Guía del anonimato en línea (por https://anonymousplanet.org/)

Utilícela bajo su propia responsabilidad. Por favor, no tome esta guía como una verdad definitiva para todo porque no lo es.

Spoiler: Índice

• Introducción:
• Entender algunos conceptos básicos de cómo cierta información puede conducir de nuevo a usted y cómo mitigar algunos:
  • Tu Red:
    • Tu dirección IP:
    • Sus solicitudes DNS e IP:
    • Sus dispositivos con RFID:
    • Los dispositivos Wi-Fis y Bluetooth que le rodean:
    • Los puntos de acceso Wi-Fi maliciosos/corruptos:
    • Su tráfico Tor/VPN anonimizado:
    • Algunos dispositivos pueden ser rastreados incluso cuando están desconectados:
  • Sus identificadores de hardware:
    • Su IMEI e IMSI (y por extensión, su número de teléfono):
    • Su dirección MAC Wi-Fi o Ethernet:
    • Su dirección MAC Bluetooth:
  • Tu CPU:
  • Tus Sistemas Operativos y servicios de telemetría de Apps:
  • Tus dispositivos Smart en general:
  • Tú mismo:
    • Tus Metadatos incluyendo tu Geolocalización:
    • Tu Huella Digital, Footprint y Comportamiento Online:
    • Tus Pistas sobre tu Vida Real y OSINT:
    • Tu cara, voz, biometría y fotos:
    • Phishing e ingeniería social:
  • Malware, exploits y virus:
    • Malware en tus archivos/documentos/correos electrónicos:
    • Malware y exploits en tus aplicaciones y servicios:
    • Dispositivos USB maliciosos:
    • Malware y backdoors en tu Firmware de Hardware y Sistema Operativo:
  • Tus archivos, documentos, imágenes y vídeos:
    • Propiedades y metadatos:
    • Marcas de agua:
    • Información pixelada o borrosa:
  • Tus transacciones de Criptomonedas:
  • Tus copias de seguridad/servicios de sincronización en la nube:
  • Las huellas de tu navegador y dispositivo:
  • Fugas de Datos Locales y Forenses:
  • Mala Criptografía:
  • Sin registro pero con políticas de registro de todos modos:
  • Algunas técnicas avanzadas:
  • Algunos recursos adicionales:
  • Notas:
• Preparativos generales:
  • Elección de la ruta:
    • Limitaciones de tiempo:
    • Limitaciones de presupuesto/material:
    • Habilidades:
    • Adversarios (amenazas):
  • Pasos para todas las rutas:
    • Conseguir un número de teléfono anónimo:
    • Consigue una llave USB:
    • Encuentra lugares seguros con Wi-Fi público decente:
  • La ruta TAILS:
    • Negación plausible persistente usando Whonix dentro de TAILS:
  • Pasos para todas las demás rutas:
    • Consigue un portátil específico para tus actividades delicadas:
    • Algunas recomendaciones sobre portátiles:
    • Configuración Bios/UEFI/Firmware de su portátil:
    • Proteja físicamente su portátil:
  • La ruta Whonix:
    • Elección del sistema operativo anfitrión (el sistema operativo instalado en el portátil):
    • Linux Host OS:
    • MacOS Host OS:
    • Sistema operativo Windows:
    • Virtualbox en su SO anfitrión:
    • Elige tu método de conectividad:
    • Consigue una VPN/Proxy anónima:
    • Whonix:
    • Tor sobre VPN:
    • Whonix Máquinas Virtuales:
    • Elija su máquina virtual de estación de trabajo invitada:
    • Máquina Virtual Linux (Whonix o Linux):
    • Máquina Virtual Windows 10:
    • Máquina Virtual Android:
    • Máquina Virtual MacOS:
    • KeepassXC:
    • Instalación de cliente VPN (pago en efectivo/Monero):
    • (Opcional) permitiendo que sólo las VMs accedan a internet mientras se corta el SO Host para evitar cualquier fuga:
    • Paso final:
  • La Ruta Qubes:
    • Elige tu método de conectividad:
    • Consigue una VPN/Proxy anónima:
    • Instalación:
    • Comportamiento de cierre de la tapa:
    • Conectarse a una Wi-Fi pública:
    • Actualizar Qubes OS:
    • Hardening Qubes OS:
    • Configurar la VPN ProxyVM:
    • Configurar un Navegador seguro dentro de Qube OS (opcional pero recomendado):
    • Configurar una VM Android:
    • KeePassXC:
• Creando tus identidades anónimas en línea:
  • Comprender los métodos utilizados para evitar el anonimato y verificar la identidad:
    • Captchas:
    • Verificación por teléfono:
    • Verificación por correo electrónico:
    • Verificación de datos de usuario:
    • Comprobación de la identidad:
    • Filtros IP:
    • Huellas digitales de navegadores y dispositivos:
    • Interacción humana:
    • Moderación de usuarios:
    • Análisis del comportamiento:
    • Transacciones financieras:
    • Inicio de sesión con alguna plataforma:
    • Reconocimiento facial en vivo y biometría (de nuevo):
    • Revisiones manuales:
  • Conectarse:
    • Creación de nuevas identidades:
    • El sistema de nombre real:
    • Acerca de los servicios de pago:
    • Visión general:
    • Cómo compartir archivos o chatear de forma anónima:
    • Redactar documentos/imágenes/vídeos/audio de forma segura:
    • Comunicación de información sensible a diversas organizaciones conocidas:
    • Tareas de mantenimiento:
• Cómo hacer copias de seguridad seguras:
  • Copias de seguridad sin conexión:
    • Copias de seguridad de archivos seleccionados:
    • Copias de seguridad de todo el disco/sistema:
  • Copias de seguridad en línea:
    • Archivos:
    • Información:
  • Sincronizar tus archivos entre dispositivos Online:
• Cubrir sus huellas:
  • HDD vs SSD:
    • Nivelación del desgaste.
    • Operaciones de recorte:
    • Recogida de basura:
    • Conclusión:
  • Cómo borrar de forma segura todo tu Portátil/Drives si quieres borrarlo todo:
    • Linux (todas las versiones incluyendo Qubes OS):
    • Windows:
    • MacOS:
  • Cómo borrar de forma segura archivos/carpetas/datos específicos en tu HDD/SSD y unidades Thumb:
    • Windows:
    • Linux (no Qubes OS):
    • Linux (Qubes OS):
    • MacOS:
  • Algunas medidas adicionales contra los forenses:
    • Eliminación de metadatos de archivos/documentos/imágenes:
    • TAILS:
    • Whonix:
    • MacOS:
    • Linux (Qubes OS):
    • Linux (no Qubes):
    • Windows:
  • Eliminación de algunos rastros de sus identidades en los motores de búsqueda y diversas plataformas:
    • Google:
    • Bing:
    • DuckDuckGo:
    • Yandex:
    • Qwant:
    • Yahoo Search:
    • Baidu:
    • Wikipedia:
    • Archive.today:
    • Internet Archive:
• Algunos trucos de baja tecnología de la vieja escuela:
  • Comunicaciones ocultas a plena vista:
  • Cómo detectar si alguien ha estado registrando tus cosas:
• Últimas reflexiones sobre OPSEC:
• Si crees que te has quemado:
  • Si tienes tiempo:
  • Si no tiene tiempo:
• Una pequeña nota editorial final

 

[HEISENBERG]

Phishing e ingeniería social.

El phishing es un tipo de ataque de ingeniería social en el que un adversario puede intentar sonsacarle información haciéndose pasar por otra persona.


Un caso típico es el de un adversario que utiliza un ataque man-in-the-middle o un falso correo electrónico/llamada para pedirle sus credenciales para un servicio. Esto podría hacerse, por ejemplo, a través del correo electrónico o suplantando la identidad de servicios financieros.


Estos ataques también pueden utilizarse para desanonimizar a alguien engañándole para que descargue malware o revele información personal a lo largo del tiempo.


Se han utilizado innumerables veces desde los primeros días de Internet y la más habitual es la llamada "estafa 419" ( véase https://en.wikipedia.org/wiki/Advance-fee_scam [Wikiless] [Archive.org]).


Aquí tienes un buen vídeo si quieres aprender un poco más sobre los tipos de phishing: Black Hat, Ictiología: El phishing como ciencia

[Invidious].

 

[HEISENBERG]

Malware, exploits y virus.

Malware en sus archivos/documentos/correos electrónicos.

Utilizando la esteganografía u otras técnicas, es fácil incrustar malware en formatos de archivo comunes como documentos de Office, imágenes, vídeos, documentos PDF...


Pueden ser tan simples como enlaces de seguimiento HTML o complejos programas maliciosos dirigidos.


Podría tratarse de simples imágenes del tamaño de un píxel ocultas en sus correos electrónicos que llamarían a un servidor remoto para intentar obtener su dirección IP.


Podrían explotar una vulnerabilidad en un formato anticuado o un lector obsoleto. Estos exploits podrían utilizarse para comprometer su sistema.


Vea estos buenos vídeos para más explicaciones sobre el asunto:

• ¿Qué es un formato de archivo?
  [Invidious]
• Ange Albertini: Funky File Formats:
  [Invidious]

Siempre hay que extremar las precauciones. Para mitigar estos ataques, esta guía recomendará más adelante el uso de la virtualización (Ver Apéndice W: Virtualización) para mitigar la fuga de cualquier información incluso en caso de abrir un archivo malicioso de este tipo.


Si quieres aprender cómo intentar detectar este tipo de malware, consulta el Apéndice T: Comprobación de archivos en busca de malware.

 

[HEISENBERG]

Malware y Exploits en sus aplicaciones y servicios.

Por lo tanto, está utilizando Tor Browser o Brave Browser sobre Tor. Podrías usarlos a través de una VPN para mayor seguridad. Pero debe tener en cuenta que hay exploits (hacks) que podrían ser conocidos por un adversario (pero desconocidos para el proveedor de la aplicación/navegador). Dichos exploits podrían utilizarse para comprometer tu sistema y revelar detalles para desanonimizarte, como tu dirección IP u otros detalles.


Un caso real de uso de esta técnica fue el caso Freedom Hosting en 2013, donde el FBI insertó malware utilizando un exploit del navegador Firefox en un sitio web Tor. Este exploit les permitió revelar detalles de algunos usuarios. Más recientemente, se produjo el notable hackeo de SolarWinds que vulneró varias instituciones gubernamentales estadounidenses insertando malware en un servidor oficial de actualización de software.


En algunos países, el malware es simplemente obligatorio y/o distribuido por el propio Estado. Este es el caso, por ejemplo, de WeChat en China, que puede utilizarse en combinación con otros datos para la vigilancia estatal.


Existen innumerables ejemplos de extensiones maliciosas de navegadores, aplicaciones para smartphones y diversas aplicaciones que han sido infiltradas con malware a lo largo de los años.


He aquí algunas medidas para mitigar este tipo de ataques:

• Nunca debes confiar al 100% en las aplicaciones que utilizas.
• Siempre debes comprobar que estás utilizando la versión actualizada de dichas aplicaciones antes de usarlas e, idealmente, validar cada descarga utilizando su firma si está disponible.
• No deberías utilizar estas aplicaciones directamente desde un sistema de hardware, sino utilizar una máquina virtual para compartimentarlas.

Para reflejar estas recomendaciones, esta guía te guiará más adelante en el uso de la Virtualización (Ver Apéndice W: Virtualización) para que incluso si tu Navegador/Aplicaciones son comprometidos por un adversario habilidoso, ese adversario se encuentre atrapado en una caja de arena sin poder acceder a información identificable, o comprometer tu sistema.

 

[HEISENBERG]

Dispositivos USB maliciosos.

Existen dispositivos "badUSB" comerciales y baratos que pueden desplegar malware, registrar tus tecleos, geolocalizarte, escucharte u obtener el control de tu portátil con sólo conectarlos. Aquí tienes algunos ejemplos que ya puedes comprar tú mismo.

