Guia d’autodefensa digital

Compartiu


Guia d’autodefensa digital

Última actualització: desembre de 2023

Introducció

La nostra vida i relacions socials han adquirit un vessant digital molt accentuat, des de fa ja molts anys, sent part del nostre dia a dia i fins i tot definint la nostra identitat al món digital. Les relacions que mantenim amb els altres a les xarxes socials, les comunicacions per missatgeria i videotrucades, les gestions sensibles i compromeses que fem amb bancs, Administracions i altres entitats… tots aquests elements requereixen un nivell de seguretat bàsic que com a individus i societat hem d’exigir, igual que ho fem amb la nostra vida al món físic. Igualment que posem pany a les portes i cortines a les finestres, hem de garantir al món digital un mínim de privadesa i de seguretat.

Aquesta guia té com a objectiu explicar com podeu millorar la vostra privadesa i seguretat a Internet. És una guia pensada per a l’usuari estàndard, que vol un nivell acceptable de seguretat i privadesa, però potser no vol sacrificar la comoditat de les aplicacions i dispositius populars. Existeixen guies d’autodefensa digital més restrictives orientades a persones que volen un nivell molt alt de seguretat en les comunicacions i la vida digital. N’enllacem algunes al final d’aquesta guia, a l’apartat d’Informació Addicional, que podeu consultar per a fer una passa més enllà en la vostra seguretat digital.

Si teniu cap comentari per a millorar-la, o trobeu a faltar cap secció o eina, ens ho podeu fer arribar per correu electrònic a info@softcatala.org.

Si no s’especifica el contrari, tots els programes mencionats en aquesta guia es troben disponibles en català.

Recomanacions generals

Abans d’entrar en aspectes concrets de la seguretat i privadesa a la xarxa, cal considerar uns quants factors que són bàsics per a garantir la seguretat a la nostra vida digital.

  • El primer factor a tenir en compte de cara a la seguretat digital és la integritat del sistema operatiu de l’aparell. Si l’equip ha estat compromès, cap aplicació pot garantir-vos la privadesa. És a dir, si algú ha pogut modificar el vostre equip o instal·lar alguna aplicació perquè aquest es comporti de manera no desitjada i, de forma invisible, us estigui espiant o robant les dades. En cas de dubte, considereu reinstal·lar el sistema operatiu o reinicialitzeu l’aparell a l’estat de fàbrica.
  • Un altre factor important és que cal que tingueu actualitzat el vostre sistema operatiu i les vostres aplicacions. Les actualitzacions corregeixen habitualment forats de seguretat, que prevenen possibles atacs d’agents maliciosos. Per tant, si utilitzeu sistemes o aplicacions desactualitzats, la vostra seguretat i privadesa no estan garantides.
  • És important recordar que cal evitar connectar-se a xarxes Wi-Fi obertes i sense autenticació. Les xarxes Wi-Fi obertes, com ara les de centres comercials o aeroports, són un potencial punt d’accés molt habitual per als atacants. En connectar-vos a una xarxa d’aquest tipus, no sabeu qui hi pot estar connectat, i seria molt fàcil espiar la vostra activitat i fins i tot infectar els vostres dispositius. Tot i que es pot millorar la privadesa i seguretat en utilitzar aquestes xarxes mitjançant la connexió a un servei VPN, és millor evitar les xarxes Wi-Fi obertes i no connectar-hi si no és estrictament necessari.
  • Quan en la guia parlem de programari lliure ens referim a programari que, entre altres llibertats, garanteix l’accés al codi i això permet que es pugui auditar (és a dir, comprovar que el programa realment fa el que se suposa que ha de fer). Quan parlem de programari propietari ens referim a programari que el seu codi no està disponible i, per tant, no s’ha pogut auditar.

Contrasenyes segures

Taula sobre la robustesa de les contrasenyes depenent del nombre i tipus de caràcters utilitzats.Les contrasenyes protegeixen els nostres comptes i eviten que els altres hi accedeixin sense el nostre permís. Per a tenir una vida digital segura i protegir la nostra privadesa, cal que sapiguem construir contrasenyes segures i fortes, difícils d’esbrinar i que resisteixin atacs informàtics. Tot i que hi ha mètodes de creació de contrasenyes molt segurs per a usuaris que volen una protecció màxima, a continuació us facilitem uns consells mínims per a obtenir prou seguretat per a la majoria d’usuaris:

0. Establiu una frase llarga com a contrasenya (passphrases)

Si un atacant prova d’endevinar la vostra contrasenya per força bruta, el nombre d’intents que ha de fer augmenta de manera exponencial amb el nombre de caràcters que la componen. És per això que una contrasenya del tipus Vull 4 entrepans de Tonyina & 1 Suc! sempre serà més forta que 4entrepansTonyinaSuc!_, i a més serà més fàcil de recordar.

