Ciberseguridad: ¿Qué es el grooming y cómo actuar ante un caso?

Seguimos la serie de entradas sobre ciberseguridad y privacidad y vamos a tocar uno de los temas más graves y sensibles: el grooming.

¿Qué es el grooming? El grooming es un riesgo digital que afecta a los menores de edad, es el término que aplicamos a la situación de ciberacoso en la que un adulto manipula, engaña o chantajea a un menor de edad con objetivos sexuales: esto implica desde conseguir fotografías hasta realizar prácticas sexuales on-line, incluso llegándose a intentos de conocerse en persona. Esto puede darse en redes sociales, en sistemas de mensajería o en cualquier tipo de comunidad digital. El Código Penal español ya recoge este delito en el artículo 183.ter, pudiendo sancionarse con penas de cárcel de uno a tres años o multas de seis a veinticuatro meses. La red de investigación europea EUKids Online, de la que forma parte el instituto de ciberseguridad español INCIBE, recogía en un informe de 2018 que más del 42% de los menores con una edad comprendida entre los 13 y los 16 años, el rango de edad más afectado por esta amenaza,habían recibido mensajes de tipo sexual a través de internet.

¿Por qué este grupo entre los 13 y los 16 años es el más afectado? Suele ser la edad en la que estos menores empiezan a tener dispositivos con acceso a internet propios (tablets, teléfonos) y cuentas en redes sociales (algunos antes, claro, pero mintiendo en el formulario de acceso). Es lógico pues que este sea el rango de edad más atacado, los niños más pequeños no tienen tanta exposición a las redes. Por esto también es importante no proporcionarles este tipo de dispositivos de forma prematura.

Persona utilizando un teléfono con redes sociales.
Photo by Helena Lopes on Pexels.com

No hay que tomarse a la ligera esta amenaza, un menor que haya sufrido este tipo de acoso o abuso puede sufrir graves daños psicológicos o emocionales a medio o largo plazo, este tipo de agresiones podrían afectarle de muchas maneras: causarle ansiedad, depresión, inseguridad, condicionar su forma de relacionarse con otras personas, provocar que normalice los comportamientos abusivos, dificultarle el relacionarse con normalidad con otras personas o tener relaciones afectivas sanas… incluso puede llegar a ponerse en una situación en la que corra el peligro de sufrir una agresión física. Las consecuencias de la agresión pueden llegar a ser muy graves.

¿Cómo se previene el grooming? Bueno, no hay una fórmula científica para esto, no hay una serie de pasos que sí o sí nos lleven a conseguir una seguridad perfecta porque hablamos de relaciones entre humanos aunque se hagan por medio de dispositivos informáticos. En internet existen varias guías sobre el tema realizadas por profesionales. Uno de los puntos clave sería enseñar al menor a reconocer el peligro, una buena educación tanto en el terreno digital como en el terreno afectivo-sexual: que sepa no solo utilizar sus dispositivos de una forma técnicamente competente sino también de una forma socialmente responsable y segura, que sepa reconocer una agresión sexual y que sepa cómo actuar frente al acoso o al intento de abuso. Si se le va a dar al menor un dispositivo es importante enseñarle antes cómo usarlo de forma segura.

Se habla también en algunos ejemplos o guías para padres sobre controlar el uso que el menor hace de las redes sociales, esto está bien pero hay que ser conscientes de que no es una solución definitiva, el menor puede tener una cuenta que los padres desconozcan, si es un app de mensajería puede haber borrado las conversaciones, el contenido peligroso puede estar oculto en el equipo y protegido por cifrado… incluso una actitud demasiado inquisitiva puede hacer que la relación de confianza entre el menor y sus padres se deteriore al punto de que este no se atreva a contarles que está siendo acosado. Eso no quita, claro, que se deba echar un ojo a lo que publica y a sus interacciones y hablar con él en caso de detectar algún comportamiento que pueda ser de riesgo, intentando siempre que la comunicación sea constructiva, explicarle por qué no debe subir según qué cosas (fotografías, ubicaciones, etc.) o por qué ciertos comentarios que puede recibir no son adecuados. Es decir, es un buen complemento a la educación y formación, pero no un sustituto.

Detectar si un menor está siendo víctima de grooming es complicado en muchos casos, aunque se esté alerta sobre si manifiesta algún comportamiento inusual este puede confundirse con cambios de actitud típicos de la adolescencia. Pueden ser síntomas de estar siendo agredido el que se manifiesten cambios de humor bruscos, tristeza, abandono de actividades que antes le ilusionaban, cambios entre sus grupos de amistades, falta de comunicación, reacciones inusualmente agresivas ante bromas o comentarios críticos, miedo a salir de casa, ausencias injustificadas a sus clases… Como ya comenté, son unas señales que pueden pasar en muchos casos por actitudes típicas de esa edad y dificultan la detección temprana del problema.

