transmite a una torre de telefonía móvil y, a continuación, a los servidores de la aplicación/servicio, que no pueden leer el contenido, sino que transmitirán el mensaje secreto a su destino. Al final, el otro teléfono inteligente recibe el mensaje cifrado y lo descifra para leer “Hola”. A diferencia del cifrado de capa de transporte, su ISP o el host de mensajería no pueden descifrar el mensaje. Solo los puntos finales (los dispositivos originales que envían y reciben mensajes cifrados) tienen las claves para descifrar y leer el mensaje.

¿Qué tipo de cifrado necesitamos?

Al decidir si su parlamento necesita cifrado de capa de transporte o de extremo a extremo para sus comunicaciones (o alguna combinación de ambos para diferentes sistemas y actividades), las grandes preguntas que debería hacerse tienen que ver con la confianza. Por ejemplo, ¿confía en la aplicación o el servicio que está utilizando? ¿Confía en su infraestructura técnica? ¿Le preocupa la posibilidad de que un gobierno extranjero hostil pudiera obligar a la empresa a entregarles los mensajes suyos y, si así fuera, confía en las políticas de la empresa para protegerse contra pedidos de policías extranjeras?

Si responde “no” a alguna de estas preguntas, entonces necesita un cifrado de extremo a extremo. Si responde “sí”, entonces puede ser suficiente un servicio que solo admita el cifrado de la capa de transporte, pero en general es mejor optar por servicios que admitan el cifrado de extremo a extremo cuando sea posible.

Otro conjunto de preguntas a considerar es si, como parlamento, usted está obligado por ley a mantener acceso exclusivo a las comunicaciones parlamentarias, si existen requisitos de localización de datos en su país y si deben conservarse ciertas comunicaciones (por ejemplo, que el personal no las borre en forma permanente) para cumplir con leyes y compromisos abiertos del Gobierno. Si es así, podría considerar un sistema de comunicaciones de nivel empresarial con cifrado de extremo a extremo en el que usted, como parlamento, pueda controlar las claves de cifrado por sí mismo. Dichos sistemas (que se analizarán con más detalle en la sección Almacenamiento seguro de datos del Manual) pueden ser poderosos, pero requieren habilidades técnicas avanzadas para su implementación.

Cuando los envíe a grupos, tenga en cuenta que la seguridad de sus mensajes es solo tan buena como la de todos los que los reciben. Por eso, además de elegir con cuidado aplicaciones y sistemas seguros, es importante que todos los miembros del grupo sigan otras buenas prácticas de seguridad en cuentas y dispositivos. Basta con una persona mal intencionada o un dispositivo infectado para que se filtre el contenido de todo un chat o una llamada de grupo.

¿Qué deberíamos hacer con el correo electrónico?

En general, el correo electrónico no es la mejor opción cuando se trata de seguridad. Incluso las mejores opciones de correo electrónico cifrado de extremo a extremo suelen dejar algo que desear desde una perspectiva de seguridad; por ejemplo, no cifran la línea de asunto y no protegen los metadatos (un concepto importante que se describirá más adelante). Si necesita comunicar información muy sensible que no es necesario retener para el registro público, tenga en cuenta que es mejor evitar el correo electrónico (ya sea el sistema del parlamento o, más en especial, la cuenta personal de alguien) y es preferible usar opciones de mensajería segura (que se resaltarán en la siguiente sección).

Sin embargo, como parlamento, es posible que aún desee o necesite que los miembros y el personal comuniquen contenido confidencial o privado mediante un sistema que se administre en forma centralizada como parte de sus operaciones diarias. Un sistema de correo electrónico para todo el parlamento, con controles de cuenta apropiados, por supuesto, puede ser útil aquí. Si, según su análisis anterior, el cifrado de la capa de transporte es suficiente, entonces las ofertas comerciales estándar de los proveedores de correo electrónico como Google Workspace (Gmail) y Microsoft 365 (Outlook) podrían ser opciones sólidas para su parlamento. Sin embargo, si le preocupa que su proveedor de correo electrónico pudiera tener la obligación legal de proporcionar información sobre sus comunicaciones a un gobierno extranjero u otro adversario, o si los requisitos de residencia de datos locales pueden ser una preocupación, querrá considerar el uso de una opción de correo electrónico cifrado punto a punto. Algunas de esas opciones incluyen agregar su propia administración de claves de cifrado a Google Workspace o Microsoft 365 (como se describe en la sección "Almacenamiento seguro de datos" de este manual), o adoptar servicios de correo electrónico cifrados de extremo a extremo diseñados para grandes organizaciones como ProtonMail. Negocios o Tutanota Negocios.

