Foto: Jorge Torres / EFE
La Línea de Ayuda en Seguridad Digital de Access Now se solidariza con las y los nicaragüenses en este período de protestas y denuncias de censura y represión gubernamental. Por esa razón, compartimos una colección de recursos para fortalecer la seguridad personal en línea, sortear las restricciones a canales de comunicación y ayudar a monitorear y documentar posibles casos de censura en línea en Nicaragua.
Si estás en Nicaragua, lo primero es lo primero: estar seguro. Tomar medidas para estar seguro en línea puede ayudar a protegerte contra las amenazas físicas. A continuación encontrarás las instrucciones de la Línea de Ayuda de Seguridad Digital sobre cómo mejorar la seguridad para ti y tu comunidad. Sin embargo, ten en cuenta que la situación de cada persona es única y que debes usar tu criterio para decidir qué métodos son los adecuados para tí (o ponerte en contacto con la Línea de Ayuda para obtener instrucciones específicas).
- La seguridad de tus dispositivos es crucial. Es común que durante una protesta los dispositivos sean robados o decomisados, lo cual pone en peligro la información y el acceso a cuentas en línea. Existen varias acciones que puedes tomar para minimizar estos riesgos, pero recomendamos también revisar las guías referenciadas en cada sección para encontrar información adicional.
- Si tu teléfono es decomisado o robado, puede ser utilizado para acceder a cuentas de redes sociales, interceptar mensajes y enviar mensajes falsos a tus contactos. Por eso se hace necesario proteger estas cuentas de redes sociales y de correo electrónico. En las secciones subsiguientes te explicaremos cómo hacerlo.
- Evalúa los riesgos de publicar contenido relacionado a las protestas en tus cuentas personales de redes sociales, y a considerar si hay cuentas o canales alternativos que puedan ser una forma más segura de compartir la información sin revelar tu identidad.
- Es de suma importancia que las contraseñas que utilices sean seguras. Además, es necesario mantenerse alerta contra los ataques de phishing, que están diseñados para engañarte y hacerte enviar tu información privada (incluyendo contraseñas, ubicación, nombres de tus contactos y más) a actores maliciosos, mediante sitios web de apariencia real pero funcionamiento engañoso.
- Si estás organizando una protesta, procura hacerlo mediante un canal seguro, y considerar estas recomendaciones para participar de manera más segura. Si conoces a un periodista, activista o miembro de la sociedad civil que ha sido detenido, puedes contactar a la Línea de Ayuda para proteger sus cuentas y su información digital.
Dado que el gobierno nicaragüense ya ha bloqueado algunos medios tradicionales (como canales de televisión) hay un riesgo alto de bloqueos a sitios web o conexiones a internet. Para prepararte para este tipo de interrupciones, te recomendamos que consideres varias técnicas de evasión de antemano. Puedes encontrar la información a continuación sobre las herramientas que pueden ser útiles para eludir las restricciones a los sitios web y el contenido, incluidas cosas simples como el uso de HTTPS, una VPN o un proxy basado en la web. También puedes encontrar información sobre herramientas para detectar cuándo se está bloqueando contenido en línea, o cuándo se está interrumpiendo el tráfico de internet, creado por organizaciones de la sociedad civil de todo el mundo que trabajan contra los apagones de internet y otras formas de censura. Si puedes, y te sientes seguro de hacerlo, puedes ayudar a detectar y luchar contra la censura en Nicaragua mediante el uso de estas herramientas.
También es posible que ya sea intencionalmente o no, durante las protestas haya acceso limitado a la red celular. Por esto es importante documentar los hechos (los recursos de nuestros amigos en WITNESS están disponibles aquí) y transmitirlos una vez que se tenga una conexión segura. Si detectas un apagón o bloqueo de internet, envíanos un correo electrónico a [email protected] (PGP: 0xB7A750B1) y, si puedes, incluye capturas de pantalla de páginas fuera de línea, la hora y la fecha de cierre, fotos o cualquier otra información que creas de utilidad. Un apagón de internet puede atacar a una sola aplicación (p.ej. WhatsApp) o plataforma (p.ej. Twitter), redes enteras (p.ej. banda ancha, WiFi, SMS) o a la red eléctrica.
Es muy importante que no te arriesgues en tu activismo. Si piensas que tu seguridad digital está en riesgo, comunícate con nuestra Línea de Ayuda de Seguridad Digital.
