ComputerNewAge

Un blog para los amantes de Linux y el Software Libre

recent posts

about

Soy un chico de Barcelona. Estoy aquí para compartir mis Hobbies e intentar aportar mi granito de arena a todos aquellos usuarios interesados en el mundo de la informática, internet y las tecnologías de la información en general.
Seguridad. OPSEC

Seguridad. OPSEC

Muy buenas lector. Esta es una de las páginas pilares dentro de la sección de seguridad. En un mundo digital e interconectado como en el que estamos, la seguridad los sistemas y el software que utilices es vital. Sin embargo, muchas veces se pasa por alto el factor humano, y esto es un grave error.

En este artículo me voy a centrar en la seguridad operacional, una disciplina que viene de mucho antes que utilizaras Internet en tu hogar.

Tabla de contenidos:

  1. OPSEC o seguridad operacional. ¿En que consiste?
  2. Ciberseguridad operativa a nivel doméstico
  3. ¿Como aplicar el OPSEC en tu vida? Las 5 fases del proceso
  4. Identifica la información a proteger
    1. Credenciales de acceso
    2. Documentos de identificación
    3. Datos de contacto
    4. Datos sobre hábitos, gustos o creencias
  5. Analiza las amenazas
  6. Analiza las vulnerabilidades
  7. Evalúa los riesgos
  8. Medidas de protección operativas
    1. Evitar dar información innecesaria
    2. Utiliza comunicaciones cifradas
    3. Aprende a compartimentar
  9. Esto continua

OPSEC o Seguridad Operacional. ¿En que Consiste?

OPSEC son las siglas de Operations Security o seguridad operacional. Se trata de una disciplina que tiene sus orígenes en la Segunda Guerra Mundial, y que tenía por objetivo principal la protección de los planes y estrategias militares contra todo tipo de amenaza interna o externa.

Nació en un contexto de comprensión de que la guerra no solo se libraba en el campo de batalla, sino también fuera de él. Así, acciones como la escucha telefónica o descifrar códigos para interceptar comunicaciones enemigas se volvieron parte de la guerra.

Unos cuantos años mas tarde, ya en el mundo digital de nuestros días, el OPSEC, en un contexto ya de ciberseguridad operacional, se extendió con fuerza en el sector corporativo, con el fin de evitar que la información sensible de una empresa caiga en manos de competidores.

Y si lo piensas bien, tiene todo el sentido del mundo, pues a día de hoy el principal activo de muchas empresas es la información, ya sea en forma de estudios, patentes, estrategia, diseño de productos, etc. Hablamos de información vital, que en manos de la competencia puede traer consecuencias desastrosas.

Como puedes ver, la seguridad operacional está presente con gran fuerza en el sector militar, y también en el sector corporativo. Sin embargo, esto no quita que también pueda ser llevada a un entorno más doméstico. Esto es precisamente en lo que me voy a centrar en este sitio.

Ciberseguridad Operativa a Nivel Doméstico

La seguridad operacional tiene siempre el mismo objetivo de fondo: evitar la actividad de un ejercito, una organización, o un individuo se vea comprometida. Y esto, en el mundo digital en el que nos encontramos, se traduce en información.

Antes he dicho que la seguridad operacional es de gran importancia en el ámbito empresarial, y sobretodo en grandes empresas, pero lo cierto es que también es, o debería ser, de gran trascendencia en tu entorno doméstico.

Todos tenemos información a proteger, ya sea de carácter, financiero, laboral, familiar, etc. Y en un mundo cada vez más interconectado y en el que la información fluye sin control, es vital tener unas nociones básicas de seguridad operacional, adaptadas al contexto de cada uno.

Aunque creas que tu información personal no es importante, probablemente tanto tu como yo nos pondríamos las manos a la cabeza de saber el jugo que le pueden sacar determinados grupos o individuos (en su beneficio y totalmente a nuestra contra).

No quiero alargarme excesivamente en ese punto, pero te dejo con este artículo para que te hagas una idea de lo que te comento.

¿Como Aplicar el OPSEC en Tu Vida? Las 5 Fases del Proceso

A diferencia de la seguridad instrumental, que pone el foco en las herramientas utilizadas, la seguridad operacional esta enfocada cien por cien en el proceso, y contempla las siguientes fases.