¿Qué herramientas de mensajería cifrada de extremo a extremo deberíamos utilizar (a partir de 2022)?

Si necesita utilizar el cifrado de extremo a extremo, o solo quiere adoptar la mejor práctica sin importar el contexto de amenazas de su parlamento, estos son algunos ejemplos de servicios de confianza que, a partir de 2022, ofrecen mensajería y llamadas cifrados de extremo a extremo. Esta sección del Manual se actualizará en forma periódica en línea, pero tenga en cuenta que todo cambia con rapidez en el mundo de la mensajería segura, por lo que es posible que estas recomendaciones no estén al día en el momento en que usted lee esta sección. Tenga en cuenta también que sus comunicaciones son tan seguras como su mismo dispositivo. Por eso, además de adoptar prácticas de mensajería segura, es esencial aplicar las mejores prácticas descritas en la sección Seguridad de dispositivos de este Manual.

Mensajes de texto (individuales o grupales)
  • Signal
  • WhatsApp (solo con configuraciones específicas detalladas a continuación)
Llamadas de audio y video:
  • Signal (hasta 40 personas)
  • WhatsApp (hasta 32 personas en audio, ocho en video)
Archivos compartidos:
  • Signal
  • Keybase/Keybase Teams
  • Tresorit

¿Qué son los metadatos y qué debería preocuparnos sobre ellos?

Con quién hablan usted y su personal, los miembros y equipos, y cuándo y dónde lo hacen muchas veces puede ser tan delicado como el tema del que hablan. Es importante recordar que el cifrado de extremo a extremo solo protege el contenido (el tema) de sus comunicaciones. Aquí es donde entran en juego los metadatos. La Guía de Autodefensa de Vigilancia de la EFF ofrece una visión general de los metadatos y de por qué son importantes (incluida una ilustración de cómo se ven los metadatos):

Descripción de metadatos

Los metadatos suelen describirse como todo lo que no es el contenido de sus comunicaciones. Puede pensar en los metadatos como el equivalente digital de un sobre. Al igual que un sobre contiene información sobre el remitente, el destinatario y el destino de un mensaje, también lo hacen los metadatos. Los metadatos son información sobre las comunicaciones digitales que se envían y reciben. Algunos ejemplos de metadatos son:

  • con quién se comunica
  • la línea de asunto de sus correos electrónicos
  • la extensión de sus conversaciones
  • la hora en la que tuvo lugar una conversación
  • su ubicación cuando se comunica

Si bien es esencial la transparencia de las operaciones parlamentarias correspondientes, también es importante limitar el acceso no autorizado a los metadatos (además de proteger el contenido de las comunicaciones). Después de todo, los metadatos pueden revelar información confidencial a piratas informáticos, gobiernos extranjeros, empresas u otras personas que usted quizás no desearía que tuvieran acceso. Estos son un par de ejemplos de cómo se pueden revelar los metadatos:

  • Saben que un MP o un integrante del personal llamó a un periodista y habló con él durante una hora antes de que ese periodista publicara una noticia con una cita anónima. Sin embargo, no saben de lo que hablaron.
  • Saben que recibió un correo electrónico de un servicio de análisis de COVID, luego llamó a su médico y después visitó el sitio web de la Organización Mundial de la Salud dentro de la misma hora. Pero no saben lo que había en el mensaje de correo ni lo que se habló por teléfono.

