Skip to main content
Surveillance
Self-Defense

< Guías Básicas

Evaluando tus riesgos

Última actualización: January 10, 2019

This page was translated from English. The English version may be more up-to-date.

Intentar proteger todos sus datos de todo el mundo, todo el tiempo, es poco práctico y agotador. ¡Pero no tema! La seguridad es un proceso, y a través de una planificación cuidadosa, puede evaluar lo apropiado para usted. La seguridad no se trata de las herramientas que usa o del software que descarga. Comienza con la comprensión de las amenazas únicas que enfrenta y cómo puede contrarrestar esas amenazas.

En seguridad informática, una amenaza es un evento potencial capaz de socavar cualquier esfuerzo para defender sus datos. Puede contrarrestar las amenazas que afronta determinando lo que necesita proteger y de quien necesita protegerlo. Este proceso se llama "modelado de amenazas".

Esta guía le enseñará cómo modelar la amenaza , o cómo evaluar los riesgos para su información digital y cómo determinar qué soluciones son las mejores para usted.

¿Cómo podría lucir este  modelo de amenazas? Digamos que usted quiere mantener su casa y sus posesiones seguras, aquí hay algunas preguntas que se podría hacer:

¿Qué tengo dentro de mi casa que valga la pena proteger?

  • Los activos incluirían: joyas, electrónica, documentos financieros, pasaportes o fotos

¿De quién lo quieres proteger?

  • Los adversarios podrían incluir: ladrones, con quienes compartes la habitación o invitados

¿Cuán probable es que necesites protegerlo?

  • ¿Mi barrio tiene un historial de robos? ¿Qué tan confiables son mis compañeros o compañeras de cuarto o la gente que invito? ¿Cuáles son las capacidades de mis adversarios? ¿Cuáles son los riesgos que debo considerar?

¿Cuán destructivas pueden ser las consecuencias en caso de fallar?

  • ¿Tengo algo en mi casa que no pueda reemplazar? ¿Tengo tiempo o dinero para reemplazar estas cosas? ¿Tengo un seguro que cubra el robo de bienes de mi casa?

¿Cuánto esfuerzo está dispuesto/a a hacer para prevenirlas?

  •  ¿Deseo comprar una caja fuerte para documentos sensibles? ¿Puedo comprar una cerradura de alta calidad? ¿Tengo tiempo para abrir una caja de seguridad en mi banco local y guardar mis objetos de valor?

Una vez que se ha hecho estas preguntas  está en posición de poder evaluar qué medidas tomar. Si sus posesiones son valiosas, pero el riesgo de un robo es bajo, entonces usted puede no desear invertir demasiado dinero en una cerradura. Pero, si el riesgo es alto, usted querrá conseguir la mejor disponible en el mercado y considerar sumarle un sistema de seguridad.

La construcción de un modelo de amenaza   ayuda a comprender las amenazas únicas a las que se enfrenta, sus activos, sus adversarios, sus capacidades y la probabilidad de riesgos a los que se enfrenta.

¿Qué es el modelado de amenazas y por dónde comienzo? anchor link

El modelado de amenazas le ayuda a identificar amenazas a las cosas que usted valora y determina respecto a quién necesita protegerlas. Cuando construya un modelo de amenaza, responda a estas cinco preguntas:

  1. ¿Qué es lo que quiere proteger?
  2. ¿De quién lo quiere proteger?
  3. ¿Cuán probable es que necesite protegerlo?
  4. ¿Cuán destructivas pueden ser las consecuencias si falla?
  5. ¿Cuánto esfuerzo está dispuesto/a a hacer para prevenirlas?

Miremos estas preguntas más de cerca

¿Qué quiero proteger? anchor link

Un "activo o acción" es algo que valora y quiere proteger. En el contexto de la seguridad digital, un activo suele ser algún tipo de información. Por ejemplo, sus correos electrónicos, listas de contactos, mensajes instantáneos, ubicación y archivos son todos los activos posibles. Sus dispositivos también pueden ser activos.

Haga una lista de sus activos: datos que guarda, donde los guarda, quién tiene acceso a éllos y qué impide que otros accedan a éllos.

