Los teléfonos móviles, juegan hoy en día un rol central en nuestras vidas, centralizando cada vez más funciones, incluyendo cada vez más servicios y prestaciones. Esta tendencia, lejos de haber concluído, se sigue desarrollando a la par de la creciente digitalización de la información, el aumento de las capacidades de procesamiento, almacenamiento y transmisión de información.
De esta manera se convirtieron en un enorme terreno de disputa de empresas y gobiernos al cual se destinan importantes y crecientes recursos, no solamente por intereses económicos sino también como medio de control social, espionaje y vigilancia de la población. El lema “mobile first” que se hizo famoso hace unos años para pensar el desarrollo web orientado a los dispositivos móviles, también se aplica para pensar la protección de nuestras comunicaciones en las redes.
En este contexto el aumento de la lucha de clases y la represión como puede verse en Bolivia y Chile, pone a la orden del día la necesidad de garantizar mayores niveles de privacidad y seguridad a la hora del uso de nuestros teléfonos móviles. Especialmente con un enfoque orientado a militantes, manifestantes y activistas con respecto a la vigilancia estatal y paraestatal. Se hace necesario tomar recaudos también para periodistas que realizan investigaciones sobre asuntos sensibles y necesitan preservar la identidad de sus fuentes.
Hoy en día el espionaje de las comunicaciones se realiza en distintos niveles, no sólo lo realizan las grandes empresas de Internet junto a Estados Unidos como fue denunciado por Edward Snowden. Sino también en cada país donde existen distintas fuerzas represivas y agencias de inteligencia estatales y privadas, con cada vez más recursos y herramientas dedicados al control de las comunicaciones digitales. Aunque habrá que evaluar qué medidas se pueden tomar en situaciones de lucha de clases más extremas como un golpe de estado o una situación prerrevolucionaria, no basta esperar estos momentos para proteger nuestras comunicaciones, ya que la mayor parte de la información se recolecta y acumula en “tiempos de paz” y es un “ejercicio” que es necesario ir practicando en cualquier organización que se prepare para estos momentos.
Dada la importancia del tema y el poco material que existe tomando este enfoque, profundizaremos algunos aspectos para tener una guía comprensible que aborde los principales problemas y una serie de buenas prácticas para mejorar nuestros niveles de privacidad en nuestras comunicaciones.
A diferencia de las computadoras de escritorio, los dispositivos móviles tienen más limitaciones a la hora proteger la privacidad de nuestras comunicaciones. Además de los problemas de seguridad existentes en las computadoras de escritorio y en las redes sociales, se suman nuevos problemas ya que estos dispositivos están más atados a sus fabricantes, a sistemas operativos privativos (cerrados) y a las empresas de telecomunicación locales. Es más difícil reemplazar el sistema operativo, es más difícil investigar los ataques de malware, es más difícil eliminar o reemplazar el software no deseado y es más difícil evitar que los operadores de telefonía móvil controlen el uso del dispositivo, en particular en cuanto el seguimiento de la ubicación de las personas.
Sin embargo, es totalmente posible y necesario, tomarnos un tiempo y ciertos recaudos, que aumenten de manera importante nuestros niveles de privacidad y seguridad en el uso de nuestros teléfonos, en la medida de nuestras posibilidades, sin que los mismos afecten necesariamente nuestras relaciones personales y políticas. Es importante comprender que esto no se soluciona mágicamente con una herramienta, sino que empieza por un conjunto de buenas prácticas más seguras usando las herramientas que tenemos.
Cuando nos comunicamos lo hacemos a través de redes que son como una cadena, por lo que cuando “un atacante” trate de acceder a la misma intentará hacerlo por el eslabón más débil. Por eso, mejorar nuestra privacidad en las comunicaciones requiere una explicación permanente hacia nuestro entorno sobre esta necesidad y ayudar a transmitir estas prácticas, para que de conjunto puedan conseguirse aumentos importantes en nuestros niveles de seguridad. La comprensión de qué medidas podemos tomar ya es un paso importante.
A continuación cinco recomendaciones para mejorar la seguridad en nuestros teléfonos:
1- Cuidar el uso de las redes sociales
Desde nuestros teléfonos móviles es de donde más hacemos uso de nuestras redes sociales por las cuales compartimos públicamente una enorme cantidad de información personal, esto es necesario muchas veces para nuestras relaciones sociales y políticas. Justamente por esto, es el primer lugar a tener en cuenta a la hora de proteger nuestra privacidad ya que es lo primero que utilizarán quienes quieran tener más información personal y de nuestro entorno.
