8.3 KiB
| title | icon |
|---|---|
| ¿Qué son los modelos de amenaza? | material/target-account |
Equilibrar la seguridad, la privacidad y la facilidad de uso es una de las primeras y más difíciles tareas a las que se enfrentará en su camino hacia la privacidad. Everything is a trade-off: The more secure something is, the more restricting or inconvenient it generally is, etc. Often, people find that the problem with the tools they see recommended is that they're just too hard to start using!
Si quisiera utilizar las herramientas más seguras disponibles, tendría que sacrificar mucha facilidad de uso. And, even then, ==nothing is ever fully secure.== There's high security, but never full security. Por eso es que los modelos de amenaza son importantes.
So, what are these threat models, anyway?
==A threat model is a list of the most probable threats to your security and privacy endeavors.== Since it's impossible to protect yourself against every attack(er), you should focus on the most probable threats. In computer security, a threat is an event that could undermine your efforts to stay private and secure.
Focusing on the threats that matter to you narrows down your thinking about the protection you need, so you can choose the tools that are right for the job.
Creating Your Threat Model
To identify what could happen to the things you value and determine from whom you need to protect them, you should answer these five questions:
- ¿Qué quiero proteger?
- ¿De quién quiero protegerlo?
- ¿Qué probabilidad hay de que tenga que protegerlo?
- ¿Qué tan graves serían las consecuencias si fallo?
- ¿Cuánto esfuerzo estoy dispuesto a dedicar para prevenir posibles consecuencias?
¿Qué quiero proteger?
Un "activo" es algo que usted valora y quiere proteger. In the context of digital security, ==an asset is usually some kind of information.== For example, your emails, contact lists, instant messages, location, and files are all possible assets. Sus dispositivos también pueden ser activos.
Haz una lista de tus activos: datos que guardas, dónde se guardan, quién tiene acceso a ellos y qué impide que otros los accedan.
¿De quién quiero protegerlo?
Para responder a esta pregunta, es importante identificar quién podría querer suponer una amenaza para usted o su información. ==A person or entity that poses a threat to your assets is an “adversary”.== Examples of potential adversaries are your boss, your former partner, your business competition, your government, or a hacker on a public network.
Make a list of your adversaries or those who might want to get ahold of your assets. Su lista puede incluir individuos, una agencia gubernamental o empresas.
Depending on who your adversaries are, under some circumstances, this list might be something you want to destroy after you're done security planning.
¿Qué probabilidad hay de que tenga que protegerlo?
==Risk is the likelihood that a particular threat against a particular asset will actually occur.== It goes hand-in-hand with capability. Aunque tu proveedor de telefonía móvil tiene la capacidad de acceder a todos tus datos, el riesgo de que publiquen tus datos privados en Internet para dañar tu reputación es bajo.
Es importante distinguir entre lo que podría ocurrir y la probabilidad de que ocurra. Por ejemplo, existe la amenaza de que su edificio se derrumbe, pero el riesgo de que esto ocurra es mucho mayor en San Francisco (donde los terremotos son habituales) que en Estocolmo (donde no lo son).
Assessing risks is both a personal and subjective process. Many people find certain threats unacceptable, no matter the likelihood they will occur, because the mere presence of the threat is not worth the cost. En otros casos, las personas ignoran algunos altos riesgos porque no ven la amenaza como un problema.
Anote qué amenazas va a tomar en serio y cuáles pueden ser demasiado raras o demasiado inofensivas (o demasiado difíciles de combatir) como para preocuparse por ellas.
¿Qué tan graves serían las consecuencias si fallo?
Hay muchas maneras de que un adversario pueda acceder a sus datos. Por ejemplo, un adversario puede leer sus comunicaciones privadas mientras pasan por la red, o puede borrar o corromper sus datos.
==The motives of adversaries differ widely, as do their tactics.== A government trying to prevent the spread of a video showing police violence may be content to simply delete or reduce the availability of that video. Por el contrario, un opositor político puede querer acceder a contenido secreto y publicarlo sin que usted lo sepa.
La planificación de la seguridad implica comprender las consecuencias que podría tener el hecho de que un adversario consiga acceder a uno de sus activos. Para determinar esto, debe considerar la capacidad de su adversario. For example, your mobile phone provider has access to all of your phone records. Un hacker en una red Wi-Fi abierta puede acceder a sus comunicaciones no cifradas. Su gobierno podría tener capacidades más fuertes.
Escriba lo que su adversario podría querer hacer con sus datos privados.
¿Cuánto esfuerzo estoy dispuesto a dedicar para prevenir posibles consecuencias?
==There is no perfect option for security.== Not everyone has the same priorities, concerns, or access to resources. Su evaluación de riesgos le permitirá planificar la estrategia adecuada para usted, equilibrando la comodidad, el coste y la privacidad.
Por ejemplo, un abogado que representa a un cliente en un caso de seguridad nacional puede estar dispuesto a hacer mayores esfuerzos para proteger las comunicaciones sobre ese caso, como el uso de correo electrónico cifrado, que una madre que envía regularmente a su hija vídeos divertidos de gatos por correo electrónico.
Anote las opciones que tiene a su disposición para ayudar a mitigar sus amenazas únicas. Tenga en cuenta si tiene limitaciones financieras, técnicas o sociales.
Try it yourself: Protecting Your Belongings
These questions can apply to a wide variety of situations, online and offline. As a generic demonstration of how these questions work, let's build a plan to keep your house and possessions safe.
¿Qué quiere proteger? (O bien, ¿qué tiene que vale la pena proteger?) :
Sus activos pueden incluir joyas, aparatos electrónicos, documentos importantes o fotos.
¿De quién quiere protegerlo? :
Sus adversarios pueden ser ladrones, compañeros de piso o invitados.
¿Qué probabilidad hay de que tenga que protegerlo? :
¿Su vecindario un historial de robos? How trustworthy are your roommates or guests? ¿Cuáles son las capacidades de sus adversarios? ¿Cuáles son los riesgos que debe tener en cuenta?
¿Cómo de graves son las consecuencias si falla? :
¿Tiene algo en tu casa que no pueda reemplazar? Do you have the time or money to replace those things? ¿Tiene un seguro que cubra los bienes robados en su casa?
¿Cuánto esfuerzo estaría dispuesto a dedicar para prevenir posibles consecuencias? :
¿Está dispuesto a comprar una caja fuerte para documentos confidenciales? ¿Puede permitirse comprar una cerradura de alta calidad? ¿Tiene tiempo para abrir una caja de seguridad en su banco local y mantener sus objetos de valor allí?
Sólo una vez que se haya planteado estas preguntas estará en condiciones de evaluar qué medidas tomar. Si sus posesiones son valiosas, pero la probabilidad de que se produzca un robo es baja, quizás no quiera invertir demasiado dinero en una cerradura. But, if the probability of a break-in is high, you'll want to get the best lock on the market and consider adding a security system.
Elaborar un plan de seguridad le ayudará a comprender las amenazas que le son propias y a evaluar sus activos, sus adversarios y las capacidades de éstos, junto con la probabilidad de los riesgos a los que se enfrenta.
Further Reading
For people looking to increase their privacy and security online, we've compiled a list of common threats our visitors face or goals our visitors have, to give you some inspiration and demonstrate the basis of our recommendations.
Fuentes
--8<-- "includes/abbreviations.es.txt"