Modelo de amenazas y modelo de confianza
Al pensar en el anonimato, hay algo que debe decidirse primero.
Es: "de quién y qué quieres proteger".
No es realista ocultar por completo toda la información frente a todos los posibles actores. Además, las medidas necesarias cambian según la persona.
Una persona particular, un periodista, una persona denunciante, una activista y una responsable dentro de una empresa tienen cosas distintas que proteger y actores distintos que prever.
La forma de ordenar esta premisa es el modelo de amenazas. Y la forma de ordenar en qué servicios o personas se confía es el modelo de confianza.
Este artículo ordena el modelo de amenazas y el modelo de confianza como premisas para pensar en el anonimato.
Qué es un modelo de amenazas
Un modelo de amenazas es una forma de ordenar quién apunta a qué y por qué medios nace el riesgo.
En anonimato, se empieza con preguntas como estas.
- De quién quieres protegerte
- Qué no quieres que se sepa
- Qué información sería problemática si se conectara
- Qué nivel de capacidad tiene la otra parte
- Hasta qué nivel de riesgo puedes tolerar
Por ejemplo, las medidas necesarias son completamente distintas si no quieres que una amistad conozca una cuenta alternativa, o si necesitas proteger una fuente frente a una organización con mucho poder.
Si eliges medidas sin crear un modelo de amenazas, puedes hacer algo más complejo de lo necesario o, al contrario, pasar por alto riesgos importantes.
Decide qué quieres proteger
Lo primero que hay que pensar es qué quieres proteger.
En anonimato, el objetivo que se protege no es solo el nombre real.
| Lo que quieres proteger | Ejemplo |
|---|---|
| Nombre real | Nombre, rostro, documento de identidad, cuenta con nombre real |
| Afiliación | Lugar de trabajo, escuela, organización, departamento |
| Lugares rutinarios | Dirección, zona de desplazamiento al trabajo, lugares que frecuentas |
| Fuentes y personas relacionadas | Informantes, colaboradores, compañeros |
| Actividad | Publicaciones, investigaciones, denuncias, historial de navegación |
| Ruta de comunicación | Dirección IP, DNS, destino de conexión, hora de comunicación |
No basta con decir "quiero ser anónimo". Hay que pensar de forma concreta qué sería problemático si se conectara con qué.
Decide de quién quieres protegerte
Después, piensa en la otra parte.
En anonimato, la información visible y los medios disponibles cambian según la otra parte.
| Actor | Información que podría ver | Punto de atención |
|---|---|---|
| Sitio web de destino | Dirección IP, , estado de sesión iniciada, contenido de la solicitud | Influyen los logs del sitio y la información de la cuenta |
| ISP u operador de comunicaciones | Hora de conexión, IP de destino, volumen de tráfico, etc. | Es difícil leer el contenido de HTTPS, pero pueden quedar metadatos |
| Proveedor de | Información relacionada con las conexiones de los usuarios de la VPN | Al usar una VPN, el destinatario de confianza pasa al proveedor de VPN |
| Usuarios del mismo Wi-Fi | Comunicación no cifrada, estado de conexión | Hay que prestar especial atención en Wi-Fi público |
| Lugar de trabajo o escuela | Dispositivo, red, logs, sistemas de administración | Puede haber permisos de administración fuertes |
| Investigadores o terceros | Información pública, publicaciones, imágenes, cuentas pasadas | Puede haber correlación mediante OSINT |
Al decidir la otra parte, las medidas necesarias se vuelven más visibles.
Estima la capacidad de la otra parte
No solo importa quién es la otra parte, sino también qué nivel de capacidad tiene.
¿Una amistad solo busca en redes sociales? ¿El operador del servicio puede ver logs de acceso? ¿La administración del trabajo o de la escuela puede ver logs de red? ¿Un organismo estatal puede solicitar registros a un operador de comunicaciones?
Si la capacidad cambia, también cambian las medidas necesarias.
| Capacidad | Lo que podría hacer |
|---|---|
| Búsqueda de información pública | Buscar nombres de usuario, imágenes y publicaciones pasadas |
| Revisión de logs dentro del servicio | Ver dirección IP, historial de inicio de sesión e historial de operaciones |
| Administración de red | Ver destinos de conexión, volumen de tráfico y consultas DNS |
| Administración de dispositivos | Ver historial del navegador, aplicaciones instaladas y archivos |
| Facultades legales | Solicitar revelación de registros a proveedores |
Si se supone la capacidad máxima para todos los actores, actuar de forma realista se vuelve difícil. Por otro lado, estimar demasiado baja la capacidad de la otra parte es peligroso.
Hay que pensar dentro de un rango realista, de acuerdo con el objetivo.
Qué es un modelo de confianza
Un modelo de confianza es una forma de ordenar a quién se confía y a quién no se confía al usar un mecanismo.
Cuando usas herramientas de anonimato, cambia quién puede ver la información. La información visible no desaparece; en algunos casos se mueve a otra parte.
Por ejemplo, al usar una VPN, puede ser más difícil que el sitio web de destino vea la IP de tu casa. Sin embargo, el proveedor de VPN puede ver información relacionada con la comunicación del usuario.
