Sign Up

Thank you for signing up with Mobile Media Toolkit. Registration is free and will give you greater access to useful resources on the site.

* Required Fields
Personal Info
Organization Info
Upload a Photo
Max file size of 500k. JPG, GIF, or PNG.
Selections
Word Verification: Are You Human?
Esta pregunta se hace para comprobar que es usted una persona real e impedir el envío automatizado de mensajes basura.
CAPTCHA de imagen
Enter the characters shown in the image.
CANCEL

Asuntos de Seguridad

Asuntos de Seguridad

Para que los periodistas, periodistas ciudadanos y activistas estén seguros en regiones inseguras, se requiere una cuidadosa planificación y consideraciones estratégicas. A continuación, damos tres recursos que deberían ayudar a periodistas, periodistas ciudadanos y medios que trabajan en ambientes represivos para hacer que las comunicaciones móviles sean seguras. No obstante, las herramientas para una comunicación móvil segura todavía no están muy desarrolladas, y quienes están en ambientes inseguros deberían tener en cuenta este material como un útil punto de partida más que como un recurso definitivo.

El manual de vigilancia móvil te ayudará a identificar y entender los riesgos comprendidos en la comunucación móvil en tu trabajo. El manual recorre vigilancia móvil básica, y te permitirá conocer qué clase de información se puede transmitir de tu teléfono o se puede guardar ahí. También responde a preguntas como las siguientes:

  • ¿Los SMS pueden ser interceptados?
  • ¿Las llamadas de celulares pueden ser escuchadas a escondidas?

El capítulo de Consejos y Herramientas trata sobre casos específicos de uso que incluyen los siguientes:

  • Evitar que te identifiquen a partir de tu teléfono
  • Evitar la interceptación
  • Encriptar tu teléfono celular
  • Usar HTTPS para navegación móvil segura
  • Aplicaciones de seguridad para teléfonos celulares

Fuera de las Herramientas, otro recurso muy bueno es SaferMobile, proyecto de MobileActive.org. El objetivo del proyecto de SaferMobile es ayudar a los activistas, defensores de derechos humanos y periodistas a evaluar los riesgos de las comunicaciones móviles que enfrentar, y luego a usar técnicas de atenuantes apropiadas para aumentar su capacidad de organizarse, informar y trabajar de manera más segura. Las Herramientas de Medios Móviles destacarán y vincularán con contenido pertinente de SaferMobile, pero para contenido sobre seguridad celular más integral y actualizado, por favor, ¡recurre a menudo a SaferMobile!

Dentro de SaferMobile, un buen punto de incio es el Manual de Seguridad de Riesgos Móviles, para activistas, periodistas y defensores de derechos. No todos los riesgos o consejos serán aplicables a tu trabajo y la manera en que usas tu teléfono celular. Pero cuanto más sepas, podrás tomar elecciones más acertadas con respecto a tus comunicaciones móviles.

 

Un Manual de Vigilancia Móvil
 

Bases de la vigilancia móvil

Los teléfonos celulares pueden ser herramientas útiles para reunir, planear, coordinar y registrar actividades para personal de ONG y activistas. Pero, ¿sabías que cuando tu teléfono está prendido, el operador de la red conoce tu ubicación? ¿O que todos los teléfonos y tarjetas SIM transmiten un código único de identificación que, a menos que seas muy cuidadoso acerca de cómo adquirir el teléfono y la SIM, puede rastrearte hasta llegar únicamente a ti?

Con las cámaras, GPS e Internet móvil, las posibilidades de vigilancia se ha vuelto más peligrosas, lo que permite que, una vez que un observador haya ganado el control del teléfono, lo convierta en un sofisticado dispositivo de grabación. No obstante, hasta un simple teléfono puede ser rastreado cada vez que está en red, y las llamadas y mensajes de texto están lejos de ser privados. Cuando se emprende vigilancia en complicidad con el operador de la red, tanto el contenido de la comunicación como la identidad de las partes intervinientes pueden ser descubiertas, a veces incluso retroactivamente. También es posible que subrepticiamente se instale software en los teléfonos en la red, ganando así acceso potencial a cualquier registro que esté guardado en el teléfono.

Esto es comprensiblemente preocupante para los activistas que realizan trabajo delicado.

Obviamente, la manera más segura de usar un teléfono es no usarlo. Aun así, aunque entiendan los riesgos implicados, la mayoría de las organizaciones considera que los teléfonos son demasiado útiles como para descartarlos completamente. Entonces, lo mejor es minimizar el daño: identificar y entender los riesgos y tomar los pasos apropiados para limitar la exposición. En este artículo, tratamos de identificar estos riesgos y de hacer sugerencias para hacer comunicaciones móviles seguras.

Información transmitida en la red a través de teléfonos

Por cada teléfono que hay actualmente en la red (uno que reciba señal, independientemente de si el teléfono ha sido usado para llamar o para enviar mensajes) el operador de la red tiene la siguiente información:

  • El número IMEI, número de identificación único para el hardware del teléfono.
  • El número IMSI, número de identificación único para la tarjeta SIM.
  • El número TMSI, número temporal que se reasigna frecuentemente según la ubicación o cambios en la cobertura, pero que se puede rastrear con sistemas para escuchar a escondidas y que están disponibles comercialmente.
  • La celda de la red donde el teléfono se encuentra actualmente. Las celdas pueden cubrir cualquier área desde unos cuantos metros a varios kilómetros, con celdas mucho más pequeñas en zonas urbanas e incluso celdas pequeños en edificios que usan una repetidora aérea para mejorar la señal exterior.
  • La ubicación del suscriptor al interior de esa celda, determinada por la triangulación de la señal de torres cercanas. De nuevo, la exactitud de la ubicación depende del tamaño de la celda - cuantas más torres haya en la zona, más precisa es la ubicación.

