La guía de seguridad de smartphones para manifestantes (traducción)

2025-Mar-08

Este escrito es una traducción de The Protesters' Guide to Smartphone Security, un artículo de Jonah Aragon, quien pertenece a la organización Privacy Guides¹ (o Guías sobre Privacidad).

Privacy Guides es un proyecto sin fines de lucro y gestionado por voluntarios, que hospeda comunidades en línea y publica noticias y recomendaciones sobre herramientas, servicios y conceptos relacionados con la privacidad y la seguridad.

Para la mayoría de manifestantes, activistas y periodistas, el smartphone es una herramienta esencial para la organización con colaboradores, acceder y distribuir información y ayudar a otros. El smartphone también representa un gran riesgo, como una herramienta que puede ser fácilmente consignada por las autoridades y para vigilancia dirigida o masiva.

La duda perpetua cuando hablamos de protestas es: ¿deberías o no llevar tu smartphone?. Si lo dejas en casa, probablemente tu información estará segura y habrá un riesgo muy bajo de ser rastreado por herramientas de vigilancia masiva, por otro lado, tu smartphone es una herramienta crítica para coordinarse, obtener actualizaciones de información sobre la protesta en redes sociales, o simplemente para documentar lo qué está ocurriendo con la cámara.

De ser posible, llevar un dispositivo por separado como un "teléfono desechable", un smartphone que puedas formatear o incluso una cámara cualquiera es una mejor opción antes que llevar tu smartphone principal. No te pueden quitar información que no lleves contigo.

De cualquier modo, obtener o ser capaces de adquirir dispositivos extra como los anteriores no es una opción realista para muchas personas. Decidas o no llevar tu smartphone o un dispositivo secundario a los eventos, esta guía te ayudará a mejorar la seguridad de tu(s) dispositivo(s) y minimizar riesgos a tu privacidad.

Riesgos en una manifestación

Hay muchos riesgos que debes considerar si utilizas tu smartphone en una manifestación. En esta guía vamos a intentar cubrir todos los siguientes:

1. Perder tu dispositivo.
2. Que confisquen tu smartphone.
3. Disrupción del servicio, sea intencional de parte de las autoridades o por alta demanda por grupos grandes de personas.
4. Vigilancia dirigida:
   • Disrupción de tu servicio de telefonía.
   • Bloqueo de llamadas o mensajes a tu número.
   • Monitoreo de información no encriptada².
   • Monitoreo de comunicación sobre radios locales como walkie-talkies, etc.
5. Vigilancia masiva:
   • Interferencia de servicios web. Plataformas de comunicación como Twitter o Tiktok que pudieran ser limitadas o bloqueadas completamente.
   • Interferencia de mensajería y/o servicios de voz como Signal o WhatsApp.
   • Instalación y monitoreo de redes Wi-Fi públicas por parte de las autoridades para identificar dispositivos cercanos.
   • Compañías telefónicas que pudieran entregar registros de dispositivos o torres celulares cercanas para identificar manifestantes, a las autoridades.

Como todas las guías de Privacy Guides, se cubrirán las mejores prácticas generales y consejos, pero tu situación personal podría ser diferente. Siempre debes de tratar de investigar y planear acorde a lo que estés haciendo, y si necesitas consejo legal, siempre debes consultar a una persona profesional y licenciada en leyes.

Asegura tu dispositivo

Si tu dispositivo cae en las manos equivocadas, la información contenida podría ser peligrosa para ti u otras personas. Asegúrate de haber tomado los pasos necesarios para prevenir que alguien acceda sin autorización.

Utiliza métodos de bloqueo fuertes

Como mínimo, utiliza un PIN de 6 dígitos, pero idealmente deberías proteger tu smartphone con una contraseña alfanumérica (números y letras). Lo anterior previene a cualquiera de acceder fácilmente a tu smartphone y, adicionalmente, protege tu información con buen cifrado.

Exceptuando vulnerabilidades de seguridad (exploits), la mayoría de fuerzas de la ley utilizan herramientas de fuerza bruta para 'adivinar' tu PIN, ejecutando montones de adivinanzas hasta que alguna es la correcta. Por lo tanto, una frase o contraseña larga y única se convierte en tu mayor protección frente al robo de tu información de parte de personas que hayan tomado tu dispositivo.

