¿Cómo funciona Security in a Box?
Tabla de contenido
... Cargando Tabla de Contenido...¿Cómo funciona Security in a Box?
Security in a Box es un recurso gratuito y de código abierto alojado en Gitlab.com.
Security in a Box se actualiza constantemente gracias a las aportes del equipo de protección digital de Front Line Defenders, así como a contribuciones externas. Todas las actualizaciones y cambios son coordinados por el Editor de Protección Digital de Front Line Defenders.
Todo el contenido incluido en Security in a Box se selecciona con precisión en función de los siguientes criterios.
Cómo desarrollamos las estrategias de protección que recomendamos
Security in a Box es un recurso que incluye muchas estrategias de protección digital. Navegando por este sitio web, encontrarás recomendaciones sobre cómo crear y gestionar contraseñas seguras y sobre cómo proteger tus cuentas, comunicaciones, dispositivos, conexión a internet e información sensible.
Todas estas estrategias se centran en la protección de recursos digitales, pero se desarrollan de forma holística: aunque en lo que queremos ayudarte a proteger sea digital, sabemos que la protección siempre abarca diferentes ámbitos, incluido el contexto legal y psicosocial, así como la necesidad de contemplar el plano físico. Para más información sobre lo que implica un enfoque holístico de la protección, recomendamos leer sobre el enfoque holístico en el Manual de seguridad holística.
El objetivo principal de Security in a Box es ayudar a una comunidad mundial de personas defensoras de los derechos humanos cuyo trabajo les pone en riesgo. En general, consideramos que este recurso está dirigido a ayudar no sólo a quienes trabajan en defensa de los derechos humanos, sino también a otras personas en riesgo de sufrir ataques digitales, por ejemplo activistas, periodistas y personas de la sociedad civil, así como mujeres y personas LGBTQIA+ que corren el riesgo de sufrir violencia en línea por motivos de género.
Una parte fundamental de nuestro enfoque es permitir a quienes nos lean evaluar los riesgos a los que se enfrentan y definir sus propias necesidades. Nuestro objetivo es no hacer daño a las personas defensoras de los derechos humanos, sus familias y comunidades, así como a otras personas lectoras de SiaB. También reconocemos que escuchar con empatía a las personas defensoras de los derechos humanos y a quienes puedan estar riesgo de violencia digital y comprender las situaciones en las que se encuentran es clave para proporcionar un apoyo de protección eficaz. Por ello, las estrategias descritas en SiaB se desarrollan con un enfoque que pretende empoderar a quienes nos lean y se basan en las necesidades y objetivos reales de las personas que nos leen, basándonos en la Visión, Misión y Valores Fundamentales de Front Line Defenders.
Cómo elegimos las herramientas y servicios que recomendamos
El software es complejo, y no todos son iguales en cuanto a sus propiedades de protección de seguridad y privacidad. Diferentes herramientas y servicios pueden considerarse más o menos efectivas según la jurisdicción en la que te encuentres, sus leyes y los adversarios a los que puedas enfrentarte.
Tenemos en cuenta varios factores al seleccionar herramientas y servicios para recomendar en Security in a Box. Cada factor es importante. Debido a que diferentes regiones tienen diferentes requisitos legales para la tecnología y enfrentan diferentes amenazas, es difícil clasificar la importancia de cada factor a nivel global.
A continuación, enumeramos lo que consideramos las preguntas más importantes que formulamos cuando consideramos qué herramientas y servicios recomendar. Tú puedes utilizar estos criterios cuando necesites evaluar la seguridad relativa de herramientas que no mencionamos.
¿Se puede confiar en las personas que desarrollan esta herramienta u operan este servicio?
- ¿Cuál es la historia del desarrollo y quienes poseen la propiedad de la herramienta o el servicio? ¿Ha sido creada por activistas o por una empresa? ¿Tiene este grupo una cara pública y cuáles son sus antecedentes?
- ¿Cuál es la misión y el modelo de negocios de la entidad que desarrolla u opera esta herramienta o servicio?
- ¿Ha habido retos de seguridad, por ejemplo, filtraciones de datos o solicitudes de información por parte de las autoridades estatales? ¿Cómo ha reaccionado el proveedor de servicios o los desarrolladores de herramientas ante estos retos? ¿Han abordado abiertamente los problemas o han intentado ocultarlos?
¿La herramienta cifra los datos? ¿Con qué tipo de tecnología de cifrado?
- ¿La herramienta cifra la conexión entre quien envía y las personas con las que se comunica (cifrado de extremo a extremo), imposibilitando que los proveedores de servicios accedan a su información?
- Si no se dispone de cifrado de extremo a extremo, damos prioridad a las herramientas que cifran los datos entre el dispositivo de la persona y la infraestructura del servicio (cifrado to-server). En estos casos, siempre recordamos a quienes nos leen que si los datos no están cifrados en los servidores, tienen que confiar en las personas que gestionan este servicio, ya que tienen un potencial libre acceso a la información que han almacenado allí.
- ¿Las configuraciones predeterminadas protegen la privacidad y seguridad de las personas usuarias?
