Escrito por scribe_TS NOT ME
.....1.1 Quién soy
.....1.2 Definición de seguridad operativa
2 - Guerra de desinformación (digital)
.....2.1 Desinformación antigua
.....2.2 Cómo te rastrean
.....2.3 Cómo utilizar la desinformación a su favor
.....2.4 Compartimentación
.....2.5 La seguridad no es conveniente
3 - D.U.M.B (Físico)
......1 Principales ejemplos de fallos OPSEC
......2 Cagadas inevitables, secuelas y limpieza
1.1 - Quién soy
"Sólo soy otro eco en el vacío".
1.2 - Definición de seguridad operativa
Por definición, la seguridad operacional se derivó del término militar seguridad procedimental, originado como un término que describía estrategias para evitar que adversarios potenciales descubrieran datos críticos relacionados con las operaciones. Que es un proceso analítico que clasifica los activos de información y determina el control necesario para proporcionar estos activos.
Se preguntarán por qué he decidido escribir sobre la seguridad operativa física y digital. La respuesta más sencilla es que están entrelazadas y, en mi opinión, no pueden separarse. Si tienes una pero no la otra, es como si no tuvieras ninguna.
2 - Guerra de desinformación
2.1 - Desinformación antigua
Desde los albores de la humanidad, la desinformación se ha utilizado como arma, y la más eficaz de todas. Si eres un bibliófilo como yo, te sugiero que leas El arte de la guerra de Sun Tzu, ese libro, incluso después de miles de años desde que fue escrito, tiene teorías y prácticas que se pueden aplicar en el mundo moderno. ¿Por qué le digo esto? Porque empezaremos con una de sus citas.
Cita: Sun Tzu
"Toda guerra se basa en el engaño. Por lo tanto, cuando podamos atacar, debemos parecer incapaces; cuando utilicemos nuestras fuerzas, debemos parecer inactivos; cuando estemos cerca, debemos hacer creer al enemigo que estamos lejos; cuando estemos lejos, debemos hacerle creer que estamos cerca."
Uno de los ejemplos más atroces de esto nos lleva a la antigua Roma y al final mismo de la República, cuando casi un siglo de guerra civil, caos y asesinatos políticos habían llevado al gobierno romano al borde del colapso. Era la época del llamado Segundo Triunvirato. Hace unos 2000 años, la República Romana se enfrentaba a una guerra civil entre Octavio, hijo adoptivo del gran general Julio César, y Marco Antonio, uno de los comandantes de mayor confianza del César. Para ganar la guerra, Octavio sabía que tenía que tener a la opinión pública de su lado. Ganar batallas importantes le ayudaba, pero si el pueblo no le quería, no sería un gobernante de éxito. Para conseguir el apoyo del público, Octavio lanzó una guerra de noticias falsas contra Marco Antonio. Afirmaba que Antonio, que tenía una aventura con Cleopatra, la reina egipcia, no respetaba los valores tradicionales romanos, como la fidelidad y el respeto. Octavio también dijo que no era apto para el cargo porque siempre estaba borracho. Octavio transmitió su mensaje a la opinión pública a través de la poesía y de eslóganes cortos y rápidos impresos en las monedas. Finalmente, Octavio ganó la guerra y se convirtió en el primer emperador de Roma, gobernando durante más de 50 años. Pero estoy divagando, así que volvamos a lo que hemos venido a buscar. Hoy en día es mucho más fácil llevar a cabo una guerra de desinformación que hace 2000 años, obviamente. Ahora, para saltarnos las lecciones de historia y trasladarnos a la era moderna, he aquí un ejemplo de desinformación. Los mercados que quieren llevar a cabo estafas de salida normalmente desactivan las retiradas de fondos debido a problemas técnicos, mientras que mantienen los depósitos mientras desvían los fondos a algún monedero externo. 2.2 - Cómo le rastrean En la sociedad distópica en la que vivimos hoy en día, la vigilancia es una parte importante de la forma en que los gobiernos mantienen a raya a la gente corriente. Para entender cómo podemos utilizar la desinformación contra ellos, primero debemos entender cómo nos rastrean. Las entidades que nos rastrean (agencias gubernamentales, conglomerados tecnológicos y empresas de minería de datos) confían en que filtremos pequeños fragmentos de datos que utilizan para crear perfiles en línea y relacionar el nombre de usuario con el usuario real. Es muy sencillo cotejar contenidos en bases de datos si existe algún tipo de índice. Los datos más comunes que se utilizan para rastrearle en clear-net y dark-net son: Nombres (tanto reales como de usuario)
Direcciones IP
Huella digital del navegador
Dirección de correo electrónico
Ubicación (exacta o aproximada)
Números de teléfono
Fecha de nacimiento (o cualquier otra PII)
Estilometría
Reconocimiento facial
