• Mar. Ene 18th, 2022

Guía del Gatito Satánico. Parte 1: Ciberguerrilla en dispositivos móviles

Porsataniccat

Oct 26, 2021

Los tiempos cambian, así como también lo hacen los métodos de represión por parte del Estado. Es necesaria una completa renovación en las formas de llevar a cabo activismo y las medidas preventivas que una tiene que llevar a cabo antes de dirigirse a una movilización.

Vamos a elaborar una guía completa, de las acciones a tomar para estar protegidas en caso de que nos detengan o seamos objeto de vigilancia.

En esta primera parte, abordaremos aspectos muy sencillos a tener en cuenta en materia de autodefensa digital. Recordemos que ya existen métodos muy avanzados de vigilancia en lo que se refiere a chats, geolocalización, metadatos, análisis forense y más áreas en las que se están cometiendo errores fatales que conllevan posteriores «disgustos» que podrían ser evitados con unos pocos minutos de preparación previa.

Creemos que es importante tratar de informar a nuestros seres queridos y argumentarles bien el porqué queremos que cambien a este tipo de herramientas. Es una forma de cuidarles y tratar de que su vida virtual sea lo más sana, privada y segura posible. No solo son mejores en cuanto a preferencias y posibilidades desde el punto de vista de su funcionamiento y configuración, sino que respetan a su usario y lo tratan como una persona adulta y no como dinero con patas. Recordemos que los datos personales que cedemos a compañías como Meta, luego son convertidos en moneda de cambio para sus tejemanejes con terceras organizaciones, inclusive agencias gubernamentales, represivas y de inteligencia. Impidamos que se lucren a consta de nosotras y de nuestros seres queridos.

El segundo dispositivo

Deberemos tener siempre dos dispositivos móviles en nuestro poder. En uno de ellos llevaremos el estilo de vida habitual, y en el segundo es donde vamos a llevar a cabo todas las medidas a las que se va a referir esta parte 1 de la guía. No quita que una pueda decidir también implementarlas en su dispositivo de cabecera, pero entendemos que para alguna persdona esto puede ser un incoveniente debido a que algunos amigos y familiares no utilizan estas aplicacaciones. Bien porque no las conocen o porque no le dan importancia a la seguridad y privacidad. Como decía antes, la revolución digital está en nuestras manos, y migrando de una aplicación a otra que sí respete nuestra privacidad y seguridad, estamos creando revolución con pequeños gestos que no cuestan ningún trabajo.

Vamos al lío. Este segundo dispositivo no puede tener los servicios Google instalados. Podemos o bien comprar uno de los muchos módelos que vienen sin estos servicios, o bien seguir unos sencillos pasos para eliminarlos. Sí alguien se pregunta el porqué eliminar todo rastro de Google en nuestros teléfonos, le invito a que, con unas rápidas búsquedas en Internet, investigue las prácticas de control masivo y recopilación de datos privados que lleva a cabo con total normalidad esta compañía.

Necesitamos descargar el software ADB en un PC y conectar el smartphone activando la depuración por USB. Una vez conectado, deberemos centrarnos en desinstalar el paquete «com.google.android.gms» con el comando «uninstall -k –user 0 nombre_del_paquete». Si queremos ver la lista completa de paquetes, por si queremos desinstalar alguno más, usaremos el comando «adb shell pm list packages». En caso de duda, en Internet teneis un montón de tutoriales para llevar a cabo estos pasos,

Otra opción es instalar una ROM sin servicios Google como Replicant o LineageOS. Para esto también tenéis bastantes tutoriales, aunque aviso que es algo más complicado que la primera opción.

De ahora en adelante, todas las aplicaciones que instalemos en el teléfono, serán a través de la app store de software libre F-Droid, o bien desde la web Apk-mirror, un repositorio de Apk completo, seguro y sin virus. Recomiendo utilizar un navegador que no sea Chrome, como puede ser Firefox o Tor, para descargar estas Apks.

También podemos elegir la posibilidad de usar las App-Store F-Droid, la cual tiene muchas de las mejores aplicaciones libres que hay ahora mismo disponibles.

Los modelos de smartphone que están considerados como los más seguros y privados debido a sus características son:

  • Pine64 PinePhone
  • FairPhone
  • Murena Phone
  • Bittium Tough Mobile 2C
  • Sirin Labs Finney U1
  • Librem 5
  • KATIM

Mensajería instantánea

Vamos a instalar únicamente 3 aplicaciones para mensajería instantánea, una será Briar, la segunda Signal y la última Element. De esta forma, estaremos preparadas para cualquier situación imprevista que se nos presente, y poder estar en constante comunicación con nuestras compañeras.