1. Cal evitar les contrasenyes més comunes

Claus com 0000, 1234, contrasenya, el nom de la vostra ciutat, mascota, parella, fills, o la vostra data de naixement són contrasenyes que es poden esbrinar molt fàcilment utilitzant programes específics o amb enginyeria social. Cal evitar termes simples i que es puguin relacionar fàcilment amb l’usuari.

2. Cal utilitzar combinacions alfanumèriques i caràcters especials o de puntuació

La seguretat de la contrasenya augmenta com més ampli sigui el set de caràcters que la componen, perquè fa que els atacants hagin de provar amb combinacions més altes que amb l’alfabet estàndard. Potser hi ha serveis que no permeten utilitzar un cert joc de caràcters especials, però en l’actualitat la majoria permeten fer aquest tipus de combinacions. Com més varietat de caràcters hi hagi, més complicat serà per als atacants esbrinar la contrasenya.

3. Cal utilitzar combinacions de més de 8 caràcters

Les contrasenyes de 4 dígits es poden forçar en relativament poc temps (amb els recursos necessaris). Per tant, sempre és una bona idea que les claus siguin d’entre 8 i 12 caràcters, si no més. Pot semblar complicat recordar una contrasenya tan llarga, però és molt més senzill si s’utilitzen passphrases.

4. Cal utilitzar diferents contrasenyes per a diferents serveis

Idealment, cada servei en què ens registrem hauria de tenir la seva pròpia contrasenya, de manera que un atacant no pugui guanyar accés a tots els serveis d’un usuari esbrinant només una contrasenya. Podeu fer servir algorismes que, amb regles molt senzilles, us generen contrasenyes fàcils de recordar per a cada servei (p. ex. Nom_del_servei Any_de_creació_del_compte Paraula símbols paraula, Viquipedia 2007 Cadell %!& xafec). També podeu utilitzar el mètode del dau 🎲Diceware» en anglès) per a generar contrasenyes segures i diferents entre elles.

5. Sempre que el servei ho permeti, és una bona idea utilitzar la verificació en 2 passos, o la verificació de 2 factors

És un sistema en què l’usuari, a banda de definir una contrasenya, estableix un dispositiu personal al qual el sistema enviarà una altra clau de verificació, que serà necessària per a validar-ne l’accés. D’aquesta manera s’evita que els atacants tinguin accés al servei si esbrinen la contrasenya, o que hi accedeixin interceptant la clau del servei. És un sistema habitual d’identificació a les aplicacions bancàries actuals, i a molts altres serveis.

6. Considereu utilitzar algun gestor de contrasenyes

Els gestors de contrasenyes són programes o aplicacions que us ajuden a gestionar i emmagatzemar cada una de les diferents contrasenyes de cada servei. És una eina que us ajuda a no haver de recordar cada contrasenya, i a més habitualment s’hi pot protegir l’accés amb una contrasenya mestra, per evitar que tercers hi accedeixin. Hi ha molts gestors de contrasenyes a la xarxa: gestors en línia, de codi obert, de codi privatiu, debades, de pagament…

Dels gestors fora de línia que hi ha disponibles recomanem, per a Windows, macOS i Linux, el KeyPassXC. Per a l’Android disposeu del KeyPassDX, i per a l’iOS teniu l’StrongBox (aquest últim encara no es troba en català). Si us cal un gestor de contrasenyes en línia (tot i que és un risc potencial de seguretat mantenir la base de dades de contrasenyes al núvol), us recomanem el BitWarden.

Tingueu en compte, però, que un gestor de contrasenyes no és més que un programa, i tots els programes poden patir vulnerabilitats. A més, un gestor de contrasenyes crea un únic punt flac que els possibles atacants podrien marcar com a objectiu.

Podeu trobar més informació sobre la seguretat de les contrasenyes en els següents llocs web:

Missatgeria segura amb connexió a Internet

Quan volem comunicar-nos amb els nostres contactes de manera ràpida i còmoda, els sistemes de missatgeria instantània hi han esdevingut un mètode fonamental. Cal triar amb cura quina és l’alternativa que millor s’ajusta a les nostres necessitats, ja que no tots els serveis de missatgeria tenen les mateixes polítiques de privadesa, i les seves característiques de seguretat varien entre ells. En aquesta taula resumim els punts claus dels sistemes de missatgeria més destacats:

Comunicacions xifrades Xifratge d’extrem a extrem Codi lliure Avantatges Inconvenients
Logo de l'aplicació Element.ioElement.io · En estar basat en Matrix.org, té tots els avantatges d’aquesta xarxa de missatgeria.

