Por qué el anonimato no puede garantizarse
Cuando se aprende sobre anonimato, es natural querer encontrar una respuesta como "si hago esto, estoy seguro".
¿Usar es seguro? ¿Usar una es suficiente? ¿Si elimino las ya no me rastrean? ¿Si elimino los metadatos se oculta mi identidad?
La respuesta es que ninguna de esas cosas basta por sí sola.
El anonimato no puede garantizarse con una sola configuración. Se decide por la combinación de comunicación, dispositivo, navegador, cuenta, contenido publicado, tiempo, información pasada y capacidad de la otra parte.
Este artículo ordena por qué el anonimato no puede garantizarse por completo.
El anonimato no se decide como estado, sino como relación
El anonimato no es un estado que queda completo al "entrar en modo anónimo".
De quién quieres ocultarte. Qué quieres ocultar. Durante cuánto tiempo quieres protegerlo. Cuánta capacidad de investigación tiene la otra parte.
Según esto, las medidas necesarias cambian.
| Perspectiva | Ejemplo | Impacto en el anonimato |
|---|---|---|
| Otra parte | Usuarios generales, operador del sitio, lugar de trabajo, organismo estatal | Las medidas necesarias cambian según su capacidad de investigación |
| Objeto protegido | IP, identidad, lugar, fuente, familia | Las pistas que hay que mirar cambian según la información que se oculta |
| Periodo | Una publicación, varios meses de actividad, operación a largo plazo | Cuanto más largo, más aumentan errores y correlaciones |
| Alcance de la acción | Solo navegación, publicación, contacto, compartir archivos | Cuantas más acciones, más pistas |
El anonimato se decide no solo por la tecnología, sino también por la situación. Por eso no puede crearse un "procedimiento de seguridad perfecta" común para todas las personas.
Las herramientas solo protegen una parte
Las herramientas de anonimato tienen cada una un alcance de protección.
La VPN cambia la dirección IP visible desde el destino. Tor dificulta la vinculación directa entre origen y destino de conexión. Las herramientas de eliminación de metadatos reducen la información de creación que queda en archivos. La separación del navegador reduce la mezcla de Cookie y estado de sesión iniciada.
Sin embargo, ninguna herramienta lo protege todo.
| Herramienta o medida | Lo que tiende a proteger | Lo que queda |
|---|---|---|
| VPN | IP de casa visible desde el destino | Confianza en el proveedor de VPN, Cookie, estado de sesión iniciada |
| Tor | Vinculación directa entre origen y destino de conexión | Inicio de sesión real, contenido publicado, comunicación fuera de Tor |
| Eliminación de metadatos | Información de creación dentro del archivo | Fondo de la imagen, texto, nombre de archivo |
| Separación del navegador | Mezcla de Cookie e historial | Estilo de escritura, hora de publicación, correlación del contenido |
| Cifrado | Lectura no autorizada del contenido de la comunicación | Servidor de destino, volumen de tráfico, timing |
Las herramientas son importantes. Pero las herramientas solo sostienen una parte del anonimato.
La correlación ocurre después
Una de las razones por las que el anonimato es difícil es que la correlación ocurre después.
Información que no parecía problemática en el momento de publicar puede conectarse seis meses después con otra publicación u otra filtración.
Por ejemplo, supón que escribes sobre un antiguo lugar de trabajo desde una cuenta anónima. En ese momento, quizá no se sepa de quién se trata.
Sin embargo, si después se encuentra un blog con nombre real del mismo estilo, publicaciones en redes sociales de la misma época, la misma imagen o el mismo campo especializado, los candidatos se reducen.
El anonimato no puede juzgarse solo en ese momento. Hay que pensar también en información pasada e información futura.
Que la correlación ocurra después significa que es peligroso juzgar "ahora nadie lo mira, así que está bien".
La publicación de hoy puede conectarse en el futuro con un perfil, datos filtrados, resultados de búsqueda, otra cuenta, fotos, noticias o documentos públicos. La información publicada una vez se combina con información futura.
| Información que das ahora | Lo que se conecta después |
|---|---|
| Relato de experiencia laboral | Perfil de un nuevo trabajo o historial pasado |
| Foto regional | Publicación posterior sobre lugares rutinarios |
| Estilo de escritura peculiar | Blog con nombre real o artículos bajo otro nombre |
| Hora de publicación | Historial de inicio de sesión o logs de comunicación |
| Información parcial de un archivo | Original o documento interno que aparece después |
No se pueden reducir a cero los errores humanos
Lo que rompe el anonimato no son solo debilidades técnicas.