Voy a empezar con Briar. La característica más destacable de esta herramienta, es que es capaz de funcionar en aquellos casos en los que nos encontramos en una gran movilización, y como es habitual, cortan las conexiones a Internet en la zona para que no podamos comunicarnos entre nosotras y organizarnos en caso de acciones represivas por parte de las FFCCSS. No solo su comunicación se establece siempre a través de la red Tor por defecto, sino que cuando no tenemos conexión, Briar efectúa la transferencia de mensajes por medio de Bluetooh o conexión WiFi. Conviene tener siempre instalada esta herramienta por si ninguna de las otras opciones puede utilizarse para comunicarnos por el motivo que sea.

Signal: hay que decir antes de nada que tiene una pega importante. De momento no es posible ocultar el número de teléfono para establecer una conversación. Sin embargo, podemos realizar llamadas y mandar SMS a través de sus servidores privados sin que estos pasen por el proveedor de servicios de turno. Esto es un punto a tener en cuenta para cuando tengamos que hacer alguna llamada urgente por cualquier motivo, utilizar este método y no el convencional.

Dentro de Signal, podemos crear grupos privatizados con autodestrucción de mensajes programada, así como configurar bastantes opciones de privacidad/seguridad dentro de su menú de ajustes. Tenemos la posibilidad de integrar Matrix dentro de esta herramienta, para anonimizar más si cabe la comunicación por este medio.

La última de todas, Element, (nuestra preferida) es perfecta para llevar a cabo acciones en las que queramos mantener una alta privacidad y discrección. Esta aplicación que sirve tanto para llamadas, videollamadas, como para crear grupos privados y públicos de difusión anónima, es perfecta para aquellas acciones delicadas en las que no vamos a entrar (cada una es libre).

Destacar que tiene cifrado de extremo a extremo, es descentralizada y los usuarios que creamos están alojados en la red Matrix. Además no es necesario ofrecer datos personales de ningún tipo. Recomendamos acceder a su web oficial para ver todo el catálogo de herramientas disponibles. También se puede usar Element para automandarse notas de manera privada, ya que estarán a buen resguardo dentro de esta herramienta.

VPN

Jamás debemos utilizar servicios de VPN gratuitos, pues todas las compañías que ofrecen este servicio gratis guardan registros de la actividad que llevemos a cabo dentro de sus servidores VPN.

Una VPN es un túnel privado de comunicación que se establece dentro de la red pública con unas características de crifrado que variarán en función de lo que tengamos contratado. Además, podremos contratar servicios de antimalware, antitracking, secure-code y alguna característica más, pagando una pequeña cuota mensual que ronda los 4€ al mes en función de la compañía que elijamos.

El cifrado más avanzado y seguro actualmente es WireGuard, el cual utiliza criptografía de última generación. La característica que debemos activar siempre en nuestro dispositivo movil se denomina Kill Switch, la cual configura en este que si la VPN no está correctamente establecida, ninguna señal saldrá de nuestro teléfono, lo que evitará una posible exposición de nuestra IP o fuga de datos.

Algunas de las VPN que recomendamos son: ProtonVPN y NordVPN.

Otra opción, además gratuita, es descargar el software Orbot y habilitar dentro de su menú, en la pestaña central VPN, aquellas aplicaciones que queramos que estén protegidas por el software. Además, también tiene la opción de configurar que nada más encender el dispositivo este servicio arranque y comience a funcionar evitando así posibles fugas.

Gracias a Orbot, nuestras comunicaciones se efectuaran por la red Tor, que más adelante explicaremos de forma breve.

Una opción que empezamos a testear recientemente es Inviziple Pro para Android. Esta herramienta permite en la misma interfaz, unificar los servicios Tor, DnsCrypt y Purple I2P. De esta forma podemos tener a un solo click, privacidad, seguridad, y acceso a un lado «oculto» de la red para establecer comunicaciones seguras y anónimas.

Proxy

Los proxys son por así decirlo puentes intermedios entre las conexiones que efectuamos en la Red a los dominios/webs. Como ejemplo, imaginaos que cuando tratamos de mandar un mensaje a un receptor, hubiese alguien en medio que cogiese ese mensaje y lo entregase por nosotras. El proxy nos protege de exponer nuestra huella digital, así como frente a cookies y otros objetos alojados en las webs destino.

