Guía del anonimato en línea (por https://anonymousplanet.org/)

Utilícela bajo su propia responsabilidad. Por favor, no tome esta guía como una verdad definitiva para todo porque no lo es.

Spoiler: Índice

• Introducción:
• Entender algunos conceptos básicos de cómo cierta información puede conducir de nuevo a usted y cómo mitigar algunos:
  • Tu Red:
    • Tu dirección IP:
    • Sus solicitudes DNS e IP:
    • Sus dispositivos con RFID:
    • Los dispositivos Wi-Fis y Bluetooth que le rodean:
    • Los puntos de acceso Wi-Fi maliciosos/corruptos:
    • Su tráfico Tor/VPN anonimizado:
    • Algunos dispositivos pueden ser rastreados incluso cuando están desconectados:
  • Sus identificadores de hardware:
    • Su IMEI e IMSI (y por extensión, su número de teléfono):
    • Su dirección MAC Wi-Fi o Ethernet:
    • Su dirección MAC Bluetooth:
  • Tu CPU:
  • Tus Sistemas Operativos y servicios de telemetría de Apps:
  • Tus dispositivos Smart en general:
  • Tú mismo:
    • Tus Metadatos incluyendo tu Geolocalización:
    • Tu Huella Digital, Footprint y Comportamiento Online:
    • Tus Pistas sobre tu Vida Real y OSINT:
    • Tu cara, voz, biometría y fotos:
    • Phishing e ingeniería social:
  • Malware, exploits y virus:
    • Malware en tus archivos/documentos/correos electrónicos:
    • Malware y exploits en tus aplicaciones y servicios:
    • Dispositivos USB maliciosos:
    • Malware y backdoors en tu Firmware de Hardware y Sistema Operativo:
  • Tus archivos, documentos, imágenes y vídeos:
    • Propiedades y metadatos:
    • Marcas de agua:
    • Información pixelada o borrosa:
  • Tus transacciones de Criptomonedas:
  • Tus copias de seguridad/servicios de sincronización en la nube:
  • Las huellas de tu navegador y dispositivo:
  • Fugas de Datos Locales y Forenses:
  • Mala Criptografía:
  • Sin registro pero con políticas de registro de todos modos:
  • Algunas técnicas avanzadas:
  • Algunos recursos adicionales:
  • Notas:
• Preparativos generales:
  • Elección de la ruta:
    • Limitaciones de tiempo:
    • Limitaciones de presupuesto/material:
    • Habilidades:
    • Adversarios (amenazas):
  • Pasos para todas las rutas:
    • Conseguir un número de teléfono anónimo:
    • Consigue una llave USB:
    • Encuentra lugares seguros con Wi-Fi público decente:
  • La ruta TAILS:
    • Negación plausible persistente usando Whonix dentro de TAILS:
  • Pasos para todas las demás rutas:
    • Consigue un portátil específico para tus actividades delicadas:
    • Algunas recomendaciones sobre portátiles:
    • Configuración Bios/UEFI/Firmware de su portátil:
    • Proteja físicamente su portátil:
  • La ruta Whonix:
    • Elección del sistema operativo anfitrión (el sistema operativo instalado en el portátil):
    • Linux Host OS:
    • MacOS Host OS:
    • Sistema operativo Windows:
    • Virtualbox en su SO anfitrión:
    • Elige tu método de conectividad:
    • Consigue una VPN/Proxy anónima:
    • Whonix:
    • Tor sobre VPN:
    • Whonix Máquinas Virtuales:
    • Elija su máquina virtual de estación de trabajo invitada:
    • Máquina Virtual Linux (Whonix o Linux):
    • Máquina Virtual Windows 10:
    • Máquina Virtual Android:
    • Máquina Virtual MacOS:
    • KeepassXC:
    • Instalación de cliente VPN (pago en efectivo/Monero):
    • (Opcional) permitiendo que sólo las VMs accedan a internet mientras se corta el SO Host para evitar cualquier fuga:
    • Paso final:
  • La Ruta Qubes:
    • Elige tu método de conectividad:
    • Consigue una VPN/Proxy anónima:
    • Instalación:
    • Comportamiento de cierre de la tapa:
    • Conectarse a una Wi-Fi pública:
    • Actualizar Qubes OS:
    • Hardening Qubes OS:
    • Configurar la VPN ProxyVM:
    • Configurar un Navegador seguro dentro de Qube OS (opcional pero recomendado):
    • Configurar una VM Android:
    • KeePassXC:
• Creando tus identidades anónimas en línea:
  • Comprender los métodos utilizados para evitar el anonimato y verificar la identidad:
    • Captchas:
    • Verificación por teléfono:
    • Verificación por correo electrónico:
    • Verificación de datos de usuario:
    • Comprobación de la identidad:
    • Filtros IP:
    • Huellas digitales de navegadores y dispositivos:
    • Interacción humana:
    • Moderación de usuarios:
    • Análisis del comportamiento:
    • Transacciones financieras:
    • Inicio de sesión con alguna plataforma:
    • Reconocimiento facial en vivo y biometría (de nuevo):
    • Revisiones manuales:
  • Conectarse:
    • Creación de nuevas identidades:
    • El sistema de nombre real:
    • Acerca de los servicios de pago:
    • Visión general:
    • Cómo compartir archivos o chatear de forma anónima:
    • Redactar documentos/imágenes/vídeos/audio de forma segura:
    • Comunicación de información sensible a diversas organizaciones conocidas:
    • Tareas de mantenimiento:
• Cómo hacer copias de seguridad seguras:
  • Copias de seguridad sin conexión:
    • Copias de seguridad de archivos seleccionados:
    • Copias de seguridad de todo el disco/sistema:
  • Copias de seguridad en línea:
    • Archivos:
    • Información:
  • Sincronizar tus archivos entre dispositivos Online:
• Cubrir sus huellas:
  • HDD vs SSD:
    • Nivelación del desgaste.
    • Operaciones de recorte:
    • Recogida de basura:
    • Conclusión:
  • Cómo borrar de forma segura todo tu Portátil/Drives si quieres borrarlo todo:
    • Linux (todas las versiones incluyendo Qubes OS):
    • Windows:
    • MacOS:
  • Cómo borrar de forma segura archivos/carpetas/datos específicos en tu HDD/SSD y unidades Thumb:
    • Windows:
    • Linux (no Qubes OS):
    • Linux (Qubes OS):
    • MacOS:
  • Algunas medidas adicionales contra los forenses:
    • Eliminación de metadatos de archivos/documentos/imágenes:
    • TAILS:
    • Whonix:
    • MacOS:
    • Linux (Qubes OS):
    • Linux (no Qubes):
    • Windows:
  • Eliminación de algunos rastros de sus identidades en los motores de búsqueda y diversas plataformas:
    • Google:
    • Bing:
    • DuckDuckGo:
    • Yandex:
    • Qwant:
    • Yahoo Search:
    • Baidu:
    • Wikipedia:
    • Archive.today:
    • Internet Archive:
• Algunos trucos de baja tecnología de la vieja escuela:
  • Comunicaciones ocultas a plena vista:
  • Cómo detectar si alguien ha estado registrando tus cosas:
• Últimas reflexiones sobre OPSEC:
• Si crees que te has quemado:
  • Si tienes tiempo:
  • Si no tiene tiempo:
• Una pequeña nota editorial final

 

[HEISENBERG]

Introducción.

TLDR para toda la guía: "Un juego extraño. La única jugada ganadora es no jugar".


Crear una cuenta en las redes sociales con un seudónimo o un nombre de artista/marca es fácil. Y es suficiente en la mayoría de los casos para proteger tu identidad como el próximo George Orwell. Hay un montón de gente que utiliza seudónimos en Facebook/Instagram/Twitter/LinkedIn/TikTok/Snapchat/Reddit/... Pero la gran mayoría de ellos son cualquier cosa menos anónimos y pueden ser fácilmente rastreados hasta su identidad real por los agentes de policía locales, gente al azar dentro de la comunidad OSINT (Open-Source Intelligence) y trolls en 4chan.


Esto es bueno, ya que la mayoría de los criminales/trolls no son expertos en tecnología y pueden ser identificados fácilmente. Pero también es algo malo, ya que la mayoría de los disidentes políticos, activistas de derechos humanos y denunciantes también pueden ser rastreados con bastante facilidad.


Esta guía actualizada pretende ofrecer una introducción a varias técnicas de desanonimización, técnicas de rastreo, técnicas de verificación de identidad y orientación opcional para crear y mantener identidades razonablemente anónimas en línea, incluidas cuentas de redes sociales, de forma segura. Esto incluye las principales plataformas y no sólo las que respetan la privacidad.


Es importante entender que el propósito de esta guía es el anonimato y no sólo la privacidad, pero muchas de las orientaciones que encontrarás aquí también te ayudarán a mejorar tu privacidad y seguridad incluso si no estás interesado en el anonimato. Hay un importante solapamiento en las técnicas y herramientas utilizadas para la privacidad, la seguridad y el anonimato, pero difieren en algún punto:

• La privacidad consiste en que la gente sepa quién eres, pero no lo que haces.
• El anonimato consiste en que la gente sepa lo que haces, pero no quién eres.