· Tot el codi és lliure i està auditat.

· Utilitza protocols segurs.

· No cal proporcionar el número de mòbil en cap moment per a poder fer ús del servei.

· Es poden tenir aplicacions obertes a diversos dispositius alhora.

· Pocs usuaris actualment.

· Si s’empra el mateix compte en diferents dispositius, potser apareixen problemes de sincronització.

· La traducció al català de les diferents aplicacions és parcial, actualment.

Signal · Tot el codi és lliure i està auditat.

· Utilitza protocols segurs.

· Té diverses opcions de privadesa.

· Es pot utilitzar alhora l’aplicació mòbil i la d’escriptori.

· Pocs usuaris actualment.

· Només es pot utilitzar en un dispositiu mòbil, sense compartir l’historial de converses amb altres dispositius, ni poder-lo recuperar en suprimir l’aplicació.

· Fa servir el número de telèfon com a identificador.

Logo del TelegramTelegram Sí, en els xats secrets i les trucades individuals. Sí, només les aplicacions · El codi de les aplicacions és lliure i està auditat.

· Té moltes opcions de privadesa.

· Oculta el número de telèfon a altres usuaris i grups.

· Es poden tenir aplicacions obertes a diversos dispositius alhora.

· El codi de la part del servidor no és lliure i no està auditat.

· Utilitza un protocol de xifratge propi que, tot i haver estat auditat per la comunitat internacional (i amb comentaris per part de Telegram), no genera la mateixa confiança que d’altres.

· Fa servir el número de telèfon com a identificador.

· Fora dels xats secrets, les comunicacions passen de manera xifrada per una xarxa de servidors descentralitzats que, tot i oferir la comoditat de poder recuperar l’historial de conversa des de qualsevol dispositiu, podria comprometre la privacitat de les comunicacions.

WhatsApp Sí, però el codi no és obert, i no es pot comprovar si realment ho fa, o de quina manera. Sí, però el codi no és obert, i no es pot comprovar si realment ho fa, o de quina manera. No · Xats relativament segurs (en teoria) i opcions de privadesa predeterminades.

· Utilitza el mateix xifratge que el Signal.

· Té un gran nombre d’usuaris.

· Cap part del codi no és lliure i no està auditada: ningú no sap el que fa realment l’aplicació.

· Les notificacions del canvi de les claus de seguretat es troben desactivades de forma predeterminada.

· Les comunicacions passen per un servidor central, el que pot comprometre la seguretat i privadesa de les comunicacions.

· És propietat de Meta Platforms, Inc, i per això les dades dels usuaris es comparteixen amb altres xarxes, com ara Facebook o Instagram.

· Si configureu la còpia de seguretat al núvol, es perd el xifratge extrem a extrem i la seguretat i privadesa són les del núvol emprat (Google Drive, Dropbox, iCloud…).

D’entre les aplicacions de missatgeria més amigables als usuaris, els experts en seguretat recomanen utilitzar el Signal, perquè el seu codi és lliure (ha pogut ser auditat), utilitza protocols considerats per la comunitat com a segurs que també han pogut ser auditats, i no emmagatzema informació del contingut de les converses i comunicacions a cap servidor central.

Si decidiu usar el Telegram, que compta amb funcionalitats socials similars a les de WhatsApp i altres serveis de missatgeria privatius, tingueu en compte que les comunicacions més segures1 són els «Xats secrets». Aquest tipus de xats són més segurs perquè són xifrats d’extrem a extrem, i per tant posen molt més difícil a un tercer d’accedir a les converses.

Missatgeria segura sense connexió a Internet

En cas que hi hagi una mancança general de l’accés a Internet a causa d’un desastre natural, caiguda completa de la xarxa pel motiu que sigui, o qualsevol altre cas, existeixen opcions que us permeten estar en contacte amb altres persones usant tecnologies de comunicació de curt abast.

Logotip de l'aplicació Briar.El Briar és una aplicació de missatgeria de programari lliure que, a diferència de les aplicacions de missatgeria tradicionals, no es basen en un servidor central. El Briar se sincronitza directament entre els dispositius dels usuaris. Si la connexió es perd, pot sincronitzar-se a través del Bluetooth o la Wi-Fi, mantenint el flux de missatges entre dispositius en cas de fallada de la xarxa, o en altres situacions crítiques. Si teniu connexió a Internet, pot sincronitzar-se també a través de la xarxa Tor.