  1. Identifica la información a proteger.
  2. Analiza las amenazas.
  3. Analiza las vulnerabilidades.
  4. Evalúa los riesgos.
  5. Aplicar las contra-medidas apropiadas

Hacer ese ejercicio inicial, sobretodo si lo haces de forma exhaustiva, te ayudará a tomar conciencia de la enorme cantidad de información personal que manejas. Vayamos paso a paso.

Identifica la Información a Proteger

Esta es la primera fase del proceso, y consiste básicamente en identificar la información critica a proteger.

Para ayudarte en el proceso, puedes hacerte preguntas como ¿qué información tienes que podría ser útil para alguien que quisiera hacerte daño?, o ¿qué información podría comprometer tu seguridad física o la de tus seres queridos?

Obviamente, tanto la cantidad de datos, como la sensibilidad de cada uno, puede variar mucho entre personas. Un usuario random, un influencer reconocido, una persona que esta sometida a acoso, o un activista en un país poco amigable con los derechos humanos, asignaran niveles de criticidad muy distintos a cada tipología de dato.

Aún así, en mayor o menor grado, todos tenemos información sensible a proteger, por lo que un ejercicio de mínimos puede ser válido para todo el mundo. Así pues, a continuación te propongo una clasificación o modo de ejemplo, que puede servir de punto de partida para todo el mundo:

Credenciales de Acceso

Las credenciales son, por su naturaleza, los datos mas críticos, y los que nadie más que tu debería conocer, porque básicamente permiten acceso a tus cuentas personales, y poder de operar en tu nombre. Aquí es importante que tengas identificadas cada una de tus cuentas, y tener claro su nivel de criticidad. Más adelante te servirá a la hora de tomar las medidas de protección oportunas.

  • Credenciales de tu cuenta bancaria. Su criticidad es máxima porque permite acceso directo a tu cuenta. Más allá de que te puedan robar, o realizar operaciones a tu nombre (depende de las restricciones de seguridad de cada banco), el que alguien pueda entrar en tu cuenta significa que tendrá acceso a ver todos tus movimientos bancarios
  • Credenciales de tu cuenta de Email principal. Su criticidad es máxima porque permite acceso directo a tu cuenta, pudiendo leer todos tus corres, enviar correos en tu nombre, o incluso restablecer el acceso de muchas otras cuentas que tengas asociadas a ese correo. No hay que perder de vista que normalmente nuestro correo principal es un hub de toda nuestra actividad online.
  • Credenciales en redes sociales. Su criticidad, aun siendo muy alta, generalmente seria algo menor, puesto con tu correo deberías poder ser capaz de restablecer el acceso en caso de pérdida o robo. Aún así, debes evaluar el impacto que tendría que alguien consiguiera robarte el acceso, aunque fuera de forma temporal.

Documentos de Identificación

Estos son datos que, aunque son de carácter publico, y su mero conocimiento por parte de terceras personas no implica que, de entrada, puedan operar en tu nombre, si que son muy importantes por dos motivos: porqué sirven para identificarte de forma univoca, y suelen ser permanentes en el tiempo (generalmente, tanto tu nombre como tu numero de DNI te van a acompañar siempre). Por este motivo, su criticidad es alta, pero mucho menor que en el caso de las credenciales.

  • Pasaporte, NIF, DNI. Este es el mas critico de todos los documentos de identificación. Aquí englobo a todos aquellos documentos que sirven para identificarte a nivel legal tanto en tu propio país de residencia (en España sería en DNI) como en el exterior (el pasaporte). Aunque, como he dicho, es un dato público, si que podría servir, en algunos casos, para una suplantación de identidad, por lo solo deberías divulgarlo ante las autoridades, o en casos en los que sea estrictamente necesario.
  • Nombre completo. Su criticidad es menor que en el caso anterior. Aunque su mero conocimiento por parte de terceras persona no debería implicar ningún riesgo, si que es un dato que, en según que casos (nombres y apellidos poco comunes), puede identificarte de forma bastante univoca. Así pues, aunque si que es necesario, e incluso conveniente, que lo expongas en tus perfiles profesionales, no te diría que lo vayas difundiendo en cualquier foro.

