“Para concientizar sobre seguridad digital es realmente importante hacer actividades de educación, entrenamiento y diálogo continuo con la comunidad”: Irene Poetranto

04/11/2016 | Autor: Equipo de Comunicaciones info@colnodo.apc.org

¿Se puede contribuir a la reducción de pobreza a través de internet? ¿Cómo lograr un Internet abierto e inclusivo? ¿Cómo consolidar Internet como un medio libre y seguro para la difusión de ideas? Estas fueron algunas preguntas fundamentales para el desarrollo del 2do Foro de Gobernanza de Internet realizado en Bogotá durante el mes de septiembre y organizado por las diversas entidades que hacen parte de la Mesa Colombiana de Gobernanza de Internet.

En este evento Colnodo tuvo la oportunidad de entrevistar a Irene Poetranto, investigadora y comunicadora del Citizen Lab de la Universidad de Toronto, quien lidera proyectos de investigación sobre amenazas digitales contra organizaciones de la sociedad civil y realiza un mapeo de las tácticas más utilizadas para efectuar dichas amenazas. Colnodo hace parte de la red de investigadores del Citizen Lab desde el año 2012 desarrollando proyectos sobre derechos de las mujeres activistas en los espacios digitales.

El diálogo se centró en temas de ingeniería social, seguridad en línea, prevención de ataques o amenazas digitales y el trabajo de organizaciones latinoamericanas relacionado con derechos digitales ¿Qué debemos recomendar a las organizaciones de la sociedad civil para prevenir amenazas digitales? ¿Qué tipo de medidas deberían tomar y cómo implementarlas?

Nuestra organización contraparte del Cyber Steward Network, llamada Tibet Action Institute, ha producido muy buenos recursos para la seguridad en línea y la seguridad de móviles y computadores. Estas se pueden consultar en: https://www.cybersuperhero.net/ 

Para ser efectivas, estas medidas deben ser implementadas consistentemente por todos los integrantes de la comunidad. Las medidas incluyen:

• Estar vigilante respecto a todos los correos electrónicos, enlaces web y archivos, especialmente durante momentos delicados, tales como aniversarios políticos y elecciones. En particular es importante confirmar la autenticidad de cualquier material que se refiera a asuntos delicados que sean relevantes para su comunidad, que contengan distinto tipo de errores o una escritura extraña.
• Examine cuidadosamente la dirección electrónica del remitente. Si la dirección utiliza una dirección electrónica que se presenta como oficial, pero que se origina de un proveedor común (p.e. Gmail), o incorpora variaciones menores o caracteres no comunes en una dirección típica, hay que considerarlo como un intento de uso malicioso. No acceda a ningún material incluido en el correo sin antes verificar que la persona en cuestión realmente envió el correo (no responda a la dirección desde la cual se envió, use llamadas telefónicas o investigue cuál es la dirección oficial del correo).
• Nunca abra archivos adjuntos que sean inesperados o no solicitados. Si el archivo adjunto no es esencial para su trabajo o representa información que puede obtener de otras fuentes (por ejemplo mediante una búsqueda en línea de un reporte o tema), bórrelo inmediatamente. Si está usando Gmail, puede cliquear “Ver” para ver algunos archivos adjuntos en su navegador, en vez de bajar el archivo a su computador. Todo tipo de archivos pueden contener malware (virus, gusanos, troyanos, etc.), pero hay que estar especialmente atentos con archivos .exe, .scr, .zip, y .rar. En caso que sea esencial abrir el archivo, trate de confirmar independientemente que la persona que aparece como remitente es legítima. Adicionalmente, pasar el archivo por https://www.virustotal.com puede ayudar a identificar archivos que contienen malware (aunque no logrará detectar malware que es lanzado por primera vez). Para hacer esta verificación, arrastre o copie el archivo a su escritorio sin abrirlo, y luego proceda a subirlo al sitio web de virustotal. El sitio web le dará un resumen de los resultados del scan.
• Nunca haga click en enlaces no verificados. Así como con los archivos adjuntos, si el enlace no es esencial para su trabajo o representa información que usted puede obtener por otros canales (como en una búsqueda en línea), bórrelo inmediatamente. Tenga en mente que los hiperenlaces que parecieran llevarlo a sitios legítimos, pueden de hecho enmascarar un enlace a un sitio dañino. En la mayoría de los programas de correo, si usted coloca el puntero encima del hiperenlace este mostrará el enlace real (texto que aparece brevemente próximo al cursor), o en el caso de correo en la web, en la barra de estado por encima de su cursor. Los enlaces sospechosos podrían tener una dirección IP en vez del dominio (p.e.: http://10.0.3.10/algo.html en lugar de http://example.com/algo.html) o el URL no corresponde al sitio web al que usted espera conectarse. Si el texto del enlace en el correo electrónico no corresponde con el indicado, hay una buena posibilidad de que la página de enlace sea maliciosa.
• Conserve el sistema operacional del computador, las aplicaciones y los programas anti-virus al día, asegurándose de tener las últimas actualizaciones. Esté consciente del malware en los teléfonos móviles. Hoy en día más y más malware está diseñado para ser difundido por los teléfonos móviles. No baje apps que no necesite, ya que muchos apps disponibles en el mercado abierto contienen malware. También existen proyectos que están desarrollando aplicaciones para ayudar a proteger el uso de los teléfonos móviles y la información personal de la intrusión y monitoreo indeseado.

