Equilibrar la seguridad, privacidad y usabilidad es una de las primeras y más difíciles tareas a las que te enfrentarás en tu camino de privacidad. Todo es un intercambio: Entre más seguro algo es, más restrictivo o inconveniente suele ser, etc. A menudo, gente encuentra que el problema con las herramientas que ven recomendadas es que son demasiado difíciles de comenzar a usar!
Si quisieras utilizar las herramientas más seguras disponibles, tendrías que sacrificar mucha usabilidad. Y, aun así, nunca nada es totalmente seguro. Hay alta seguridad, pero nunca plena seguridad. Por eso es que los modelos de amenaza son importantes.
Entonces, ¿qué son estos modelos de amenaza?
Un modelo de amenazas es una lista de las amenazas más probables a tus esfuerzos de seguridad y privacidad. Dado que es imposible protegerte contra cada ataque/atacante, debes centrarte en las amenazas más probables. En seguridad informática, una amenaza es un acontecimiento que podría socavar tus esfuerzos por mantenerte privado y seguro.
Centrarte en las amenazas que te importan reduce tu pensamiento sobre la protección que necesitas, para que puedas elegir las herramientas adecuadas para el trabajo.
Creando de Tu Modelo de Amenaza¶
Para identificar lo que podría ocurrirle a las cosas que valora y determinar de quién necesitas protegerlas, deberías responder estas cinco preguntas:
- ¿Qué quiero proteger?
- ¿De quién quiero protegerlo?
- ¿Qué tan probable será que necesite protegerlo?
- ¿Qué tan graves serían las consecuencias si fallo?
- ¿Cuánto esfuerzo estoy dispuesto a dedicar para prevenir posibles consecuencias?
¿Qué quiero proteger?¶
Un "activo" es algo que valoras y quieres proteger. En el contexto de la seguridad digital, un activo es usualmente algún tipo de información. Por ejemplo, tus correos electrónicos, listas de contactos, mensajes instantáneos, ubicación y archivos son todos posibles activos. Tus dispositivos también podrían ser activos.
Haz una lista de tus activos: datos que guardas, dónde se guardan, quién tiene acceso a ellos y qué impide que otros los accedan.
¿De quién quiero protegerlo?¶
Para responder a esta pregunta, es importante identificar quién podría querer suponer una amenaza para usted o su información. Una persona o entidad que supone una amenaza para sus activos es un "adversario". Ejemplos de adversarios potenciales son tu jefe, tu ex pareja, tu competencia empresarial, tu gobierno o un hacker en una red pública.
Haz una lista de tus adversarios o de aquellos que podrían querer apoderarse de tus activos. Su lista puede incluir individuos, una agencia gubernamental o empresas.
Dependiendo de quiénes sean sus adversarios, esta lista puede ser algo que quieras destruir después de haber terminado de desarrollar tu modelo de amenazas.
¿Qué tan probable será que necesite protegerlo?¶
El riesgo es la probabilidad de que una determinada amenaza contra un determinado activo se produzca realmente. Va de la mano con la capacidad. Aunque tu proveedor de telefonía móvil tiene la capacidad de acceder a todos tus datos, el riesgo de que publiquen tus datos privados en Internet para dañar tu reputación es bajo.
Es importante distinguir entre lo que podría ocurrir y la probabilidad de que ocurra. Por ejemplo, existe la amenaza de que su edificio se derrumbe, pero el riesgo de que esto ocurra es mucho mayor en San Francisco (donde los terremotos son habituales) que en Estocolmo (donde no lo son).
La evaluación de los riesgos es un proceso personal y subjetivo. Muchas personas consideran que ciertas amenazas son inaceptables sin importar la probabilidad de que se produzcan porque la mera presencia de la amenaza con cualquier probabilidad no merece la pena. En otros casos, las personas ignoran algunos altos riesgos porque no ven la amenaza como un problema.
Anote qué amenazas va a tomar en serio y cuáles pueden ser demasiado raras o demasiado inofensivas (o demasiado difíciles de combatir) como para preocuparse por ellas.
¿Qué tan graves serían las consecuencias si fallo?¶
Hay muchas maneras de que un adversario pueda acceder a sus datos. Por ejemplo, un adversario puede leer sus comunicaciones privadas mientras pasan por la red, o puede borrar o corromper sus datos.
