Diez reglas para volverte invisible en Internet

La violación de la intimidad en la Red y el rastreo de nuestros patrones de comportamiento se ha vuelto algo cotidiano, pero no por eso aceptable. Somos conscientes de que somos espiados y como ya expliqué anteriormente, el saberse espiado tiene un efecto psicológico profundo que condiciona nuestras ideas y comportamiento. Y eso sin llegar a hacer nada malo.

Existen muchas herramientas para controlar nuestra propia seguridad e intimidad en Internet sin tener que depositar nuestra confianza en empresas de software o en nuestro Gobierno. Revelar parte de nuestra intimidad no es, en sí mismo, ni malo ni bueno, e incluso puede usarse a favor. Lo realmente peligroso es no saber a quién se está entregando. Aquí comparto mis protocolos de seguridad, que cualquiera puede implementar para controlar su intimidad online. La protección de la intimidad y la seguridad van de la mano y son fácilmente gestionables.

Más información

Eres tus metadatos (y no lo sabes)

Deberíamos tener miedo de la Roomba, pero el problema número uno es el ‘smartphone’

Contraseñas

1. Contraseñas largas, una por cuenta

Comprueba primero en Have I Been Pwned? si tu email o contraseña han sido previamente hackeados. Una contraseña con números y símbolos es más difícil de recordar y menos efectiva que una formada por seis palabras que no tengan relación.

• Diceware puede ayudarte a generar contraseñas, pero no te olvides de comprobar en HowSecureIsMyPassword cuánto tiempo tardaría en ser adivinada.
• Una contraseña diferente por cuenta.
• Cambia las contraseñas cada cierto tiempo (por ejemplo, cada dos meses).

2. Un gestor de contraseñas, el guardián de tus secretos

Un gestor de contraseñas como LastPass, Dashlane o 1Password permite guardar las contraseñas de forma segura bajo una contraseña maestra. Por lo tanto, solo tienes que recordar una contraseña, la que te abre el gestor de contraseñas. Instalado tanto en el móvil como en el portátil, un password manager como 1Password es facilísimo de usar y no obliga por diseño a guardar contraseñas en la nube (para sincronizar entre varios dispositivos, por ejemplo).

Correo electrónico

Cuando mandes correos con contenido que no quieres que sea escaneado por Gmail, entonces debe usarse un servicio como ProtonMail, Mailfence o Tutanota que aplique un método de criptografía asimétrica para proteger la información de término a término de la comunicación.

Con ProtonMail, en caso que el destinatario no tenga una cuenta propia también se puede llevar a cabo una encriptación asimétrica, para lo cual tienes que pulsar el símbolo del candado antes de enviar el email. Seguidamente debes proteger el mensaje con una contraseña y hacerle llegar esta contraseña al destinatario por un canal alternativo. El destinatario recibe un email de ProtonMail diciéndole que tiene un mensaje encriptado de tal cuenta de ProtonMail y un enlace que le lleva al mismo sitio web de ProtonMail, donde podrá introducir la contraseña y leer el mensaje desencriptado.

Además de disponer de protocolos de encriptación establecidos, cualquier servicio de email seguro debe también tener sus propios servidores (una nube privada) para no depender de terceros, y que los data centres estén ubicados en un país como Suiza (ProtonMail), que se encuentra fuera de las jurisdicciones de Estados Unidos y la Unión Europea. En Suiza cualquier acceso a información personal debe ser aprobado por un juez en el contexto de leyes internacionales. Llegados al caso, primero tendrían además que notificarte de la petición de acceso a tu información y además podrías recurrirla.

Por otra parte, instalar autentificación de doble factor constituye una capa extra de seguridad muy útil que consiste en que para acceder a una cuenta debes proporcionar no solo la contraseña, sino también un código de seis números (con caducidad) que recibes en tu móvil cada vez que quieres acceder a ella. De esta manera, si un hacker tiene acceso a tu contraseña de alguna manera, no podrá acceder a tu correo electrónico a menos que también tenga tu móvil. Puedes instalar Google Authenticator en el móvil y así disponer de autentificación de doble factor tanto en tu cuenta de Google como en la de ProtonMail,

Navegar por la web

4. Brave o Firefox mejor que Chrome.

Chrome registra las páginas visitadas y envía esta información a los servidores de Google. Si fuera de otra manera, no podrías tener acceso a todo tu historial sincronizado cuando usas Chrome tanto desde tu ordenador como desde el móvil.

