Llegamos a ustedes gracias a:



Columnas de opinión

6 consejos para la privacidad y seguridad de los smartphones

Por: Ronald Kaplan, socio de SICons

[16/04/2014] En el mundo digital, las cosas están empeorando en lugar de mejorar con respecto a la búsqueda generalizada de privacidad y seguridad personal. Nuestros smartphones nos rastrean donde quiera que vayamos, lo que decimos, a quién se lo decimos, nuestros gustos y disgustos, y cuando estamos jugando en vez de trabajar. Nuestras computadoras rastrean y registran el mismo tipo de información en todo momento del día.
Ese es el tipo de información que los especialistas en marketing, compañías de seguros y empleadores adoran tener antes de vincularse con nosotros; lo cual significa que la información tiene un gran valor. Esto debería ser preocupante para cualquiera que lea esto. Puede que no sea capaz de encontrar esta información enterrada en su propio dispositivo, pero tenga por seguro que especialistas entrenados pueden hacerlo.
Este es el tipo de información con el que sueñan los abogados. La usan para devorar la credibilidad de su enemigo bajo testimonio. Aquí se incluyen los chistes racistas o sexistas, los e-mails entre usted y alguien contra el que testificó, la evidencia de que usted no pudo haber estado en dos lugares a la vez, transferencias o bienes sobre los que testificó que no tenía, transacciones bancarias que negó haber hecho, y la lista continúa.
Si es demandado o arrestado verá lo fácil que es conseguir esta información. No estamos hablando del espionaje de la NSA, sobre el cual aprendimos recientemente que es más predominante, penetrante y amplio de lo que cualquiera imaginaba. De lo que estamos hablando aquí cae en décadas de viejos estándares por descubrir en litigios civiles y penales que son muy difíciles o imposibles de sofocar. Estos estándares de descubrimiento electrónico ya están bien establecidos en los procedimientos civiles y en lo que se conoce como jurisprudencia.
Si esto le preocupa, entonces todo lo que puede hacer para protegerse contra este tipo de invasión, es dejar de usar ese smartphone y esa computadora que usa casi todo el día. Seguro, tendrá que vivir sin todas las conveniencias de banca, viajes, fotografía y entretenimiento, pero sabrá que su información privada y sus hábitos personales y actividades probablemente permanecerán seguros. Es una opción muy personal sopesar los beneficios con las desventajas; sin embargo, la mayoría de personas nunca contempla el lado negativo, solamente se enganchan con sus dispositivos electrónicos y persiguen cada aplicación que les parece simpática o satisface sus necesidades.
Muchos usuarios de tecnología ya han sido atacados por malware, virus de computadoras, software espía y captores de teclado. Algunos tuvieron que absorber la pérdida de un disco duro como resultado de esas invasiones. La recuperación frecuentemente se logra solo reemplazando el medio afectado o el dispositivo entero y restaurándolo desde cualquier backup que se mantenga.
Los usuarios afectados usualmente se encuentran vulnerables a los mismos ataques, haciendo solo pequeños cambios insignificantes en su conducta para protegerse contra las pérdidas y agravios que juraron que nunca más dejarían que volvieran a ocurrir.
Si tiene la disciplina para evitar todos los comportamientos que lo ponen a usted y a sus dispositivos en riesgo, e instala todo el software/hardware diseñado para proteger sus dispositivos, aún es vulnerable a perder seguridad y privacidad personal. No se engañe pensando que continuará limpiando detrás de usted cuando utiliza sus dispositivos, borrando de forma segura las huellas que otros dejan. Eso no solo es muy difícil de conseguir, sino que requiere conocimiento de la huella que está dejando detrás. Tal huella puede ser creada por el sistema operativo y aplicaciones no solo que corren en sus dispositivos, sino también en servidores y otros dispositivos fuera de su control.
