También sabemos que las personas usan el Internet de diferentes maneras y con varios propósitos. Sus usos más comunes son la comunicación, el trabajo, el entretenimiento, el estudio y acceso a la información. También se usa para transferir dinero, enviar o almacenar información privada. Algunas lo usan para organizar protestas, ayudar a quienes lo necesitan, comenzar una petición o apoyar a organizaciones de derechos humanos en otros países.
En la actualidad, todos los días salen nuevos dispositivos, soluciones, aplicaciones o herramienta de comunicación. Este progreso y la continua evolución de la tecnología parecen haber hecho nuestras vidas mucho más sencillas.
Pero ¿podemos estamos seguros?
¿Acaso nos damos cuenta de que mientras más tecnología utilizamos, más aumentan las oportunidades del crimen cibernético?
Y, ¿sabemos proteger nuestra información, así como la información de otras personas?
En mi rol de educadora y formadora me he estado haciendo muchas preguntas sobre la ciberseguridad y la privacidad cibernética.
¿Qué necesitan saber otros para mantenerse a salvo?
¿Cómo podré motivarlos (y a mí mismo) a prestar más atención a lo que hacen en línea?
Durante muchos años he dictado clases y diferentes tipos de capacitaciones a jóvenes y adultos, incluyendo padres de familia, profesores, activistas y miembros de organizaciones no gubernamentales. Mi objetivo como formadora es llamar su atención y convencerlos de tomar en serio la seguridad y privacidad cibernética, porque ninguna compañía u organización lo hará de forma tan detallada y comprehensiva como lo podemos hacer nosotros mismos. Nosotros debemos pensar y decidir qué programa o aplicación instalar en nuestros dispositivos, cómo administrar nuestras contraseñas y qué tipo de información compartimos con otros.
No hay mejor protección que la reflexión.
Por otra parte, junto con “Klara” (un alias escogido por ella) mi compañera y colaboradora por dos años, quien además es una investigadora en seguridad y activista hacker, venimos trabajando como ingenieras de seguridad de software en una institución financiera y conducimos una serie de sesiones de entrenamiento en seguridad digital. Durante estas sesiones los participantes pueden aprender sobre soluciones tecnológicas muy específicas, herramientas que podrían mantenerlos seguros y cómo funcionan las configuraciones de seguridad de sus dispositivos.
Desde mi punto de vista como formadora, y desde la perspectiva de una persona a la que de verdad le importa compartir el conocimiento sobre este tema, creo que hay dos aspectos importantes por discutir cuando hablamos de seguridad en línea.
El primero es el aspecto psicológico, social y de sensibilización de ser responsables por nosotros mismos y por los demás.
El segundo se trata del aporte tecnológico que nos permite utilizar herramientas específicas que pueden mejorar nuestro nivel de seguridad.
Por ejemplo, si en un entrenamiento le mostramos a nuestra audiencia uno de nuestros servicios de mensajería más seguros, como Signal, pero no les hablamos de seguridad digital, de lo segura que es la aplicación, y tampoco les mostramos cómo nuestra seguridad también depende de la otra persona con la que hablamos, entonces usar Signal sería inútil.
Para resumirlo, necesitamos recordar que las herramientas nos protegen, pero que también necesitamos conocer un contexto más amplio sobre cómo usarlas y cómo nos afectan a nosotros mismos o a los demás.
Estimular la motivación: Educar y no asustar
Muchas personas suelen comenzar a tener en cuenta la seguridad y la privacidad sólo después de haber vivido una mala experiencia. Puede ser cualquier cosa, desde un ataque de hackers a alguna de tus cuentas de redes sociales, a la publicación de una conversación privada o el robo de dinero de tus cuentas en línea. He estado “recolectando” muchas historias y casos de la vida real para usarlos como ejemplos en estudios de caso durante mis clases. Creo que es una buena manera de atraer la atención de las personas y que tomen conciencia de ciertas amenazas en un contexto significativo con el que se sienten identificados.
