Estrategia Nivel 2: Privacidad Avanzada para Periodistas y Activistas

Tu Amenaza

Como periodista, activista o profesional con datos sensibles, enfrentas:

🕵️ Vigilancia estatal → Gobiernos interceptan comunicaciones
🏢 Vigilancia corporativa → Empleadores, competidores, proveedores persiguen datos
🔗 Vinculación de identidad → Intentan conectarte con tus fuentes/actividades
🗂️ Análisis de metadatos → Saben a quién contactas sin leer mensajes
🌐 Infiltración de dispositivos → Malware espía que monitorea todo
📍 Rastreo de ubicación → GPS, triangulación de celdas, WiFi
🎣 Phishing y ataques dirigidos → Emails falsos con malware específico

Necesitas no solo privacidad, sino anonimato operativo.

Tu Objetivo

✅ Minimizar huella digital completa ✅ Evitar vigilancia estatal y corporativa ✅ Proteger fuentes (periodistas) o compañeros (activistas) ✅ Mantener anonimato en actividades sensibles ✅ Sobrevivir a ataques dirigidos ✅ Dejar cero rastro de comunicaciones sensibles

Arquitectura de Privacidad Nivel 2

CAPA 1: SISTEMA OPERATIVO PRIVADO
    ↓
[Linux (Pop!_OS / Ubuntu) + Cifrado de Disco]
    ↓
CAPA 2: ANONIMATO EN LÍNEA
    ↓
[Tor Browser] ← [VPN Mullvad] ← [Firewall (ufw)]
    ↓
CAPA 3: COMUNICACIONES CIFRADAS
    ↓
[ProtonMail PGP] + [Signal (con Safety Numbers)]
    ↓
CAPA 4: ALMACENAMIENTO CIFRADO
    ↓
[Cryptomator] + [Shredding Seguro (BleachBit)]
    ↓
CAPA 5: GESTIÓN DE IDENTIDAD
    ↓
[Bitwarden] + [Aliases de Email (SimpleLogin)]
    ↓
CAPA 6: AUTENTICACIÓN FUERTE
    ↓
[YubiKey U2F] + [2FA en todo] + [Backup Codes]

Cada capa añade redundancia. Si una se compromete, sigues protegido.

Flujo de Datos: Vigilancia Vs. Seguridad

❌ SIN PROTECCIÓN

Tu actividad → ISP ve TODO
Tus mensajes → Gobierno intercepta (sin cifrado)
Tu ubicación → Triangulada por celdas
Tu identidad → Vinculada a tus acciones
Tu dispositivo → Podría tener malware

Resultado: Eres rastreable. Tus comunicaciones se pueden incautar como prueba.

✅ CON NIVEL 2

Tu actividad → VPN/Tor ofusca ISP
Tus mensajes → Cifrados (gobierno ve solo ruido)
Tu ubicación → Se falsifica (Tor sale por otro país)
Tu identidad → Separada (alias + email anónimo)
Tu dispositivo → Sin malware (Linux auditado, sin bloatware)

Resultado: Prácticamente inrastreable para vigilancia de masa. Seguro contra ataques de mediano nivel.**

Cronograma: 8-12 horas (3 días)

Día 1: Sistema Operativo (3-4 horas)

Instalar Linux Pop!_OS (2-3 horas)
- Crear USB booteable
- Instalar con cifrado de disco completo
- Actualizaciones de seguridad
Configurar seguridad del SO (30 min)
- Firewall (ufw)
- Deshabilitar servicios innecesarios
- Permisos de archivos
Instalar herramientas básicas (30 min)
- Firefox LibreWolf (sin telemetría)
- Bitwarden
- Tor Browser

Día 2: Red y Comunicaciones (3-4 horas)

Instalar y configurar VPN Mullvad (30 min)
- Conectar permanentemente
- Verificar no hay fugas DNS
Configurar Tor Browser (30 min)
- Entender niveles de aislamiento
- Configurar circuitos automáticos
Instalar ProtonMail con PGP (1 hora)
- Crear cuenta
- Generar par de claves
- Verificar fingerprint
Sincronizar Signal (30 min)
- Verificar Safety Numbers de contactos críticos
- Configurar disappearing messages
Instalar Cryptomator y BleachBit (1 hora)
- Crear múltiples bóvedas por nivel de sensibilidad
- Configurar eliminación segura