¿Te ayudará esta guía a protegerte de la NSA, el FSB, Mark Zuckerberg o el Mossad si te buscan? Probablemente no... El Mosad estará haciendo "cosas del Mosad" y probablemente te encontrará, por mucho que intentes esconderte.


Debes considerar tu modelo de amenaza antes de ir más allá.

¿Te ayudará esta guía a proteger tu privacidad de investigadores OSINT como Bellingcat13, trolls de Doxing14 en 4chan15 y otros que no tienen acceso a la caja de herramientas de la NSA? Es lo más probable. Aunque yo no estaría tan seguro sobre 4chan.


He aquí un modelo básico simplificado de amenazas para esta guía:

Aviso importante: Bromas aparte (amuleto mágico...). Por supuesto, también hay formas avanzadas de mitigar los ataques contra adversarios tan avanzados y hábiles, pero esas están fuera del alcance de esta guía. Es de vital importancia que comprendas los límites del modelo de amenazas de esta guía. Y por lo tanto, esta guía no se duplicará en tamaño para ayudar con esas mitigaciones avanzadas, ya que esto es demasiado complejo y requerirá un conocimiento muy alto que no se espera de la audiencia objetivo de esta guía.


El FEP proporciona algunos escenarios de seguridad de lo que deberías considerar dependiendo de tu actividad. Aunque algunos de estos consejos pueden no estar dentro del ámbito de esta guía (más sobre privacidad que sobre anonimato), merece la pena leerlos como ejemplos. Véase https://ssd.eff.org/en/module-categories/security-scenarios [Archive.org].
También hay bastantes formas más serias de hacer que tu modelo de amenaza sea como:

• LINDDUN https://www.linddun.org/ [Archive .org]
• STRIDE https://en.wikipedia.org/wiki/STRIDE_(seguridad) [Wikiless] [Archive .org]
• DREAD https://en.wikipedia.org/wiki/DREAD_(modelo_de_evaluación_de_riesgos) [Wikiless ] [Archive.org]
• PASTA https://versprite.com/tag/pasta -threat-modeling/ [ Archivo.org]

Y también hay bastantes más, véase:

• https://insights.sei.cmu.edu/blog/threat-modeling-12-available-methods/ [Archive .org]
• https://www.geeksforgeeks.org/threat-modelling/ [Archive .org]

Puedes encontrar alguna introducción al respecto en estos proyectos:

• OWASP https://cheatsheetseries.owasp.org/cheatsheets/Threat_Modeling_Cheat_Sheet.html [Archive .org]
• Seguridad de las operaciones en línea https://github.com/devbret/online-opsec/ [Archive .org]

 

[HEISENBERG]

Comprender algunos aspectos básicos de cómo cierta información puede conducir de nuevo a usted y cómo mitigar algunos.

Además de las cookies del navegador y los anuncios, el correo electrónico y el número de teléfono, hay muchas formas de rastrearle. Y si crees que sólo el Mossad o la NSA/FSB pueden encontrarte, estás muy equivocado.


Puedes considerar ver esta buena lista de reproducción de YouTube como introducción antes de seguir adelante: https://www.youtube.com/playlist?list=PL3KeV6Ui_4CayDGHw64OFXEPHgXLkrtJO [Invidious] (del proyecto Go Incognito https://github.com/techlore-official/go-incognito [Archive.org]). Esta guía cubrirá muchos de esos temas con más detalles y referencias, así como algunos temas adicionales, no cubiertos dentro de esa serie, pero yo recomendaría la serie como una introducción, y sólo le tomará 2 o 3 horas para verlo todo.


Ahora, aquí está una lista no exhaustiva de algunas de las muchas maneras en que usted podría ser rastreado y desanonimizado:

 

[HEISENBERG]

Su red.

Su dirección IP.

Aclaración: todo este párrafo se refiere a su IP pública de Internet y no a la IP de su red local.


Su dirección IP es la forma más conocida y obvia en la que se le puede rastrear. Esa IP es la IP que estás utilizando en origen. Es donde te conectas a Internet. Esa IP suele proporcionártela tu ISP (Proveedor de Servicios de Internet) (xDSL, Móvil, Cable, Fibra, Cafetería, Bar, Amigo, Vecino). La mayoría de los países tienen normativas de retención de datos que obligan a mantener registros de quién utiliza qué IP en un momento/fecha determinados durante varios años o indefinidamente. Su ISP puede decirle a un tercero que usted estaba usando una IP específica en una fecha y hora específicas, años después del hecho. Si esa IP (la de origen) se filtra en algún momento por cualquier motivo, puede utilizarse para localizarle directamente. En muchos países, no podrás tener acceso a Internet sin facilitar algún tipo de identificación al proveedor (dirección, DNI, nombre real, correo electrónico...).


Ni que decir tiene que la mayoría de las plataformas (como las redes sociales) también conservarán (a veces indefinidamente) las direcciones IP que utilizaste para registrarte e iniciar sesión en sus servicios.


Aquí tienes algunos recursos online que puedes utilizar para encontrar información sobre tu IP pública actual en este momento:

• Encuentra tu IP:
  
  • https://resolve.rs/
  • https://www.dnsleaktest.com/ (Bonus, comprueba si hay fugas de DNS en tu IP)
• Encuentra tu ubicación IP o la ubicación de cualquier IP:
  
  • https://resolve.rs/ip/geolocation.html
• Averigua si una IP es "sospechosa" o ha descargado "cosas" en algunos recursos públicos:
  
  • https://www.virustotal.com/gui/home/search
  • https://iknowwhatyoudownload.com
• Información de registro de una IP (lo más probable es que tu ISP o el ISP de tu conexión sepa, quién está usando esa IP en cada momento):
  
  • https://whois.domaintools.com/
• Comprueba si hay servicios abiertos o dispositivos abiertos en una IP (especialmente si hay dispositivos inteligentes con fugas en ella):
  
  • https://www.shodan.io/host/185.220.101.134 (sustituye la IP por tu IP o cualquier otra, o cambia en el cuadro de búsqueda, esta IP de ejemplo es un nodo Tor Exit)
• Varias herramientas para comprobar tu IP como comprobadores de listas negras y más:
  
  • https://www.whatismyip.com
  • https://browserleaks.com/
• ¿Le gustaría saber si está conectado a través de Tor?
  
  • https://check.torproject.org

Por esas razones, necesitaremos ofuscar esa IP de origen (la vinculada a tu identificación) u ocultarla tanto como podamos mediante una combinación de varios medios:

• Usando un servicio Wi-Fi público (gratuito).
• Utilizando la red de anonimato Tor (gratuita).
• Utilizando servicios VPN de forma anónima (pagando anónimamente con dinero en efectivo o Monero).

Todo esto se explicará más adelante en esta guía.

 

[HEISENBERG]

Sus solicitudes de DNS e IP.

DNS significa "Domain Name System" (Sistema de Nombres de Dominio) y es un servicio que utiliza tu navegador (y otras aplicaciones) para encontrar las direcciones IP de un servicio. Es más o menos una enorme "lista de contactos" (guía telefónica para los mayores) que funciona como si le preguntaras un nombre y te devolviera el número al que tienes que llamar. Salvo que en lugar de eso devuelve una IP.


Cada vez que tu navegador quiera acceder a un determinado servicio como Google a través de www.google.com. Tu navegador (Chrome o Firefox) consultará un servicio DNS para encontrar las direcciones IP de los servidores web de Google.


Aquí hay un vídeo que explica DNS visualmente si ya estás perdido:

[Invidious]


Normalmente, el servicio DNS lo proporciona tu ISP y lo configura automáticamente la red a la que te conectas. Este servicio DNS también podría estar sujeto a normativas de retención de datos o simplemente guardar registros por otros motivos (recopilación de datos con fines publicitarios, por ejemplo). Por lo tanto, este ISP será capaz de decir todo lo que hiciste en línea con sólo mirar esos registros que a su vez pueden ser proporcionados a un adversario. Convenientemente, esta es también la forma más fácil para muchos adversarios de aplicar la censura o el control parental mediante el bloqueo de DNS. Los servidores DNS proporcionados le darán una dirección diferente (a la real) para algunos sitios web (como redirigir thepiratebay a algún sitio web del gobierno). Este tipo de bloqueo se aplica ampliamente en todo el mundo para determinados sitios.


Utilizar un servicio DNS privado o tu propio servicio DNS mitigaría estos problemas, pero el otro problema es que la mayoría de esas peticiones DNS se siguen enviando por defecto en texto claro (sin cifrar) a través de la red. Incluso si navegas por PornHub en una ventana de incógnito, usando HTTPS y utilizando un servicio DNS privado, es muy probable que tu navegador envíe una petición DNS de texto claro sin cifrar a algunos servidores DNS preguntando básicamente "¿Cuál es la dirección IP de www.pornhub.com?".


Al no estar cifrada, tu ISP y/o cualquier otro adversario podría interceptar (utilizando un ataque Man-in-the-middle) tu petición, sabrá y posiblemente registrará lo que tu IP estaba buscando. El mismo ISP también puede manipular las respuestas DNS incluso si estás utilizando un DNS privado. Haciendo inútil el uso de un servicio DNS privado.


