Esta guía se presenta para activistas y sus organizaciones. Como sacar el mayor provecho de un dispositivo -o conjunto de estos- para la acción política y correr los menores riesgos posibles. Esta guía esta escrita para el activismo y militancia argentina, orientado a sus condiciones materiales y sociales. No aspira a ser una guía universal.
Hay tres dimensiones de la defensa digital que se abordarán en diferentes entradas.
1) La individual: La relación del sujeto con el dispositivo.
2) La colectiva: La relación de un conjunto de dispositivos.
3) La externa: La relación del dispositivo con el resto de la red.
__________________
En este artículo se abordará el primer ítem, la relación del sujeto con su dispositivo, que aborda principalmente la seguridad operativa. Pero primeramente unas caracterizaciones elementales de esta guía que a diferencia de otras esta orientada a la militancia argentina y por ello mismo el pensamiento adversarial esta enfocado hipotéticamente contra un estado totalitario y sus instituciones, es decir, contra un estado dispuesto a desplegar acciones punitivas en el frente político y digital. Y en segundo lugar, como el uso del smartphone supero ampliamente a las computadoras tradicionales, esta guía aborda principalmente a los primeros.
__________________
¿Nos vigilan?
La respuesta es sí, y no precisamente significa que nosotros individualmente seamos un objetivo activo de vigilancia. Si quisieran saber todo sobre nosotros, en tiempo real podrían saberlo y allí radica la respuesta afirmativa, el estado vigila de forma colectiva la sociedad por medio de dispositivos físicos y programas informáticos. Si un régimen político argentino adoptara una posición fascista y quisiera perseguir a la izquierda revolucionaria encontraría muchos medios para dar con sus objetivos. No hay que ser alarmistas, ese tipo de régimen no esta presente, pero tampoco es imposible su gestación.
Vale aclarar que la gran mayoría de empresas tecnológicas que diseñan los programas y apps cuando no venden directamente nuestra información pueden entregarla a las agencias del estado sin mucho trámite. Es decir, nuestros datos personales que permiten determinar nuestra rutina, nuestros hábitos y comportamientos y predecir nuestro actuar son una mercancía más en el mercado. Hubo un tiempo donde se podía vivir en sociedad mientras no se dejaba huella digital, ese tiempo terminó. Desde la cuenta bancaria hasta la tarjeta SUBE todo se ha ordenado para sí o sí volcar información en algún almacenamiento público o privado.
Como vivir y sobretodo luchar políticamente no se puede sin dejar huella digital, habrá que aprender a dejar las menos posibles y borrarlas mientras avanzamos. Es importante no obsesionarse con esto, e ir avanzando progresivamente en la relación política con nuestro dispositivo.
La seguridad operativa es aquella práctica consciente de nuestra relación con la tecnología. No hay información mas segura que la que no se escribe, ni se digita, ni se comunica, pero si vamos a manifestarla de alguna forma, que sea con el mayor control posible de la misma. También hay diferentes grados de importancia en la información, una foto de adolescente en la playa podrá ser irrelevante para cualquiera, pero una contraseña bancaria anotada en un block de notas representa un valor. Por ende habrá que elaborar conductas seguras con nuestra información a fin de no comprometernos ni comprometer a otros. Lo primero será hacernos conscientes de donde estan almacenados nuestros datos y qué se puede hacer con ello.
__________________
Estado
Una vez se toma conciencia y mas tardíamente conciencia de clase, nuestros datos biométricos elementales y la información sobre nuestro lugar de origen, libreta de vacunación y demás ya estarán almacenadas en algún servidor. En este sentido el control digital del estado es omnipotente, nadie escapa del registro. Aquí no hay apostasía, ese registro y sus actualizaciones, estado civil, deudas, antecedentes nos acompañarán toda la vida. Solo de algunas de esas informaciones tenemos control por medio de aplicaciones promovidas por el estado -cuando funcionan bien- como AFIP o ANSES, digo ARCA.
- Brindarle información al estado por medio de sus servicios solo cuando vayamos a beneficiarnos de ello, sea por agilidad de un trámite o retribución económica. No agregar información innecesaria.
