Skip to content

CPSR - Perú

Sections
Personal tools
Infórmese
Próximo boletín:
- Lawrence Lessig y William Fisher: dos de los más notables especialistas en derecho informático nos visitan.
- Lanzamiento de las licencias Creative Commons en el Perú.

¡Suscríbase!

Publicaciones recientes
Aquí encontrará los últimos temas publicados en nuestro sitio.
Ingrese aquí...
 

Part 2. Case Study 2: Martus Training

A. Información General

  • Descripción: Talleres sobre privacidad y seguridad en las comunicaciones, para ONG’s defensoras de los derechos humanos, y periodistas del Perú.
  • Fecha: Verano 2003
  • Lugar: Lima, Perú
  • Organizaciones dirigentes: Privaterra (Central - Canadá), CPSR-Perú (Filial local - Perú).
  • Patrocinador: Open Society Institute.
  • Programa: Investigación y capacitación de formadores locales en materia de privacidad y comunicaciones seguras: mayo, 2003. Seguimiento de las actividades en curso: Julio, 2003.
  • Para más información contactar con:
    • Robert Guerra. Director Ejecutivo, Privaterra. Toronto, Canadá.
      rguerra@privaterra.org
    • Katitza Rodríguez, Directora, CPSR- Perú. Lima, Perú.
      katitza@cpsr-peru.org
    • Pedro Mendizábal Simonetti. Presidente, CPSR-Perú. Lima, Perú.
      pmendizabals@cpsr-peru.org
    • Carlos Horna Vallejos, Comité Técnico, CPSR-Perú. Lima, Perú.
    • Caryn Mladen, Ex Director, Privaterra, Toronto, Canadá.
B. Antecedentes

Este era un buen momento para contactar con las ONG’s defensoras de derechos humanos en Perú debido a la represión y vigilancia que tuvo lugar durante el gobierno del presidente Fujimori, aun presente en la memoria de los peruanos. Aunque actualmente la población goza de muchas libertades democráticas, y a pesar del creciente respeto por los derechos civiles por parte del gobierno y el Estado, la comisión parlamentaria ha manifestado que cierto equipo de escucha telefónica, desaparecido del Departamento de Información Electrónica (DIE) perteneciente al Servicio Nacional de Inteligencia (SIN), puede estar siendo actualmente utilizado en el sector privado.

En general, las ONG’s defensoras de derechos humanos suelen adoptar una actitud pasiva en los asuntos referentes a seguridad y privacidad, aún cuando tanto individuos como oficinas han experimentado algún grado de violación a la privacidad. Existe igualmente una cierta tendencia a rechazar el cambio. La gente actúa cautelosamente cuando se trata de utilizar herramientas que puedan complicar sus vidas o agregar trabajo a sus tareas diarias. Así, tampoco confían en la implementación de herramientas de encriptación porque creen que no funcionan – que no existe seguridad real – o que las herramientas están controladas por el gobierno o los servicios de inteligencia.

Por lo que respecta a los recursos económicos, que comúnmente constituyen un factor clave, el uso de computadoras y de Internet se ha difundido grandemente en ciudades ubicadas en las inmediaciones de Perú, sobre todo a precios razonables en cafés Internet. No obstante, los pequeños pueblos en las afueras de las ciudades no cuentan con acceso a la infraestructura de información y comunicaciones.

El software de acceso libre y abierto es relativamente conocido dentro de la comunidad técnica pro derechos humanos y su utilización ha aumentado entre las principales ONG’s defensoras de derechos humanos, que ya lo utilizan a nivel de servidor.

