YOUstrangers (opportunistic)acquaintancesservice providerslaw enforcementnation-statewhich adversaries actually apply?

Modelo de amenaza personal

11 lectura mínimaPrivacidad

Los consejos de privacidad genéricos («use una VPN, habilite 2FA, use Signal») funcionan porque son defendibles para casi todos. Pero "¿contra quién te estás defendiendo realmente?" es la pregunta que convierte los consejos generales en opciones útiles. Un modelo de amenaza personal es el marco para descubrirlo sin caer en la paranoia.

El cuerpo completo del artículo se proporciona en inglés a continuación.

A modelo de amenaza es un análisis estructurado de quién podría querer atacarte, qué podrían hacer de manera realista y qué defensas tienen sentido en vista de ello. La misma persona podría tener un alto riesgo de sufrir una amenaza y no preocuparse por otra; sin un modelo, el esfuerzo se distribuye uniformemente entre ambos. Con uno, te concentras.

Las cuatro preguntas

El marco clásico de modelado de amenazas de Electronic Frontier Foundation pregunta:

  1. ¿Qué quieres proteger? (los activos)
  2. ¿De quién quieres protegerlo? (los adversarios)
  3. ¿Qué probabilidad hay de que necesites protegerlo? (la probabilidad de amenaza)
  4. ¿Qué tan graves son las consecuencias si fallas? (el impacto)
  5. ¿Cuántos problemas estás dispuesto a afrontar para evitar esas consecuencias? (el esfuerzo) presupuesto)

Las dos primeras preguntas son fáciles de formular, pero difíciles de responder específicamente. El tercero y el cuarto son donde la mayoría de los modelos de amenazas amateurs se desmoronan: sobreestiman la probabilidad de la amenaza y las consecuencias para escenarios de bajo riesgo. correos electrónicos, con quién habla y cuándo

  • Financial: cuentas bancarias, métodos de pago, billeteras criptográficas, información fiscal
  • Acceso a cuenta: credenciales y segundos factores para servicios importantes
  • Documentos: archivos de trabajo, registros personales, diarios, fotos
  • Historial de ubicación: dónde estás, adónde vas
  • Historial de navegación y consumo: lo que lees, miras y buscas

    • Categorías comunes de adversarios

    • Extraños (oportunista): ladrones aleatorios, estafadores y botnets que rellenan credenciales. No saben que existes; ellos rocían y cosechan.
    • Extraños (motivados): alguien que tiene una razón personal para atacarlo específicamente. Acosador, ex despreciado, acosador en línea.
    • Conocidos: familia, pareja, expareja, colegas. Saben cosas sobre usted y pueden tener acceso a sus dispositivos.
    • Empleadores: monitores de TI corporativos y pueden filtrar legítimamente datos de dispositivos de trabajo.
    • Proveedores de servicios: Google, Apple, Meta, su ISP, su operador telefónico. Tienen enormes datos; su uso es su política.
    • LAplicación de la ley local: puede obtener datos a través de órdenes judiciales, citaciones y solicitudes de circunstancias exigentes.
    • Agencias de inteligencia nacionales: capacidades que incluyen recopilación masiva, compromiso dirigido de puntos finales, cooperación no revelada con tecnología empresas.
    • Gobiernos extranjeros: varía enormemente; para periodistas, activistas o viajeros de negocios en ciertos países, la amenaza es grave.

    La mayoría de los usuarios tienen un pequeño subconjunto de adversarios relevantes

    El error clásico: un usuario normal planea para adversarios de estados-nación mientras deja 2FA basado en SMS en su correo electrónico principal. Los adversarios realistas para la mayoría de la gente son las tres primeras categorías. Planifique bien para aquellos; las categorías superiores son excesivas para la vida ordinaria.

    Por el contrario, el error clásico es ir en sentido contrario: alguien con un adversario-estado-nación creíble (periodista con intereses en un gobierno extranjero, activista en un país autoritario) que utiliza defensas de consumo y confía en ellas.

    El presupuesto de esfuerzo

    Cada defensa tiene un costo en tiempo, dinero, fricción o capacidad. Enumerándolos:

    • Casi gratis. Contraseñas únicas y seguras de un administrador, habilitando 2FA en cuentas importantes, usando Signal para comunicaciones confidenciales, configuración de privacidad del navegador.
    • Costo modesto. Una suscripción VPN de buena reputación, una clave de seguridad de hardware, un administrador de contraseñas suscripción.
    • Esfuerzo significativo. Usar solo servicios de correo electrónico cifrados, servicios de claves de autohospedaje, configurar firewalls por aplicación, administrar sus propias claves PGP.
    • Cambios de estilo de vida. Vivir sin un teléfono inteligente, usar solo efectivo, evitar las redes sociales enteramente.