¿De quién quiero protegerlo? anchor link

Para responder a esta pregunta, es importante identificar quién podría querer acceder a usted o a su información. Una persona o entidad que represente una amenaza para sus activos es un/una "adversario/a". Ejemplos de adversarios potenciales son su jefe, su ex pareja, su competencia empresarial, su gobierno o un o una hacker en una red pública.

Haga una lista de sus adversarios, o de aquellos que puedan querer obtener sus bienes. Su lista puede incluir individuos, una agencia gubernamental, o corporaciones.

Dependiendo de quiénes son sus adversarios, en algunas circunstancias, esta lista podría ser algo que desee destruir después de terminar de modelar la amenaza.

¿Qué tan malas son las consecuencias en caso de fallar? anchor link

Hay muchas maneras en que un adversario puede amenazar su información. Por ejemplo, un adversario puede leer sus comunicaciones privadas a medida que pasan a través de la red o pueden eliminar o dañar sus datos.

Los motivos de los o las adversarios difieren mucho, al igual que sus ataques. A un gobierno deseoso de evitar la difusión de un video demuestrando violencia policial puede bastarle simplemente con borrar o reducir la disponibilidad de ese video. En contraste, su oponente político puede desear tener acceso a contenido secreto y publicar ese contenido a sus espaldas.

El modelado de amenazas implica entender cuán malas podrían ser las consecuencias si su adversario ataca con éxito uno de sus activos. Para determinarlo, debe considerar la capacidad de su adversario. Por ejemplo, su proveedor de telefonía móvil tiene acceso a todos sus registros telefónicos y por lo tanto tiene la capacidad de utilizar esos datos en su contra. Un o una hacker en una red Wi-Fi abierta puede acceder a sus comunicaciones sin cifrar . Su gobierno podría tener capacidades más fuertes.

Anote lo que su adversario podría querer hacer con sus datos privados.

¿Qué tan probable es que necesite protegerlo? anchor link

El riesgo es la probabilidad de que ocurra una amenaza particular contra un activo particular. Va de la mano con la capacidad. Aunque su proveedor de telefonía móvil tiene la capacidad de acceder a todos sus datos, el riesgo de que publiquen sus datos privados en línea para dañar su reputación es bajo.

Es importante distinguir entre amenazas y riesgos. Si bien una amenaza es algo malo que puede suceder, el riesgo es la probabilidad de que ocurra la amenaza. Por ejemplo, existe la amenaza de que su edificio se derrumbe, pero el riesgo de que esto suceda es mucho mayor en San Francisco (donde los terremotos son comunes) que en Estocolmo (donde no lo son).

Realizar un análisis de riesgo es un proceso personal y subjetivo; no todo el mundo tiene las mismas prioridades o ve amenazas de la misma manera. Muchas personas encuentran ciertas amenazas inaceptables sin importar el riesgo, porque la mera presencia de la amenaza en cualquier probabilidad no vale la pena el costo. En otros casos, las personas no tienen en cuenta los riesgos elevados porque no ven la amenaza como un problema.

Tome nota de las amenazas que va a tomar en serio, y de aquellas que puedan ser demasiado raras o inofensivas (o demasiado difíciles de combatir) para preocuparse.

¿Cuánto problemas estoy dispuesto a afrontar para prevenir posibles consecuencias? anchor link

Responder a esta pregunta requiere llevar a cabo el análisis de riesgo. No todo el mundo tiene las mismas prioridades o ve las amenazas de la misma forma.

Por ejemplo, un abogado o abogada que representen a un cliente en un caso de seguridad nacional probablemente estarían dispuestos a ir más lejos para proteger las comunicaciones sobre ese caso, como usar un correo electrónico cifrado , que una madre que regularmente envía correos electrónicos a su hija.

Escriba las opciones que tiene disponibles para ayudar a mitigar sus amenazas únicas. Tenga en cuenta si tiene restricciones financieras, restricciones técnicas o restricciones sociales.

El modelado de amenazas como práctica regular anchor link

Tenga en cuenta que su modelo de amenaza puede cambiar mientras cambia su situación. Por lo tanto, realizar evaluaciones frecuentes de modelos de amenazas es una buena práctica.

Cree su propio modelo de amenaza basado en su propia y particular situación. A continuación, marque su calendario para una fecha en el futuro. Esto le pedirá que revise su modelo de amenaza y vuelva a comprobar si sigue siendo relevante en su caso.