Compartimentación de identidad: operar con varios usted

Un consultor me consulta tras una oleada de spear-phishing. Auditamos juntos sus direcciones. Su correo profesional público — el de sus tarjetas de visita, de LinkedIn, de las actas de conferencias — aparece en cuatro volcados. Su correo reservado a los expedientes de M&A y a los litigios: cero, en ninguna base. Creía haber tenido suerte. Solo había compartimentado, sin saber que estaba haciendo OPSEC.

La trampa habitual

El consejo dominante cabe en una frase: «separe lo profesional y lo personal». Una dirección de correo para el trabajo, una para la casa, y asunto resuelto. Es el nivel de sofisticación que se encuentra en el 90 % de las guías de «buena higiene digital», de las políticas informáticas de empresa y de los artículos de gran público. Este consejo no es falso. Es insuficiente hasta el punto de ser engañoso, porque hace creer que dos compartimentos bastan cuando su exposición real reclama cuatro.

El problema de fondo: «profesional / personal» es una distinción social, no una distinción de amenaza. Refleja cómo usted organiza su vida, no cómo un atacante, un broker o un motor de correlación organiza su recopilación. Ahora bien, las fugas no se producen a lo largo de las fronteras que usted ha elegido. Se producen allí donde dos identidades se tocan: una contraseña reutilizada, una dirección de recuperación compartida, un mismo número de teléfono, una cookie de navegador, una huella técnica común. La separación profesional/personal no dice nada de esos puentes.

Peor aún: el binario profesional/personal empuja a mezclar usos que no tienen nada que ver en términos de riesgo. Su declaración de la renta y su suscripción a una newsletter de cocina acaban en la misma dirección «personal». Su firma pública de LinkedIn y su intercambio confidencial sobre una adquisición comparten la misma dirección «profesional». Usted trata de la misma manera un dato que publica voluntariamente y un dato cuya fuga le costaría un expediente. La compartimentación, la de verdad, consiste en recortar según el riesgo y la exposición, no según el contexto social.

Las cuatro identidades de base

El inventario honesto de su vida digital hace aparecer cuatro compartimentos distintos, definidos por su exposición y la gravedad de una compromisión. No son cuatro buzones de correo que crear mañana — es una rejilla de lectura para clasificar lo que ya tiene y decidir lo que debe separarse.

Identidad civil. Su nombre legal, vinculado a su estado civil. Banco, Hacienda, médico, comunidad de propietarios, seguro, operador de telecomunicaciones. Esta identidad es estable por naturaleza — usted no cambia de nombre legal por capricho — y no está destinada a ser pública, pero está débilmente bajo su control: las instituciones que la poseen se fugan regularmente. La estrategia aquí no es ocultarla (imposible), es no mezclarla nunca con las otras tres. Su banco no necesita conocer la dirección que usa para sus suscripciones de streaming.

Identidad profesional pública. LinkedIn, conferencias, medios, tarjetas de visita, firma de correo visible, tribunas. Esta identidad está expuesta por construcción: su interés es precisamente ser localizable. Es ella la que acaba en los volcados, porque circula por todas partes — es su oficio. La estrategia no es reducir su exposición (sería contraproducente), sino aceptar que está comprometida por defecto y no hacerle portar jamás un secreto.

Identidad profesional sensible. Expedientes de M&A en curso, litigios, negociaciones confidenciales, relaciones con contrapartes cuya simple existencia es una información. Esta identidad debe estar estrictamente estanca, idealmente sobre una infraestructura distinta del directorio corporativo estándar. Es el compartimento donde una fuga no cuesta un spam más, sino un expediente, una posición de negociación, a veces una obligación de notificación.

Identidad operativa. Servicios de terceros, suscripciones, pruebas gratuitas, registros puntuales, todo lo que pide un correo «para ver». Es la más sacrificable: su compromisión no tiene ninguna consecuencia si está correctamente aislada, porque no da acceso a nada crítico. Es también la que genera más superficie — un internauta activo acumula cientos de cuentas en este compartimento en una década.

El dato que lo cambia todo: según las estadísticas publicadas por Have I Been Pwned, una dirección de correo usada activamente entre 2010 y 2020 tiene una probabilidad abrumadora de aparecer en al menos un breach. Pero esa probabilidad se aplica por dirección. Una dirección que solo ha servido para tres interlocutores elegidos, jamás introducida en un formulario web, jamás publicada, no tiene casi ninguna posibilidad de figurar en un volcado — no por suerte, por construcción. Ese es todo el reto: la compartimentación transforma una probabilidad de fuga en una elección de arquitectura.