Además, los teléfonos en la mayoría de los estados estadounidenses y canadienses están diseñados para transmitir sus posiciones en el servicio denominado E911 para uso de emergencia. El servicio usa triangulación de señal así como GPS incorporado en el teléfono (si está disponible), y que está habilitado por defecto en todos los teléfonos nuevos. En realidad, el servicio E911 podría rastrear el teléfono aun cuando parece aparezca como apagado. Aunque esto no es probable, no hay nada para evitar que el software del teléfomo simule estar apgado aunque en verdad siga en la red. Para tener la seguridad de que el teléfono está fuera de línea se necesita sacarle la batería o usar una bolsa de bloqueo de señal - más sobre esto más adelante.

Por supuesto, los servicios de determinación de ubicación como E911 colocan una restricción sobre quién puede acceder a la información referida a la ubicación de un teléfono en particular. Para E911, los servicios de emergencia tienen acceso automático garantizado, pero las autoridades competentes tienen que tener una orden judicial para rastrear un teléfono. En teoría, los terceros solamente pueden tener acceso a la información sobre la ubicación con la autorización del propietario del teléfono, pero los mecanismos para conceder esa autorización a menudo son simplistas; responder a un SMS opcional de rastreo desde el teléfono del objetivo, que no responde, puede bastar para permitir un rastreo continuo. En esencia, debes decidir si puedes confiar en el operador de tu red para mantener en secreto la información de tu ubicación. Si no, deja el teléfono en casa, sácale la batería, o lee las recomendaciones acerca de cómo usar el teléfono anónimamente para evitar que se vincule su ubicación con tu identidad.

Información guardada en el teléfono

Todos los teléfonos celulares tiene una pequeña cantidad de espacio de almacenamiento en la tarjeta SIM. Esta se usa para guardar:

  • Tu libreta de teléfonos, como nombres de contactos y números de teléfono.
  • Tu historial de llamadas, incluido a quién llamaste, quién te llamó y a qué hora se hizo la llamada.
  • Mensajes SMS que has enviado o recibido.
  • Información de cualquier aplicación que uses, como un calendario o una lista de cosas por hacer.
  • Fotos que has tomado usando la cámara del teléfono, de ser el caso. La mayoría de los teléfonos registran la hora en que se tomó la foto y también podría incluir información sobre la ubicación.

Para teléfonos que te permiten navegar en la web, también deberías considerar cuánto de tu registro de navegación está guardado en el teléfono. ¿Tu navegador guarda contraseñas de los sitios a los que has entrado desde el teléfono? Los correos electrónicos serían un peligro potencial adicional si un atacante obtuviera acceso a la tarjeta SIM o la memoria del teléfono.

Como el disco duro de una computadora, la memoria SIM de tu teléfono celular conserva la información que ahí se guarda hasta que esté llena, cuando escribe encima de la información antigua. Esto significa que hasta los mensajes SMS que han sido borrados, los registros de llamadas y los contactos pueden ser recuperados de la tarjeta SIM. (Hay una aplicación gratuita para hacer esto usando una lectora inteligente de tarjeta inteligente.) Lo mismo se aplica para teléfonos que tienen memoria adicional, ya sea incorporada al teléfono o que use una tarjeta de memoria. Por regla general, cuanto más almacenamiento tiene un teléfono, los elementos borrados podrán ser recuperados durante más tiempo.

¿Se pueden interceptar los SMS?

Los SMS clasicos se envían en texto puro, incluyen ubicación e identificadores de teléfono y tarjeta SIM, y son visibles para el operador de la red. Es poco probable la interceptación realizada por terceros sin ayuda del operador, pero en los últimos años ha habido varios vacíos relacionados con clonación de teléfonos que ha permitido que más de un teléfono se registre con el mismo número y reciba los SMS enviados a ese número. Así, aun cuando algunas redes aseguran que los SMS no se guardan más del tiempo necesario para enviarlos (y muchos no dan esa garantía), vale la pena pensar quién podría ser capaz de acceder a los mensajes durante ese tiempo.

Según un reciente documento que trataba del rol del SMS como medio de transmitir bromas políticas en China, el gobierno chino tiene un programa establecido para seguir de cerca a los SMS:

"Como hay ideas aberrantes que se difunden rápidamente a través de SMS, el gobierno ha empezado a establecer mecanismos para seguir de cerca y censurar mensajes de texto, con 2,800 centros de vigilancia de SMS en todo el país. En junio de 2004, la empresa china Venus Info Tech Ltd. anunció que había recibido el primer permiso del Ministerio de Seguridad Pública para vender un sistema de seguimiento y filtración de contenido en tiempo real para SMS. El sistema usa las pruebas de contenido de información de la Academia China de Ciencias como la base de su algoritmo de filtración, que cubre una amplia gama de una combinación de caracteres "políticamente sensibles".

Además de buscar palabras clave en el contenido del mensaje, los sistemas de seguimiento también podrían marcar mensajes basándose de sospechas ligadas con el remitente o receptor. Los mensajes SMS de puro texto podrían no ser considerados seguros, particularmente cuando es posible que el remitente o el receptor del mensaje haya sido identificado para vigilancia.

El manual de SaferMobile enumera riesgos adicionales de seguridad asociados con el uso de SMS:

  • Los mensajes SMS se mandan en puro texto. No están encriptados, así que el contenido no está oculto ni disimulado de ninguna forma. Cualquiera que intercepte los mensajes (con la ayuda del operador de la red móvil o escuchando el tráfico de una celda particular de una red) puede leer tus SMS.
  • Los operadores de la red móvil conservan registros de SMS enviados a través de su red. Esto incluye detalles de hora y fecha de envío, detalles sobre el remitente y el destinatario, así como contenidos no encriptados del mensaje.
  • Los mensajes enviados o recibidos guardados en el teléfono o SIM son vulnerables si el teléfono o la SIM se pierden o los roban.
  • Es posible que las aplicaciones móviles tengan acceso a mensajes de texto enviados y recibidos que están guardados en tu teléfono.