Los metadatos no están protegidos por el cifrado que ofrecen la mayoría de los servicios de mensajes. Así que, por ejemplo, si envía un mensaje en WhatsApp, tenga en cuenta que aunque el contenido de su mensaje esté cifrado de extremo a extremo, todavía es posible que otros sepan con quién se comunica, con qué frecuencia y, con las llamadas telefónicas, durante cuánto tiempo. Como resultado, debería tener en cuenta qué riesgos existen (si los hay) si ciertos adversarios pueden averiguar con quién habla, cuándo habló con ellos y (en el caso del correo electrónico) las líneas generales de asunto de su comunicaciones parlamentarias.

Una de las razones por las que Signal es tan recomendable es que, además de proporcionar cifrado de extremo a extremo, ha introducido funciones y ha asumido compromisos para reducir la cantidad de metadatos que registra y almacena. Por ejemplo, la función “Sealed Sender” (Remitente sellado) de Signal cifra los metadatos sobre quién habla con quién, de modo que Signal solo conoce el destinatario de un mensaje, pero no el remitente. De manera predeterminada, esta función solo se activa cuando se comunica con contactos o perfiles existentes (personas), con los que ya se ha comunicado o que tiene almacenados en su lista de contactos. Sin embargo, puede habilitar esta configuración de "Sealed Sender" (Remitente sellado) en "Allow from anyone" (Permitir de cualquier persona) si es importante para usted eliminar esos metadatos en todas las conversaciones de Signal, incluso en aquellas con personas desconocidas para usted. Esto puede no ser crítico para la mayoría de las comunicaciones parlamentarias, pero es importante estar al tanto de los riesgos que plantean los metadatos y seleccionar en consecuencia las herramientas y políticas de comunicación apropiadas.

¿Podemos confiar en verdad en WhatsApp?

WhatsApp es una opción popular para la mensajería segura, y puede ser buena, dada su amplia difusión. A algunos les preocupa que sea propiedad de y esté controlada por Facebook, que ha estado trabajando para integrarla con sus otros sistemas. A la gente también le preocupa la cantidad de metadatos que recoge WhatsApp (es decir, información sobre con quién se comunica y cuándo). Si decide utilizar WhatsApp como opción de mensajería segura, asegúrese de leer la sección anterior sobre los metadatos. También hay algunos ajustes que debe verificar para que estén configurados correctamente. Lo que en verdad es esencial es que se asegure de desactivar las copias de respaldo en la nube o, al menos, que habilite la nueva función de copias de respaldo cifradas de extremo a extremo de WhatsApp con el uso de una clave de 64 dígitos o una contraseña larga, aleatoria y única guardada en lugar seguro (como su administrador de contraseñas). También asegúrese de mostrar notificaciones de seguridad y verificar los códigos de seguridad. Puede buscar guías simples para configurar estos ajustes en teléfonos Android aquí y para iPhone, aquí. Si su personal *y las personas con las que todos ustedes se comunican* no configuran estas opciones en forma adecuada, entonces no debería considerar a WhatsApp como una buena opción para comunicaciones delicadas que requieren cifrado de extremo a extremo. Signal sigue siendo la mejor opción para este tipo de necesidades de mensajería cifrada de extremo a extremo, dada su configuración segura predeterminada y la protección de los metadatos.

¿Qué sucede con los mensajes de texto?

Los mensajes de texto básicos son muy inseguros (los SMS estándar no están cifrados con eficacia) y deberían evitarse para cualquier cosa que no deba darse a conocimiento público. Aunque los mensajes de iPhone a iPhone de Apple (conocidos como iMessages) están cifrados de extremo a extremo, si alguien que no tiene iPhone participa en la conversación, los mensajes no están protegidos. Es mejor estar seguros y evitar los mensajes de texto para todo lo que sea remotamente sensible, privado o confidencial.

¿Por qué no se recomiendan Telegram, Facebook Messenger o Viber para chats seguros?