En los Estados Unidos de América y muchos otros países es ilegal rehusarte a desbloquear tu teléfono o darle tu contraseña a las autoridades. Conoce tus derechos donde quiera que te encuentres antes de atender una protesta, así no estarás desprotegido siguiendo órdenes después.

Desactiva la autenticación biométrica

Se suele recomendar utilizar autenticación biométrica como FaceID o TouchID para prevenir que espíen tu contraseña 'sobre el hombro' (shoulder surfing), donde un atacante roba tu PIN gracias a mirar discretamente mientras lo escribes o cuando es grabado por alguna cámara de seguridad.

Sin embargo, en una situación como esta, tiene más sentido desactivar la autenticación biométrica. Las autoridades están entrenadas para utilizar biometría rápido para desbloquear tu teléfono, así que deberías tomar en cuenta este hecho mientras decides qué hacer. Si desactivas la biometría, debes prestar atención al robo/espionaje de tu PIN, cubriendo la pantalla de tu smartphone donde quiera que lo desbloquees.

Sin importar lo que decidas hacer, asegúrate de saber cómo apagar tu teléfono rápidamente o desactivar la biometría en un 'abrir y cerrar de ojos'. Muchos smartphones han comenzado a reemplazar el estándar de "mantener presionado el botón de apagado" con asistentes de voz u otras funciones, así que practica apagando rápidamente tu smartphone para que te familiarices.

Los iPhone modernos requieren que mantengas presionado el botón lateral y el botón de bajar volumen para que aparezca la opción de apagar con un deslizamiento. Incluso si no tienes la opción de deslizar para apagar, llegar a esta pantalla desactivará la autenticación biométrica, mejorando un poco la seguridad a como estaría anteriormente.

En los Estados Unidos de América, sigue habiendo un vacío legal en cuanto a si las fuerzas de la ley pueden obligarte a usar biometría para desbloquear tu dispositivo, pero muchas decisiones de la corte se han inclinado a decir que pueden obligarte a usar tus huellas para desbloquear tu teléfono. Utilizar una frase o contraseña y deshabilitar la autenticación biométrica puede servir como mejor apoyo de la Quinta Enmienda y tus derechos. En otros países debes de familiarizarte con tus derechos en este tipo de escenarios, así puedes tomar una decisión informada.

Oculta tus notificaciones

Incluso cuando tu dispositivo está bloqueado, las autoridades pueden ver prácticamente todo lo que planeas simplemente deslizando por tus notificaciones. Reducir la información accesible desde la pantalla de bloqueo mejora tu seguridad y la seguridad de las personas con quienes estás hablando, así que mejor asegúrate de que tus notificaciones solo sean visibles cuando tu dispositivo está desbloqueado.

En iPhone:

1. Abre la app de Configuración
2. Navega hasta Notificaciones
3. Navega hasta Previsualizar
4. Selecciona Nunca (o, Si desbloqueaste)

En Android:

1. Abre Ajustes o Configuración
2. Navega hasta Notificaciones (o similar)
3. Selecciona Notificaciones en pantalla de bloqueo
   1. Selecciona No mostrar notificaciones
4. Desactiva Notificaciones Confidenciales

Desactiva acciones con la pantalla bloqueada

Similar a lo anterior, cualquier funcionalidad habilitada mientras tu teléfono está bloqueado puede ser un riesgo de seguridad. Siempre es una mejor práctica reducir la superficie de ataque deshabilitando estas opciones siempre que sea posible. Incluso si estas funciones están diseñadas para no ser un riesgo de seguridad para tu información, se sabe que han podido ser explotadas en el pasado para sobrepasar las pantallas de bloqueo y otras características de seguridad.

En un iPhone:

1. Abre la app de Configuración.
2. Navega hasta Face ID y Contraseña.
3. Desliza hasta la sección: "Permitir acceso mientras está bloqueado".
4. Desactiva todas las funciones que no necesites.

En Android, desactivar estas funciones varía dependiendo del fabricante. Algunos, como Samsung, permiten configurar este tipo de acciones, pero otros como Google no ofrecen ninguna opción para desactivar los ajustes rápidos del panel u opciones similares.

