Desviación estándar

Modelos de amenaza y privacidad

En esta nueva economia de los datos en la cual somos cada vez más el producto es importante mantener y ser conscientes de una buena privacidad para eludir la híper personalización, y así evitar contribuir a problemas como la polarización, discriminación y desinformación en linea. Con lo anterior entonces surge la pregunta, ¿cómo inicio?, para ello nos podemos basar en los procesos OPSEC del inglés Operations Security.

Seguridad Operacional

Opsec es un proceso en el cual se puede negar a los potenciales adversarios información al identificar, controlar y proteger evidencia de nuestras actividades The National Counterintelligence and Security Center . Este proceso cuenta con cinco pasos:

  1. Identificar la información a proteger.
  2. Analizar las amenazas.
  3. Analizar las vulnerabilidades.
  4. Evaluar riesgos.
  5. Aplicar contramedidas.

Al entendimiento y aplicación del proceso OPSEC tambien se le llama modelo de amenaza donde las principales preguntas son: ¿Quién es tu adversario? y ¿qué necesitas proteger?

Durante mucho tiempo he visto en foros o comunidades saltarse este paso crucial e inicial a la hora de querer proteger su privacidad en linea. Un error muy común es iniciar con el último paso y aplicar las contramedidas directamente.

El error de aplicar únicamente las contramedidas

No todos somos periodistas, activistas o denunciantes de megacorporaciones, por tanto no todos requerimos de un alto nivel de seguridad. Las contramedidas surgen a partir del analisis de los cuatro pasos anteriores y por tanto es única para cada persona. Con lo anterior entonces decimos que no existen guías mágicas con mejores practicas cuando se trata de proteger tu privacidad. El enfoque que solo toma en cuenta las contramedidas puede llevar a la paranoia al no saber limitar que quieres proteger.

Relación seguridad - conveniencia

Siempre vale la pena recordar estas preguntas ¿la seguridad es mayor que la conveniencia?, ¿los riesgos superan los beneficios?, ¿realmente soy un objetivo especifico de una megacorporación o gobierno? La relación entre seguridad y conveniencia es inversamente proporcional. Entre mayor seguridad en un sistema es menos conveniente por lo que es válido preguntarse si el gasto de tiempo y esfuerzo que podría aplicarse a otros asuntos en nuestras vidas vale la pena.

La relación entre la seguridad y conveniencia muestra que entre más grande sea uno, más pequeño será el otro.

Ejemplo de modelo de amenaza

Empecemos con un ejemplo sencillo y básico sobre como seguir el proceso OPSEC.

  1. ¿Qué quiero proteger? Este ejemplo se basará en querer proteger las contraseñas de mis redes sociales.

  2. ¿Cuáles son las amenazas? Que alguien pueda tener acceso a mis perfiles y acosarme teniendo toda mi información privada como mensajes e intereses.

  3. ¿Cuáles son las vulnerabilidades? Aquí enlistamos las posibles vulnerabilidades posibles y eliminamos las poco probables, por ejemplo:

    1. Alguien esta interceptando mi conexión WiFi ya que no uso una conexión segura (HTTPS).
    2. Tener instalada una aplicación que monitorice la entrada del teclado y la envie a un agente remoto.
    3. Estar en algún lugar cerrado y que alguien puede verme ingresar mi contraseña y guardarla.
    4. El portal donde ingreso las credenciales no es el oficial.
    5. Tener una contraseña débil haciendola fácil de adivinar.

    Entonces dejamos las más probables resultando

    1. El portal donde ingreso las credenciales no es el oficial.
    2. Tener una contraseña débil haciendola fácil de adivinar.
    3. Estar en algun lugar cerrado y que alguien puede verme ingresar mi contraseña y guardarla.
  4. ¿Cuáles son los riesgos? Conociendo lo anterior podemos preguntarnos sobre nuestros riesgos realistas

    1. ¿Tengo realmente información que me pueda comprometer?
    2. ¿Cuánto me afectará que se filtre la información que tengo?
    3. ¿Qué tan conveniente es eliminar la cuenta y hacer otra en caso de robo?
  5. ¿Cuáles son las contramedidas? Pesando los riesgos y amenazas y concluyendo que hay un riesgo real que pueda afectarte sólo falta crear contramedidas para las vulnerabilidades encontradas en tu modelo. Estas fueron las del ejemplo

    1. El portal donde ingreso las credenciales no es el oficial.
    2. Tener una contraseña débil haciendola fácil de adivinar.
    3. Estar en algun lugar cerrado y que alguien puede verme ingresar mi contraseña y guardarla.

    En este caso la contramedida más sencilla es instalar un gestor de contraseñas.

Conclusión

Un modelo de amenaza es un proceso que nos ayudan a establecer límites a las contramedidas que aplicamos para mantener nuestra privacidad. Son de suma importancia ya que nos permiten mantener enfoques realistas y evitar la paranoia de las mejores practicas poniendo en una balanza el costo - beneficio de las mismas y mejorando nuestras salud mental en el proceso.

Material relacionado:

#ciberseguridad #modelo de amenaza #privacidad