Cultura de la seguridad

Bienvenida y presentación de ponentes (5 min)
Presentación del taller (5 mins)
- Motivación: Ante la situación represiva que vivimos actualmente, solemos responder desde los colectivos que “me cuidan mis amigues, no la policía”, pero ¿sabemos cuidarnos ante la represión y otras amenazas? ¿qué practicas y hábitos tenemos en nuestro activismo que nos exponen insconscientemente a nosotres y al resto de compas?
- Surge la necesidad de pensar y promover seguridad y confianza en grupos a través de grupos de afinidad.
- El resultado es este taller inmersivo o participativo.
- Notas:
  - Se agradecen críticas y mejoras. Es la primera edición del taller y seguro que hay cosas que se puedan mejorar.
  - Puntos generales a destacar:
    - No hay preguntas tontas
    - No juzgar las prácticas de les demás
    - No damos consentimiento a sacar fotos o grabar audio y mucho menos a difundirlo. Si queréis hacer alguna foto, avisadnos previamente
Ronda de presentación (10 mins): qué tal nos encontramos y qué nos motiva del taller
- Si hay mucha gente hacer grupos de 4-5 personas para que todo el mundo pueda hablar y empezar a generar confianza
La intención de este taller es que sea reproducible y que las personas que haya recibido el taller lo puedan reproducir o mejorar

rosa.frama.io/diapos/cultura_seguridad

¿Por que es importante la seguridad en el colectivo?

¿Que información es necesaria que sepa? ¿Qué información puedo no tener?

¿Confío en nuestras compañeres?

Confianza

Dinámica 1

Dinámica 2

Autodefensa digital

Índice

Conceptos previos

Contexto
Seguridad poco a poco
Los malos a.k.a modelo de amenazas
Seguridad operacional vs. Seguridad intrumental
Primeros pasos

Estructura

Problema
Preguntas
Soluciones

Primeros pasos en autodefensa digital

Contraseñas
Software
Dispositivos
Bloqueo de móvil
Cifrado de ordenador
Conversaciones

Privacidad y Anonimato

Recolección masiva
Privacidad
Redes
Reconocimiento físico

Seguridad Avanzada

Separación de perfiles
No crear más información de la necesaria
Pensamiento ofensivo
OSINT
Ingeniería social

Referencias

Conceptos previos

La tecnología es política

La información es poder

¿Qué hacemos con la vigilancia?

Capitalismo de Vigilancia

Escándalo

2013

Publicaciones de Snowden
Programas PRISM, XKEYSCORE o TEMPORA

Chat Control

Efecto panóptico

efecto panóptico

Violencias digitales

La ciberviolencia es toda acción dolosa, llevada a cabo mediante el uso de tecnologías de la información y la comunicación (TIC), por la que se exponga, distribuya, difunda, exhiba, transmita, comercialice, oferte, intercambie o comparta imágenes, audios o vídeos reales o simulados de contenido íntimo sexual de una persona sin su consentimiento, aprobación y autorización. Y que le cause daño psicológico o emocional en cualquier ámbito de su vida privada o en su imagen propia.

Ciberacoso o ‘cyberbullying’.

En algunos países, el cyberbullying es un delito y se basa en la difusión de imágenes sin el consentimiento de la persona acosada, mensajes hirientes, amenazas y suplantación de identidad. Dentro de su oferta de contenidos didácticos, Segurilatam ofrece unos consejos para prevenir el ciberacoso.

Creación de perfiles falsos.

Otra forma de ciberviolencia es la originada por la creación de perfiles falsos por parte del acosador, quien, sirviéndose del nombre real de la víctima, procede a publicar detalles íntimos. De esta forma, la persona afectada pasa a encontrarse en una situación de gran vulnerabilidad.

‘Cyberstalking’.