Es importante entender que basta con utilizar dos elementos de todos estos para que puedan rastrearte. Así que tu trabajo consiste en impedir que obtengan dos datos reales si deseas permanecer en el anonimato. 2.3 - Cómo utilizar la desinformación a tu favor Bien, ya sabemos cómo nos rastrean. Hablemos brevemente de cómo podemos utilizar la desinformación para que a estas entidades les resulte mucho más difícil rastrearte. Nombres: No utilices tu nombre real en ningún sitio de Internet y evita los sitios web que lo requieran. Utiliza alias, el pseudoanonimato es mejor que ser pillado con los pantalones bajados. Dirección IP: Enmascara tu dirección IP utilizando Tor, VPN, VPS, RDP o proxies. Dependiendo de lo que estés haciendo en realidad es posible que desees combinar algunos de estos. El punto es usar lo que esté a tu disposición para hacerles la vida más difícil. Huella digital del navegador: Esta es probablemente la más difícil de ocultar si no eres un mago de la tecnología. Pero siempre puedes utilizar varios navegadores con diferentes plug-ins para que parezca que eres varias personas. Números de teléfono: Deja de vincular tu número de teléfono personal a servicios como mensajería instantánea, aplicaciones de redes sociales y autenticación de dos factores en servicios. O bien seguir adelante y comprar número VOIP con Crypto o utilizar cosas tales como Yubi clave para la autenticación de dos factores. Direcciones de correo electrónico: Probablemente lo más fácil, utilice varios correos electrónicos con diferentes nombres para diferentes propósitos. Mantenga las cosas separadas. Estilometría: Es la aplicación del estudio del estilo lingüístico. Por ejemplo, puedo decir 10% o 10% o 10%. Cada uno de ellos es diferente y puede utilizarse para enmascarar tu verdadera identidad. Además, cuando escribí este post, podría haber ido fácilmente a algún servicio de traducción y hacer esto. Traducir del inglés al ruso, del ruso al español, del español al finlandés y del finlandés al inglés. Esto hará que el texto sea muy diferente (estilísticamente hablando) de lo que escribiste originalmente, sólo tienes que corregir la ortografía. Engaños y mentiras: No del tipo que esperas. Digamos que eres un usuario Dread y quieres mencionar una mascota que tienes para hacer algún punto en una discusión. Ahora, se considera mala OPSEC decir Hey, ¡tengo un gato negro!, en su lugar di que tienes un perro blanco. De este modo, puedes seguir diciendo que mi mascota ha hecho X, Y o Z. Pero sin divulgar información real sobre ti. Hacer cambios tan sutiles en los detalles es crucial si quieres permanecer oculto. Cita: Sun Tzu: "Involucra a la gente con lo que espera; es lo que es capaz de discernir y confirma sus proyecciones. Los instala en patrones predecibles de respuesta, ocupando sus mentes mientras esperas el momento extraordinario que no pueden anticipar."
Todo lo que he dicho aquí es un tipo de desinformación de un modo u otro. El uso de estas técnicas te hace aparecer como varios individuos en lugar de uno solo. Pero todo esto no le ayudará si no hace un uso adecuado de la compartimentación. 2.4 Compartimentación ¿Por qué Qubes OS es considerado uno de los sistemas operativos más seguros disponibles hoy en día? Porque hace uso de la compartimentación. Mantener las cosas separadas es probablemente la mejor manera de evitar que alguien te rastree. ¿Qué quiero decir con esto? Digamos que has comprado un teléfono desechable y una tarjeta SIM, con dinero en efectivo, en un lugar sin cámaras de seguridad y piensas utilizarlo como teléfono trampa. Puedes dar por hecho que ese teléfono es anónimo por lo que a ti respecta. Pero, si llamaras a tu madre, cónyuge o hijo con ese teléfono, se quemaría al instante. Hay un registro en algún lugar por ahí acerca de esa llamada y usted puede estar seguro de que va a ser encontrado por las fuerzas del orden. No importa si eres un hacker, administrador de mercado, administrador de foro, usuario regular o simplemente un individuo consciente de la privacidad, porque esto va para todos. De la misma manera que no le dices a tu familia que estás vendiendo cocaína online, aplícalo a todos los aspectos de tu vida digital. Cita: Sun Tzu "Si tu enemigo está seguro en todos los puntos, prepárate para él. Si su fuerza es superior, elúdelo. Si tu oponente es temperamental, busca irritarle. Finge debilidad para que se vuelva arrogante. Si está tranquilo, no le des descanso. Si sus fuerzas están unidas, sepáralas. Si soberano y súbdito están de acuerdo, pon división entre ellos. Atácale donde no esté preparado, aparece donde no te esperen".
Otro ejemplo de compartimentación es éste. Todos conocemos a todo tipo de personas, desde yonquis hasta tipos con doctorado e incluso todo lo que hay en medio. Todo el mundo tiene un amigo con el que fuma hierba, un amigo con el que sale de copas, amigos a los que puede llevar a casa para conocer a tus padres, etc. Así es como se hace. Algunas cosas en la vida simplemente no se mezclan. Así que no mezcles tus identidades online, porque si lo haces, tarde o temprano estarán unidas y volverán a ti.
2.5 La seguridad no es conveniente
Como habrás deducido de todo lo que he escrito, la seguridad no es conveniente y no puedes tenerla de las dos maneras. Pero si aplicas estos o similares patrones a tu vida digital, mejorarás exponencialmente tu seguridad operativa.