Los motivos de los adversarios son muy diferentes, al igual que sus tácticas. Un gobierno que intenta evitar la propagación de un vídeo que muestra la violencia policial está contento si simplemente elimina o reduce la disponibilidad de ese vídeo. Por el contrario, un opositor político puede querer acceder a contenido secreto y publicarlo sin que usted lo sepa.
La planificación de la seguridad implica comprender las consecuencias que podría tener el hecho de que un adversario consiga acceder a uno de sus activos. Para determinar esto, debe considerar la capacidad de su adversario. Por ejemplo, tu proveedor de telefonía móvil tiene acceso a todos tus registros de telefónicos. Un hacker en una red Wi-Fi abierta puede acceder a sus comunicaciones no cifradas. Su gobierno podría tener capacidades más fuertes.
Escriba lo que su adversario podría querer hacer con sus datos privados.
¿Cuánto esfuerzo estoy dispuesto a dedicar para prevenir posibles consecuencias?¶
Hay una opción perfecta para la seguridad. No todos tienen las mismas prioridades, preocupaciones o acceso a los recursos. Su evaluación de riesgos le permitirá planificar la estrategia adecuada para usted, equilibrando la comodidad, el coste y la privacidad.
Por ejemplo, un abogado que representa a un cliente en un caso de seguridad nacional puede estar dispuesto a hacer mayores esfuerzos para proteger las comunicaciones sobre ese caso, como el uso de correo electrónico cifrado, que una madre que envía regularmente a su hija vídeos divertidos de gatos por correo electrónico.
Anote las opciones que tiene a su disposición para ayudar a mitigar sus amenazas únicas. Tenga en cuenta si tiene limitaciones financieras, técnicas o sociales.
Pruébalo tú mismo: Protegiendo tus pertenencias¶
Estas preguntas pueden aplicarse a una amplia variedad de situaciones, tanto en línea como fuera de línea. Como demostración genérica de cómo funcionan estas preguntas, vamos a construir un plan para mantener tu casa y tus posesiones a salvo.
¿Qué quiere proteger? (O bien, ¿qué tiene que vale la pena proteger?) :
Sus activos pueden incluir joyas, aparatos electrónicos, documentos importantes o fotos.
¿De quién quiere protegerlo? :
Sus adversarios pueden ser ladrones, compañeros de piso o invitados.
¿Qué probabilidad hay de que tenga que protegerlo? :
¿Su vecindario un historial de robos? ¿Cuán fiables son tus compañeros de habitación o invitados? ¿Cuáles son las capacidades de sus adversarios? ¿Cuáles son los riesgos que debe tener en cuenta?
¿Cómo de graves son las consecuencias si fallas? :
¿Tienes cualquier cosa en tu casa que no puedas reemplazar? ¿Tienes el tiempo o el dinero para reemplazar esas cosas? ¿Tienes un seguro que cubra los bienes robados de tu hogar?
¿Cuánto esfuerzo estás dispuesto a dedicar para prevenir estas consecuencias? :
¿Estás dispuesto a comprar una caja fuerte para documentos confidenciales? ¿Puedes permitirte comprar una cerradura de alta calidad? ¿Tiene tiempo para abrir una caja de seguridad en tu banco local y mantener tus objetos de valor allí?
Solo una vez que te hayas hecho estas preguntas estarás en posición para evaluar qué medidas tomar. Si tus posesiones son valiosas, pero la probabilidad de un robo es baja, quizás no quieras invertir demasiado en una cerradura. Pero, si la probabilidad de un robo es alta, querrás conseguir la mejor cerradura del mercado y considerar añadir un sistema de seguridad.
Elaborar un plan de seguridad te ayudará a comprender las amenazas que te son propias y a evaluar tus activos, tus adversarios y las capacidades de ellos, junto con la probabilidad de los riesgos a los que te enfrentas.
Lecturas Adicionales¶
Para las personas quienes desean aumentar su privacidad y seguridad en línea, hemos recopilado una lista de amenazas comunes a las que se enfrentan nuestros visitantes o de objetivos que tienen nuestros visitantes, para darles un poco de inspiración y demostrar la base de nuestras recomendaciones.