OPSEC básico para viajeros

Este post es, si no nos fallan las cuentas, el quinto (ver el primero, segundo, tercero y cuarto) del colaborador David Marugán Rodríguez. Agradecer una vez más su colaboración con Security Art Work con estos artículos tan interesantes. Si quieres saber más sobre David, aquí te dejamos su perfil en twitter. @radiohacking.

En esta ocasión me gustaría dar algunos consejos sobre seguridad operacional u OPSEC durante los viajes. Debo advertir que no soy ningún gurú de nada, y estos pequeños consejos o advertencias son fruto de la experiencia personal, de mi trabajo y de amigos profesionales de la seguridad que me han asesorado en muchas ocasiones cuando he ido a algún destino. Seguro que tú conoces otros y puede que más adecuados a tu situación personal o profesión. Toma por tanto esta pequeña guía con precaución.

Por mi actividad, he tenido que viajar a algunos países donde he observado riesgos que pueden ser fácilmente evitados o reducidos. Otros, por desgracia, son imposibles de evitar, sobre todo si hablamos de amenazas con actores gubernamentales implicados o países donde la vigilancia es total. No hay nada 100% seguro, pero a veces vale la pena gastar un poco de tiempo y dinero en estudiar nuestras amenazas en viaje. Incluso en algunos casos muy especiales, deberías contratar alguna empresa o perfil especializado que valore las medidas o te proporcione un producto de inteligencia real del sitio que vas a visitar y su contexto.

La idea de este pequeño artículo surge de las preguntas que me han hecho sobre las medidas que se pueden tomar en viajes a congresos de seguridad y hacking en otros países, pero estas medidas pueden aplicarse también a cualquier evento o viaje de trabajo; también en tus viajes de ocio, por supuesto. Debemos recordar que el OPSEC siempre es preventivo, si ha fallado no se puede volver a la situación anterior, no hay “back-up” en estos temas. En breve espero poder hacer una charla más detallada con este tipo de medidas. He incluido algunos enlaces útiles donde poder ver ejemplos de los dispositivos que se venden de forma libre y que pueden ayudarnos, pero son meros ejemplos, investiga por ti mismo en Internet y compara antes de comprar cualquiera de ellos.

Algunas de las medidas que se explican aquí podrían ser contraproducentes porque en determinados casos podrían llamar la atención más de la cuenta. Para no caer en una paranoia absurda e innecesaria (no se trata de ir con aspecto de 007 ni con el perfil de Jason Bourne), intenta modelar tus amenazas y adversarios de forma realista. Estos consejos puede que no sean útiles para todas las situaciones y personas, pero espero que por lo menos alguno de ellos os sea de utilidad en vuestros viajes. En la seguridad, al final todo pasa por usar el sentido común y ser muy disciplinado.

Antes de nada, debemos plantearnos algunas preguntas para poder definir a nuestros adversarios, amenazas y riesgos:

¿Qué tengo que sea valioso para otros? ¿Nuestra actividad está perjudicando de alguna forma a otros? ¿Quiénes son? ¿Qué capacidades tienen? ¿Cómo puedo proteger estos activos? ¿Tengo yo capacidad para protegerlos? ¿Necesito ayuda de terceros? ¿Cuánto tengo que gastar? ¿Cómo lo haré? ¿Qué impacto tendría si fallara mi plan de OPSEC?

Posibles ejemplos para modelar las amenazas en base a adversarios:

  • Delincuentes comunes
  • Delincuencia organizada / especializada (p.ej. cibercrimen)
  • Vigilancia masiva
  • Agencias de inteligencia
  • Competidores

En ocasiones, para proteger nuestras actividades, debemos hacer justo lo contrario de lo que se pueda imaginar a primera vista. Por ejemplo, usar un dispositivo de cifrado hardware o una pantalla de privacidad puede parecer beneficioso, pero en ciertos países puede hacer saltar las alarmas, llamando la atención de nuestros adversarios. También hablar en argot o en clave puede perjudicarnos más que beneficiarnos en muchas ocasiones.