Credito de imagen: Ritmo Parana
Protección de Dispositivos
Android
1. Protege el acceso al teléfono y la posibilidad de hacer llamadas.
- Bloquea la tarjeta SIM. Menú Bloqueo de la Tarjeta SIM, encontrado en Ajustes -> Ubicación y Seguridad -> Bloqueo de la tarjeta SIM. Esto significa que deberás ingresar un PIN (clave) para poder desbloquear tu tarjeta SIM cada vez que tu teléfono se encienda.
- Bloquea el acceso a tu teléfono. Menú Desbloqueo de Pantalla, encontrado en Ajustes -> Ubicación y Seguridad -> Opciones de pantalla de bloqueo, que ofrece proteger el teléfono con un patrón, pin o contraseña que debe ser ingresado para poder desbloquear la pantalla cuando el teléfono está encendido. Recomendamos que utilices la opción de PIN o la opción contraseña, que son más seguras. Esta última permite claves más extensas.
- Activa el bloqueo automático. Activa el temporizador de bloqueo, que bloqueará automáticamente tu teléfono después del tiempo especificado. Puedes especificar el valor que más te convenga, según la frecuencia con la que quieras desbloquear tu teléfono.
2. Cifra o “encripta” tu teléfono.
- Si tu teléfono utiliza la versión 4.0 o superior de Android, deberías cifrar o “encriptar” tu dispositivo. Esto se puede realizar en Configuración -> Seguridad -> Encriptación. Sin embargo, antes de que puedas utilizar la configuración de encriptar dispositivo, se te solicitará activar una contraseña de bloqueo de pantalla (descrita arriba).
Nota: Antes de iniciar el proceso de encriptación, asegúrate de que el teléfono esté cargado y conectado a la red eléctrica o una batería portátil.
Guía completa: https://securityinabox.org/es/guide/basic-security/android/
iPhone
En el caso de iPhone las recomendaciones mencionadas arriba ya vienen configuradas por defecto, por lo que solo debes procurar tener una buena contraseña.
Protección de Cuentas
1. Utiliza una contraseña segura. Si actualmente no estás utilizando una contraseña segura, es recomendable modificarla cuando estés en un dispositivo y red de confianza (ver la sección de contraseñas abajo para recomendaciones sobre este punto).
2. Actualiza la información de recuperación, en especial el correo electrónico y el número de teléfono. Debes asegurarte que esta información sea válida y que tendrás acceso a esa dirección de correo y número de teléfono en caso de que perdieras acceso a tu cuenta.
https://es-la.facebook.com/help/334656726616576/
3. Revisa tu configuración de privacidad. Si tu perfil es totalmente público esto podría revelar tu ubicación, personas cercanas y otros datos a terceros inadvertidamente.
https://es-la.facebook.com/help/325807937506242
4. Revisa tu lista de amigos, de manera que las personas que puedan ver tu perfil sean realmente personas en las que confíes y no desconocidos.
https://es-la.facebook.com/help/172936839431357
5. Revisa las sesiones activas, no debe haber sesiones activas en dispositivos viejos o desconocidos.
https://es-la.facebook.com/help/211990645501187
1. Utiliza una contraseña segura. Si actualmente no estás utilizando una contraseña segura, es recomendable modificarla cuando estés en un dispositivo y red de confianza (ver la sección de contraseñas abajo para recomendaciones en este punto)
2. Actualiza la información de recuperación, en especial el correo electrónico y el número de teléfono.
https://help.twitter.com/es/managing-your-account/how-to-update-your-email-address
3. Revisa tu configuración de privacidad.
https://help.twitter.com/es/safety-and-security/search-twitter-by-email-or-phone-number
4. Revisa las sesiones activas y aplicaciones.
https://help.twitter.com/es/managing-your-account/connect-or-revoke-access-to-third-party-apps
Más consejos sobre el uso seguro de redes sociales:
https://securityinabox.org/es/guide/social-networking/
Correo electrónico
Es posible que las cuentas de correo electrónico también sean blanco de ataques. Para protegerlas es necesario seguir los mismos consejos que para las cuentas de redes sociales:
1. Utilizar una contraseña segura.
2. Actualizar la información de recuperación.
3. Revisar la configuración de privacidad.
4. Revisar las sesiones activas y aplicaciones.
Las instrucciones específicas varían dependiendo del proveedor de correo.
