El auge de los ciberataques en Argentina y el mundo pone en evidencia el riesgo al que están expuestos todos los usuarios de la red de redes. En el caso de personalidades de alto perfil, como magistrados, funcionarios y abogados involucrados en casos sensibles, es urgente adoptar buenas prácticas.
Los ataques cibernéticos a los poderes judiciales de distintas provincias argentinas, o las más recientes filtraciones de chats que supuestamente pertenecerían a magistrados, funcionarios y periodistas, pusieron en evidencia que tanto el sistema de administración de justicia como los operadores del mundo judicial no solo pueden convertirse en víctimas del cibercrimen sino que, además, se han convertido en presas de enorme interés para quienes cometen delitos a través de medios digitales.
La situación lejos está de ser sorprendente. Los datos son, en esta era de virtualización exacerbada, el equivalente a lo que el oro era durante el medioevo. O incluso más, porque la información digital no es apreciable únicamente en dinero: su valor real es difícil de calcular si se tiene presente que toda fuga o acceso indebido a ella puede acarrear severas consecuencias que trascienden el ámbito económico y financiero, siendo capaces de impactar de lleno en la esfera personal, profesional y reputacional.
En el caso de personalidades de alto perfil, como jueces, funcionarios y abogados que intervienen en causas sensibles, tomar cabal conciencia de los riesgos que se corren es algo urgente, ya que los sistemas a los que acceden con sus usuarios (p. ej. plataformas de los poderes judiciales y ministerios públicos, bases de datos de organismos estatales, entre otras) y la información que resguardan en sus teléfonos y computadoras (v. gr. correos electrónicos y archivos con material confidencial, datos privados de personas involucradas en procesos judiciales, etc.) son especialmente tentadoras para los cibercriminales y su filtración, adulteración o eliminación podría dar motivos a ataques y, con ello, ocasionar daños de amplio y variado alcance.
A diferencia de los ilícitos cibernéticos dirigidos al común de la ciudadanía que son llevados a cabo por simples delincuentes del hampa digital, aquellos que tienen por víctimas a personalidades relevantes como es el caso de magistrados, funcionarios o incluso abogados involucrados en intereses significativos pueden estar orquestados por sujetos de mayor trascendencia y capacidad, como los actores del crimen organizado transnacional o agentes de las fuerzas de seguridad y los servicios de inteligencia nacionales o extranjeros que operan fuera de los límites legales, muchas veces apañados por la corrupción y los usos indebidos de ciertos resortes de las estructuras estatales.
A continuación, compartimos diez consejos en materia de ciberseguridad y privacidad que, si bien podrían ser de interés para el común de la ciudadanía, deberían ser adoptados urgentemente por jueces, fiscales y letrados involucrados en causas complejas, para disminuir las chances de ser víctimas de este creciente flagelo y prevenir graves consecuencias.
1. Resignar comodidad para ganar seguridad
Esta cuestión puede graficarse con un ejemplo claro del mundo offline. Si en nuestra casa simplemente tenemos una puerta que se abre sin siquiera introducir una llave y con solo bajar el picaporte, la comodidad de acceso será total pero, como contracara, la seguridad será inexistente. Si queremos resguardar lo que hay dentro de la casa, deberemos sacrificar parte de nuestro confort para mejorar nuestra protección.
Ese mismo dilema se refleja en el mundo digital: si pretendemos acceder rápidamente a nuestro celular o a nuestra computadora, podemos utilizarlos sin clave alguna, en tanto que, si lo que deseamos es ingresar sin dilaciones a servicios como cuentas de correo electrónico o redes sociales, podemos optar por contraseñas sencillas, difíciles de olvidar, repetidas sistemáticamente en cuanta plataforma estemos registrados, y sin utilizar medidas de seguridad adicionales que demoren nuestro ingreso.
Ahora bien, esa ganancia en comodidad conlleva - como es evidente - enormes riesgos en materia de seguridad: cualquier persona que tenga contacto con nuestros equipos informáticos podría hurgar en sus contenidos sin dificultad alguna, y lo mismo ocurriría con las distintas cuentas en plataformas digitales, que podrían ser rápidamente vulneradas por terceros.
De tal forma, los usuarios que tienen mayor riesgo de ser víctimas del cibercrimen – tal el caso de jueces, fiscales o funcionarios - deberán pagar el precio de una menor comodidad en favor de una mayor seguridad.