Algunos servicios, como Facebook Messenger y Telegram, solo ofrecen cifrado de extremo a extremo si se lo activa en forma deliberada (y solo en chats entre dos personas), por lo que no son buenas opciones para mensajes sensibles o privados, en especial de equipos. No confíe en estas herramientas si necesita utilizar el cifrado de extremo a extremo, porque es bastante fácil olvidarse de cambiar la configuración predeterminada menos segura. Viber afirma que ofrece cifrado de extremo a extremo, pero no ha puesto su código a disposición de investigadores de seguridad externos para que lo revisen. El código de Telegram tampoco se ha puesto a disposición de una auditoría pública. Por ello, muchos expertos temen que el cifrado de Viber (o los “chats secretos” de Telegram) sea deficiente y, por lo tanto, no sea adecuado para las comunicaciones que requieren un verdadero cifrado de extremo a extremo.

Nuestros colegas parlamentarios y electores utilizan otras aplicaciones y sistemas de mensajería para comunicarse. ¿Cómo podemos convencerlos de que descarguen una nueva aplicación para comunicarse con nosotros?

A veces hay que sacrificar la comodidad por la seguridad, pero un pequeño esfuerzo extra merece la pena con comunicaciones sensibles. Sea un buen ejemplo para sus contactos, ya sea en otros organismos e instituciones gubernamentales, en el parlamento o electores externos. Si tiene que utilizar otros sistemas menos seguros, sea muy consciente de lo que dice. Evite hablar de temas delicados. Algunos parlamentos pueden tener diferentes protocolos para conversaciones generales u orientadas al público en comparación con diálogos confidenciales con los directivos, por ejemplo. Clasifique sus comunicaciones parlamentarias (internas y externas) en función de la sensibilidad y asegúrese de que los miembros y el personal usen los mecanismos de comunicación apropiados de manera acorde. Por supuesto, lo más simple es que se haga un cifrado automático de todo en todo momento: no hay que recordar nada ni pensar en nada.

Por suerte, las aplicaciones cifradas de extremo a extremo, como Signal, son cada vez más populares y fáciles de usar, por no mencionar que se han adaptado a docenas de idiomas para su uso mundial. Si sus socios u otros contactos necesitan ayuda para cambiar las comunicaciones a una opción cifrada de extremo a extremo, como Signal, tómese un tiempo para explicarles por qué es tan importante proteger adecuadamente sus comunicaciones. Cuando todos entiendan la importancia, los pocos minutos necesarios para descargar una nueva aplicación y el par de días que podría llevar acostumbrarse a usarla no parecerán un gran problema.

¿Hay otras configuraciones para aplicaciones cifradas de extremo a extremo que deberíamos conocer?

En la aplicación Signal, también es importante verificar los códigos de seguridad (denominados "números de seguridad"). Para ver un número de seguridad y verificarlo en Signal, puede abrir el chat con un contacto, tocar su nombre en la parte superior de la pantalla y desplazarse hacia abajo para tocar “View Safety Number” (Ver número de seguridad). Si su número de seguridad coincide con el de su contacto, puede marcarlo como “verificado” desde esa misma pantalla. Es especialmente importante prestar atención a estos números de seguridad y verificar sus contactos si recibe una notificación en un chat de que su número de seguridad con un determinado contacto ha cambiado. Si usted o el resto del personal necesita ayuda para configurar estos ajustes, Signal proporciona instrucciones útiles.

Si utiliza Signal, ampliamente considerada como la opción más fácil de usar para mensajería segura y llamadas personales, asegúrese de establecer un pin sólido. Utilice al menos seis dígitos, y no algo fácil de adivinar, como su fecha de nacimiento. 

Para obtener más consejos para configurar Signal y WhatsApp en forma correcta, puede revisar las guías de herramientas para ambos desarrolladas por la EFF en su Guía de autodefensa de vigilancia.

¿Qué ocurre con las videollamadas de grupos más grandes? ¿Hay opciones de cifrado de extremo a extremo?

Con el aumento del trabajo remoto, es importante tener una opción segura para las videollamadas de grupos grandes de su oficina o reuniones masivas virtuales de MP. Por desgracia, en la actualidad no existen grandes opciones que cumplan todos los requisitos: que sean fáciles de usar, que admitan una gran cantidad de asistentes y funciones de colaboración, y que permitan el cifrado predeterminado de extremo a extremo.