__________________
Bancos y billeteras digitales
Los bancos se han convertido en verdaderos bancos de datos, no solo sobre nuestro perfil civil, también sobre nuestras acciones económicas. Lo mismo ocurre con las billeteras digitales como Mercado Pago. Estas instituciones estatales o privadas no titubearan en entregar nuestros datos a la fuerza que lo solicite, incluso interviniéndolas si un fiscal lo ordena.
- Realizar extracciones de efectivo en cajeros automáticos, el efectivo no deja huella digital y dificultará cualquier rastreo por la vía práctica y judicial. Es cierto que la extracción si deja huella, pero no lo que hagamos despues. Utilizar transacciones digitales solo cuando eso permita no exponernos ni exponer a otros, puede ser útil triangular las operaciones para hacer mas difícil crear una red de financiación de nuestra organización.
__________________
Agencias de empleo
Las oficinas de empleo estatales han sido vaciadas -cuando no eliminadas- y sustituidas por plataformas privadas que en su dominio del sector acumulan gran cantidad de datos civiles y bibliográficos. Es posible que nuestra información este allí o debamos subirla allí para conseguir vender nuestra fuerza de trabajo y sustentarnos a nosotros y a nuestra actividad política.
- Poco para hacer, conseguido un empleo estable -¡que suerte!- eliminar las cuentas.
__________________
Telefónicas
Nuestro proveedor de telefonía e internet almacena registros de nuestras ubicaciones y redes wifi así como sitios visitados. Las únicas formas de evitar la localización por medio de las antenas es apagando el smartphone o colocarlo dentro de una jaula de faraday (capas herméticas de plástico y aluminio), es decir, no usar nuestro dispositivo. En cuanto a nuestros sitios lo mejor será una VPN, de esa forma la información archivada tendrá una IP que no es la nuestra.
- Hacer balance de si queremos usar el smartphone o si queremos evitar ser localizados, depende lo que la acción política requiera. Establecer un servicio de VPN como RiseUp u Orbot.
__________________
Contactos
Mucha de nuestra información personal y política puede estar compartida entre los contactos de nuestro círculo social, familiares, amigos, compañeros de trabajo, etc. Esta fuera de nuestro poder eliminar esta información, pero si podemos discernir que compartir y que no.
- En un estado ciberpersecutor lo mejor sería no compartir información sensible sobre nuestra actividad política para no comprometer a otros ni comprometer nuestra acción.
__________________
Muy posiblemente este gigante tecnológico disponga al menos de un mínimo perfilamiento sobre nosotros, pues sus servicios sumamente ramificados e interconectados y que además viene por defecto en cada nuevo smartphone hace muy difícil escapar de un mínimo volcado de datos.
- Rechazar cualquier servicio de google y si debemos usar uno que sea estrictamente necesario y desde un navegador libre.
__________________
SUBE
El Sistema Único de Boleto Electrónico vigente desde 2009 ha sido un golpe al viaje anónimo por medio de dinero físico, además cada tarjeta debe estar registrada personalmente. Este sistema funciona off-line, pero en ciertas terminales y puntos de recarga se suben los datos de viaje. Estos los podemos consultar nosotros por medio de la página web. No tenemos control del registro de viajes que realizamos. Pero si tenemos control de usar la sube o no. En muchos trenes y subtes es posible pasar sin pagar, aprovechar las brechas. A nivel organizativo pueden intercambiarse las tarjetas SUBE entre los compañeros creando un caos con el registro. Evaluar si es útil para la organización disponer de acceso a dicho registro para consultarlo en caso de operaciones policiales en terminales.
- Intercambiar tarjetas asiduamente y evitar pasar la tarjeta cuando sea posible. Evaluar crear un centro de datos de la organización.
__________________
Ahora que ya sabemos donde esta dispersa nuestra información digital que producimos antes de tomar con la disciplina que requiere luchar políticamente contra un estado totalitario, debemos seguir por como usar nuestro dispositivo para no alimentar el banco de datos arriba descripto y blindar nuestro dispositivo de las mayores brechas posibles.
