SHIELD

Viajes

Vacaciones y privacidad: el modelo de amenaza que se olvida en bañador

En vacaciones, se bajan todas las guardias en el momento en que más se expone: fotos geolocalizadas en tiempo real, Wi-Fi de hotel, dispositivos de los niños, casa vacía anunciada públicamente. El modelo de amenaza del ocio, tratado sin paranoia.

Publicado el 7 min de lectura General

Última revisión:

Playa desierta, hamaca y sombrilla a la orilla del agua

Una conocida publica, desde la playa, una foto de sus hijos con el pie «por fin dos semanas de tranquilidad en [nombre del pueblo]». La foto es bonita. Dice también, a quien quiera oírlo: la casa principal está vacía, así son los niños, aquí están, y esto durante los próximos quince días. Nada de eso era la intención. Todo eso fue dicho de todos modos.

Las vacaciones son el momento en que se bajan concienzudamente todas las guardias que se han mantenido penosamente el resto del año. Es el objetivo, por cierto: uno se va para desconectar. El problema es que la relajación mental se acompaña de una relajación digital, y que sobreviene en el momento preciso en que más se expone.

No es un llamamiento a la paranoia veraniega. Nadie debería pasar sus vacaciones cifrando sus postales. Es una constatación sobre unos reflejos que cuestan poco y que cambian mucho, y sobre una categoría de exposición que se olvida por completo: la de los niños.

La trampa habitual

La idea recibida es que la seguridad digital es un asunto profesional. En la oficina, se tiene cuidado. En vacaciones, se está en familia, entre amigos, en un marco privado, así que uno se relaja. El digital de ocio sería una zona sin envite.

Es exactamente lo contrario. En vacaciones, tres cosas cambian al mismo tiempo. Se publica más, y en tiempo real, porque es el momento que se quiere compartir. Se usan redes que no se controlan, las del hotel, del cámping, del restaurante. Y se lleva a toda la familia, incluidos niños cuyos datos están aún menos protegidos que los nuestros, y cuya imagen acaba publicada por adultos que no se plantean la cuestión.

El marco privado no reduce la exposición. Reduce la vigilancia. Y un ladrón, un acosador o un vendedor no hace diferencia entre sus datos profesionales y sus datos de playa.

Modelo de amenaza real

Hay que nombrar a los actores, porque no son los que se imagina. Sin servicio secreto aquí, sin espionaje industrial. Amenazas ordinarias, precisamente porque son ordinarias.

El robo informado encabeza la lista. La casa vacía anunciada públicamente, con las fechas, es una información directamente explotable. Las redes sociales se han convertido en una herramienta de localización para los ladrones, y la foto «nos vamos dos semanas» es una señal tan clara como un cartel en la puerta.

Smartphone que muestra un mapa de geolocalización
Una foto publicada en tiempo real dice dos cosas: dónde está usted, y dónde no está.

La geolocalización involuntaria viene después. Los metadatosDatos sobre los datos: quién escribió qué, cuándo, dónde, a quién. de las fotos, los famosos datos EXIFMetadatos adjuntos a las imágenes: fecha, GPS, modelo del dispositivo, parámetros de captura., contienen a menudo las coordenadas GPS exactas del lugar de la toma. Algunas plataformas las suprimen en la publicación, otras no. Y la simple publicación en tiempo real, independientemente de los metadatos, revela su posición a su lista de amigos, que no siempre es tan cerrada como se cree.

La red no controlada cierra el cuadro. El Wi-Fi públicoRed Wi-Fi abierta o compartida (hotel, cafetería, conferencia) — modelo de amenaza particular. del hotel o del cámping presenta el mismo perfil de riesgo que el de un aeropuerto: operado por un tercero, mal configurado, a veces imitado por un falso punto de acceso. Con el HTTPS generalizado, el riesgo se ha reducido, pero no ha desaparecido, y uno se conecta a él en vacaciones con una despreocupación que no tendría en el trabajo.

El punto ciego de los niños

Es la parte que menos se trata, y quizá la más importante. Un niño no ha consentido su presencia en línea. Cada foto publicada por un progenitor construye, sin su acuerdo, una huella digital que le seguirá y que no ha elegido.

Más allá del principio, está lo concreto. Una foto de niño geolocalizada, con el nombre en el pie y el colegio mencionado en otra parte del perfil, es un expediente de localización. La mayoría de los padres que publican estos elementos nunca los han mirado como un conjunto. Puestos uno tras otro, dibujan una cartografía precisa de la vida de un menor.

El buen enfoque

La regla estructurante es más simple aquí que para el resto del sitio: aplazar en lugar de difundir. La casi totalidad del riesgo ligado al hecho de compartir las vacaciones desaparece si se publica al regreso en lugar de en tiempo real. La foto será igual de bonita dentro de dos semanas, y ya no dirá «mi casa está vacía ahora mismo».