C. Detalles del Curso

  • Materia del Curso: debido a la proliferación de TIC’s (Tecnologías de información y comunicación), las redes de comunicaciones e información tienden a ser cada vez más vulnerables frente a posibles ataques a la privacidad y la seguridad. Las ONG’s, especialmente las involucradas con la defensa de los derechos humanos, se encuentran en peligro debido a que:
    • Recopilan y utilizan información altamente confidencial.
    • Recopilan información valiosa.
    • Generalmente adoptan una posición opuesta a la del gobierno y otras Fuentes de poder.
    • Utilizan Internet en sus comunicaciones diarias.
    • No están preparadas para hacer frente a los riesgos potenciales y no están familiarizadas con cuestiones de seguridad de la información en línea.
    • No suelen contar con recursos suficientes para desarrollar e implementar procedimientos de seguridad para la información y las comunicaciones.
  • Capacitación: Privaterra proponía el uso de herramientas que se han vuelto cada vez más populares en el sector privado, tales como los escritorios PGP (Pretty Good Privacy) que protege archivos guardados en computadoras personales, y PGP 8.0 para establecer comunicaciones seguras a través del. No obstante, PGP 8.0 no cumplió con el objetivo esperado, ya que a los defensores de derechos humanos les pareció demasiado complicado por la cantidad de pasos que hay que completar para usarlo adecuadamente. Los programas sencillos para el usuario, tales como PGP Universal, TOR y Open VPN son una mayor solución, pues el usuario no tiene que dar tantos clic's para proteger su privacidad. Este programa funcionará con una determinada ONG que coordine una coalición de diversas ONG’s y que haya dado servicios de correo electrónico con el mismo nombre de dominio a esas pequeñas organizaciones. Al mismo tiempo, Privaterra desarrolló una página web que cuenta con diferentes herramientas para facilitar la capacitación y el intercambio de experiencias con las siguientes utilidades:
    • Proceso automatizado de envío de mensajes con material de seguimiento.
    • Wiki, un lugar en el que las ONG’s defensoras de derechos humanos pueden participar en el mejoramiento del material de formación y otros recursos relativos a sus respectivos sistemas de seguridad.
    • Un foro de discusión y asesoría sobre diferentes temas.
  • Seguimiento:
    • Continuar con el desarrollo y expansión de la página web creada para este proyecto, a través de los cursos de Privaterra y la participación del usuario.
    • Promover el uso de los foros de manera que los miembros de las ON’s defensoras de derechos humanos puedan compartir ideas e intereses con miembros de otras organizaciones alrededor del mundo.
    • Alentar a los usuarios para que reporten cualquier problema, así como posibles errores en los programas y equipos periféricos publicando, en su caso, la solución correspondiente.

D. Resultados y evaluación del curso

Miembros de diversas organizaciones pro derechos humanos así como de los medios de comunicación participaron en el proyecto, mismo que puede dividirse en dos fases. La primera de éstas se dedicó, en gran parte, la investigación de métodos de capacitación y a la realización de un taller. Este último se dividió, a su vez, en dos etapas, cada una enfocada a diferentes equipos e incluyendo cerca de cincuenta (50) participantes de veinte (20) diferentes organizaciones pro derechos humanos.

Fase I:
Nuestro objetivo fue:

  • Desarrollar materiales relacionados con la capacitación en materia de privacidad y seguridad, enfocados principalmente a las comunicaciones digitales y a cómo recabar y manejar la información.
  • Realizar una serie de talleres sobre privacidad y comunicaciones seguras.
  • Desarrollar la página web de Privaterra en apoyo a los participantes una vez que concluyeran el curso.

Durante el curso propiamente dicho, se destacaron cuatro áreas de interés:

  • Riesgos ambientales, tales como la destrucción de documentos por fuego, deterioro, humedad o ratas.
  • Ataques no relacionados con el trabajo de las ONG’s pro derechos humanos, tales como robo de computadoras, o la presencia de virus/gusanos en Internet.
  • Ataques dirigidos a ONG’s pro derechos humanos, tales como robo o destrucción de computadoras como parte de operaciones gubernamentales, vigilancia a través de dispositivos como micrófonos ocultos y acceso ilegal a sistemas informáticos.
  • Errores de los usuarios, tales como no crear copias de seguridad de los datos, compartir sus palabras clave a través del correo electrónico o entre amigos, escoger palabras clave fáciles de adivinar, y encriptar únicamente los archivos y no la información confidencial enviada en el cuerpo del mensaje.

Fase II:
Privaterra trabajó con las ONG’s desde la primera fase, mismas que mostraron interés en continuar con el trabajo para realizar un estudio más profundo. Otras organizaciones se unieron también a esta fase. Once (11) ONG’s pro derechos humanos y dos (2) organizaciones de investigación en medios de comunicación estuvieron presentes.