Además, muchos dispositivos y aplicaciones utilizarán servidores DNS codificados, eludiendo cualquier configuración del sistema que puedas establecer. Este es el caso, por ejemplo, de la mayoría (70%) de las Smart TV y de una gran parte (46%) de las videoconsolas. Para estos dispositivos, tendrás que forzarlos a dejar de usar su servicio DNS codificado, lo que podría hacer que dejaran de funcionar correctamente.


Una solución a esto es usar DNS encriptado usando DoH (DNS sobre HTTPS), DoT (DNS sobre TLS) con un servidor DNS privado (esto puede ser auto alojado localmente con una solución como pi-hole, alojado remotamente con una solución como nextdns.io o usando el proveedor de soluciones por tu proveedor VPN o la red Tor). Esto debería evitar que tu ISP o algún intermediario husmee en tus peticiones... excepto que puede que no.


Pequeño descargo de responsabilidad intermedio: Esta guía no necesariamente respalda o recomienda los servicios de Cloudflare, incluso si se menciona varias veces en esta sección para la comprensión técnica.


Desafortunadamente, el protocolo TLS utilizado en la mayoría de las conexiones HTTPS en la mayoría de los navegadores (Chrome/Brave/Ungoogled-Chromium entre ellos) filtrará el nombre de dominio de nuevo a través de los apretones de manos SNI (esto se puede comprobar aquí en Cloudflare: https://www.cloudflare.com/ssl/encrypted-sni/ [Archive.org]). En el momento de escribir esta guía, sólo los navegadores basados en Firefox soportan ECH (Encrypted Client Hello antes conocido como eSNI) en algunos sitios web, que cifrará todo de extremo a extremo (además de usar un DNS privado seguro sobre TLS/HTTPS) y le permitirá ocultar sus peticiones DNS a terceros. Esta opción tampoco está activada por defecto, así que tendrás que activarla tú mismo.

Además de la limitada compatibilidad con los navegadores, sólo los servicios web y las redes de distribución de contenidos (CDN) detrás de la CDN de Cloudflare son compatibles con ECH/eSNI por el momento. Esto significa que ECH y eSNI no son compatibles (en el momento de escribir esta guía) con la mayoría de las plataformas principales como:

• Amazon (incluyendo AWS, Twitch...)
• Microsoft (incluyendo Azure, OneDrive, Outlook, Office 365...)
• Google (incluyendo Gmail, Google Cloud...)
• Apple (incluyendo iCloud, iMessage...)
• Reddit
• YouTube
• Facebook
• Instagram
• Twitter
• GitHub
• ...

Algunos países como Rusia y China bloquearán los handshakes ECH/eSNI a nivel de red para permitir el fisgoneo y evitar eludir la censura. Esto significa que no podrás establecer una conexión HTTPS con un servicio si no les permites ver de qué se trataba.


Los problemas no acaban aquí. Parte de la validación HTTPS TLS se llama OCSP y este protocolo utilizado por los navegadores basados en Firefox filtrará metadatos en forma del número de serie del certificado del sitio web que está visitando. Así, un adversario puede averiguar fácilmente qué sitio web está visitando cotejando el número de certificado. Este problema puede mitigarse utilizando el grapado OCSP. Desgraciadamente, esta opción está activada pero no aplicada por defecto en Firefox/Tor Browser. Pero el sitio web que estás visitando también debe soportarlo y no todos lo hacen. Los navegadores basados en Chromium, por otro lado, utilizan un sistema diferente llamado CRLSets que es posiblemente mejor.


Aquí tienes una lista de cómo se comportan varios navegadores en relación con OCSP: https://www.ssl.com/blogs/how-do-browsers-handle-revoked-ssl-tls-certificates/ [Archive.org]


Aquí tienes un ejemplo del problema que puedes encontrar en los navegadores basados en Firefox:

Por último, incluso si utiliza un servidor DNS cifrado personalizado (DoH o DoT) con soporte ECH/eSNI y engrapado OCSP, podría no ser suficiente, ya que los estudios de análisis de tráfico han demostrado que todavía es posible identificar y bloquear de forma fiable las solicitudes no deseadas. Sólo DNS sobre Tor fue capaz de demostrar una Privacidad DNS eficiente en estudios recientes, pero incluso eso puede ser derrotado por otros medios (vea Su tráfico Tor/VPN anonimizado).


Uno también podría decidir usar un Servicio DNS Oculto Tor u ODoH (DNS Olvidado sobre HTTPS) para aumentar aún más la privacidad/anonimato pero desafortunadamente, por lo que sé, estos métodos sólo los proporciona Cloudflare en el momento de escribir esto(https://blog.cloudflare.com/welcome-hidden-resolver/ [Archive.org], https://blog.cloudflare.com/oblivious-dns/ [Archive.org]). Personalmente, creo que se trata de opciones técnicas viables y razonablemente seguras, pero también existe la opción moral de utilizar Cloudflare o no (a pesar del riesgo que plantean algunos investigadores).


Por último, también existe esta nueva opción llamada DoHoT que significa DNS sobre HTTPS sobre Tor que también podría aumentar aún más su privacidad/anonimato y que podría considerar si es más hábil con Linux. Ver https://github.com/alecmuffett/dohot [Archive.org]. Esta guía no le ayudará con esto en este momento, pero podría llegar pronto.


Aquí hay una ilustración que muestra el estado actual de la privacidad DNS y HTTPS basado en mi conocimiento actual.

En cuanto a su uso diario normal (no sensible), recuerde que sólo los navegadores basados en Firefox soportan ECH (antes eSNI) hasta ahora y que sólo es útil con sitios web alojados detrás de Cloudflare CDN en esta etapa. Si prefiere una versión basada en Chrome (que es comprensible para algunos debido a algunas características mejor integradas como la Traducción sobre la marcha), entonces yo recomendaría el uso de Brave, en su lugar, que soporta todas las extensiones de Chrome y ofrece una privacidad mucho mejor que Chrome. Alternativamente, si no confías en Brave, también puedes usar Ungoogled-Chromium(https://github.com/Eloston/ungoogled-chromium [Archive.org]).


Pero la historia no termina ahí. Ahora porque después de todo esto, incluso si encriptas tu DNS y usas todas las mitigaciones posibles. Las simples peticiones IP a cualquier servidor probablemente permitirán a un adversario seguir detectando qué sitio está visitando. Y esto es simplemente porque la mayoría de los sitios web tienen IPs únicas vinculadas a ellos, como se explica aquí: https://blog.apnic.net/2019/08/23/what-can-you-learn-from-an-ip-address/ [Archive.org]. Esto significa que un adversario puede crear un conjunto de datos de sitios web conocidos, por ejemplo, incluyendo sus IPs y luego comparar este conjunto de datos con la IP que usted solicita. En la mayoría de los casos, esto dará como resultado una suposición correcta del sitio web que está visitando. Esto significa que a pesar del engrapado OCSP, a pesar de ECH/eSNI, a pesar de usar DNS encriptado... Un adversario todavía puede adivinar el sitio web que está visitando de todos modos.


Por lo tanto, para mitigar todos estos problemas (tanto como sea posible y tan bueno como podamos), esta guía recomendará más adelante dos soluciones: Usar Tor y una solución virtualizada (Ver Apéndice W: Virtualización) multicapa de VPN sobre Tor. También se explicarán otras opciones (Tor sobre VPN, sólo VPN, Sin Tor/VPN) pero son menos recomendables.

 

[HEISENBERG]

Sus dispositivos con RFID.

RFID significa identificación por radiofrecuencia y es la tecnología utilizada, por ejemplo, para los pagos sin contacto y diversos sistemas de identificación. Por supuesto, su smartphone se encuentra entre estos dispositivos y tiene capacidades de pago sin contacto RFID a través de NFC. Como todo lo demás, estas capacidades pueden ser utilizadas para el seguimiento por parte de diversos actores.


Pero, por desgracia, esto no se limita a su teléfono inteligente, y también es probable que llevar una cierta cantidad de RFID dispositivo habilitado con usted todo el tiempo, tales como:

• Tarjetas de crédito/débito sin contacto
• Tarjetas de fidelización de tiendas
• Sus tarjetas de pago de transporte
• Sus tarjetas de acceso al trabajo
• Las llaves del coche
• Su documento nacional de identidad o permiso de conducir
• Su pasaporte
• Las etiquetas de precio/antirrobo de objetos/ropa
• ...

Aunque todo esto no se puede utilizar para desanonimizarte frente a un adversario remoto en línea, sí se puede utilizar para acotar una búsqueda si se conoce tu ubicación aproximada en un momento determinado. Por ejemplo, no se puede descartar que algunas tiendas escaneen (y registren) efectivamente todos los chips RFID que pasan por la puerta. Puede que estén buscando sus tarjetas de fidelización, pero también están registrando otras por el camino. Estas etiquetas RFID podrían rastrear su identidad y permitir la desanonimización.


Más información en Wikipedia: https://en.wikipedia.org/wiki/Radio-frequency_identification#Security_concerns [ Wikiless ] [ Archive.org] y https://en.wikipedia.org/wiki/Radio-frequency_identification#Privacy [Wikiless] [Archive.org]


La única forma de mitigar este problema es no llevar etiquetas RFID o protegerlas con una especie de jaula de Faraday. También puede utilizar carteras especializadas que bloqueen específicamente las comunicaciones RFID. Muchas de ellas las fabrican marcas conocidas como Samsonite.