Un detalle que muchos pasan por alto: estos cuatro compartimentos no son equivalentes en volumen. El civil cabe en una decena de cuentas — banco, Hacienda, Seguridad Social, mutua, telecomunicaciones, energía. El profesional público cuenta con algunas decenas, más bien visibles y asumidas. El sensible se cuenta a menudo con los dedos de una mano, a veces un solo interlocutor por expediente. El operativo, en cambio, estalla: es ahí donde viven los cientos de cuentas acumuladas al hilo de los registros, de las pruebas gratuitas olvidadas y de las compras puntuales. Esta asimetría es una buena noticia. Significa que el esfuerzo de estanqueidad se concentra allí donde es más fácil de instrumentar — el operativo, que se trata con alias generativos — y que los compartimentos de alto riesgo, sensible y civil, son lo bastante pequeños para gestionarse a mano, a ojo, sin automatización.

Una observación sobre lo que la compartimentación no es: no es ni fraude, ni disimulación, ni anonimato. Su identidad civil sigue siendo su identidad fiscal y legal, plena y entera. Usted no crea una identidad falsa — separa usos de una misma persona real. Confundir ambos es el malentendido que hace huir a los directivos («no voy a esconderme como un delincuente») o que, al revés, empuja a los ingenuos a creerse intrazables. La compartimentación es una medida de higiene, igual que no escribir su contraseña en un post-it. Organiza una realidad — usted tiene varios roles — para que un rol comprometido no haga caer a los demás.

Herramientas por compartimento

Una vez planteada la rejilla, la instrumentación es casi mecánica. Cada compartimento exige una infraestructura distinta, elegida por su nivel de exposición.

Para lo operativo, la buena herramienta es SimpleLoginServicio de alias de correo para enmascarar tu dirección real, adquirido por Proton en 2022.Ver el glosario o su equivalente nativo de Apple, Hide My Email. El principio: un alias único por servicio. Cuando se registra en un sitio, genera servicio-tal.xyz@sudominio.simplelogin.io, que reenvía a su buzón real sin revelarlo. Si ese servicio se fuga, sabe de inmediato de dónde viene el spam (el alias es dedicado), corta el alias con un clic, y ningún otro registro se ve afectado. Transforma una fuga global en un incidente local. Es, en la práctica, el único cambio que produce el 80 % del beneficio de la compartimentación por el 20 % del esfuerzo.

Para lo sensible, la infraestructura debe estar desligada de todo lo demás: un buzón en ProtonSuite suiza de herramientas de privacidad (Mail, VPN, Drive, Pass, Calendar) con modelo de código abierto.Ver el glosario Mail o Tutanota, en cifrado E2EECifrado de extremo a extremo: solo el emisor y el destinatario pueden leer el contenido.Ver el glosario, creado sin ningún vínculo con la identidad pública — sin recuperación vía el correo civil, sin número de teléfono compartido con las demás cuentas, idealmente creado desde una sesión de navegador limpia. El objetivo no es el anonimato absoluto (su interlocutor sabe quién es usted), es la ausencia de puente técnico explotable entre ese buzón y el resto de su superficie. Esa dirección no debe, bajo ningún pretexto, introducirse jamás en un formulario público, un servicio de terceros o una firma visible.

Para la profesional pública, el punto de atención es el número de teléfono. Dar su número de móvil personal en una tarjeta de visita es vincular directamente la identidad pública a la identidad civil — el número es un identificador pivote que los brokers adoran, porque es estable y lo cruza todo. Un número distinto, idealmente en VOIP (Twilio, JMP.chat, o un segundo número en su operador), absorbe la exposición pública sin contaminar su línea real. Evite vincular ese número a su IMEIIdentificador único de 15 dígitos de un terminal móvil, vinculado al hardware.Ver el glosario principal si puede evitarlo.

Queda la estanqueidad técnica, transversal a todos los compartimentos: los contenedores de Firefox (Multi-Account Containers), o navegadores dedicados por identidad. Abrir LinkedIn y su Proton sensible en el mismo perfil de navegador es ofrecer a cualquier script de fingerprintingIdentificación de un dispositivo por las características únicas de su navegador y sistema.Ver el glosario la correlación que precisamente intenta evitar. Misma IP, misma huella de navegador, mismas cookies de terceros: las dos identidades se vuelven vinculables sin que ninguna contraseña se haya fugado.