Ten en cuenta que ni siquiera he arañado la superficie, pero he dicho lo suficiente para que pienses en tu propia OPSEC. Evita el punto único de fallo, aplica el uso de PGP cuando transmitas información importante, utiliza el cifrado de disco completo, cambia tus contraseñas con regularidad, no mezcles la delincuencia con tu vida personal, utiliza software de código abierto en lugar de código cerrado y, lo más importante, ¡mantén la puta boca cerrada!
Nadie necesita saber lo que has hecho, lo que vas a hacer, dónde está tu escondite, cuánto dinero o drogas tienes, etcétera. Un hombre sabio dijo una vez: "Un pez con la boca cerrada nunca se pesca".
3 D .U.M.B.
Esta parte trata de la seguridad operativa física y puede que te preguntes ¿qué significa D.U.M.B.? Es muy sencillo: bases militares subterráneas. Lo utilicé como referencia de un edificio impenetrable que debería ser tu OPSEC. Porque no importa lo buena que sea tu OPSEC digital si la física es horrible y viceversa.
Antes de sumergirme en esta sección, cualquiera que tenga amor por el robo de cajas fuertes y la apertura de cerraduras como yo, definitivamente debe revisar los libros escritos por Jayson Street llamados Dissecting the Hack: F0rb1dd3n Network y Dissecting the Hack: STARS (Security Threats Are Real), en los que explica muy bien la importancia de la seguridad tanto digital como física y las consecuencias de no tener en cuenta cualquiera de ellas. Además, The Complete Book of Locks and Locksmithing, Seventh Edition y Master Locksmithing: An Experts Guide son lecturas divertidas llenas de información.
¿Qué es la OPSEC física (comúnmente denominada analouge) y por qué es tan importante? Bueno, la OPSEC analógica es como cuando usas los mercados para comprar drogas, no dejas el dispositivo conectado y desatendido, no dejas las puertas abiertas cuando sales de casa, todo eso es OPSEC analógica. La gente tiende a considerarla menos importante, pero no se equivoque, es tan importante como la digital.
Al igual que en digital, sólo puedo darte sugerencias y hacerte pensar, ya que cada situación y modelo de amenaza es diferente.
Vamos a suponer que usted es un distribuidor, que no hace los mercados, prefiere la manera antigua. Voy a enumerar algunos consejos que usted puede encontrar útil:
No hables demasiado de donde esta tu piso franco, cuanto peso tienes, vas armado o no, etc. Todas estas cosas pueden ser una razón para que te secuestren, torturen o maten.
Nocagues donde comes, no te drogues en tu propio barrio. Es una mala práctica en general, traslada tu negocio al otro lado de la ciudad.
No seas amigo declientes, no puedes ser amigo de adictos. Pueden ser uno u otro, no ambos. Porque los adictos se darán la vuelta y cantarán si les pillan. Tener un adicto como amigo es una buena manera de asegurarse unas largas vacaciones en cualquier correccional del mundo.
Saber cuando rendirse es probablemente lo más importante, si algo te parece mal, es porque probablemente lo sea. Confíe en su instinto y sepa que dar un paso atrás no siempre es malo. Como le dijo a Frank Lucas su proveedor: "No es lo mismo rendirse que abandonar mientras se lleva ventaja".
No trabajes con el amigo de un amigo de un amigo, probablemente son policías encubiertos.
Piensa en el futuro Siempre, y me refiero a siempre tener un plan de salida. Ya sea un pasaporte falso, 50 mil en efectivo y un billete a alguna isla sudafricana que no tiene un tratado de extradición con nadie. O el pago inicial de un par de cientos de miles al abogado más caro de la ciudad. Asegúrate de tener un plan.
Estas son sólo algunas cosas, para mantener un ojo hacia fuera. Hay literalmente toneladas de consejos más para varias profesiones, pero si sigo así, no llegaré a publicarlos a tiempo. Sólo ten en cuenta que cualquier cosa puede ser forzada, hackeada, ganzuada o explotada.
3.1 Ejemplos paradigmáticos de fallos de OPSEC
Hablemos de algunos fallos OPSEC. Porque las personas inteligentes aprenden de los errores de los demás, no de los suyos propios. Debido al hecho de que en las líneas de trabajo en dark-net que podría ser su primera y última.
DreadPirateRoberts (Ross Ulbricht) era un revolucionario, extremadamente inteligente pero no necesariamente listo. Entre las muchas cosas estúpidas que hizo están: usar un servidor CAPTCHA mal configurado durante un largo periodo de tiempo, enviar contrabando a su domicilio, anunciar Silk Road en Shroomery usando su propia dirección de gmail, hacerse amigo de un antiguo agente encubierto (corrupto) de la DEA (que más tarde le extorsionó), mantener registros de todas sus conversaciones y un diario detallado de sus aventuras en Silk Road. Pero lo más grave es que no era consciente de lo que le rodeaba. La mayor parte del tiempo operó Silk Road desde la comodidad de la Biblioteca Pública de San Forensics, donde se equivocó fue al sentarse en una mesa de espaldas a la sala. Mientras dos agentes del FBI escenificaban una pelea de pareja, sus colegas se abalanzaron por detrás y le arrebataron el ordenador portátil antes de que pudiera apagarlo y activar el proceso de encriptación. Básicamente documentó todos sus crímenes entre otros así que no seas DPR.