Al final hay que ser conscientes de que es imposible proteger a un hijo durante todo el tiempo, por esto es importante enseñarle a protegerse, además de intentar tener una relación de confianza para que se sienta seguro si tiene que denunciar una agresión, porque si el menor piensa «Si les cuento a mis padres esto me van a gritar, me van a castigar» es muy posible que se calle hasta que llegue a un punto en que la situación ya sea insoportable.

redes sociales
Photo by cottonbro on Pexels.com

¿Qué hacer en caso de que un menor sea víctima de este tipo de acoso? Dos cosas muy importantes: la primera es no culpabilizar a la víctima, la segunda es denunciar. Es importante en un primer momento no presionar al menor ni hacerle sentirse culpable, es importante que se sienta seguro y apoyado en ese momento para que pueda denunciar lo que ha sufrido, para que no se sienta señalado o para que no llegue a creer que él mismo ha sido culpable de haber recibido una agresión. Para denunciar se puede recurrir tanto a las fuerzas policiales (Policía Nacional o Guardia Civil) como acudiendo directamente al juzgado de guardia o a la fiscalía de menores. Aunque en el momento de presentar la denuncia no será necesario aportar las pruebas nunca está demás llevarlas, a ser posible con la menor manipulación de las mismas. Recomiendo consultar con un perito forense informático para estas labores, para intentar no destruir las evidencias en el proceso.

Existen asociaciones y ONG‘s que dan ayuda y apoyo tanto a las víctimas de agresiones sexuales como a las víctimas, haciendo un trabajo muy valioso para la sociedad. Creo que es muy recomendable acudir a ellas por disponer de profesionales que conocen bien la problemática, que pueden dar apoyo al menor agredido o aconsejarnos cual será la mejor manera de actuar, tanto antes como después de denunciar, ya que no hay que olvidar que para la persona agredida siempre será un proceso duro el enfrentarse a su agresor, por lo que es importante que se sienta apoyada.

Ciberseguridad: Apps maliciosas en dispositivos móviles

Empezaré esta entrada sobre ciberseguridad contando una historia propia, que el cuento y la leyenda han sido siempre buenos instrumentos educativos para advertir de peligros, aunque en este caso la historia es real pero debidamente anonimizada.

Hará menos de un mes un familiar me comenta que el conocido de un amigo le va a pasar un app para ver «todo el fútbol gratis» desde su tablet Android. La simple descripción de la aplicación hace que en mi hombro izquierdo un pequeño duende con un trébol de tres hojas grite «Danger! Danger!» (y no está cantando la canción de Electric Six), luego os explico por qué ya desconfío de entrada. El app debe ser de confianza porque el conocido del amigo es un tío que sabe mucho de estos temas. Como os podéis imaginar el app no está en la tienda oficial de aplicaciones de Android, es un fichero apk que le envían por Whatsapp, fichero que le pido, me descargo y desempaqueto con el Android Studio. Lo primero que hago es echarle un ojo al Android Manifest para ver qué permisos pide: ¿Ver estado de la red? Bueno, esto entra en la lógica ¿Usar datos móviles? Vale, si no estás conectado a una wifi los necesitará para el streaming ¿Ver información de la Wifi? Esto me mosquea, una cosa es ver si hay red y otra ver los detalles. Entonces empiezo ya a ver cosas que no deberían estar ahí: Acceso a los SMS, acceso a los contactos, acceso a las llamadas, acceso a la ubicación, acceso al GPS, acceso al almacenamiento, acceso al Bluetooth, acceso a pagos desde la aplicación, acceso al micrófono… Esos permisos no tienen ningún sentido para la finalidad de la aplicación, de hecho el combo SMS+Pagos me provoca hasta terror y sudores fríos. Recomiendo no instalarla porque el riesgo potencial de dicha aplicación es muy alto.

Imagen de un teléfono móvil
Photo by cottonbro on Pexels.com

¿Por qué me mosqueó la aplicación ya de entrada y antes de haber visto nada? Pensemos un momento de forma crítica y analítica: hacer una aplicación requiere invertir tiempo en diseñarla, programar el código, hacer pruebas, actualizarlo cuando haya problemas de seguridad o cambios en el núcleo de Android… En este caso además se trata de una aplicación que muestra una información que hay que actualizar a diario, todos los días hay que subir los enlaces de los partidos de la jornada, así que estamos ante una aplicación que requiere que alguien invierta muchas horas en mantenerla fucionando. Además, hoy por hoy con la ley en la mano lo que hace dicha aplicación es ilegal, por lo que la persona que mantiene el app se podría ver envuelto en problemas legales con empresas muy grandes y ricas, que tienen todos los recursos legales del mundo para amargarte la vida. Entonces ¿por qué alguien dedicaría tanto tiempo y se arriesgaría a tener problemas con la ley si no va a conseguir un retorno económico? Puede que sea alguien con mucho tiempo y dinero que pretende empezar una guerra contra los gigantes del contenido, pero es más probable que sea alguien que busque conseguir un retorno económico con dicha aplicación.

¿Qué son las apps maliciosas?