El pago merece la misma atención que el correo y el teléfono, porque es un identificador pivote en idéntica medida. Una tarjeta bancaria nominativa introducida en un servicio operativo vincula ese uso a su identidad civil vía la red bancaria — y los agregadores de transacciones, en ciertas jurisdicciones, revenden esas señales. Las tarjetas virtuales de un solo uso (Revolut, o tarjetas efímeras según su banco) absorben esa exposición para el compartimento operativo. No necesita eso para su civil — que es de todos modos su banco real — pero para las suscripciones y pruebas sacrificables, una tarjeta virtual dedicada evita que una fuga de datos de pago en casa de un comerciante tercero alcance su tarjeta real ni vincule a ese comerciante con el resto de sus cuentas.

Una palabra sobre el arbitraje material. La forma más acabada de estanqueidad es un dispositivo dedicado para el compartimento sensible — un teléfono separado, una máquina separada, o como mínimo un perfil de usuario de sistema distinto. Es pesado, y la mayoría de los particulares no lo necesitan. Pero para un directivo que trata expedientes de M&A, o un abogado en un litigio sensible, la sincronización invisible de los contactos entre cuentas en un dispositivo único es exactamente el tipo de puente que revela una relación confidencial — la aplicación social que «sugiere» un contacto porque lo ha cruzado en una agenda compartida. El dispositivo dedicado corta esa clase de fuga de raíz. Es la inversión más costosa de toda la gestión, y la única que se reserva a los perfiles realmente expuestos.

La regla de la no contaminación

Construir cuatro compartimentos no sirve de nada si los conecta. La compartimentación no es un estado que se alcanza, es una disciplina que se mantiene — y cabe en tres prohibiciones.

No reutilizar nunca una contraseña entre compartimentos. Es la evidencia que repetimos desde hace veinte años, pero adquiere un sentido particular aquí: una contraseña compartida entre su alias operativo y su buzón sensible vincula ambos en cuanto uno solo de los dos se fuga. Un gestor de contraseñasAplicación que almacena y genera contraseñas únicas para cada servicio.Ver el glosario con secretos únicos por cuenta no es una opción, es el requisito previo. Cuidado, sin embargo: un gestor sincronizado en todos sus dispositivos, en una sola caja fuerte, recrea un punto de unión — si esa caja fuerte se compromete, todos los compartimentos caen juntos.

No mencionar nunca la dirección sensible en un contexto público. Una sola vez basta. La dirección sensible deslizada en un correo en copia de un expediente que acabará en el juzgado, indexada en un documento compartido, o introducida por costumbre en un formulario — y el compartimento queda reventado para siempre. Las herramientas de OSINTInteligencia a partir de fuentes abiertas (públicas): redes sociales, registros, archivos.Ver el glosario y los motores de correlación no perdonan: lo que ha sido público una vez sigue correlacionado.

No vincular nunca las identidades por recuperación cruzada. Es el error más frecuente y el más invisible. Usted crea un bonito buzón sensible, luego configura su dirección de recuperación en su correo civil «para no perder el acceso». Acaba de vincular los dos: quien controla el correo civil controla el buzón sensible. Lo mismo para los números de teléfono de recuperación compartidos. La cadena de recuperación es el esqueleto oculto que vincula todas sus cuentas — audítela antes que todo lo demás.

A estas tres prohibiciones técnicas se añade una contaminación más sutil, que casi siempre se subestima: la contaminación conductual. Dos identidades pueden permanecer perfectamente estancas en el plano técnico — direcciones distintas, contraseñas únicas, navegadores estancos — y seguir siendo vinculables por la manera en que usted las usa. Un estilo de escritura reconocible (los análisis estilométricos están hoy al alcance de herramientas de gran público), un mismo huso horario de actividad, los mismos temas de nicho, el mismo ritmo de conexión. Para la mayoría de los lectores, este nivel de amenaza es teórico y no justifica ningún esfuerzo. Pero hay que conocerlo por dos razones: primero porque define el límite de lo que la compartimentación puede hacer — impide la correlación automática, no el análisis dirigido de un adversario determinado; después porque recuerda que el eslabón débil, en última instancia, no es la herramienta sino el hábito. El metadato más difícil de borrar es usted.

La prueba práctica para verificar que sus compartimentos aguantan no exige ninguna herramienta sofisticada. La prueba del navegador: desde una ventana privada, sin conexión, busque cada una de sus direcciones y de sus seudónimos, y anote lo que aparece vinculado. La prueba de recuperación: para cada cuenta crítica, active el recorrido «contraseña olvidada» y mire hacia qué dirección o qué número le remite — es la cartografía real de sus puentes, a menudo muy distinta de la que creía tener. La prueba cruzada: introduzca su dirección sensible en Have I Been Pwned; si aparece, el compartimento ya estaba reventado y usted lo ignoraba. Estas tres pruebas llevan media hora y revelan por lo general al menos un vínculo olvidado.

