Entrevista con Lluvia con Truenos Radio
La siguiente entrevista fue concedida a Lluvia con Truenos Radio para dar a conocer nuestro proyecto, nuestros retos y tratar varias problemáticas relacionadas con la seguridad informática en el ámbito militante. La entrevista original puede escucharse en este enlace.
Entrevista
Lo primero de todo, desde el Colectivo 406 queremos saludar y agradecer a los integrantes de la radio Lluvia con Truenos la oportunidad que nos han brindado para expandir las ideas que animan a nuestro colectivo. Es la primera vez aceptamos una entrevista y que probamos la validez de este formato, por lo que esperamos que sea de utilidad para que los oyentes conozcan nuestros objetivos y nuestro trabajo.
¿Qué es y por qué surge colectivo 406?
El colectivo 406 nace a raíz de la puesta en común de una serie de preocupaciones concernientes a la seguridad informática por parte de varias personas que tenemos una trayectoria militante en la que hemos visto, por lo general, una gran carencia de conocimientos y de prácticas en esta materia. Esto se sumó a determinadas reflexiones más teóricas en torno al software libre y su relación con el comunismo o la sociedad sin clases. Estas son las dos principales razones del nacimiento de nuestro colectivo. Por un lado, la preocupación por la seguridad de la militancia y, por otro, la reflexión en torno a las formas productivas del software libre. Así es como decidimos que era hora de dar un paso al frente y crear un colectivo que abordase la seguridad informática, para que dejásemos de ver prácticas inseguras en espacios militantes. Esto supuso un gran reto, ya que entre el nivel técnico que podíamos llegar a tener nosotros u otros militantes con formación en el ámbito tecnológico y entre el nivel técnico de la militancia en general, había un abismo que teníamos que sortear por medio del esclarecimiento de los medios más adecuados y didácticos posibles. Por tanto, tuvimos que empezar a trabajar en guías que, sin dejar de lado el rigor científico, fuesen comprensibles por la militancia en su conjunto.
En cuanto a qué somos, en nuestro Manifiesto esclarecemos que somos un colectivo abierto, es decir, dispuesto a la asociación y colaboración con organizaciones y que, además, tenemos un carácter partidario, es decir, que no vacilamos en hilar toda nuestra actividad con un enfoque militante hacia la abolición de la sociedad de clases. Grupos que tratan la seguridad informática hay muchos, incluso los hay que tienen un carácter político marcado. Sin embargo, creemos que lo que puede diferenciarnos es nuestro objetivo abiertamente comunista de formar integralmente a militantes en los peligros y en las ventajas de la tecnología, así como pensar el lugar de éstas en el comunismo, entendido como proyecto y como proceso.
¿Por qué es importante la cultura de la seguridad informática y de las comunicaciones?
En general, la cultura en ciberseguridad es importante porque a mayor presencia de la tecnología informática en todas las esferas de nuestra vida, más nos exponemos a las amenazas que pueden explotar sus vulnerabilidades. En la militancia, en concreto, esto se traduce en la exposición a la represión, al espionaje estatal y a la limitación a la hora de avanzar en la organización independiente del proletariado. Muchas veces nos pensamos que los medios tecnológicos, por ser de gran utilidad, pueden usarse a la ligera. Así, vemos cómo creamos, por ejemplo, grandes canales de Telegram para organizar una manifestación, sin darnos cuenta de que ese es el primer paso hacia la represión. Utilizamos herramientas de todo tipo para la labor militante, pero como no conocemos su funcionamiento, no sabemos juzgar si son seguras o no. Por eso es importante la cultura de seguridad informática, para usar esas herramientas tan útiles que nos ha brindado el desarrollo de la informática de forma tal que no suponga tanto peligro para la continuidad de nuestra militancia.
Sabiendo esto, ¿Cuál es el ABC de la cultura de la seguridad informática y de las comunicaciones?