Evita almacenamiento externo

Tu teléfono Android podría tener la opción de guardar archivos o fotos en una tarjeta microSD, pero este tipo de tarjetas no siempre tienen el mismo nivel de cifrado como el almacenamiento interno de tu teléfono. Siempre revisa si tu tarjeta microSD puede ser encriptada en los ajustes de tu teléfono, aunque esto podría prevenir que pueda ser leída en otros dispositivos como tu computadora.

Adicionalmente, incluso si está encriptada, puede que no se beneficie de la misma protección que el almacenamiento interno de tu teléfono provee, como protección avanzada frente a ataques de fuerza bruta. Idealmente deberías remover todo almacenamiento externo de tu dispositivo durante eventos y guardar fotos, videos y otros archivos en el almacenamiento interno encriptado.

Instala parches de seguridad

Cada día se descubren nuevos explouts para smartphones, y empresas de spyware trabajan junto a las autoridades -como Cellebrite- para aprovechar estos exploits y obtener accesso a dispositivos robados. Si tu teléfono ya no recibe actualizaciones regulares de su fabricante, estás en una posición peligrosa pues podrías estar vulnerable frente a este tipo de amenazas.

En general, consideramos que el último iPhone y Google Pixel deberían ser los smartphones más seguros ante este tipo de amenazas. Puedes aumentar tu seguridad utilizando sistemas operativos alternativos en tu Google Pixel.

Protégete de la vigilancia

Desactiva AirDrop

Una de las características más inocuas habilidades en millones de iPhones es también una de las más peligrosas para aquellas personas que buscan proteger su privacidad en Público. El protocolo AirDrop de Aple utiliza medidas triviales de seguridad ya vulneradas por autoridades como el gobierno Chino quienes han hablado públicamente sobre identificar personas a través de este protocolo desde, al menos, 2022.

Siempre debes asumir que cualquier dispositivo con AirDrop habilitado está constantemente publicitando tu nombre, correo electŕonico y número de teléfono a cualquiera que esté a tu alrededor, incluso con la opción "Solo Contactos". Apple sabe de esta vulnerabilidad desde 2019 y no la ha arreglado.

1. Abre la app de Configuración.
2. Navega a General.
3. Navega a AirDrop.
4. Selecciona No recibir.

Refuerza tu configuración de red

Las señales producidas por tu smartphone pueden ser usadas para rastrearte incluso si no haces una llamada o envías algún mensaje de texto. Algunas agencias gubernamentales utilizan "stingrays" (mantarrayas), dispositivos que pueden hacerse pasar por torres celulares y rastrear visitantes en un área. Se especula que las "stingrays" más avanzadas pueden interceptar mensajes de texto sin encriptar y también llamadas, haciendo el uso de mensajería encriptada una necesidad crítica durante eventos.

A pesar de que la capacidad de las "stingrays" más modernas no son bien conocidas, definitivamente es mejor que te protejas de cualquier conjunto de stingrays que encuentres y del abuso de los bajos estándares de seguridad de redes más viejas, como la 2G.

En Android:

1. Abre la app de Ajustes/Configuración.
2. Navega hasta Internet y Redes.
3. Navega hasta Tarjetas SIM (o Red Móvil, dependiendo del fabricante).
4. Selecciona la(s) SIM(s) de tu proveedor.
5. Desactiva o deselecciona la opción de (permitir) 2G.

También deberías considerar instalar Privacy Cell (F-Droid / Google Play, una app que te dice si la torre celular a la que te conectaste está usando los métodos de seguridad más modernos. Incluso el indicador de "5G" en tu smartphone no te garantiza el uso de los protocolos de última generación.

En iPhone:

1. Abre la app de Configuración.
2. Navega hasta Privacidad y Seguridad.
3. Navega hasta Modo Hermético.
4. Presiona Activar modo hermético.

Recuerda que activar el Modo Hermético en un iPhone cambia diferentes ajustes para mejorar la seguridad. La mayoría de ellos son mejoras inteligentes, pero algunas aplicaciones y características no funcionarán normalmente, así que primero lee los enlaces adjuntos para más detalles.