A continuación, encontrarás algunas de las historias reales que suelo usar en sesiones de formación:
· Una historia sobre comunicadores seguros y una cuenta de hackers: Un activista de derecha, joven, que había alcanzado una alta posición en su carrera política, fue atacada un día por un hacker que publicó el contenido entero de sus conversaciones en Messenger de los últimos seis meses. Después de esto, la carrera de la víctima quedó destruida sin mencionar su vida personal con sus amigos y colegas quienes leyeron una gran cantidad de cosas desagradables que habría escrito en privado.
· Una historia sobre nuestra infinita confianza en la información que encontramos en las redes sociales: Algunas personas encontraron una empresa de mudanzas en Facebook y compraron sus servicios. Al final, terminaron perdiendo todas sus pertenencias pues la empresa era un engaño que nunca existió legalmente. Los villanos de este cuento vinieron, se llevaron las pertenencias y desaparecieron sin dejar rastro.
· Una historia sobre la información que publicamos sobre nosotros mismos en las redes sociales: Una persona se convirtió en víctima de un ataque de phishing y de fraude financiero después de confiar en un agresor y compartir con él información personal.
· Una historia sobre la importancia de usar la autenticación de doble factor: Un activista de derechos animales perdió su cuenta de Facebook debido a un ataque de un hacker que usó su 2FA en su cuenta, por lo que ninguno de los formularios de recuperación de perfil de FB funcionó para recuperarlo; perdió su cuenta simplemente por no saber qué era la autenticación de doble factor.
Hay muchas más historias como las anteriores. Podemos usarlas para ayudar a otras personas a pensar por sí mismas frente a la seguridad digital y las decisiones que toman día a día. Podemos usarlas para mostrarles situaciones de la vida real que pueden pasarle a cualquiera, y explicarles cómo funcionan estos ataques y cómo protegerse.
Además de las historias y la reflexión que hemos compartido, es una buena práctica motivar a los demás a dar el siguiente paso; sacar tiempo para instalar y comenzar a usar diferentes herramientas como un administrador de contraseñas, un servicio de mensajería seguro, la autenticación de doble factor e incluso cambiar de proveedor de Internet, si es necesario. En este mundo, en el que todos estamos tremendamente ocupados, lo que más necesitamos es tiempo. Tiempo para llevar a cabo pequeños pasos y estar más interesados en nuestra seguridad. Así pues, lo mejor que podemos hacer es aprender de una historia real, que le ha pasado a alguien más, alguien menos afortunado, que puede convertirse en una lección valiosa para nosotros, en vez de sacar conclusiones después de vivir nosotros mismos una “mala experiencia”.
Como dicen, es mejor curarse en salud.
Durante mis lecciones, compartimos historias, utilizamos material de YouTube, creamos actividades en grupo donde se compartan ciertas historias o preguntamos a los participantes si tienen alguna experiencia personal/laboral/organizacional que quieran compartir con otros.
Estos ejercicios lo hacemos solo en grupos con los que podamos establecer discreción. Lo que se habla en el grupo, se queda en el grupo. Crear un lugar seguro y confianza mutua durante las capacitaciones es de crucial importancia para su efectividad.
Trabajar en ejemplos específicos tiene un valor educativo, pero también es un trampolín para seguir adelante y empezar a trabajar en cómo prevenir este tipo de situaciones, qué tipo de herramientas y contramedidas podemos utilizar para este propósito.
La prevención es la mejor cura y la mejor técnica para darnos cuenta de lo que podría sucedernos a tiempo, en vez de aprender de las consecuencias.
Hay miles de tipos de amenazas, engaños y delitos cibernéticos esperándonos en el espacio cibernético y la mayoría de personas somos propensas a caer víctimas de ellos. Por eso, a la hora de elegir una aplicación o un programa específico que pueda ser recomendado a un público objetivo concreto, siempre es bueno ajustarlo a las necesidades del grupo, al tiempo del que disponemos y al nivel de conocimiento tecnológico del grupo.