 

[HEISENBERG]

Los dispositivos Wi-Fis y Bluetooth que te rodean.

La geolocalización no sólo se hace utilizando la triangulación de la antena del móvil. También se hace utilizando los dispositivos Wi-Fis y Bluetooth que te rodean. Los fabricantes de sistemas operativos como Google (Android) y Apple (IOS) mantienen una práctica base de datos de la mayoría de puntos de acceso Wi-Fi, dispositivos Bluetooth y su ubicación. Cuando tu smartphone Android o tu iPhone estén encendidos (y no en modo avión), escanearán pasivamente (a menos que desactives específicamente esta función en los ajustes) los puntos de acceso Wi-Fi y los dispositivos Bluetooth a tu alrededor y podrán geolocalizarte con más precisión que cuando se utiliza un GPS.


Esto les permite proporcionar ubicaciones precisas incluso cuando el GPS está desactivado, pero también les permite mantener un registro conveniente de todos los dispositivos Bluetooth en todo el mundo. A los que luego pueden acceder ellos o terceros para realizar un seguimiento.


Nota: Si tienes un smartphone Android, es probable que Google sepa dónde está, hagas lo que hagas. No se puede confiar realmente en la configuración. Todo el sistema operativo está construido por una empresa que quiere tus datos. Recuerda que si es gratis, entonces tú eres el producto.


Pero eso no es lo que pueden hacer todos esos puntos de acceso Wi-Fis. Las tecnologías desarrolladas recientemente podrían incluso permitir a alguien rastrear tus movimientos con precisión sólo basándose en las interferencias de radio. Esto significa que es posible rastrear tus movimientos dentro de una habitación o edificio basándose en las señales de radio que lo atraviesan. Esto puede parecer una teoría de la conspiración, pero aquí están las referencias con demostraciones que muestran esta tecnología en acción: http://rfpose.csail.mit.edu/ [Archive.org] y el vídeo aquí:

[Invidious]


Por lo tanto, se podrían imaginar muchos casos de uso para este tipo de tecnologías, como grabar quién entra en edificios u oficinas específicos (hoteles, hospitales o embajadas, por ejemplo) y luego descubrir quién se reúne con quién y rastrearlo desde el exterior. Incluso si no llevan un smartphone encima.

Una vez más, este problema sólo podría mitigarse estando en una habitación/edificio que actuara como jaula de Faraday.


Aquí hay otro vídeo del mismo tipo de tecnología en acción:

[Invidious]

 

[HEISENBERG]

Puntos de acceso Wi-Fi maliciosos/pícaros.

Se llevan utilizando al menos desde 2008 mediante un ataque llamado "Jasager" y puede realizarlo cualquiera utilizando herramientas de construcción propia o utilizando dispositivos disponibles en el mercado, como Wi-Fi Pineapple.


Aquí hay algunos vídeos que explican más sobre el tema:

• HOPE 2020, https://archive.org/details/hopeconf2020/20200725_1800_Advanced_Wi-Fi_Hacking_With_$5_Microcontroladores.mp4
• YouTube, Hak5, Wi-Fi Pineapple Mark VII
  [Invidious]

Estos dispositivos caben en una pequeña bolsa y pueden hacerse cargo del entorno Wi-Fi de cualquier lugar dentro de su alcance. Por ejemplo, un bar/restaurante/cafetería/vestíbulo de hotel. Estos dispositivos pueden forzar a los clientes Wi-Fi a desconectarse de su Wi-Fi actual (utilizando ataques de desautentificación y disociación) mientras suplantan las redes Wi-Fi normales en el mismo lugar. Seguirán realizando este ataque hasta que su ordenador o usted mismo decida intentar conectarse al punto de acceso fraudulento.


Estos dispositivos pueden imitar un portal cautivo con el mismo diseño que la red Wi-Fi a la que intentas acceder (por ejemplo, un portal de registro Wi-Fi de aeropuerto). O simplemente podrían darte acceso abierto a Internet que ellos mismos obtendrán del mismo lugar.


Una vez conectado a través del Rogue AP, este AP será capaz de ejecutar varios ataques man-in-the-middle para realizar análisis de tu tráfico. Puede tratarse de redirecciones maliciosas o de un simple rastreo del tráfico. Esto puede identificar fácilmente a cualquier cliente que, por ejemplo, intente conectarse a un servidor VPN o a la Red Tor.


Esto puede ser útil cuando sabes que alguien a quien quieres desanonimizar está en un lugar concurrido, pero no sabes quién. Esto permitiría a tal adversario posiblemente fingerprint cualquier sitio web que visite a pesar del uso de HTTPS, DoT, DoH, ODoH, VPN o Tor utilizando el análisis de tráfico como se señaló anteriormente en la sección DNS.


Esto también se puede utilizar para crear cuidadosamente y servirle páginas web de phishing avanzadas que recogerían sus credenciales o tratarían de hacerle instalar un certificado malicioso que les permitiría ver su tráfico cifrado.

 

[HEISENBERG]

Su tráfico Tor/VPN anonimizado.

Tor y las VPN no son balas de plata. Se han desarrollado y estudiado muchas técnicas avanzadas para desanonimizar el tráfico Tor encriptado a lo largo de los años. La mayoría de esas técnicas son ataques de Correlación que correlacionarán tu tráfico de red de una forma u otra con registros o conjuntos de datos. Aquí hay algunos ejemplos clásicos:

• Ataque de Correlación de Huellas Digitales: Como se ilustra (simplificado) a continuación, este ataque tomará una huella digital de tu tráfico cifrado (como los sitios web que has visitado) sólo basándose en el análisis de tu tráfico cifrado (sin descifrarlo). Puede hacerlo con una tasa de éxito del 96%. Un adversario que tenga acceso a tu red de origen puede utilizar estas huellas digitales para averiguar parte de tu actividad cifrada (como los sitios web que has visitado).

Ataques de correlación temporal: Como se ilustra (simplificado) a continuación, un adversario que tenga acceso a los registros de conexión de red (IP o DNS, por ejemplo, recuerde que la mayoría de los servidores VPN y la mayoría de los nodos Tor son conocidos y están listados públicamente) en el origen y en el destino podría correlacionar los tiempos para desanonimizarle sin necesidad de acceder a la red Tor o VPN. Un caso de uso real de esta técnica fue realizado por el FBI en 2013 para desanonimizar un engaño de amenaza de bomba en la Universidad de Harvard.

Ataques de recuento por correlación: Como se ilustra (simplificado) a continuación, un adversario que no tiene acceso a registros de conexión detallados (no puede ver que usaste Tor o Netflix) pero tiene acceso a registros de conteo de datos podría ver que has descargado 600 MB en una hora/fecha específica que coincide con la carga de 600 MB en el destino. Esta correlación se puede utilizar para desanonimizarle con el tiempo.

Hay formas de mitigar esto, por ejemplo:

• No utilice Tor/VPNs para acceder a servicios que estén en la misma red (ISP) que el servicio de destino. Por ejemplo, no se conecte a Tor desde su Red Universitaria para acceder a un Servicio Universitario de forma anónima. En su lugar, utilice un punto de origen diferente (como un Wi-Fi público) que no pueda ser correlacionado fácilmente por un adversario.
• No use Tor/VPN desde una red obviamente monitorizada (como una Red corporativa/gubernamental) sino que intente encontrar una red no monitorizada como una Wi-Fi pública o una Wi-Fi residencial.
• Utilice múltiples capas (como lo que se recomendará en esta guía más adelante: VPN sobre Tor) de forma que un adversario pueda ver que alguien se conectó al servicio a través de Tor pero no podrá ver que fue usted porque estaba conectado a una VPN y no a la Red Tor.

Tenga en cuenta de nuevo que esto podría no ser suficiente contra un adversario global motivado con amplio acceso a vigilancia masiva global. Tal adversario podría tener acceso a los registros, sin importar donde estés y podría usarlos para desanonimizarte.


También tenga en cuenta que todos los otros métodos descritos en esta guía, como el Análisis de Comportamiento, también pueden usarse para desanonimizar a los usuarios de Tor indirectamente (vea más adelante Su Huella Digital, Huella, y Comportamiento Online).


También recomiendo encarecidamente leer esta muy buena, completa y minuciosa guía sobre muchos Vectores de Ataque en Tor: https://github.com/Attacks-on-Tor/Attacks-on-Tor [Archive. org] así como esta reciente publicación de investigación https://www.researchgate.net/public...ners_of_the_Internet_A_Survey_of_Tor_Research [Archive.org].


Así como esta gran serie de entradas de blog: https://www.hackerfactor.com/blog/index.php?/archives/906-Tor-0day-The-Management-Vulnerability.html [Archive .org]


(En su defensa, también hay que señalar que Tor no está diseñado para proteger contra un adversario Global. Para más información vea https://svn-archive.torproject.org/svn/projects/design-paper/tor-design.pdf [Archive.org ] y específicamente, "Part 3. Design goals and assumptions". Objetivos de diseño y suposiciones").


Por último, recuerde que usar Tor ya puede ser considerado una actividad sospechosa y su uso podría ser considerado malicioso por algunos.


Esta guía propondrá más adelante algunas mitigaciones a tales ataques cambiando su origen desde el principio (usando Wi-Fi públicas por ejemplo).

 

[HEISENBERG]

Algunos dispositivos pueden seguirse incluso sin conexión.