2. Utilizar equipos modernos y mantenerlos actualizados
Las empresas que desarrollan los distintos dispositivos electrónicos (computadoras, notebooks, tablets, smartphones, etc.) y sus respectivos sistemas operativos, los actualizan constantemente y de ese modo, entre otras cuestiones, eliminan vulnerabilidades que ponen en riesgo la seguridad y la privacidad de los usuarios.
Los programas utilizados por los atacantes (malware, ransomware, etc.), al igual que las herramientas utilizadas por las agencias estatales de seguridad para acceder por la fuerza a teléfonos secuestrados - como Cellebrite y Graykey -, suelen ser más eficaces en dispositivos antiguos, con vulnerabilidades que no siempre pueden ser corregidas mediante actualizaciones de software, que en equipos modernos.
Así es que, aun cuando para la mayoría de las personas un equipo con pocos años de antigüedad puede conservar su funcionalidad casi intacta, aquellos que necesiten proteger su seguridad y privacidad en forma rigurosa – por ejemplo, magistrados o abogados involucrados en causas sensibles – deberán entender a la compra de dispositivos de última generación como una inversión.
Las redes privadas virtuales (VPN) permiten establecer una conexión segura y cifrada entre el dispositivo del usuario y la red, ocultando la dirección IP del usuario y aumentando considerablemente la privacidad,
3. Evitar desbloqueos extraoficiales y aplicaciones de procedencia dudosa
A través de las prácticas conocidas como jailbreak (en iOS) o root (en Android), los usuarios logran desbloquear sus equipos y, con ello, eliminar limitaciones que vienen impuestas por los fabricantes y desarrolladores.
Sin embargo, si bien es cierto que estas modificaciones permiten acceder a determinadas funcionalidades que originalmente no se encuentran disponibles en los gadgets, no es menos cierto que ellas reducen los niveles de seguridad de los equipos abriendo puertas que permiten a los cibercriminales para acceder a ellos.
Este peligro aumenta si se descargan aplicaciones no oficiales a través de tiendas que no revisan los programas ofrecidos al público como sí lo hacen los repositorios oficiales como Apple Store o Google Play Store, y también si se instalan apps provenientes de orígenes dudosos o desconocidos, como así también pirateadas o crackeadas, ya que no se puede conocer a ciencia cierta qué es lo que hay detrás de su código fuente.
4. Optar por equipos con altos estándares de seguridad y privacidad
La opinión mayoritaria de los especialistas se inclina por considerar que los dispositivos Apple - y sus sistemas operativos iOS y macOS - llevan la delantera frente a sus competidores en lo que refiere a ciberseguridad y protección de la privacidad.
Apple incluso se ha enfrentado judicialmente con el FBI para defender sus políticas de privacidad, oponiéndose a que cualquier persona que no sea el usuario final - incluido el gobierno de los Estados Unidos - pueda valerse de puertas traseras para acceder a los datos almacenados en los dispositivos fabricados por dicha empresa.
Esto no quiere decir que computadoras con otros sistemas operativos como Windows o Linux no sean seguras, ni que los teléfonos celulares y tablets que corren sobre Android tampoco lo sean, o que los iPhones, los iPads y las Macbooks gocen de invulnerabilidad absoluta.
Sin embargo, es un dato objetivo que, más allá de cualquier actitud aspiracional o esnobista, los productos de la manzanita corren con ventaja a la hora de garantizar la privacidad y la seguridad de sus usuarios, y eso debería ser considerado al momento de elegir un equipo para uso de personas expuestas a un alto riesgo de sufrir ataques cibernéticos como lo son los miembros de los poderes judiciales y los ministerios públicos.
5. Implementar contraseñas seguras (y considerar el uso de llaveros digitales)
Aunque pueda parecer increíble, todavía son muchas las personas que eligen contraseñas constituidas por secuencias tales como "1234", "abcdef", palabras obvias como "password", o bien datos fácilmente identificables tales como su fecha de nacimiento, los primeros o últimos dígitos de sus documentos o domicilios, o el nombre de sus padres, hijos o mascotas.
Las contraseñas - tanto de dispositivos como de aplicaciones - deben ser difíciles de deducir, por lo que no deben basarse en información que pueda ser conocida o encontrada por terceros. Además, tiene que ser lo suficientemente compleja para evitar que puedan ser descifradas mediante programas que las adivinan generando millones de combinaciones posibles.
