OpSecurity, en adelante llamado OPSEC, es el proceso y el conjunto de técnicas que nos permiten analizar la información que manejamos y las amenazas a la misma, así como las maneras de poder proteger dicha información; sobre todo, de cara a proteger y aislar nuestras identidades en línea.
La información confidencial debe ser protegida a toda costa. Compartimentalización, anonimización, criptografía y esteganografía, entre otras. Todas son técnica y elementos que pueden ayudar a proteger nuestra actividad. La aplicación de reglas de seguridad operacional es fundamental a la hora de ocultar actividades que preferiríamos que quedasen en el secreto.
El término «Seguridad de Operaciones» empezó a utilizarlo el ejército de los Estados Unidos durante la Guerra de Vietnam. La Seguridad de operaciones (OPSEC) es un proceso que identifica información crítica para determinar si la inteligencia enemiga puede observar nuestras acciones cotidianas, determina si la información obtenida por los adversarios puede interpretarse como útil para ellos y así, luego ejecutar medidas que eliminan o reduzcan la explotación de información crítica.
Pero, si bien en el pasado el concepto se suscribió al contexto militar, hoy en día existe una inmensa masa de usuarios que aplican sus bases a sus vidas en línea. Yo, por ejemplo, intento aplicar estos principios lo mejor que puedo. En la categoría privacidad encontrarán algunos posts al respecto.
En un sentido más general, OPSEC es el proceso de proteger partes individuales de datos que podrían agruparse para obtener una imagen más amplia (llamada agregación). OPSEC es la protección de la información crítica que se considera esencial. El proceso da como resultado el desarrollo de contramedidas, que incluyen medidas técnicas (y no tan técnicas), como el uso de software de encriptación de correo electrónico, tomando precauciones contra el espionaje, prestando especial atención a una imagen que ha tomado (como elementos de fondo), o de no hablar abiertamente en las redes sociales sobre información que devele indicios de sus actividades laborales o personales.
En el artículo Las Tetas que Delataron al Hacker, mostré cómo podemos extraer información de una imagen como las que millones de usuarios suben a diario a Internet. Es una locura lo que se puede obtener de una sola imagen con una línea de comando: dispositivo utilizado, fecha, propietario, ubicación exacta (coordenadas GPS), etc.
Entonces OPSEC lo definimos como el proceso y el conjunto de técnicas que nos permite analizar la información que manejamos y las amenazas a la misma, así como las maneras de poder proteger dicha información; sobre todo, de cara a proteger y aislar nuestras identidades. ¿Y por qué debería hacerlo? Porque sus datos son la materia prima de los nuevos criminales. Así como usted no usa joyas en una zona de tolerancia, tampoco debería exponer en línea la forma como se gana la vida, la historia clínica de su abuela o el logotipo del colegio donde estudian sus hijos. En otras palabras: ¡Cierre la boca cretino imbécil! Perdón, me alteré.
Esto no se hace porque se estén ocultando actividades ilegales. Se hace precismente para no ser víctima de ellas. Alguien me decía que no le importaba su privacidad en línea porque no tiene nada que ocultar. A esa persona le pedí su clave del WiFi, el modelo y el IMEI de su teléfono, el password de su correo electrónico, su fecha de nacimiento, su NUIP y la fecha de expedición de su cédula de ciudadanía. Sigo esperando esa información.
El proceso OPSEC consta de 5 fases o etapas a saber:
1. Identificar la información crítica. Debemos conocer en todo momento y de antemano qué información queremos proteger. Por ejemplo, podríamos querer esconder nuestra actividad en redes sociales dentro de un contexto hacktivista, u ocultar nuestras comunicaciones usando una aplicación segura. Esto es lo que nos dice la teoría de OPSEC. Sin embargo, lo que yo recomiendo es no usar redes sociales. Son veneno, no aportan nada y son una fuente inagotable de oportunidades para los delincuentes.