¿Qué es Ingeniería Social, cómo funciona y por qué es utilizada para hacer ataques digitales?

Nuestro informe titulado “Communities @ Risk: Targeted Digital Threats against Civil Society,” es la culminación de un estudio de cuatro años con la participación de diez grupos de la sociedad civil. La Ingeniería Social está definida como "el arte de manipular a la gente, de modo que brinden información confidencial" tal como su información bancaria o contraseñas, por ejemplo, para poder entrar en su computador e instalar secretamente software perjudicial. Quienes promueven esto usan tácticas de Ingeniería Social porque es generalmente más fácil explotar su confianza que hackear sus programas/equipos (a menos que su contraseña sea realmente débil).

Como resultado, cuando analizamos la naturaleza de amenazas digitales, así como el análisis técnico y las entrevistas, también tenemos que llevar a cabo un análisis legal, social y político. Incluyendo la investigación sobre detalles contextuales y la Ingeniería Social pertinente a los ataques, tales como tiempos en que ocurren, el lenguaje empleado, los aspectos claves del texto de correo electrónico, el clima político, etc.

Usted indicó que desde el Citizen Lab están interesados en desarrollar un estudio enfocado en las amenazas digitales contra las mujeres. ¿Qué despierta este interés? ¿Hay más riesgos digitales para las mujeres?

El Citizen Lab no ha desarrollado investigación sobre amenazas digitales contra las mujeres activistas. Sin embargo, investigaciones realizadas por otras organizaciones, tales como OSCE, ha encontrado que las amenazas digitales contra las periodistas ha aumentado. Creemos que incluir una perspectiva de género en nuestra investigación es muy importante y es algo en lo que Colnodo puede hacer una contribución importante.

En Colombia muchas organizaciones no suelen prestar tanta atención a los riesgos y amenazas digitales y no toman medidas de prevención. ¿Cómo sensibilizar a las personas y organizaciones sobre la importancia de adoptar prácticas para la seguridad en línea?

Para concientizar a la gente sobre seguridad digital es realmente importante hacer actividades de educación, entrenamiento y compromiso/diálogo continuos con la comunidad. Por ejemplo, capacitando al público u ofreciendo información sobre lo que es una buena práctica de seguridad.

Desde 2012 hemos tenido la valiosa oportunidad de trabajar en proyectos de investigación con el Citizen Lab de la Universidad de Toronto. Después de estos años, ¿Qué piensa del trabajo de las organizaciones latinoamericanas relacionado con derechos digitales?

Existe una creciente conectividad digital en América Latina, por lo tanto, hay un mayor número de problemas de los cuales debemos estar conscientes y preocupados, tales como el impacto sobre la privacidad, la seguridad y los derechos humanos. El trabajo conjunto del Citizen Lab con grupos líderes de la sociedad civil en la región, tales como Colnodo, Sulá Batsú (Costa Rica), la Asociación por los Derechos Civiles (Argentina) y Derechos Digitales (Chile), bajo el marco del Cyber Stewards Network, financiado por el International Development Research Centre (IDRC) de Canadá, nos ha dado una tremenda oportunidad, redes de intercambio y conocimiento para entender mejor la región latinoamericana y los problemas emergentes.