Según especialistas, una computadora tarda aproximadamente siete minutos en adivinar un código de acceso de 4 dígitos pero ese tiempo se extiende a 46 días con solo duplicar la cantidad de números. Llevada a 10 dígitos, la contraseña tardaría más de 12 años en descifrarse, y si los 10 caracteres alternan números, letras y símbolos, el tiempo necesario para acertar podría superar las 7 décadas.
Idealmente, las contraseñas deberían ser diferentes para cada dispositivo y servicio, por lo que recordarlas puede ser un problema. Para ello, es recomendable utilizar un llavero digital (también conocido como gestor de contraseñas) que, con una clave maestra, permite resguardar todas las frases de acceso del usuario. A estos fines, existen tanto soluciones gratuitas como pagas, entre las cuales se destacan 1Password, LastPass y Apple Keychain.
Debe tenerse presente que hay programas que permiten registrar lo que un usuario tipea en su teclado (keyloggers), motivo por el cual, si vamos a ingresar a una cuenta desde una computadora que no nos pertenece – por ejemplo, una de uso público en un juzgado – o que no consideramos segura, es una buena opción utilizar un teclado virtual.
6. Habilitar la verificación en dos pasos, evitar que sea vía SMS y resguardar los códigos de rescate
Como una capa adicional de seguridad, la mayoría de las aplicaciones y servicios actuales han incorporado la figura del segundo factor de autenticación (2FA), para evitar que, si una persona eventualmente accede a las contraseñas del usuario, pueda utilizarlas para ganar un acceso indebido.
El segundo factor de autenticación envía un código de seguridad adicional a un dispositivo, aplicación o cuenta de correo predefinido con anterioridad, que debe ser introducido luego de la contraseña.
Si bien durante un tiempo la opción más popular fue la de requerir ese código vía SMS, los crecientes casos de phishing y swapping de tarjetas SIM han minado la seguridad de esta alternativa. En su lugar, se recomienda optar por una aplicación generadora de códigos como Google Authenticator o Authy que, a su vez, pueden ser bloqueadas biométricamente para impedir que terceros no autorizados accedan a ellas.
Ahora bien, al implementar el segundo factor de autenticación surge la posibilidad de que el dispositivo utilizado para obtener el código correspondiente quede fuera del alcance del usuario por distintas razones (robo, extravío, fallas de funcionamiento, entre otras).
Para afrontar ese escenario, al activar el 2FA las aplicaciones suelen ofrecer diferentes alternativas: Apple ID, por ejemplo, otorga un código único de 28 caracteres y permite asociar contactos de confianza para requerir su auxilio en esos supuestos; Linkedin y Gmail, en tanto, conceden una lista de diez códigos numéricos.
Estos datos deben ser resguardados de forma inteligente, de modo tal que se pueda acceder a ellos con relativa celeridad al mismo tiempo que queden fuera del alcance de potenciales atacantes.
7. Comprender la lógica e implicancias de los desbloqueos biométricos
No es novedad que, desde hace años, los distintos dispositivos implementaron mecanismos de desbloqueo biométricos, mediante los cuales el usuario puede evitar introducir su contraseña y, en su lugar, colocar un dedo o enfocar su cara.
En líneas generales, y sin perjuicio de algunas falencias que se advirtieron años atrás, puede decirse que estos sistemas constituyen un buen punto intermedio en el dilema entre seguridad y comodidad.
El tiempo que insume apoyar una huella en un sensor o exponer un rostro frente a una cámara es significativamente menor al que demanda escribir una contraseña compleja cada vez que se quiere desbloquear un teléfono o computadora, y optar por esa alternativa no implica resignar una gran cantidad de seguridad. Además, este sistema puede utilizarse para restringir el acceso a determinadas aplicaciones (de mensajería, de correo, etc.)
Sin embargo, hay que tener presente que, no solo por coacción ilícita sino también por orden judicial, una persona puede ser forzada a abrir su teléfono mediante sus datos biométricos, algo que es imposible de exigir respecto de una combinación de caracteres resguardada en la mente.