El ejemplo que he puesto con la historia que os he contado es una buena definición de un app maliciosa: una aplicación que teóricamente parecía legítima pero que realmente era una trampa para acceder a un montón de permisos dentro de nuestro teléfono. ¿Qué puede conseguir un ciberdelincuente con eso? Pues depende de los permisos que le hayamos dado: infectar nuestro dispositivo para ser parte de una red zombie en un ciberataque, usar nuestro teléfono para minar criptomonedas, robar nuestros datos, suscribirnos a servicios de sms premium o llamar a números de tarificación especial, tomar el control de nuestro dispositivo… Se roban tantos datos a día de hoy que en la deep web los de un solo individuo llegan a venderse por cantidades ridículas. ¿Crees que los datos de un ciudadano medio, incluyendo acceso a sus cuentas de correo, a la web de su seguro médico y al app de su banco, valen miles de euros? No, hoy por hoy hay paquetes de información así vendiéndose por 10 euros en la deep web.

¿Cómo me protejo de estas apps maliciosas?

Bueno, en este caso la única solución es no instalarla. Es una respuesta de perogrullo, pero eso es así. Entonces me diréis «¿no instalamos nada por si acaso?«, pues no… pero sí, me explico: si no lo necesitas no lo instales, esto es una máxima que suelo aplicar, tener aplicaciones por tener solo implica malgastar capacidad de almacenamiento en nuestro dispositivo y aumentar las posibilidades de sufrir un problema de seguridad. Si llegamos a la conclusión de que sí necesitamos esa aplicación entonces el siguiente punto es ¿desde dónde la descargamos? Pues lo mejor es hacerlo desde la tienda oficial de apps de nuestro sistema operativo (Apple, Google, Amazon, la que toque), pero cuidado, a veces alguna aplicación maliciosa logra colarse ahí, así que aunque esté en un sitio legítimo puede ser ilegítima por lo que debes siempre revisar los permisos que te pide la aplicación y pensar «¿esta aplicación necesita esto para lo que a hacer?» Yo entiendo que puede ser confuso en muchos casos, pero hay que hacer el esfuerzo por nuestro propio bien y pensar en qué le estamos permitiendo, por ejemplo ¿una aplicación para enviar dinero a mis amigos necesita acceder a mi lista de contactos? Bueno, eso tiene cierta lógica. ¿Esa misma aplicación necesita acceder a mi GPS? Pues eso en cambio ya no tiene ninguna explicación en principio coherente.

Hay otras medidas de seguridad proactivas que podemos tomar por si nos viéramos afectados por una de estas aplicaciones como tener copias de seguridad de nuestros datos, por si sufriéramos un ataque que las destruyese o secuestrase, o cifrar nuestro dispositivo para evitar que en caso de robo de datos estos fueran legibles. También aplicaciones como el CONAN de INCIBE nos permitirán comprobar la seguridad de nuestro dispositivo ¿Qué pasa si ya nos hemos infectado? Pues lo primero es eliminar la aplicación maliciosa, después ya con el equipo libre de ese malware lo mejor sería cambiar nuestras contraseñas en los distintos servicios que utilizásemos para evitar sustos por si hubieran sido robadas. La OSI tiene una infografía muy chula resumiendo todo esto.

Ciberseguridad: ¿Qué es el Web Spoofing?

La pasada semana por aquello del Black Friday volvía a compartir en mis redes sociales esta infografía que hizo el INCIBE y distribuyó a través de las redes de la OSI, siguiendo esa línea y con vistas a las compras navideñas vamos a hablar de otra técnica para cometer fraudes y delitos en la red: el web spoofing.

Cibercrimen ¿Qué es el web spoofing?
Photo by Mikhail Nilov on Pexels.com

¿En qué consiste?

Esta técnica para la estafa on-line consiste en crear una web falsa para hacerla pasar por un sitio legítimo y así robar nuestras credenciales de acceso al mismo. El atacante, por ejemplo, podría clonar la estética de la pasarela de pago de nuestro banco para hacerse con los datos de nuestra tarjeta, la página de inicio de AliExpress o Amazon para controlar nuestra cuenta o la página de acceso a Pay Pal. Esta técnica tiene que combinarse con alguna otra de ingeniería social para hacer llegar la web falsa a la víctima (por ejemplo, con el smishing del que ya hemos hablado, con correos fraudulentos, con publicidad-trampa en páginas poco legítimas…)

¿Cómo nos protegemos?

Lo primero es desconfiar de las webs sin https, si no tienen certificados digitales mejor no fiarse de ellas. Que tengan el certificado tampoco es una garantía, nuestro navegador nos permitirá comprobar a nombre de quién se ha expedido dicho certificado así que también es bueno comprobarlo. Es muy importante que revisemos bien la URL de la dirección a la que estamos accediendo para asegurarnos de que no se trata de una falsificación, que realmente es la web legítima.

