7 de febrero de 2024: Señales en el trabajo (en español)
Gracias por leer este boletín. Si alguien te envió este boletín, es muy amable de su parte. No olvides darle las gracias. Puedes suscribirte aquí para recibir el boletín en tu bandeja de entrada.
Para los lectores hispanohablantes, me complace informarles que subí la traducción al español de Diego Morábito del segundo boletín. También agregaré los próximos dos boletines muy pronto, porque Diego también los tradujo.
¡Los comentarios y sugerencias son siempre bienvenidos!
Martijn
(martijn@lapsedordinary.net)
Señales en el trabajo
Soy un gran fan de Signal Messenger (Signal se traduce por señal en español, de ahí el título) y me encanta que se haya convertido en la plataforma de mensajería de facto en la comunidad de seguridad digital.
Esto incluye a muchas organizaciones que usan Signal en el trabajo, algo que Signal apoya con mucho gusto. Yo también uso Signal para varios proyectos de trabajo (y, recuerda, si tienes algo más sensible que discutir conmigo, ¡no dudes en usar el correo electrónico para pedirme mi número de Signal!).
No es raro que las personas traten temas sensibles en Signal, ya que es la plataforma más adecuada para este tipo de conversaciones, más adecuada que, por ejemplo, Slack o Microsoft Teams. Aún así, si tu organización quiere utilizar Signal, hay varias cosas que debes de tomar en cuenta.
(Como nota al pie, lo que digo sobre Signal, también aplica a WhatsApp, cuya seguridad es bastante similar a la de Signal; y también se aplica, en gran medida, a otras plataforma de mensajería).
La primero que hay que tomar en consideración es comprender qué datos relacionados con el trabajo se pueden compartir en Signal y cuáles no. Como esta es una pregunta que tiene implicaciones legales, probablemente tendrás que preguntarle a tu abogado (yo no soy uno), quien podría indicarte que los datos personales (como los currículums enviados para solicitudes de empleo) no se pueden sacar del sistema y compartir en alguna aplicación de mensajería. Incluso puede haber requisitos legales que impliquen conservar ciertos datos durante un período de tiempo específico.
(Por cierto, sobre este tema, un gobierno anterior al actual del Reino Unido se metió en problemas después de que se descubriera que había eliminado los mensajes de WhatsApp que trataban temas controvertidos. Por buenas y obvias razones, los gobiernos están obligados a mantener un registro de los procesos a través de los cuales se toman ciertas decisiones).
Una segunda consideración es que al utilizar Signal, no se puede tener ningún control sobre los dispositivos en los que se instala, a diferencia de herramientas como Google Workspace o Microsoft 365, donde los administradores pueden establecer requisitos particulares para los dispositivos desde los que se accede a los servicios, por ejemplo, para asegurarse de que estén completamente actualizados y no tengan jailbreak o estén rooteados. Si un colega está usando Signal, no hay forma de evitar que lo instale en la computadora portátil de la familia que ejecuta una versión obsoleta de Windows.
Ten en cuenta que con esto no quiero decir que alguien que hace lo anterior es un trabajador irresponsable, incluso si no es una buena decisión de seguridad. Podría ser que, debido a que es un trabajador muy dedicado, instalara Signal en esa computadora portátil para lograr hacer su trabajo a tiempo.
Una tercera consideración a tener en cuenta es que, una vez que el uso de Signal (u otra aplicación de mensajería externa) se ha normalizado, no hay nada que impida que las personas creen sus propios grupos y canales de comunicación en la aplicación. Por lo general, está bien, pero ¿qué pasa si un entorno de trabajo se ha vuelto tóxico y la gente usa Signal para excluir a un colega menos popular de las discusiones laborales? Al menos en aplicaciones como Slack o Teams, un administrador puede ver qué grupos existen.
Por último, las cuentas de Signal están actualmente vinculadas a números de teléfono, y a menos que todos en la organización hayan recibido un teléfono de trabajo, esto significa que se tendrá que utilizar un número de teléfono personal. Al hacer del uso de Signal un requisito de trabajo, aunque solo sea de manera implícita, se obliga indirectamente a que las personas compartan su número de teléfono personal con sus colegas. No todos se sentirán cómodos haciéndolo.
Por suerte, este último punto pronto será irrelevante una vez que Signal introduzca los nombres de usuario.