Existen distintos tipos de proxys: web, inverso, caché, NAT, transparente… Las ventajas de utilizar un proxy es aumentar nuestra privacidad, saltarnos bloqueos/censuras territoriales, y podremos servirnos de su memoria caché para disminuir futuros tiempos de carga a sitios que hemos visitado anteriormente.

Como herramienta en caso de que nos sea imposible conectarnos a una VPN, está bastante bien, pero siempre es preferible utilizar antes una VPN que un proxy, por la seguridad que conlleva la primera.

Al igual que ocurre con las VPN, no es muy recomendable utilizar proxys gratuitos. En caso de que no tengamos otra opción o nuestro bolsillo no nos permita contratar uno, existen varios online como HydeMyAss o Hidester.

Con la extensión Foxy Proxy para navegadores, podemos habilitar diferentes configuraciones que tenemos que habilitar en sus opciones y pivotar entre ellas de manera muy sencilla.

DNS

Para evitar exponer aquí complicadas configuraciones relativas a los DNS, vamos a indicar una aplicación que unifica el navegador Tor, I2P y DNSCrypt. De esta forma no solo abordamos el asunto de los DNS sino que tenemos a mano otras funcionalidades añadidas.

Se trata de la app InviZible y su implementación de DNSCrypt. Esta puede ser descargada desde su web oficial haciendo una rápida búsqueda en Internet o yendo a nuestra sección de Recursos-Privacidad. No solo nos otorga privacidad en cuanto a nuestra navegación, sino que nos protege frente a ataques DNS Spoofing y ofrece un gran abanico de opciones de configuración desde su sencilla e intuitiva interfaz. También tenemos la posibilidad de descargar DNSCrypt para PC y de esta forma estar protegidas en casa.

Correo electrónico

Lo primero que tenemos que tener en cuenta es jamás conectarnos a nuestra cuenta de correo electrónico sin tener antes activada la VPN. Este puede ser el fallo que nos desproteja y como hacé algunos meses pasó con un activista francés, puedan requerir a la empresa de turno que aporte los datos de las IPs que se han conectado al correo.

Recordad que la VPN nos asígna una IP que nada tiene que ver con la nuestra real, es como si estuviesemos utilizando otra identidad completamente diferente a nosotros, con lo que no conseguirían ningún dato real nuestro.

En primer lugar, siempre utilizaremos una dirección de correo diferente a la nuestra habitual. Para ello, crearemos una segunda identidad que no contenga dato alguno que pueda relacionarnos. Este correo debe estar cifrado con PGP, podéis encontrar muchos tipos diferentes de correo gratuito que utlizan cifrado en sus comunicaciones. La clave pública será la que expongámos a terceras personas para llevar a cabo la comunicación, ya que luego nuestra clave privada será la única que tenga el acceso al contenido del mensaje que recibamos (investigad cómo funciona PGP, es muy sencillo).

Algunos ejemplos de correos seguros son: Riseup, TutaNota o Proton Mail.

Tenemos también otra segunda opción segura para llevar a cabo comunicaciones por correo. Consiste en utilizar servicios de correo temporales de «usar y tirar». Un ejemplo de este tipo de servicio es GuerrillaMail. Podéis acceder a su sencilla web y utilizar la dirección aleatoria que nos asignará para enviar el correo correspondiente. Destacar que nos permite adjuntar ficheros, algo a tener en cuenta.

Desde el navegador Tor, podemos acceder a servicios que ofrecen una máxima privacidad como Elude Mail, el cual solo es accesible desde la red Tor.

Navegadores

Aunque existen muchos navegadores seguros, únicamente voy a recomendar dos. El primero es Tor Browser, y el segundo es DuckDuckGo. Ninguna de estas compañías guarda registros de nuestras búsquedas, ni aporta datos a los servicios de vigilancia como sí hace Google.

Tor es una red que utiliza la técnica Onion Routing, la cual garantiza el anonimato y la privacidad de los datos usando un camino indirecto. Resumiento mucho el concepto, utiliza un cifrado asimétrico por capas, mediante un cálculo aleatorio de la ruta de transferencia, con el uso de un directorio de nodos con claves públicas. Si queréis saber más sobre cómo funciona, Internet es vuestro mejor amigo.