Algunas herramientas para verificar información online

Ya hemos hablado de los problemas que tenemos con la proliferación de propaganda en internet y por la exposición a información tóxica en redes sociales, incluso planteamos si podemos servirnos del mismo criterio que usan los servicios de inteligencia de la OTAN para catalogar las fuentes. Hoy vamos a ver algunas herramientas para verificar información, siguiendo las recomendaciones del Centro Nacional de Cibersegurança portugués.

La ONG Amnistía Internacional, por ejemplo, nos ofrece una herramienta para ver metadatos de vídeos de Youtube, lo que nos permitirá saber la fecha y hora a la que se ha subido un vídeo y nos mostrará las miniaturas del mismo para que podamos hacer una búsqueda inversa de imágenes. Lo he probado con un vídeo de esta misma noche, la expulsión de LeBron James ante los Detroit Pistons y este ha sido el resultado:

Captura de pantalla del visor de metadatos de youtube

Otra buena opción para validar una información es comprobar las imágenes que la acompañan, para saber por ejemplo si han salido de otra página, en qué fecha se subieron originalmente, etc. Para eso la búsqueda de imagenes de Google nos permite hacer una búsqueda inversa (la opción Buscar por Imagen, que nos deja subir una foto o adjuntar la url de la misma). El buscador ruso Yandex también nos ofrece esa posibilidad. Yo he probado a subir un meme en el que se ve a un niño fumando junto a un pollo, comprobando que en los resultados sí aparece la foto original del meme sin su marco:

Captura de pantalla de una búsqueda inversa de imágenes en Google

Para recuperar informaciones que ya no están online, cosas que existieron pero fueron borradas, siempre podemos recurrir a páginas como Web Archive, Archive.md, la portuguesa Arquivo.pt o las herramientas que nos ofrece Yubnub, que son algo más complejas. Estas webs nos permitirán recuperar informaciones borradas, pues muchas veces parte de un ciclo de vida de una teoría conspirativa implica el borrado de la original para reutilizarla tiempo después con un par de modificaciones.

Finalmente tenemos una web que nos permite rastrear el origen de una publicación en Facebook o Twitter, llamado Who Posted What. Es algo más complejo de usar que la búsqueda de imágenes de Google, pero puede ayudarnos a saber de dónde proviene una información

Ciberseguridad ¿Qué es el shoulder surfing?

Vamos a seguir hablando un poco de ciberseguridad y vamos con formas de ataque que no requieren de ningún conocimiento técnico, como cuando hace unos días vimos en qué consistía la técnica de la «manguera de goma«. Hoy hablaremos del «shoulder surfing«, empezando con un ejemplo real, algo anecdótico pero que será un buen inicio:

Principios de 2015, al salir del trabajo me estoy tomando una cerveza en la barra del bar donde trabaja una amiga mía y charlamos animadamente, pues no hay más clientes. Me pregunta algunas cosas sobre ciberseguridad porque sabe que soy programador y hace poco ha visto a Chema Alonso en la tele, en una entrevista, y piensa que hay mucho sensacionalismo con la seguridad informática, que se montan «muchas películas» sobre el tema, pero que realmente no es tan fácil realizar un ataque informático. Le pregunto si me invita a la cerveza si logro desbloquear su teléfono, acepta estando segura de que no podré. Me da el teléfono y lo desbloqueo al momento, birra gratis. ¿Cómo he logrado desbloquearlo? Pues haciendo uso de esta técnica del «Shoulder surfing«, que en castellano podríamos traducir como «mirar por encima del hombro«: bloqueaba su teléfono con un código numérico, solo tuve que fijarme en qué números había pulsado, me había quedado cierta duda con el último dígito, pero era fácil deducirlo porque era su año de nacimiento. Conste que ella reclamó diciendo que «eso no es un ataque informático, solo has visto la contraseña«, pero independientemente del método usado yo había logrado acceder a su dispositivo.

Imagen con ejemplo de espionaje
Photo by Noelle Otto on Pexels.com

Aunque pueda sonar como algo mundano, como algo que podríamos llamar cutre, obtener una contraseña por mera observación es bastante simple y más habitual de lo que creemos. Suele encuadrarse dentro de la llamada «ingeniería social«, pero yo hasta pienso que calificarlo de ingeniería en muchos casos es demasiado. Si bien es cierto que en casos de espionaje se ha recurrido a algunas medidas técnicas (cámaras ocultas o prismáticos), lo más habitual suele ser que simplemente el atacante se coloque cerca de su víctima y observe cómo teclea el código para acceder.

¿Cómo nos protegemos de este ataque?

Bueno, como comentamos en la entrada sobre ataques contra contraseñas, las opciones de activar la validación por múltiples factores o de usar un gestor de contraseñas son importantes. Para el desbloqueo de dispositivos móviles se puede contar con el desbloqueo por reconocimiento facial o por huella dactilar. En este caso, además, tendríamos que sumar como medida de seguridad el asegurarnos de que nadie está viendo nuestra pantalla ni nuestras manos al teclear e intentar no hacerlo en lugares públicos y llenos de gente (la barra de un bar, el transporte público, etc.)