• Hak5, USB Rubber Ducky https://shop.hak5.org/products/usb-rubber-ducky-deluxe [Archive.org]
• Hak5, Cable O.MG
  [Invidious]
• Keelog https://www.keelog.com/ [Archive.org]
• AliExpress https://www.aliexpress.com/i/4000710369016.html [Archivo.org]

Este tipo de dispositivos pueden ser implantados en cualquier lugar (cable de carga, ratón, teclado, llave USB...) por un adversario y pueden ser utilizados para rastrearle o comprometer su ordenador o smartphone. El ejemplo más notable de este tipo de ataques es probablemente Stuxnet en 2005.


Aunque podrías inspeccionar físicamente una llave USB, escanearla con varias utilidades, comprobar los distintos componentes para ver si son auténticos, lo más probable es que nunca seas capaz de descubrir malware complejo incrustado en partes auténticas de una llave USB auténtica por un adversario experto sin equipos forenses avanzados.


Para mitigar esta situación, nunca debe confiar en este tipo de dispositivos ni conectarlos a equipos sensibles. Si utiliza un dispositivo de carga, debería considerar el uso de un dispositivo de bloqueo de datos USB que sólo permita la carga, pero no la transferencia de datos. Estos dispositivos de bloqueo de datos están disponibles en muchas tiendas en línea. También deberías considerar desactivar completamente los puertos USB en la BIOS de tu ordenador a menos que los necesites (si puedes).

 

[HEISENBERG]

Malware y puertas traseras en el firmware del hardware y el sistema operativo.

Puede que esto le suene un poco familiar, pues ya se trató parcialmente en la sección Su CPU.


El malware y las puertas traseras pueden incrustarse directamente en los componentes de hardware. A veces estas puertas traseras son implementadas por el propio fabricante, como el IME en el caso de las CPU de Intel. Y en otros casos, dichas puertas traseras pueden ser implementadas por un tercero que se coloca entre los pedidos de nuevo hardware y la entrega al cliente.


Estos programas maliciosos y puertas traseras también pueden ser desplegados por un adversario mediante exploits de software. Muchos de ellos se denominan rootkits en el mundo de la tecnología. Por lo general, estos tipos de malware son más difíciles de detectar y mitigar, ya que se implementan en un nivel inferior al del espacio de usuario y, a menudo, en el propio firmware de los componentes de hardware.


¿Qué es el firmware? El firmware es un sistema operativo de bajo nivel para dispositivos. Es probable que todos los componentes de su ordenador tengan firmware, incluidas, por ejemplo, las unidades de disco. El sistema BIOS/UEFI de tu máquina, por ejemplo, es un tipo de firmware.


Estos pueden permitir la gestión remota y son capaces de habilitar el control total en un sistema de destino de forma silenciosa y sigilosa.


Como se ha mencionado anteriormente, son más difíciles de detectar por los usuarios, pero se pueden tomar algunas medidas limitadas para mitigarlos protegiendo el dispositivo de manipulaciones y utilizando algunas medidas (como reiniciar la BIOS, por ejemplo). Por desgracia, si el propio fabricante implementa este malware o backdoor, resulta extremadamente difícil detectarlos y desactivarlos.

 

[HEISENBERG]

Sus archivos, documentos, imágenes y vídeos.

Propiedades y metadatos.

Esto puede resultar obvio para muchos, pero no para todos. La mayoría de los archivos tienen metadatos asociados. Un buen ejemplo son las fotos, que almacenan información EXIF que puede contener mucha información, como las coordenadas GPS, qué modelo de cámara/teléfono la tomó y cuándo fue tomada con precisión. Aunque es posible que esta información no revele directamente quién eres, podría indicar exactamente dónde estabas en un momento determinado, lo que permitiría a otros utilizar diferentes fuentes para encontrarte (por ejemplo, imágenes de circuito cerrado de televisión u otras imágenes tomadas en el mismo lugar a la misma hora durante una protesta). Es importante que verifiques cualquier archivo que coloques en esas plataformas en busca de cualquier propiedad que pueda contener información que pueda conducir hasta ti.


He aquí un ejemplo de los datos EXIF que podría contener una fotografía:

Por cierto, esto también funciona para los vídeos. Sí, los vídeos también tienen geoetiquetado y muchos lo desconocen. Aquí tienes, por ejemplo, una herramienta muy práctica para geolocalizar vídeos de YouTube: https://mattw.io/youtube-geofind/location [Archive.org].


Por esta razón, siempre tendrás que tener mucho cuidado al subir archivos utilizando tus identidades anónimas y comprobar los metadatos de esos archivos.


Incluso si publicas un simple archivo de texto, siempre deberás comprobar dos o tres veces que no haya fugas de información antes de publicarlo. Encontrarás algunas orientaciones al respecto en la sección Algunas medidas adicionales contra los forenses, al final de la guía.

 

[HEISENBERG]

Marca de agua.

Imágenes/Vídeos/Audio.

Las imágenes/vídeos suelen contener marcas de agua visibles que indican quién es el propietario/creador, pero también hay marcas de agua invisibles en diversos productos cuyo objetivo es identificar al propio espectador.


Así que, si eres un informante y estás pensando en filtrar algún archivo de imagen/audio/vídeo, piénsatelo dos veces. Piénselo dos veces. Es posible que contengan marcas de agua invisibles que incluyan información sobre usted como espectador. Estas marcas de agua pueden activarse con un simple interruptor de Zoom (vídeo o audio) o con extensiones de aplicaciones populares como Adobe Premiere Pro. También pueden ser insertadas por diversos sistemas de gestión de contenidos.


Un ejemplo reciente de alguien que filtró la grabación de una reunión de Zoom fue descubierto porque llevaba una marca de agua: https://theintercept.com/2021/01/18/leak-zoom-meeting/ [Archive.org].


Estas marcas de agua pueden ser insertadas por diversos productos mediante esteganografía y pueden resistir la compresión y la recodificación.


Estas marcas de agua no son fácilmente detectables y podrían permitir la identificación de la fuente a pesar de todos los esfuerzos.