Shiny Flakes (vendedor alemán ) Joven de 20 años que creó una de las mayores operaciones de tráfico de cocaína en Alemania en su momento. La policía confiscó más de medio millón en varias divisas y una cantidad ingente de drogas, todo almacenado en su dormitorio. Y su mayor fallo de OPSEC fue que enviaba todos sus cargamentos desde el mismo puesto de DHL. También almacenaba todo en texto plano (pedidos, clientes, datos financieros, credenciales de acceso, etc.) en una unidad sin cifrar.
Sabu (Hector Xavier Monsegur) LulzSEC olvidó usar TOR para conectarse al servidor IRC monitorizado por el FBI. Obtuvieron su dirección IP de su ISP, un ataque de correlación más tarde fue esposado y entregó a sus amigos a cambio de un acuerdo con la fiscalía. No seas chivato, reconoce tus cagadas.
nCux / BulbaCC / Track2 (Roman Seleznev, Russain Carder) entre muchas cosas estúpidas que hizo, fue alquilar servidores con dirección de correo electrónico que utilizó para abrir una cuenta de PayPal, a continuación, utilizó ese PayPal para pagar las flores de su esposa. Pero eso no es todo. Viajó con su portátil del trabajo que contenía cientos de miles de tarjetas de crédito, pero eso no es malo, ya que tenía cifrado. Desgraciadamente, su contraseña Ochko123 fue adivinada por las fuerzas de seguridad, ya que creo que era la misma que la de su correo electrónico. Así que, no lleves tu trabajo cuando viajes, no mezcles crimen y vida amorosa, no reutilices contraseñas. No seas BulbaCC.
Willy Clock (Ryan Gustefson, falsificador ugandés) reutilizó el correo electrónico personal que utilizó para solicitar la nacionalidad estadounidense en una cuenta de Facebook desde la que vendía billetes falsos. Además, subió su propia foto a esa cuenta. Ni siquiera tengo nada que decir de este.
FrecnhMaid alias nob (Agente de la DEA del caso DRP) utilizó su portátil del trabajo para extorsionar a Ross Ulbricht, puedes adivinar cómo fue. Entre otras cosas movió ese dinero a cuentas bancarias bajo su propio nombre, en países con leyes de secreto bancario no estrictas. Se llevó su merecido.
Alexandre Cazes (administrador de AlphaBay) utilizó su dirección de correo electrónico personal para los mensajes de restablecimiento de contraseña de AlphaBay, guardó todos los datos en formato no cifrado en su dispositivo y alojó los servidores de Alphabay en Quebec, Canadá, bajo su propio nombre.
3.2 - Cagada inevitable, secuelas y limpieza
Este es el último capítulo de este post que trata de la inevitable cagada y de lo que hay que hacer después. Todos somos humanos, lo que significa que tarde o temprano cometerás un error. ¿Será tu fin? Depende, pero lo principal es saber cómo arreglar tu propio desaguisado.
Aquí tienes un ejemplo recurrente de cagada y cómo puedes proceder después, pero ten en cuenta que se trata de una situación especulativa y debes saber que no puedo predecir todos los resultados posibles.
Entrega controlada: es la situación en la que las fuerzas del orden se incautan de tu pedido, pero permiten que Correos siga adelante con la entrega de tu paquete para pillarte in fraganti. Normalmente, para intentar obligarte a dar la vuelta. Suelen darse dos situaciones: si tiene un par de pedidos en su haber, el paquete tarda sospechosamente en entregarse y lleva días estacionado en el mismo lugar.
Puede no saberlo, firmar la recepción del paquete y ser detenido en cuestión de segundos. O puede negar la recepción del paquete en cuyo caso no tienen nada. Ahora, si usted piensa que es una entrega controlada el mejor curso de acción es eliminar cualquier evidencia de tal actividad de sus dispositivos y su casa. Porque, puede estar seguro de que esa dirección está quemada y usted también.
¿A qué me refiero con eliminar pruebas? Las buenas y viejas trituradoras de datos son siempre el camino a seguir, pero si tienes alguna información crítica que nunca debe caer en manos enemigas, el mejor curso de acción es siempre deshacerse del SSD/HDD en cuestión. Primero, tritura los datos (se recomiendan al menos 7 pasadas) y, a continuación, tritura el disco. Por lo general, quemarlo crujiente hará el trabajo. Siempre es mejor destruir el dispositivo para que nadie pueda hacer análisis forenses y desenterrar los datos. Porque ningún dispositivo nuevo y brillante (portátil, ordenador, hdd, ssd, etc.) vale más que tu libertad.
¡El punto es, si algo se siente mal es porque probablemente lo es! Mantente alerta, no hagas pedidos a tu domicilio, juega al juego y no dejes que el juego juegue contigo.