El manual también ofrece consejos para protegerte mejor en este campo.

  • Mantén el contenido de tus mensajes al mínimo - supón que se puedan leer y que quien los lea sabrá la fecha y hora en que se enviaron así como la ubicación del remitente.
  • Si tienes que usar mensajes de texto, hazlo desde un teléfono básico y no desde un teléfono con aplicaciones.
  • Configura el almacenamiento de SMS a muy pocos o ninguno. Desactiva la opción de guardar mensajes salientes. Borra los mensajes con frecuencia.
  • Evalúa usar una aplicación de mensajería encriptada en vez de SMS. Muchas de estas aplicaciones requieren conexión de datos, y necesitarás un teléfono en el que se puedan instalar las aplicaciones. Hay varias aplicaciones de mensajería encriptada que funcionan en teléfonos Java y muchos para sistemas operativos de smartphone como Android, iPhone OS (iOS) y Blackberry. Cuál es el mejor para ti dependerá del sistema operativo de tu teléfono. Pon atención en que muchas aplicaciones de mensajería encriptada requieren que tanto remitente como destinatario usen la misma aplicación (y por lo tanto el mismo tipo de teléfono), así que esta estrategia tal vez funcione mejor para comunicaciones de grupos pequeños.
  • Si estás configurando un sistema de mensajería SMS para enviar textos de SMS a muchos destinatarios, asegúrate de que tus servidores e infraestructura sean seguros. Si estás enviando SMS a un sistema manejado por otra organización, evalúa sus precauciones de seguridad lo mejor que puedas, y sobre todo revisa cómo planean distribuir tus datos. Ushahidi, por ejemplo, se puede configurar para hacer que todos los informes entrantes estén disponibles públicamente en Internet. Esto puede ser útil para difundir información ampliamente, pero podría ser problemático en una situación de agitación política.

¿Las llamadas telefónicas pueden ser escuchadas a escondidas?

La idea de que alguien esté 'escuchando' llamadas telefónicas confidenciales es un legado familiar del tiempo de los sistemas telefónicos análogos. Escuchar a escondidas en sistemas digitales es técnicamente complicado, aunque totalmente posible usando equipo que está disponible comercialmente. Sin embargo, una manera mucho más simple de escuchar llamadas telefónicas es captar la conversación en el teléfono y transmitir una grabación a un oyente furtivo. Esto se puede hacer con pequeñas aplicaciones de software instaladas subrepticiamente o con dispositivo de interceptación oculto inserto en el teléfono.

También resulta que el operador de la red puede activar remotamente un teléfono para que funcione como un dispositivo de grabación, independiente de llamadas o SMS o si el teléfono está prendido. Este artículo brinda más antecedentes e información sobre vigilancia remota en redes estadounidenses.

Esencialmente, los operadores de redes siempre han podido mandar mensajes indetectables de control a teléfonos en la red. Esta capacidad existe para permitir que los operadores actualicen el software guardado en la tarjeta SIM, pero también podría usarse para transformar el teléfono en un dispositivo de rastreo, o para acceder a mensajes o información de contacto guardada en la tarjeta SIM. Una vez que la vigilancia se realiza con la cooperación del operador de la red, es muy poco lo que se puede hacer para evitarla.

El manual de SaferMobile identifica riesgos adicionales asociados con llamadas móviles. En términos de escuchar a escondidas o de grabar llamadas:

  • Como en cualquier conversación, alguien que esté cerca te puede escuchar o grabar.
  • Tu conversación puede ser escuchada a escondidas o grabada con una aplicación instalada en tu teléfono sin que tú lo sepas.
  • Las llamadas de voz están encriptadas entre el aparato y la torre de la celda. No obstante, son posibles diversos ataques sofisticados en contra de redes móviles, particularmente los estándares más antiguos (el estándar GSM, todavía el estándar preponderante en el mundo, es más vulnerable que 3G). Por ejemplo, está disponible comercialmente el hardware que se hace pasar por una estación de base GSM.

Y en términos de grabaciones continuas:

  • Los detalles de tu llamada (a quién llamaste, a qué hora, cuánto tiempo) se guardan en la red, aun cuando el contenido no se guarde. A menos que hayas tomado precauciones específicas, tú y la persona a la que llamas están usando teléfonos que están vinculados a ti por medio del número IMEI (identificador del aparato) y el IMSI (identificador de la tarjeta SIM).
  • Los mensajes de correo de voz los guarda el operador de la red móvil y no deberían ser considerados seguros, ni cuando están protegidos por un PIN personal.
  • Las interacciones con un sistema de Respuesta Interactiva de Voz (IVR) son solamente tan seguras como el propio sistema. Asegúrate de que la organización o entidad que maneja el sistema sea confiable, técnicamente competente y que no permitirá que tus llamadas se sigan de cerca ni se graben.
  • Cualquier uso de teléfono revela tu ubicación al operador de la red. El registro guardado de tu actividad (llamadas, textos, uso de datos) te coloca en un lugar en particular en un momento en particular.

El manual también ofrece consejos para protegerte mejor cuando haces llamadas de voz.