Las necesidades específicas de las sesiones plenarias y las reuniones de comités se analizarán más adelante en este Manual, pero para sus otras reuniones más generales que no requieren funciones de colaboración avanzadas como compartir pantalla o salas privadas, Signal es muy recomendable. En Signal, pueden realizarse videollamadas grupales de hasta 40 participantes desde un teléfono inteligente o la aplicación de escritorio de Signal en una computadora, lo que permite compartir pantalla. Sin embargo, tenga en cuenta que solo sus contactos que ya utilizan el programa pueden agregarse a un grupo de Signal.

Si busca otras opciones, una plataforma que acaba de agregar una opción de cifrado de extremo a extremo es Jitsi Meet. Es una solución para conferencias en audio y video en la web que puede funcionar para una gran concurrencia de público (hasta 100 personas) y no requiere la descarga de una aplicación o software especial. Tenga en cuenta que si utiliza esta función con grupos grandes (más de 15 a 20 personas), la calidad de la llamada puede deteriorarse. Para organizar una reunión, puede ingresar en meet.jit.si, escribir un código de reunión y compartir ese enlace (en un canal seguro como Signal) con los participantes que desee. Para utilizar cifrado de extremo a extremo, eche un vistazo a estas instrucciones que se resumen en Jitsi. Tenga en cuenta que todos los usuarios individuales tendrán que activar ellos mismos el cifrado de extremo a extremo para que funcione. Cuando utilice Jitsi, asegúrese también de crear nombres aleatorios para las salas de reuniones y de utilizar contraseñas fuertes para proteger sus llamadas.

Si esta opción no funciona para sus equipos, puede considerar el uso de una opción comercial popular como WebEx o Zoom, con cifrado de extremo a extremo activado. Hace tiempo que WebEx permite cifrado de extremo a extremo, pero no de manera predeterminada y requiere que los participantes descarguen WebEx para unirse a la reunión. Para obtener la opción de cifrado de extremo a extremo para su cuenta de WebEx, debe abrir un caso de soporte y seguir estas instrucciones para asegurarse de que se configure. Solo el anfitrión de la reunión tiene que activar el cifrado de extremo a extremo. Si los participantes lo hacen, toda la reunión estará cifrada de extremo a extremo. Si utiliza WebEx para reuniones grupales y talleres seguros, asegúrese de habilitar también códigos de acceso sólidos en sus llamadas.

Tras meses de prensa negativa, Zoom desarrolló una opción de cifrado de extremo a extremo para sus llamadas. Sin embargo, esa opción no está activada de manera predeterminada, requiere que el anfitrión de la llamada asocie su cuenta con un número de teléfono y solo funciona si todos los participantes se unen a través de la aplicación de escritorio o móvil de Zoom en lugar de marcar. Debido a que es fácil configurar mal por accidente estas características, no es ideal confiar en Zoom como opción cifrada de extremo a extremo. Sin embargo, si requiere un cifrado de extremo a extremo y Zoom es su única opción, puede seguir estas instrucciones para configurarlo. Solo asegúrese de revisar cualquier llamada antes de que se inicie para asegurarse de que en verdad está cifrada de extremo a extremo, para lo que deberá hacer clic en el candado verde del extremo superior izquierdo de la pantalla de Zoom y ver que aparece "de extremo a extremo" junto a la configuración de cifrado. También debería establecer un código de acceso sólido para cualquier reunión de Zoom.

Sin embargo, cabe señalar que ciertas características populares de las herramientas mencionadas solo funcionan con cifrado de la capa de transporte. Por ejemplo, al activar el cifrado de extremo a extremo en Zoom se desactivan las salas privadas, las capacidades de encuestas y la grabación en la nube. En Jitsi Meet, al activar salas privadas puede desactivarse la función de cifrado de extremo a extremo, lo que provoca una disminución involuntaria de la seguridad.

¿Y si en verdad no necesitamos cifrado de extremo a extremo en todas nuestras comunicaciones?