Además de las marcas de agua, la cámara utilizada para filmar (y, por tanto, el dispositivo utilizado para filmar) un vídeo también puede identificarse mediante diversas técnicas, como la identificación de la lente, lo que podría conducir a la desanonimización.


Ten mucho cuidado cuando publiques vídeos/imágenes/archivos de audio de plataformas comerciales conocidas, ya que podrían contener esas marcas de agua invisibles, además de detalles en las propias imágenes.

Marcas de agua de impresión.

¿Sabías que lo más probable es que tu impresora también te esté espiando? ¿Aunque no esté conectada a ninguna red? Esto suele ser un hecho conocido por mucha gente de la comunidad informática, pero poca gente de fuera.


Sí... Tus impresoras también pueden ser utilizadas para desanonimizarte como explica la EFF aquí https://www.eff.org/issues/printers [Archive.org]


Con este (viejo pero todavía relevante) video explicando cómo de la EFF también:

[Invidious]


Básicamente, muchas impresoras imprimen una marca de agua invisible que permite la identificación de la impresora en cada página impresa. No hay otra forma de evitarlo que informarse sobre la impresora y asegurarse de que no imprime ninguna marca de agua invisible. Obviamente, esto es importante si quieres imprimir de forma anónima.


Aquí tienes una lista (antigua pero aún relevante) de impresoras y marcas que no imprimen esos puntos de seguimiento proporcionada por la EFF https://www.eff.org/pages/list-printers-which-do-or-do-not-display-tracking-dots [Archive.org].


Aquí tienes también algunos consejos de la documentación de Whonix(https://www.whonix.org/wiki/Printing_and_Scanning [Archive.org]):


No imprima nunca en color, normalmente las marcas de agua no están presentes sin tóners/cartuchos de color.

 

[HEISENBERG]

Información pixelada o borrosa.

¿Ha visto alguna vez un documento con texto borroso? ¿Te has reído alguna vez de esas películas/series en las que "mejoran" una imagen para recuperar información aparentemente imposible de leer?


Pues bien, existen técnicas para recuperar información de este tipo de documentos, vídeos e imágenes.


Aquí tienes, por ejemplo, un proyecto de código abierto que podrías utilizar tú mismo para recuperar texto de algunas imágenes borrosas: https://github.com/beurtschipper/Depix [Archive.org]

Se trata, por supuesto, de un proyecto de código abierto a disposición de todos. Pero probablemente te puedas imaginar que este tipo de técnicas ya han sido utilizadas antes por otros adversarios. Podrían utilizarse para revelar información borrosa de documentos publicados que luego podrían utilizarse para desanonimizarte.


También hay tutoriales para utilizar estas técnicas con herramientas de edición fotográfica como GIMP: https: //medium.com/@somdevsangwan/unblurring-images-for-osint-and-more-part-1-5ee36db6a70b [ Archive.org ] seguido de https://medium.com/@somdevsangwan/deblurring-images-for-osint-part-2-ba564af8eb5d [Archive.org].

Por último, aquí encontrarás un montón de recursos para desborronar: https://github.com/subeeshvasu/Awesome-Deblurring [Archive.org]


Algunos servicios en línea podrían incluso ayudarle a hacer esto automáticamente hasta cierto punto, como la herramienta de mejora de MyHeritage.com:


https://www.myheritage.com/photo-enhancer [Archive.org]


Aquí está el resultado de la imagen anterior:

Por supuesto, esta herramienta es más una "adivinanza" que un verdadero desenfoque en este punto, pero podría ser suficiente para encontrarle utilizando varios servicios de búsqueda inversa de imágenes.


Por esta razón, siempre es extremadamente importante que redactes y edites correctamente cualquier documento que quieras publicar. Desenfocar no es suficiente y siempre debes ennegrecer/eliminar por completo cualquier dato sensible para evitar cualquier intento de recuperación de datos por parte de cualquier adversario.

 

[HEISENBERG]

Sus transacciones con criptomonedas.

Contrariamente a la creencia popular, las transacciones con criptomonedas (como Bitcoin y Ethereum) no son anónimas. La mayoría de las criptomonedas pueden ser rastreadas con precisión a través de varios métodos


Recuerda lo que dicen en su propia página: https://bitcoin.org/en/you-need-to-know [Archive. org ] y https://bitcoin.org/en/protect-your-privacy [Archive.org]:


"Bitcoin no es anónimo"


La cuestión principal no es configurar un monedero Crypto aleatorio para recibir alguna moneda detrás de una dirección VPN/Tor (en este punto, el monedero es anónimo). El problema es principalmente cuando quieres convertir dinero Fiat (Euros, Dólares ...) a Crypto y luego cuando quieres cambiar tu Crypto. Usted tendrá pocas opciones realistas, pero para transferir esos a un intercambio (como Coinbase / Kraken / Bitstamp / Binance). Esos intercambios tienen direcciones de billetera conocidas y mantendrán registros detallados (debido a las regulaciones financieras KYC) y luego pueden rastrear esas transacciones de cripto a usted utilizando el sistema financiero.


Hay algunas criptomonedas con la privacidad / anonimato en mente como Monero, pero incluso esos tienen algunos y advertencias a tener en cuenta.


Incluso si utilizas Mixers o Tumblers (servicios que se especializan en "anonimizar" criptomonedas "mezclándolas"), ten en cuenta que esto es sólo ofuscación y no anonimato real. No sólo son sólo ofuscación, sino que también podrían ponerle en problemas, ya que podría terminar intercambiando su cripto contra cripto "sucio" que se utilizó en diversos contextos cuestionables.


Esto no significa que no pueda utilizar Bitcoin de forma anónima. De hecho, puede utilizar Bitcoin de forma anónima siempre que no lo convierta en moneda real y utilice un monedero Bitcoin de una red anónima segura. Esto significa que debe evitar las regulaciones KYC/AML de varios intercambios y evitar usar la red Bitcoin desde cualquier dirección IP conocida. Ver Apéndice Z: Pagar anónimamente online con BTC.