Podeu baixar Briar per Android des de la fitxa de Briar a Softcatalà. Actualment no existeix versió per a iOS. Podeu trobar més informació al web oficial del projecte.

Logotip quadrat del Berty.El Berty és una aplicació de missatgeria de programari lliure, similar al Briar, que permet converses sense connexió a Internet a través del Bluetooth o la Wi-Fi.

Baixada:

Connexió a Internet anònima i sense censura: Tor

Logo del TorEl Tor és un programari lliure que permet navegar de manera pràcticament anònima per Internet. Us protegeix de l’anàlisi de trànsit, que és una manera de vigilar la xarxa que amenaça tant la llibertat personal i la privadesa, com les activitats i relacions confidencials (siguin personals o empresarials) i la seguretat en general.

Els usuaris del Tor utilitzen aquesta xarxa connectant-se a través d’una sèrie de túnels virtuals en lloc de fer una connexió directa, i això permet a les dues parts (propietaris dels llocs web i individus) posar en comú la informació de les xarxes públiques sense comprometre la seva privacitat. En la mateixa línia, el Tor és una eina eficaç per a eludir la censura, ja que permet als seus usuaris arribar a destinacions amb contingut blocat en certs països o proveïdors.

Tor a l’escriptori

Icona del Navegador Tor.Per a accedir a la xarxa Tor des d’un ordinador de sobretaula o portàtil només us cal instal·lar el Navegador Tor. Aquest navegador és una versió del Mozilla Firefox modificada per tal que es connecti directament a la xarxa Tor. A més, inclou de forma predeterminada un conjunt d’extensions per a millorar la seguretat i la privadesa quan naveguem per la xarxa.

El Navegador Tor es troba disponible per als principals sistemes operatius d’escriptori: Windows, macOS i GNU/Linux, així com per als dispositius Android. Podeu baixar-lo des de la fitxa del Navegador Tor a Softcatalà. La seva instal·lació i ús és força senzill, i en pocs minuts podreu estar navegant de forma anònima per la xarxa.

Tor als dispositius mòbils

Per a tauletes i telèfons mòbils hi ha diferents aplicacions que utilitzen la capacitat del mateix sistema operatiu de configurar la connexió a través d’una Xarxa Privada Virtual (VPN en anglès) per a encaminar les nostres dades a través de la xarxa Tor. Per a Android tenim el Navegador Tor, que ja hem comentat abans, i l’Orbot; i per a iOS hi ha l’Onion Browser, que depèn de l’Orbot.

  • Instal·lació i ús de l’Orbot.

Captura de pantalla de l'aplicació Orbot per a l'Android.Captura de pantalla de l'aplicació Orbot per a l'Android.

Logo de l'OrbotL’Orbot és l’aplicació del Tor Project i el Guardian Project per a dispositius Android i iOS. Us permet accedir a la xarxa Tor des del vostre mòbil, enviant el trànsit de les aplicacions que seleccioneu a través d’aquesta xarxa. Mentre que el Navegador Tor només permet enviar per la xarxa Tor el contingut de la navegació web, l’Orbot permet que qualsevol aplicació usi la seva xarxa, com ara altres navegadors web, aplicacions de missatgeria o de contingut multimèdia.

Podeu trobar l’aplicació a la fitxa de l’Orbot a Softcatalà. Al web oficial hi trobareu més informació.

L’utilització de l’Orbot és molt senzilla. Heu d’instal·lar l’aplicació i escollir les aplicacions que voleu que usin Orbot com a VPN (pantalla 1) i després deixar l’Orbot obert (pantalla 2). Teniu més informació a la nostra guia de configuració.

  • Instal·lació i ús de l’Onion Browser (iOS).

Logo actualitzat de l'Onion BrowserL’Onion Browser és una aplicació per a dispositius amb sistema iOS que us permet navegar per internet utilitzant la xarxa Tor. No està relacionada amb el Projecte Tor, però recomanen el seu ús si teniu dispositius mòbils d’Apple.

En les versions més recents de l’aplicació, cal que tingueu instal·lat l’Orbot perquè l’Onion Browser funcioni, tot i que permet la connexió al Tor mitjançant un servei Tor integrat en versions d’iOS 17 o superiors.

Podeu trobar l’aplicació a l’App Store d’Apple, i més informació i assistència al lloc web oficial de l’autor.

Atenció: Si el dispositiu es bloca o l’aplicació entra en mode de segon pla (perquè heu canviat a una altra aplicació, per exemple), la connexió Tor es trencarà i haureu de reiniciar el navegador per a poder navegar amb seguretat. Això es pot configurar als paràmetres de l’aplicació, tot i que és una mesura de seguretat recomanada.