Datos de Contacto Personales

Estos son datos de carácter publico como los anteriores, pero que no están pensados para identificarte a nivel legal o fiscal, sino más bien para que, alguien que los conozca y sepa que pertenecen a ti. A diferencia de los anteriores, no van asociados a tu persona de forma tan directa, y pueden ir cambiando con el tiempo.

  • Dirección Postal. La dirección postal es un dato muy controvertido, puesto que su nivel de criticidad puede variar enormemente en función de tu contexto personal. Por un lado, se trata de un dato que suelen conocer muchas personas de tu entorno, y en la mayoría de las situaciones no entraña un mayor riesgo. Por otro lado, es un dato con el que te va tu seguridad física, por lo que en malas manos, y en un contexto poco propicio (situaciones de acoso, riesgo de robo, etc.) puede ponerte en un serio problema. Debes evaluar muy bien la situación en la que te encuentras, y ser especialmente precavido a la hora de compartirla con terceras personas.
  • Teléfono. El número de teléfono es uno de los canales más directos que la gente tiene para acceder a ti.
  • Email.

Información sobre Hábitos, Gustos o Creencias

Como te he indicado antes, esto es un pequeño ejercicio de ejemplo cubrir lo general, lo que aplicaría a una persona con una vida de lo más normal, pero lo interesante aquí es que tu mismo seas capaz de pintar el paisaje que encaje más en tu contexto particular.

Analiza las Amenazas

En esta fase se trata de que identifiques cuales son las posibles amenazas a las que te enfrentas. Aunque no todas las amenazas son fruto de la acción de un enemigo, cuando se contempla esta fase generalmente se hace en clave adversarial (no olvidemos que OPSEC tiene sus orígenes en el ámbito militar).

Para ayudarte a identificarlos, puedes hacerte preguntas como qué individuos o grupos pueden tener interés en aprovecharse de ti, qué capacidades tienen y qué cantidad de energía y recursos estarían dispuestos a emplear en ti.

Aquí también es importante distingas ente dos tipos de adversarios: aquellos que son comunes a todos nosotros, por el simple hecho de movernos por el mundo y tener algo que pueda interesar a otras personas (dinero, bienes, propiedades, etc.), y aquellos que son propios de tu situación personal (un competidor en el trabajo, tu empleador, tu ex-pareja, etc.).

Por lo general, los adversarios del primer grupo suelen tener muchos mas recursos y capacidades, ya que podemos hablar de grupos cibercriminales, ladrones profesionales o grandes corporaciones. Por contra, no suelen tener un interés particular en ti, más allá del que puedan tener por tu vecino.

Los del segundo grupo, sin embargo, a pesar de que su nivel de capacidades sea infinitamente menor, pueden llegar a ser mucho más peligrosos, justamente porqué su interés en ti puede llevarlos a mover mucha más energía y dedicación.

Analiza las Vulnerabilidades

En esta fase debes centrarte en tus vulnerabilidades. Por ello, debes analizar que debilidades pueden tener los sistemas que utilizas y las plataformas con las que operas, y que son susceptibles de ser explotados, en mayor o menor medida, por los adversarios que has identificado en la fase anterior.

Identificar las vulnerabilidades te permitirá tener una idea mucho más precisa del riesgo real al que estás expuesto, a la vez que te dirá donde debes poner el foco a la hora de diseñar tus sistemas de protección. Es imposible que puedas protegerte de forma efectiva si no sabes de antemano en que puntos eres vulnerable.

Evalúa los Riesgos

Aquí se trata de evaluar las probabilidades de que las vulnerabilidades que has analizado en el caso anterior puedan ser explotadas por alguno de tus adversarios, y el impacto que esto tendría en ti.

Aquí debes tener muy presente todos, absolutamente todos, corremos el riesgo de que nuestros datos sean filtrados, de que nos estafen, o que nos suplanten la identidad. Lo que al final impera siempre es la relación entre coste-beneficio, desde el punto de vista del adversario.

Por esto mismo, es muy importante que seas capaz de estimar el grado de dificultad con el que se encontraría un atacante a la hora de hacerse con tu información, y el beneficio que le supondría. Si el beneficio que pueda sacar es pobre, posiblemente no le valga la pena, aunque tenga los recursos para hacerlo.

Medidas de Protección Operativas

Estas medidas incluyen evaluar la necesidad real de compartir información, limitar la cantidad de personas involucradas en un proyecto y asignar roles específicos para controlar acceso. El objetivo final de estas políticas es garantizar que solo aquellos que realmente lo necesitan tengan acceso a datos sensibles.

Para implementar una buena práctica de Seguridad Operacional a nivel individual, es importante considerar dos áreas principales: comunicación y contenido.

1. Evitar dar Información Innecesaria

La primera medida de protección es quizá la mas obvia de todas, y tiene que ver con la propia información en sí. Se trata de aplicar el principio de dar la mínima información imprescindible, a las personas imprescindibles, y en las situaciones en las que se haga estrictamente necesaria.

Esto aplica a todos los contextos de tu vida. Desde cuando editas tu perfil en cualquier cuenta o red social que tengas, contestes un correo, una llamada telefónica, rellenes un formulario, hasta cuando hables con otras personas, sea a través del canal que sea (online, por teléfono o físicamente).

A día de hoy hay muchas alternativas para poder comunicarte con la gente sin necesidad de dar demasiados datos. Telegram, por ejemplo, te permite habar con cualquiera, sin necesidad de compartir números de teléfono.

De nada sirven otras medidas que puedas aplicar para proteger tu información más valiosa, si eres el primero que la va desvelando a la mínima, o con la ayuda de un poco de ingeniería social. Con todo, este es el punto en el que, a menudo, prestamos menos atención, y nunca acabamos aplicando de forma correcta.

2. Utiliza Comunicaciones Cifradas

La segunda medida tiene que ver en como transmites la información. La idea es que la información llegue a su destinatario, sin que por el camino se haya filtrado a más gente. Eso es para lo que está el cifrado.

Afortunadamente, el cifrado de extremo a extremo está hoy muy extendido, sobretodo en el lado de la mensajería instantánea. WhatsApp, Signal, o Telegram (en esta última creo que solo para chats secretos), utilizan cifrado de extremo a extremo, por lo que seguir esta recomendación no solo no te va a suponer un gran esfuerzo, sino que es la opción más cómoda. Huye del SMS para tus comunicaciones.

A la hora de navegar por Internet, la mayoría de páginas también funcionan mediante el protocolo HTTPS, por lo que aquí tampoco vas a tener mucho problema. Evita, sobretodo, tener que rellenar formularios o enviar información, a través de páginas que no vaya por HTTPS.

3. Aprende a Compartimentar

Esta es otra medida clave para la seguridad operacional. Se trata simplemente separar tus diferentes perfiles o actividades, de forma que un potencial problema en uno de ellos no afecte al resto. Esto lo puedes aplicar a muchos niveles, pero lo más común es aplicarlo a nivel de perfiles y cuentas online, y a nivel de sistemas y dispositivos.

A nivel de cuentas, no utilices el mismo Email para todo. Puedes mantener una cuenta de correo principal para lo más importante (cuenta bancaria, redes sociales y poco más), y otro para todo lo demás (foros, etc.). No mezcles tus cuentas profesionales con las personales.

A nivel de dispositivos y sistemas es un poco lo mismo. Si no quieres liarte en exceso con esto, puedes empezar con lo más básico, que seria separar entre lo personal, lo profesional, y otras actividades concretas como operar con la banca online (para lo cual puedes utilizar un LiveCD o LiveUSB, o bien instalar Linux directamente en una memoria USB, y utilizarla como sistema adicional al conectarla a tu PC principal y arrancar con ella).

Esto Continua

Como indico al principio, esta pagina forma parte de la serie de introducción a la seguridad, en un contexto de usuario doméstico, y que sirve de punto de partida para todo el contenido relacionado con la seguridad que hay y habrá en el blog. A continuación iré enlazando el resto de paginas, a medida que las vaya teniendo preparadas.

  1. Seguridad operacional u OPSEC
  2. Seguridad en GNU/Linux
  3. Seguridad en la autenticación

Espero que lo disfrutes:)