Apuntes sobre el Control de Seguridad Operativa

La información de este artículo está sujeta a la experiencia personal y puede estar incompleta. Ante todo, el lector debe aplicar medidas basándose en su modelo de amenazas y nunca replicar mecánicamente las recomendaciones de un tercero.


El Control de Seguridad Operativa (OPSEC) se refiere al conjunto de principios y medidas puestas en práctica para proteger la información de amenazas de terceros, minimizando el impacto y salvaguardando la confidencialidad de la información. Consiste en verse a uno mismo desde los ojos de un tercero con el fin de identificar y corregir nuestros puntos débiles.

El marco OPSEC se puede dividir en varias fases:

Identificación de información sensible – Deben identificarse y analizarse los elementos a proteger, es decir, aquellas actividades que no queremos que sean descubiertas por terceros.

Evaluación de amenazas – Consiste en tener en cuenta qué personas u organizaciones externas podrían querer conocer los datos identificados anteriormente.

Análisis de vulnerabilidades – Debemos identificar los puntos débiles existentes en nuestra configuración y modus operandi que podrían ser aprovechados por las amenazas evaluadas en el punto anterior.

Aplicación de medidas – Se implementarán las medidas de seguridad necesarias para evadir y mitigar los riesgos.

Supervisión contínua – Se realiza una supervisión regular sobre las prácticas y medidas de seguridad adoptadas, teniendo en cuenta toda información nueva (desde vulnerabilidades recientes hasta alteraciones en el modo de operar) y aplicando las medidas necesarias.

Siguiendo estrictamente una metodología OPSEC adaptada a tu contexto, deberías ser capaz de prevenir las intervenciones externas y/o mitigar sus consecuencias.

En el contexto digital, debemos hablar de seguridad, privacidad, libertad y anonimato. Estos términos tienden a ser mezclados y usados como sinónimos de forma recurrente en aportes relacionados con la seguridad informática. Es importante entenderlos para aprender a complementarlos y no caer en soluciones automáticas fuera de la comprensión del usuario.

La privacidad se refiere al control y confidencialidad de los datos. Implica proteger y limitar el acceso a la información. En las TIC, las técnicas de cifrado son las que aseguran la privacidad de las comunicaciones, garantizando que solo las personas a las que va dirigido el mensaje podrán leer su contenido, evitando así que terceros no autorizados accedan a la información. La privacidad implica la capacidad de guardar secretos.

El anonimato es la condición de permanecer desconocido o no identificado. Las soluciones de anonimato rompen el vínculo entre el contenido de las comunicaciones y la identidad de los interlocutores. En las comunicaciones, el anonimato puede servir para desprenderse de un nombre y depositar la atención en la información que se transmite, o bien para protegerse si se rompe la privacidad en una comunicación, desvinculando a los interlocutores aun cuando se conoce el contenido del mensaje.

La seguridad busca garantizar la integridad, confidencialidad y disponibilidad de los recursos y la información. Se refiere a la protección de los sistemas y datos frente a amenazas y riesgos, como ataques, robos o daños físicos. La seguridad operativa y del entorno de trabajo es imprescindible para asegurar la privacidad y el anonimato. Si existen brechas de seguridad y un atacante es capaz de llegar hasta la cocina, no importa cuántas capas de cifrado y nodos intermediarios se usen.

La libertad es el derecho fundamental para actuar y tomar decisiones sin restricciones. Debe estar por encima de todo. En el contexto de las TIC, la libertad es la capacidad de acceso, uso, modificación y distribución del software. Cuando se ofusca el código fuente y no hay libertad para auditarlo, es el usuario quien está a disposición del software, y no al revés. El código abierto o libre es lo que puede asegurar que el usuario tiene —o puede tener— el control sobre lo que está ejecutando. De este modo, cualquier promesa de seguridad, privacidad y anonimato se respalda con hechos concretos.

Dependiendo del modelo de amenazas y de las necesidades del usuario, se combinarán soluciones distintas para obtener resultados adecuados a la situación.

En cualquier caso, empieza por mantener la boca cerrada. Nadie va a arriesgar su seguridad para guardar tus secretos. Tu actividad clandestina debe estar aislada respecto a tu vida cotidiana.

El mundo está repleto de teléfonos que disponen de incontables módulos de rastreo que no pueden ser desactivados, ni siquiera apagando el dispositivo. Hay domos en las tiendas y locales, lectores de radiofrecuencia en las salidas, radares en las carreteras y cámaras, micrófonos y localizadores en los vehículos. Los dispositivos inteligentes incorporan lentes, micrófonos y otros sensores que envían datos a servidores remotos constantemente. Hay drones en el aire y satélites en el cielo. El tráfico de internet y las torres de telecomunicaciones están controladas por las autoridades. Las transacciones digitales están vinculadas a un nombre. Los billetes de transporte se asocian a una identidad real, o en su defecto, a una fecha y lugar de compra donde en la mayoría de casos hay cámaras de seguridad.