Esta modalidad de violencia digital se caracteriza por el seguimiento e investigación constante de información sobre un individuo. Esto lleva a los ciberacosadores a acusar falsamente a sus víctimas, amenazarlas, robar su identidad, dañar su información o los dispositivos que la almacenan, etc. Desde Segurilatam compartimos unas recomendaciones para protegerse del cyberstalking.

Difusión de grabaciones.

Entre los tipos de violencia cibernética también figuran las grabaciones a personas, sin su consentimiento, para burlarse de ellas, humillarlas, causarlas daños emocionales o reputacionales… En supuestos así, es fundamental denunciar el caso a las Fuerzas y Cuerpos de Seguridad.

‘Grooming’.

Mediante esta clase de ciberviolencia, los adultos intentan controlar emocionalmente a sus víctimas y chantajearlas con fines sexuales. Se trata de un asunto muy serio. Por ello, es primordial poner en práctica una serie de consejos para no ser víctimas del grooming. Y, ante el menor indicio, poner el asunto en manos de la seguridad pública. un adulto practica grooming con su ordenador portátilDetrás del ‘grooming’ hay adultos que acosan a menores. Actuaciones que, en muchas ocasiones, no se denuncian.

Extorsión sexual o sextorsión.

Todo un clásico dentro de los riesgos cibernéticos. La extorsión sexual se fundamenta en las amenazas a un individuo con la publicación de fotos, vídeos o información de carácter sexual si no satisface una cantidad de dinero al extorsionador. Estos tips facilitan prevenir la sextorsión.

Registrar a una persona en un sitio web.

Otro de los modus operandi de quienes practican violencia cibernética es registrar a sus víctimas en sitios web o aplicaciones sin autorización para que sean ridiculizadas o vejadas. Al tener conocimiento de ello, los perjudicados deben dirigirse a la página web o aplicación, denunciar el caso y solicitar la eliminación de los contenidos.

‘Sexting’.

El sexting es el envío de textos, imágenes y vídeos de contenido sexual a través de las TIC. Y conlleva una serie de riesgos si los mensajes caen en manos no deseadas. Entre ellos, los ya citados ciberacoso, grooming o sextorsión. Tener en cuenta unos consejos ayuda a prevenir el sexting.

‘Spyware’.

Algunos delincuentes instalan programas o apps en los dispositivos de sus víctimas. Ello les permite espiarlas y controlarlas. Un primer paso para, una vez conocido el contenido de sus conversaciones o mensajes, chantajearlas o humillarlas. Si un dispositivo relativamente nuevo no funciona con normalidad, es importante comentárselo a un experto en seguridad cibernética para que detecte el origen de la anomalía. Aquí te explicamos qué es el spyware y cómo prevenirlo.

Suplantación de identidad.

Por último, también es frecuente que se suplante la identidad de una persona para participar en chats u otros entornos digitales donde se compartan comentarios ofensivos. Ello dejaría a la víctima en una situación de desprotección absoluta. Y le obligaría a demostrar que no ha sido ella quien ha publicado los contenidos.

Se practica mediante aplicaciones de mensajería instantánea, redes sociales, foros o salas de chat por Internet, correo electrónico o comunidades de juego.

¿Qué consecuencias tiene la ciberviolencia para las personas afectadas?

Daños emocionales y psicológicos. Y también a los relacionados con la dignidad, intimidad y privacidad. De manera especial, afecta a niñas, mujeres, adolescentes y jóvenes

Soberanía o autonomía tecnológica

Seguridad poco a poco

No hay que asustarse ni agobiarse.
Los cambios se deben hacer poco a poco para no agotarse.
Rutina de combate e interiorización de la seguridad

Sabiendo que de hoy para mañana no podemos cambiar todas nuestras costumbres, pensemos en lo práctico
Primero qué cosas puedes hacer de manera individual para dejar de apoyar macro corporaciones que nos destruyen y empezar a usar herramientas que nos protegen un poco más

[Resistencia Digital]