Es de vital importancia adquirir un Bridge de Tor antes de comenzar a usarlo. Para ello, iremos a los ajustes del navegador y utilizaremos la opción Requerir Bridge from torproject.org, lo cual nos generará uno aportando una capa más de seguridad a la navegación. Por último, activaremos la opción Esctricta en los ajustes de seguridad para una mayor protección ante posibles amenazas en su uso.

En el caso de DuckDuckGo, es menos anónimo que Tor, pero con mayor velocidad si queremos efectuar búsquedas ágiles. No recopila información de sus usuarios como por ejemplo tu IP o preferencias de búsqueda. Tampoco comparte tus datos de navegación con otras webs.

En la parte superior tenemos un botón a la derecha que borra automáticamente todos los datos, búsquedas y pestañas de manera instantánea, además tiene unas posiblidades de configuración en aspecto de privacidad/seguridad muy completas.

Metadatos

Los metadatos son datos dentro de los datos (dicho de una manera simple), es decir, un archivo que generas, del tipo que sea (foto, documento, video, etc ) contiene información relativa a la fecha de su creación, aplicación utilizada, localización, modelo de smartphone, entre otros datos.

Para asegurarnos de eliminar los metadatos correctamente antes de subir nada a RRSS, enviarlos por mensajería instantánea o correo, tenemos múltiples opciones para eliminarlos.

La opción más sencilla y rápida es la web https://www.metacleaner.com/#home, la cual volverá a dejar el objeto subido a esta, en lu ruta de descargas con el prefijo mc-nombre.

Mi opción predilecta es enfuchar el teléfono al PC y usar uno de estos dos software: Metanull o ExifCleaner. Con una sencilla búsqueda en Internet podéis hallar otras muchas herramientas igual de útiles. Lo importantes es ser conscientes de la existencia de estos datos.

Borrado seguro de objetos

Si queremos eliminar cualquier objeto de nuestro dispositivo, no es suficiente con borrarlo de la manera tradicional, pues con una herramienta de análisis forense pueden volver a recuperar todos estos objetos borrados.

Para ello, recomiendo utilizar herramientas que lleven a cabo un borrado con el método Gutmann, es decir, 35 «pasadas» de borrado sobre el objeto. La aplicación que yo utilizo en dispositivos móviles es iShredder, la cual tiene muchas opciones y tipos de borrado seguro.

Otra opción es enchufar el dispositivo al PC y utlizar la herramienta Eraser. Intentad bajaos siempre las herramientas de su fuente oficial. Una web segura de descarga de múltiples herramientas útiles es Sourceforge (jamás de webs como Softonic).

Cifrado del dispositivo y 2FA

El dispositivo o la tarjeta SD deben estar cifradas. Para ello, iremos a los ajustes del teléfono, en la sección Seguridad y dentro de esta Cifrado y Credenciales. De esta forma, si el teléfono/SD cae en manos de terceros, necesitará la clave pertinente que configuremos para acceder al contenido del dispostivo. Es importante que esta clave nos sea fácil de recordar pero no excesivamente sencilla.

La activación del doble factor de autenticación es esencial para securizar todas las aplicaciones que dispongan de esta característica. Para ello, nos descargaremos una de las muchas herramietas de almacenaje de códigos 2FA y escanearemos el QR pertinente de la aplicación correspondiente. De esta forma, únicamente nosotras tendremos acceso a los dígitos necesarios para abrir dicha aplicación, evitando así el acceso de terceras personas que no dispongan de este código.

La Nube

Una opción nada desdeñable para tomar fotografías o transportar ficheros, es utilzar un servicio de almacenamiento en la nube como por ejemplo Mega. De esta forma, tendremos la opción de que las fotografías puedan ser tomadas directamente desde esta herramienta, sin que se almacenen en el dispositivo en ningún momento.

Por último, voy a hacer una recomendación personal del libro de Marta Peirano, «El pequeño libro rojo del activista en la red«, el cual tiene guías sencillas de muchos de los puntos que aquí se tratan. Además, el prólogo del libro está escrito por Edward Snowden, un conocido activista por la libertad en la red que antes trabajaba para la NSA.

Si queréis saber más sobre Snowden, tenéis el documental «CitizenFour«, donde podéis aprender más sobre las técnicas que utilizan los servicios de inteligencia para invadir nuestra privacidad.

Pronto seguiremos con esta guía e iremos profundizando poco a poco en otros aspectos importantes relativos a Ciberseguridad.

Un comentario en «Guía del Gatito Satánico. Parte 1: Ciberguerrilla en dispositivos móviles»

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *