este es el codigo:

Consejos de seguridad digital relacionados la Plataforma de Alertadores de la SFP

2019-07-29

Recientemente (25 de julio 2019) la Secretaría de la Función Pública del Gobierno de México (SFP) presentó la Plataforma Tecnológica de Alertadores, para filtrar infomación y dar seguimiento a alertas sobre casos de corrupción y abusos (whistleblowing) https://alertadores.funcionpublica.gob.mx/ 

Desde SocialTIC, buscamos aclarar algunas dudas frecuentes y facilitar acciones de cuidados digitales para quienes usan y gestionan estos sistemas de alerta o buzones, con el fin de proteger a las personas informantes o whistleblowers.

1. Primero lo primero: Buzón de alertas. ¿Qué es?

Un Buzón de alertas es la herramienta que utiliza una persona informante (whistleblower) para enviar la información que desea compartir. La información que se transmite, al ser relativa a temas de corrupción, abusos de poder y violaciones a Derechos Humanos -en el caso de la Plataforma de la SFP, los cometidos por funcionarios públicos federales - requiere de un medio seguro para ser transmitida, por lo que es relevante que se respete la privacidad y el anonimato de la persona alertadora en todo momento.

La finalidad de un buzón es que exista un medio de comunicación seguro y anónimo para enviar información y darle seguimiento en caso de ser necesario.

Para un buzón de alertas se pueden usar diferentes herramientas y metodologías, el actual proyecto de la SFP se basa en el software GlobaLeaks, que es desarrollado por el HERMES Center for Transparency and Digital Human Rights.


Foto: https://www.globaleaks.org/

2. ¿Y por qué GlobaLeaks?

GlobaLeaks es una herramienta libre y de código abierto (Free and Open Source Software), entre sus principales características está que destaca la transparencia en su funcionamiento y la facilidad para instalarlo y ejecutarlo.

Esta herramienta ha sido diseñada con enfoques de seguridad, privacidad, anonimato, así como facilidad de uso, por lo que se ha consolidado como una herramienta confiable en esos temas, ya que al ser libre y de código abierto sabemos que es auditable desde estos enfoques.

3. ¿Y cómo puedo utilizar un buzón hecho en GlobaLeaks?

Para utilizar un buzón hecho con el software de GlobaLeaks basta con acceder al sitio web provisto para el buzón. Generalmente existen dos enlaces de acceso, uno para HTTPS y otro para la red TOR.

El enlace de HTTPS se puede utilizar con cualquier navegador web, como cualquier sitio actual, mientras que el enlace TOR requiere utilizar el navegador TOR (https://www.torproject.org/download/).

Enlaces al buzón de la SFP

4. ¡Pausa! ¿Sabes la diferencia entre HTTPS y TOR? Te lo decimos brevemente:

Una conexión a una página mediante HTTPS es la que realiza tu navegador web a un sitio y lo hace de manera cifrada, la información viaja de tu equipo al sitio y de regreso de manera segura; sin embargo el sitio puede saber información de ti, como el lugar geográfico aproximado desde donde te conectas (gracias a tu IP), el navegador web que utilizas (Firefox, Chrome, Opera, etc) o el sistema operativo que utilizas (Windows, Mac OS, GNU/Linux).

Es decir que, aunque la información viaja cifrada y segura por Internet, al llegar al sitio puede todavía entregar información sobre ti, y si el sitio quiere preguntarle más cosas a tu navegador y saber más datos de ti puede hacerlo, claro eso depende del sitio y no todos los sitios son respetuosos.

Aquí es donde el navegador TOR entra en acción, ya que TOR modifica toda esa información que queda expuesta, añadiendo capas de cifrado extra (digamos que blinda la información en el viaje), no expone tu ubicación geográfica, entrega una información distinta sobre tu navegador y tu sistema operativo, y rechaza (en lo posible) las peticiones de información extra que le sean solicitadas, todo esto para que tu navegación sea privada y lo más anónima posible.

Si quieres entender mejor el funcionamiento de la red TOR y el navegador TOR puedes leer los siguientes textos:
- Toríficate
- Red Tor, cómo funciona y se usa

5. ¿Existe algún riesgo al acceder a estos sitios?

Como en toda la navegación por Internet, existe el riesgo de que alguien pueda observar tu actividad en línea mediante ciertos mecanismos. Si alguien se encuentra monitoreando tu red, digamos un WiFi público o una red de oficina, podrá observar que estás accediendo a estos sitios y deducir que tienes interés en el tema o que estás realizando actividad de cierto tipo.

Para evitar esto se recomienda que cifres tus conexiones a Internet, esto se hace usando el navegador TOR o una VPN.

6. ¿Cuál de los dos enlaces es más seguro?

Ambos son seguros por cifrar tu navegación en internet, PERO el enlace Tor (junto al navegador Tor) ofrece una capa de anonimato y privacidad extra que HTTPS por sí solo no tiene, por lo cual te recomendamos que optes por la vía Tor.

7. Si prefiero utilizar HTTPS, ¿cómo puedo incrementar la seguridad?

Una opción es utilizar una VPN. Con una VPN activa puedes visitar el sitio HTTPS y cifrar la conexión de tal modo que el acceso al sitio no es visible si alguien está monitoreando tu Internet y puedes cambiar tu ubicación geográfica.

8. ¡Pausa! ¿Sabes que es una VPN? Te lo decimos brevemente:

Una VPN (Virtual Private Network) es un programa que permite crear un túnel cifrado entre tu computadora y un lugar específico de Internet. La información que viaja por una VPN está “blindada” desde nuestro equipo hasta el final del túnel, el nodo del servicio de VPN que envía la información al resto de Internet desde su infraestructura.

