Este documento proporciona información sobre OPSEC (operational security o seguridad operacional) y cómo proteger la privacidad y seguridad de individuos y organizaciones. Explica los conceptos clave de OPSEC como identificar, controlar y proteger información sensible. También ofrece recomendaciones prácticas como el uso de cifrado, compartimentación, comunicaciones seguras y minimizar los metadatos. El objetivo final de OPSEC es frustrar a cualquier adversario potencial al ocultar capacidades e intenciones.

1. OPSEC
Amanece que no es poco
David Barroso
@lostinsecurity

4. OPSEC
El proceso para evitar que potenciales adversarios obtengan
información sobre capacidades o intenciones al identificar,
controlar y proteger información que da esa evidencia.

17. ¿Cómo me afecta?
Investigamos en temas interesantes
Creamos exploits
Cuidamos de la seguridad de empresas y gobiernos
Colaboramos con FyCSE
Periodistas
Terreno ‘no amigo’
Privacidad. ¡Son mis asuntos!

18. Threat modeling
Qué queremos proteger (assets)
Contra quién queremos protegerlo (adversary)
Qué probabilidades hay de que tengamos que protegerlo
Cómo de malas son las consecuencias si fallamos
Cuánto esfuerzo quiero dedicar para protegerlo

19. ¿Quién es mi adversario?
USA
Otra nación
Criminales organizados
Lone-wolfs
Empleados
Curiosos

27. Datos:
 Tenemos hora y lugar
 Buscamos móviles en 2-3 manzanas en +- 2
horas
 18 personas con 30 móviles

28. Fuente: Matthew Cole – OPSEC Failures for Spies

29. Fuente: Matthew Cole – OPSEC Failures for Spies

30. Fuente: Matthew Cole – OPSEC Failures for Spies

32. CIA - Líbano
Beirut: 2 dobles agentes de Hezbollah fingen trabajar para
la CIA
Beirut Pizza Hut
Teléfonos que sólo llaman a ciertos teléfonos y que no
son ‘móviles’

45. Silkroad
Ross Ulbricht aka ‘Dread Pirate Roberts’
Usaba su gmail personal en varios foros, con el nombre
‘Altoid’
Publicó ofertas de trabajo para hacer silkroad y anunció
silkroad420.wordpress.com
Publicó en StackOverflow código PHP que usaba con su
nombre real, que luego cambió a frosty@frosty.com.
Una clave SSH en SilkRoad usaba frosty@frosty.com
Su cuenta de Google+ tenía material relacionado

46. Sabu (Lulzsec)
Usaba IRC siempre para comunicarse, y siempre con
TOR. Pero una vez se conectó sin TOR.
Usaba tarjetas robadas para comprar piezas de coches y
las mandaba a su casa.
Lulzsec: usaban sus nombre reales, se conectaban desde
sus casas, compartian información etc.

47. Duqu y The Equation
Group

49. OPSEC frustates the
adversary
https://www.youtube.com/watch?v=sWu_yIA3nxA

50. Las reglas de OPSEC por The
Grugq
No reveles detalles de una operación
No reveles planes
No confíes en nadie
Separa negocios de placer
No la cagues
Sé paranoico
STFU – Cállate
Necesidad de saber
Nunca dejes que alguien te pueda extorsionar

51. Más Reglas
COMPARTIMENTALIZACIÓN
Escóndete en la red: Hidden services, Tor, etc.
Cifra todo.
Air gap
No te fíes de soluciones de cifrado comerciales
Mejor cifrado público (TLS vs Bitlocker) . Ejemplo: LUKS,
Veracrypt

53. Recomendaciones
Qubes 3.0 (01/10/2015)

54. Correo electrónico
No uses correo electrónico
Cuidado con los metadatos
E2E encryption: hay que matar a PGP si es posible, sino,
usar 4096 bits
Alternativa: opmsg+mutt (PFS -
https://github.com/stealth/opmsg)
Cuentas de usar y tirar
Viejo truco de los borradores

55. Mensajería
No uses mensajería instánea
Síncrona: OTR – cuidado con libpurple
Asíncrona y anónima: Pond
https://pond.imperialviolet.org
Móvil: Signal / TextSecure. Incluso Threema.

56. Comunicaciones
Privacidad != Anonimato
VPN + Tor (ojo con los nodos de salida)
Portal https://github.com/grugq/portal (OpenWRT + Tor)
ICMP / DNS Tunneling

57. PGP / GnuPG

60. Viajes
Ordenador y teléfono de viaje
Mínima información necesaria + cifrado
Línea local (burner SIM)
Siempre contigo (EvilMaid, ThunderStrike, etc.)
Dispositivos idealmente ‘disposables’

61. Redes sociales
Dirección de correo única
Nombre único
No usar las mismas fotografías o imagenes
Cuidado con las ‘pestañas’ en los pantallazos, o el código
hexadecimal
Borrar historial (modo incógnito en Chrome y cerrar tabs)
STFU
Contraseñas robustas, cuidado con el 2nd factor
COMPARTIMENTALIZACION

62. The most OPSEC man
https://www.youtube.com/watch?v=przQ1ih5FGg

63. Más información
Linux Workstation Security checklist
https://github.com/lfit/itpol/blob/master/linux-workstation-
security.md
OSX Yosemite Security and Privacy Guide
https://github.com/drduh/OS-X-Yosemite-Security-and-
Privacy-Guide
Privacy & Security Conscious Browsing
https://gist.github.com/atcuno/3425484ac5cce5298932
OPSEC for hackers http://es.slideshare.net/grugq/opsec-
for-hackers

64. Más información
Masquerade: How a helpful man-in-the-middle can help you
evade monitoring http://www.portalmasq.com/
COMSEC: Beyond encryption
https://grugq.github.io/presentations/COMSEC%20beyond%20e
ncryption.pdf
Hacker OPSEC http://grugq.github.io/
OPSEC for security researchers
https://securelist.com/blog/research/66911/opsec-for-security-
researchers/
Social Media Self – Defense
http://blog.totallynotmalware.net/?p=15

65. ¿Preguntas?
“Never write if you can speak, never speak if you can nod,
never nod if you can blink”
Martin Lomasney (1859-1933)
David Barroso
@lostinsecurity