¿Cómo funciona Security in a Box?

Tabla de contenido

... Cargando Tabla de Contenido...

    ¿Cómo funciona Security in a Box?

    Security in a Box es un recurso gratuito y de código abierto alojado en Gitlab.com.

    Security in a Box se actualiza constantemente gracias a las aportaciones del equipo de protección digital de Front Line Defenders, así como a contribuciones externas. Todas las actualizaciones y cambios son coordinados por el Editor de Protección Digital de Front Line Defenders.

    Todo el contenido incluido en Security in a Box se selecciona con precisión en función de los siguientes criterios.

    Cómo desarrollamos las estrategias de protección que recomendamos

    Security in a Box es un recurso que incluye muchas estrategias de protección digital. Navegando por este sitio web, encontrarás recomendaciones sobre cómo crear y gestionar contraseñas seguras y sobre cómo proteger tus cuentas, comunicaciones, dispositivos, conexión a internet e información sensible.

    Todas estas estrategias se centran en la protección de activos digitales, pero se desarrollan de forma holística: aunque lo que queremos ayudarte a proteger sea digital, sabemos que la protección siempre abarca diferentes ámbitos, incluido el contexto legal y psicosocial, así como la necesidad de contemplar el plano físico. Para más información sobre lo que implica un enfoque holístico de la protección, recomendamos leer sobre el enfoque holístico en el Manual de seguridad holística.

    El objetivo principal de Security in a Box es ayudar a una comunidad mundial de defensores de los derechos humanos cuyo trabajo les pone en peligro. En general, consideramos que este recurso está dirigido a ayudar no sólo a los defensores de los derechos humanos, sino también a otros usuarios en riesgo de sufrir ataques digitales, por ejemplo activistas, periodistas y otros miembros de la sociedad civil, así como mujeres y personas LGBTQIA+ que corren el riesgo de sufrir violencia en línea por motivos de género.

    Una parte fundamental de nuestro enfoque es permitir a nuestros usuarios evaluar los riesgos a los que se enfrentan y definir sus propias necesidades. Nuestro objetivo es no hacer daño a los defensores de los derechos humanos, sus familias y comunidades, así como a otros lectores de SiaB. También reconocemos que escuchar con empatía a los defensores de los derechos humanos y a otros usuarios en riesgo de violencia digital y comprender las situaciones en las que se encuentran es clave para proporcionar un apoyo de protección eficaz. Por ello, las estrategias descritas en SiaB se desarrollan con un enfoque que pretende empoderar a nuestros lectores y se basan en las necesidades y objetivos reales de nuestros usuarios, basandonos en la [Visión, Misión y Valores Fundamentales] de Front Line Defenders (https://www.frontlinedefenders.org/es/mission-vision-values).

    Cómo elegimos las herramientas y servicios que recomendamos

    El software es complejo, y no son todos son iguales en cuanto a sus propiedades de protección de seguridad y privacidad. Diferentes herramientas y servicios pueden considerarse más o menos efectivas según la jurisdicción en la que te encuentres, sus leyes y los adversarios a los que puedas enfrentarte.

    Tenemos en cuenta varios factores al seleccionar herramientas y servicios para recomendar en Security in a Box. Cada factor es importante. Debido a que diferentes regiones tienen diferentes requisitos legales para la tecnología y enfrentan diferentes amenazas, es difícil clasificar la importancia de cada factor a nivel global.

    A continuación, enumeramos lo que consideramos las preguntas más importantes que formulamos cuando consideramos qué herramientas y servicios recomendar. Tú puedes utilizar estos criterios cuando necesites evaluar la seguridad relativa de herramientas que no mencionamos.

    ¿Se puede confiar en las personas que desarrollan esta herramienta u operan este servicio?

    • ¿Cuál es la historia del desarrollo y la propiedad de la herramienta o el servicio? ¿Ha sido creada por activistas o por una empresa? ¿Tiene este grupo una cara pública y cuáles son sus antecedentes?
    • ¿Cuál es la misión y el modelo empresarial de la entidad que desarrolla o explota esta herramienta o servicio?
    • ¿Ha habido retos de seguridad, por ejemplo, brechas de datos o solicitudes de información por parte de las autoridades estatales? ¿Cómo ha reaccionado el proveedor de servicios o los desarrolladores de herramientas ante estos retos? ¿Han abordado abiertamente los problemas o han intentado ocultarlos?

    ¿La herramienta cifra los datos? ¿Con qué tipo de tecnología de cifrado?

    • ¿Cripta la herramienta la conexión entre la persona usuaria y las personas con las que se comunica (cifrado de extremo a extremo), imposibilitando que los proveedores de servicios accedan a su información?
    • Si no se dispone de cifrado de extremo a extremo, damos prioridad a las herramientas que cifran los datos entre el dispositivo del usuario y la infraestructura del servicio (cifrado to-server). En estos casos, siempre recordamos a quienes nos visitan que si los datos no están cifrados en los servidores, tienen que confiar en las personas que gestionan este servicio, ya que tienen un potencial acceso libre a la información que han almacenado allí.
    • ¿Las configuraciones predeterminadas protegen la privacidad y seguridad de los usuarios?
    • Si no se dispone de cifrado de extremo a extremo, ¿permite la tecnología a las personas usuarias alojar el servicio en su propia infraestructura, de modo que puedan controlar quién puede acceder a sus datos?