Día 3: Validación y Redundancia (2-3 horas)

Instalar YubiKey y configurar U2F (1 hora)
- Registrar en cuentas críticas
- Guardar backup codes
Crear alias de email (SimpleLogin) (30 min)
- Uno para cada tipo de contacto
- Dejar rastro falso si es necesario
Backup encriptado y validación (1 hora)
- Crear backup de Bitwarden en USB
- Verificar Tor/VPN/Signal funcionan
- Hacer llamada de prueba Signal

Orden Crítico de Instalación

Sigue estrictamente este orden:

Linux + Cifrado de Disco (Base de todo)
Bitwarden (Gestor de contraseñas antes de crear cuentas)
VPN Mullvad always-on (Conecta ANTES de navegar)
Tor Browser (Para anonimato máximo)
ProtonMail + PGP (Comunicaciones cifradas)
Signal (Para mensajería privada)
Cryptomator (Almacenamiento cifrado)
YubiKey (2FA de máxima seguridad)
SimpleLogin (Alias anónimos)

NO conectes a internet antes de tener VPN/Tor configurados.

Checklist de Implementación

Linux + Cifrado ✅

Pop!_OS instalado con cifrado full-disk
Contraseña de boot fuerte
Actualizaciones aplicadas (sudo apt update && apt upgrade)
Firewall habilitado (sudo ufw enable)
Acceso SSH deshabilitado (sudo systemctl disable ssh)
Permisos de archivos correctos (no 777)

Networking ✅

VPN Mullvad instalado
Conecta automáticamente al encender
Verifica en dnsleaktest.com (sin fugas)
Tor Browser instalado (última versión)
Tor Browser en escalera privada
Ambos (VPN + Tor) funciona juntos

Comunicaciones ✅

ProtonMail cuenta creada
2FA activado (YubiKey preferido)
PGP key generada
Fingerprint verificado públicamente
Signal instalado en 2+ dispositivos
5+ contactos verificados por Safety Number (en persona)
Disappearing messages = 1 día (por defecto)
SimpleLogin: 3+ aliases para diferentes tipos de contacto

Almacenamiento ✅

Cryptomator en Linux + Teléfono
Bóveda Tier 1: Documentos “públicos” (puede ser comprometida)
Bóveda Tier 2: Documentos sensibles (comunicaciones, notas)
Bóveda Tier 3: Información crítica (identidades, fuentes)
BleachBit instalado
Temporal files auto-delete activado

Autenticación ✅

YubiKey registrada en ProtonMail
YubiKey registrada en Bitwarden
YubiKey registrada en Google/GitHub (si aplica)
Backup codes impresos y en caja fuerte
Códigos de respaldo 2FA en Bitwarden (cifrados)
Recovery key Cryptomator guardada

Validación ✅

Test ipleak.net → IP diferente
Test dnsleaktest.com → Sin fugas
Test browserleaks.com → Sin fugas
Test mullvad.net/check → Conectado a Mullvad
Test Tor check.torproject.org → Desde Tor Browser
Signal llama con audio encriptado (prueba con amigo)

Matriz Avanzada: Qué Herramienta Para Qué Amenaza

Amenaza	Protección	Herramienta
Vigilancia de ISP	Ofuscar tráfico	VPN Mullvad
Vigilancia de gobierno	Anonimato de red	Tor Browser
Hackeo de email	Cifrado E2E	ProtonMail + PGP
Interceptación de mensajes	Cifrado + Verificación	Signal + Safety Numbers
Análisis de metadatos	Separación de identidad	Alias de email + números virtuales
Malware/Spyware	Aislamiento	Linux + AppArmor
Pérdida de datos	Eliminación segura	Cryptomator + BleachBit
Robo de identidad	Autenticación fuerte	YubiKey + 2FA

Operaciones OPSEC (Seguridad Operativa)

Antes de Comunicar Algo Sensible:

1. Verifica que estás en Tor o VPN
   ↓
2. Navega a ProtonMail (desde Tor si es máximo)
   ↓
3. Redacta mensaje
   ↓
4. Cifra localmente (si es PGP)
   ↓
5. Envía (o usa Signal para sensible MÁXIMO)
   ↓
6. Borra draft automático
   ↓
7. Limpia cache con BleachBit

Separación de Identidades:

Identidad Pública (Research)
├─ Email: nombre@gmail.com
├─ GitHub: username públicos
└─ Sitios normales

Identidad Anónima (Investigación sensible)
├─ Email: alias_random@simplelogin.io
├─ Nunca conectado a identidad pública
└─ Solo acceso desde Tor

NUNCA mezcles identidades.