En los talleres de la segunda fase, el objetivo era cubrir los siguientes temas:

  • Reafirmar el conocimiento adquirido por las ONG’s que participaron en la primera fase de la formación.
  • Capacitar a los participantes en el uso e instalación de las herramientas y utilidades nuevas, no cubiertas en la primera fase.
  • Observar la manera en que las herramientas instaladas estaban siendo usadas, y estudiar los motivos de que algunos usuarios no estuvieran utilizándolas.
  • Identificar las dificultades que tuvieran los usuarios con las herramientas, y recabar sus opiniones.
  • Detectar errores de metodología, así como problemas y cuestiones imprevistas, incluyendo aquéllos relacionados con los programas.
  • Recabar información para redactar las “lecciones aprendidas”.
  • Crear una red de soporte técnico para las nuevas herramientas y metodologías.
  • Transmitir el conocimiento y experiencia adquiridos, frente a foros académicos y profesionales.
  • Recomendar otros procesos similares para Perú en el futuro.

Los talleres se realizaron satisfactoriamente y se alcanzaron los objetivos planteados.

Los participantes identificaron la importancia de la privacidad como uno de los derechos humanos fundamentales, así como las amenazas derivadas del uso irresponsable de las TIC’s. Sugirieron que sería buena idea organizar más reuniones en el futuro para discutir estas cuestiones.