De todos modos, lo anterior no quiere decir que sea malo utilizar Signal para el trabajo. ¡De ninguna manera! Pero sí es un recordatorio de que la seguridad adicional que provee Signal tiene un cierto "costo", y hay que decidir si en la organización, este costo vale la pena.
¿Qué más?
Access Now publicó un informe sobre 35 casos de spyware Pegasus dirigidos a la sociedad civil en Jordania. El informe es una colaboración con otras organizaciones, Citizen Lab, OCCRP y Human Rights Watch. Las dos últimas, de hecho, tienen miembros entre su personal que fueron objetivos confirmados.Esta no es la primera vez que se encuentra Pegasus en teléfonos en Jordania y, cuando se leen este tipo de informes, siempre es bueno recordar que las víctimas son personas reales, cuya vida y trabajo se ven enormemente afectados por dicho software espía, así como también las personas que los apoyan. Sin embargo, informes como este son en realidad buenas noticias, ya que ayudan a que los responsables de operar este spyware tengan que rendir cuentas, mientras que a los 35 objetivos a los cuales se les detectó el spyware ya se les eliminó de sus dispositivos.Para aquellos que tienen una razón para preocuparse por spyware tan avanzado como Pegasus, otra buena noticia es que el " Modo Hermético" de Apple detuvo con éxito varios de estos ataques.
El Proyecto Tor recibió una auditoría de código por parte de Radically Open Security. Las auditorías de código no son particularmente emocionantes ya que no generan nada nuevo. Sin embargo, son cruciales para cualquier tipo de proyecto de software, incluidas las herramientas de código abierto como Tor. El hecho de que un proyecto sea de código abierto no significa que las personas pasen su tiempo (libre) buscando errores. Al mismo tiempo, aquellos con intenciones maliciosas con gusto pasarán su tiempo (pagado) buscando vulnerabilidades que puedan explotar. Las auditorías de código rectifican este desequilibrio.Si tienes un proyecto de código abierto para personas que viven o trabajan en un contexto violento o represivo y quieres que se audite tu código, una opción es comunicarse con el Red Team Lab de la OTF. Ah, y si no estás muy familiarizado con Tor y su importancia para los derechos humanos, Amnistía Internacional acaba de publicar una breve introducción a Tor.
Comencé mi carrera en seguridad en 2007 en una pequeña empresa llamada Virus Bulletin y entre 2014 y 2019, fui responsable del funcionamiento cotidiano de la empresa. Eso incluyó la programación de la Conferencia Anual de Virus Bolletin, que se celebró por primera vez en 1991, y que creo que se ha convertido en uno de los eventos más internacionales en cuanto a inteligencia de amenazas. Siempre me ha gustado compartir información sobre amenazas digitales entre pares de esta industria y estoy particularmente orgulloso de que esa conferencia haya tenido muchas charlas sobre amenazas contra personas y grupos en situación riesgo, como una charla de 2017 sobre stalkerware, una de 2018 sobre amenazas contra la sociedad civil y una charla de 2022 sobre los exploits de la empresa NSO. Se abrió hace poco la convocatoria de ponencias para la 34ª conferencia (que tendrá lugar en Dublín, del 2 al 4 de octubre). Se cierra el 5 de abril y, por mi parte, estaría muy emocionado de ver conferencias sobre amenazas contra la sociedad civil en el programa.
La capacitación y la educación en seguridad forman una parte esencial de una buena cultura de la seguridad digital. Si crees que si las personas estuvieran más informadas, los incidentes de seguridad no sucederían, esta publicación en el blog del autor, activista y periodista Cory Doctorow, que sabe mucho sobre seguridad, sobre cómo fue estafado, es un recordatorio importante de que esa manera de pensar es bastante ingenua. Las capacitaciones en seguridad y la educación nunca podrán detener el phishing al 100%. Sin embargo, si se hacen bien, pueden ayudar mucho.
Cosas no relacionadas con la seguridad
'Agitado' es un eufemismo para describir los últimos diez días. No es por mala onda, pero estoy demasiado cansado para escribir sobre música o libros, incluso si no dejé de leer o escuchar música.
Una cosa que he estado disfrutando mucho en los últimos meses es la aplicación Daily Art, que, como su nombre lo indica, te enseña una obra de arte diferente (una pintura, por lo general) todos los días. Las obras de arte incluyen algunas piezas bien conocidas, pero también he descubierto piezas de artistas menos conocidos de todas partes del mundo que no están en los museos de arte occidentales.