  • Usa un teléfono básico, sin aplicaciones, antes que un smartphone.
  • Si tienes que usar un smartphone, usar una aplicación encriptada de VOIP (voz sobre protocolo de Internet) en lugar de llamar a través de la red móvil.
  • Compra tu teléfono y tarjeta SIM sin identificarte, si es posible en tu país, y cámbialos con frecuencia. Usa una tarjeta SIM prepagada.
  • Evalúa hacer tus informes delicados desde teléfonos públicos, o, si sientes que te pueden reconocer, pídele a otra persona que los haga.
  • Borra los registros de llamadas (entendiendo que los pueden recuperar aunque los borre alguien con conocimiento especializado y herramientas forenses).
  • Ten cuidado con la forma en que guardas tus contactos en tu libro de direcciones - ten en cuenta que tu teléfono o SIM pueden ser robados y los registros de llamadas pueden ser asociados con personas que llaman y reciben las llamadas.
  • Un número virtual de teléfono como Skype Online Numbers (“Skype In”) o Google Voice brinda un nivel de protección porque desvincula al que llama y a ti y no permite que se exponga tu número de celular. Sin embargo, usar Skype In o Google Voice para llamadas deposita algo de confianza en Skype, Google o cualquier servicio que escojas. Esa puede no ser una buena idea en algunos países donde dichos servicios pueden estar en peligro.

Virus en celulares, programas espías y registradores de digitación

Los modernos celulares sofisticados son, esencialmente, computadoras a escala reducida, con poder de procesamiento, memoria y conectividad para hacer funcionar todo tipo de aplicaciones, incluidas las maliciosas. Afortunadamente, los virus en celulares siguen siendo pocos frecuentes y afectan mayormente a los teléfonos sofisticados. Sin embargo, los expertos en seguridad prevén que las aplicaciones móviles maliciosas serán cada vez más comunes. Esto incluye virus y también programas espías móviles y registradores de digitación, que secretamente podrían espiar tus actividades en tu celular, recoger contraseñas y otra información delicada.

Para protegerte, considera la posibilidad de comprar un teléfono muy simple, tal vez incluso uno que no permita la instalación de aplicaciones de terceros. Si necesitas usar un smartphone, instala solamente aplicaciones de confianza - muchos virus se hacen pasar por útiles aplicaciones, pero causan estragos una vez instalados (o, peor aun, ponen en peligro la información guardada en tu teléfono). Bluetooth en particular ha demostrado ser un medio popular para que los virus en celulares se esparzan, y se deberían estar apagados cuando no están en uso. También podrías considerar la posibilidad de instalar software antivirus en tu teléfono. La mayoría de los principales vendedores de antivirus, incluidos Norton, Kapersky and F-Secure han lanzado recientemente productos de seguridad para celulares.

Agregar información también puede ser peligroso

Hasta ahora, se ha hablado de la vigilancia en términos de personas. Pero con sofisticado software de análisis de red, también es posible detectar patrones de grandes cantidades de datos de la red celular - registros de llamadas, registros de mensajes, contenido de mensajes - que podrían conducir a la identificación de grupos disidentes. Un post de ICT4Peace cita a Daniel Soar en el London Review of Books, donde describe cómo podría funcionar esto:

"[..] empresas como ThorpeGlen (y VASTech y Kommlabs y Aqsacom) venden sistemas que realizan ‘investigación pasiva', que analizan grandes cantidades de datos de las comunicaciones para detectar a sujetos de potencial interés para los servicios de seguridad, por lo que realizan su costoso trabajo preliminar para ellos. El Vice Presidente de Venta y Marketing de ThorpeGlen exhibió una de esas herramientas en la transmisión de un ‘seminario web’ a la comunidad de sistemas de seguridad en Internet (ISS, por sus siglas en inglés) el 13 de mayo. Usó como ejemplo la información de ‘una red móvil a la que tenemos acceso’ – como optó no ocultar los números, sabemos que está en Indonesia – y explicó que se habían procesado llamadas de toda la red de 50 millones de suscriptores, en un periodo de dos semanas, para elaborar una base de datos de unos ocho mil millones de ‘acontecimientos’. Dijo que todos en una red son parte de un grupo; la mayoría de grupos hablan con otros grupos, con lo que se crea una telaraña de interacciones".
 

 

Herramientas y precauciones

Primero, debes decidir cuáles riesgos son inaceptables. ¿Tu mayor preocupación es que te identifiquen como remitente o destinatario de llamadas y mensajes, o hay información confidencial guardada en tu teléfono que necesitas proteger? Tal vez también requieras encriptar tus mensajes SMS, o tus correos electrónicos enviados desde el teléfono.

Esta guía de evaluación de riesgos de SaferMobile es un muy buen recurso para evaluar necesidades de seguridad móvil y crear políticas de seguridad en tu trabajo.

Ya antes hemos publicado algunas sugerencias generales de seguridad en el teléfono para organizaciones sin fines de lucro. Para recapitular:

  • Usa una tarjeta SIM prepagada.
  • Compra una tarjeta SIM solamente para el proyecto específico y deséchala después.
  • Como una rutina, borra la información en tu teléfono. Revisa las configuraciones en el teléfono para ver si se puede configurar para no guardar registros de llamadas y SMS salientes.
  • Si tu conversación es confidencial, no la trates por teléfono y considera sacar la batería de cualquier teléfono que esté cerca de ti.
  • Considera apagar el teléfono en algunos momentos de tu jornada. Traslada el teléfono a lugares en los que puede determinarse que no estás, para que no toda la actividad del teléfono se vincule contigo.
  • Si sospechas que están siguiendo tus mensajes, en tus mensajes usa palabras inocuas acordadas previamente.

Para más sugerencias de cómo protegerte mejor, visita SaferMobile guías, hojas de trabajo y materiales de entrenamiento.