__________________
Contraseñas
La mayoría de dispositivos con los que interactuamos y sus servicios vienen con un sistema -o sistemas- de seguridad integrados en el cual nosotros solamente brindamos un patrón numérico o alfanumérico para dicho sistema. La contraseña y su funcionamiento nos deben importar porque son la barrera mas elemental y visible con el exterior. Hay algunas reglas rectoras.
- Difícil de predecir
- No la reutilices
- Cambiala a menudo
Una contraseña adquiere mayor complejidad cuanto mas carácteres posee y mas diversidad de carácteres admite, números, letras, mayúsculas y símbolos. Si incluso así es descifrada lo mejor sería que con ella no pueda acceder a otras cuentas, además si la contraseña se cambia a menudo el que tenga acceso lo perderá de inmediato.
- Crear contraseñas únicas compuestas de diferentes carácteres y cambiarlas a menudo. Para gestionarlas puede usarse KeePassVault desde F-Droid.
__________________
Configuración y permisos
Nuestro smartphone viene configurado por defecto para estar hiperconectado. Debemos Ir a los ajustes de privacidad y anular cualquier servicio de control de actividad, datos de diagnóstico, anuncios personalizados y cualquier tipo de perfilamiento de nosotros.
Por otro lado las aplicaciones para funcionar requieren permisos del dispositivo para que este le asigne recursos y privilegios. En muchos casos aplicaciones solicitan permisos de forma abusiva para recopilar datos y triangularlos. Los tipos de permisos pueden ser tres:
- Permitido todo el tiempo
- Permitido con la app en uso
- No permitido
Lo ideal sería que las aplicaciones obtengan permisos solo cuando estan en uso, en muchos casos es imposible porque requieren permisos por defecto y en otros porque asignar cada permiso todo el tiempo puede llevar a una pérdida de accesibilidad. Habrá que establecer un equilibrio.
Además los permisos suelen reconfigurarse cuando el sistema operativo se actualiza, por lo que hay que reconfigurar cada vez que esto sucede.
- Anular cualquier tipo de recopilación de datos y perfilamiento. En general, permitir la menor cantidad de permisos. Administrarlos según criterios de usabilidad. Revisarlos despues de actualizar.
__________________
Bloqueo
Nuestro dipositivo dispone de un sistema de seguridad que impide la libre interacción de un tercero con nuestro dispositivo. La pantalla de bloqueo debe ser una pared. Las notificaciones no deben revelar información en la pantalla de bloqueo, un escenario común: muchos servicios requieren un pin enviado por mensaje o correo, si esa información llega visible a la pantalla de bloqueo estamos dando acceso a otras cuentas y ni siquiera se tuvo que desbloquear la pantalla.
La pantalla de bloqueo puede tener diferentes formas de desbloqueo: patrón, contraseña, pin o huella. Cada cual con pros y contras. Como esta guía esta orientada a la lucha política y el enemigo son las fuerzas del estado la huella debe descartarse porque con fuerza policial puede desbloquearse y con ello perjudicar a nuestros camaradas. Dejando tres opciones, descartamos el pin por ser demasiado corto y un poco de bruteforce la adivinará. El patrón puede ser obtenido -al menos en parte- por medio de analizar el rastro que dejan nuestros dedos en la pantalla, por ende, la contraseña es el sistema mas robusto y tambien el menos accesible. Smartphone's mas nuevos incluyen el bloqueo de red, que impide que los datos o el wifi se desactiven desde la pantalla de bloqueo, esto puede ser útil para mantener localizado al compa que lo subieron al patrullero, para esto habrá que acompañarla de la opción de evitar apagado desde la pantalla de bloqueo. También esta la opción de autoreestablecer ajustes, a los 20 intentos erróneos elimina todos los datos del dispositivo.
- Ocultar notificaciones. Establecer verificación de dos pasos, bloqueo de red, autoreestablecer ajustes y evitar apagado.
__________________
Alojamiento
Nuestros datos se pueden almacenar en el dispositivo o en la nube de alguna empresa interesadamente benefactora. Cancelar cualquier servicio de nube evitará que los datos resulten alojados físicamente en otro país, en una instalación que desconocemos su localización y su política de uso, es decir, fuera de nuestro control.