Al usar , el destino puede ver un nodo de salida de Tor. Pero si usas Tor de forma incorrecta, el estado de sesión iniciada o la información del navegador pueden conectarse contigo.
| Método | Actor o mecanismo en el que se confía | Punto de atención |
|---|---|---|
| Conexión normal | ISP, servicio de destino | Puede verse la IP de casa o del trabajo |
| VPN | Proveedor de VPN | Hay que confiar en la política de logs y la operación del proveedor de VPN |
| Tor | Diseño de la red Tor, uso de Tor Browser | Si se usa mal, quedan otras pistas |
| Wi-Fi público | Operador del Wi-Fi, entorno del lugar | Puede conectarse con logs del lugar o cámaras de vigilancia |
| Servicios en la nube | Operador del servicio | Intervienen cuentas, logs y datos almacenados |
Al pensar en anonimato, no basta con preguntar "si esta herramienta es segura"; hay que mirar "en quién confía este diseño".
Sin modelo de amenazas, las medidas se desvían
Sin un modelo de amenazas, las medidas tienden a desviarse del objetivo.
Por ejemplo, si solo no quieres mostrar la IP de tu casa al sitio web de destino, una VPN puede ser suficiente. Pero si consideras al proveedor de VPN como una parte en la que no puedes confiar, quizá una VPN sola no encaje con el objetivo.
Si no quieres vincular una cuenta con nombre real y una cuenta anónima, puede que Cookie, estado de sesión iniciada, separación del navegador, estilo de escritura y hora de publicación sean más importantes que la ruta de comunicación.
Si una persona denunciante maneja documentos internos de una organización, no solo importa la ruta de red; también importan los metadatos del documento, los permisos de acceso, el historial de distribución y la fiabilidad del destino de consulta.
Las medidas cambian según lo que quieres proteger y la otra parte.
Piensa por niveles de riesgo
El modelo de amenazas no sirve para suponer siempre el peligro máximo.
El riesgo tiene niveles. Una persona que quiere publicar sobre aficiones con otro nombre y una persona que denuncia irregularidades en su lugar de trabajo usan la misma palabra, anonimato, pero necesitan preparaciones distintas.
| Situación | Actor principal | Medidas a priorizar |
|---|---|---|
| Publicación de bajo riesgo con otro nombre | Conocidos, terceros que buscan | Evitar reutilizar nombre de usuario, estilo de escritura e imágenes |
| Consulta que no quieres que conozca el trabajo | Personas del trabajo, operador del servicio | Evitar dispositivos del trabajo y difuminar contenido y hora |
| Protección de fuentes | Organizaciones relacionadas, investigadores | Mirar la ruta de contacto, los materiales y la reconstrucción desde el artículo publicado |
| Denuncia de irregularidades | Organización, actores con facultades legales | Tratar con cuidado metadatos de documentos, historial de acceso y destino de envío |
| Acceso a información bajo censura | ISP, organismos estatales, operadores de servicios | Pensar por separado en ruta de comunicación, dispositivo y seguridad física |
Cuanto mayor sea el riesgo, más importante es no decidir solo con artículos.
Usar destinos de consulta confiables, como abogados, organizaciones de apoyo o responsables de seguridad en medios, también forma parte del modelo de amenazas.
Un modelo de amenazas sencillo para empezar
No es necesario crear un modelo de amenazas complejo desde el principio.
Para empezar, basta con rellenar una tabla como la siguiente.
| Pregunta | Ejemplo |
|---|---|
| Qué quieres proteger | Nombre real, lugar de trabajo, fuente, lugares rutinarios, cuenta anónima |
| De quién quieres protegerte | Sitio de destino, trabajo, escuela, terceros, organismo estatal |
| Qué sería problemático si se conectara | Cuenta con nombre real y publicación anónima, IP y hora de publicación, documento y autor |
| Qué puede ver la otra parte | Información pública, logs de servidor, logs de comunicación, información del dispositivo |
| En quién confías | Proveedor de VPN, servicio donde publicas, destino de consulta, entorno del dispositivo |
| Hasta dónde puedes tolerar | Publicación anónima de bajo riesgo o denuncia de alto riesgo |
Solo pensar esto ya ordena bastante las medidas necesarias.
Resumen
Un modelo de amenazas es una forma de ordenar de quién y qué quieres proteger. Un modelo de confianza es una forma de ordenar bajo qué premisa confías en qué actores o servicios al actuar.
En anonimato, no es realista ocultarlo todo frente a todos los actores. Hay que pensar por separado en lo que quieres proteger, los actores previstos, su capacidad, las pistas que quedan y las partes en las que confías.
Medidas como VPN, Tor, Wi-Fi público, cifrado y separación de cuentas cambian de significado según el objetivo.
El punto de partida para pensar en el anonimato es decidir "de quién, qué y en qué medida quieres proteger".
Herramientas relacionadas
WhatIsMyIP
Recurso externo relacionado con este artículo. Ábrelo solo si encaja con tu situación y tu modelo de amenaza.
Por qué aparece aquí: Puede ayudar con el tema del artículo, pero está fuera de Anonymity Sense y conviene revisarlo antes de usarlo.
Tor Project
Recurso externo relacionado con este artículo. Ábrelo solo si encaja con tu situación y tu modelo de amenaza.
Por qué aparece aquí: Puede ayudar con el tema del artículo, pero está fuera de Anonymity Sense y conviene revisarlo antes de usarlo.
Proton VPN
Recurso externo relacionado con este artículo. Ábrelo solo si encaja con tu situación y tu modelo de amenaza.
Por qué aparece aquí: Puede ayudar con el tema del artículo, pero está fuera de Anonymity Sense y conviene revisarlo antes de usarlo.
URL : https://protonvpn.com/
Mullvad VPN
Recurso externo relacionado con este artículo. Ábrelo solo si encaja con tu situación y tu modelo de amenaza.
Por qué aparece aquí: Puede ayudar con el tema del artículo, pero está fuera de Anonymity Sense y conviene revisarlo antes de usarlo.
URL : https://mullvad.net/