E. Lecciones aprendidas

Retos

  • La transición a los programas libres y abiertos resulta preferible en virtud de que disminuye la dependencia tecnológica de los sistemas patentados y reduce los costos de obtener las licencias respectivas. Sin embargo, si reemplazamos los programas, debemos asegurarnos de que las organizaciones tengan la capacidad de controlar y manejar sus propios sistemas, sin depender de nosotros o de cualquier otro grupo externo. Lo anterior requiere un esfuerzo pro parte de las organizaciones y, sobre todo, la disposición de invertir el tiempo necesario para echar a andar sus propios sistemas. Dado el riesgo inherente al trabajo que desempeñan, el cambio a la utilización de programas de libre acceso resultaría en un aumento necesario de seguridad y en muchos casos, con apoyo voluntario, derivaría también en una reducción de costos. Aunque muchas de estas organizaciones son concientes de los riesgos que su trabajo implica y de las ventajas de los programas libres y abiertos, existe aun una fuerte dependencia de lo programas patentados, debido a que las organizaciones no tienen suficiente tiempo para llevar a cabo la transición, o a que no tienen la posibilidad de retrasar su trabajo diario. No obstante, con la planeación adecuada, podemos darles asesoría estratégica sobre cómo dar ese paso.
  • El almacenamiento de información es un punto débil. Es importante resaltar que aunque cierta información puede no considerarse vital para una organización, puede ser considerada de importancia por terceros; en consecuencia, proteger la información se ha convertido en una obligación. Privaterra, en esta fase, ofreció soluciones simples para la mayoría de los sistemas. Para los grupos con problemas más complejos, Privaterra se reunirá con ellos a mediano y largo plazo para darles la asesoría necesaria.
  • Mucha gente teme admitir sus propios errores cuando se trata de computadoras y seguridad. Por lo tanto, es importante ganar su confianza, hablar su mismo idioma y proporcionar ejemplos locales de problemas comunes, de modo que puedan identificarse con los planteamientos y compartir sus dudas con nosotros. De este modo podemos compartir consejos y prácticas para fortalecer a la comunidad.
  • Comúnmente surgen malos entendidos relacionados con amenazas a la seguridad de las computadoras y las diferentes maneras de proteger la información en una computadora personal, o en varias cuando se trata de una red. Aunque es importante compartir el conocimiento, es aun más importante que el conocimiento sea correcto.
  • Muchas organizaciones rehúsan implementar soluciones técnicas sin el conocimiento o la asesoría apropiados. Necesitamos ser más eficientes para difundir nuestro mensaje e informar a las organizaciones sobre la asistencia que prestamos en estas áreas, ya que muchas de ellas no están enteradas de nuestros servicios y capacidades.
  • Si hay algún problema, resulta más económico llamar a un especialista en redes o en seguridad, que usar los servicios de un técnico interno que tal vez no cuente con las cualidades y los conocimientos necesarios para el trabajo.
  • Es importante no pasar por alto los aspectos básicos de la seguridad: candados físicos, los accesos al lugar en que se encuentra el equipo (ej: por el personal de mantenimiento) y las situaciones inseguras que pueden presentarse vía telefónica. Estos sistemas pueden estar expuestos a ataques sociales: una clave compartida vía telefónica a un impostor, una persona que se hace pasar por mensajero para poder acceder a un determinado lugar, etc. (El uso de anécdotas ayuda a los participantes a entender mayor las implicaciones de estos riesgos).
  • Es necesario tener normas y mecanismos de seguridad para proteger la seguridad de toda la oficina. Debe implementarse un mecanismo de copias de claves con el fin de evitar robos o pérdidas.
  • El uso y monitoreo continuo de las herramientas es esencial para mantenerse actualizado en cuanto a las mejores prácticas sobre seguridad. En muchas ocasiones existen ya soluciones para determinados errores de sistema; únicamente es cuestión de solicitar la solución a la persona correcta.
  • Con el objeto de aumentar la información recopilada de las organizaciones durante las sesiones de capacitación, necesitamos:
    • Identificar los hábitos de la organización y las tecnologías que utiliza actualmente.
    • Identificar las fuentes de asesoría y capacitación con que cuenta actualmente.
    • Identificar las amenazas y experiencias relativas a ataques directos o simples pérdidas de información.
    • Identificar la estructura departamental de la organización y eliminar las diferencias tecnológicas que pudieran existir entre las diferentes áreas.
    • Recabar la información de los contactos y la dirección antes de llegar al lugar.
    • Recabar información sobre la organización, antes y después de la capacitación.
  • Es importante tener información sobre los individuos que trabajan en la organización, tal como su experiencia, posición dentro de la organización y antigüedad.
  • Creemos en la utilidad de la retroalimentación con los participantes durante las sesiones de capacitación, así como de la interpretación rápida de los resultados. De este modo podemos modificar la capacitación de acuerdo a las necesidades del grupo.
  • Normalmente, el interés crece con el tiempo y con el avance mediante el uso de ejemplos. Por lo tanto, es necesario iniciar las sesiones con temas que atraigan el interés de la audiencia desde el principio. Igualmente, la comunicación previa con la organización es fundamental, ya que nos permite desarrollar materiales y transmitir mensajes dirigidos a los intereses concretos de la organización.
  • Hemos descubierto la extrema importancia de exponer claramente no solamente las características y beneficios de cada herramienta, sino también sus peligros y limitaciones. Aunque existe la posibilidad de que los participantes no utilicen las herramientas en el futuro, la mayoría las instalan y empiezan a usarlas inmediatamente, adquiriendo una “falsa sensación de seguridad” al no considerar los riesgos del uso incorrecto de las mismas.
  • Debido a que las sesiones de capacitación inician con los temas más simples, y dado que contamos con tiempo limitado, es posible que omitamos algunos puntos, tales como las herramientas más adecuadas para una determinada organización o redes seguras. Aunque estas aplicaciones generalmente involucran altos costos para las organizaciones, puede tratarse el tema al final con los directores, en caso de que exista la posibilidad de implementarlas.
  • El proyecto resultó más extenso de lo esperado por las siguientes rezones:
    • Recopilar la información de las organizaciones requiere de mucho tiempo y perseverancia.
    • Retrasos técnicos.
Progresos del curso
  • El proyecto empezó con una falta de interés inicial, probablemente porque mucha gente no está conciente de lo fácil que resulta que sus comunicaciones sean interceptadas, ya sea a través de correo electrónico POP3, una interfase de red o el acceso a computadoras personales desde cualquier lugar, etc.
  • Adicionalmente a su presencia física, es importante que los participantes contribuyan de algún modo con la capacitación para asegurar que la sesión tenga lugar. Por ejemplo, podrían conseguir el lugar en que se llevará a cabo, imprimir material, etc.
  • Los participantes mostraron un gran interés en temas relacionados con el derecho a la privacidad, los riesgos y recomendaciones relativos a la vulnerabilidad de sus sistemas de cómputo y la explicación general sobre el uso y función de las herramientas. Sin embargo, su interés disminuyó durante la capacitación y la instalación de las herramientas en particular. Esto último lo atribuimos a los siguientes factores:
    • Resistencia al cambio o la falta de disposición para asumir trabajo adicional. In algunos casos se percibió escepticismo y falta de interés en la protección a la privacidad.
    • La mayoría de los participantes utilizan la computadora como herramienta de trabajo y no tienen la inquietud de aprender más acerca de cómo funciona ésta ni sus programas. Incluso hay quienes consideran su computadora como una herramienta problemática y tratan de evitar su uso.
  • Debido al gran número de participantes en el curso, pensamos que sería útil profundizar más en los temas de instalación y uso de los programas únicamente con aquéllas ONG’s que muestren interés en poner en práctica las herramientas. Una vez que estas últimas sean implementadas por algunas organizaciones, otras querrán seguir su ejemplo.
  • Tan pronto como identifiquemos a las ONG’s interesadas en la capacitación, necesitamos identificar, área por área o una por una, cuáles herramientas necesitan de modo que el curso les enseñe únicamente a usar esas herramientas que requieren.
  • Hemos notado que no es necesario enseñar a todos los usuarios la instalación de los programas, ya que normalmente están acostumbrados a que sus computadoras estén previamente cargadas con todo lo que necesitan para trabajar. Además, esta etapa confunde e incomoda a los usuarios, creando una actitud negativa hacia las herramientas. Deberíamos concentrarnos en enseñar al usuario cómo utilizar y operar los programas. Idealmente, ofreceríamos capacitación con las herramientas preinstaladas, y en un ambiente equipado de manera similar a un salón de clases (una computadora por alumno y, de ser posible, un proyector, pantalla, tutoriales sencillos para el usuario, sesiones de práctica y evaluación, etc.).
  • Se ofrecerá capacitación para técnicos, empezando con la instalación e incluyendo manuales más detallados, de modo que puedan actuar como soporte local y resolver una serie de problemas.
  • Los usuarios finales rara vez están interesados en ser capacitadores ya que implica más trabajo para ellos, mientras que algunas organizaciones tienen soporte técnico permanente. Por lo tanto, pensamos que es necesario cambiar la estrategia de “capacitar a los capacitadotes” y limitarla a un grupo de expertos locales o a aquellos miembros de las ONG’s que tengan interés en ella.
  • En la capacitación debe contemplar el tiempo para “formar a los usuarios finales” y otro para “capacitar a los formadores”, con quienes sería posible diseñar un plan de acción, y compartir las lecciones aprendidas y la metodología utilizada por Privaterra en otros programas de formación.
  • Junto con lo anterior, es necesario crear una “sana paranoia” demostrando la manera tan sencilla en que pueden interceptarse las redes de comunicaciones y acceder ilegalmente a computadoras y servidores. Estas sesiones deben prepararse para los directores y técnicos con su consentimiento previo (su apoyo hará más fácil la demostración).
  • Privaterra debería trabajar de la mano con una organización que pueda proporcionar las herramientas o el equipo de cómputo que la organización necesitará, desde el equipo básico hasta actualizaciones tales como aumento de memoria o un nuevo disco duro.
  • Debemos llevar a cabo una auditoria completa de los servidores y conexiones: el diseño, desarrollo e instalación de redes seguras; analizar actividades maliciosas internas y externas en contra de las redes, y el diseño e instalación de redes privadas virtuales y herramientas de colaboración segura (por ejemplo, la instalación, configuración y monitoreo de contra fuegos firewalls, programas de antivirus, etc.) Lo anterior puede complementarse con un programa de donaciones, reciclando, análisis técnicos y actualización de equipos de cómputo para pequeñas ONG’s que de otro modo no podrían pagar por esta tecnología.
  • Aunque las organizaciones en Lima cuentan con redes, la mayoría de las herramientas que incluye el curso se refieren a computadoras personales. No se ofrecen soluciones técnicas para problemas de seguridad con determinados sistemas inalámbricos, celulares o satelitales de teléfono o fax.
  • Algunas de las herramientas presentadas en los cursos (por ejemplo, PGP/GPG) serán efectivos sólo si las organizaciones cuentan con otras soluciones de seguridad y corta fuegos instalados; de otro modo se encuentran en riesgo (en PGP/GPG, esto afectaría las claves de encriptación y acceso.
  • Es importante mejorar los métodos de capacitación preparando presentaciones modelo con diapositivas claras y sencillas que puedan proyectarse en una pantalla.
  • El éxito de las herramientas como medida preventiva de seguridad depende en gran medida de la diligencia del hombre. Las fallas normalmente ocurren porque el personal olvida cómo usar correctamente la herramienta en el momento que más la necesitan. Es importante que los directores de las ONG’s decidan utilizar la herramienta, ya que esto alentará a otros para hacer lo mismo. Sin embargo, los directores son generalmente los que muestran menos disposición para utilizar las nuevas herramientas.
  • Debido a que todas las soluciones, tecnológicas o humanas, tienen sus puntos débiles, algunas personas prefieren quedarse como están, y eligen vivir con los riesgos de las comunicaciones inseguras, en lugar de tomarse el tiempo para aplicar herramientas que no son “simples” ni ofrecen “100% seguridad”

Created by admin
Last modified 2008-01-08 10:16 PM
 
Powered by Plone   Site by ifPeople