Lo que implica en concreto

La rotación como mantenimiento

Un compartimento no es eterno. Una identidad acumula exposición con el tiempo — cada registro, cada intercambio, cada fuga de un servicio tercero añade una línea a su perfil agregado. La rotación, es decir, el reemplazo periódico de una identidad por una nueva, es el mantenimiento que impide que esa acumulación se convierta en un riesgo.

La identidad operativa se rota anualmente, o inmediatamente después de una fuga detectada. Es trivial con alias: cortar un alias y generar uno nuevo lleva diez segundos, y como cada servicio tiene su propio alias, la rotación puede ser dirigida — usted solo cambia lo que se ha fugado. Ese es todo el interés estructural de los alias por servicio frente a una dirección única.

La identidad profesional pública se rota cada tres a cuatro años, con un periodo de transición. No se cambia una firma pública de la noche a la mañana — hace falta una ventana de varios meses durante la cual las dos direcciones funcionan, el tiempo de que los corresponsales, los directorios y los perfiles se actualicen. Es una operación pesada, que se planifica, no una reacción de urgencia.

La identidad sensible, en cambio, no se rota: es estable por necesidad (cambiar de dirección en mitad de un litigio es inmanejable), pero se audita cada seis meses. La auditoría verifica una sola cosa: que los puentes no se hayan reconstituido. Una dirección de recuperación añadida por descuido, un alias que apunta al lugar equivocado, un número reutilizado — el metadatoDatos sobre los datos: quién escribió qué, cuándo, dónde, a quién.Ver el glosario de vínculo se reintroduce siempre por las puertas pequeñas, y solo una auditoría regular lo descubre.

Errores que se ven constantemente

• «He creado una nueva dirección» — sin migrar los servicios críticos. La antigua dirección sigue siendo el punto de entrada real; la nueva solo añade superficie. Mientras el banco, el gestor de contraseñas y el correo principal apunten a la antigua, nada ha cambiado.
• El gestor de contraseñas sincronizado por todas partes en una sola caja fuerte. Excelente contra la reutilización, pero recrea un punto de unión único: comprometa la caja fuerte, y compromete todos los compartimentos de golpe. Para lo sensible, una caja fuerte separada se justifica.
• La recuperación cruzada entre identidades. El correo civil como dirección de reserva del correo profesional público, el número de teléfono único por todas partes: estos vínculos invisibles deshacen silenciosamente toda la compartimentación. Es el error más costoso porque es el más discreto.
• Mezclar las identidades en el mismo navegador. Mismo perfil, misma IP, misma huella: el fingerprintingIdentificación de un dispositivo por las características únicas de su navegador y sistema.Ver el glosario vincula lo que las contraseñas separan. Abrir la identidad sensible y la identidad pública una al lado de la otra anula la estanqueidad.
• Confundir compartimentación y anonimato. La compartimentaciónSeparar las identidades por uso (civil, profesional público, profesional sensible, operacional) para limitar la propagación de filtraciones.Ver el glosario no le vuelve anónimo — sus interlocutores saben quién es usted. Impide la correlación entre sus usos. Creerse intrazable porque se tiene un buzón Proton es una ilusión peligrosa que empuja a comportamientos de riesgo.

Checklist accionable

• N1 Listar sus direcciones actuales y clasificarlas por compartimento: civil / profesional público / sensible / operativo
• N1 Crear un alias operativo (SimpleLogin o Hide My Email) y enrutar todo nuevo registro de servicio tercero hacia él
• N2 Auditar las cadenas de recuperación: ninguna cuenta crítica debe recuperarse vía el correo operativo o una dirección presente en un volcado
• N2 Aprovisionar un buzón sensible E2EE (Proton/Tutanota) sin ningún vínculo de recuperación con la identidad civil o pública
• N2 Probar su perfil desde un navegador virgen (sin cookies ni conexión) y anotar los vínculos visibles entre identidades
• N3 Estanqueizar los navegadores o activar Firefox Multi-Account Containers, una identidad por contenedor
• N3 Planificar la rotación de la identidad operativa a 12 meses y una auditoría de la identidad sensible a 6 meses

Para profundizar

Para el detalle técnico del reenvío de alias y la gestión por dominio, la documentación de SimpleLogin es la referencia operativa, completada por el soporte de Apple sobre Hide My Email para el ecosistema iCloud. Si quiere entender por qué una dirección de correo es un identificador pivote tan difícil de estanqueizar, la RFC 5321 (SMTP) ilumina la mecánica de encaminamiento que hace toda dirección intrínsecamente trazable. Y antes de construir sus compartimentos, lea el inventario de lo que ya se ha fugado: no se estanca un dato ya público, se estancan los que aún no lo son.