Ataques informáticos contra contraseñas: fuerza bruta y diccionario.

Desde hace años las contraseñas protegen muchos de nuestros datos en la red: acceso a servicios económicos, tiendas en línea, redes sociales, correos… Por lo que para un ciberdelincuente las contraseñas son objetivos jugosos, pues le permiten acceder a información o funciones muy valiosas: acceder a nuestro dinero, acceder a nuestros correos, suplantar nuestra persona…

Existen muchas formas de hacerse con una contraseña, en el pasado ya hablamos de técnicas de ingeniería social como el smishing, de cómo se pueden servir de correos fraudulentos, incluso de métodos no informáticos como la coacción o la tortura (ataque de manguera de goma). Aquí vamos a ver dos formas de hacerlo sin tener que contactar con la persona atacada para engañarla, simplemente «forzando» la contraseña. Tenemos principalmente dos posibilidades: fuerza bruta pura y ataque con diccionario.

Código fuente de un script
Photo by luis gomes on Pexels.com

El ataque por fuerza bruta es bastante sencillo: consiste en bombardear nuestra contraseña con todas las opciones posibles. Prueba y error, así de sencillo. Dependiendo de la robustez de nuestra contraseña y de las medidas de seguridad del sitio al que intenten acceder tardará más o menos, pero con el tiempo suficiente cualquier contraseña acabaría por caer.

El ataque con diccionario es una versión sofisticada de la fuerza bruta: utiliza un software que prueba distintas combinaciones de caracteres más usuales o más probadas. Estos diccionarios suelen complementarse con listas de contraseñas ya utilizadas que se han sacado de alguna filtración. Como curiosidad, también se sirven de los requisitos de seguridad que nos imponen los servicios para crear una contraseña: por ejemplo, si creamos un diccionario para un sitio que exige como mínimo 6 caracteres, con un número y una mayúscula, ya no se probará ninguna contraseña que no coincida con ese patrón.

Ya que hablamos de filtraciones de contraseñas para los diccionarios debemos hablar de las tablas rainbow o arcoíris también. En su momento ya hablamos de las funciones de resumen o hash, que son muy utilizadas para almacenar contraseñas y también comentamos el problema de la colisión (dos contraseñas distintas pero que casualmente producen el mismo hash, lo que permite hace un ataque basado en la paradoja del cumpleaños). Muchas veces cuando hay una filtración de contraseñas estas no están en texto plano sino que se filtran estos hashes, las tablas arcoíris son una herramienta que nos permite buscar contraseñas que generen el mismo hash. Aunque en principio los ataques por fuerza o por diccionario suelen ser más sencillos y menos costosos computacionalmente, las tablas arcoíris han sido una solución muy usada para atacar contraseñas de mucha longitud.

¿Cómo podemos protegernos de estos ataques?

Bueno, a nivel desarrollador hay múltiples opciones, como añadir un «salt» (una cadena de texto aleatoria) a la contraseña durante el proceso de validación antes de generar el hash, de forma que dificulta el uso de tablas arcoiris, usar un captcha para evitar sistemas automatizados, ralentizar la respuesta de error un par de segundos para aumentar la espera en caso de ataque automatizado, bloquear temporalmente una cuenta en caso de recibir múltiples errores con un tiempo de bloqueo que crezca progresivamente, utilizar cookies para bloquear intentos recurrentes desde un mismo equipo… Eso en caso de portales web, para otras aplicaciones, como las de uso corporativo, incluso se puede limitar el rango de ip‘s para acceder y obligar a los usuarios a usar una VPN.

Como usuario es recomendable no usar contraseñas débiles, cortas y fáciles de recordar ni usar datos personales como nuestro nombre o fecha de nacimiento como contraseña. Tampoco se recomienda usar patrones muy sencillos, como la primera letra en mayúscula y acabada en un número, que son fáciles de recordar pero al ser tan populares ya muchos diccionarios los contemplan. La autenticación con varios factores (por ejemplo, que envíe una confirmación a nuestro teléfono) es una solución que debemos habilitar siempre que esté disponible, de hecho Google ha empezado a hacerla obligatoria. Además es muy recomendable usar un gestor de contraseñas, existen muchos tanto de pago, como totalmente gratis o con versiones limitadas gratis. Si no quieres pagar la opción libre KeePass aunque tenga una interfaz algo anticuada está en permanente actualización y es fiable y segura.

Admiralty Code ¿Qué es? ¿Puede servirnos para estar prevenidos ante noticias falsas/propaganda?

El «Admiralty Code«, también llamado «NATO System«, en castellano «Sistema de la OTAN«, es un método para analizar la fiabilidad de la información diseñado y utilizado por la OTAN y por los servicios de inteligencia de los países que forman parte del acuerdo UKUSA. Aunque originalmente fue creado como una herramienta para servicios de inteligencia naval su utilidad puede extenderse a muchos otros contextos, incluso al académico, el investigador JM Hanson destacaba en un artículo para la UNSW de Sidney que podría tratarse de una herramienta fundamental para fomentar el auto-aprendizaje, además de una buena metodología para los estudiantes que buscan recursos educativos o fuentes para una investigación. Ya hemos hablado en el pasado de la proliferación de propaganda en internet, tanto con fines económicos como políticos, también de cómo reducir nuestra exposición a la misma. Los criterios usados en el método Admiralty Code pueden ser útiles herramientas a la hora de analizar la información que recibimos en nuestro teléfono, correo electrónico, etc.

¿En qué consiste pues este método? Pues consiste en analizar tanto la fiabilidad de la fuente como la coherencia y credibilidad de la información, usando dos escalas de seis puntos para ello.

Escala de fiabilidad de la fuente:

  • A – Totalmente Fiable: La fuente tiene un buen historial previo, siempre ha ofrecido información fiable y auténtica, mostrándose además competentes en el tratamiento y presentación de la información.
  • B – Habitualmente Fiable: La fuente tiene un buen historial previo, en la gran mayoría de las ocasiones ha ofrecido información fiable y auténtica.
  • C- Algo Fiable: Aunque la fuente ha ofrecido en el pasado información válida, debemos «cogerla con pinzas» porque no siempre nos ofrece datos fiables.
  • D – Habitualmente no confiable: Aunque la fuente ha ofrecido en el pasado información válida alguna vez, debemos «cogerla con pinzas» porque en la mayoría de las ocasiones no ha sido una fuente fiable.
  • E – Desconfiable: La fuente tiene un historial previo de información falsa o poco fiable, ya sea por incompetencia o por ser ese su objetivo.
  • F – Sin Datos: Desconocemos el historial previo de la fuente.

Escala de credibilidad de la información:

  1. Confirmado en varias fuentes: La información parece lógica y coherente, además está confirmada por varias fuentes independientes.
  2. Probablemente cierto: La información parece totalmente lógica y coherente, aunque no esté confirmada en más fuentes de momento.
  3. Posiblemente cierto: La información parece razonablemente lógica y coherente.
  4. Dudoso: Aunque lo que nos cuente la información es posible, carece de lógica o de coherencia con otras situaciones conocidas pasadas.
  5. Improbable: Lo que nos cuenta la información es imposible, contradictorio o totalmente ilógico en si mismo. Varias informaciones sobre el tema la contradicen.
  6. Sin base: Carecemos de base para poder medir la credibilidad de la información.

De esta forma podríamos elaborar una tabla con la que validar nuestros contenidos, con un código de colores similar a un semáforo [verde: esto en principio parece cierto, amarillo: habrá que andarse con ojo, rojo:esto probablemente sea falso] para estar advertidos de la fiabilidad de la información que estamos recibiendo:

Tabla con categorías de verosimilitud de información cruzadas con la calidad de fuente

Este sistema ha recibido críticas de múltiples analistas de inteligencia, por ejemplo porque su bidimensionalidad puede llevarnos a tener dudas: ¿es más fiable una información marcada como B3 o como C2? En cualquier casi aquí no planteamos ya la idea de elaborar informes de inteligencia, sino la de servirnos de este criterio un poco como guía para evaluar las noticias que leemos. Cuando veamos un titular jugoso pensemos primero ¿de dónde sale esta noticia? ¿qué historial tiene este medio en este tema? y después pasemos al punto ¿esto es posible? ¿es coherente?

Criptoanálisis de manguera de goma o de tubo de goma

Seguramente muchos ayer leisteis la noticia del secuestro de Zaryn Dentzel, el fundador de Tuenti que alega que unos encapuchados le secuestraron y torturaron, en principio para conseguir sus claves de su cartera de criptomonedas (aunque algunos medios señalan que en su declaración oficial omitió ese dato, tal vez fuera un rumor lo de las criptos, tal vez le tenga miedo a la Agencia Tributaria, insondables misterios). Las criptomonedas son muy difíciles de rastrear y garantizan un alto grado de anonimato en sus operaciones, eso que muchos de sus defensores venden como una de sus grandes virtudes tiene también un gran peligro para su poseedor: si alguien te roba el control de la cuenta dile adiós a tu dinero. Esto nos lleva a que haya casos en los que una cantidad obscena de dinero esté protegida tan solo por una contraseña.

Imagen representando criptomonedas
Photo by David McBee on Pexels.com

Es evidente pues que la necesidad de una seguridad informática potente se convierte en un punto crítico, estos sistemas suelen tener cifrados muy fuertes, políticas de auntenticación de varios factores, exigen contraseñas complejas, actualizan y revisan constantemente su seguridad… en resumen, que robar una cuenta a través de un ataque informático suele ser técnicamente complejo y costoso en tiempo y recursos, en esta estructura el eslabón más débil sería el usuario, el factor humano. Por eso cuando hablaba ayer de la noticia con unos compañeros, hacía referencia al término «criptoanálisis de manguera de goma» o «método del tubo de goma«.