Consejos y herramientas

Este capítulo cubirirá los siguientes temas:

Evitar que tu teléfono te identifique

Si te preocupa particularmente ser identificado como el propietario del teléfono o tarjeta SIM específicos (recuerda que ambos tienen un identificador único que se transmite cuando el teléfono está en la red), tienes que tener cuidado para que no te identifiquen cuando compres o uses el teléfono. FreeB.E.A.G.L.E.S tiene algunas sugerencias para comprar de manera segura teléfonos o crédito para el teléfono, y hemos agregado a su lista:

  • Realiza tu compra en una tienda que esté lejos de donde vives para que el vendedor no pueda identificarte. Ten en cuenta el rastro que dejas y no uses tarjeta de crédito ni una dirección de correo electrónico que se pueda rastrear.
  • Evita lugares en los que es probable que haya circuito cerrado de televisión - centros de la ciudad, centros comerciales y cadenas de tiendas grandes son algunos ejemplos.
  • No des información real si te la piden. Muchas tiendas piden tu información, pero no piden ninguna identificación. Revisa si es que tienes la obligación legal de dar alguna información.
  • Compra el teléfono más simple que necesites, evita características adicionales, a menos que sean necesarias. Solamente para llamadas y SMS, adquiere un teléfono de baja calidad. Si quieres usar software adicional de encriptación, evalúa la posibilidad de un teléfono con activador Java, que pueda ejecutar software de encriptación suministrada por terceros.
  • No compres un teléfono con un contrato que te obligue con un operador en particular. Pide siempre un teléfono donde pagues según lo que uses, aunque sea más costoso.
  • No registres el teléfono. En muchos países, no hay obligación legal de hacerlo, aunque algunos países exigen registrar la tarjeta SIM o la identificación al comprar una tarjeta SIM.
  • Compra cupones recargables para cargar crédito en el teléfono. Al comprar los cupones, sigue las mismas reglas de cuando se compra un teléfono: evita el circuito cerrado de televisión, paga con efectivo y no reveles tu información. No compres una tarjeta totalmente cargada, si la hubiera - esto permite que todas las recargas sean rastreadas hasta un usuario.

 

Evitar intervenciones

Intervenir un teléfono, sobre todo si se hace con la cooperación de un operador de red, puede ser muy difícil de detectar, sobre todo si el software está instalado en el teléfono usando la función de comandos. El mismo consejo en general se aplica acá - cambia el aparato y la tarjeta SIM a menudo, y considera usar usar teléfono y SIM nuevos, "limpios" para operaciones confidenciales.

Admite que el operador de la red, o un tercero, puede acceder remotamente a toda la información guardada en tu tarjeta SIM o en la memoria del teléfono, si se las han arreglado para instalar software de interceptación en tu teléfono.

No guardes contactos delicados, y evalúa usar SMS, MMS y mensajes de correo electrónico encriptados, tanto para evitar que personas no autorizadas vean los mensajes en tránsito, como para evitar que los mensajes guardados sean legibles en caso de que alguien tenga acceso a la información guardada en tu teléfono o tarjeta SIM.

Los teléfonos celulares se puede perder o robar fácilmente, o te lo pueden quitar. Por consiguiente, es importante que entiendas que un atacante puede saber cuándo te han quitado tu teléfono. El manual de SaferMobile ofrece riesgos adicionales para tu teléfono en términos de acceso físico y remoto. Si otra persona tiene tu teléfono, es fácil vincular tu identidad personal a tu aparato y toda la información delicada y comprometedora a través del registro de la tajreta SIM, y los números IMEI y IMSI. Evalúa las siguentes maneras en que puedes estar guardando información delicada en tu teléfono:

  • La libreta de direcciones del teléfono puede guardar tus contactos (nombres, número de teléfono, correo eléctronico, etc) y cualquiera con acceso a tu teléfono puede ver estos contactos.
  • El teléfono guarda tu historial de llamadas - a quién llamaste y quién te llamó, y la hora en que se hicieron las llamadas.
  • El teléfono guarda mensajes de texto SMS que has enviado o recibido, así como mensajes en borrador. Es posible recuperar mensajes aunque los hayas borrado de la memoria del teléfono.
  • Cualquier aplicación que uses, como calendarios o listas de cosas por hacer, guarda los datos en el teléfono o en una tarjeta de memoria.
  • Las fotos que has tomado usando la cámara deñ teléfono están guardadas en el teléfono o en la memoria del teléfono. La mayoría de teléfonos guardan la hora en que se tomó la foto y también puede incluir infomación de la ubicación y la marca y modelo del teléfono.
  • Si usas un navegador web en tu teléfono, tu historial de navegación (sitios visitados) y favoritos pueden quedar guardados.
  • Si usas una aplicación de correo electrónico, tus correos electrónicos, como cualquier otra información de aplicación, se pueden guardar en el teléfono.
  • Toda esta información que se guarda no se destruye fácilmente ni se borra permanentemente, y puede recuperarse con métodos forenses de datos. Otras personas pueden recuperar información aunque te parezca que se ha borrado.

El uso no autorizado, ya sea porque alguen ha tomado posesión del teléfono o porque se ha instalado software que lo comprometa, es un riesgo para cualquier tipo de teléfono.

  • Para muchos teléfonos, es posible que un atacante obtenga acceso remoto no autorizado si el atacante puede instalar una aplicación en el aparato. Para hacerlo, un atacante podría engañarte para que descargues un archivo de Internet o abras un SMS infectado, o aprovechar de tener acceso físico temporal del aparato.
  • El robo de teléfonos es otra manera de obtener acceso al aparato. Si alguna vez tu teléfono está fuera de tu poder por un periodo extendido y te lo regresan, úsalo con extremo cuidado.
  • Aunque un código PIN podría entorpecer a un ladrón, hay muchas maneras de lograr entrar al PIN para acceder a la información. Es mejor no confiar en esto para protegerte.
  • El uso no autorizado permite a un atacante hacerse pasar por ti con contactos que te identifican por tu número de teléfono o tu dirección de correo electrónico.
  • Con software fácilmente disponible, se puede hacer una imagen completa del teléfono (una copia de toda tu información y registro de actividades) para análisis subsiguientes.
  • El uso no autorizado puede incluir hacer llamadas costosas.