Simplemente pregúntese ¿cómo adquiero y mantengo el conocimiento respecto al comportamiento de esos sistemas operativos y aplicaciones? Reconozca que ese conocimiento técnico y esas herramientas especializadas se requieren solo para comenzar a entender lo que está ocurriendo bajo la superficie de sus acciones, en sus dispositivos. Muy pocas personas son capaces de abarcar completamente el rastro de sus actividades, pero aquellos que usualmente lo hacen, dedicando dispositivos específicos para determinadas actividades y son diligentes en no cruzar y contaminar sus dispositivos. Esto quiere decir que realmente no mantienen un procedimiento para eliminar todos los datos superficiales, sino que en lugar de ello aíslan la información de la información no relacionada.
Claramente, esto resuelve algo del problema de privacidad y seguridad, pero no todo. También requiere compras de hardware y software que probablemente no sería necesario para otro propósito que el de mantener la integridad de los datos. Además, aún requiere tiempo y disciplina para mantenerse.
Continuamente vemos nuevas técnicas diseñadas para proteger su información, como lectores de huellas digitales y otros dispositivos biométricos, pero tienen sus propios riesgos adjuntos. ¿Son realmente más seguros que los passwords? ¿Cómo se siente respecto a estas protecciones, ahora que vencer al lector de huellas digitales de Apple tardó menos de una semana? Ahora que ha sido derrotado, si lo usa para proteger su iPhone ¿es más o menos seguro que el password? Aún si no fuera derrotado, ¿una clave de seguridad que no puede ser cambiada sería una buena opción?
Como expertos en computación forense, hemos tenido muchos casos en los que nuestra carta era asegurar y examinar datos electrónicos en busca de la pistola humeante. Aunque rara vez la encontramos, frecuentemente hallamos cantidades significativas de información periférica para dar soporte al caso de nuestro cliente. Esta información ha sido invaluable para atravesar o destruir la credibilidad de esos testigos, u otros que han producido hechos, que van en detrimento de nuestro cliente.
Recomendaciones
* Asegúrese de preguntarse continuamente cuando utiliza estos dispositivos, "¿Me importa si alguien sabe esto?" donde "esto" se refiere a donde está, qué hay en las fotos, qué estoy buscando en Google, que estoy viendo una película, que estoy contando un chiste, o una gran cantidad de otra información que esté produciendo.
* Aísle su vida profesional de su vida personal. Si bien es claramente más conveniente que utilice un único dispositivo para doble propósito, dese cuenta de que si se mantiene la integridad de los dispositivos, será capaz de proteger la información irrelevante y la personal de los interrogatorios de negocio. Si bien esto no es lo ideal, es años luz mejor que ser cuestionado acerca de la broma homofóbica, sexista o racista que envió a su hermano el año pasado.
* Guarde un poco de información privilegiada o confidencial en sus dispositivos. Si bien no es probable que mantenga los dispositivos libres de miradas indiscretas, se requerirá aplicar procedimientos más costosos para examinar los dispositivos que protegen la integridad y el carácter de su información.
* Controle el número y la ubicación de las copias de seguridad. La existencia y la ubicación de los soportes de las copias de seguridad a menudo se pueden descubrir examinando un dispositivo. Si estas copias de seguridad son descubiertas por un examinador competente, se verá obligado a entregarla.
* No trate de engañar a los profesionales de la clandestinidad o de borrar información. Tenga en cuenta que los tribunales tienen herramientas para castigar a aquellos que se ven atrapados. Dado que es probable que tenga poca idea de las características de funcionamiento de todas las aplicaciones y el sistema operativo que se ejecuta en el dispositivo, no será capaz de eliminar discretamente los datos de su equipo.
* Deje de publicar todo lo que hace en las redes sociales. Twitter, Facebook, Instagram, Foursquare y similares son divertidas, pero pueden resultar peligrosas para su privacidad. Si publica información en los sitios de redes sociales, asegúrese de que utiliza la configuración de privacidad para que pueda limitar quién tiene acceso a su información de forma continua y para que pueda demostrar su deseo de privacidad a un tribunal, si se ordena su entrega de información. Por lo menos no utilice una identidad común (su primer nombre y apellido) para catalogar su información.
Ronald Kaplan, CSO (EE.UU.)
Ronald Kaplan, MS, MBA es socio de SICons, una firma consultora de gestión y equipo forense de peritos en Los Angeles.