A continuación algunos tips sobre OPSEC y recomendaciones de seguridad básica en viaje:

  1. No anuncies tu viaje en RR.SS, sobre todo si viajas a zonas con alto riesgo de secuestro. Si quieres mandar unas fotos hazlo cuando estés de vuelta a tu país de origen, por muy bonito que sea el lugar. No ostentes joyas o dinero en ningún caso. Estudia la cultura del país y se siempre respetuoso.
  2. Si puedes, prepara el viaje con antelación: visados, vacunas, cartas de invitación, etc. Piensa en qué países has estado antes y si esto puede ser un problema en tu destino (podría ser adecuado ver la posibilidad de renovar el pasaporte en caso de tener sellos de países que puedan tener problemas con el destino). Es muy importante llevar un seguro especializado. Existen seguros especializados en viajes no convencionales o de aventura. Estudia siempre con detalle los riesgos de seguridad en la web del Ministerio de Exteriores español. Si así está aconsejado por el destino al que viajas, haz el registro de viajeros en la embajada española (o de tu país de origen) o representación diplomática española en el país de destino. Podrán localizarte o informarte en caso de emergencia. Enlace: http://www.exteriores.gob.es/Portal/es/ServiciosAlCiudadano/SiViajasAlExtranjero/Paginas/RecomendacionesDeViaje.aspx Una buena recomendación para casos de accidente o similares, es usar una pulsera especial que contiene todos tus datos médicos y de contacto en caso de emergencia: https://www.ice-key.it/ (Esta pulsera me fue recomendada en Twitter por Xavi Vila, muchas gracias.) Llevar un pequeño botiquín de viaje también puede serte de gran ayuda cuando menos te lo esperes.
  3. Elige bien tus maletas y, si no viajas a sitios donde se exija, evita usar TSA ya que existen copias de las llaves maestras en Internet hace años. Intenta llevar maletas sin dobles fondos o telas donde alguien pueda introducirte algo que te pueda comprometer. También agilizará una posible inspección. Si es posible, evita facturar y llévala siempre contigo. No está de más usar algún sistema de rastreo de tu maleta. Enlace: https://www.amazon.es/identificativa-Inteligente-Maletas-Mochilas-QR4G-com/dp/B07C1SX4W6
  4. Se que esto es difícil pero intenta dejar TODO lo que puedas y no sea imprescindible en casa. Si llevas dispositivos electrónicos, puedes usar unos específicos para el viaje que sean alquilados, o que no lleven ninguna información previa que sea relevante o sensible, o usa un dispositivo seguro en destino. Puedes no llevar ningún PC o dispositivo electrónico y luego usar la nube para realizar alguna presentación. No lleves ninguna documentación o soporte digital que te identifique como activista, como militante político, o cualquier otra información que te pueda comprometer. Obviamente, cualquier información que sea contraria a la ideología, religión o leyes del país de destino pueden suponerte un problema grave en caso de registro.
  5. Si llevas dispositivos, asegúrate que estén cifrados por hardware (discos duros externos con cifrado por hardware) o software (p. ej. VeraCrypt), actualizados, y apagados durante la inspección de control en fronteras. En algunos casos, puede ser interesante llevar particiones ocultas que solo se mostraran al introducir determinada contraseña y en caso contrario mostrar una partición de “cebo” con información creíble pero inocua. Si te conectas a Internet hazlo como mínimo con una VPN. Usa 2FA, unas Yubikeys pueden ser una buena opción. Desactiva todo lo que no utilices: Wifi, Bluetooth, etc.
    Enlace: https://www.yubico.com/
    Enlace: https://www.veracrypt.fr/en/Downloads.html
  6. En ciertos países te puedes encontrar con un policía corrupto que te pida dinero. En algunos casos, no darlo a la primera de cambio puede ser bueno pero no está demás llevar varios billetes de poco importe por si nos obligan a que les “abramos la cartera”. Enfrentarte con la policía de otro país NUNCA es una buena opción, mantén siempre la educación y la calma.
  7. No lleves “pines”, ropa o pegatinas en los portátiles de viaje (complicado, algunas son tan bonitas, lo sé) que te perfilen como un “hacker”, activista o perteneciente a tal o cual empresa u organización. No des ninguna información sobre tu ideales políticos o religiosos.
  8. Mantén una “conciencia situacional” mínima para detectar amenazas en lugares públicos. Observa qué es lo “normal en el entorno” y permanece atento a los cambios que puedan producirse. Para no caer en una paranoia absurda e innecesaria, ya hemos comentado que no se trata de ir con aspecto de 007, intenta modelar tus amenazas y adversarios de forma realista antes de viajar a lugares complicados.
