4. Proteger los archivos sensibles en tu computadora

Tabla de contenido

...Loading Table of Contents...

    El acceso no autorizado a la información en tu computadora o dispositivo de almacenamiento portátil puede llevarse a cabo de manera remota, si el 'intruso' es capaz de leer o modificar tus datos a través de la Internet, o físicamente, si logra apoderarse tu hardware. Puedes protegerte de estos tipos de amenaza mejorando la seguridad física y de la red de tu datos, como se trató en el capítulo 1. Proteger tu computadora de software malicioso (malware) y de piratas informáticos (hackers) y en el capítulo 2. Proteger tu información de amenazas físicas.

    Sin embargo, es siempre mejor tener varios niveles de defensa, razón por la cual debes proteger también los archivos mismos. De esta manera, es probable que tu información sensible se mantenga a salvo incluso si tus otras iniciativas en seguridad resultan inadecuadas.

    Existen dos enfoques generales frente al reto de dar seguridad a tus datos de esta forma. Puedes cifrar tus archivos, haciéndolos ilegibles a cualquiera que no sea tú, o puedes esconderlos confiando en que un intruso será incapaz de encontrar tu información sensible. Existen herramientas que te ayudan con cualquiera de los enfoques, incluyendo una aplicación que es un Software Libre y de Código Abierto (FOSS) llamado TrueCrypt, que puede tanto cifrar como esconder tus archivos.

    Contexto

    Claudia y Pablo trabajan con una ONG de derechos humanos en un país de Sudamérica. Ellos han pasado muchos meses recolectando testimonios de testigos de violaciones de los derechos humanos que fueron cometidos por el ejército en su región. Si los detalles de quién proporcionó estos testimonios se hacen conocidos se pondría en peligro tanto a la valerosa gente que testificó, como a los miembros de la organización.

    Esta información está actualmente almacenada en una hoja de cálculo en la computadora de la ONG que funciona con Windows XP, la cual está conectada a Internet. Siendo conscientes de la seguridad, Claudia se ha asegurado de almacenar en un CD una copia de respaldo de los datos, la cual se mantiene fuera de la oficina.

    ¿Qué puedes aprender de este capítulo?

    • Cómo cifrar información en tu computadora
    • Cuales son los riesgos que podrías afrontar por matener tus datos cifrados
    • Cómo proteger datos en memorias extraíbles USB, en caso de que estas se pierdan o sean robadas
    • Qué pasos debes dar para esconder información de intrusos físicos y remotos

    Cifrar tu información

    Pablo: ¡Pero mi computadora ya está protegida por la contraseña de acceso de Windows! ¿No es eso lo suficientemente bueno?

    Claudia: En realidad, las contraseñas de acceso de Windows son normalmente muy fáciles de descifrar. Además, cualquiera que ponga sus manos en tu computadora por el tiempo suficiente para reiniciar tu computadora con un LiveCD en la unidad lectora puede copiar tus datos sin siquiera tener que preocuparse sobre la contraseña. Si esta persona logra llevarse la computadora por un momento te encontrarás con peores problemas aún. Por ello no es sólo la contraseña de Windows de lo que necesitas preocuparte. Tampoco debes confiar en las contraseñas de Microsoft Word o de Adobe Acrobat.

    El cifrar tu información se parece un poco a mantenerla encerrada en una caja fuerte. Sólo aquellos que tengan la llave o conozcan la combinación de la cerradura pueden acceder a ella. La analogía es particularmente apropiada para TrueCrypt y herramientas similares, las cuales crean contenedores seguros llamados 'volúmenes cifrados' en vez de simplemente proteger los archivos de uno en uno. Puedes poner un gran número de archivos dentro de un volumen cifrado, pero estas herramientas no protegerán los archivos que estén almacenados en otro lugar en tu computadora o en tu memoria extraíble USB.