El manual de SaferMobile ofrece consejos para protegerte mejor:

  • Borra mensajes, fotos/videos y registros de llamadas para disuadir a un atacante ingenuo, pero recuerda que a veces los datos borrados pueden recuperarse desde el teléfono.
  • No uses la libreta del teléfono si puedes conservar los números en un lugar seguro. No guardes números y nombres juntos.
  • Para los contactos, no uses información que pueda identificarse explicítamente, incluidos nombres, apodos o íconos/fotos de los contactos.
  • Revisa las configuraciones del teléfono para ver que esté configurado para que NO guarde registros de llamadas ni SMS salientes.
  • Si tienes un smartphone, habilita la función de borrado remoto  o ‘píldora venenosa’. Esto te permite borrar remotamente la información del teléfono si ha sido robado. Deberás descargar una aplicación y configurar el borrado remoto a través de un servicio en línea. Hay más detalles en este artículo de PCMag.com.
  • Bloquea tu teléfono usando diversas opciones disponibles para bloquear llamadas y acceso físico.
  • Siempre usa memoria extraíble o almacenamiento externo para medios e información delicada, y retíralos cuando el teléfono no esté contigo.

Más artículos de SaferMobile que pueden serte de interés incluyen:

Encripta tu teléfono celular 

La mayoría de los teléfonos disponibles hoy en día (excepto algunos modelos muy básicos) permiten a los usuarios descargar e instalar aplicaciones Java escritas por terceros. En general, deberías evitar instalar cualquier adicional en un teléfono que se usa para comunicaciones confidenciales. La excepción a esto podrían ser las aplicaciones de encriptación, que cuentan con una segura comunicación encriptada una vez instaladas en el teléfono de remitente y destinatario. Las aplicaciones de encriptación de SMS permiten enviar y recibir mensajes cortos encriptados, ya sea usando SMS habitual (que se carga normalmente pero está codificado para que no se le pueda descifrar en los registros del operador de la red) o un servicio de datos como GPRS como el portador del mensaje.

La mayoría de las aplicaciones de encriptación de SMS piden al remitente que escoja una contraseña o clave, que se usa para encriptar el mensaje. El remitente revela la contraseña al destinatario elegido, que lo usa para desencriptar el mensaje. La obvia debilidad de este sistema es que cualquiera que logre obtener la contraseña (tal vez porque escuchó a escondidas la conversación en que se reveló) puede desencriptar el mensaje. Una forma más segura de encriptación, llamada encriptación asimétrica, usa dos claves que identifican de manera única a remitente y destinatario. Puedes leer más de este tipo de encriptación en esta página de Wikipedia.

Hay muchas aplicaciones de encriptación SMS desarrolladas comercialmente, y algunas ofrecen una versión de prueba gratuita. También hay una aplicación de encriptación SMS de fuente abierta, CryptoSMS, que no necesita pago de licencias. La ventaja de usar una aplicación de fuente abierta es que todo código fuente está disponible gratuitamente y puede ser inspeccionada para buscar fallos en la seguridad. En aplicaciones con patente comercial, el código fuente no está disponible, con lo que se podría permitir que códigos maliciosos fueran incluidos sin ser detectados.

Esta no es una reseña completa de aplicaciones de encriptación de SMS, pero acá hay algunas aplicaciones de encriptación activadas en Java que podrías revisar:

  • CryptoSMS ofrece encriptación asimétrica y, como aplicación de fuente abierta, no necesita que se compre una licencia. El remitente y destinatario del mensaje encriptado no son anónimos.
  • SMS 007 es una aplicación comercial que usa encriptación de contraseña, pero tiene agregada la ventaja de que remitente y destinatario de un mensaje encriptado pueden ser anónimos si crean su propia lista encriptada de contactos. Se puede comprar en línea por unos €35 (US$49).
  • Kryptext es otro producto comercial, disponible en línea por £5.99 (US$9.65) mensuales hasta por 10 licencias según la página web del producto. Usa encriptación de contraseña, pero no anuncia características adicionales como encriptación de lista de contactos.

Aunque no anuncia encriptación, Feedelix es una aplicación Java de SMS que permite a los usuarios que tengan instalado el software de FeedelSMS en el servicio general de paquetes vía radio (GPRS, por sus siglas en inglés) y teléfonos Java enviar mensajes de texto de bajo costo. Tiene versiones para idiomas hindi y etíope. Admite mensajes en gran volumen y no usa el servicio SMS de la red, lo que lo hace útil para difundir información en situaciones en que pueda haber sido inutilizado.

Usar HTTPS para una navegación móvil segura 

Esta parte ha sido tomada de un artículo de SaferMobile, publicado por Melissa Loudon, sobre cómo asegurarte de que tus actividades telefónicas en línea se hacen a través de una conexión segura. La versión completa del artículo está publicada acá.

HTTP, siglas en inglés de Protocolo de de Transferencia de Hipertexto, es el protocolo de comunicación de datos que usas cuando navegas en la web - tal vez hayas notado que las direcciones de los sitios web por lo general empiezan con http://. HTTPS es la versión segura de HTTP - tal vez hayas notado que HTTPS se usa para transacciones confidenciales como banca en línea y compras en línea. Cuando usas la parte segura de un sitio, la dirección web empezará con https://.