Contraseñas
Es de suma importancia que las contraseñas que utilices sean seguras, es decir:
1. Deben ser largas, de 15 a 20 caracteres.
2. Deben ser únicas, cada cuenta debe tener su propia contraseña y no repetidas.
Guías para crear contraseñas seguras:
https://ssd.eff.org/es/module/creando-contrase%C3%B1as-seguras
https://securityinabox.org/es/guide/passwords
Administradores de contraseñas
Ya que recordar muchas contraseñas seguras puede ser difícil se puede utilizar un administrador de contraseñas, es decir, un programa que te permite crear y almacenar las contraseñas de tus cuentas; protegidas por una contraseña maestra.
Para PC: https://securityinabox.org/es/guide/keepassx/windows/
Para Android: https://securityinabox.org/es/guide/keepassdroid/android/
Phishing
El phishing es una técnica de ataque que busca engañar a la víctima para que entregue información sensible, descargue un archivo infectado o ingrese su contraseña en una página falsa. Justo en esta situación que se vive en Nicaragua es de esperarse que recibas correos falsos con mensajes que parecen ser de Facebook, Twitter, Google, etc. diciendo que se ha comprometido la cuenta y que debes acceder a esta urgentemente. Estos mensajes falsos, que pueden ser de correo electrónico, whatsapp, sms, facebook messenger, etc. también pueden parecer venir de personas de confianza (si sus cuentas fueron comprometidas o si utilizan su nombre e imagen con una cuenta nueva).
Cómo protegerte:
1. Desconfía de mensajes que instan a tomar acciones rápidas o de urgencia, por lo general estos mensajes se aprovechan de situaciones de riesgo o emergencia para convencer a la víctima de tomar acciones apresuradas y sin pensar.
2. Verifica el emisor del mensaje, si pretende ser un mensaje de una red social, verifica que las cuentas de correo utilizadas sean las oficiales. Si dice ser alguien conocido, verifica con la persona por otro medio (preferiblemente en persona) y pregunta si en efecto ha enviado estos mensajes y a quién.
3. No descargues ningún archivo, ni abras ningún enlace web antes de verificar su procedencia y veracidad.
Guías sobre Phishing:
http://phish-education.apwg.org/r/es/index.htm
https://ssd.eff.org/es/module/c%C3%B3mo-evitar-los-ataques-de-phishing-o-suplantaci%C3%B3n-de-identidad
Protocolos de Seguridad
Es importante que los grupos que están organizando y realizando las protestas, tengan protocolos de seguridad para saber que hacer en caso de que ocurra un incidente o se presente una amenaza. Es importante:
1. Verificar que los miembros de los grupos organizadores sean personas de confianza y que no haya infiltrados. En especial si se organiza por grupos de whatsapp/facebook/signal/etc.
2. Estar en contacto con personas que no estén en la manifestación para reportar tu estado e informar cualquier anomalía.
3. Enviar información (fotos, videos, etc) a terceros que tengan una conexión estable para subirlas a las redes sociales.
4. Preparar estrategias para casos de de detenciones o agresiones a manifestantes.
Más información sobre participación en manifestaciones:
https://ssd.eff.org/es/module/asistiendo-protestas-internacional
Técnicas para Evadir Apagones, Bloqueos y Restricciones
La siguiente es una lista de herramientas que pueden ser útiles para eludir las restricciones a los sitios y el contenido.
1. Herramientas de proxy basadas en la web
Las herramientas de proxy basadas en la web pueden ayudar a eludir la censura. Permiten a las personas enrutar sus solicitudes HTTP a través de una computadora diferente (el proxy).
Nota: Las personas que usan servidores proxy web deben tener cuidado, ya que hay malos servidores proxy capaces de reencaminar y modificar solicitudes con fines maliciosos. Nunca uses o confíes en un servidor proxy que nadie haya escuchado nunca. E incluso si recibes el proxy de un socio confiable, evita riesgos y no transmitas información privada, especialmente si no está encriptada.
Sitio web de proxy gratuito:http://proxy.org/
2. Psiphon es un sistema de elusión galardonado que utiliza una combinación de tecnologías seguras de comunicación y ofuscación. Se instala en cualquier teléfono o computadora.
Compatible con iOS, Android 2.2 y superior. Funciona en Windows Vista, Windows 7, Windows 8 (escritorio) y Windows 10.
Sitio web: https://psiphon3.com/es/index.html
Guía del usuario: https://psiphon3.com/es/user-guide.html
3. Lantern es una aplicación de software de código abierto para usuarios de escritorio y dispositivos móviles — una herramienta proxy de internet diseñada para brindarle acceso a internet abierto. Lantern es único porque utiliza conexiones de pares como fuente de conectividad a internet cuando los servidores no están disponibles.