Hay varias formas de enfocarlo. Normalmente, en el ámbito académico y empresarial, la seguridad informática se define como la preservación de la confidencialidad, la integridad y la disponibilidad. Existen otras dimensiones, pero esas tres son las esenciales. Confidencialidad significa que a la información solo puedan acceder las personas autorizadas. Integridad, que la información no pueda ser alterada sin autorización. Disponibilidad, que la información sea accesible cuando se necesita. Si bien esto es válido para la militancia, es más fácil comprender que el ABC de la ciberseguridad militante son la minimización y la desconfianza. Minimización, porque no hay que usar más tecnología que la estrictamente necesaria. Si la usamos más de lo que la necesitamos, más expuestos estaremos a potenciales amenazas, es decir, a la represión. La desconfianza debe entenderse como no confiar en la tecnología cuando no sabemos cómo funciona, pero incluso si sabemos cómo funciona y sabemos que teóricamente es segura, tampoco confiar. La seguridad completa nunca existe y, por ello, debemos saber qué cosas merecen ser dichas por vías telemáticas y cuales es mejor decir por medios tradicionales, como son el papel escrito o el boca a boca. Aún así, siempre es mejor usar la tecnología segura que utilizar la no segura, por mucho que no haya que confiar del todo. Como decimos, la tecnología puede ser de gran ayuda para la actividad militante, pero debemos ser conscientes de que dispone de un doble filo. La higiene digital que queremos expresar es debida a que hay sucesos que revelan la escasez de este conocimiento en estos grupos.
¿Qué medidas de seguridad tenemos que tener en cuenta con los dispositivos móviles si queremos tener una asamblea donde se trate información sensible?
La regla más clásica es la de alejar el móvil del lugar de la reunión, para que no se nos pueda espiar ni por el micrófono ni por la cámara. Ahora bien, este no es el único peligro al que nos enfrentamos en las asambleas. Cuando vamos a una asamblea y llevamos el móvil encendido, si estamos siendo vigilados o si en el futuro se quiere rastrear qué hemos hecho en el pasado, hay multitud de métodos para saber que estuvimos en el lugar de la asamblea un día a determinada hora y, además, saber qué otros móviles estuvieron también en la asamblea. Por ello, lo mejor es siempre dejar el móvil en casa, aunque no siempre es factible, por lo que otra solución puede ser el uso de jaulas Faraday, es decir, unas bolsas o cajas que aíslan los dispositivos electrónicos de tal forma que ninguna señal puede entrar ni salir de ellos. Además, se debe evitar hablar de lo que se ha hablado en la asamblea a través del móvil o cuando este está delante él. En resumen, tenemos que pensar en los teléfonos móviles como si fuesen micrófonos espías que escuchan todo el rato y de ahí derivar qué hacer con ellos.
Hoy en día mucho del activismo que se realiza por parte de los movimientos sociales es a través de las RRSS. Vosotres conocedores de las fisuras en cuanto a la seguridad del sistema cibernético ¿Qué medidas de protección tendremos que tener en cuenta para no tener una sorpresa desagradable con la represión?
Lo más adecuado es siempre intentar anonimizar las cuentas en redes sociales si se ha decidido que son útiles para la labor militante. Los métodos para crear y usar cuentas de forma anónima varían según la red social que utilicemos, por lo que no hay una receta mágica. Por ejemplo, hace poco publicamos una guía sobre cómo crear cuentas anónimas en Twitter. Para ello, se debe hacer por medio de la red Tor, una red que teóricamente nos hace anónimos en la red. Pero, como decimos, no solo se trata de usar un medio que nos hace anónimos, sino también evitar dar pistas sobre quién somos. Por poner un ejemplo tonto, de nada vale crear una cuenta anónima en una red social si luego nuestro nickname está compuesto por nuestro nombre y fecha de nacimiento. Lo mismo con todo lo que publiquemos por la red social, que pueden ser miguitas que permitan seguir el camino hacia nuestra identificación. Otro ejemplo serían los metadatos de las imágenes y documentos que subimos a Internet. Estos son datos ocultos añadidos a estos documentos que a veces esconden información tan importante como el nombre del autor, nombre del dispositivo, etc. También hay que evitar subir imágenes de militantes a las redes sociales y, si se hace, lo mejor es utilizar herramientas para difuminar los rostros o partes de la imagen que sirvan para identificar a personas. Para solucionar estos dos problemas, nuestro colectivo recogió y modificó una herramienta que permite borrar metadatos de imágenes y difuminar partes de las mismas, herramienta que está disponible en nuestra página web y que publicamos como código abierto, para que pueda confiarse en ella y mejorarla si se desea.
Otra cuestión importante es la de saber medir en qué momento, lugar y con quién decir cosas que potencialmente puedan llamar la atención de las autoridades. A veces es mejor esconder ciertas ideas políticas que exponerse a la represión, sobre todo cuando decirlas es innecesario. Y no solo esconder ciertas ideas, sino también no hablar cuestiones sensibles por las redes sociales, por ejemplo, hablar con un compañero sobre la reunión del otro día, dar datos personales de otros militantes, aunque sean de otras organizaciones, etc. En Twitter, los mensajes privados no son privados, porque no están cifrados. Lo mismo ocurre en Instagram, en Facebook y en otras redes sociales o sistemas de mensajería como Whatsapp o Telegram, donde, pese a estar cifrados, existen razones de peso para no confiar en que nuestras conversaciones serán secretas.