    Parte Práctica: Empieza con la Guía del TrueCrypt

    Mientras que otros software puede proporcionarte un cifrado que sea igualmente fuerte, TrueCrypt contiene varias características importante que te permitirá diseñar tu estrategia de seguridad informática. Te da la posibilidad de encriptar permanentemente todo el disco de tu computadora incluyendo todos tus archivos, todos tus archivos temporales creados durante tu trabajo, todos los programas que hayas instalado y todos los archivos del sistema operativo Windows. Truecrypt proporciona respaldo para llevar volúmenes cifrados en dispositivos portátiles de almacenamiento. Y provee la opción de 'denegación' descrita en la sección Ocultar tu información sensible. Adicionalmente TrueCrypt es un programa gratuito y de código abierto.

    Pablo: Está bien, ahora sí que me tienes preocupado. ¿Qué sucede con los otros usuarios de la misma computadora? ¿Esto significa que pueden leer documentos en la carpeta de 'Mis Documentos'?

    Claudia: ¡Me gusta la manera en la que piensas! Si tu contraseña de Windows no te protege de los intrusos ¿cómo te podría proteger de otras personas con cuentas en la misma computadora?.

    De hecho, tu carpeta de Mis Documentos está normalmente visible para cualquiera, de modo que otros usuarios no tendrían siquiera que hacer algo inteligente para leer tus archivos no cifrados. Sin embargo, tienes razón, incluso si la carpeta se hace 'privada,' todavía no estás a salvo a menos que utilices algún tipo de cifrado.

    Consejos para utilizar el cifrado de archivos de manera segura

    Almacenar datos confidenciales puede ser un riesgo para ti y para aquellos con quien trabajas. El cifrado reduce el riesgo pero no lo elimina. El primer paso para proteger información sensible es el reducir la cantidad de la misma que almacenas. A menos que tengas una buena razón para almacenar un archivo en particular, o una categoría particular de información dentro de un archivo, simplemente deberías borrarla (dirígete al capítulo 6. Destruir información sensible para obtener más información de como hacerlo de manera segura.) El segundo paso es utilizar una buena herramienta de cifrado de archivos, tal como TrueCrypt.

    Claudia: Bien, tal vez no necesitamos en realidad almacenar información que podría identificar a las personas que nos dieron sus testimonios. ¿Qué opinas?

    Pablo: De acuerdo. Probablemente deberíamos escribir lo menos posible sobre ello. Además, deberíamos pensar en un código simple que podamos utilizar para proteger los nombres y las ubicaciones que tenemos que registrar de todas maneras.

    Regresando a la analogía de la caja fuerte cerrada, hay algunas cosas que debes tener en cuenta cuando utilices TrueCrypt u otras herramientas similares. No importa cuán robusta sea caja fuerte, no te hará mucho bien si dejas la puerta abierta. Cuando tu volumen TrueCrypt está 'montado' (el momento en que puedes acceder a su contenido), tus datos pueden ser vulnerables, de modo que debe mantenerse cerrado excepto cuando estás, ciertamente, leyendo o modificando los archivos dentro de este.

    Existen algunas situaciones en las que es especialmente importante que recuerdes no dejar montado tu volumen cifrado:

    • Desconéctalo cuando debas alejarte de tu computadora por cualquier lapso de tiempo. Incluso si normalmente dejas tu computadora funcionando toda la noche, debes asegurarte de no dejar tus archivos sensibles accesibles a intrusos físicos o remotos mientras estás ausente.
    • Desconéctalo antes de poner tu computadora a dormir. Esto se aplica a las opciones de 'suspendido' e 'hibernación', las cuales son comúnmente usadas en computadoras portátiles pero que pueden estar presentes también en las computadoras de escritorio.
    • Desconéctalo antes de permitir a alguien usar tu computadora. Cuando pases tu computadora portátil a través de un control de seguridad o frontera, es importante que desconectes todos los volúmenes cifrados y que apagues completamente tu computadora.
    • Desconéctalo antes de insertar una memoria extraíble USB no confiable u otro dispositivo de almacenamiento externo, incluyendo aquellos que pertenezcan a tus amigos y colegas.
    • Si mantienes un volumen cifrado en una memoria extraíble USB, recuerda que el solo hecho de extraer el dispositivo puede no desconectar inmediatamente el volumen. Incluso si necesitas proteger tus archivos con urgencia, necesitas desmontar el volumen de forma apropiada, luego desconectar la unidad externa o la memoria extraíble, y luego retirar el dispositivo. Puedes practicar varias veces hasta que halles la forma más rápida de hacer todas estas cosas.

