"Fundamentos para el Modelado de Riesgos" introduce un marco práctico para comprender y evaluar los riesgos de privacidad, proporcionándote herramientas para identificar posibles vulnerabilidades en tus interacciones digitales.

Modelación de Riesgos

Equilibrar la seguridad, la privacidad y la usabilidad es una de las primeras y más difíciles tareas que enfrentarás en tu viaje por la privacidad. Todo es un trade-off: cuanto más seguro sea algo, más restrictivo o inconveniente suele ser, etc. A menudo, la gente encuentra que el problema con las herramientas que ven recomendadas es que son demasiado difíciles de usar!

Si quisieras usar las herramientas más seguras disponibles, tendrías que sacrificar una gran cantidad de usabilidad. E incluso entonces, nada es completamente seguro. Hay alta seguridad, pero nunca total. Es por eso que los modelos de amenaza son importantes.

Entonces, ¿cuáles son estos modelos de amenaza?

Un modelo de amenaza es una lista de las amenazas más probables a sus esfuerzos de seguridad y privacidad. Ya que es imposible protegerse contra cada ataque (o ataque), usted debe centrarse en las amenazas más probables. En seguridad informática, una amenaza es un evento que podría socavar sus esfuerzos por mantenerse privado y seguro.

Centrarse en las amenazas que le importan reduce su pensamiento sobre la protección que necesita, para que pueda elegir las herramientas adecuadas para el trabajo.

Creando tu Modelado de Riesgos

Para identificar lo que podría suceder a las cosas que valoras y determinar de quién necesitas protegerlas, debes responder estas cinco preguntas:

1. ¿Qué es lo que quiero proteger?
2. ¿De quién quiero protegerlo?
3. ¿Qué tan probable es que necesite protegerlo?
4. ¿Qué tan malas son las consecuencias si fallo?
5. ¿Cuántos problemas estoy dispuesto a pasar para tratar de evitar posibles consecuencias?

¿Qué es lo que quiero proteger?

Un "activo" es algo que valoras y quieres proteger. En el contexto de la seguridad digital, un activo suele ser algún tipo de información. Por ejemplo, sus correos electrónicos, listas de contactos, mensajes instantáneos, ubicación y archivos son todos activos posibles. Sus propios dispositivos también pueden ser activos.

Haga una lista de sus activos: datos que usted guarda, dónde se guardan, quién tiene acceso a ellos y qué impide que otros accedan a ellos.

¿De quién quiero protegerlo?

Para responder a esta pregunta, es importante identificar quién podría querer dirigirse a usted o a su información. Una persona o entidad que representa una amenaza para sus activos es un "adversario". Ejemplos de adversarios potenciales son su jefe, su ex socio, su competencia comercial, su gobierno o un hacker en una red pública.

Haga una lista de sus adversarios o aquellos que podrían querer apoderarse de sus activos. Su lista puede incluir individuos, una agencia gubernamental o corporaciones.

Dependiendo de quiénes sean tus adversarios, esta lista podría ser algo que quieras destruir después de haber terminado de desarrollar tu modelo de amenaza.

¿Qué tan probable es que necesite protegerlo?

El riesgo es la probabilidad de que se produzca una amenaza concreta contra un activo determinado. Va de la mano de la capacidad. Aunque su proveedor de telefonía móvil tiene la capacidad de acceder a todos sus datos, el riesgo de que publiquen sus datos privados en línea para dañar su reputación es bajo.

Es importante distinguir entre lo que podría suceder y la probabilidad de que ocurra. Por ejemplo, existe la amenaza de que su edificio pueda colapsar, pero el riesgo de que esto suceda es mucho mayor en San Francisco (donde los terremotos son comunes) que en Estocolmo (donde no lo son).

La evaluación de los riesgos es un proceso tanto personal como subjetivo. Muchas personas encuentran ciertas amenazas inaceptables, sin importar la probabilidad de que ocurran, porque la mera presencia de la amenaza no vale el costo. En otros casos, la gente ignora los riesgos elevados porque no ven la amenaza como un problema.

Escriba qué amenazas va a tomar en serio, y cuáles pueden ser demasiado raras o inofensivas (o demasiado difíciles de combatir) para preocuparse.

¿Qué tan malas son las consecuencias si fallo?

Hay muchas maneras en que un adversario podría obtener acceso a sus datos. Por ejemplo, un adversario puede leer sus comunicaciones privadas a medida que pasan por la red, o pueden borrar o corromper sus datos.