  9. Permanece atento a quién se sienta a tu lado, por ejemplo, en un tren o avión. He visto y escuchado cosas increíbles sin nada más que girar la cabeza o poner un poco de “oído”. Usa un protector de pantalla para privacidad. Y también cuidado con las conversaciones en voz alta; a algunas personas les encanta “cantar” sus logros personales o profesionales a voz en grito para darse importancia. Para escuchar esto no tienes más que coger un AVE a primera hora de la mañana de un día laboral y verás lo que digo.
    Enlace: https://www.amazon.es/3M-PF14-0W-privacidad-ordenador-port%C3%A1til/dp/B002GI6LXO
  10. Comprar una SIM para el viaje puede ser una opción. También usar tarjetas de crédito virtuales con límite prepago. En algunos países la clonación de tarjetas es un riesgo muy importante.
    Enlace: https://www.correos.es/ss/Satellite/site/servicio-tarjeta_prepago-todos_servicios_financieros/detalle_de_servicio-sidioma=es_ES
  11. En algunos lugares, los hoteles pueden ser un riesgo, por no hablar de la facilidad de ganzuar algunas cerraduras o clonar las tarjetas. También puede haber personal que trabaje para algún adversario por dinero o porque esté bajo amenaza. Si vas a estar poco tiempo, no es mala idea dejar el cartel de “no molesten” puesto por fuera de la puerta y así no debería de entrar nadie en la habitación. Puedes dejar la tele puesta o música a un volumen moderado para simular presencia. En algunos casos incluso se han puesto cámaras ocultas, como cargadores de móviles, que pueden detectar movimiento y grabar, como contramedida en casos de intrusión en la habitación de hotel. Si has puesto el cartel de “no molesten” anteriormente citado, no debería entrar nadie y, por tanto, la cámara no habría grabado nada.
    Enlace: https://www.amazon.es/TinySpy-Escondida-Grabaci%C3%B3n-Movimiento-Compatible/dp/B0752G8767
  12. Si vas a ausentarte durante varias horas de la habitación, haz una foto de la disposición de los objetos y maletas. Puedes usar precintos de seguridad de tipo VOID ocultos para ver si alguien ha abierto algún cajón, puerta de la habitación, maleta, armario o caja fuerte. Un truco fácil y muy barato es marcar con tinta reactiva a luz ultravioleta la posición de ciertos objetos para luego ver si alguien los ha movido para manipularlos o inspeccionarlos, incluso si los han manipulado muy levemente. Enlace: https://www.amazon.es/DazSpirit-boligrafo-Invisible-Adhesivas-Sencillas/dp/B07J37STP5
  13. Si puedes, lleva una batería portátil. Si tuvieras que verte obligado a cargar el móvil en un lugar público, usa algún “condón” USB para evitar la extracción de datos. No cargues NUNCA el móvil por USB en la computadora de alguien que no conozcas.
    Enlace: https://www.amazon.com/PortaPow-3rd-Gen-Data-Blocker/dp/B00QRRZ2QM
  14. Siempre aplico una máxima: si NO lo haces en tu país de origen, NO lo hagas fuera. Hay personas que en otros países aprovechan para “soltarse el pelo” o pegarse “fiestas”. Todo lo contrario, no es buena idea terminar borracho (o drogado) en algún antro de un país desconocido. Ten en cuenta que si eres un objetivo de interés, no dudes que harán lo posible para que caigas en alguna treta para robarte información o cualquier otra cosa de interés.
  15. Aplicaciones de citas y demás pueden ser una auténtica amenaza si das más información de la debida antes o durante tu viaje. Piensa fríamente si realmente has “ligado” con esa chica o chico fantástico o en realidad estás en un auténtico “honeypot”…
  16. Si eres un personaje público o conocido en redes sociales, da por hecho que ya te han perfilado en tu país de destino. Precaución con taxis y transporte público. Infórmate de sus condiciones de seguridad, en muchos países es mejor recurrir a los VTC. Identifica siempre al conductor (hacer una foto de la licencia o matrícula y enviarla a tu contacto de seguridad, si se puede hacer de forma discreta, podría ayudarte en caso de problemas). En algunos países los criminales interceptaban las radios para obtener los datos de recogida del pasajero y darle un “paseo” por todos los cajeros automáticos posibles.
  17. Antes de tu vuelta, inspecciona siempre tus pertenencias, la maleta, ropa, bolsillos, dobladillo de pantalones y cualquier cosa que sea susceptible de servir de escondrijo. En algunos sitios el problema no es el robo, sino que te introduzcan algo indeseado en tus pertenencias con cualquier fin. No dejes ningún documento, ticket o papeles con información en las papeleras del hotel o de una sala de congresos (si has hecho una exposición corporativa, borra además la pizarra y recoge cualquier material sobrante, en particular manuales impresos).