2. Analizar las amenazas. Debemos identificar quién puede querer conocer la información crítica que hemos reconocido en el apartado anterior. Siguiendo los mismos ejemplos, una agencia gubernamental puede querer conocer el origen de alguna actividad en redes sociales (y lo hacen), o el contenido de las comunicaciones con un proveedor de información al que se realiza un seguimiento. Algo que hice hace un tiempo fue borrar casi toda mi huella digital. No porque oculte actividades punibles sino porque no quiero que cualquiera pueda estar al tanto de mis actividades. Lastimosamente, no toda nuestra actividad puede ser borrada de Internet e incluso los gobiernos, con sus registros públicos, su torpeza y su burocracia, se convierten en proveedores de información para los delincuentes.
3. Analizar las vulnerabilidades. ¿De qué forma estamos protegiendo (o no) en este momento esta información? ¿De qué manera somos ahora vulnerables? Si actualmente estamos realizando dichas acciones de forma desprotegida, somos vulnerables, y debemos saber por qué y de qué manera pueden vulnerarnos. Nuestra actividad podría ser geolocalizada una vez identificado el dispositivo por el que la realizamos. No tiene sentido ponérsela tan fácil.
4. Calcular el riesgo. Ser consciente de la probabilidad de que una amenaza explote nuestra vulnerabilidad, que es la propia definición de riesgo. Ser también consciente de las consecuencias que puede tener dicha explotación, y prepararse para el caso en el que ocurra.
5. Aplicar paliativos. De nada nos sirve conocer qué puede pasarnos, y de qué manera puede ocurrir, si no hacemos nada para evitarlo. En este contexto viene el trabajo más arduo. La aplicación de compartimentalización, criptografía, deslocalización. Incluso unas pocas nociones de seguridad física vienen bien. No caiga en el error de ser despistado o descuidado a la hora de proteger su actividad crítica.
A la hora de planificar y separar nuestra actividad en Internet, conviene «crear» o establecer una serie de identidades aisladas entre sí. La separación de identidades tiene como objetivo la separación de nuestra actividad, en este caso, nuestra actividad online. Cada una de dichas identidades, que en teoría deberían ser claramente diferenciables, se dedicará a una actividad diferente. Podemos pensar por ejemplo en una separación, digamos, «por nombre», en la que tenemos un alias para un tipo de actividades y otro para otro tipo de actividades. Sin embargo, este no es el único punto que separará nuestras identidades. Idealmente, diferentes actividades no deberían tener ningún punto de contacto.
En otro artículo conté que uso diferentes correos para diferentes actividades. Mi actividad bancaria va a un correo destinado únicamente a ese fin. En esa cuenta no recibo los reportes de mis inversiones, para eso tengo otra cuenta. Mis suscripciones las recibo en una tercera cuenta. Cada una de ellas con una contraseña diferente y 2FA o MFA. Si un atacante logra hacerse a una de mis cuentas, y es difícil, es poco lo que puede hacer con la información allí contenida.
OPSEC debe usarse para proteger la información y, por lo tanto, le niega al adversario la capacidad de actuar. Casi el 90% de la información recopilada proviene de «Fuentes abiertas» (a esto le llamamos OSINT). Cualquier información que se puede obtener libremente, sin violar la ley, es de código abierto. Se trata de sitios de redes sociales, tweets, mensajes de texto, blogs, foros, videos, fotos, mapas de GPS, boletines, artículos de revistas o periódicos, tesis de la universidad o cualquier otra cosa que esté a disposición del público.
Nuestro objetivo con OPSEC es garantizar un entorno seguro y protegido. OPSEC es el mejor procedimiento a diario cuando se toman decisiones sobre qué comunicaciones usar, qué se escribe en correos electrónicos o se dice por teléfono, publicaciones en sitios de redes sociales y blogs. Cualquier información que usted publique en el dominio público también está disponible para sus malquerientes, los delincuentes o sus adversarios.
OPSEC nos invita a mirarnos a nosotros mismos a través de los ojos de un adversario (individuos, grupos, países, organizaciones) o un delincuente. Esencialmente, cualquier persona que pueda dañarnos, hacerse a nuestros recursos o suplantarnos. Espero les sirva, hasta la próxima.