Cuando uses tu teléfono celular para comunicaciones confidenciales, es importante que asegures que tus actividades en línea  - ya sea investigar una historia o un asunto, enviar un correo electrónico o contactar una fuente, escribir el post de un blog o cargar fotos - se hagan con una conexión segura. Hay tres elementos de una navegación web segura:

  • La información debe transmitirse en forma encriptada, para que sea ilegible en caso de ser interceptada.
  • La identidad del sitio web debe verificarse antes de transmitir datos sensibles.
  •  Si no quieres que nadie sepa que estás accediendo a un sitio, la fuente de la transmisión (es decir, tú) debe estar oculta o ser anónima.

El HTTPS brinda los dos primeros. La identidad del sitio remoto se verifica comprobando la existencia de un certificado, y el certificado se usa para encriptar la transacción de tal manera que solamente el remitente y el sitio remoto identificado positivamente puedan desencriptarlo. Si también necesitas darle anonimato a tu información, deberías usar un intermediario o un servicio como Tor además de HTTPS.

¿Estoy navegando de forma segura?

Para asegurarte de que estás navegando de manera segura, mira lo que está a continuación:

Es una buena idea verificar estas dos cosas cada vez que ingreses infornación confidencial - tu nombre de usuario y contraseña para una cuenta en línea, los detalles de tu tarjeta de crédito, una foto o un video. Ten en cuenta que algunos sitios solamente admiten https para algunas actividades. Otros, como Twitter y Facebook, tal vez te permitan activar una configuración para usar siempre https, pero siguen usando http por defecto en la versión móvil del sitio.

¿Las comunicaciones en HTTPS pueden estar en peligro?

Aunque cuando se use HTTPS, es posible (aunque mucho menos probable) que tus comunicaciones puedan ser escuchadas a escondidas. Los dos ataques que se detallan a continuación se usan para obtener los contenidos no encriptados de tu comunicación, que pueden includir contraseñas, números de identidad o detalles de tarjetas de crédito.

  • Un ataque MitM (o intermediario) ocurre cuando alguien en la misma red que tú (comúnmente en una red WiFi abierta, que deberías evitar para actividades confidenciales) intercepta comunicación entre tú y un sitio remoto. Tú crees que te estás comunicando con el sitio remoto, pero te estás comunicando con el intermediario. El sitio remoto piensa que se está comunicando contigo, pero a ellos también los engañan. El intermediario ve ambos lados de la comunicación sin encriptar.
  • Un ataque a una autoridad certificadora (AC) ocurre cuando un atacante se apodera del control de una autoridad que expide certificados (AC) y puede emitir certificados falsos de protocolo de capa de conexión segura (SSL, por sus siglas en inglés). En este caso, el sitio remoto se identifica como si fuera exactamente quien tu esperas que sea - tu correo web, tu banco - pero en verdad es un impostor malintencionado. Un reciente ataque a Comodo, autoridad que expide certificados, permitió brevemente a un atacante ubicado en Irán emitir certificados válidos para Gmail, Skype y Hotmail.

¿Cómo puedo hacer que mi navegación móvil sea más segura?

Desafortunadamente, muchas de las características de seguridad que damos por descontadas en los navegadores web modernos son más difíciles de implementar en navegadores móviles.

  • Sé particularmente cauteloso respecto de sitios desonocidos o de apariencia sospechosa cuando navegues desde tu teléfono.
  • Usa un navegador bien reforzado, actualizado en una PC para verificar un sitio antes de usarlo para comunicaciones sensibles en tu teléfono.
  • Cuando accedas a sitios que usas con frecuencia, revisas todo mensaje inusual de advertencia. La advertencia de abajo es la manera de tu navegador de alertarte de que la URL del sitio web no concuerda con la URL para la que se ha emitido el certificado. Por lo general, esto es debido a un error administrativo, pero podría ser una señal de un ataque MitM o intermediario.
  • Si estás usando un smartphone, asegúrate de que estás recibiendo actualizaciones en tu navegador móvil así como en tu sistema operativo.

Navegación anónima con Orbot

Otra manera de realizar navegación web anónima en tu teléfono es por medio de una aplicación como Orbot.

Primero, si buscas invertir en comunicación móvil segura, los teléfonos Android son una buena opción. Las plataformas de smartphone en general tienen más capacidad de desempeñar el 'trabajo pesado' necesario para comunicaciones seguras. El propio Android es en su mayor parte de fuente abierta, por lo que es más difícil esconder códigos maliciosos. El aumento de la plataforma de smartphone de fuente abierta ampliamente admitida también abre el camino para desarrollar una versión Android con seguridad incorporada a un nivel de sistema operativo  - el objetivo del Guardian Project en curso.

Si tienes un teléfono Android, una manera de realizar navegación web anónima es a través de la aplicación Orbot. Orbot es una aplicación que permite a los usuarios de teléfonos celulares acceder a la web, mensajería instantánea y correo electrónico sin que te sigan de cerca ni te bloquee su proveedor de servicio de Internet móvil. Orbot tiene las características y funcionalidad de Tor (leer más a continuación) al sistema operativo móvil de Android.

Actualmente, Orbot está disponible en la tienda Android y en el sitio web del proyecto Tor.

Aplicaciones para Smartphones

Los smartphones, de los cuales muchos usan los sistemas operativos Windows Mobile o Symbian, tienen más memoria, más poder de procesamiento, mejores dispositivos secundarios como cámaras, y más opciones de conectividad. Muchos pueden funcionar en versiones móviles reducidas de aplicaciones de comunicación de PC, como correo electrónico, llamadas en Voz en Protocolo de Internet (VOIP) y mensajería instantánea (IM). Pero dado que, inevitablemente, los teléfonos más sofisticados ofrecen posibilidades de vigilancia más sofisticadas, ¿cuál de las aplicaciones se puede usar para comuinicar información confidencial de manera segura?