    El nivel correcto depende de lo que esté en juego. La mayoría de las personas obtienen enormes beneficios en materia de privacidad con el nivel "casi gratuito" y obtienen rendimientos decrecientes rápidamente más allá de él.

    Un ejemplo resuelto

    Profesional genérico, vida ordinaria, moderadamente consciente de la privacidad:

    • Activos: cuentas financieras, correo electrónico, archivos de trabajo, fotografías.
    • Adversarios: delincuentes oportunistas (relleno de credenciales, phishing, robo de dispositivos), empleadores (dispositivo de trabajo) el monitoreo es razonable), Google/Apple/Meta (uso de datos comerciales, no malicioso pero no alineado).
    • Defensas: administrador de contraseñas + clave de hardware 2FA en correo electrónico y finanzas, cifrado de disco completo en computadoras portátiles, navegador que respeta la privacidad, bloqueador de anuncios, uso ocasional de Signal para temas sensibles.
    • No Persiguiendo: Tor para todo, correo electrónico autohospedado, cifrado de cada documento, separación de identidades. El costo supera el beneficio para este modelo de amenaza.

    Periodista con fuentes en un país censurado:

    • Activos: identidades de fuentes, comunicaciones, borradores de historias, historial de ubicaciones.
    • Adversarios: gobierno extranjero, posiblemente socio gobierno, competidores de los empleadores.
    • Defensas: Señal para todas las comunicaciones fuente, Tails o Qubes para trabajos de alto riesgo, Tor para investigación, dispositivos separados para fuentes frente a la vida ordinaria, sin almacenamiento en la nube del material fuente, SecureDrop para consejos.
    • Persiguiendo agresivamente: compartimentación, minimización de metadatos, Disciplina OPSEC.

    Las mismas categorías generales de asesoramiento, opciones específicas dramáticamente diferentes.

    El error de pensar en una sola amenaza

    Las personas a menudo construyen seguridad en torno a una amenaza prominente ("el gobierno") mientras descuidan otras más probables ("mi ex", "fraude aleatorio"). O viceversa. Un modelo de amenaza real considera múltiples adversarios simultáneamente y acepta que algunos no serán abordados.

    Las violaciones de privacidad más dañinas para la mayoría de las personas las cometen personas que conocen, no gobiernos o extraños. Abuso doméstico, acecho, disputas de custodia, represalias laborales. Las defensas para estas amenazas se ven diferentes de las defensas contra la vigilancia de los Estados-nación.

    Revise periódicamente

    Los modelos de amenazas cambian. Nuevo trabajo, nueva relación, nuevo entorno político, nueva condición de salud, nuevo pasatiempo: cualquiera de estos puede cambiar lo que estás protegiendo y de quién. Un modelo que se adaptaba a su vida hace cinco años puede no serlo hoy. Revise las cuatro preguntas aproximadamente cada año.

    Preguntas frecuentes

    ¿Realmente necesito un modelo de amenaza?
    Si sus elecciones de privacidad parecen contradictorias o impulsadas por la ansiedad, sí. El modelo no es un documento; es un marco para pensar. Incluso un recorrido mental de 15 minutos por las cuatro preguntas suele revelar dónde está invirtiendo demasiado o poco.
    ¿Es útil la paranoia?
    La preocupación específica y calibrada es. La paranoia generalizada es agotadora y no mejora los resultados; la ansiedad por sí sola no te hace sentir más seguro. El objetivo del modelado de amenazas es canalizar la preocupación en acciones específicas y luego dejar de preocuparse por el resto.
    ¿Qué pasa si no puedo identificar a mis adversarios?
    La mayoría de la gente corriente está expuesta a amenazas oportunistas genéricas. "No tengo a nadie apuntando específicamente a mí" generalmente significa que las defensas estándar son suficientes: administrador de contraseñas, 2FA, clic cuidadoso en enlaces, navegador razonable. El modelo se vuelve más específico a medida que lo hace su exposición real.
    ¿Cómo equilibro la privacidad con la comodidad?
    Elija primero las defensas de mayor apalancamiento (nivel superior casi libre) y agregue más fricción solo donde la amenaza lo justifique. La mayoría de las pérdidas de privacidad se deben a la omisión de defensas sencillas, no a la omisión de las avanzadas.
    ¿Existen plantillas estándar de modelos de amenazas?
    El sitio Vigilancia y Autodefensa de la EFF dispone de guías específicas para cada escenario (periodista, activista, abogado, etc.). Security in a Box tiene guías específicas de la región. Ambos son puntos de partida; su situación específica requerirá adaptación.
    Construyendo un modelo de amenaza personal: cómo pensar en la privacidad sin volverse loco