Utiliza el 'Modo Avión' frecuentemente

Incluso después de mitigar los riesgos de las redes 2G, tu actividad celular aún puede ser rastreada. Si no por autoridades, entonces por tu proveedor, el cual probablemente será responsivo con las solicitudes de las autoridades para obtener datos después del evento.

Para prevenir lo anterior, lo mejor es que mantengas tu telefóno apagado o uses el Modo Avión para desactivar conexiones celulares siempre que sea posible. Idealmente solo debes conectarte a redes en situaciones de emergencia o para comunicarte con otras personas en tu grupo, manteniendo los mensajes y transmisiones por redes al mínimo.

Si es absolutamente necesario que tengas conexión a internet, y si es posible, lo mejor es mantener el Modo Avión encendido y conectarte a una red Wi-Fi pública en su lugar, lo cual nos lleva a:

Uso de redes Wi-Fi Públicas

Si es posible, revisa con antelación los negocios en el área que provean internet público. Esto es mejor que redes móviles, porque se comparte menos información de tu dispositivo en redes Wi-Fi, a comparación de torres celulares. La mayoría de teléfonos modernos tienen la opción de usar Direcciones MAC Aleatorias, lo cual hace más difícil correlacionar tu teléfono con conexiones en diferentes puntos de accesso Wi-Fi.

También ha riesgo en redes Wi-Fi públicas que sean montadas por autoridades o terceros en el área para rastrear manifestantes. Considera utilizar Servicios VPN mientras te conectes para minimizar los metadatos de tu tráfico de red que el operador del Wi-Fi pueda recolectar.

Desactiva los servicios de Ubicación

Si tienes que mantener tu dispositivo encendido y conectado, al menos puedes minimizar el número de interesados que tienen acceso a tu ubicación. Sé consciente de las aplicaciones a las que les das permiso de acceso a tu ubicación y considera deshabilitar tu Ubicación completamente mientras estés en un evento.

En iPhone:

1. Abre la app de Configuración.
2. Navega hasta Privacidad y Seguridad.
3. Navega hasta Servicios de Ubicación
4. Cambia el interruptor para deshabilitarlos.

En Android:

1. Abre la app de Configuración/Ajustes.
2. Navega hasta Ubicación.
3. Desactiva la opción.

Si utilizas un smartphone con Android, también deberías revisar los ajustes de tu cuenta de Google para asegurarte de que el historial de ubicaciones está desahabilitado. Google frecuentemente colabora con las autoridades para proveer información de ubicación porque no protegen tu información con cifrado fuerte y zero-knowledge.

Revisa tu teclado

Un riesgo frecuentemente ignorado es el software de teclado que utilices en tu dispositivo. Ni la mejor app de mensajerías del mundo puede ganarle a que terceros sean capaces de leer todo lo que escribes mientras lo escribes.

Si utilizas GrapheneOS, la app de teclado por defecto de AOSP no realiza ningún tipo de conexiones a internet, así que si no instalas ningún teclado de terceros deberías estar bien. La mayoría de usuaries de Android utilizan el teclado GBoard de Google, el cual realiza conexiones a internet y sobre el cual puedes decidir no confiar, por lo que deberías considerar usar una alternativa offline. Usuaries de iOS pueden controlar si su teclado de terceros tiene acceso a internet desde la Configuración, aunque lo mejor sería no instalar teclados de terceros en primer lugar.

Esto es particularmente relevante para personas que escriben en otros idiomas como Chino u otros donde el Método de Escritura para convertir letras en Latín a caracteres del idioma. Estos Métodos usualmente son de terceros y tienen acceso completo a internet.

Otros consejos

Utiliza Signal

Signal es la app más segura para enviar mensajes de texto y hacer llamadas de voz con otras personas. También es imposible configurar Signal para tener un cifrado más débil u otros estándares de seguridad, por lo que ya sabes que cualquiera en tu grupo está utilizando ajustes seguros por defecto.

Considera habilitar la opción de mensajes temporales con un intervalo razonablemente corto para comunicación sensible. Puedes hacer que los mensajes temporales estén habilitados por defecto desde la sección de Privacidad en los Ajustes de Signal, también puedes hacerlo por conversación en el panel de ajustes de cada una. De este modo habrá un límite de tiempo en caso de que un atacante acceda a tu smartphone y quiera extraer mensajes antes de que desaparezcan de forma permanente.

Signal ha sido probado en combate para esta situación. Signal ha respondido a 6 solicitudes gubernamentales de acceso desde 2016 y en cada uno de los casos, la única información que pudieron proporcionar fue:

1. Si la persona estaba registrada en Signal.
2. Cuándo se reigstró la persona en Signal.
3. Cuándo fue la última conexión de la persona en Signal.

Toma en cuenta que utilizar Signal puede exponer la ubicación de tu teléfono, el simple hecho de hacer una solicitud en la red como se mencionó anteriormente. También deberías mantener tu teléfono en Modo Avión para minimizar el uso de Signal y cualquier otra app conectada a internet durante el evento.

Hay otros servicios de mensajería encriptados, algunos de ellos incluso utilizan tecnología desarrollada por Signal. Sin embargo, todos ellos vienen con desventajas que pueden comprometer tu seguridad fácilmente. WhatsApp y Facebook Messenger tienen Cifrado de Extremo a Extremo por ejemplo, pero recolectan tanta información y metadatos de tus mensajes, como a quién envías, cuándo lo envías, tu ubicación cuando envías, etc. iMessage de Apple en la app de Mensajes tiene cifrado fuerte, pero preocupaciones similares, y solo funciona cuando todo tu grupo tiene un iPhone.

Asegura tu acceso a la información

Los teléfonos pueden perderse muy fácilmente, ser tomados, rotos o incluso quedarse sin batería. Lleva una batería portátil contigo e intenta minimizar el uso de tu teléfono para conservar enegía. También deberías asegurarte de que tu plan de datos móviles esté al máximo para que tengas suficientes, antes del evento.

Asegúrate de escribir el número de tu contacto de emergencia y/o abogad@ en un papel, incluso escrito con Sharpie en tu brazo. Querrás esta información accesible fácilmente en caso de que te arresten, sin importar el estado o ubicación de tu teléfono.

Cambia los ajustes de tu cámara

Revisa tu los ajustes de tu cámara por cosas que puedan llamar la atención, como flash o sonidos. Asegúrate de revisar estos ajustes con antelación y realiza los mejores ajustes para un uso seguro.

Respalda tu información

Debes prepararte en caso de que tu teléfono sea tomado o perdido durante una protesta. Puedes limitar el costo potencial y el dolor de cabeza en caso de que esto suceda si te aseguras de tener una copia de seguridad actualizada y encriptada de tu información.

Si tienes un iPhone, puedes hacer copias locales en una computadora macOS o Windows usando iTunes. También puedes realizar copias hacia iCloud, pero estas copias solo son seguras si activas la Protección Avanzada de Datos en tu cuenta de iCloud. Recomendamos fuertemente activar la Protección Avanzada de Datos para todas las personas que utilicen iCloud, pues no solo protege copias de seguridad, sino también la mayoría de información de la cuenta.

La situación de copias de seguridad en Android desafortunadamente no es tan robusta, pero puedes respaldar tus fotos y archivos con una variedad de servicios. Si utilizas copias de seguridad en línea, recomendamos elegir una con cifrado fuerte y de zero-knowledge de manera que ni el proveedor tenga acceso a esta información.

• Servicios recomendados de Copias de Seguridad para Fotos
• Servicios recomendados de Almacenamiento en la nube
• Servicios recomendados de Sincronización de Archivos

En la manifestación

Mantén tu dispositivo bloqueado

Siempre debes utilizar la cámara de tu teléfono para tomar fotos y videos mientras está bloqueado, en caso de que tomen tu teléfono mientras grabas. Esto es muy fácil si desactivas la biometría, pues FaceID o similares pueden desbloquear tu dispositivo aunque tú no lo quieras.

En un iPhone puedes mantener presionado el icono de la cámara en la pantalla de bloqueo para abrir la cámara sin desbloquear el teléfono. También puedes configurar el Botón de Acción para abrir la cámara, o usar el botón dedicado a la cámara en el último modelo de iPhone.

En un Google Pixel y la mayoría de dispositivos Android, presionar dos veces el botón de encendido abre la cámara sin necesidad de desbloquear el teléfono².

Debes aprender a configurar y utilizar los atajos en tu dispositivo rápidamente, idealmente mientras el dispositivo está bloqueado, y asegurarte de familiarizarte con estos atajos antes de cualquier evento.

Ten un método de comunicación alternativo

En caso de que haya un apagón de internet, podría ser una buena idea tener un método alternativo de comunicación preparado, organizado con otras personas. Aplicaciones de mensajería como Briar pueden funcionar en modo malla local, conectándose a otros dispositivos en el área mediante Bluetooth o redes Wi-Fi locales en lugar de depender en servicios centralizados de internet. Otra nueva opción es Meshtastic, el cual utiliza peer-to-peer/radio malla que es mucho más confiable que Wi-Fi o Bluetooth, pero requiere la compra de hardware dedicado para conectar en tu teléfono.

Considera dispositivo de radio locales como walkie-talkies, aunque ten en mente que estos dispositivos casi nunca utilizan cifrado y pueden ser fácilmente monitoreados por otras personas, por lo que no deberían ser utilizados para transmitir información sensible.

En el evento

Si tu smartphone es tomado

Si pierdes tu teléfono, debería ser posible localizarlo y borrar toda la información de forma remota dependiendo del modelo. Aquí hay algunas instrucciones para dispositivos comunes que puedes leer:

• Encontrar un dispositivo Android perdido
• Encontrar un iPhone perdido

Si iniciaste sesión en algún servicio en línea en tu teléfono, lo mejor es tratar de cerrar sesión en todos ellos. Por ejemplo, en los sitios web de muchas redes sociales puedes entrar a los ajustes/configuración de tu cuenta y ver qué dispositivos tienen una sesión iniciada y revocar el acceso remotamente.

Por favor toma en cuenta las consecuencias legales de estas acciones. Borrar la información de tu teléfono de forma remota o cerrar sesión de alguna cuenta puede tomarse como obstrucción de la justicia o destrucción de evidencia en algunas jurisdicciones. Siempre debes preguntarle a tu abogad@ cómo proceder. Si tu teléfono fue tomado por las autoridades, puede que tengas recursos legales para tenerlo de vuelta.

Toma en cuenta a otras personas

Si publicas tus foos en línea, siempre toma en cuenta las caras identificables u otras características de tus acompañantes o de quienes hayan acudido. Las autoridades o vigilantes podrían tomar estas fotos para ratrear a quienes hayan acudido y arrestar o acosarles.

Para prevenir lo anterior, puedes censurar las caras de personas en las imágenes. La mayoría de teléfonos tienen herramientas de edición de fotos integradas que te permiten dibujar sobre una imagen. La difuminación puede ser revertida en algunos casos, así que lo mejor es bloquear completamente los rostros.

Ten cuidado con las herramientas que utilices y no selecciones resaltadores o herramientas semi-transparantes. Incluso si dibujas con resaltador negro múltiples veces en un área hasta que parezca totalmente tapada, usualmente este tipo de acciones pueden ser revertidas modificando el contraste de la imagen con software externo. Utilizar formas/rectángulos para bloquear áreas que quieras censurar es mucho mejor que intentar dibujar manualmente sobre elementos que quieras tapar.

La app de Signal permite editar fotos y difuminar. Si quieres enviarte una foto a tu chat de "Notas", entonces guarda la imagen editada para compartir. Signal remueve automáticamente los metadatos de una foto, así que si ya la usas, entonces ya tienes cubierta la siguiente sección:

Limpia los metadatos de tus fotos

Las fotos tienen información escondida, o metadatos, embebidos en ellas, lo cual incluye el tipo de teléfono/cámara que utilizaste, la ubicación de las fotos y otro tipo de información sensible.

Lo mejor es utilizar herramientas que limpian metadatos para remoter este tipo de información de las imágenes antes de que las compartas con otras personas. Si envías fotos utilizando Signal, la app automáticamente limpia los metadatos de las fotos.

Artículo traducido. Puedes encontrar el contenido original en: https://www.privacyguides.org/articles/2025/01/23/activists-guide-securing-your-smartphone/

Encuentra más información para mejorar tu privacidad y cuidar tus datos personales en el sitio web de Privacy Guides: https://www.privacyguides.org/