.....1.1 Quién soy
.....1.2 Definición de seguridad operativa
2 - Guerra de desinformación (digital)
.....2.1 Desinformación antigua
.....2.2 Cómo te rastrean
.....2.3 Cómo utilizar la desinformación a su favor
.....2.4 Compartimentación
.....2.5 La seguridad no es conveniente
3 - D.U.M.B (Físico)
......1 Principales ejemplos de fallos OPSEC
......2 Cagadas inevitables, secuelas y limpieza
1.1 - Quién soy
"Sólo soy otro eco en el vacío".
1.2 - Definición de seguridad operativa
Por definición, la seguridad operacional se derivó del término militar seguridad procedimental, originado como un término que describía estrategias para evitar que adversarios potenciales descubrieran datos críticos relacionados con las operaciones. Que es un proceso analítico que clasifica los activos de información y determina el control necesario para proporcionar estos activos.
Se preguntarán por qué he decidido escribir sobre la seguridad operativa física y digital. La respuesta más sencilla es que están entrelazadas y, en mi opinión, no pueden separarse. Si tienes una pero no la otra, es como si no tuvieras ninguna.
2 - Guerra de desinformación
2.1 - Desinformación antigua
Desde los albores de la humanidad, la desinformación se ha utilizado como arma, y la más eficaz de todas. Si eres un bibliófilo como yo, te sugiero que leas El arte de la guerra de Sun Tzu, ese libro, incluso después de miles de años desde que fue escrito, tiene teorías y prácticas que se pueden aplicar en el mundo moderno. ¿Por qué le digo esto? Porque empezaremos con una de sus citas.
Cita: Sun Tzu
"Toda guerra se basa en el engaño. Por lo tanto, cuando podamos atacar, debemos parecer incapaces; cuando utilicemos nuestras fuerzas, debemos parecer inactivos; cuando estemos cerca, debemos hacer creer al enemigo que estamos lejos; cuando estemos lejos, debemos hacerle creer que estamos cerca."
Uno de los ejemplos más atroces de esto nos lleva a la antigua Roma y al final mismo de la República, cuando casi un siglo de guerra civil, caos y asesinatos políticos habían llevado al gobierno romano al borde del colapso. Era la época del llamado Segundo Triunvirato. Hace unos 2000 años, la República Romana se enfrentaba a una guerra civil entre Octavio, hijo adoptivo del gran general Julio César, y Marco Antonio, uno de los comandantes de mayor confianza del César. Para ganar la guerra, Octavio sabía que tenía que tener a la opinión pública de su lado. Ganar batallas importantes le ayudaba, pero si el pueblo no le quería, no sería un gobernante de éxito. Para conseguir el apoyo del público, Octavio lanzó una guerra de noticias falsas contra Marco Antonio. Afirmaba que Antonio, que tenía una aventura con Cleopatra, la reina egipcia, no respetaba los valores tradicionales romanos, como la fidelidad y el respeto. Octavio también dijo que no era apto para el cargo porque siempre estaba borracho. Octavio transmitió su mensaje a la opinión pública a través de la poesía y de eslóganes cortos y rápidos impresos en las monedas. Finalmente, Octavio ganó la guerra y se convirtió en el primer emperador de Roma, gobernando durante más de 50 años. Pero estoy divagando, así que volvamos a lo que hemos venido a buscar. Hoy en día es mucho más fácil llevar a cabo una guerra de desinformación que hace 2000 años, obviamente. Ahora, para saltarnos las lecciones de historia y trasladarnos a la era moderna, he aquí un ejemplo de desinformación. Los mercados que quieren llevar a cabo estafas de salida normalmente desactivan las retiradas de fondos debido a problemas técnicos, mientras que mantienen los depósitos mientras desvían los fondos a algún monedero externo. 2.2 - Cómo le rastrean En la sociedad distópica en la que vivimos hoy en día, la vigilancia es una parte importante de la forma en que los gobiernos mantienen a raya a la gente corriente. Para entender cómo podemos utilizar la desinformación contra ellos, primero debemos entender cómo nos rastrean. Las entidades que nos rastrean (agencias gubernamentales, conglomerados tecnológicos y empresas de minería de datos) confían en que filtremos pequeños fragmentos de datos que utilizan para crear perfiles en línea y relacionar el nombre de usuario con el usuario real. Es muy sencillo cotejar contenidos en bases de datos si existe algún tipo de índice. Los datos más comunes que se utilizan para rastrearle en clear-net y dark-net son: Nombres (tanto reales como de usuario)
Direcciones IP
Huella digital del navegador
Dirección de correo electrónico
Ubicación (exacta o aproximada)
Números de teléfono
Fecha de nacimiento (o cualquier otra PII)
Estilometría
Reconocimiento facial