En general, en mi humilde opinión, la mejor opción para el uso de Crypto con razonable anonimato y privacidad sigue siendo Monero y lo ideal sería no utilizar ningún otro para las transacciones sensibles a menos que usted es consciente de las limitaciones y los riesgos involucrados. Por favor, lea esta exención de Monero.

 

[HEISENBERG]

Sus servicios de copia de seguridad/sincronización en la nube.

Todas las empresas anuncian su uso del cifrado de extremo a extremo (E2EE). Esto es cierto para casi todas las aplicaciones de mensajería y sitios web (HTTPS). Apple y Google anuncian el uso del cifrado en sus dispositivos Android y en sus iPhones.


Pero, ¿qué pasa con tus copias de seguridad? ¿Esas copias de seguridad automatizadas de iCloud/google drive que tienes?


Bueno, probablemente deberías saber que la mayoría de esas copias de seguridad no están totalmente cifradas de extremo a extremo y contendrán parte de tu información fácilmente disponible para terceros. Verás sus afirmaciones de que los datos están encriptados en reposo y a salvo de cualquiera ... Excepto que por lo general mantienen una clave para acceder a algunos de los datos por sí mismos. Estas claves se utilizan para indexar su contenido, recuperar su cuenta, recoger diversos análisis.


Existen soluciones forenses comerciales especializadas (Magnet Axiom, Cellebrite Cloud) que ayudarán a un adversario a analizar sus datos en la nube con facilidad.


Ejemplos notables:

• Apple iCloud: https://support.apple.com/en-us/HT202303 [Archive.org]: "Messages in iCloud also uses end-to-end encryption. Si tienes activada la copia de seguridad de iCloud, ésta incluye una copia de la clave que protege tus mensajes. Esto garantiza que puedas recuperar tus Mensajes si pierdes el acceso al Llavero de iCloud y a tus dispositivos de confianza. ".
• Google Drive y WhatsApp: https://faq.whatsapp.com/android/chats/about-google-drive-backups/ [Archive.org]: "Los archivos multimedia y los mensajes de los que hagas una copia de seguridad no están protegidos por el cifrado de extremo a extremo de WhatsApp mientras están en Google Drive. ".
• Dropbox: https://www.dropbox.com/privacy#terms [Archive.org] "Para proporcionar estas y otras funciones, Dropbox accede a tus cosas, las almacena y las escanea. Tú nos das permiso para hacer esas cosas, y este permiso se extiende a nuestros afiliados y terceros de confianza con los que trabajamos".
• Microsoft OneDrive: https://privacy.microsoft.com/en-us/privacystatement [Archive.org]: Productos de productividad y comunicaciones, "Cuando utilizas OneDrive, recopilamos datos sobre tu uso del servicio, así como sobre el contenido que almacenas, para proporcionar, mejorar y proteger los servicios. Algunos ejemplos son la indexación del contenido de tus documentos de OneDrive para que puedas buscarlos más tarde y el uso de la información de ubicación para que puedas buscar fotos en función del lugar donde se tomaron".

No deberías confiar a los proveedores de servicios en la nube tus datos sensibles (no cifrados previamente ni localmente) y deberías desconfiar de sus afirmaciones sobre privacidad. En la mayoría de los casos pueden acceder a tus datos y proporcionárselos a terceros si lo desean.


La única forma de evitarlo es cifrar los datos por tu cuenta y subirlos únicamente a estos servicios.

 

[HEISENBERG]

Huellas digitales de su navegador y dispositivo.

Las huellas dactilares de su navegador y dispositivo son un conjunto de propiedades/capacidades de su sistema/navegador. Se utilizan en la mayoría de los sitios web para realizar un seguimiento invisible del usuario, pero también para adaptar la experiencia del usuario del sitio web en función de su navegador. Por ejemplo, los sitios web podrán ofrecer una "experiencia móvil" si utiliza un navegador móvil o proponerle una versión lingüística/geográfica específica en función de su huella digital. La mayoría de estas técnicas funcionan con navegadores recientes como los basados en Chromium (como Chrome) o Firefox, a menos que se tomen medidas especiales.


Puede encontrar mucha información detallada y publicaciones al respecto en estos recursos:

• https://amiunique.org/links [Archive.org]
• https://brave.com/brave-fingerprinting-and-privacy-budgets/ [Archive.org]

La mayoría de las veces, esas huellas digitales serán desafortunadamente únicas o casi únicas para su Navegador/Sistema. Esto significa que incluso si cierra la sesión de un sitio web y luego vuelve a iniciarla con un nombre de usuario diferente, su huella digital podría seguir siendo la misma si no ha tomado medidas de precaución.


Un adversario podría utilizar estas huellas digitales para rastrearle a través de múltiples servicios, incluso si usted no tiene cuenta en ninguno de ellos y está utilizando el bloqueo de anuncios. A su vez, estas huellas podrían utilizarse para desanonimizarte si mantienes la misma huella entre servicios.


También debe tenerse en cuenta que, aunque algunos navegadores y extensiones ofrecen resistencia a las huellas digitales, esta resistencia en sí misma también puede utilizarse para tomar huellas digitales, como se explica aquí https://palant.info/2020/12/10/how-...xtensions-tend-to-make-fingerprinting-easier/ [Archive.org].


Esta guía mitigará estos problemas mitigando, ofuscando y aleatorizando muchos de esos identificadores de huellas digitales mediante el uso de la Virtualización (Ver Apéndice W: Virtualización) y el uso de Navegadores resistentes a las huellas digitales.

 

[HEISENBERG]

Fugas de datos locales y análisis forense.

La mayoría de ustedes probablemente han visto suficientes dramas criminales en Netflix o en la televisión como para saber qué son los forenses. Se trata de técnicos (que suelen trabajar para las fuerzas del orden) que realizan diversos análisis de pruebas. Esto, por supuesto, podría incluir su smartphone o portátil.


Aunque podrían ser realizados por un adversario cuando ya te han "quemado", también podrían hacerse al azar durante un control rutinario o un control fronterizo. Estos controles no relacionados pueden revelar información secreta a adversarios que no tenían conocimiento previo de tales actividades.