Foto de una consola de Linux
Photo by Pixabay on Pexels.com

El término se dice que fue enunciado por primera vez a principios de los 90 por el especialista en ciberseguridad Marcus J. Ranum, investigador del proyecto DARPA, y es un eufemismo para hablar de conseguir una contraseña no através de un ataque técnico informático, sino sirviéndose de presiones psicológicas, coacción o incluso tortura para que la persona que conoce la clave nos la entregue. El nombre haría referencia a una técnica de interrogatorio por tortura concreta, el bastinado con una manguera de goma (literalmente, golpear a alguien con una manguera de goma hasta que confiese). Aunque originalmente el nombre haga referencia a una forma de tortura física, cuando hablamos de «manguera de goma» podemos referirnos a todo tipo de presiones y coacciones: amenazas de cárcel, de revelación de secretos comprometedores para la imagen pública de la persona, de consecuencias legales, de multas, presiones a familiares… Incluso no siempre tiene que tratarse de métodos ilegales o brutales, como ya hemos visto hablamos de un concepto amplio consistente en presionar a quien tiene la clave para que la entregue, puede incluso referirse a la obtención de beneficios penitenciarios por colaborar con una investigación. Imaginemos que hacienda investiga las cuentas de un evasor fiscal y necesita la clave de cifrado de un disco duro para poder hacerlo, clave que tiene el contable de dicho evasor: ofrecerle una rebaja en su condena entraría dentro de este concepto también.

Consejos para reducir la exposición a informaciones tóxicas en internet.

Cuando hace unas semanas hablaba sobre la propagación de propaganda y desinformación a través de la red, comentaba cómo esas estrategias de desinformación e intoxicación se aprovechan de los sesgos, tanto de usuarios como de los diseñadores de los algoritmos, para maximizar su impacto. El último escándalo ha sido la confirmación por parte de Twitter de que su algoritmo da mayor relevancia a los mensajes de la extrema derecha, aunque afirman no saber por qué (mi opinión personal: lo saben perfectamente, pero hoy por hoy es clave para su modelo de negocio). ¿Podemos protegernos de la exposición a las decisiones de los algoritmos y a tanta propaganda tóxica? Hay formas de hacerlo, yo creo que una de las estrategias más efectivas es la de ralentizar el bombardeo de notificaciones, evitando los problemas generados por esa ansiedad que nos provoca el exceso de velocidad en la llegada de información.

Voy a hacer una modificación rápida para aclarar una duda que me ha llegado al poco de publicar ¿qué es un algoritmo? Simplemente es un conjunto de instrucciones o reglas que nos permiten solucionar un problema. Los programas informáticos están basados en algoritmos que recibiendo una entrada de información nos ofrecen una información procesada de salida. En el caso de las redes sociales o de las páginas de noticias pensad que la entrada es una recopilación de nuestro comportamiento previo en dicha red y la salida serán las noticias o publicaciones que consideren que son más adecuadas para nosotros. La cuestión es que el criterio de qué es «más adecuado» pues no es ni inocente ni transparente, por un lado está diseñado para mantener nuestra atención en el producto el mayor tiempo posible y por otro lado puede estar influído ya sea por sesgos involuntarios de los diseñadores como por sesgos totalmente malintencionados que se alineen con sus objetivos económicos o políticos. De ahí que más adelante vayamos a hablar mucho de cómo reducir nuestra exposición a los mismos.

Veamos algunos consejos para distintas redes, para evitar que sus algoritmos nos arrastren hasta contenidos que son tan nocivos para nuestra salud mental como para el desarrollo de la sociedad:

Facebook:

Seguramente Facebook sea la red social en la que es más complicado huir de la influencia de su algoritmo. Como con todos los productos que veremos aquí para mi lo primero es desactivar las notificaciones, que nuestro teléfono no esté secuestrando nuestra atención es una medida importante para evitar la propaganda tóxica. El segundo punto es bloquear a la gente que va repartiendo propaganda, muchas veces con la apariencia de estar planteando un debate abierto aprovecharán para colarte desinformación en los comentarios de tus publicaciones. Igualmente si ves un titular que suene a noticia falsa, desinformación o discurso de odio no entres a comentarlo, no le des relevancia y simplemente denuncia, lo mismo con grupos de usuarios o páginas temáticas cuyo mensaje sea también obviamente propaganda. Sinceramente, no creo que al denunciar realmente logremos algo más allá de que Facebook deje de mostrarnos esa publicidad, pero incluso ese pequeño cambio puede ser un freno a la propagación de esas informaciones, porque además reduces el número de interacciones.

Teléfono móvil/PC:

Es importante desactivar las notificaciones de páginas de noticias en nuestro navegador, sobre todo en el del teléfono, de esta forma evitamos que la redacción de dichos medios decida por nosotros qué mostrarnos. Buscando nosotros mismos las noticias que queremos elegimos la forma, el momento y la velocidad a la que nos informamos y no estamos sometidos al criterio de un algoritmo que habrá sido diseñado conforme los intereses de los dueños de ese medio de comunicación. Otro punto destacable sobre las páginas de noticias es no entrar en noticias cuyo titular está diseñado obviamente para provocar una reacción visceral, ya sea por gusto o por asco.

Ejemplos de distintos dispositivos de la marca Apple
Photo by Pixabay on Pexels.com

Twitter:

Lo más importante para reducir nuestra exposición a su algoritmo es cambiar en la configuración de Twitter para que en lugar de los tweets destacados nos los muestre en orden cronológico, eso anula en gran parte los sesgos del algoritmo. Después vuelvo a recomendar lo mismo que en Facebook: mejor bloquear que discutir (al final del artículo también pienso dar algún consejo sobre esto), porque cuando nos enzarzamos en una discusión damos más relevancia a ese contenido, más interacciones, más impresiones y eso lleva a que aparezca con más facilidad en la línea de tiempo de la gente que usa el orden de destacados en lugar del cronológico. Revisad también vuestros seguidores, a veces aparecen bots obvios no sé muy bien con qué intención, pero es mejor aplicar el block en esos casos.

Whatsapp/Telegram/Mensajería en general:

Lo primero que mencionaría sobre estos sistemas de mensajería es intentar estar en el menor número de grupos posible y cuando no podamos salirnos de uno por presión social, silenciarlo de forma que no nos esté llegando constantemente un bombardeo de información. Aunque no tengo datos estadísticos completos, por observación de mi entorno diría que Whatsapp en general y los grupos (de ex alumnos, de familiares, de trabajo, de agrupaciones que comparten una afición) en particular son los responsables máximos de la mayor expansión de la propaganda novica, que resulta muy fácil de distribuir de esta forma. ¿Te parece abrumador mirar un grupo y ver 80 mensajes sin leer? Seguramente no haya nada verdaderamente importante así que no dejes que eso te estrese, la alternativa es peor.

Youtube:

Con la popular plataforma de vídeos lo primero que recomiendo es no usar la reproducción automática. Esta funcionalidad puede ser interesante si estamos escuchando música y queremos que nos salgan más canciones similares a las que escuchamos, pero en caso de contenidos de corte político puede llevarnos a insondables abismos de abyección. Tan importante como eso es ir a la configuración de notificaciones y desactivar siempre, insisto en ese SIEMPRE, la opción de “Vídeos Recomendados, también recomendaría quitar la de “Suscripciones” por si acaso, pero la de “Vídeos Recomendados” es realmente importante desactivarla porque es la puerta de entrada a ser manipulados por su algoritmo. También, para estar menos expuestos a lo que puedan saber de nosotros recomendaría configurar que nuestra actividad no se almacene (es cierto que para ciertas cosas perderemos funcionalidades, pero en privacidad ganaremos mucho) o que se elimine por lo menos cada tres meses. Como siempre también añadiría el quitar las notificaciones en el navegador y en el teléfono para evitar el efecto-bombardeo. También como en los otros casos destacaría no interactuar con las publicaciones tóxicas, no meterse a comentar aunque sea para desmentir bulos y ni siquiera darle un voto negativo ya que para el algoritmo de Youtube incluso el voto negativo es un indicador de que es un contenido relevante para un perfil de gente..

Pnatalla de inicio de teléfono Android
Photo by Pixabay on Pexels.com

Bueno, he insistido mucho en la estrategia de bloquear para evitar que la propaganda e información tóxica circulen y alguno estará pensando ¿entonces cómo combato ese mensaje?¿cómo evito por ejemplo que los racistas lancen su propaganda en redes? Lo primero es que hay que ser conscientes de que al final casi todo se reduce a dinero: las redes sociales para ganar dinero necesitan que sus usuarios estén enganchados a sus pantallas, los medios sensacionalistas necesitan que hagamos click en sus titulares impactantes, incluso los partidos políticos o hasta gobiernos que están metidos detrás de alguna de esas campañas al final lo que persiguen es un beneficio económico, aunque ya sea a través de procedimientos geopolíticos más complejos.Sabiendo esto somos conscientes de que interactuar con la propaganda aunque sea para negarla es malo, porque si haces click en una noticia para decir “esto es mentira” a quien la publica le da igual, su objetivo era que hicieras click y lo has hecho por lo que ha cumplido su objetivo, si interactúas con una publicación en una red social para la red social eso es algo positivo, aunque te estés cagando en los muertos del que publicó ese contenido ellos están consiguiendo su objetivo, que es aumentar el tiempo que pasas usando su producto. ¿Quieres combatir los discursos de odio y la propaganda nociva? Pues además del primer paso de silenciarlas la mejor forma de contraargumentar es no gastar energía en debatir lo que otros quieran que debatas, hablar de los temas que te interesen de forma constructiva para dar relevancia a un discurso positivo en contraposición al que intentas combatir. A medio y a largo plazo es la forma de construir una alternativa al bombardeo mediático.