¿Que opináis de la frase “Yo no tengo que tomar medidas de seguridad porque yo no tengo nada que esconder”?
En la militancia, si alguien dice eso es porque o no quiere superar la sociedad de clases o porque no está concienciado del peligro al que se expone un militante que busca ese objetivo. Es tan simple como eso. Cualquiera que eche un vistazo a la historia sabe que la militancia política siempre es algo arriesgado, sobre todo cuando lo que se quiere es abolir el orden de cosas actual. Fuera de la militancia, nos da más bien igual lo que opine la gente, aunque, en general, la gente cambia de opinión cuando se le muestran ejemplos prácticos de todo lo que se puede hacer con sus datos. Incluso desde un punto de vista alejado de la política, no preocuparse por la privacidad propia puede conllevar caer en estafas bancarias, amenazas, chantajes y otro tipo de actividades que, seguro, no son del agrado de las personas que abanderan que no tienen nada que esconder.
¿Cuales son las herramientas básicas que recomendáis para el anomimato en internet?
Las herramientas fundamentales son las redes de anonimato como Tor, I2P o Freenet, junto con navegadores respetuosos con la privacidad que, por desgracia, son pocos. Con un poco de esfuerzo, Firefox y Chromium pueden modificarse para ser bastante seguros y, hasta cierto punto, privados. Lo más fácil es usar el Navegador Tor, que no es más que una modificación de Firefox para navegar por la red Tor y con una configuración por defecto que preserva el anonimato. Es tan fácil como descargarlo, abrirlo y navegar. Si se quiere más anonimato, puede usarse Tails, un sistema operativo que pasa toda su conexión por la red Tor y que se puede ejecutar desde un USB en un ordenador cualquiera y sin necesidad de instalarlo. Una vez terminada la sesión en Tails, no se guardará ningún dato en la computadora o dispositivo USB. Existen otros sistemas operativos similares como es el caso de Whonix. En Android también existe el Navegador Tor y en iPhone el Onion Browser. Para navegar por el contenido de redes sociales se pueden usar clientes de código abierto, es decir, páginas web o programas que hacen de intermediarios con los servidores de las redes sociales sin exponernos. Por ejemplo, para Twitter se puede usar Nitter y para Youtube se puede usar Piped.
Sabemos que es mucha información y que hemos dejado muchas herramientas sin mencionar. La mejor solución, en nuestra opinión, es el ecosistema Tor, es decir, un conjunto de herramientas que se han desarrollado para utilizar la red Tor y a las que les dedicamos una guía en nuestra página web.
¿Qué limitaciones tienen estas herramientas?
Alguna vez hemos señalado que las limitaciones son de dos tipos. El primer tipo son las técnicas, o sea, fallos en el funcionamiento práctico de las herramientas. Ante este tipo de limitación, poco se puede hacer sin los conocimientos para solucionarlo. Hay muchas herramientas de privacidad y seguridad desarrolladas por grupos de interesados que han dedicado su tiempo libre a desarrollar programas y mantienen el desarrollo del código gracias a donaciones. Por eso, pueden darse fallos en el funcionamiento que los desarrolladores no han localizado, pero gracias a que el código es público y abierto, todos los interesados con suficientes conocimientos pueden aportar al código, reportar problemas e incluso solucionarlos.
El otro tipo son las limitaciones humanas o errores humanos. Por muy eficaces que sean las herramientas, si no se usan con responsabilidad, el anonimato se perderá o la seguridad no será tan eficaz. Ponemos otra vez el ejemplo de la cuenta anónima en Twitter: si se crea una cuenta anónima, habrá que hacer el esfuerzo por no dar información que pueda identificarnos.
¿Por qué pensáis que le cuesta tanto a les militantes estos hábitos y herramientas en su día a día? ¿Pensáis que esto está cambiando?
Es muy conocida la tesis de la comodidad vs. la seguridad. Hay veces que para usar de forma segura un ámbito de la tecnología es necesario dejar de lado ciertas comodidades. Por ejemplo, si una organización quiere utilizar el sistema operativo Tails para preservar su anonimato y no dejar rastro de su actividad, tendrá que aprender a descargar el sistema operativo, instalarlo en un USB, entrar en la BIOS del ordenador y seleccionar el arranque del USB. Esto no es algo fácil de hacer cuando no se sabe, pero creemos que mediante disciplina voluntaria y talleres se pueden convertir en hábitos sencillos.