Por otro lado nuestro dispositivo puede estar cifrado o no, lo mejor será tenerlo cifrado. En Iphone esta opción esta por defecto, en Android debe aplicarse desde la configuración.
Nuestro dispositivo permite crear copias de seguridad por si algo falla poder reestablecerlo. Lo ideal será tener por lo menos una con las aplicaciones y configuraciones elementales que usemos. También es recomendable –de ser posible– alojar nuestros archivos en otro dispositivo propio, sobretodo si nuestro trabajo político depende de la supervivencia de esos archivos.
- Cifrar nuestro dispositivo. Eliminar archivos y aplicaciones que no utilicemos. Rechazar cualquier servicio de nube. Tener copias de nuestra configuración y archivos elementales y almacenar, de ser posible, datos en otro dispositivo.
__________________
Localización
El servicio de gps de nuestro dispositivo debe estar apagado a menos que lo estemos usando y no dar permiso a este a menos que la app lo necesite obligadamente. Como no tenemos certezas de que al estar apagado nos deje de geolocalizar solo se puede evitar apagando el smartphone o meterlo dentro de una jaula de Faraday (capas herméticas de plástico y aluminio).
Tambien puede ser que nosotros mismos expongamos nuestra ubicación por medio de mensajes a otros o grupos. Intentar ser lo menos preciso posible o establecer códigos de antemano. Otra posibilidad es que las fuerzas habiendo estudiado nuestro comportamiento puedan predecir la ruta que realizamos, cambiar de rutas sobre todo si hay mucho control.
También puede usarse en sentido inverso, al brindar la localización a alguien de nuestra organización convertimos al dispositivo en una forma de localizar a un compañero detenido.
- Tener por defecto la localización apagada y utilizarla inteligentemente. Cambiar de rutas y ser cauto con la información compartida.
- Aprender a hacer una jaula de faraday improvisada en caso de necesitarse.
__________________
¿Cuando confiar en una App?
Hay muchas galerías de softwafe, la mayoría pertenecen a una empresa (Google, Apple, Samsung, etc.). Pero las hay tambien libres, la mas conocida y recomendada es F-Droid. Y las hay tambien desconocidas y peligrosas desde páginas web. Cuando se instala o se usa por primera vez una aplicación se aceptan términos y servicios, estos suelen ser demasiado largos y confusos para quien no tiene nociones mínimas de derecho. Para este caso esta ToS DR, una aplicación que brinda los aspectos positivos, negativos y neutros de los términos y servicios de una aplicación que este almacenada en sus datos.
- Sobre si usar software privativo o libre, la política esta por sobre la filosofía. Utilizar lo que permita concretar la acción política y si es con software libre mejor aún.
- Consultar a ToS DR antes de instalar una app desconocida.
- Utiliza el software libre de F-Droid. No instales aplicaciones desde webs desconocidas.
__________________
Sistema operativo del dispositivo
Durante los últimos años la comunidad de software libre desarrolló varios sistemas operativos libres para móviles. Estos presentan mejor control del dispositivo para el usuario pero también acarrea muchos inconvenientes. Además esta tarea no es sencilla para quien no esta en el tema.
- Utilizar sistemas operativos móviles libres solo si se sabe como utilizarlos y para qué tarea en particular.
__________________
Este es mi primer intento de realizar una guía de este tipo centrada en la seguridad operativa en un escenario de estado fascista argentino, seguramente hay muchas cosas que ampliar y efectivamente se llevará a cabo. Habrá dos guías más, orientadas hacia el uso organizativo de las herramientas digitales y por último los dispositivos con respecto al resto de la digitalidad y el estado. Para estas dos guías siguientes esta primera guía será fundamental.
__________________
Cualquiera que quiera participar de estos debates e incluso elaborar documentos y política conjuntamente puede enviarme un correo a thanatos_7117@protonmail.com o un mensaje a mi Mastodon https://rebel.ar/@Chrono
Saludos camaradas. Chrono ★