• Brave y Firefox protegen tu seguridad y privacidad y son de código abierto.
• Brave es rapidísimo e incorpora por defecto todas las extensiones que tendrías que instalar en Firefox.
• En Firefox, instalar las siguientes extensiones con un solo click navegando el mismo Firefox: Privacy Bagder (bloquea rastreadores), Facebook Container (impide que Facebook te rastree por Internet), uBlock Origin (bloquea anuncios), Cookie AutoDelete (borra las cookies cuando cierras la pestaña de Firefox), Disable WebRTC (desactiva el protocolo WebRTC que viene por defecto en Firefox, y que podría revelar tu dirección IP aún estando usando una VPN) y el buscador Startpage o DuckDuckGo

• Brave > Preferences te permite seleccionar Startpage o DuckDuckGo como motor de búsqueda por defecto, sin ninguna instalación.

5. Startpage o DuckDuckGo mejor que Google.

Google registra todas nuestras actividades desde que empezamos a buscar, aunque estés en modo incógnito. Startpage y DuckDuckGo protegen tu intimidad mientras buscas, no registran información personal, ni tienen tendencias políticas. Su modelo de negocio es presentarte los productos que buscas solo usando las palabras de tu búsqueda en tiempo real, pero estas ni se archivan ni son recomendaciones verdaderamente personalizadas.

6. Virtual Private Network (VPN) en ordenador y smartphone.

Una VPN crea un túnel entre tu ordenador y la máquina destino por el cual los datos viajan encriptados. Además, una VPN oculta tu identidad (dirección IP) a tu proveedor de Internet, a las webs que visitas y a cualquier otro que te esté siguiendo.

• No puede ser gratuita por definición pero las hay muy asequibles.
• Elegir una VPN que se encuentre en una jurisdicción cuyas leyes sean favorables a la intimidad personal, como NordVPN (Panamá) o VyprVPN (Suiza).
• Instalar la VPN en ordenador y móvil.

Redes sociales y comunicación

7. Redes sociales: con muchísimas precauciones.

Si quieres seguir usándolas, al menos oculta tu nombre real, teléfono, dirección, evita poner fotos personales, no hables con extraños y nunca cuelgues comentarios en sitios públicos. También deshabilita cualquier tipo de permiso que la red social no necesite: por ejemplo, Twitter no necesita saber tu localización, ni Snapchat acceder a tus SMS.

8. Mensajería instantánea.

Olvídate de mandar SMS. iMessage entre iPhones es mejor. Y si tampoco puedes vivir sin WhatsApp, al menos ten estas precauciones:

• Habilita la verificación en dos pasos (Ajustes > Cuenta > Verificación en dos pasos): esto es una capa de seguridad adicional en forma de un número de seis cifras que solo debes saber tú y que te da acceso a tu WhatsApp después de desbloquear tu móvil.

• Cambia tus condiciones de intimidad (Ajustes > Cuenta > Privacidad) para que solo tus contactos (o nadie) puedan ver tu foto de perfil, información personal, estado, o saber cuándo te conectaste por última vez.

Signal es mensajería segura, puedes hacer exactamente lo mismo que con WhatsApp y además programar la destrucción de los mensajes. Fue usada por el delator de los Papeles de Panamá para comunicarse de forma segura con los periodistas Frederik Obermaier y Bastian Obermayer. Además, es gratuita y no necesita vender tus datos porque se financia gracias a becas y donaciones.

9. Smartphone y número de teléfono.

Deshabilita localización y Bluetooth. Borra las aplicaciones que ya no uses. Si tienes que dar tu número de teléfono, genera uno desechable con Hushed que te redirija las llamadas y mensajes al tuyo sin tener que revelarlo.

10. El eslabón más débil eres tú.

• VirusTotal analiza webs y ficheros sospechosos.Un keylogger se camufla fácilmente en una imagen y, una vez instalado por error, retransmitirá todo lo que teclees.
• No instales extensiones en el navegador que no conozcas.
• Nunca rellenes preguntas personales para recuperar ningún acceso -- yo también puedo averiguar el nombre de tu perro, o a qué colegio fuiste. Solamente usa contraseñas seguras gestionadas por tu gestor de contraseñas.
• Nunca compartas una contraseña o llave de encriptación con nadie.
• Actualiza todo el software que utilices. Los parches de actualización muchas veces son parches de seguridad.
• La VPN debe estar activada siempre en ordenador y móvil.
• No te conectes a redes WiFi abiertas que no conoces.

En resumen...

Diego Miranda-Saavedra es científico de datos y profesor en el máster de Inteligencia de Negocio y Big Data de los estudios de Informática, Multimedia y Comunicacion y de Economia y Empresa de la Universitat Oberta de Cataluya (UOC).