Altres maneres segures de navegar sense utilitzar Tor

Podeu utilitzar altres mitjans per a connectar-vos a Internet sense utilitzar la xarxa Tor, per exemple utilitzant un servidor intermediari («proxy» en anglès) o una connexió per VPN particular, encara que no navegareu de manera anònima.

Una solució més senzilla, tot i que no realitza una connexió anònima però que sí que és útil per eludir la majoria de filtres i censures, és utilitzar el navegador Opera, que incorpora una solució de seguretat de connexions de forma predeterminada. Cal mencionar, però, que el navegador Opera no és de codi obert i, per tant, com no podem comprovar el seu codi font, no podem estar totalment segurs de què fa aquest programa o com gestiona les connexions mitjançant VPN o les nostres dades privades.

Per a activar la VPN integrada, cal que aneu a la finestra de Preferències, a la secció de Privadesa i seguretat, i marqueu l’opció «Activa la VPN». Opera incorpora els serveis de VPN de l’empresa pròpia SurfEasy Inc., ubicada al Canadà.

Captura del navegador Opera.

Preferències de privadesa i seguretat de l’Opera, amb la secció de la VPN marcada.

Podeu baixar tant la versió per a escriptori com l’específica per a dispositius mòbils als seus webs oficials.

Xifratge de dades personals

Tenim moltes dades als nostres dispositius: missatges, contactes, fotografies, fitxers adjunts, correus, etc. Com podem protegir aquesta informació perquè no sigui accessible si algú s’apropia dels nostres dispositius?

En tauletes i telèfons mòbils Android

En telèfons mòbils amb sistema Android podeu xifrar les vostres dades seguint aquests passos:

  1. Aneu a PreferènciesSeguretat.
  2. Aneu a l’opció «Encripta el telèfon».
  3. Toqueu «D’acord».
Menú de xifratge del dispositiu a l'Android.

Menú de xifratge del dispositiu a l’Android.

En tauletes iPad i telèfons mòbils iPhone

Per xifrar un iPad o iPhone heu de seguir aquests passos:

  1. Obriu l’aplicació de Configuració.
  2. Toqueu la icona del cadenat que diu TouchID i Codi (o només Codi, depèn de la versió).
  3. Toqueu l’opció «Activar codi».
  4. Introduïu el vostre codi. Un de més de 6 dígits és recomanable.

En el moment que el codi estigui introduït les dades del dispositiu es xifraran. Veureu al final d’aquesta pantalla un text que diu «La protecció de dades està activada» que indica que les dades del dispositiu s’estan xifrant.

Menú «TouchID i codi» de la Configuració a l'iOS.

Menú «TouchID i codi» de la Configuració a l’iOS.

En ordinadors amb sistema MAC

En macOS podeu utilitzar el FileVault, que us permet xifrar el vostre disc completament.

Per a fer-ho heu de seguir aquests passos:

  1. Seleccioneu el menú d’Apple (que té el símbol de la poma) → «Preferències del sistema», i llavors «Seguretat i Privacitat».
  2. Feu clic a la pestanya «FileVault».
  3. Feu clic al botó amb el cadenat Locked i llavors introduïu el nom de l’administrador i la contrasenya.
  4. Feu clic a «Activar FileValut…».
Menú del FileVault al macOS.

Menú del FileVault al macOS.

En ordinadors amb sistema Windows

A partir de Windows Vista (això inclou també Windows 8.x i Windows 10) el sistema operatiu Windows inclou la funcionalitat BitLocker, que permet xifrar el contingut del disc.

Per a activar-ho en Windows 10, seguiu les següents instruccions:

  • Aneu a «Configuració» i es mostraran totes les opcions de configuració del sistema.
  • Feu clic a la icona «Sistema».
  • Després a l’opció del menú lateral «Quant a».
  • En la finestra que s’obri cerqueu «Configuració del BitLocker».
Captura del Windows 10

Menú de xifratge de dades al Windows 10.

Finalment feu clic a «Activar BitLocker». En cas que el sistema es queixi que heu de «Permetre un TPM compatible», heu de seguir aquestes instruccions (estan en castellà, aquesta part de Windows no es troba traduïda al català).

Informació addicional

Us encoratgem a anar més enllà d’aquesta guia i ampliar els vostres coneixements en aquest àmbit, amb l’objectiu de defensar-vos i ser conscients de la vulnerabilitat de la vostra privadesa al món digital.

Podeu trobar més informació a: