CIBERSEGURIDAD: LA LLAVE ESTA BAJO LA ALFOMBRA

La Imilla Hacker

La Imilla Hacker forma parte de un grupo de mediactivistas bolivianas.
Atraída por el punto de convergencia entre política, tecnología y
género, produce el podcast "El Desarmador", un espacio para analizar
nuestro relacionamiento con la tecnología a partir de nuestras voces
latinoamericanas. Read more

"En las sociedades de control lo esencial no es ya una firma ni un
número, sino una cifra: la cifra es una contraseña"

Gilles Deleuze, Postdata sobre las Sociedades de Control



"Confianza es que no necesites mi contraseña"

Anónima, en un sticker visto en la compu de una amiga.





Andaba conversando con una amiga el otro día sobre cómo enfocar unos
talleres de seguridad para un colectivo en riesgo, y entre muchas
no-conclusiones sacamos en claro que UNO: muchísimos ataques comienzan
por una contraseña débil, DOS: en general hacemos un trabajo pésimo con
la pedagogía en torno a la seguridad, y TRES: ninguna terminamos de
tener claro qué es una buena contraseña, mal que nos pese. Así que hoy
me apetecía mirar un poco el tema de las passwords.



Hay algo que no encaja si el acceso a esa palabra mágica (abr4c4dabR@!)
le permite a alguien inmiscuirse en toda nuestra vida privada, movidas
de nuestro colectivo supuestamente clandestino, y la gestión de nuestro
dinero, en el caso improbable de que haya algo que gestionar. Pero
mercado obliga, you know, y hay que hacerlo fácil para el business,
dicen desde arriba, y así se terminan propagando algunas tecnologías
disfuncionales que nos afectan a todas.



De modo que la gran mayoría de sitios nos han entrenado con sus ideas de
qué es una clave aceptable para que puedan estar seguros de que la
personita que intenta acceder a sus servicios es siempre la misma.



Alguna otra gente que sabe bastante de seguridad opina que esto de lo
que ellos piensan que es una clave segura, y sobre todo, los mecanismos
de recuperación de contraseñas, no son más que ilusiones de seguridad,
ya que en realidad el que tenga los recursos necesarios tendrá unas
máquinas que son buenas en probar tanto como sea necesario hasta
encontrar precisamente esas contraseñas con un número, una mayúscula, y
un símbolo que nos obligan a poner hasta el cansancio cada vez que nos
abrimos una cuenta de algo.



Adversarios, vulnerabilidades y nuestros errores



No vamos a llamarle hacker, porque es un tiro errado de la propaganda de
los de arriba, pero digamos que un adversario puede hacer varias cosas
para suplantar nuestra identidad y acceder a nuestros datos privados en
línea: adivinar las respuestas a las preguntas de recuperación, lo que
es fácil con que nos conozca o haga un poco de ingeniería social.

Solución: poner cosas absurdas ahí, pero que te sean fáciles de
recordar.



También podría acceder a los servidores donde corren esos servicios. Ahí
está guardada nuestra contraseña pero no en texto claro, sino en una
suerte de resumen (que se llama "hash") que asegura que sólo si sabes mi
contraseña puedes generar ese resumen... más o menos; y resulta que hay
formas y formas de calcular el hash... en fin, que porque un programador
hizo mal su trabajo, esas contraseñas del sitio puede que estén
vulnerables y llega una persona y se copia esa base de datos con
millones de contraseñas.

Solución, en parte: poner siempre una clave larga y diferente en cada
sitio, y no reutilizarlas nunca.



También están los casos de hackers que obtienen contraseñas de cuentas
de facebook o de whatsapp a base de hacer llamadas a la compañía de
teléfonos y pedir un duplicado de nuestro chip haciéndose pasar por una.

Solución: huir de los servicios que dependen de un número de teléfono.



Otras veces hace falta mucho menos: una vez mi amigo abrió el correo
electrónico del colectivo en un café internet, con la mejor de las
intenciones, pero al irse se olvidó cerrar la sesión.



Una contraseña robada tiene valor en el mercado negro de información en
internet. Hay gente que colecciona los datos de muchas de estas
intrusiones y las vende, y hay gente que hace programas que van por ahí
comprobando si alguna de esas contraseñas que se han filtrado además dan
acceso a algún otro sitio con el mismo nombre de usuario. Por suerte
también hay gente que avisa a las personas cuando estas cosas ocurren, y
les recuerdan que hay que fortalecer esas contraseñas y cambiarlas para
minimizar los daños (tip: suscribite vos y tu colectivo a
www.haveibeenpwned.com).



   Una contraseña robada tiene valor en el mercado negro de información
   en internet. Hay gente que colecciona los datos de muchas de estas
   intrusiones y las vende, y hay gente que hace programas que van por
   ahí comprobando



Gestionar nuestra seguridad en línea



Son muchas cosas. En realidad casi todo esto tiene solución (usar
métodos como DiceWare, o aún mejor, usar un gestor de contraseñas, como
KeePass). Pero craneábamos mi amiga y yo que puede que el problema vaya
más allá.



Para empezar, está la aproximación íntima y personal a la gestión de las
claves, en contraposición a la aproximación colectiva o comunal. He
visto a varios colectivos compartir la contraseña de una cuenta de
correo electrónico, Facebook, o Twitter, que son del colectivo y se
gestionan de forma grupal. Obviamente no es la mejor forma de gestionar
y resguardar la información de nuestro colectivo, pero es valioso
recordar que en grupos militantes de gran parte del sur global
seguramente lo "privado" se entiende de forma diferente que en el norte,
y las más de las veces cruza lo personal y llega a lo colectivo.



Si hablamos de cuentas de correo electrónico es fácil decir: pues hay
que usar una lista de correos en vez. Pero se complica si hablamos de
plataformas como Twitter que no están diseñadas para las colectividades,
al contrario, fomentan el individualismo y el "leadership" informativo.



Otro punto interesante es que tenemos que plantearnos radicalmente cómo
es que hacemos las capacitaciones. No se trata de enseñar herramientas,
asumiendo demasiado rápido dónde están los problemas. Varios procesos de
aprendizaje tienden a fracasar porque son como la misa cristiana: todas
hacemos reconocimiento de culpa y en la euforia del momento prometemos
mejorar, y luego hacemos unas claves GPG larguísimas y super buenas pero
que acaban inservibles porque a los tres meses de no usarlas nos las
olvidamos, o la noche que estábamos pendientes de un registro en nuestro
centro social formateamos el disco duro con todito dentro, incluida
nuestra clave GPG en una carpeta que no habíamos visto. Es como lo de la
mooncup: no porque nos digan que es lo mejor tiene necesariamente que
resultarnos fácil, ni cómodo.



No podemos hacer una pedagogía de la seguridad que ponga la parte de la
culpa en las usuarias. Es cierto que muchas de las veces un ataque
ocurre porque tuvimos un solo descuido (y a veces un solo descuido es lo
que hace falta para que haya repercusiones graves), pero el descuido
también viene porque las cosas a veces son innecesariamente complejas o
estuvieron mal explicadas para empezar. Hay también una responsabilidad
en quien diseña la herramienta y en cómo la desarrolla, y aquí vuelta al
asunto de la confianza con las herramientas digitales que usamos y los
grupos que están detrás. Pero, más allá de las herramientas, hay todo un
arco de causas que están más relacionadas con lo complicado que resulta
aprender a cuidarnos, de forma individual y en colectivo.



   No podemos hacer una pedagogía de la seguridad que ponga la parte de
   la culpa en las usuarias



Construyendo nuestra ciberseguridad día a día



Viví en una casa donde la lavadora estaba fuera, con un techito, porque
varias vecinas venían a usarla, y ocurría también que la llave de la
puerta de casa estaba bajo la alfombra. Porque quien lo sabía estaba
invitada a pasar y hacerse un café mientras esperaba a la lavadora.
Total, tampoco pasaba nadie por esa parte del mundo, y si alguien fuera
del círculo de confianza hubiera encontrado la llave, tampoco tenía
mucho que llevarse, fuera del café, muchos libros y una máquina de
coser.



Pero no es que no tuviera "nada que ocultar" en la casa, sino que la
confianza más firme se construye en el día a día, en el cara a cara con
las vecinas, y nosotras nunca veremos cara a cara a los desarrolladores
de nuestras herramientas.



Cuando, de tarde en tarde, quiero pegarme un trip surrealista y barato,
opto por mirar la televisión, o por leer hilos raros en Yahoo
Respuestas. No puedo creer a veces en qué mundo vive la gente: ese en
que dar tu contraseña a tu pareja se considera una muestra de confianza.
Confianza, privacidad, no tengo nada que ocultar, virgencita, cuánta
confusión. No, no y mil veces no: confianza es justo lo contrario.



Entiendo que para muchas chicas del barrio, precisamente las que nunca
voy a encontrar en un taller de seguridad, tener intimidad de entrada no
es algo en su lista de lo posible o algo que aspiren a desear. Así,
directamente, borrado, como ir algún día a Marte. Nunca la han tenido,
nunca tuvieron un cuarto propio, ni un espacio personal.



Cuando deciden aprender a cuidarse, entiendo que eso de las contraseñas
les de risa en su escala de lo prioritario, si a la mera hora sólo da
acceso a las huevadas de esa cuenta que se hicieron porque todo el mundo
tenía una, y la vida ocurre al fin y al cabo en otra parte. Así que tal
vez no sea tanto problema lo de las contraseñas, salvo porque me
gustaría que esas chicas alcancen su cuarto propio también en la red.



   Muchos sitios online acaban haciendo algo terrible, que es poner la
   llave bajo la alfombra, sin avisarnos, y además es como si colgasen
   un cartel diciendo dónde está y luego publicasen el listado de todas
   las llaves en el mapa del mundo.



Y claro, en lo virtual, ocurre como con tantos cuartos de la vida real:
el derecho a atravesar nuestra puerta termina siendo defendido por una
llavecita minúscula diseñada por compañías foráneas, es la nuestra pero
da risa que cualquiera de un empujón la puede hacer saltar. Muchos
sitios online acaban haciendo algo terrible, que es poner la llave bajo
la alfombra, sin avisarnos, y además es como si colgasen un cartel
diciendo dónde está y luego publicasen el listado de todas las llaves en
el mapa del mundo.



Por ahora, esa idea: afirmar nuestro derecho a la intimidad, también en
la red. Y de poner una llave del tamaño que queramos, aunque luego, en
casa, la pongamos bajo la alfombra porque así nos viene en gana.