Generalmente podemos elegir dónde estará el final del túnel (¡sí! ¡geográficamente!), por lo cual al servir este como un intermediario, los sitios creerán que nos encontramos en el lugar donde se encuentra el final del túnel, logrando así evadir bloqueos regionales o aparentar una ubicación distinta a la real.

Si quieres entender mejor el funcionamiento de una VPN puedes leer el siguiente texto:

- Qué es una conexión VPN, para qué sirve y qué ventajas tiene
- Acciones y herramientas para evadir la censura y bloqueos en Internet 

9. ¿Y si no uso una VPN?

En caso de que no se use una VPN pero quieras cifrar tu conexión puedes optar por el navegador TOR, como puedes ver, las opciones se limitan un poco a estas dos (VPN y TOR), por lo cual insistimos en que utilices la vía TOR.

10. ¿Existe algún riesgo al utilizar la VPN o el navegador TOR? ¿Es ilegal?

Dependiendo del país las regulaciones sobre estas tecnologías varían, existen países donde sí es ilegal, en el caso de México no lo es.

Al utilizar el navegador TOR o una VPN estás cifrando tu conexión a Internet, por lo que si alguien monitorea la actividad de la red desde donde te estas conectando podrá ver que hay actividad inusual y esto podría levantar sospechas o ponerte en un riesgo. Para evitar esto te recomendamos que accedas desde una red cuyo tráfico no sea monitoreado, tales como lugares fuera de la oficina y que no estén asociados a tu trabajo, tu persona o a la información que deseas compartir.

11. ¿Puedo dañar mi equipo si utilizo el navegador TOR o una VPN?

No, tu equipo no sufre ningún daño ni corre ningún riesgo, aún así, como en la pregunta anterior, te recomendamos utilizar un equipo que no te exponga asociándose a tu persona.

Para esto puedes utilizar un equipo que no sea tuyo en el cual solamente envíes la alerta, no guardes información ahí, puedes tenerla en una USB o medio extraíble. O puedes utilizar el sistema operativo TAILS (https://tails.boum.org/), el cual está pensado para utilizarse en una computadora y no dejar rastro de tu actividad en ella y que de paso ya trae el navegador TOR. Esto requiere ver algunos tutoriales extra pero es altamente recomendable.

12.¿Qué pasa una vez que envió una alerta e información al buzón de la SFP?

Recuerda que el buzón es solo un medio de comunicación entre quien alerta y quiénes administran el buzón o tienen control sobre la plataforma. Toda información que envíes será observada por quién gestiona el buzón y se debe regir de acuerdo a sus políticas de confidencialidad y protección a personas alertadoras.

Otra recomendación, es eliminar datos o metadatos de archivos o información que no sean fundamentales para la alerta y te puedan identificar o exponer directa o indirectamente.

13. ¡Pausa! ¿Sabes qué son los metadatos? Te lo decimos brevemente:

Los metadatos son la información extra que contienen los archivos, como su fecha de creación, fecha de última modificación, programa en que se creó, quién lo creó, y en algunos casos ubicaciones geográficas como puede ser en fotos, audio o video, solo por mencionar algunos.

Si quieres entender mejor el qué son los metadatos puedes consultar el siguiente texto y video:
- Qué son los metadatos de un archivo
- Video: qué son los metadatos

La información y archivos se deben anonimizar antes de hacer el envío (por ejemplo: quitar los metadatos de un archivo o de una imagen para no exponer datos y rastros de quien emite la alerta) pues la plataforma de alerta solo asegura tu anonimato al momento de conectarse y enviar el contenido de la alerta.

Desde una perspectiva institucional, la institución que recibe una alerta, así como cualquier sistema de alertas o buzones debe tener medidas integrales de protección a denunciantes, algo que se exige en este comunicado a la SFP.

14. ¿Qué otras consideraciones debo tener?

Hemos hablado principalmente de elementos digitales, sin embargo dependiendo del contexto de la información o de la alerta debes tener otras consideraciones.

Te recomendamos que revises la Guía de seguridad de MexicoLeaks, otro buzón de alertas gestionado por organizaciones de la sociedad civil y medios de comunicación, y la Guía de autoprotección de alertadores de la SFP.

En resumen

HTTPS VPN Navegador Tor
¿La información viaja cifrada? Si Si Si
¿La información acerca de mi navegador o de mi equipo queda expuesta al sitio que visito? Si Si No
¿Mi ubicación geográfica queda expuesta al sitio que visito? Si No No
Si alguien observa mi wifi o datos móviles ¿puede saber que estoy conectado al sitio? Si No, pero levanta sospechas No, pero levanta sospechas
¿La información que envío se anonimiza? (es decir, elimina información que te identifique)? No No No

 

  • En resumen:
    - HTTPS: cifra tu navegación desde y hacia tu equipo a un sitio web
    - VPN: toda tu información viaja en un túnel cifrado y te ayuda a originar un lugar de conexión distinto
    - Tor: añade capas de anonimato a tu navegación e identidad
  • El buzón de alertas solo es un medio para enviar alertas sin revelar tu identidad.
  • De preferencia conéctate al buzón mediante el navegador TOR o una VPN.
  • Anonimiza la información antes de enviarla.
  • No utilices equipos ni redes que te expongan.
  • Si puedes utilizar un sistema operativo como TAILS, hazlo.
  • Haz un análisis de riesgos que te permita tomar las medidas y precauciones necesarias en función de la información que deseas compartir y lo que esto implica.

¿Tienes alguna duda? ¡Cuéntanos!

Comentarios

Suscríbete al Boletín de SocialTICSeguridad digital, datos e infoactivismo