Escucho el eco de mis palabras en las reuniones” dijo. Es un alto ejecutivo en una empresa que factura más de 15 millones al año. Es el único que maneja información confidencial de altísimo nivel y el único que cierra los contratos y alianzas con otras compañías y colaboradores. Sospecha que está siendo monitorizado porque muchas de las palabras que verbaliza a través de conversaciones o correos electrónicos, se ponen de manifiesto por otros asistentes a reuniones posteriores. Aún no sabe evaluar si ha perdido negocio o está formando parte de algún tipo de estrategia por parte de la competencia. Preguntamos a los gerentes / propietarios acerca de las herramientas de que dispone el ejecutivo en su día a día: un ordenador que queda en la oficina, un móvil de la empresa y una “Surface” que maneja desde casa. No hay conexión VPN para trabajar desde casa y desconocen si tanto móvil como el dispositivo Surface es utilizado por otras personas.

Risk Management

En resumen: la empresa desconoce el nivel de riesgo al que pueda estar sometida la información de la Compañía.

Si bien, hay mucha resistencia a hacer planes de prevención de delitos o Compliance Programs, justificado por la empresa por el entorpecimiento que produce en la agilidad del día a día, también es cierto que genera mucha mayor disciplina y orden en el funcionamiento interno, sobre todo en el manejo de la información, y puede llevar a la exención de responsabilidades penales y civiles de la propia Compañía.

Preservándonos de las miradas ajenas

PPTP

VPN– Red Privada Virtual, sobre la red principal del usuario, conectada a través de un servidor intermedio y generando un túnel a través del cual se intercambiarán archivos y otros recursos de forma cifrada y anónima. Ventajas:

(1) Conexión segura a una red remota.

(2) Conexión entre múltiples redes.

(3) Mantiene la privacidad aún cuando se utilice Wi-Fi pública.

(4) Elude el geoblocking (geolocalización).

TAILSsistema operativo live, (almacenado en una memoria externa y ejecutable directamente en un ordenador) que se ha desarrollado para poder realizar conexión a Internet a través de TOR. Si hubiera alguna aplicación que quisiera conectarse a la Red directamente de forma automática, ésta sería bloqueada. Ventajas:

  • Uso anónimo de Internet y posibilidad de eludir censuras
  • Cualquier conexión es forzada para ir a través de la red Tor.
  • No deja rastro en el ordenador que se está instrumentalizando a menos que se pida de forma expresa.
  • Utiliza herramientas de cifrado de archivos, e-mails y mensajería instantánea.

Son ventajas de la navegación anónima: la eliminación automática de cookies, contraseñas y otros datos locales de la sesión, permaneciendo únicamente los datos de navegación que hayan sido almacenados en “favoritos”. Nadie que acceda a nuestros equipos con posterioridad podrá saber los contenidos que hemos consultado. Otra de las ventajas es la posibilidad de abrir cuentas de correo electrónico con perfiles diferentes perfiles, la búsqueda objetiva en Internet y las ventajas económicas en determinadas webs por el no-almacenamiento de las cookies en el sistema.

Ante la duda de si navegar a través de un sistema de VPN o a través de TOR, e incluso con la combinación de ambas, muchos opinan que la suma de ambas a la vez es innecesaria ya que efectúan funciones similares, aunque es innegable que la anonimización aumenta con el uso de ambas. A efectos de investigación en un proceso judicial, cabe recordar que, prácticamente todos los proveedores de servicios de VPN, guardan / almacenan los registros de actividad, por lo que, un aorden judicial podría obligar a la aportación de la actividad del usuario. En cuanto a la anonimización de la navegación, habrá que considerar también la configuración del navegador a tal fin, es decir, que no envíe los datos del usuario al servidor de destino. Hay que tener en cuenta también que uno de los métodos utilizados para la localización de usuarios que navegan a través de TOR es la inyección en el navegador de código javascript o flash que delatará la verdadera IP del usuario. (Vid. “Uncovering Tor users: where anonymity ends in the Darknet”

Para dispositivos Android

Orfox – Orbot

Orbot – es una aplicación descargable desde Google Play que conecta la navegación a TOR. Si abrimos cualquier aplicación, saldrá a través de Internet, fuera de Orbot. Para navegar a través de Tor es necesario que las aplicaciones salgan a través de Tor o, a través de Orbot que dirigirá el tráfico de las aplicaciones a través de dicha red.

Orfox – Es el navegador a disposición de los usuarios de Android a propuesta de “The Tor Project”. Una vez instalado en el dispositivo se puede navegar a través de él. Si no se conecta a la navegación segura a través de la aplicación Orbot, el navegador hará por sí mismo la conexión.

Para dispositivos iOS

Onion Browser –  Son ventajas en el uso: impedir que las páginas web conozcan nuestra dirección IP, impedir que operadores o usuarios conectados a la misma red inalámbrica insegura que nosotros, conozca lo que estamos visitando; visitar dominios .onion y saltarse los bloqueos y censuras geográficas de la red.

*** Errores en la navegación: que el usuario se loguee en sus perfiles de redes sociales y visitar aquellas páginas web que tienen sus plugins activados.

Otras medidas a implantar en los dispositivos de la empresa

  1. Aplicaciones anti-spyware
  2. Restaurar a fábrica el dispositivo en caso de duda
  3. No prestar el teléfono o dispositivos a terceros, aunque sean de confianza
  4. Evitar instalar, en los dispositivos de la empresa, aplicaciones de origen desconocido y de índole privado.
  5. Revisiones periódicas de seguridad.
  6. Evitar el uso de redes wi-fi abiertas – Básico
  7. Usar el “modo avión” para dejar de transmitir localizaciones.

Las medidas de seguridad de la información de tu empresa empiezan por aplicar hábitos acerca del uso de los dispositivos y la información que con ellos se transmite.

Fuentes consultadas:

[1] Anonimato en Internet: qué es mejor VPN o TOR?”

[2] Kit de supervivencia en la Deep Web

[3] Cómo conectarse a TOR desde Android.