Nos gustaría creer que esto está cambiando, pero estamos lejos de ver un gran cambio. Es cierto que hemos oído hablar mucho de nosotros, se han compartido muchísimo nuestras guías, organizaciones de muchos países nos han contactado en busca de asesoramiento y, al menos, la gente está más concienciada. Sin embargo y por desgracia, seguimos viendo cómo organizaciones que dicen tomarse en serio la revolución no aplican medidas tan fáciles como utilizar formularios seguros o difuminar las caras de los militantes en actos o manifestaciones. Va a ser necesario un esfuerzo colectivo mayor para entender que no todo vale cuando usamos la tecnología informática.
Cada día es más común ver como la gente se encuentra y organiza a través de grupos de whatsapp o telegram, en lugar de la asamblea como espacio físico. Ambas herramientas de mensajería instantánea son propiedad de empresas que atienden a intereses privados lucrativos, donde es precisamente la información lo primordial dentro de su modelo de negocio. ¿qué alternativas o recomendaciones nos podéis recomendar que sean más seguras para la comunicación entre activistas?
La herramienta más útil en este sentido es Signal o, como solemos recomendar, una modificación de Signal llamada Molly que ofrece mejores características. Esta aplicación mantiene un excelente equilibrio entre seguridad y comodidad, permitiendo hacer todo lo que hacen aplicaciones como Whatsapp o Telegram, pero sin recopilar datos personales de forma masiva y poniendo un gran esfuerzo en la seguridad. Es cierto que Signal requiere del número de teléfono móvil para el registro, por lo que lo hace poco recomendable cuando se quieren crear canales o grupos con gente desconocida. En estos casos, hay herramientas alternativas que detallamos en nuestra guía sobre mensajería instantánea como son XMPP o Briar. Hemos llegado a recomendar alguna vez Matrix, pero últimamente nos han aquejado dudas sobre su idoneidad, ya que recoge una gran cantidad de metadatos, su diseño es ineficiente, es difícil de desplegar y otras razones. En el caso de videollamadas, Jitsi, Signal y Mumble son buenas herramientas y proveen buena seguridad y buena experiencia de usuario. Siempre intentaremos utilizar estas herramientas por medio de la red Tor o alguna red de anonimato, para cubrirnos las espaldas en el caso de que las autoridades consigan encontrar y explotar un fallo de seguridad en las aplicaciones, de tal modo que no les sea tan fácil identificarnos.
A veces la simple acción de compartir un tweet o dar un like, sirve para crear un mapa de afinidades y alianzas y la policía pude establecer relaciones entre militantes Nos podéis explicar cómo funciona y cómo podemos prevenirlo?
Hace poco publicamos en Twitter un hilo explicando cómo funcionaban los tokens que a veces llevan los enlaces de los tweets cuando los compartimos. Este hilo fue el que sin duda más repercusión tuvo de todos los posts que hemos publicado, lo que nos hizo comprender que la gente estaba realmente preocupada por estas cosas. Tenemos que entender que las empresas privadas dedicadas a la tecnología suelen hacer negocio con nuestros datos. Por eso, utilizan una gran variedad de métodos para establecer nuestros gustos y afinidades, así como las personas con las que nos relacionamos. Uno de estos métodos son los tokens en los enlaces, que consisten en una sección del enlace añadida para identificar quién ha compartido el enlace al post. Esto no solo se hace en Twitter. Si bien varía la forma en la que esto se hace en otras plataformas, la solución suele ser tan fácil como borrar la parte del token del enlace, antes de compartirlo con otros militantes.
En el caso de los likes a posts, es evidente que los gustos que una persona muestra por redes sociales puede utilizarse para determinar su pertenencia a una organización o determinar sus afinidades políticas. Solucionar esto depende del caso, pero lo mejor suele ser anonimizar la cuenta que utilizamos para redes sociales o, si no se sabe o no se quiere anonimizar la cuenta, intentar mantener un perfil bajo.
Por último, queremos reiterar de nuevo nuestro agradecimiento a Lluvia con Truenos por la oportunidad que nos han brindado para dar a conocer nuestro espacio. Esperamos que haya valido la pena para toda aquella persona que quiera acercarse a conocer nuestra actividad y pueda realizar aportaciones militantes en este frente de las Tecnologías de la Información y de la Comunicación. También queremos recordar que pueden acceder a todas nuestras publicaciones en nuestra web 406.neocities.org y seguirnos en Twitter en la cuenta @colectivo406 y en Mastodon en la cuenta @406@mastodon.social.