La seguridad no debería considerarse una actividad especial, separada del resto de acciones humanas. Tanta es la confusión existente, que se la ha presentado como un momento aparte, cuando es justamente lo contrario: conforme la vayamos desdiferenciando e integrando en las facetas más cotidianas de nuestra existencia, más efectiva resultará. Un recurso típicamente marcial, la rutina de combate, guarda un potencial inesperado al ser aplicado en el contexto de la seguridad en las tecnologías de la información. La idea de la rutina consiste en reproducir condiciones similares a las de la lucha, pero sin riesgo de daños para la persona, en un espacio no hostil para ella. El resultado es la interiorización de estrategias de respuesta que solamente se ganan en circunstancias parecidas a las del combate –el desarrollo de una atención especial sobre los detalles, que es lo que caracteriza al guerrero experimentado–. El objetivo de toda rutina es ganar una inteligencia de la situación, volverla legible a ojos del individuo familiarizado con ella, aunque sea por repetición, con tal de saber moverse en su seno (los simulacros de incendio o terremoto obedecen a esta misma lógica). Toda rutina es gradual. Empezar por lo mínimo para ir subiendo el nivel de exigencia gradualmente, conforme se dominen las técnicas básicas. No intentar incorporar herramientas o protocolos de seguridad que no se puedan integrar rápidamente en nuestra experiencia cotidiana, so pena de no saber usarlas o de perder usabilidad.

Seguridad holística

Los malos a.k.a modelo de amenaza

¿Qué quieres proteger?
Identificación y evaluación de riesgos

Seguridad operacional vs Seguridad intrumental

Seguridad operacional (OPSEC): se centra en el uso de procesos y protocolos para aumentar la seguridad.
Seguridad instrumental: se centra en el uso de herramientas y aplicaciones para aumentar la seguridad.

Primeros pasos

Evaluación de riesgos
Análisis de los procesos y vectores de ataque actuales
Proteger el punto más débil
Elabora una rutina para empezar poco a poco
Inventario de la mochila de datos y minimizarla
Separar perfiles

Primeros pasos en autodefensa digital

Contraseñas:

La mayoría de la seguridad depende de las contraseñas, pero todavía existen contraseñas como:

passwordf
pepe1997
urss1917
a&n2#yn8

Contraseñas:

Además sigue habiendo filtraciones de contraseñas, exponiendo hasta las contraseñas seguras.

Contraseñas:

¿Cuándo una contraseña es segura?
¿Cómo gestionamos las contraseñas?
¿Qué tipo de autenticación es más segura?

Contraseñas:

Seguridad Operacional

Larga es mejor que compleja, mínimo 16 carácteres
Cambiarlas de vez en cuando
Nunca reutilizarlas
Es mejor no tener que recordarlas
Usar autenticación multifactor

Contraseñas:

Seguridad Instrumental

HaveIBeenPwned
Mozilla Monitor
Gestores de contraseñas:
- KeePassXC
- BitWarden
- VaultWarden
Combinar varias palabras aleatorias que nos sean fáciles de recordar
Verificación en dos pasos
- Aegis Authenticator

Software:

Nuevas vulnerabilidades y malware frecuentemente
Aplicaciones de dudosa procedencia
Sin mantenimiento y sin actualizaciones

Software:

¿Cuándo el software es seguro?
¿Riesgos de aplicaciones inseguras? ¿Consecuencias?
¿Código abierto más seguro que código cerrado? ¿GNU/Linux es más seguro que Windows?
¿Protección frente al acceso remoto?