Las técnicas forenses son ahora muy avanzadas y pueden revelar una cantidad asombrosa de información de tus dispositivos incluso si están encriptados. Estas técnicas son ampliamente utilizadas por las fuerzas de seguridad de todo el mundo y deberían tenerse en cuenta.


Estos son algunos recursos recientes que deberías leer sobre tu smartphone:

• UpTurn, The Widespread Power of U.S. Law Enforcement to Search Mobile Phones https://www.upturn.org/reports/2020/mass-extraction/ [Archive.org] (El poder generalizado de las fuerzas de seguridad estadounidenses para registrar teléfonos móviles )
• New-York Times, La policía probablemente pueda entrar en tu teléfono https://www.nytimes.com/2020/10/21/technology/iphone-encryption-police.html [Archive.org]
• Vice, Policías de todo el país ya pueden desbloquear iPhones, según los registros https://www.vice.com/en/article/vbxxxd/unlock-iphone-ios11-graykey-grayshift-police [Archive.org]

También te recomiendo encarecidamente que leas algunos documentos desde la perspectiva de un examinador forense como:

• EnCase Forensic User Guide, http://encase-docs.opentext.com/doc...al Files/EnCase Forensic v8.07 User Guide.pdf [Archive.org]
• Kit de herramientas forenses FTK, https://accessdata.com/products-services/forensic-toolkit-ftk [Archive.org]
• SANS Digital Forensics and Incident Response Videos, https://www.youtube.com/c/SANSDigitalForensics/videos

Y, por último, aquí tienes este documento detallado y muy instructivo sobre el estado actual de la seguridad de IOS/Android de la Universidad John Hopkins: https://securephones.io/main.html.


Cuando se trata de tu portátil, las técnicas forenses son muchas y están muy extendidas. Muchos de esos problemas pueden mitigarse utilizando el cifrado completo del disco, la virtualización (véase el Apéndice W: Virtualización) y la compartimentación. Esta guía detallará más adelante dichas amenazas y las técnicas para mitigarlas.

 

[HEISENBERG]

Mala criptografía.

Hay un adagio frecuente entre la comunidad infosegura: "¡No hagas tu propia criptografía!".


Y hay razones para ello:


Personalmente, no me gustaría que la gente se desanimara a estudiar e innovar en el campo de la criptografía por culpa de ese adagio. Así que, en lugar de eso, recomendaría a la gente que fuera cauta con "Haz tu propio cripto" porque no es necesariamente un buen cripto.

• La buena criptografía no es fácil y normalmente lleva años de investigación desarrollarla y ponerla a punto.
• La buena criptografía es transparente y no está patentada ni es de código cerrado, por lo que puede ser revisada por otros expertos.
• La buena criptografía se desarrolla con cuidado, lentamente y rara vez en solitario.
• La buena criptografía suele presentarse y debatirse en conferencias y publicarse en diversas revistas.
• La buena criptografía se somete a una revisión exhaustiva por pares antes de su difusión.
• Utilizar e implementar correctamente la buena criptografía existente es ya todo un reto.

Sin embargo, esto no impide que algunos lo hagan de todos modos y publiquen varias aplicaciones/servicios de producción utilizando su propia criptografía o métodos propietarios de código cerrado.

• Debe tener cuidado cuando utilice aplicaciones/servicios que utilicen métodos de cifrado de código cerrado o propietarios. Todos los buenos estándares criptográficos son públicos y revisados por pares y no debería haber ningún problema en revelar el que usted utiliza.
• Desconfíe de las aplicaciones/servicios que utilicen métodos criptográficos "modificados" o patentados.
• Por defecto, no deberías confiar en ningún "Roll your own crypto" hasta que haya sido auditado, revisado por pares, examinado y aceptado por la comunidad criptográfica.
• No existe la "criptografía de grado militar".

La criptografía es un tema complejo y una mala criptografía podría conducir fácilmente a tu desanonimización.


En el contexto de esta guía, recomiendo ceñirse a aplicaciones/servicios que utilicen métodos bien establecidos, publicados y revisados por expertos.


Entonces, ¿qué preferir y qué evitar a partir de 2021? Tendrás que buscar por ti mismo para obtener los detalles técnicos de cada aplicación y ver si están utilizando "criptografía mala" o "criptografía buena". Una vez que obtengas los detalles técnicos, podrías consultar esta página para ver lo que vale: https://latacora.micro.blog/2018/04/03/cryptographic-right-answers.html [Archive.org]


Aquí tienes algunos ejemplos:

• Hashes:
  
  • Preferir: SHA256 (ampliamente utilizado), SHA512 (preferido) o SHA-3
  • Evitar: SHA-1, SHA-2, MD5 (por desgracia, aún muy utilizado), CRC, MD6 (poco utilizado).
• Cifrado de archivos y discos:
  
  • Preferir:
    
    • Acelerado por hardware: AES 256 Bits con HMAC-SHA-2 o HMAC-SHA-3 (Esto es lo que usan Veracrypt, Bitlocker, Filevault 2, KeepassXC y LUKS)
    • No acelerado por hardware: Igual que el acelerado anterior o si está disponible prefiera ChaCha20 o XChaCha20 (Puede usar ChaCha20 con Kryptor https://www.kryptor.co.uk, desafortunadamente no está disponible con Veracrypt).
  • Evitar: Casi cualquier otra cosa
• Almacenamiento de contraseñas:
  
  • Preferir: argon2, scrypt, bcrypt, SHA-3 o si no es posible al menos PBKDF2 (sólo como último recurso)
  • Evitar: SHA-2 desnudo, SHA-1, MD5
• Seguridad del navegador (HTTPS):
  
  • Preferir: TLS 1.3 (idealmente TLS 1.3 con soporte ECH/eSNI) o al menos TLS 1.2 (ampliamente utilizado)
  • Evitar: Cualquier otra cosa (TLS =<1.1, SSL =<3)
• Firma con PGP/GPG:
  
  • Preferir ECDSA (ed25519)+ECDH (ec25519) o RSA 4096 Bits*.
  • Evitar RSA 2048 bits
• Claves SSH:
  
  • ED25519 (preferida) o RSA 4096 bits*.
  • Evitar: RSA 2048 bits
• Advertencia: Desafortunadamente, RSA y ED25519 no se consideran "resistentes al quantum" y, aunque todavía no se han roto, probablemente se romperán algún día en el futuro. Probablemente sea sólo una cuestión de cuándo y no de si RSA se romperá algún día. Por lo tanto, se prefieren en esos contextos debido a la falta de una opción mejor.