    ¿El código está disponible para su inspección?

    • En otras palabras, ¿es de código abierto?
    • ¿La herramienta o servicio ha sido auditado por expertos en seguridad independientes del proyecto de desarrollo de software o de la empresa proveedora del servicio?
    • ¿Cuándo se realizó la última auditoría? ¿Se prevén auditorías periódicas?
    • ¿La auditoría ha incluido todas las partes de la herramienta o servicio, o sólo algunas de sus partes? Si se trata de un servicio, ¿se ha auditado la infraestructura del servidor o sólo la interfaz de usuario?
    • ¿Qué opinan los expertos independientes sobre la herramienta o servicio?

    ¿Es madura la tecnología?

    • ¿Cuánto tiempo ha estado en funcionamiento esta tecnología? ¿Ha resistido el paso del tiempo?
    • ¿Tiene una gran comunidad de personas que trabajan en su desarrollo que siguen trabajando activamente en su desarrollo?
    • ¿Cuántas personas usuarias que utilizan la herramienta de forma activa tiene?

    ¿Dónde están alojados los servidores?

    • Puede ser una pregunta difícil de responder, con cada vez más servicios en la nube, pero quienes desarrollan y proveen de servicios fiables tienden a publicar esta información en sus sitios web o a ponerla a disposición a través de intermediarios de confianza.
    • También sacar conclusiones de esta información puede resultarnos complicado, ya que los servidores pueden estar ubicados en un país que proteja a las personas que defienden los derechos humanos y a otros miembros de la sociedad civil en algunos Estados, pero no en otros.
    • En general, nos preguntamos si los servidores están ubicados en un país que atendería una petición de las autoridades de países en los que no existe un Estado de Derecho, y si ese país hace respetar los derechos humanos y la protección de quienes los utilizan. En pocas palabras, la pregunta es: ¿tienen las autoridades de países no democráticos derecho legal a confiscar datos o acceder a información o cerrar estos servicios por el lugar donde están ubicados los servidores?

    ¿Qué información personal exige a las personas usuarias? ¿A qué tiene acceso la persona propietaria/operadora?

    • ¿Pide la herramienta o servicio a las personas usuarias que faciliten su número de teléfono, correo electrónico, apodo u otra información personal identificable?
    • ¿Es necesario instalar una aplicación o un programa específico que pueda rastrear a las personas usuarias?
    • ¿Qué declara su política de privacidad? ¿Protegen la intimidad de quienes usan sus servicios y cumplen leyes de protección de datos como el Reglamento General de Protección de Datos de la UE?
    • ¿Qué se almacena en el servidor? ¿Las condiciones y términos le otorgan a la persona propietaria de la compañía el derecho de acceder a tu información? ¿Con qué fines?
    • ¿A qué tendrá acceso esta aplicación/programa en tu dispositivo: tu lista de contactos, ubicación, micrófono, cámara, etc.? ¿Pueden desactivarse estos permisos, o dejará de funcionar la aplicación/el programa en tal caso?

    ¿Cuál es el precio? ¿Es asequible?

    • Al considerar un servicio o herramienta, tenemos en cuenta su coste. ¿Es accesible? ¿Cuál es el modelo de negocio de quienes lo desarrollan o proveen?
    • Además del pago inicial, considera los costos de alojamiento, posibles tarifas de suscripción, el costo de aprender e implementar la herramienta o servicio, el posible soporte de TI necesario, equipo adicional que necesitarás, etc.
    • Si la herramienta o el servicio son gratuitos, nos preguntamos por qué. ¿Quién paga el proyecto si la herramienta/servicio no es de pago? ¿Es gratuito porque se basa en el trabajo voluntario o porque está financiado por gobiernos o empresas, o en realidad la empresa está ganando dinero vendiendo los datos de sus usuarios a terceros?

    ¿Está disponible en múltiples sistemas operativos y dispositivos?

    • ¿Puede utilizarse la herramienta o el servicio tanto en ordenadores como en dispositivos móviles? ¿Está disponible únicamente en sistemas operativos propietarios como macOS e iOS o también en Linux? Si no está disponible en todos los sistemas operativos, ¿existe una alternativa fiable para otros dispositivos en los que no se pueda utilizar esta herramienta/servicio?

    ¿Es fácil de usar? ¿Funcionará para las personas en situación de riesgo?

    • ¿Es confuso o frustrante utilizar esta herramienta de forma segura, o se han esforzado quines la desarrollan/proveen por hacerla fácil de usar?
    • ¿Las personas defensoras de los derechos humanos y otras personas en situación de riesgo siguen utilizando esta herramienta o servicio, o tienden a abandonarla?
    • ¿Es intuitiva la interfaz de usuario? O, como alternativa, ¿se ha elaborado documentación que explique claramente cómo utilizar la herramienta o el servicio?

    ¿Está traducido a distintos idiomas?

    • ¿Está localizada (traducida) la herramienta o servicio? ¿A cuántos idiomas?
    • ¿Se actualiza continuamente la localización?
    • ¿Cuál es la calidad de la localización?
    • ¿Se dispone también de documentación multilingüe para ayudar a las personas usuarias a entender cómo utilizarlo de forma segura?