Software:

Seguridad Operacional

Actualizar frecuentemente
Instalar sólo de fuentes fiables
Reinstalar sistema operativo o aplicaciones cada X tiempo
Auditorías de seguridad externas y comunidades activas
Compartir preocupaciones, pensar en colectivo

Software:

Seguridad Instrumental

Anti-Virus y firewalls
- Android: Hypatia (antivirus), Rethink: DNS + Firewall + VPN, NetGuard (bloqueo de internet por aplicación)
- GNU/Linux: ClamAV (antivirus), UFW (firewall)
- Windows: WindowsDefender

Dispositivos:

Los móviles anuncian su posición constantemente a las antenas de telefonía.
WiFi y Bluetooth también
Usado para rastrear e identificar activistas

Dispositivos:

¿Cómo rastrear un teléfono móvil?
¿Para qué puede servir conocer las actividades históricas de las personas (participación en eventos o relaciones personales)?

Dispositivos:

Seguridad Operacional

Poner el modo avión o apagar cuando no se esté usando
Activar opción de apagado automático de WiFi y Bluetooth si no está conectado a nada
Tener en cuenta qué información ofreces en una protesta

Dispositivos:

Seguridad Instrumental

Modo avión
Bolsa de Faraday
Deja el móvil en casa cuando no quieras que te ubiquen

Bloqueo de móvil:

Dejas la huella del patrón marcado en la pantalla.
Pierdes el móvil por la calle.
Te arrestan en una protesta. La policía tiene tu móvil.
¿Qué información podrían obtener?

Bloqueo de móvil:

Los teléfonos móviles no fueron diseñados para la privacidad y seguridad ¿Qué información guardamos en ellos?
¿Qué tiene mayor valor: el móvil o los datos que almacenas?

Bloqueo de móvil:

¿Puede mi adversario …

observarme desbloquear el teléfono antes de ganar acceso físico a él?
obligarme o coaccionarme para desbloquear el dispositivo?
recoger muestras biométricas (huellas, iris, fotografías) para desbloquear el dispositivo con ellas?
contar conocimientos o medios especializados para el desbloqueo por fuerza bruta de mi dispositivo?

Bloqueo de móvil:

Seguridad Operacional

Cifrar el móvil
No desbloquearlo si hay cámaras que puedan grabarte
Utilizar un bloqueo seguro
Compartimentalizar información, separar perfiles
Conoce al enemigo

Bloqueo de móvil:

Seguridad Instrumental

No utilizar (o desactivar) el bloqueo biométrico antes de una protesta
Cifrado nativo de Android o Apple
Eliminar aplicaciones instaladas de fábrica
Sistemas operativos enfocados en privacidad: LineageOS, crDroid, DivestOS, …
Hardenizar Android: GrapheneOS o CalyxOS

Cifrado de ordenador:

Si se tiene acceso físico al ordenador estás vendide.
Estás de cervezas y te roban la mochila con el ordenador.
Si la policía te arresta tendrá acceso físico.

Cifrado de ordenador:

¿Qué datos no tenemos cifrados? ¿Pueden comprometernos a nosotres o a nuestro colectivo?
¿Qué tiene mayor valor: el ordenador o los datos que almacenas? ¿Copias de seguridad cifradas?

Cifrado de ordenador:

Seguridad Operacional

Mantener el ordenador apagado cuando no se usa
Contraseña segura y secreta

Cifrado de ordenador:

Seguridad Instrumental

Conversaciones:

Para coordinar acciones en grupo es necesario comunicarse
Siempre hay alguna persona que habla más de la cuenta
A la policía le gusta saber lo que se dice en esos grupos

Conversaciones:

¿Qué temas sensibles se hablan a través de grupos abiertos?
¿Existe un anillo de confianza entre las personas del grupo?
¿Qué persona suele hablar más de la cuenta de los asustos del colectivo?