Sin embargo, podemos considerar algunos temas y herramientas de capacitación comunes que creo que pueden ser universales y que deberían ser ampliamente conocidos por todos los usuarios de Internet. Dicho esto, me gustaría enfatizar que es mi elección subjetiva y no agota en absoluto la gama de soluciones disponibles.
Este es mi top 10 de temas a incluir en una clase sobre seguridad social:
1. ¿Cómo definir “seguridad” y “privacidad?
2. ¿Qué puede salir mal? Tipos de amenazas de seguridad: phishing, técnicas sociales, hacking, etc.
3. ¿Qué información y datos pueden considerarse “sensibles”?
4. Redes sociales, privacidad y configuración de seguridad.
5. Administración de contraseñas y generador de contraseña.
6. Autenticación de doble factor.
7. Mensajería segura y cómo usarla.
8. Correos seguros.
9. Herramientas de cifrado de información.
10. Dispositivos móviles y configuración de seguridad.
Cada uno de estos temas es lo suficientemente amplio como para hacer un taller separado sobre cada uno, pero dado que generalmente nos enfrentamos a un tiempo limitado durante la capacitación, debemos conformarnos con el tiempo que tengamos y tomar algunas decisiones. Lo que nosotros, como capacitadores, también debemos hacer es decidir cada vez qué tan profundamente en un tema nos gustaría aventurarnos con nuestra explicación:
· ¿Solo intentamos recomendar una herramienta en específico?
· ¿Debería explicar cómo funciona y para qué utilizarla?
· ¿De pronto deberías mostrarle a la audiencia diferentes herramientas o posibilidad, pero no recomendar una en específico?
Por ejemplo, cuando hablamos de un administrador de contraseñas, podemos recomendar una herramienta específica, como KeePass, y ayudar a las personas a instalarla, o podemos mostrarles otra herramienta con características similares para comparar y dejar que la audiencia decida cuál necesitaría.
En mi opinión, el segundo enfoque suele ser más eficaz; Sin embargo, requiere más tiempo y un grupo de personas interesadas en aprender cómo funcionan las cosas.
Debemos tener en cuenta que también hay participantes que vienen al taller de seguridad digital y solo necesitan una herramienta simple, que requiere una instalación rápida, que esté lista para funcionar en segundos y que no quisieran perder tiempo analizando cómo funciona o qué alternativas pueden haber.
Personalmente, creo que "menos es más" y, a veces, vale la pena dedicar un poco más de tiempo a explicar un solo tema en profundidad, en lugar de tratar brevemente de cubrir tantos de ellos como sea posible. El tiempo suele ser escaso dada la gran cantidad de material que se puede cubrir durante una capacitación de seguridad digital, por lo que se considera una buena práctica preparar una hoja de referencias para los participantes, con una lista de enlaces a varias herramientas útiles y recursos viables, con los que personas se pueden familiarizar en su propio tiempo y después del entrenamiento.
A continuación, comparto una corta lista de referencia:
Buscadores alternativos:
Bing: https://www.bing.com/?setlang=es
· DuckDuckGo: https://duckduckgo.com
¿Se filtró tu correo electrónico? Revisa esta página: https://haveibeenpwned.com
Servicios de mensajería seguros:
· Messaging Apps Comparision: https://niebezpiecznik.pl/wp-content/uploads/2018/08/Secure_Messaging_Apps_Comparison___Privacy_Matters.jpg
· Wire: https://wire.com/en/
· Signal: https://signal.org/pl/download/
Correo electrónico seguro: ProtonMail - link: https://protonmail.com/es/
Administrador de contraseñas: KeePass: https://keepass.info/download.html
Estos son solo unos ejemplos. Hay muchas, demasiadas recomendaciones o herramientas que vale la pena conocer. La seguridad digital es un área sin límites por explorar...
¡Navega seguro!
Ilustración de fondo: Photo by Photon photo from shutterstock / shutterstock license