Es importante entender que basta con utilizar dos elementos de todos estos para que puedan rastrearte. Así que tu trabajo consiste en impedir que obtengan dos datos reales si deseas permanecer en el anonimato. 2.3 - Cómo utilizar la desinformación a tu favor Bien, ya sabemos cómo nos rastrean. Hablemos brevemente de cómo podemos utilizar la desinformación para que a estas entidades les resulte mucho más difícil rastrearte. Nombres: No utilices tu nombre real en ningún sitio de Internet y evita los sitios web que lo requieran. Utiliza alias, el pseudoanonimato es mejor que ser pillado con los pantalones bajados. Dirección IP: Enmascara tu dirección IP utilizando Tor, VPN, VPS, RDP o proxies. Dependiendo de lo que estés haciendo en realidad es posible que desees combinar algunos de estos. El punto es usar lo que esté a tu disposición para hacerles la vida más difícil. Huella digital del navegador: Esta es probablemente la más difícil de ocultar si no eres un mago de la tecnología. Pero siempre puedes utilizar varios navegadores con diferentes plug-ins para que parezca que eres varias personas. Números de teléfono: Deja de vincular tu número de teléfono personal a servicios como mensajería instantánea, aplicaciones de redes sociales y autenticación de dos factores en servicios. O bien seguir adelante y comprar número VOIP con Crypto o utilizar cosas tales como Yubi clave para la autenticación de dos factores. Direcciones de correo electrónico: Probablemente lo más fácil, utilice varios correos electrónicos con diferentes nombres para diferentes propósitos. Mantenga las cosas separadas. Estilometría: Es la aplicación del estudio del estilo lingüístico. Por ejemplo, puedo decir 10% o 10% o 10%. Cada uno de ellos es diferente y puede utilizarse para enmascarar tu verdadera identidad. Además, cuando escribí este post, podría haber ido fácilmente a algún servicio de traducción y hacer esto. Traducir del inglés al ruso, del ruso al español, del español al finlandés y del finlandés al inglés. Esto hará que el texto sea muy diferente (estilísticamente hablando) de lo que escribiste originalmente, sólo tienes que corregir la ortografía. Engaños y mentiras: No del tipo que esperas. Digamos que eres un usuario Dread y quieres mencionar una mascota que tienes para hacer algún punto en una discusión. Ahora, se considera mala OPSEC decir Hey, ¡tengo un gato negro!, en su lugar di que tienes un perro blanco. De este modo, puedes seguir diciendo que mi mascota ha hecho X, Y o Z. Pero sin divulgar información real sobre ti. Hacer cambios tan sutiles en los detalles es crucial si quieres permanecer oculto. Cita: Sun Tzu: "Involucra a la gente con lo que espera; es lo que es capaz de discernir y confirma sus proyecciones. Los instala en patrones predecibles de respuesta, ocupando sus mentes mientras esperas el momento extraordinario que no pueden anticipar."
Todo lo que he dicho aquí es un tipo de desinformación de un modo u otro. El uso de estas técnicas te hace aparecer como varios individuos en lugar de uno solo. Pero todo esto no le ayudará si no hace un uso adecuado de la compartimentación. 2.4 Compartimentación ¿Por qué Qubes OS es considerado uno de los sistemas operativos más seguros disponibles hoy en día? Porque hace uso de la compartimentación. Mantener las cosas separadas es probablemente la mejor manera de evitar que alguien te rastree. ¿Qué quiero decir con esto? Digamos que has comprado un teléfono desechable y una tarjeta SIM, con dinero en efectivo, en un lugar sin cámaras de seguridad y piensas utilizarlo como teléfono trampa. Puedes dar por hecho que ese teléfono es anónimo por lo que a ti respecta. Pero, si llamaras a tu madre, cónyuge o hijo con ese teléfono, se quemaría al instante. Hay un registro en algún lugar por ahí acerca de esa llamada y usted puede estar seguro de que va a ser encontrado por las fuerzas del orden. No importa si eres un hacker, administrador de mercado, administrador de foro, usuario regular o simplemente un individuo consciente de la privacidad, porque esto va para todos. De la misma manera que no le dices a tu familia que estás vendiendo cocaína online, aplícalo a todos los aspectos de tu vida digital. Cita: Sun Tzu "Si tu enemigo está seguro en todos los puntos, prepárate para él. Si su fuerza es superior, elúdelo. Si tu oponente es temperamental, busca irritarle. Finge debilidad para que se vuelva arrogante. Si está tranquilo, no le des descanso. Si sus fuerzas están unidas, sepáralas. Si soberano y súbdito están de acuerdo, pon división entre ellos. Atácale donde no esté preparado, aparece donde no te esperen".
Otro ejemplo de compartimentación es éste. Todos conocemos a todo tipo de personas, desde yonquis hasta tipos con doctorado e incluso todo lo que hay en medio. Todo el mundo tiene un amigo con el que fuma hierba, un amigo con el que sale de copas, amigos a los que puede llevar a casa para conocer a tus padres, etc. Así es como se hace. Algunas cosas en la vida simplemente no se mezclan. Así que no mezcles tus identidades online, porque si lo haces, tarde o temprano estarán unidas y volverán a ti.
2.5 La seguridad no es conveniente
Como habrás deducido de todo lo que he escrito, la seguridad no es conveniente y no puedes tenerla de las dos maneras. Pero si aplicas estos o similares patrones a tu vida digital, mejorarás exponencialmente tu seguridad operativa.