Lo habrás visto en películas y series de acción, espionaje y ciencia ficción: los protagonistas siempre quitan la batería de sus teléfonos para asegurarse de que no se pueden utilizar. La mayoría de la gente pensaría que eso es exagerado. Pues bien, por desgracia no, esto se está convirtiendo en realidad al menos para algunos dispositivos:

• iPhones y iPads (IOS 13 y superior)
• Teléfonos Samsung (Android 10 y superiores)
• MacBooks (MacOS 10.15 y superior)

Estos dispositivos seguirán transmitiendo información de identidad a los dispositivos cercanos incluso cuando estén desconectados mediante Bluetooth Low-Energy. No tienen acceso a los dispositivos directamente (que no están conectados a Internet), sino que utilizan BLE para encontrarlos a través de otros dispositivos cercanos. Básicamente, utilizan la comunicación Bluetooth de corto alcance entre iguales para difundir su estado a través de dispositivos cercanos conectados a Internet.


Ahora podrían localizar esos dispositivos y guardar la ubicación en alguna base de datos que luego podría ser utilizada por terceros o por ellos mismos para diversos fines (incluidos análisis, publicidad o recopilación de pruebas/inteligencia).

 

[HEISENBERG]

Sus identificadores de hardware.

El IMEI y el IMSI (y, por extensión, el número de teléfono).

El IMEI (International Mobile Equipment Identity) y el IMSI (International Mobile Subscriber Identity) son números únicos creados por los fabricantes y operadores de telefonía móvil.


El IMEI está vinculado directamente al teléfono que usted utiliza. Este número es conocido y rastreado por los operadores de telefonía móvil y conocido por los fabricantes. Cada vez que su teléfono se conecta a la red móvil, registrará el IMEI en la red junto con el IMSI (si hay una tarjeta SIM insertada, pero eso ni siquiera es necesario). También lo utilizan muchas aplicaciones (aplicaciones bancarias que abusan del permiso del teléfono en Android, por ejemplo) y los sistemas operativos de los teléfonos inteligentes (Android/IOS) para identificar el dispositivo. Es posible, pero difícil (y no ilegal en muchas jurisdicciones) cambiar el IMEI de un teléfono, pero probablemente sea más fácil y barato encontrar y comprar algún teléfono Burner viejo (que funcione) por unos pocos euros (esta guía es para Alemania, recuerda) en un mercadillo o en alguna pequeña tienda al azar.


El IMSI está vinculado directamente a la suscripción móvil o plan de prepago que está utilizando y está básicamente vinculado a su número de teléfono por su proveedor de telefonía móvil. El IMSI está codificado directamente en la tarjeta SIM y no puede cambiarse. Recuerda que cada vez que tu teléfono se conecte a la red móvil, también registrará el IMSI en la red junto con el IMEI. Al igual que el IMEI, el IMSI también es utilizado por algunas aplicaciones y sistemas operativos de los teléfonos inteligentes para su identificación y son objeto de seguimiento. Algunos países de la UE, por ejemplo, mantienen una base de datos de asociaciones IMEI/IMSI para facilitar su consulta por parte de las Fuerzas y Cuerpos de Seguridad.


Hoy en día, dar tu número de teléfono (real) es básicamente lo mismo o mejor que dar tu número de la Seguridad Social, pasaporte o DNI.


El IMEI y el IMSI se pueden rastrear hasta usted de al menos 6 maneras:

• Los registros de abonados del operador de telefonía móvil, que suelen almacenar el IMEI junto con el IMSI y su base de datos de información de abonados. Si utilizas una tarjeta SIM anónima de prepago (IMSI anónimo pero con un IMEI conocido), pueden ver que este móvil te pertenece si lo has utilizado antes con una tarjeta SIM diferente (IMSI anónimo diferente pero con el mismo IMEI conocido).
• Los registros de antena del operador de telefonía móvil, que mantendrán convenientemente un registro de qué IMEI e IMSI guardan también algunos datos de conexión. Saben y registran, por ejemplo, que un teléfono con esta combinación de IMEI/IMSI se conectó a un conjunto de antenas móviles y la potencia de la señal de cada una de esas antenas, lo que permite una fácil triangulación/geolocalización de la señal. También saben qué otros teléfonos (el suyo real, por ejemplo) se conectaron al mismo tiempo a las mismas antenas con la misma señal, lo que permitiría saber con precisión que este "teléfono desechable" siempre estuvo conectado en el mismo lugar/hora que este otro "teléfono conocido" que aparece cada vez que se utiliza el teléfono desechable. Esta información puede ser utilizada por varios terceros para geolocalizarle/rastrearle con bastante precisión.
• El fabricante del teléfono puede rastrear la venta del teléfono utilizando el IMEI si ese teléfono se compró de forma no anónima. De hecho, tendrán registros de cada venta de teléfono (incluido el número de serie y el IMEI), a qué tienda/persona se vendió. Y si estás usando un teléfono que compraste por Internet (o a alguien que te conoce). Con esa información pueden localizarte. Incluso si no te encuentran en las cámaras de seguridad y has comprado el teléfono en efectivo, pueden averiguar qué otro teléfono (el que realmente llevas en el bolsillo) estaba allí (en esa tienda) a esa hora/fecha utilizando los registros de antena.
• El IMSI por sí solo también se puede utilizar para encontrarte, ya que la mayoría de los países ahora exigen a los clientes que proporcionen una identificación al comprar una tarjeta SIM (de suscripción o prepago). La IMSI queda entonces vinculada a la identidad del comprador de la tarjeta. En los países donde la SIM aún puede comprarse en efectivo (como en el Reino Unido), siguen sabiendo dónde (en qué tienda) se compró y cuándo. Esta información se puede utilizar para recuperar información de la propia tienda (como imágenes de CCTV en el caso del IMEI). O también se pueden utilizar los registros de antena para averiguar qué otro teléfono estaba allí en el momento de la venta.
• Los fabricantes de sistemas operativos para smartphones (Google/Apple para Android/IOs) también guardan registros de identificaciones IMEI/IMSI vinculadas a cuentas de Google/Apple y qué usuario las ha estado utilizando. Ellos también pueden rastrear la historia del teléfono y a qué cuentas estuvo vinculado en el pasado.
• Las agencias gubernamentales de todo el mundo interesadas en tu número de teléfono pueden utilizar y utilizan dispositivos especiales llamados "IMSI catchers" como el Stingray o, más recientemente, el Nyxcell. Estos dispositivos pueden suplantar (falsificar) una antena de telefonía móvil y obligar a un IMSI específico (su teléfono) a conectarse a ella para acceder a la red celular. Una vez que lo hagan, podrán utilizar varios ataques MITM (Man-In-The-Middle Attacks) que les permitirán:
  • Pinchar su teléfono (llamadas de voz y SMS).
  • Escanear y examinar su tráfico de datos.
  • Hacerse pasar por su número de teléfono sin controlar su teléfono.
  • ...

Aquí también hay un buen video de YouTube sobre este tema: DEFCON Modo Seguro - Cooper Quintin - Detectando Falsas Estaciones Base 4G en Tiempo Real

[Invidious]


Por estas razones, es crucial para obtener dedicado un número de teléfono anónimo y / o un teléfono quemador anónimo con una tarjeta SIM de prepago anónimo que no están vinculados a usted de ninguna manera (pasado o presente) para la realización de actividades sensibles (Ver más orientación práctica en Obtener un número de teléfono anónimo sección).


Si bien hay algunos fabricantes de teléfonos inteligentes como Purism con su serie Librem que afirman tener su privacidad en mente, todavía no permiten la aleatorización IMEI que creo que es una característica clave anti-rastreo que debe ser proporcionada por dichos fabricantes. Si bien esta medida no evitará el rastreo de IMSI dentro de la tarjeta SIM, al menos te permitiría mantener el mismo "teléfono desechable" y sólo cambiar de tarjeta SIM en lugar de tener que cambiar ambas por privacidad.

 

[HEISENBERG]

Su dirección MAC Wi-Fi o Ethernet.

La dirección MAC es un identificador único vinculado a tu interfaz de red física (Ethernet por cable o Wi-Fi) y, por supuesto, podría utilizarse para rastrearte si no está aleatorizada. Al igual que en el caso del IMEI, los fabricantes de ordenadores y tarjetas de red suelen llevar un registro de sus ventas (que suele incluir datos como: número de serie, IMEI, direcciones MAC, etc.) y es posible que vuelvan a rastrear dónde y cuándo se vendió el ordenador con la dirección MAC en cuestión y a quién. Incluso si lo compró con dinero en efectivo en un supermercado, el supermercado podría tener CCTV (o un CCTV justo fuera de esa tienda) y de nuevo la hora/fecha de la venta podría utilizarse para averiguar quién estaba allí utilizando los registros de antena del proveedor de telefonía móvil en ese momento (IMEI/IMSI).


Los fabricantes de sistemas operativos (Google/Microsoft/Apple) también guardarán registros de dispositivos y sus direcciones MAC en sus registros para la identificación de dispositivos (servicios del tipo Buscar mi dispositivo, por ejemplo). Apple puede decir que el MacBook con esta dirección MAC específica estaba vinculado a una cuenta de Apple específica antes. Tal vez a la tuya antes de que decidieras utilizar el MacBook para actividades delicadas. Tal vez a un usuario diferente que se lo vendió pero que recuerda su correo electrónico/número de cuando se produjo la venta.