    Si decides mantener tu volumen TrueCrypt en una memoria extraíble USB, también puedes mantener una copia del programa TrueCrypt en ella. Esto te permitirá tener acceso a tus datos en las computadoras de otras personas. Sin embargo, las reglas normales todavía se aplican: si no confías en que la máquina esté libre de software malicioso (malware), probablemente no deberías ingresar tus contraseñas o acceder a datos sensibles.

    Ocultar tu información sensible

    Un problema con el hecho de mantener una caja fuerte en tu casa u oficina, ni que decir de llevarla contigo, es que tiende a ser muy obvio. Muchas personas tienen preocupaciones razonables sobre autoincriminarse por medio del uso del cifrado. Sólo porque las razones legítimas para cifrar ** datos exceden en número aquellas ilegítimas no hace esta amenaza menos real. Existen dos razones fundamentales por las que querrías evitar utilizar una herramienta como el TrueCrypt: el riesgo de autoincriminación y el riesgo de identificar claramente la ubicación de tu información más sensible.

    Considerar el riesgo de autoincriminación

    El cifrado es ilegal en algunos países, lo que significa que descargar, instalar o utilizar software de este tipo podría ser un crimen en si. Y, si la policía, el ejército o los servicios de inteligencia se hallan entre los grupos de quienes estás buscando proteger tu información, entonces el violar estas leyes puede proporcionarles un pretexto ideal bajo el cual tus actividades pueden ser investigadas o tu organización perseguida. En realidad, amenazas como esta pueden no tener nada que ver con la legalidad de las herramientas en cuestión. En cualquier momento, el mero hecho de estar asociado con software de cifrado sería suficiente para exponerte a acusaciones de actividad criminal o espionaje—sin importar lo que realmente está dentro de los volúmenes cifrados-- por tanto debes pensar cuidadosamente respecto a si dichas herramientas son apropiadas o no para tu situación.

    Si ese es el caso, tienes unas cuantas opciones:

    • Puedes evitar completamente el utilizar software de seguridad de datos, lo que requerirá que almacenes únicamente información no confidencial o que inventes un sistema de palabras en código para proteger elementos clave de tus archivos sensibles.
    • Puedes confiar en una técnica llamada esteganografía para esconder tu información sensible, en vez de cifrarla. Existen herramientas que pueden ayudarte con ello, pero el utilizarlas adecuadamente requiere una preparación muy cuidadosa, y todavía corres el riesgo de incriminarte a los ojos de cualquiera que descubra que estás usando esta herramienta.
    • Puedes intentar almacenar toda tu información sensible en una cuenta de correo electrónico segura, pero ello requiere de una conexión de red confiable y un relativamente sofisticado nivel de conocimiento de computadoras y de servicios de Internet. Esta técnica también da por hecho que el cifrado de red es menos incriminatorio que el cifrado de archivos y que puedes evitar copiar accidentalmente datos sensibles en tu disco duro y dejarlos ahí.
    • Puedes mantener la información sensible lejos de tu computadora almacenándola en una memoria extraíble USB o en una disco duro portátil. Sin embargo, tales dispositivos son normalmente incluso más vulnerables que las computadoras a la perdida y a su confiscación, de modo que estar portando información sensible y no cifrada en uno de estos tipos de dispositivos es normalmente una mala idea.

    Si es necesario, puedes emplear varias de estas tácticas. Sin embargo, incluso en circunstancias en las que estás preocupado sobre la autoincriminación, lo más seguro será utilizar TrueCrypt, mientras que a la vez tratas de camuflar tu volumen cifrado de la mejor manera posible.

    Si deseas que tu volumen cifrado sea menos llamativo, puedes renombrarlo para que se parezca a un tipo diferente de archivo. Utiliza la extensión '.iso', para camuflarlo como una imagen de CD, es una opción que funciona bien para grandes volúmenes de alrededor de 700 MB. Otras extensiones serían más realistas para pequeños volúmenes. Esto se asemeja a esconder tu caja fuerte detrás de una pintura en la pared de tu oficina. Este no será útil bajo una inspección detallada, pero ofrecerá alguna protección. También puedes renombrar el mismo programa TrueCrypt, asumiendo que lo has guardado como harías con un archivo normal en tu disco duro o memoria extraíble USB, en vez de instalarlo como programa. La guía del TrueCrypt te explica cómo hacerlo.