Ten en cuenta que ni siquiera he arañado la superficie, pero he dicho lo suficiente para que pienses en tu propia OPSEC. Evita el punto único de fallo, aplica el uso de PGP cuando transmitas información importante, utiliza el cifrado de disco completo, cambia tus contraseñas con regularidad, no mezcles la delincuencia con tu vida personal, utiliza software de código abierto en lugar de código cerrado y, lo más importante, ¡mantén la puta boca cerrada!
Nadie necesita saber lo que has hecho, lo que vas a hacer, dónde está tu escondite, cuánto dinero o drogas tienes, etcétera. Un hombre sabio dijo una vez: "Un pez con la boca cerrada nunca se pesca".
3 D .U.M.B.
Esta parte trata de la seguridad operativa física y puede que te preguntes ¿qué significa D.U.M.B.? Es muy sencillo: bases militares subterráneas. Lo utilicé como referencia de un edificio impenetrable que debería ser tu OPSEC. Porque no importa lo buena que sea tu OPSEC digital si la física es horrible y viceversa.
Antes de sumergirme en esta sección, cualquiera que tenga amor por el robo de cajas fuertes y la apertura de cerraduras como yo, definitivamente debe revisar los libros escritos por Jayson Street llamados Dissecting the Hack: F0rb1dd3n Network y Dissecting the Hack: STARS (Security Threats Are Real), en los que explica muy bien la importancia de la seguridad tanto digital como física y las consecuencias de no tener en cuenta cualquiera de ellas. Además, The Complete Book of Locks and Locksmithing, Seventh Edition y Master Locksmithing: An Experts Guide son lecturas divertidas llenas de información.
¿Qué es la OPSEC física (comúnmente denominada analouge) y por qué es tan importante? Bueno, la OPSEC analógica es como cuando usas los mercados para comprar drogas, no dejas el dispositivo conectado y desatendido, no dejas las puertas abiertas cuando sales de casa, todo eso es OPSEC analógica. La gente tiende a considerarla menos importante, pero no se equivoque, es tan importante como la digital.
Al igual que en digital, sólo puedo darte sugerencias y hacerte pensar, ya que cada situación y modelo de amenaza es diferente.
Vamos a suponer que usted es un distribuidor, que no hace los mercados, prefiere la manera antigua. Voy a enumerar algunos consejos que usted puede encontrar útil:
No hables demasiado de donde esta tu piso franco, cuanto peso tienes, vas armado o no, etc. Todas estas cosas pueden ser una razón para que te secuestren, torturen o maten.
Nocagues donde comes, no te drogues en tu propio barrio. Es una mala práctica en general, traslada tu negocio al otro lado de la ciudad.
No seas amigo declientes, no puedes ser amigo de adictos. Pueden ser uno u otro, no ambos. Porque los adictos se darán la vuelta y cantarán si les pillan. Tener un adicto como amigo es una buena manera de asegurarse unas largas vacaciones en cualquier correccional del mundo.
Saber cuando rendirse es probablemente lo más importante, si algo te parece mal, es porque probablemente lo sea. Confíe en su instinto y sepa que dar un paso atrás no siempre es malo. Como le dijo a Frank Lucas su proveedor: "No es lo mismo rendirse que abandonar mientras se lleva ventaja".
No trabajes con el amigo de un amigo de un amigo, probablemente son policías encubiertos.
Piensa en el futuro Siempre, y me refiero a siempre tener un plan de salida. Ya sea un pasaporte falso, 50 mil en efectivo y un billete a alguna isla sudafricana que no tiene un tratado de extradición con nadie. O el pago inicial de un par de cientos de miles al abogado más caro de la ciudad. Asegúrate de tener un plan.
Estas son sólo algunas cosas, para mantener un ojo hacia fuera. Hay literalmente toneladas de consejos más para varias profesiones, pero si sigo así, no llegaré a publicarlos a tiempo. Sólo ten en cuenta que cualquier cosa puede ser forzada, hackeada, ganzuada o explotada.
3.1 Ejemplos paradigmáticos de fallos de OPSEC
Hablemos de algunos fallos OPSEC. Porque las personas inteligentes aprenden de los errores de los demás, no de los suyos propios. Debido al hecho de que en las líneas de trabajo en dark-net que podría ser su primera y última.
DreadPirateRoberts (Ross Ulbricht) era un revolucionario, extremadamente inteligente pero no necesariamente listo. Entre las muchas cosas estúpidas que hizo están: usar un servidor CAPTCHA mal configurado durante un largo periodo de tiempo, enviar contrabando a su domicilio, anunciar Silk Road en Shroomery usando su propia dirección de gmail, hacerse amigo de un antiguo agente encubierto (corrupto) de la DEA (que más tarde le extorsionó), mantener registros de todas sus conversaciones y un diario detallado de sus aventuras en Silk Road. Pero lo más grave es que no era consciente de lo que le rodeaba. La mayor parte del tiempo operó Silk Road desde la comodidad de la Biblioteca Pública de San Forensics, donde se equivocó fue al sentarse en una mesa de espaldas a la sala. Mientras dos agentes del FBI escenificaban una pelea de pareja, sus colegas se abalanzaron por detrás y le arrebataron el ordenador portátil antes de que pudiera apagarlo y activar el proceso de encriptación. Básicamente documentó todos sus crímenes entre otros así que no seas DPR.