Los errores humanos también son una causa grande.
- Iniciar sesión en una cuenta con nombre real desde el navegador para uso anónimo
- Registrarse con una dirección de correo para uso con nombre real
- Reutilizar la misma imagen
- Publicar con prisa y olvidar revisar metadatos
- Buscar sobre la actividad anónima desde una cuenta con nombre real
- Dejar ver lugares rutinarios en una respuesta
En una operación a largo plazo, un solo error se convierte en una pista grande.
Aquí también está la razón por la que el anonimato no puede garantizarse. Las personas se cansan. Tienen prisa. Se acostumbran. Y cuando se acostumbran, omiten revisiones.
La capacidad de la otra parte cambia
El anonimato también depende de la capacidad de la otra parte.
Algo que un lector general no sabe puede ser visible para el operador del sitio mediante logs. Algo que el operador del sitio no sabe puede ser visible para el operador de comunicaciones mediante registros de conexión. Una investigación difícil para una persona puede cotejarse con otros datos si la realiza una organización o un Estado.
| Otra parte | Lo que ve | Punto de atención |
|---|---|---|
| Visitante general | Contenido publicado, imágenes, estilo de escritura, perfil público | Reduce candidatos a partir del contenido |
| Operador del sitio | IP, Cookie, información de inicio de sesión, logs de acceso | Conecta información técnica y cuenta |
| Operador de comunicaciones | IP de destino, hora de comunicación, volumen de tráfico | Tiene metadatos distintos del contenido de la comunicación |
| Lugar de trabajo o escuela | Dispositivo, red, tiempo de uso, información interna | Puede cotejar con registros internos de la organización |
| Actor de alta capacidad | Cotejo de múltiples datos | Apunta a correlaciones a largo plazo |
Al pensar en anonimato, primero hay que decidir "frente a quién quieres mantener el anonimato".
Pensar en reducción de riesgo, no en garantía
El anonimato debe pensarse como reducción de riesgo, no como garantía.
No hacer que todo sea invisible, sino reducir las pistas que pueden correlacionarse. Separar para que un solo fallo no rompa el conjunto. Revisar antes de acciones de alto riesgo. No usar herramientas que no encajan con tu modelo de amenazas.
Esta forma de pensar es más realista.
| Forma de pensar | Problema | Forma de pensar realista |
|---|---|---|
| Garantizar anonimato completo | Si la premisa se rompe, falla | Reducir el riesgo por etapas |
| Sentirse seguro por el nombre de una herramienta | Se malentiende el alcance de protección | Mirar quién ve qué |
| Configurar una vez y terminar | En la operación a largo plazo aparecen errores | Revisar periódicamente |
| Mirar solo información aislada | Se pasa por alto la correlación | Mirar varias pistas en conjunto |
El anonimato no es una pared perfecta. Es un diseño para reducir pistas, dificultar conexiones y limitar el alcance de los fallos.
Con esta forma de pensar, también es más fácil decidir prioridades de medidas.
Primero, reducir los identificadores más fuertes. Después, reducir la mezcla de cuentas y navegadores. Luego, revisar contenido publicado, tiempo, archivos e información pasada.
Es más realista reducir pistas una por una que buscar una garantía.
Resumen
El anonimato no puede garantizarse por completo.
La razón es que el anonimato cambia según situación, otra parte, acción, periodo, tecnología y operación.
VPN, Tor, eliminación de metadatos, separación del navegador y cifrado son importantes. Pero cada uno protege un alcance distinto. Cookie, estado de sesión iniciada, contenido publicado, estilo de escritura, tiempo, información pasada y ruta de compartición quedan como problemas distintos.
Además, la correlación ocurre después. Información que hoy parece pequeña puede conectarse con información futura.
El anonimato debe pensarse como "reducción de riesgo", no como "garantía". Es importante decidir de quién y qué quieres proteger, reducir pistas, separar entornos y seguir revisando.