En este artículo publicado anteriormente se pueden encontrar, algunas sugerencias para mejorar nuestra seguridad en las redes sociales que no incluiremos en esta nota, pero que es conveniente recordar y tener en cuenta antes que nada:
El problema con los teléfonos, es que si cualquier persona tiene acceso físico a nuestro teléfono por olvido, pérdida, robo, o detención por parte de una fuerza de seguridad, este tendrá acceso también a gran parte de nuestra información privada.
Una de las medidas más elementales que conocemos es bloquear el teléfono, donde la opción de hacerlo por contraseña es la más segura. Aunque el bloqueo puede ser útil en muchas situaciones, no es suficiente si el teléfono cae en manos de quienes tengan conocimientos avanzados.
Por lo que lo recomendable para información privada o sensible que queramos resguardar es encriptar los contenidos ya sea de una carpeta, de una tarjeta de memoria o de todo el teléfono, hoy en día gran parte de los teléfonos lo permiten. Acostumbrarse a encriptar o cifrar nuestros contenidos y guardarlos en una "nube" puede ser una buena práctica para evitar perder nuestra información.
No usar contraseñas “fáciles”, ni usar la misma en varios lados también es muy importante. Pero sobre todo lo más importantes es habilitar la autenticación de dos factores que hoy tienen la mayoría de las aplicaciones y redes sociales.
Otra de las recomendaciones más frecuentes es mantener actualizado el sistema operativo y las aplicaciones que suelen tener arreglos de seguridad utilizados por hackers y organizaciones de vigilancia. Hay que tener mucho cuidado y desconfianza con la instalación de aplicaciones o con la descarga de archivos de sitios o personas desconocidas que pueden infectar nuestros dispositivos móviles.
3- Cuidar la ubicación
Uno de los aspectos más importantes a tener en cuenta muchas veces pasado por alto y subestimado es el seguimiento de la ubicación de los dispositivos móviles.
No nos referimos a la ubicación por GPS, sino al método conocido como triangulación de antenas de telefonía, este es el método más común que se utiliza en las investigaciones policiales que muchas veces salen en los medios. Se utiliza en todo el mundo desde hace muchos años, pero muchas veces se subestiman sus implicancias.
¿Por qué es importante?
Primero porque el seguimiento de los teléfonos se realiza y se almacena de manera permanente y generalizada a toda la población, mientras tenga el teléfono encendido (sin necesidad de tener activado el GPS) con una precisión que puede llegar a unos pocos metros. Esto permite almacenar y conocer los movimientos de toda la población, dónde pasan la noche, dónde trabajan, dónde se reúnen, a qué hora y con quiénes o si estuvieron presentes en tal o cuál manifestación. Esto permite hacer análisis detallados de patrones de comportamiento y relaciones entre personas muy avanzados.
Hay que tener en cuenta también que este método no está solamente al alcance de las grandes compañías de Internet, sino que lo realizan obligatoriamente y por ley, las empresas de telefonía locales. Por lo que está al alcance de la vigilancia estatal y de los servicios de inteligencia locales de cada país.
Esto se realiza de manera sistemática sin necesidad de intervención del teléfono, ni de orden judicial, donde las empresas de telefonía tienen incluso la obligación de almacenar esta información de manera sistemática. Esta información permanece en las empresas telefónicas pero luego podría ser usada por ejemplo para persecuciones judiciales, fuerzas represivas o quedar a disposición de gobiernos de facto después de un golpe de estado.
Una deuncia de las más conocidas es la de Malte Spitz, militante del Partido Verde alemán allá por el año 2011, que pudo conseguir mediante una orden judicial que la telefónica de Alemania (Deutsche Telekom), tuviera que entregar la información que tenían de su teléfono móvil, durante 6 meses. El resultado fue una enorme cantidad de registros de ubicación, mensajes y llamadas, que pueden visualizarse en un mapa de seguimiento.
Además de los datos que registran las empresas de telefonía, existen “torres móviles” o "IMSI catcher" instaladas en determinados lugares que permiten (a las fuerzas de seguridad o quien los use) registrar sistemáticamente información de los teléfonos en una zona determinada.
El almacenamiento de este tipo de “metadatos”, tiene un costo relativamente bajo y permiten revelar una muy detallada información y patrones de uso de cualquier teléfono móvil.
No solamente es posible registrar la información del chip o tarjeta SIM de un teléfono, sino que también se registra la información que identifica al equipo de fábrica, conocido como IMEI. El seguimiento de los IMEI por parte de las fuerzas de seguridad es ampliamente utilizado en todo el mundo, existe incluso un registro internacional de IMEI robados.