Shiny Flakes (vendedor alemán ) Joven de 20 años que creó una de las mayores operaciones de tráfico de cocaína en Alemania en su momento. La policía confiscó más de medio millón en varias divisas y una cantidad ingente de drogas, todo almacenado en su dormitorio. Y su mayor fallo de OPSEC fue que enviaba todos sus cargamentos desde el mismo puesto de DHL. También almacenaba todo en texto plano (pedidos, clientes, datos financieros, credenciales de acceso, etc.) en una unidad sin cifrar.
Sabu (Hector Xavier Monsegur) LulzSEC olvidó usar TOR para conectarse al servidor IRC monitorizado por el FBI. Obtuvieron su dirección IP de su ISP, un ataque de correlación más tarde fue esposado y entregó a sus amigos a cambio de un acuerdo con la fiscalía. No seas chivato, reconoce tus cagadas.
nCux / BulbaCC / Track2 (Roman Seleznev, Russain Carder) entre muchas cosas estúpidas que hizo, fue alquilar servidores con dirección de correo electrónico que utilizó para abrir una cuenta de PayPal, a continuación, utilizó ese PayPal para pagar las flores de su esposa. Pero eso no es todo. Viajó con su portátil del trabajo que contenía cientos de miles de tarjetas de crédito, pero eso no es malo, ya que tenía cifrado. Desgraciadamente, su contraseña Ochko123 fue adivinada por las fuerzas de seguridad, ya que creo que era la misma que la de su correo electrónico. Así que, no lleves tu trabajo cuando viajes, no mezcles crimen y vida amorosa, no reutilices contraseñas. No seas BulbaCC.
Willy Clock (Ryan Gustefson, falsificador ugandés) reutilizó el correo electrónico personal que utilizó para solicitar la nacionalidad estadounidense en una cuenta de Facebook desde la que vendía billetes falsos. Además, subió su propia foto a esa cuenta. Ni siquiera tengo nada que decir de este.
FrecnhMaid alias nob (Agente de la DEA del caso DRP) utilizó su portátil del trabajo para extorsionar a Ross Ulbricht, puedes adivinar cómo fue. Entre otras cosas movió ese dinero a cuentas bancarias bajo su propio nombre, en países con leyes de secreto bancario no estrictas. Se llevó su merecido.
Alexandre Cazes (administrador de AlphaBay) utilizó su dirección de correo electrónico personal para los mensajes de restablecimiento de contraseña de AlphaBay, guardó todos los datos en formato no cifrado en su dispositivo y alojó los servidores de Alphabay en Quebec, Canadá, bajo su propio nombre.
3.2 - Cagada inevitable, secuelas y limpieza
Este es el último capítulo de este post que trata de la inevitable cagada y de lo que hay que hacer después. Todos somos humanos, lo que significa que tarde o temprano cometerás un error. ¿Será tu fin? Depende, pero lo principal es saber cómo arreglar tu propio desaguisado.
Aquí tienes un ejemplo recurrente de cagada y cómo puedes proceder después, pero ten en cuenta que se trata de una situación especulativa y debes saber que no puedo predecir todos los resultados posibles.
Entrega controlada: es la situación en la que las fuerzas del orden se incautan de tu pedido, pero permiten que Correos siga adelante con la entrega de tu paquete para pillarte in fraganti. Normalmente, para intentar obligarte a dar la vuelta. Suelen darse dos situaciones: si tiene un par de pedidos en su haber, el paquete tarda sospechosamente en entregarse y lleva días estacionado en el mismo lugar.
Puede no saberlo, firmar la recepción del paquete y ser detenido en cuestión de segundos. O puede negar la recepción del paquete en cuyo caso no tienen nada. Ahora, si usted piensa que es una entrega controlada el mejor curso de acción es eliminar cualquier evidencia de tal actividad de sus dispositivos y su casa. Porque, puede estar seguro de que esa dirección está quemada y usted también.
¿A qué me refiero con eliminar pruebas? Las buenas y viejas trituradoras de datos son siempre el camino a seguir, pero si tienes alguna información crítica que nunca debe caer en manos enemigas, el mejor curso de acción es siempre deshacerse del SSD/HDD en cuestión. Primero, tritura los datos (se recomiendan al menos 7 pasadas) y, a continuación, tritura el disco. Por lo general, quemarlo crujiente hará el trabajo. Siempre es mejor destruir el dispositivo para que nadie pueda hacer análisis forenses y desenterrar los datos. Porque ningún dispositivo nuevo y brillante (portátil, ordenador, hdd, ssd, etc.) vale más que tu libertad.
¡El punto es, si algo se siente mal es porque probablemente lo es! Mantente alerta, no hagas pedidos a tu domicilio, juega al juego y no dejes que el juego juegue contigo.