Conversaciones: :

Seguridad Operacional

Cuidado con quién entra en el grupo
Borra los mensajes sensibles o usa chats con autodestrucción
Desarrolla un código secreto para comunicarte con tus compañeres en público
Usar protocolos interoperables y abiertos para comunicarnos

Conversaciones: :

Seguridad Operacional

El punto más débil no eres tú, puede ser otra persona
La seguridad en los grupos es el resultado de la suma de compromisos individuales por no exponer información sensible de les demás compañeres
Configuración preferencias de seguridad y privacidad de las aplicaciones

Conversaciones: :

Seguridad Instrumental

Chats:

Signal o Molly
DeltaChat (correo electrónico)
Conversations (jabber/xmpp)
Element (matrix)
Jami (https)
Briar
aTox

Voz o Videoconferencias

Conversaciones: :

Seguridad Instrumental

Clientes de Correo electrónico

K9-Mail
Thunderbird
DeltaChat

Proveedores de correo electrónico

Riseup
Sindominio
Disroot
Tutanota

Privacidad y software libre:

¿Piensas que las mega corporaciones tecnológicas conocen tus gustos mejor que tu misme?
¿Eres alergique a los anuncios o a la publicidad?
¿Pasas mucho tiempo en redes sociales o consumiendo contenido del que luego no te acuerdas?

Privacidad y software libre:

Repositorios de aplicaciones

F-droid
F-droid Basic
Aurora Store

Teclado

Heliboard
Florisboard
AnySoftKeyboard

Privacidad y software libre:

Lector Pdfs

Librera

Reproductor de vídeo

Privacidad y software libre:

Sincronización de Archivos

Nextcloud
Syncthing

Contactos/Calendario

Davx5
Etar (calendario)

Privacidad y software libre:

Entretenimiento Audiovisual

RiMusic
Tubular/NewPipe
AntennaPod
Jellyfin

Redes sociales libres

Mastodon
Agendas de Gancio
Peertube
Pixelfed

Privacidad y software libre:

Frontend alternativo de redes privativas

UntrackMe

Mapas

Open Street Maps
Organic Maps

Privacidad y software libre:

Tor y VPN

Tor Browser
Orbot
Riseup VPN
Calyx VPN
Wireguard
Mullvad
OpenVPN

Seguridad analógica

Dinámica 1

Dinámica 2

Listado de cuidados de seguridad

Cierre y Conclusiones

Referencias

Fanzines

Libros y textos

Introducción a la Cultura de la Seguridad. Ediciones Extáticas. 2021.
Resistencia Digital - Manual de seguridad operacional e instrumental para smartphones. Críptica.2019.
La era del capitalismo de la vigilancia. Shoshana Zuboff. 2020.

Cultura de la seguridad

Confianza

Dinámica 1

Dinámica 2

Autodefensa digital

Índice

Conceptos previos

La tecnología es política

La información es poder

¿Qué hacemos con la vigilancia?

Capitalismo de Vigilancia

Escándalo

2013

Chat Control

Efecto panóptico

Violencias digitales

Soberanía o autonomía tecnológica

Seguridad poco a poco

Seguridad holística

Los malos a.k.a modelo de amenaza

Seguridad operacional vs Seguridad intrumental

Primeros pasos

Primeros pasos en autodefensa digital

Contraseñas:

Contraseñas:

Contraseñas:

Contraseñas:

Contraseñas:

Software:

Software:

Software:

Software:

Dispositivos:

Dispositivos:

Dispositivos:

Dispositivos:

Bloqueo de móvil:

Bloqueo de móvil:

Bloqueo de móvil:

Bloqueo de móvil:

Bloqueo de móvil:

Cifrado de ordenador:

Cifrado de ordenador:

Cifrado de ordenador:

Cifrado de ordenador:

Conversaciones:

Conversaciones:

Conversaciones: :

Conversaciones: :

Conversaciones: :

Conversaciones: :

Privacidad y software libre:

Privacidad y software libre:

Privacidad y software libre:

Privacidad y software libre:

Privacidad y software libre:

Privacidad y software libre:

Privacidad y software libre:

Seguridad analógica

Dinámica 1

Dinámica 2

Listado de cuidados de seguridad

Cierre y Conclusiones

Referencias

Fanzines

Libros y textos

Guías y manuales

Infografías