Los motivos de los adversarios son muy diferentes, al igual que sus tácticas. Un gobierno que trata de impedir la difusión de un vídeo en el que se muestra violencia policial puede contentarse con eliminar o reducir la disponibilidad del mismo. Por el contrario, un oponente político puede desear obtener acceso a contenido secreto y publicarlo sin que usted lo sepa.

La planificación de la seguridad implica comprender cuán malas podrían ser las consecuencias si un adversario obtiene acceso a uno de sus activos. Para determinar esto, debes considerar la capacidad de tu adversario. Por ejemplo, su proveedor de telefonía móvil tiene acceso a todos sus registros telefónicos. Un hacker en una red Wi-Fi abierta puede acceder a sus comunicaciones sin cifrar. Su gobierno podría tener capacidades más fuertes.

Escriba lo que su adversario podría querer hacer con sus datos privados.

¿Cuántos problemas estoy dispuesto a pasar para tratar de evitar posibles consecuencias?

No hay una opción perfecta para la seguridad. No todos tienen las mismas prioridades, preocupaciones o acceso a los recursos. Su evaluación de riesgos le permitirá planificar la estrategia adecuada para usted, equilibrando conveniencia, costo y privacidad.

Por ejemplo, un abogado que represente a un cliente en un caso de seguridad nacional puede estar dispuesto a hacer mayores esfuerzos para proteger las comunicaciones sobre ese caso, como el uso de correo electrónico cifrado, que una madre que envía regularmente videos divertidos de gatos a su hija.

Anote las opciones que tiene a su disposición para ayudar a mitigar sus amenazas únicas. Tenga en cuenta si tiene limitaciones financieras, técnicas o sociales.

Pruébalo tú mismo: Protegiendo tus pertenencias

Estas preguntas pueden aplicarse a una amplia variedad de situaciones, en línea y fuera de línea. Como una demostración genérica de cómo funcionan estas preguntas, construyamos un plan para mantener su casa y sus posesiones a salvo.

¿Qué quieres proteger? (O, ¿qué tienes que vale la pena proteger?)
Sus activos pueden incluir joyas, electrónica, documentos importantes o fotos.

¿De quién quieres protegerlo?
Tus adversarios pueden ser ladrones, compañeros de cuarto o invitados.

¿Qué tan probable es que usted tendrá que protegerlo?
¿Tu barrio tiene un historial de robos? ¿Cuán confiables son tus compañeros de habitación o invitados? ¿Cuáles son las capacidades de tus adversarios? ¿Cuáles son los riesgos que debe considerar?

¿Qué tan malas son las consecuencias si fallas?
¿Tiene algo en su casa que no puede reemplazar? ¿Tiene el tiempo o el dinero para reemplazar esas cosas? ¿Tiene seguro que cubre los bienes robados de su casa?

¿Cuántos problemas estás dispuesto a pasar para evitar estas consecuencias?
¿Está dispuesto a comprar una caja fuerte para documentos sensibles? ¿Puede permitirse comprar un candado de alta calidad? ¿Tiene tiempo para abrir una caja de seguridad en su banco local y mantener sus objetos de valor allí?

Sólo después de haberse hecho estas preguntas estará usted en condiciones de evaluar qué medidas tomar. Si sus posesiones son valiosas, pero la probabilidad de un robo es baja, entonces no querrá invertir demasiado dinero en una cerradura. Pero, si la probabilidad de un robo es alta, querrá obtener el mejor bloqueo del mercado y considerar agregar un sistema de seguridad.

Hacer un plan de seguridad le ayudará a entender las amenazas que son únicas para usted y a evaluar sus activos, sus adversarios y sus capacidades, junto con la probabilidad de los riesgos que enfrenta.

Otras lecturas

Para las personas que buscan aumentar su privacidad y seguridad en línea, hemos recopilado una lista de amenazas comunes a las que se enfrentan nuestros visitantes o objetivos que tienen nuestros visitantes, para darles algo de inspiración y demostrar la base de nuestras recomendaciones.

• Objetivos y amenazas comunes

Fuentes

• EFF Surveillance Self Defense: Su plan de seguridad

13 de febrero de 2025 - 12 de febrero de 2022 | Jonah Aragon (81,13%), Daniel Gray (1,89%), Kai Tebay, d4rklynk

Privacy Guides es un sitio web sin fines de lucro, con motivación social que proporciona información para proteger la seguridad y privacidad de sus datos.
No ganamos dinero recomendando ciertos productos, y no utilizamos enlaces de afiliados.
Licencia Creative Commons 2019-2025 Guías de privacidad y colaboradores. Aviso de privacidad.

Articulo original en inglés: https://www.privacyguides.org/en/basics/threat-modeling/