- Si no se dispone de cifrado de extremo a extremo, ¿permite la tecnología a las personas usuarias alojar el servicio en su propia infraestructura, de modo que puedan controlar quién puede acceder a sus datos?
¿El código está disponible para su inspección?
- En otras palabras, ¿es de código abierto?
- ¿La herramienta o servicio ha sido auditado por personas expertas en seguridad independientes del proyecto de desarrollo de software o de la empresa proveedora del servicio?
- ¿Cuándo se realizó la última auditoría? ¿Se prevén auditorías periódicas?
- ¿La auditoría ha incluido todas las partes de la herramienta o servicio, o sólo algunas de sus partes? Si se trata de un servicio, ¿se ha auditado la infraestructura del servidor o sólo la interfaz de usuario?
- ¿Qué opinan los expertos independientes sobre la herramienta o servicio?
¿Es una tecnología madura?
- ¿Cuánto tiempo ha estado en funcionamiento esta tecnología? ¿Ha resistido el paso del tiempo?
- ¿Tiene una gran comunidad de personas que trabajan en su desarrollo que siguen trabajando activamente en su desarrollo?
- ¿Cuántas personas utilizan activamente la herramienta?
¿Dónde están ubicados los servidores?
- Esta puede ser una pregunta difícil de responder, con cada vez más servicios en la nube, pero quienes desarrollan y proveen de servicios confiables tienden a publicar esta información en sus sitios web o a ponerla a disposición a través de intermediarios de confianza.
- Además sacar conclusiones de esta información puede resultarnos complicado, ya que los servidores pueden estar ubicados en un país que proteja a las personas que defienden los derechos humanos y a otros miembros de la sociedad civil en algunos Estados, pero no en otros.
- En general, nos preguntamos si los servidores están ubicados en un país que atendería una petición de las autoridades de países en los que no existe un Estado de Derecho, y si ese país hace respetar los derechos humanos y la protección de quienes los utilizan. En pocas palabras, la pregunta es: ¿tienen las autoridades de países no democráticos derecho legal a confiscar datos o acceder a información o cerrar estos servicios por el lugar donde están ubicados los servidores?
¿Qué información personal exige de las personas usuarias? ¿A qué tiene acceso la persona propietaria/operadora?
- ¿Pide la herramienta o servicio a las personas usuarias que faciliten su número de teléfono, correo electrónico, apodo u otra información personal identificable?
- ¿Es necesario instalar una aplicación o un programa específico que pueda llegar a rastrear a las personas usuarias?
- ¿Qué declara su política de privacidad? ¿Protegen la intimidad de quienes usan sus servicios y cumplen leyes de protección de datos como el Reglamento General de Protección de Datos de la UE?
- ¿Qué se almacena en los servidores? ¿Los términos y condiciones le otorgan a la persona propietaria de la compañía el derecho de acceder a tu información? ¿Con qué fines?
- ¿A qué tendrá acceso esta aplicación/programa en tu dispositivo: tu lista de contactos, ubicación, micrófono, cámara, etc.? ¿Pueden desactivarse estos permisos, o dejará de funcionar la aplicación/el programa en tal caso?
¿Cuál es el precio? ¿Es asequible?
- Al considerar un servicio o herramienta, tenemos en cuenta su costo. ¿Es accesible? ¿Cuál es el modelo de negocio de quienes lo desarrollan o proveen?
- Además del pago inicial, considera los costos de alojamiento, posibles tarifas de suscripción, el costo de aprender e implementar la herramienta o servicio, el posible soporte de IT necesario, equipo adicional que necesitarás, etc.
- Si la herramienta o el servicio son gratuitos, nos preguntamos por qué. ¿Quién paga el proyecto si la herramienta/servicio no es de pago? ¿Es gratuito porque se basa en el trabajo voluntario o porque está financiado por gobiernos o empresas, o en realidad la empresa está ganando dinero vendiendo los datos de sus usuarios a terceros?
¿Está disponible en múltiples sistemas operativos y dispositivos?
- ¿Puede utilizarse la herramienta o el servicio tanto en computadora como en dispositivos móviles? ¿Está disponible únicamente en sistemas operativos propietarios como macOS e iOS ó también en Linux? Si no está disponible en todos los sistemas operativos, ¿existe una alternativa fiable para otros dispositivos en los que no se pueda utilizar esta herramienta/servicio?
¿Es fácil de usar? ¿Funcionará para las personas en situación de riesgo?
- ¿Es confuso o frustrante utilizar esta herramienta de forma segura, o se han esforzado quienes la desarrollan/proveen por hacerla fácil de usar?
- ¿Las personas defensoras de los derechos humanos y otras personas en situación de riesgo siguen utilizando esta herramienta o servicio, o tienden a abandonarla?
- ¿Es intuitiva la interfaz de usuario? O, como alternativa, ¿se ha elaborado una documentación que explique claramente cómo utilizar la herramienta o el servicio?
¿Está traducido a distintos idiomas?
- ¿Está localizada (traducida) la herramienta o servicio? ¿A cuántos idiomas?
- ¿La localización se actualiza de forma periódica?
- ¿Cuál es la calidad de la localización?
- ¿Se dispone también de documentación multilingüe para ayudar a las personas usuarias a entender cómo utilizarlo de forma segura?