Aunque es difícil de evitar este seguimiento por el uso que le damos a nuestros teléfonos, es importante saber que este seguimiento existe y cómo funciona. Muchas veces no es necesario escuchar las conversaciones, sino que basta saber con quienes se reúnen, dónde y a qué hora.
Evidentemente, no es sencillo superar estas limitaciones, pero es importante al menos conocer la existencia de estos seguimientos y su funcionamiento. Por eso una de las pocas alternativas que tenemos, si no quisiéramos que se registre nuestra ubicación en determinado momento, es directamente apagar el teléfono (antes de movernos a dicha ubicación). Eso puede ser algo necesario por ejemplo para un periodista de investigación que se encuentre con una fuente sensible o si no se quiere que un teléfono quede asociado a la participación de una actividad en determinado lugar. Aunque hay que tener en cuenta que también puede llamar la atención el sólo hecho de apagar el teléfono en determinado momento y más si varias personas lo hacen al mismo tiempo por lo que una alternativa sería directamente no llevar el teléfono si no queremos que quede asociado a determinada ubicación. Aunque claro que generalmente juega un rol muy importante llevar el teléfono para poder registrar y poder difundir y denunciar hechos como represiones o detenciones en tiempo real.
Otra alternativa, si se quiere tener comunicaciones seguras es usar teléfonos “no quemados” o anónimos. Para empezar esto requiere superar las dificultades legales y comerciales de adquirir teléfonos que no estén asociados a personas o cuentas determinadas. Pero además esto requiere que dichos teléfonos no tengan llamadas, mensajes o redes sociales asociadas sino también cuyo equipo no tenga un registro de movimientos que pueda dar información sobre nosotros.
Como vemos, evitar el seguimiento de las personas por parte del Estado, por ejemplo ante un golpe de Estado, hoy en día es bastante complicado, no solamente por el uso de los teléfonos sino por el uso creciente de otras tecnologías como las cámaras de seguridad y técnicas de reconocimiento facial y biométrico. Sin embargo, como dijimos antes, es importante conocer su existencia y funcionamiento y es posible aumentar de manera importante nuestros niveles de privacidad de acuerdo a nuestras posibilidades y necesidades.
4- Los sistemas de mensajería: Whatsapp, Telegram, Signal
Las llamadas de voz y mensajes por SMS de nuestros teléfonos no se realizan de forma segura por lo que es conveniente buscar alternativas si queremos proteger nuestras comunicaciones. La forma de comunicación más masiva que tenemos hoy para comunicarnos son los sistemas de mensajería como Whatsapp, Telegram, Signal u otros, alrededor de los cuales hay un debate permanente sobre qué sistema de mensajería es más seguro.
Sin embargo, hoy en día, los riesgos más comunes no pasan por la posibilidad de vulnerar los sistemas de encriptación sino por la posibilidad de que los atacantes puedan tener acceso a nuestras cuentas por distintos medios. Para evitar esto, quizás lo más importante sea habilitar la autenticación por dos factores que hoy en día tienen la mayoría de las aplicaciones y no usar contraseñas “fáciles”.
También hay que recordar que las computadoras públicas suelen ser muy peligrosas porque no sabemos que pueden tener instalado por lo que no es recomendable usar las versiones web (o de escritorio) de los sistemas de mensajería en computadoras públicas o que no conocemos.
Para tener en cuenta:
Borrar historiales: Los historiales de los chats en todos los sistemas de mensajería, son uno de los puntos que más tenemos que cuidar. Una buena práctica es borrar toda información privada o sensible que hayamos tenido que compartir por esta vía cuando ya no la necesitemos, ya sea manualmente o bien activando modos de autodestrucción automática si el sistema de mensajería lo permitiera. Además de borrar los chats, si tuvieramos información sensible que hayamos intercambiado sería conveniente borrarla también de las carpetas internas del teléfono. Esta práctica nos ayuda a proteger nuestra información personal en el caso de que alguien pueda acceder a nuestra cuenta por situaciones comunes como pueden ser la pérdida o robo del teléfono. El uso de navegadores de escritorio que quedan abiertos (especialmente en Telegram no es sencillo desconectarse) o porque alguien pueda acceder a nuestras copias de seguridad (backups) que se almacenan en el teléfono o en alguna “nube”.
Anonimato: Otro de los principales aspectos a tener en cuenta es la posibilidad de anonimato en las comunicaciones. En el caso de Whatsapp y Signal para comunicarse los usuarios necesitan conocer sus respectivos números de teléfono, mientras que en el caso de Telegram esto no es necesario ya que la comunicación se realiza por nombre de usuario y no requiere teléfono asociado. A la hora de intercambiar información delicada con otra persona, no está de más verificar que la otra persona sea quien dice ser por su usuario o teléfono.