  18. Si compras algún souvenir conserva siempre la factura y aplica la misma inspección que en el punto anterior. No factures objetos de varias personas en una misma maleta, en algunos países los perfiladores de los aeropuertos verán a alguien volando muy lejos sin pertenencias y te podrá suponer un interrogatorio largo y pesado. NUNCA lleves objetos de nadie. Si dudas de algún objeto comprado en el país es preferible no traerlo de vuelta.
  19. Parece absurdo avisar de esto una y otra vez, pero… NUNCA aceptes paquetes o llevar dispositivos de nadie, en ninguna circunstancia.
  20. Lleva un móvil antiguo (no smartphone) tipo Nokia o similar, con linterna y cargador. Existen móviles increíblemente pequeños a buen precio. También lleva los contactos de emergencia, familiares y de la embajada de tu país memorizados. También una radio de Onda Corta o como mínimo AM/FM que funcione a pilas o mejor aún con carga solar y manual. Con esto podrás estar mínimamente informado en caso de catástrofes naturales o revueltas en el país de destino. IMPORTANTE: Existen países donde las radios de Onda Corta están totalmente prohibidas por censura gubernamental, infórmate antes de llevarlas. Si quieres llevar un dispositivo tipo SDR, mejor un SDR basado en TDT-USB, que podría ser perfectamente llevado por un turista para ver la televisión y no levantaría tantas suspicacias como un SDR avanzado.
    Enlace: https://www.amazon.es/Tivdio-HR-11S-Despertador-Reproductor-Actividades/dp/B074PN36NW
    https://www.amazon.es/HILABEE-Digital-Sintonizador-Receptor-RTL2832U/dp/B07LCDFW1B
  21. No es una buena idea intentar burlar la seguridad de según qué países en la frontera para ocultar información que pueda ser comprometedora por motivos ideológicos o por simple privacidad. Si necesitas llevar información que pueda ser sensible, que contiene algo muy personal como copias compulsadas de tu pasaporte, efectivo, una presentación corporativa o similares, existen diferentes objetos con compartimentos “secretos”, como cinturones o incluso monedas de curso legal modificadas (cuidado, además esto podría ser ilegal en algunos países, donde una simple moneda modificada puede ser un delito grave) donde puedes ocultar alguna documentación personal. En el caso de las monedas, tienen cierto nivel de opacidad comprobada contra las máquinas de rayos X y pueden portar por ejemplo una tarjeta MicroSD con una copia de tu documentación personal, libreta de contactos, presentaciones personales o profesionales, claves privadas de cifrado, CV o algo parecido. Repito, que esto NO es aconsejable, porque parecería que estas realizando alguna actividad ilegal o de espionaje, y te puede traer más problemas que beneficios. No asumas riesgos innecesarios, NO hagas saltar las alarmas de forma innecesaria. A veces ocultar algo inocuo puede hacer creer que estás cometiendo un delito grave.
    Enlace: http://spy-coins.com/MicroEuro.html
  22. No subestimes las capacidades del adversario, sobre todo si es un actor gubernamental o muy especializado. Si la amenaza es probable, puede que tu habitación tenga algún dispositivo de escucha, como un micrófono oculto. Si es necesario tener alguna conversación confidencial, estudia dónde puede llevarse a cabo. Un truco simple y que puede resultar efectivo, de forma previa al viaje, ocultar el máximo posible el nombre del hotel donde te alojarás, o incluso mencionar otro a propósito. Si quedas con alguien en el que no confías quizás debas cambiar de planes a última hora y proponer otro sitio. En casos de personas VIP o muy concretas, se puede contratar una empresa de TSCM (contramedidas electrónicas) que realice una inspección previa.
  23. Algo muy importante: el OPSEC no actúa de forma reactiva, si no has tomado las medidas antes, poco podrás hacer después. Esto es muy importante saberlo. A algunas personas les pueden parecer medidas paranoicas, pero creedme: creo haber evitado algún problema grave en ciertos países. También es cierto que es necesario ser muy disciplinado y metódico, y muchas veces he incumplido algunas de ellas, o no las he llevado a cabo con la diligencia adecuada.

Sé que faltan muchos consejos de OPSEC en viaje pero, en mi opinión, creo que estos son fundamentales (aunque yo a veces no los he seguido, lo reconozco). En un futuro haré una charla sobre este tema con más detalles técnicos. Sinceramente, deseo que os sirvan para evitar problemas en cualquier tipo de viaje. En mi opinión es importante tomar unas medidas básicas, sobre todo si nos dedicamos a temas tan sensibles como la ciberseguridad.