El router de tu casa/el punto de acceso Wi-Fi mantiene registros de los dispositivos que se registraron en el Wi-Fi, y también se puede acceder a ellos para averiguar quién ha estado utilizando tu Wi-Fi. A veces esto lo puede hacer el ISP de forma remota (y silenciosa), dependiendo de si ese router/punto de acceso Wi-Fi está siendo "gestionado" remotamente por el ISP (que suele ser el caso cuando proporcionan el router a sus clientes).


Algunos dispositivos comerciales mantienen un registro de las direcciones MAC que circulan por ahí para diversos fines, como la congestión de las carreteras.


Por lo tanto, es importante que no lleves tu teléfono contigo cuando realices actividades delicadas. Si utilizas tu propio portátil, es fundamental que ocultes la dirección MAC (y la dirección Bluetooth) en cualquier lugar en el que lo utilices y que tengas mucho cuidado de no filtrar ninguna información. Afortunadamente, muchos de los sistemas operativos más recientes ahora ofrecen o permiten la opción de aleatorizar las direcciones MAC (Android, IOS, Linux y Windows 10), con la notable excepción de MacOS, que no admite esta función ni siquiera en su última versión Big Sur.

 

[HEISENBERG]

Tu dirección MAC Bluetooth.

Tu MAC Bluetooth es como la dirección MAC anterior, excepto que es para Bluetooth. De nuevo, puede utilizarse para rastrearte, ya que los fabricantes y los creadores de sistemas operativos guardan registros de esa información. Podría estar vinculada a un lugar/hora/fecha de venta o cuentas y entonces podría ser utilizada para rastrearte con dicha información, la información de facturación de la tienda, el CCTV, o los registros de antena móvil en correlación.


Los sistemas operativos disponen de protecciones para aleatorizar esas direcciones, pero siguen estando sujetos a vulnerabilidades.


Por esta razón, y a menos que realmente las necesites, deberías simplemente desactivar Bluetooth por completo en la configuración de la BIOS/UEFI si es posible o en el Sistema Operativo en caso contrario.


En Windows 10, tendrás que deshabilitar y habilitar el dispositivo Bluetooth en el propio administrador de dispositivos para forzar una aleatorización de la dirección para el siguiente uso y evitar el rastreo.

 

[HEISENBERG]

Su CPU.

Todas las CPU modernas integran ahora plataformas de gestión ocultas, como el ya infame Intel Management Engine y el AMD Platform Security Processor.


Esas plataformas de gestión son básicamente pequeños sistemas operativos que se ejecutan directamente en tu CPU mientras tengan energía. Estos sistemas tienen acceso total a la red de tu ordenador y un adversario podría acceder a ellos para desanonimizarte de varias formas (mediante acceso directo o utilizando malware, por ejemplo), como se muestra en este esclarecedor vídeo: BlackHat, Cómo hackear un ordenador apagado, o Ejecutar código sin firmar en Intel Management Engine.

[Invidious].


Estos ya se han visto afectados por varias vulnerabilidades de seguridad en el pasado que permitieron al malware hacerse con el control de los sistemas objetivo. También son acusados por muchos actores de la privacidad, incluyendo la EFF y Libreboot, de ser una puerta trasera en cualquier sistema.


Hay algunas formas no tan fáciles de desactivar el Intel IME en algunas CPUs, y deberías hacerlo si puedes. En algunos portátiles AMD, puedes desactivarlo en la configuración de la BIOS deshabilitando PSP.


Nótese que en defensa de AMD, hasta ahora y AFAIK, no se han encontrado vulnerabilidades de seguridad para ASP ni tampoco puertas traseras: Ver

[Invidious]. Además, AMD PSP no proporciona ninguna capacidad de gestión remota, al contrario que Intel IME.


Si te sientes un poco más aventurero, puedes instalar tu propia BIOS usando Libreboot o Coreboot si tu portátil lo soporta (ten en cuenta que Coreboot contiene algo de código propio a diferencia de su bifurcación Libreboot).


Además, algunas CPUs tienen fallos no corregibles (especialmente las CPUs Intel) que podrían ser explotados por diversos programas maliciosos. Aquí hay una buena lista actualizada de tales vulnerabilidades que afectan a CPUs recientes muy extendidas:


https://en.wikipedia.org/wiki/Transient_execution_CPU_vulnerability [Wikiless] [Archive.org]

• Si utilizas Linux, puedes comprobar el estado de vulnerabilidad de tu CPU a los ataques Spectre/Meltdown utilizando https://github.com/speed47/spectre-meltdown-checker [Archive. org], que está disponible como paquete para la mayoría de las distribuciones de Linux, incluida Whonix.
• Si utiliza Windows, puede comprobar el estado de vulnerabilidad de su CPU utilizando inSpectre https://www.grc.com/inspectre.htm [Archive .org].

Algunas de ellas pueden evitarse utilizando configuraciones de Software de Virtualización que pueden mitigar tales exploits. Consulte esta guía para obtener más información https://www.whonix.org/wiki/Spectre_Meltdown [Archive.org ] (advertencia: pueden afectar gravemente al rendimiento de sus máquinas virtuales).


Por lo tanto, mitigaré algunos de estos problemas en esta guía recomendando el uso de máquinas virtuales en un portátil anónimo dedicado para tus actividades sensibles que sólo se utilizará desde una red pública anónima.

 

[HEISENBERG]

Sus servicios de telemetría de sistemas operativos y aplicaciones.

Ya sea Android, iOS, Windows, MacOS o incluso Ubuntu. La mayoría de los sistemas operativos más populares ahora recopilan información telemétrica por defecto, incluso si nunca se optó por ello o se optó por no hacerlo desde el principio. Algunos, como Windows, ni siquiera permiten desactivar completamente la telemetría sin algunos ajustes técnicos. Esta recopilación de información puede ser exhaustiva e incluir un asombroso número de detalles (metadatos y datos) sobre tus dispositivos y su uso.


Aquí tienes un buen resumen de lo que recogen los 5 sistemas operativos más populares en sus últimas versiones:

• Android/Google:
  
  • Lee su política de privacidad en https://policies.google.com/privacy [Archive.org].
  • School of Computer Science & Statistics, Trinity College Dublin, Irlanda Mobile Handset Privacy: Medición de los datos que iOS y Android envían a Apple y Google https://www.scss.tcd.ie/doug.leith/apple_google.pdf [Archive .org]
• IOS/Apple:
  
  • Más información en https://www.apple.com/legal/privacy/en-ww/ [Archive. org] y https://support.apple.com/en-us/HT202100 [Archive.org]
  • School of Computer Science & Statistics, Trinity College Dublin, Irlanda Mobile Handset Privacy: Medición de los datos que iOS y Android envían a Apple y Google https://www.scss.tcd.ie/doug.leith/apple_google.pdf [Archive .org]
  • Apple afirma que anonimiza estos datos utilizando la privacidad diferencial, pero tendrás que confiar en ellos.
• Windows/Microsoft:
  
  • Lista completa de datos de diagnóstico obligatorios: https: //docs.microsoft.com/en-us/wi...indows-diagnostic-data-events-and-fields-2004 [Archive .org]
  • Lista completa de datos de diagnóstico opcionales: https: //docs.microsoft.com/en-us/windows/privacy/windows-diagnostic-data [Archive .org]
• MacOS:
  
  • Más detalles en https://support.apple.com/guide/mac-help/share-analytics-information-mac-apple-mh27990/mac [Archive .org]
• Ubuntu:
  
  • Ubuntu, a pesar de ser una distribución de Linux, también recopila datos de telemetría en la actualidad. Estos datos, sin embargo, son bastante limitados en comparación con los demás. Más detalles en https://ubuntu.com/desktop/statistics [Archive .org]

No sólo los sistemas operativos recopilan servicios de telemetría, sino también las propias aplicaciones como navegadores, clientes de correo y aplicaciones de redes sociales instaladas en el sistema.


Es importante entender que estos datos de telemetría pueden estar vinculados a tu dispositivo y ayudar a desanonimizarte y, posteriormente, pueden ser utilizados en tu contra por un adversario que tenga acceso a estos datos.


Esto no significa, por ejemplo, que los dispositivos de Apple sean terribles opciones para una buena privacidad, pero ciertamente no son las mejores opciones para el anonimato (relativo). Puede que te protejan de que terceros sepan lo que haces, pero no de ellos mismos. Lo más probable es que sepan quién eres.


Más adelante en esta guía, utilizaremos todos los medios a nuestra disposición para deshabilitar y bloquear tanta telemetría como sea posible para mitigar este vector de ataque en los sistemas operativos soportados en esta guía.

 

[HEISENBERG]

Tus dispositivos inteligentes en general.

Ya lo tienes; tu smartphone es un avanzado dispositivo de espionaje/rastreo que:

• Graba todo lo que dices en cualquier momento ("Oye Siri", "Oye Google").
• Registra tu ubicación allá donde vayas.
• Registra siempre otros dispositivos a tu alrededor (dispositivos Bluetooth, puntos de acceso Wi-Fi).
• Registra tus hábitos y datos de salud (pasos, tiempo de pantalla, exposición a enfermedades, datos de dispositivos conectados).
• Registra todas tus ubicaciones de red.
• Registra todas tus fotos y vídeos (y muy probablemente dónde se tomaron).
• Lo más probable es que tenga acceso a la mayoría de sus cuentas conocidas, incluidas las de redes sociales, mensajería y finanzas.