He aquí algunos casos reales de problemas de mala criptografía:

• Telegrama: https://buttondown.email/cryptograp...ography-dispatches-the-most-backdoor-looking/ [Archive.org]
• Cryptocat: https://web.archive.org/web/2013070...-critical-vulnerability-in-cryptocat-details/
• Algunos otros ejemplos se pueden encontrar aquí: https://www.cryptofails.com/ [Archive.org]

 

[HEISENBERG]

Políticas de no registro, pero registro al fin y al cabo.

Mucha gente tiene la idea de que los servicios orientados a la privacidad, como las VPN o los proveedores de correo electrónico, son seguros debido a sus políticas de no registro o a sus sistemas de cifrado. Por desgracia, muchas de esas mismas personas olvidan que todos esos proveedores son entidades comerciales legales sujetas a las leyes de los países en los que operan.


Cualquiera de esos proveedores puede verse obligado a registrar su actividad de forma silenciosa (sin que usted lo sepa, por ejemplo mediante una orden judicial o una carta de seguridad nacional) para desanonimizarle. Ha habido varios ejemplos recientes de ello:

• 2021, Servidores, registros e información de cuentas de DoubleVPN incautados por las fuerzas de seguridad.
• 2021, El proveedor de correo alemán Tutanota se vio obligado a monitorizar cuentas específicas durante 3 meses.
• 2020, El proveedor de correo con sede en Alemania Tutanota se vio obligado a implementar una puerta trasera para interceptar y guardar copias de los correos electrónicos no cifrados de un usuario (no descifraron el correo electrónico almacenado).
• 2017, PureVPN se vio obligada a revelar información de un usuario al FBI.
• 2014, un usuario de EarthVPN fue arrestado por los registros que proporcionó a la policía holandesa.
• 2014, el usuario de HideMyAss fue desanonimizado y los registros fueron proporcionados al FBI.
• 2013, el proveedor de correo electrónico seguro Lavabit cierra después de luchar contra una orden de mordaza secreta.

Algunos proveedores han implementado el uso de un Warrant Canary que permitiría a sus usuarios averiguar si se han visto comprometidos por este tipo de órdenes, pero que yo sepa esto aún no se ha probado.


Por último, ahora es bien sabido que algunas empresas podrían estar patrocinadas por algunos adversarios estatales (véase la historia de Crypto AG y la historia de Omnisec).


Por estas razones, es importante que no confíes en tales proveedores para tu privacidad a pesar de todas sus afirmaciones. En la mayoría de los casos, usted será la última persona en saber si alguna de sus cuentas ha sido objeto de este tipo de órdenes y puede que nunca llegue a saberlo.


Para mitigar esto, en los casos en los que quiera usar una VPN, le recomendaré el uso de un proveedor VPN de pago en efectivo/Monero sobre Tor para evitar que el servicio VPN sepa cualquier información identificable sobre usted.

 

[HEISENBERG]

Algunas técnicas avanzadas específicas.

Hay muchas técnicas avanzadas que pueden utilizar los adversarios expertos para saltarse sus medidas de seguridad, siempre que ya sepan dónde están sus dispositivos. Muchas de esas técnicas se detallan aquí https://cyber.bgu.ac.il/advanced-cyber/airgap [Archive.org] (Air-Gap Research Page, Cyber-Security Research Center, Ben-Gurion University of the Negev, Israel) e incluyen:

• Ataques que requieren un malware implantado en algún dispositivo:
  
  • Exfiltración de Datos a través de un Router infectado con Malware:
    [Invidious]
  • Exfiltración de Datos a través de la observación de la variación de Luz en un teclado Retroiluminado con una cámara comprometida:
    [Invidiable]
    
    • Exfiltración de Datos a través de una Cámara de Seguridad comprometida (que podría utilizar primero el ataque anterior)
      [Invidioso]
    • Comunicación desde el exterior a Cámaras de Seguridad comprometidas a través de señales de luz IR:
      [Invidious]
  • Exfiltración de datos de un ordenador comprometido con cámara de aire a través del análisis acústico de los ruidos del FAN con un smartphone
    [Invidious]
  • Extracción de datos de un ordenador infectado con malware a través de Leds HD con un dron.
    [Invidious]
  • Exfiltración de datos de un malware USB en un ordenador con trampa de aire a través de interferencias electromagnéticas
    [Invidious]
  • Exfiltración de datos de un disco duro infectado con malware mediante ruido acústico encubierto
    [Invidioso]
  • Exfiltración de datos a través de frecuencias GSM desde un ordenador comprometido (con malware) protegido por el aire
    [Invidiable]
  • Exfiltración de datos a través de emisiones electromagnéticas desde un dispositivo de visualización comprometido
    [Invidiable]
  • Exfiltración de datos a través de ondas magnéticas desde un ordenador con trampa de aire a un Smartphone almacenado en una bolsa Faraday.
    [Invidible]
  • Comunicación entre dos ordenadores comprometidos mediante ondas sonoras ultrasónicas.
    [Invidious]
  • Exfiltración del monedero Bitcoin desde un ordenador infectado a un smartphone
    [Invidioso]
  • Filtración de datos de un ordenador infectado mediante el uso de una pantalla luminosa
    [Invidiable]
  • Filtración de datos de un ordenador infectado mediante vibraciones.
    [Invidioso]
  • Extracción de datos de un ordenador infectado mediante la conversión de la memoria RAM en un emisor Wi-Fi.
    [Invidioso]
  • Exfiltración de datos de un ordenador conectado al aire a través de líneas eléctricas https://arxiv.org/abs/1804.04014 [Archive.org]
• Ataques que no requieren malware:
  