    Considerar el riesgo de identificar tu información sensible

    A menudo, debes preocuparte menos de las consecuencias de ser 'capturado' con software de cifrado en tu computadora o en tu memoria extraíble USB y hacerlo más porque tu volumen cifrado indique específicamente donde almacenas la información que deseas proteger más. Aunque pueda ser cierto que nadie más pueda leerla, un intruso sabrá que está ahí, y que has dado pasos para protegerla. Ello te expone a varios métodos no técnicos a través de los cuales dicho intruso podría intentar tener acceso, como puede ser la intimidación, chantaje, interrogatorios o tortura. Es en este contexto que la opción o característica de denegación del TrueCrypt, que se trata detalladamente más adelante, entra en juego.

    La opción de denegación del TrueCrypt es una de las maneras en las cuales este va más allá de lo ofrecido por otras herramientas de cifrado de archivos. Esta opción puede interpretarse como una forma peculiar de esteganografía que disfraza tu información más sensible como otra información oculta, menos sensible. Es análogo a instalar un astuto 'falso fondo' dentro de una no tan sútil caja fuerte. Si un intruso roba tus llaves, o te intimida para que le des la combinación de la caja fuerte, este encontrará algún material de 'señuelo' convincente, pero no la información que realmente te importa proteger.

    Sólo tú sabes que tu caja fuerte contiene un compartimiento oculto en su parte trasera. Esto te permite 'negar' que estás manteniendo algún secreto más allá de lo que ya le has dado al intruso, y podría ayudar a protegerte en situaciones en las cuales por alguna razón debes reveler una contraseña. Tales razones podrían incluir amenazas legales o físicas a tu propia seguridad, o la de tus colegas, asociados, amigos y familiares. El propósito de la denegación es el de darte una oportunidad de escapar de una situación potencialmente peligrosa incluso si decides continuar protegiendo tus datos. Sin embargo, como se trata en la sección de Considerar el riesgo de la autoincriminación, esta opción es mucho menos útil si el mero hecho de ser capturado con una caja fuerte en tu oficina es suficiente para provocar consecuencias inaceptables.

    La opción de denegación del TrueCrypt funciona por medio del almacenamiento de un 'volumen oculto' dentro de un volumen común cifrado. Este volumen oculto se abre mediante una contraseña diferente a la que normalmente utilizarías. Incluso si un intruso técnicamente sofisticado logra acceder a tu volumen común, él será incapaz de probar que existe uno oculto. Por supuesto, él puede saber perfectamente que TrueCrypt es capaz de ocultar información de esta forma, de modo que no hay garantía de que la amenaza desaparezca tan pronto como reveles tu contraseña señuelo. Muchas personas utilizan el TrueCrypt sin habilitar su opción de denegación. Sin embargo, se considera en general que es imposible determinar, a través de un análisis, si un volumen cifrado contiene esta clase de 'falso fondo'. No obstante, es tu trabajo asegurarte de no revelar tu volumen oculto por medio de medios menos técnicos, tales como dejarlo abierto o permitir que otras aplicaciones creen accesos directos a los archivos que contiene. La sección de Lecturas Adicionales, que viene a continuación, te puede indicar cómo obtener información adicional al respecto.

    Claudia: Bien, entonces vamos a arrojar algo de basura dentro del volumen común, y luego, podemos desplazar todos nuestros testimonios dentro del volumen oculto. ¿Tienes algunos viejos PDFs o algo que podamos utilizar?

    Pablo: Justamente estuve pensando en ello, es decir, la idea es revelar la contraseña señuelo si no tenemos otra opción, ¿cierto? Pero para que ello sea convincente, necesitamos asegurarnos que dichos archivos se vean importantes, ¿no crees? De otro modo, ¿Por qué nos molestaríamos en cifrarlos? Tal vez deberíamos utilizar algunos documentos financieros no relacionados o una lista de contraseñas de sitios web o algo parecido.

    Lecturas Adicionales