Los datos se transmiten incluso si usted opta por no hacerlo, se procesan y se almacenan indefinidamente (muy probablemente sin cifrar) por varios terceros.


Pero eso no es todo, esta sección no se llama "Smartphones" sino "Dispositivos inteligentes" porque no es sólo su smartphone el que le espía. Es también cualquier otro dispositivo inteligente que pueda tener.

• Su reloj inteligente (Apple Watch, Android Smartwatch...)
• ¿Sus dispositivos y aplicaciones de fitness? (Strava, Fitbit, Garmin, Polar, ...)
• ¿Su altavoz inteligente? (Amazon Alexa, Google Echo, Apple Homepod ...)
• ¿Tu transporte inteligente? (¿Coche? ¿Scooter?)
• ¿Tus etiquetas inteligentes? (Apple AirTag, Galaxy SmartTag, Tile...)
• ¿Tu coche? (Sí, la mayoría de los coches modernos tienen funciones avanzadas de registro/seguimiento hoy en día)
• ¿Cualquier otro dispositivo inteligente? Existen incluso cómodos motores de búsqueda dedicados a encontrarlos en Internet:
  
  • https://www.shodan.io/
  • https://censys.io/
  • https://www.zoomeye.org/

 

[HEISENBERG]

Usted mismo.

Sus metadatos, incluida su geolocalización.

Tus metadatos son toda la información sobre tus actividades sin el contenido real de las mismas. Por ejemplo, es como saber que has recibido una llamada de un oncólogo antes de llamar sucesivamente a tu familia y amigos. No sabes lo que se dijo durante la conversación, pero puedes adivinarlo sólo por los metadatos.


Estos metadatos también incluyen a menudo su ubicación, que es recopilada por teléfonos inteligentes, sistemas operativos (Android/IOS), navegadores, aplicaciones y sitios web. Lo más probable es que haya varias empresas que sepan exactamente dónde estás en todo momento gracias a tu smartphone.


Estos datos de localización ya se han utilizado en muchos casos judiciales como parte de las "órdenes de geovalla" que permiten a las fuerzas de seguridad solicitar a las empresas (como Google/Apple) una lista de todos los dispositivos presentes en un lugar determinado en un momento determinado. Además, estos datos de localización son incluso vendidos por empresas privadas a los militares, que pueden utilizarlos convenientemente.


Supongamos que utilizas una VPN para ocultar tu IP. La plataforma de redes sociales sabe que estuviste activo en esa cuenta el 4 de noviembre de 8 de la mañana a 1 de la tarde con esa IP VPN. La VPN supuestamente no guarda registros y no puede rastrear esa IP VPN hasta tu IP. Tu ISP, sin embargo, sabe (o al menos puede saber) que estuviste conectado a ese mismo proveedor de VPN el 4 de noviembre de 7:30 a 14:00, pero no sabe qué estuviste haciendo con ella.


La pregunta es: ¿hay alguien en algún lugar que posiblemente tenga ambas piezas de información disponibles para su correlación en una base de datos conveniente?


¿Ha oído hablar de Edward Snowden? Ahora es el momento de buscarlo en Google y leer su libro. Lea también sobre XKEYSCORE, MUSCULAR, SORM, Tempora y PRISM.


Véase "Matamos a la gente basándonos en metadatos" o este famoso tuit de las FDI [ Archive.org] [Nitter].

 

[HEISENBERG]

Su huella digital, su huella y su comportamiento en línea.

Esta es la parte en la que deberías ver el documental "The Social Dilemma" en Netflix, ya que cubren este tema mucho mejor que nadie en mi humilde opinión.


Esto incluye la forma en que escribes (estilometría), la forma en que te comportas. La forma de hacer clic. La forma de navegar. Las fuentes que utiliza en su navegador. Las huellas dactilares se utilizan para adivinar quién es alguien por la forma en que se comporta ese usuario. Es posible que utilices palabras pedantes o cometas faltas de ortografía específicas que podrían delatarte utilizando una simple búsqueda en Google de características similares porque escribiste de forma parecida en algún post de Reddit hace 5 años utilizando una cuenta de Reddit no tan anónima.


Las plataformas de medios sociales como Facebook/Google pueden ir un paso más allá y registrar tu comportamiento en el propio navegador. Por ejemplo, pueden registrar todo lo que escribes aunque no lo envíes / guardes. Piensa en cuando escribes un correo electrónico en Gmail. Se guarda automáticamente a medida que escribes. También pueden registrar tus clics y movimientos del cursor.


Todo lo que necesitan para lograr esto en la mayoría de los casos es Javascript habilitado en su Navegador (que es el caso en la mayoría de los Navegadores, incluyendo Tor Browser por defecto).


Aunque estos métodos se utilizan normalmente con fines de marketing y publicidad, también pueden ser una herramienta útil para tomar huellas dactilares de los usuarios. Esto se debe a que su comportamiento es muy probablemente bastante único o lo suficientemente único como para que con el tiempo, pueda ser desanonimizado.


He aquí algunos ejemplos:

• Por ejemplo, como base de la autenticación, la velocidad de tecleo de un usuario, las pulsaciones de teclas, los patrones de error (por ejemplo, pulsar accidentalmente una "l" en lugar de una "k" en tres de cada siete transacciones) y los movimientos del ratón establecen el patrón de comportamiento único de esa persona. Algunos servicios comerciales como TypingDNA(https://www.typingdna.com/ [Archive.org]) ofrecen incluso este tipo de análisis como sustituto de las autenticaciones de dos factores.
• Esta tecnología también se utiliza ampliamente en los servicios CAPTCHAS para verificar que eres "humano" y puede utilizarse para tomar las huellas dactilares de un usuario.

Los algoritmos de análisis podrían utilizarse entonces para cotejar estos patrones con los de otros usuarios y emparejarte con otro usuario conocido. No está claro si los gobiernos y las fuerzas de seguridad utilizan ya estos datos, pero es posible que lo hagan en el futuro. En la actualidad, estos datos se utilizan sobre todo con fines publicitarios, de marketing y de captación. En un futuro a corto o medio plazo podría y probablemente se utilizará para investigaciones con el fin de desanonimizar a los usuarios.


Aquí tienes un ejemplo divertido que puedes probar tú mismo para ver algunas de estas cosas en acción: https://clickclickclick.click (no hay enlaces de archivo para este, lo siento). Verás que se vuelve interesante con el tiempo (esto requiere Javascript activado).


Aquí tienes también un ejemplo reciente que muestra lo que Google Chrome recopila sobre ti: https: //web.archive.org/web/https://pbs.twimg.com/media/EwiUNH0UYAgLY7V?format=jpg&name=4096x4096


Aquí tienes otros recursos sobre el tema si no puedes ver este documental:

• 2017, Análisis del comportamiento en las redes sociales, https://link.springer.com/10.1007/978-1-4614-7163-9_110198-1 [Archive.org]
• 2017, Redes sociales y afecto positivo y negativo https://www.sciencedirect.com/scien...c077d46&pid=1-s2.0-S1877042811013747-main.pdf [Archive .org]
• 2015, Uso de datos de redes sociales para el análisis del comportamiento y el sentimiento https://www.researchgate.net/public...orks_Data_for_Behavior_and_Sentiment_Analysis [Archive .org]
• 2016, Encuesta sobre el análisis del comportamiento de los usuarios en las redes sociales https://www.academia.edu/30936118/A_Survey_on_User_Behaviour_Analysis_in_Social_Networks [Archive .org]
• 2019, Influencia y análisis del comportamiento en redes sociales y medios sociales https://sci-hub.do/10.1007/978-3-030-02592-2 [Archive .org]

Entonces, ¿cómo puedes mitigar esto?

• Esta guía proporcionará algunas mitigaciones técnicas utilizando herramientas resistentes al Fingerprinting, pero podrían no ser suficientes.
• Deberías aplicar el sentido común e intentar identificar tus propios patrones de comportamiento y comportarte de forma diferente cuando utilices identidades anónimas. Esto incluye:
  
  • La forma en que tecleas (velocidad, precisión...).
  • Las palabras que utilizas (cuidado con tus expresiones habituales).
  • El tipo de respuesta que utilizas (si eres sarcástico por defecto, intenta tener un enfoque diferente con tus identidades).
  • La forma en que utilizas el ratón y haces clic (intenta resolver los Captchas de forma diferente a la habitual).
  • Los hábitos que tienes cuando utilizas algunas Apps o visitas algunas Webs (no utilices siempre los mismos menús/botones/enlaces para llegar a tu contenido).
  • ...

Básicamente, necesitas actuar y adoptar plenamente un papel como haría un actor para una representación. Tienes que convertirte en una persona diferente, pensar y actuar como esa persona. No se trata de una mitigación técnica, sino humana. Para eso sólo puedes confiar en ti mismo.


En última instancia, depende sobre todo de ti engañar a esos algoritmos adoptando nuevos hábitos y no revelando información real cuando utilices tus identidades anónimas.