Disponible para Android, Mac, Windows y Linux (escritorio).
Sitio web: https://getlantern.org/es/
4. Redes Privadas Virtuales (VPN)
Una VPN crea un túnel encriptado entre su dispositivo y un servidor en otro lugar en internet. Todo tu tráfico se enruta a través de este túnel, protegiéndolo de los adversarios que podrían querer alterar o bloquear tu tráfico a lo largo del camino. Aunque tu tráfico será encriptado, el proveedor de VPN puede mantener registros de tus actividades en línea. Por lo tanto, es importante confiar en el proveedor de VPN que utilizas. Este sitio web compara muchos proveedores diferentes de VPN y puede ser útil al seleccionar uno.
5. Bitmask es una VPN que utiliza servidores VPN Riseup y Calyx.
Disponible solo para usuarios de Android, Linux y macOS. Se espera que las versiones de Windows sean lanzadas pronto.
Sitio web: https://bitmask.net/es
6. El navegador Tor es un software de código abierto que te protege mediante el rebote de tus comunicaciones en una red distribuida de retransmisiones operadas por voluntarios de todo el mundo. Esto hace que tus comunicaciones sean difíciles de rastrear, pero también te permite omitir los bloqueos de páginas.
En algunos lugares, donde las conexiones son lentas, puede ser difícil establecer una conexión a través de la red Tor.
Tor Browser Bundle te permite usar Tor en Windows, Mac OS X o Linux sin necesidad de instalar ningún software. Se puede ejecutar desde una memoria USB.
Sitio web: https://www.torproject.org
Ten en cuenta que solo el tráfico del navegador Tor pasará por un canal encriptado y anónimo. Otras aplicaciones, como Skype o un navegador normal, no se enrutarán a través de la red Tor, incluso si el navegador Tor se está ejecutando.
7. Orbot es una herramienta de anonimato para dispositivos móviles. Las versiones más recientes de Orbot permiten a los usuarios redirigir todo el tráfico de sus aplicaciones a través de la red Tor, usando una VPN en Android con solo tocar un botón. Orbot solo está disponible para Android.
Sitio web: https://guardianproject.info/apps/orbot/
8. Tails es un sistema operativo en vivo que puedes iniciar en casi cualquier computadora desde un DVD, USB o tarjeta SD. Tails usa la red Tor para enrutar tus comunicaciones e incluye varias herramientas que te ayudan a proteger tu privacidad y anonimato. Debido al uso predeterminado de la red Tor para tu tráfico de internet, Tails será útiles para eludir la censura en línea.
Sitio web: https://tails.boum.org/index.es.html
Guía interactiva: https://tails.boum.org/install/index.es.html
NOTA: Es críticamente importante que no te arriesgues en tu activismo. Si tienes sospechas sobre tu seguridad digital, comunícate con nuestra Línea de Ayuda de Seguridad Digital.
Herramientas de monitoreo de red
Si te encuentras en Nicaragua, puedes ayudar a los miembros de #KeepitOn Netblocks y OONI a mapear y medir las últimas restricciones de internet y telecomunicaciones. Esto es importante porque ayuda a establecer evidencia de violaciones de derechos humanos como el derecho a la libre expresión y al acceso a información. Sin embargo, estas pruebas requieren apagar tu VPN (si lo usas) e implican riesgos potenciales. Por ejemplo, cualquier persona que controle tu actividad en internet (por ejemplo la empresa proveedora de conexión, el gobierno si la proveedora es estatal, o tu empleador) podrá ver que estás ejecutando escaneos OONI Probe o Netblocks. Si decides ejecutar estas pruebas, le recomendamos que leas más sobre los riesgos potenciales, cierres todas las pestañas de tu navegador y otras aplicaciones antes de apagar tu VPN, y vuelvas a encender tu VPN tan pronto como completes las pruebas.
Para Netblocks, puedes ejecutar la prueba de red haciendo clic en este enlace. Esta técnica fue ideada como una alternativa a las pruebas de hardware. El perfil de tráfico es similar al sitio web de noticias regulares con botones para compartir en las redes sociales.
Para OONI, puedes ejecutar OONI Probe en Linux, MacOS o en Raspberry Pi, o instalar la aplicación de OONI Probe en tu dispositivo móvil, y agregar sitios web específicos a OONI Run.