Lejos de ser ficción, los servicios de inteligencia y fuerzas de seguridad del Estado recopilan, procesan, cruzan y almacenan todo tipo de datos con el fin de crear perfiles individuales sobre la población civil. Las empresas privadas no desaprovechan la oportunidad de hacer lo mismo con la información que obtienen de la navegación de los usuarios en las plataformas digitales. Y para colmo, el mundo sufre una necesidad enfermiza de compartirlo todo en todo momento a través de los espacios digitales controlados por la clase dominante.

Cuando operas clandestinamente, debes saber que en cualquier lugar pueden haber sistemas de escucha y rastreo que podrían usarse para informar sobre tu actividad. Pero buscando pasar desapercibido puedes convertirte en un foco de atención. Pasar desapercibido significa mezclarte entre las masas, no dar motivos para ser objeto de interés; en resumen, ser uno más entre la multitud. Esto implica saber cuando no usar determinados sistemas de ocultación. Puedes llamar más la atención por usar una máscara que por la actividad que puedas estar desarrollando mientras lo llevas puesto.

Actúa presuponiendo que te están observando todo el tiempo, tanto si es para ocultarte como para no hacerlo.

Si escondes dispositivos, soportes digitales, documentos u objetos que puedan meterte en problemas, tal vez te interese controlar el acceso a la ubicación de aquello que quieres ocultar. Aunque tu adversario pueda encontrarlo si no está lo suficientemente oculto o protegido, será útil saber tanto si alguien ha estado en el lugar como si ha encontrado algo que no debía.

Haven es una solución barata para monitorear actividad en espacios usando un teléfono móvil con Android. Esto sirve como alternativa al uso de cámaras de seguridad y otros sensores, pudiendo pasar desapercibido como un teléfono normal al mismo tiempo que ofrece más datos que otras soluciones más comunes. Haven es capaz de ofrecer datos procedentes del acelerómetro, la cámara, el micrófono, el sensor fotosensible y el control de batería del dispositivo.

Si tu equipo almacena datos sensibles, deberías tener un control sobre su manipulación física cuando no está contigo. Aun cuando se trata de una laptop y la llevas a todas partes, habrán momentos en los que no lleves contigo el dispositivo, no le estés prestando atención o simplemente estés durmiendo.

Para un adversario con conocimientos, es relativamente sencillo instalar sensores para monitorearte o hacer una copia exacta de tu disco para analizarlo posteriormente. En la mayoría de casos será obligatorio desatornillar la carcasa para alcanzar los componentes electrónicos, y aunque es inevitable que accedan a ellos fuera de tu presencia, es importante ser consciente de posibles manipulaciones para actuar en consecuencia.

Mullvad propone una solución basada en pintauñas con glitter. Consiste en cubrir todas las áreas vulnerables (tornillos, tapas, puertos accesibles, etc.) con tapones usando pegamento y aplicar pintauñas con glitter por encima, ya que el resultado de los trazos será único y podrás saber si se ha reemplazado comparándolo con una fotografía que hayas tomado. Una opción más sencilla es aplicar pintauñas o cera sobre los tornillos, de forma que quede una marca cuando se introduzca un destornillador.

Sin embargo, esto puede levantar sospechas, indicando que tienes algo que ocultar. Otra manera más sutil de obtener casi el mismo resultado es posicionar la cruz de los tornillos en una dirección concreta, de forma que puedas reconocer su manipulación si tu adversario no tiene el cuidado suficiente.

Si detectas rastros de actividad sospechosa en tus equipos o espacios, es posible que tu adversario haya instalado sensores, rastreadores u otros medios para monitorear tus operaciones. En ese caso, lo mejor es alejarte del lugar sin levantar sospechas. Actúa como si no te hubieras dado cuenta. No permitas que tu adversario sepa que lo has detectado. Aunque tengas conocimientos sobre informática y circuitos integrados, no trates de eliminar rastreadores o puertas traeras. Eso podría ponerte en peligro. Limítate a llevarte los dispositivos de alamacenamiento u objetos con información sensible, dejando atrás el resto.

Simplemente actúa de forma normal, lo que te permitirá ganar tiempo para pensar en qué hacer.

Ante todo, no entres en pánico. Consigue acceso a un dispositivo limpio y elimina todo lo que tenga que ver con la identidad relacionada con las operaciones que crees que están siendo perseguidas. Cuando te sientas seguro, destruye los componentes de todos tus dispositivos electrónicos e intenta deshacerte de ellos repartiéndolos en distintos contenedores.

Anota los datos de tu abogado y, de ser necesario, avísale de lo que puede estar por venir.

Por último vuelve a tu actividad normal.

Salud.


napalm@cryptolab.net