Para el resto, tres reflejos bastan para cubrir lo esencial.

Cortar la geolocalización de las fotos en el teléfono, de una vez por todas. Es un ajuste, no un hábito que mantener. En iPhone como en Android, se puede desactivar el registro de la posición en las fotos.

Activar un VPNTúnel cifrado entre tu dispositivo y un servidor, que oculta tu IP y tu tráfico a tu ISP. en las redes de alojamiento, por el mismo reflejo que en desplazamiento profesional. Una eSIM de datosSIM integrada y reprogramable, compatible con varios perfiles de operador. local, fuera de Europa, evita incluso depender del Wi-Fi del hotel.

Verificar, una vez, quién ve realmente sus publicaciones. La mayoría de la gente publica ante una audiencia mucho más amplia de lo que cree. Un ajuste de privacidad revisado antes de las vacaciones vale más que todos los reflejos mantenidos durante.

Lo que esto implica en la práctica

Angle de lecture

Para usted, como particular

Usted se va de vacaciones, quiere compartir, es legítimo y es el objetivo. No se trata de privarse de ello, solo de desplazar el cursor.

El único verdadero cambio de comportamiento a adoptar: publique al regreso, no en directo. Conserva todo el placer de compartir, suprime lo esencial del riesgo. La casa vacía ya no se anuncia, su posición en tiempo real ya no se difunde.

Los tres ajustes a hacer una vez, antes de partir: corte la geolocalización de las fotos en los ajustes de su teléfono, verifique quién ve sus publicaciones en sus redes, e instale un VPN que activará en los Wi-Fi de hotel.

Para los niños, la regla es aún más simple: menos es mejor. Y si publica, nunca el nombre, el lugar y el centro escolar en el mismo sitio. Por separado no es nada, juntos es un expediente.

Para usted, CISO / Dirección de TI

El periodo de vacaciones es un punto ciego de la mayoría de los programas de concienciación, que se concentran en el desplazamiento profesional y olvidan que sus colaboradores también se van de vacaciones con sus dispositivos, a veces profesionales.

Dos puntos merecen su atención. Primero, los dispositivos profesionales que se van de vacaciones: un teléfono profesional llevado de vacaciones al extranjero sigue siendo un punto de acceso a su sistema de información, en redes no controladas, con una vigilancia reducida. Una política clara sobre el uso de los dispositivos profesionales en vacaciones, ni prohibición irrealista ni laissez-faire, evita muchos incidentes a la vuelta.

Después, el directivo y las funciones sensibles en vacaciones. Su exposición personal no toma vacaciones. Un directivo que publica su localización de vacaciones en tiempo real ofrece una ventana a quien prepara un fraude del CEO o un acercamiento de ingeniería social: «sé que está en las Seychelles esta semana, la asistente está sola, es el momento». La concienciación antes del verano, dirigida a los perfiles expuestos, tiene una excelente relación coste-eficacia.

Errores que se ven todo el tiempo

Publicar en tiempo real «¡ya hemos llegado!» con la foto de la casa de alquiler y el nombre del pueblo. Está todo ahí: usted no está en su casa, aquí está dónde está, y por cuánto tiempo.

Dejar la geolocalización activa en las fotos, y publicar imágenes cuyos metadatos dan las coordenadas GPS al metro.

Publicar a los niños sin pensarlo, acumulando nombre, rostro, lugar y costumbres en un perfil cuya audiencia real nunca se ha verificado.

Conectarse al Wi-Fi del cámping para consultar sus cuentas bancarias, por el reflejo de relajación que hace olvidar que nunca se habría hecho eso en el trabajo.

Antes de partir, y durante

  • N1 Decidir el principio: publicar las fotos de vacaciones al regreso, no en tiempo real
  • N1 Cortar la geolocalización de las fotos en los ajustes del teléfono (ajuste único)
  • N1 Verificar quién ve realmente sus publicaciones en sus redes sociales
  • N1 Decidir en familia lo que se publica o no respecto a los niños
  • N2 Instalar y probar un VPN a activar en las redes de alojamiento
  • N2 Para una estancia fuera de Europa: prever una eSIM de datos local en lugar de depender del Wi-Fi del hotel
  • N2 Nunca acumular nombre, lugar y centro escolar de un niño en un mismo perfil
  • N3 Para los dispositivos profesionales: aplicar la misma vigilancia que en desplazamiento de trabajo

Para profundizar

Este artículo forma parte del eje Viajes. Para la red no controlada, véase Wi-Fi público: la paranoia razonable. Para medir su propia exposición, OSINT defensivo. Para la conectividad en viaje, eSIM en viajes.

Fuentes y lecturas complementarias

Artículos relacionados