  • Observación de una bombilla a distancia para escuchar el sonido de la habitación sin malware: Demostración:
    [Invidious]

Aquí hay también un buen vídeo de los mismos autores para explicar esos temas: Black Hat, The Air-Gap Jumpers

[Invidious]


Siendo realistas, esta guía será de poca ayuda contra este tipo de adversarios, ya que estos malwares podrían ser implantados en los dispositivos por un fabricante o alguien en el medio o por cualquiera con acceso físico al ordenador con brecha aérea, pero aún hay algunas formas de mitigar estas técnicas:

• No lleve a cabo actividades sensibles mientras esté conectado a una línea eléctrica no fiable/insegura para evitar fugas en la línea eléctrica.
• No utilice sus dispositivos delante de una cámara que pueda verse comprometida.
• Utilice sus dispositivos en una habitación insonorizada para evitar fugas de sonido.
• Utilice sus dispositivos en una jaula de Faraday para evitar fugas electromagnéticas.
• No hables de información sensible donde se puedan ver bombillas desde fuera.
• Compra tus dispositivos en lugares (tiendas) diferentes/impredecibles/offline, donde la probabilidad de que estén infectados con este tipo de malware es menor.
• No permitas que nadie acceda a tus ordenadores conectados por aire, salvo personas de confianza.

 

[HEISENBERG]

Algunos recursos adicionales.

• Eche un vistazo a la documentación de Whonix sobre técnicas de recopilación de datos aquí: https://www.whonix.org/wiki/Data_Collection_Techniques [Archive.org].
• También puede que le guste echar un vistazo a este servicio https://tosdr.org/ [Archive.org] (Terms of Services, Didn't Read) que le dará una buena visión general de los distintos ToS de muchos servicios.
• Echa un vistazo a https://www.eff.org/issues/privacy [Archive.org] para obtener más recursos.
• Eche un vistazo a https://en.wikipedia.org/wiki/List_of_government_mass_surveillance_projects [Wikiless] [Archive.org] para obtener una visión general de todos los proyectos de vigilancia masiva conocidos, actuales y pasados.
• Eche un vistazo a https://www.gwern.net/Death-Note-Anonymity [Archive.org] (aunque no conozca Death Note).
• Considere la posibilidad de buscar y leer el libro de Michael Bazzell "Open Source Intelligence Techniques" (8ª edición en el momento de escribir este artículo para obtener más información sobre las técnicas OSINT más recientes) https://inteltechniques.com/book1.html [Archive.org].
• Por último, consulta https://www.freehaven.net/anonbib/date.html [Archive.org] para ver los últimos artículos académicos relacionados con el anonimato en línea.

 

[HEISENBERG]

Notas.

Si sigues pensando que esta información no puede ser utilizada por diversos actores para rastrearte, puedes ver por ti mismo algunas estadísticas de algunas plataformas y tener en cuenta que éstas sólo tienen en cuenta las solicitudes de datos legales y no contarán cosas como PRISM, MUSCULAR, SORM o XKEYSCORE explicadas anteriormente:

• Informe de transparencia de Google https://transparencyreport.google.com/user-data/overview [Archive.org]
• Informe de transparencia de Facebook https://transparency.facebook.com/ [Archive.org]
• Informe de transparencia de Apple https://www.apple.com/legal/transparency/ [Archive.org]
• Informe de transparencia de Cloudflare https://www.cloudflare.com/transparency/ [Archive.org]
• Informe de transparencia de Snapchat https://www.snap.com/en-US/privacy/transparency [Archive.org]
• Informe de transparencia de Telegram https://t.me/transparency [Archive.org] (requiere telegram instalado)
• Informe de transparencia de Microsoft https://www.microsoft.com/en-us/corporate-responsibility/law-enforcement-requests-report [Archive.org] (requiere telegram instalado )
• Informe de transparencia de Amazon https://www.amazon.com/gp/help/customer/display.html?nodeId=GYSDRGWQ2C2CRYEF [Archive.org] (requiere tener instalado telegram )
• Informe de transparencia de Dropbox https://www.dropbox.com/transparency [Archive.org]
• Informe de transparencia de Discord https://blog.discord.com/discord-transparency-report-jan-june-2020-2ef4a3ee346d [Archive.org]
• Informe de transparencia de GitHub https://github.blog/2021-02-25-2020-transparency-report/ [Archive.org]
• Informe de transparencia de Snapchat https://www.snap.com/en-US/privacy/transparency/ [Archive.org]
• Informe de transparencia de TikTok https://www.tiktok.com/safety/resources/transparency-report?lang=en [Archive.org]
• Informe de transparencia de Reddit https://www.reddit.com/wiki/transparency [Archive.org]
• Informe de transparencia de Twitter https://transparency.twitter.com/ [Archive.org]

 

[HEISENBERG]

Preparados generales.

Personalmente, en el contexto de esta guía, también es interesante echar un vistazo a su modelo de seguridad. Y en este contexto, sólo tengo uno para recomendar:


Zero-Trust Security ("Nunca confíes, verifica siempre").


Aquí tienes varios recursos sobre qué es la Seguridad de Confianza Cero:

• DEFCON, Zero Trust a Vision for Securing Cloud,
  [Invidious]
• De la propia NSA, Abrazar un modelo de seguridad de confianza cero, https://media.defense.gov/2021/Feb/..._EMBRACING_ZT_SECURITY_MODEL_UOO115131-21.PDF [Archive.org]

 

[HEISENBERG]

Elija su ruta.

He aquí un pequeño diagrama UML básico que muestra sus opciones. Vea los detalles más abajo.

 

[HEISENBERG]

Limitaciones de tiempo.

• Usted dispone de muy poco tiempo para aprender y necesita una solución rápida:
  
  • Su mejor opción es optar por la ruta de Tails (excluyendo la sección de negación plausible persistente).
• Tienes tiempo y, lo que es más importante, ganas de aprender:
  
  • Opta por cualquier ruta.