Whatsapp: Sus principales cuestionamientos en cuanto a la seguridad están dados por pertenecer a Facebook, la cantidad de metadatos (información sobre nuestras comunicaciones) que utiliza y el uso que esta empresa le pueda llegar a dar. Otro de los aspectos cuestionados es que impide el anonimato, porque para comunicarse los usuarios necesitan conocer sus respectivos números de teléfono.
Telegram: Una de sus principales ventajas en cuanto a su privacidad, es que nos podemos comunicar con otra persona sin necesidad de conocer su número de teléfono. En cuanto a su sistema de encriptación ha sido cuestionado por especialistas, pero tampoco hay referencias de que haya sido vulnerado y en última instancia se recomienda el chat secreto con autodestrucción por lo que Telegram sigue siendo fuertemente recomendado. Sin embargo, esto no evita que nuestras cuentas puedan ser hackeadas. La enorme mayoría de los casos en que se filtran los chats, son porque se consigue acceder a la cuenta o al teléfono. En el caso, por ejemplo, de las filtraciones del juez Moro en Brasil donde se filtraron sus conversaciones de Telegram sobre el Lava Jato, estas se obtuvieron al solicitar autenticación de la cuenta por SMS, logrando que entrara por el buzón de voz del teléfono que generalmente mantiene su contraseña por defecto cuestión que también existe en Whatsapp o con cualquier sistema que se autentique por SMS.
Signal y otros:Signal, es un sistema de mensajería orientado a la seguridad, requiere menos información personal o “metadatos” que Whatsapp, pero requiere también el número de teléfono para comunicarse. Tiene un sistema de encriptación punta a punta y configuraciones más avanzadas de seguridad, por lo que es considerada una de la más segura por especialistas, como Edward Snowden quien siempre la recomienda. También existen otros sistemas de mensajería muy recomendados por la comunidad como Keybase o Matrix. Una buena opción para una comunicación avanzada y con mayores niveles de seguridad y anonimato por correo es Protonmail, que no requiere información personal para registrarse. Si se quiere un nivel de anonimato mayor en las comunicaciones, es conveniente que los nombres de las cuentas no sea los mismos en los distintos servicios para evitar que se puedan relacionar o asociar las comunicaciones a través de los “metadatos” (como los nombres de las cuentas).
5- El problema de los documentos compartidos
Hoy en día cada vez más se usan documentos, hojas de cálculo así como fotos y videos personales, privados o sensibles en la “nube”, es decir en los servidores de empresas como Google y otras. Todo este material muchas veces es privado y lo compartimos online de manera permanente desde nuestros teléfonos. No nos detendremos en esta nota, en el uso que le puedan dar estas empresas a esos contenidos que ya es bastante cuestionable.
Existen opciones de privacidad para determinar quién puede acceder estos documentos. Uno de los errores más comunes es suponer que la privacidad de nuestros datos estará resguardada con la opción de que sólo pueda acceder quien tenga el link al mismo, esto da una falsa sensación de privacidad porque se supone que nadie podrá conocer dicho enlace. Sin embargo, nada más falso que esto. El link de los documentos compartidos, muchas veces viaja públicamente por las redes sin ninguna protección(así como en el historial de los navegadores), por lo que cualquier persona con capacidad para observar el tráfico de las redes puede monitorear estos links e intentar acceder a los mismos. Si la configuración de privacidad de los documentos, permite que cualquiera pueda acceder con el link esta información quedará expuesta a una gran cantidad de personas y organizaciones. Por eso es importante siempre configurar y controlar los documentos que tengamos compartidos con información sensible para que solamente puedan ser accedidos por determinadas cuentas (también es posible hacerlo para grupos de correos), pero no dejar que cualquiera con el link pueda acceder.
No está de más, tampoco, seleccionar la opción que impide descargar los documentos, para evitar que los mismos se descarguen en computadoras de uso público, ya que aunque borremos el material de la misma, incluso de la papelera de reciclaje, la información puede recuperarse.
Otra buena práctica es borrar sistemáticamente todos los documentos que tengamos con información personal, privada o sensible de nuestras “nubes” una vez que no lo necesitemos más. Está claro que las empresas que manejan estos servicios, muchas veces mantienen la información. Pero el mayor peligro, en realidad es que alguien pueda ganar acceso a nuestra cuenta por algún motivo en algún momento y que quede expuesta mucha de nuestra información innecesariamente. Para mayores niveles de seguridad, lo recomendable desde ya será que la información sensible que guardemos en la “nube” esté además encriptada.