 

[HEISENBERG]

Tus pistas sobre tu vida real y OSINT.

Son pistas que puedes dar a lo largo del tiempo y que podrían apuntar a tu identidad real. Puede que hables con alguien o que publiques en algún foro. En esos mensajes, con el tiempo podrías filtrar alguna información sobre tu vida real. Puede tratarse de recuerdos, experiencias o pistas compartidas que permitan a un adversario motivado crear un perfil para limitar su búsqueda.


Un caso de uso real y bien documentado de esto fue la detención del hacker Jeremy Hammond, que compartió con el tiempo varios detalles sobre su pasado y fue descubierto más tarde.


También hay algunos casos relacionados con OSINT en Bellingcat. Echa un vistazo a su muy informativo (aunque ligeramente anticuado) conjunto de herramientas aquí: https://docs.google.com/spreadsheet...NyhIDuK9jrPGwYr9DI2UncoqJQ/edit#gid=930747607 [Archive.org].


También puedes ver algunas listas convenientes de algunas herramientas OSINT disponibles aquí si quieres probarlas por ti mismo, por ejemplo:

• https://github.com/jivoi/awesome-osint [Archive .org]
• https://jakecreps.com/tag/osint-tools/ [Archive .org]
• https://osintframework.com/
• https://recontool.org
• https://github.com/jivoi/awesome-osint [Archive .org]

Así como esta interesante lista de reproducción en YouTube: https://www.youtube.com/playlist?list=PLrFPX1Vfqk3ehZKSFeb9pVIHqxqrNW8Sy [ Invidious]


Así como estos interesantes podcasts:


https://www.inteltechniques.com/podcast.html


Nunca debes compartir experiencias/detalles personales reales utilizando tus identidades anónimas que más tarde puedan llevar a encontrar tu identidad real.

 

[HEISENBERG]

Tu cara, tu voz, tus datos biométricos y tus fotos.

"El infierno son los demás", aunque eludas todos los métodos enumerados anteriormente, aún no estás fuera de peligro gracias al uso generalizado del reconocimiento facial avanzado por parte de todo el mundo.


Empresas como Facebook han utilizado el reconocimiento facial avanzado durante años y han estado utilizando otros medios (imágenes por satélite) para crear mapas de "personas" en todo el mundo. Esta evolución lleva años produciéndose hasta el punto de que ahora podemos decir que "hemos perdido el control de nuestros rostros".


Si paseas por un lugar turístico, lo más probable es que aparezcas en el selfie de alguien en cuestión de minutos sin saberlo. Esa persona procederá entonces a subir ese selfie a diversas plataformas (Twitter, Google Photos, Instagram, Facebook, Snapchat...). Esas plataformas aplicarán entonces algoritmos de reconocimiento facial a esas fotos con el pretexto de permitir un etiquetado mejor/fácil o para organizar mejor tu fototeca. Además, la misma foto proporcionará una marca de tiempo precisa y, en la mayoría de los casos, la geolocalización del lugar donde se tomó. Incluso si la persona no proporciona una marca de tiempo y geolocalización, aún se puede adivinar con otros medios.


Aquí tienes algunos recursos para intentarlo por ti mismo:

• Bellingcat, Guía de uso de la búsqueda inversa de imágenes para investigaciones: https://www.bellingcat.com/resource...sing-reverse-image-search-for-investigations/ [Archive.org]
• Bellingcat, Uso del nuevo sitio ruso de reconocimiento facial SearchFace https://www.bellingcat.com/resource...ussian-facial-recognition-site-searchface-ru/ [ Archive.org]
• Bellingcat, Dalí, Warhol, Boshirov: Determinar la época de una supuesta fotografía del sospechoso Skripal Chepiga https://www.bellingcat.com/resource...e-alleged-photograph-skripal-suspect-chepiga/ [ Archive.org]
• Bellingcat, Guía avanzada para verificar el contenido de vídeo https://www.bellingcat.com/resources/how-tos/2017/06/30/advanced-guide-verifying-video-content/ [ Archive.org]
• Bellingcat, Uso del sol y las sombras para la geolocalización https://www.bellingcat.com/resources/2020/12/03/using-the-sun-and-the-shadows-for-geolocation/ [Archive .org]
• Bellingcat, La brigada de envenenamiento de Navalny implicada en los asesinatos de tres activistas rusos https://www.bellingcat.com/news/uk-...icated-in-murders-of-three-russian-activists/ [Archive .org]
• Bellingcat, Asesinato en Berlín: Nuevas pruebas sobre el presunto sicario del FSB entregadas a los investigadores alemanes https://www.bellingcat.com/news/202...ed-fsb-hitman-passed-to-german-investigators/ [Archive .org]
• Bellingcat, Tutorial de investigación digital: Investigación del bombardeo de un hospital yemení por la coalición saudí.
  [Invidious]
• Bellingcat, Tutorial de investigación digital: Uso del reconocimiento facial en investigaciones
  [Invidious]
• Bellingcat, Tutorial de investigación digital: Geolocalización de funcionarios venezolanos (presuntamente) corruptos en Europa
  [Invidious]

Aunque no estés mirando a la cámara, pueden averiguar quién eres, distinguir tus emociones, analizar tu forma de andar y probablemente adivinar tu afiliación política.

Esas plataformas (Google/Facebook) ya saben quién eres por varias razones:

• Porque tienes o has tenido un perfil en ellas y te has identificado.
• Aunque nunca hayas creado un perfil en esas plataformas, lo tienes sin saberlo.
• Porque otras personas te han etiquetado o identificado en sus fotos de vacaciones/fiestas.
• Porque otras personas han puesto una foto tuya en su lista de contactos, que luego han compartido con ellos.

Aquí tienes también una demostración de Microsoft Azure que puedes probar por ti mismo en https://azure.microsoft.com/en-us/services/cognitive-services/face/#demo en la que puedes detectar emociones y comparar caras a partir de distintas fotos.


Los gobiernos ya saben quién eres porque tienen fotos de tu DNI/pasaporte/permiso de conducir y a menudo han añadido datos biométricos (huellas dactilares) en su base de datos. Esos mismos gobiernos están integrando esas tecnologías (a menudo proporcionadas por empresas privadas como las israelíes AnyVision, Clearview AI o NEC) en sus redes de CCTV para buscar a "personas de interés". Y algunos Estados fuertemente vigilados, como China, han generalizado el uso del reconocimiento facial con diversos fines, entre ellos la posible identificación de minorías étnicas. Un simple error de reconocimiento facial por parte de algún algoritmo puede arruinarle la vida.


He aquí algunos recursos en los que se detallan algunas técnicas utilizadas por las fuerzas de seguridad en la actualidad:

• Vídeo de la CCC en el que se explican las capacidades actuales de vigilancia de las Fuerzas de Seguridad: https://media.ccc.de/v/rc3-11406-spot_the_surveillance#t=761 [Archive.org]
• EFF SLS: https: //www.eff.org/sls [Archive.org]

Apple está generalizando el uso de FaceID para iniciar sesión en varios servicios, incluidos los sistemas bancarios.


Lo mismo ocurre con la autenticación por huella dactilar, que muchos fabricantes de teléfonos inteligentes están generalizando para autenticarse. Una simple foto en la que aparezcan tus dedos puede utilizarse para desanonimizarte.


Lo mismo ocurre con tu voz, que puede ser analizada para diversos fines, como muestra la reciente patente de Spotify.


Podemos imaginar con seguridad un futuro próximo en el que no podrás crear cuentas o iniciar sesión en ningún sitio sin proporcionar datos biométricos únicos (un buen momento para volver a ver Gattaca, Person of Interest y Minority Report). Y puedes imaginarte sin temor a equivocarte lo útiles que podrían ser estas grandes bases de datos biométricos para algunas terceras partes interesadas.
Además, toda esta información también se puede utilizar en tu contra (si ya has perdido el anonimato) utilizando deepfake mediante la elaboración de información falsa (fotos, vídeos, grabaciones de voz...) y ya se han utilizado para tales fines. Incluso existen servicios comerciales para ello, como https://www.respeecher.com/ [Archive.org] y https://www.descript.com/overdub [Archive.org].


Véase esta demostración:

[Invidious]


En este momento, hay algunos pasos que puedes seguir para mitigar (y sólo mitigar) el reconocimiento facial cuando lleves a cabo actividades delicadas en las que pueda haber CCTV:

• Utiliza una máscara facial, ya que se ha demostrado que anula algunas tecnologías de reconocimiento facial, pero no todas.
• Lleve una gorra de béisbol o un sombrero para evitar que los CCTV de ángulo alto (que filman desde arriba) graben su rostro. Recuerde que esto no le ayudará contra las cámaras frontales.
• Lleve gafas de sol además de la máscara y la gorra de béisbol para evitar que le identifiquen por los rasgos de sus ojos.
• Considera la posibilidad de llevar unas gafas de sol especiales (caras, por desgracia) llamadas " Reflectacles" https://www.reflectacles.com/ [Archive.org]. Un pequeño estudio demostró su eficacia contra el reconocimiento facial de IBM y Amazon.

(Ten en cuenta que si tienes intención de utilizarlas en lugares donde se han instalado sistemas avanzados de reconocimiento facial, estas medidas también podrían señalarte como sospechoso por sí mismas y desencadenar una comprobación humana).