Si según su evaluación de riesgos no es necesaria esa función para todas las comunicaciones de su parlamento, puede considerar el uso de aplicaciones protegidas por cifrado de capa de transporte. Recuerde que este tipo de cifrado requiere que confíe en el proveedor del servicio, como Google para Gmail, Microsoft para Exchange o Facebook para Messenger, porque ellos (y cualquier persona con la que pudieran tener obligación de compartir información) pueden ver y oír sus comunicaciones. Una vez más, las mejores opciones dependerán de su modelo de amenaza (por ejemplo, si no confía en Google o si el gobierno de los Estados Unidos es su adversario, entonces Gmail no es una buena opción), pero algunas opciones populares y generalmente confiables incluyen:

 

Correo electrónico
  • Gmail (mediante Google Workspace)
  • Outlook (a través de Office 365)
    • No aloje su propio servidor de Microsoft Exchange para el correo electrónico de su parlamento. Si lo hace actualmente, debería migrar a Office 365.
Mensajes de texto (individuales o grupales)
  • Google Hangouts
  • Slack
  • Microsoft Teams
  • Mattermost
  • Line
  • KaKao Talk
  • Telegram
Conferencias grupales, llamadas de audio y video
  • Jitsi Meet
  • Google Meet
  • Microsoft Teams
  • WebEx
  • GotoMeeting
  • Zoom
Archivos compartidos:
  • Google Drive
  • Microsoft Sharepoint
  • Dropbox
  • Slack
  • Microsoft Teams

Nota sobre intercambio de archivos

Además de compartir mensajes en forma segura, es probable que hacer lo mismo con archivos sea una parte importante del plan de seguridad de su parlamento. La mayoría de las opciones para compartir archivos están integradas en las aplicaciones de mensajería o los servicios que ya utiliza. Por ejemplo, compartir archivos a través de Signal es una buena opción si se necesita un cifrado de extremo a extremo. Y si el cifrado de la capa de transporte es suficiente, el uso de Google Drive o Microsoft SharePoint podría ser una buena opción para su parlamento. Tiene que asegurarse de configurar en forma correcta las funciones de uso compartido de manera que solo las personas adecuadas tengan acceso a un determinado documento o carpeta, y cerciorarse de que estos servicios estén conectados a las cuentas de correo electrónico de la organización (no a las personales). Si puede, prohíba que se compartan archivos sensibles a través de archivos adjuntos de correo electrónico o físicamente con USB. El uso de dispositivos como USB dentro de su parlamento aumenta de manera considerable la probabilidad de malware o robo y confiar en el correo electrónico u otras formas de archivos adjuntos debilita las defensas de su parlamento contra los ataques de phishing.

Comunicar Datos en Forma Segura

  • Clasifique las comunicaciones en función de su sensibilidad.
    • Determine los sistemas y herramientas apropiados para la comunicación en consecuencia.
    • Establezca una política sobre cuánto tiempo conservará los mensajes por consiguiente, si se tienen en cuenta tanto la seguridad como los compromisos con la transparencia parlamentaria.
  • Requiera el uso de servicios confiables de mensajería cifrada de extremo a extremo para comunicaciones confidenciales de su parlamento.
    • Dedique tiempo a explicarle al personal y a los socios externos por qué son tan importantes las comunicaciones seguras; esto aumentará el éxito de su plan.
  • Asegúrese de que se han implementado configuraciones apropiadas de las aplicaciones de comunicaciones, incluido lo siguiente:
    • Asegúrese de que todo el personal esté atento a las notificaciones de seguridad y, si utiliza WhatsApp, no haga copias de seguridad de los chats.
    • Si utiliza una aplicación en la que el cifrado de extremo a extremo no se activa de manera predeterminada (por ejemplo, Zoom o Webex), asegúrese de que los usuarios requeridos han activado la configuración adecuada al inicio de cualquier llamada o reunión.
  • No intente alojar su propio servidor de correo electrónico: use servicios de correo electrónico basados en la nube como Office 365 o Google Workspace como alternativas.
    • No permita que el personal utilice cuentas de correo electrónico personales para trabajar.
  • Recuerde con frecuencia al personal y a los miembros las mejores prácticas de seguridad relacionadas con mensajes grupales y metadatos.
    • Esté atento a quién se incluye en los mensajes grupales, chats e hilos de correo electrónico.