Todas las aplicaciones de correo electrónico, VOIP y mensajería instantánea para teléfonos celulares podrían estar diseñadas para brindar una comunicación segura. Varias aplicaciones sostienen que ya los hacen así, incluido Skype, el popular sistema de VOIP y mensajería instantánea. Skype va de igual a igual, con lo que se dificulta interceptar comunicaciones pues no hay un servidor central. También usa varios estratos de encriptación. La debilidad del sistema es que es de fuente cerrada y patentada, lo que significa que nadie puede revisar el código fuente del cliente Skype en busca de potenciales vulnerabilidades de seguridad.

Más preocupante es el descubrimiento de un código de vigilancia en un cliente chino de Skype, que registró el contenido de mensajes que contenían palabras clave específicas, presumiblemente para ser usadas por las autoridades chinas. Este tipo de vulnerabilidad (llamada 'puerta de atrás') se puede incorporar en cualquier aplicación de fuente cerrada, incluso en una que promete comunicación segura. El software de fuente abierta resuelve este problema, pero hasta donde podemos saber, no hay aplicaciones plenas de VOIP o IM móviles que también ofrezcan encriptación. Definitivamente esto es algo digno de verse, pero por ahora es mejor evitarlos a ambos en caso de un trabajo confidencial.

El correo electrónico móvil se puede encriptar, ya sea usando un sistema de igual a igual que requiere que se genere y comparta una clave o claves, como se describe en la encriptación SMS, o haciendo uso de un servicio encriptado de correo electrónico donde esto se maneja como un servidor central. En el primer caso, la responsabilidad de la generación de claves y de compartir las claves está enteramente del lado del remitente y receptor del mensaje, sin la participación de ningún tercero. En el segundo, el servicio de encriptación de coreo electrónico de un tercero se encarga de parte del proceso, por ejemplo, manejo o almacenamiento de claves en un servidor seguro.

Hushmail es un servicio de encriptación de correo electrónico que ofrece diversos servicios. Sin embargo, como se demuestra en un caso relativo al servicio, es importante recordar que los servicios de encriptación siguen estando sujetos a las leyes del país en donde están ubicados. Esto significa que es posible que el servicio se vea obligado a entregar información a las fuerzas del orden. Como con VOIP y IM, también deberías evaluar si estás dispuesto a confiar que los clientes de correo electrónico con marca registrada no estén pasando información inadvertida o secretamente a través de una puerta trasera del software.

 

Manejar tu propio encriptación de correo electrónico, usando por ejemplo un cliente de correo electrónico con capacidad para OpenPGP or S/MIME, evita tener que depender de un tercero. Esto puede ser un desafío técnico, pero si tienes experiencia y/o tiempo para probar, un sistema de encriptación de igual a igual de correo electrónico puede ser una buena manera de comunicarse de forma segura desde un teléfono sofisticado. De todas formas,  dados los beneficios de cambiar tu aparato con frecuencia y los altos costos de los smartphones, vale la pena considerar si las pocas opciones disponibles de comunicación segura no se ejecutan mejor desde una PC básica con pocas especificaciones.

No todas las aplicaciones son seguras

Aunque algunas aplicaciones pueden ayudarte a hacer que tus comunicaciones móviles sean más seguras, algunas aplicaciones (y otro tipo de software, como tu sistema operativo móvil) también pueden presentar riesgos en la seguridad. El artículo de SaferMobile ¿Son confiables tus aplicaciones? presenta algunos de estos riesgos:

  • Las aplicaciones y otro software pueden tener acceso a información guardada o generada en tu teléfono.
  • Las aplicaciones y otro software pueden tener la capacidad de transmitir esta información usando la conexión a Internet de tu teléfono.

Las aplicaciones maliciosas u otro software móvil instalado en tu dispositivo móvil te pueden exponer a los siguientes riesgos:

  • Tus conversaciones pueden ser escuchadas o grabadas sin tu conocimiento.
  • Tus mensajes de texto, correos electrónicos y tráfico web pueden ser seguidos de cerca y registrados.
  • Se puede acceder o copíar la información guardada en tu teléfono (contactos, apuntes en calendario, fotos y  video).
  • Las contraseñas guardadas o ingresadas en tu teléfono pueden ser robadas y usadas para acceder a tus cuentas en línea.
  • Tu ubicación puede ser rastreada, aun cuando el teléfono esté apagado.

El artículo también presenta 6 preguntas que deberías hacer para evaluar riesgos de seguridad y privacidas que plantean las aplicaciones. Están destacadas a continuación; el artículo completo está publicado acá.

  1. ¿Qué características de tu teléfono están disponibles para las aplicaciones?
  2. ¿Qué características de tu teléfono debería necesitar esta aplicación? ¿Coincide con los permisos que solicita?
  3. ¿Quién es el creador de software?
  4. ¿Quiénes son los usuarios?
  5. ¿El código está disponible públicamente?
  6. ¿Tu información se guarda y se transmite de manera segura?

Con cualquier aplicación móvil, es importante sopesar el beneficio de la aplicación con los riesgos potenciales que vienen por instalarla y usarla. Para algunas perspectivas de comunicaciones seguras, tal vez quieras usar un teléfono básico más que uno en el que funcionen aplicaciones - sobre todo, porque tal vez debas desecharlo después de usarlo para permanecer en el anonimato. En todos los casos, ser cauteloso tiene su recompensa. Instalar una aplicación puede ser un proceso de un click, pero un plan integral de seguridad requiere que te tomes un poquito más de tiempo para evaluar los riesgos.

Recursos adicionales

 

Enviar un comentario nuevo

The content of this field is kept private and will not be shown publicly.

New Here?

See how we provide guidance to a variety of different individuals and organizations.