Si se optara por utilizar el desbloqueo mediante huella o rostro, es una buena práctica implementar el bloqueo forzoso cuando uno no está utilizando sus equipos (por ejemplo, al guardar una computadora en la casa o al llevar el celular en un bolsillo durante un viaje o cruce de fronteras). De este modo, el dispositivo exigirá introducir la contraseña de forma obligatoria, deshabilitando el desbloqueo biométrico hasta tanto se cumpla con ese paso previo. Esto puede lograrse apagando el equipo en cuestión o, en el caso de los iPhones, presionando el botón superior del lateral izquierdo al mismo tiempo que el botón lateral derecho, hasta que aparezca el menú de apagado.
8. Prepararse para casos de robo o extravío de los dispositivos
Si un celular, una notebook o una tablet cae en manos ajenas y se adoptaron las medidas detalladas en los puntos previos, la información sensible estará bien resguardada.
Sin embargo, en caso de que no sea posible recuperar el dispositivo, sería conveniente que un magistrado o funcionario tenga forma de eliminar todos los datos allí contenidos. Para lograrlo, es fundamental haber configurado el rastreo y borrado remoto que ofrecen tanto iOS (a través de iCloud) como Android (mediante Cuenta de Google).
Si el dispositivo permite habilitar el borrado automático después de reiterados intentos fallidos de introducir la contraseña, también es recomendable activar esa opción.
9. Conectarse a internet a través de una VPN
Las redes privadas virtuales (VPN) permiten establecer una conexión segura y cifrada entre el dispositivo del usuario y la red, ocultando la dirección IP del usuario y aumentando considerablemente la privacidad, incluso respecto del proveedor de internet (ISP) que tengamos contratado en nuestro domicilio, trabajo o lugar de conexión.
Existen numerosos proveedores de este servicio, siendo ExpressVPN, NordVPN y ProtonVPN algunos de los más conocidos. A la hora de elegir, un elemento esencial que debe considerarse es que ofrezca una política "no-log", es decir, que no queden registros que permitan vincular a la IP real del usuario con la que el VPN otorga para interactuar en la red, lo que dificultará enormemente cualquier intento de rastreo inverso.
El uso de un VPN debería tomarse como práctica habitual en cualquier contexto, pero debe considerarse una obligación a la hora de conectarse a internet a través de redes de WiFi públicas y compartidas, como las que ofrecen los comercios, cafés y aeropuertos, especialmente cuando quienes se conectan son personalidades de alto riesgo como jueces y fiscales.
10. Considerar la encriptación PGP para compartir o proteger datos ultra sensibles
Aun cuando adoptemos todas las medidas de seguridad antes descriptas, si algún intruso lograra saltear todas las barreras y acceder a nuestros dispositivos o cuentas, podría conocer todos los datos allí contenidos.
Para evitarlo, existe la posibilidad de encriptar los contenidos a través de un sistema conocido como PGP (Pretty Good Privacy), que transforma nuestros textos y archivos en secuencias de caracteres absolutamente incoherentes para quien no cuente con las claves necesarias para el desencriptado.
Este mecanismo pone al alcance de cualquier usuario la posibilidad de encriptar sus datos con niveles de seguridad de grado militar, aunque su utilización tiene ciertas complejidades que exceden el propósito de este artículo. De todas maneras, existen aplicaciones que simplifican el uso de PGP, como es el caso de PGP Everywhere (para iOS), GPGTools (para macOS) o PGP Anywhere (extensión del navegador Google Chrome), y en este video de Youtube puede encontrarse una excelente explicación de su funcionamiento.
Gracias al encriptado PGP, pueden enviarse correos electrónicos, mensajes de texto o mensajes de WhatsApp en formato críptico, los que solo podrán ser leidos por el destinatario elegido (cuya clave pública deberá introducirse al momento de realizar la encriptación), quien desencriptará el mensaje a través de su clave privada.
De igual forma, los contenidos podrán ser encriptados para el resguardo en el mismo dispositivo del usuario, quien solo podrá desencriptarlos con su propia clave privada.
Dado que el uso de PGP se recomienda para datos de máxima sensibilidad, lo más recomendable sería memorizar la clave sin ingresarla en ningún llavero o gestor de contraseñas. En su defecto, escribirla en un papel y guardarla en un lugar de muy difícil acceso, o pedirle a una persona de extrema confianza que guarde ese código sin precisarle de qué se trata, podrían ser alternativas aceptables.