Errores Críticos (QUÉ NO HACER)

❌ No conéctate a internet sin VPN activada. Si lo haces, tu ISP ve TODO lo que haces.

❌ No uses contraseña débil en SO. Si alguien accede físicamente, el cifrado de disco es inútil.

❌ No reutilices email anónimo en múltiples sitios. Si un sitio se hackea, correlacionan todos tus alias.

❌ No uses Tor + VPN sin verificar configuración. Una mala configuración te desanonimiza.

❌ No confíes en anonimato de navegador solo. Necesitas VPN + Tor + Comportamiento seguro.

❌ No guardes recovery keys en el mismo lugar que YubiKey. Si te roban una, tienes la otra.

❌ No ignores actualizaciones de seguridad. Parches arreglan vulnerabilidades que te exponen.

❌ No hagas screenshot de comunicaciones sensibles. Si tu teléfono se hackea, roban screenshot.

Validación Periódica

Cada Semana:

Verifica que VPN está conectada (check en Mullvad)
Revisa Have I Been Pwned (alias de email)
Comprueba backups se están haciendo

Cada Mes:

Test de fugas (ipleak.net, dnsleaktest.com)
Verifica logs del firewall
Revisa procesos activos (htop) en Linux
Integridad de YubiKey (úsala)

Cada Trimestre:

Actualiza todos los sistemas
Regenera claves PGP (si es vieja)
Revisa permisos de archivos
Simula un ataque (verifica respuesta)

Redundancia: Protección Si Algo Falla

Si comprometen tu cuenta ProtonMail:

1. Tienes backup de emails en Cryptomator
2. Cambias contraseña inmediatamente
3. Activas Login Guard
4. Notificas a contactos que uses alias nuevo

Si pierdes tu YubiKey:

1. Tienes backup codes impresos
2. Registras YubiKey nueva
3. Eliminas YubiKey vieja de cuentas
4. Cambias contraseña de Bitwarden

Si tu teléfono es confiscado:

1. Remote wipe desde computadora (si teléfono iOS)
2. Cambias contraseña ProtonMail inmediatamente
3. Cambias contraseña Bitwarden
4. Asumes que contactos en Signal fueron comprometidos

Si tu computadora es confiscada:

1. Cifrado full-disk protege archivos
2. Cambias contraseña de ProtonMail desde otro dispositivo
3. Revocar access a aplicaciones (Mullvad, Bitwarden, etc)
4. Dejas de usar aliases de email vinculados a ese dispositivo

Escenarios de Ataque Avanzado

Escenario: Ataque de Red Dirigida

Amenaza: Hacker intenta interceptar tu comunicación

Protección:

Internet → [VPN Mullvad] → [Tor Browser] → [Signal] → Contacto

Aún si hackean la red, ven solo tráfico cifrado sin sentido.

Escenario: Infiltración de Dispositivo

Amenaza: Malware en teléfono monitorea mensajes

Protección:

1. Mensajes en Signal están cifrados localmente
2. Incluso si malware ve "aplicación", no ve contenido
3. Safety Numbers verificados detectan MITM
4. Desaparición de mensajes = sin archivo permanente

Escenario: Análisis de Metadatos

Amenaza: Saben a quién contactas aunque no lean mensajes

Protección:

1. VPN ofusca qui contactas (ISP no ve destino)
2. Aliases de email = contactos no se vinculan a identidad
3. Diferentes identidades = imposible correlacionar
4. Tor oculta IP completamente

Setup Alternativo para Mayor Riesgo

Si enfrentas amenaza EXTREMA (represión estatal):

Opción 1: Tails OS (Recomendado)

Tails OS
├─ Tor obligatorio
├─ Memoria limpia cada apagado
├─ Sin disco duro = sin rastro
└─ Instalado en USB

Ventaja: Imposible de rastrear incluso con confiscación de dispositivo. Desventaja: Más lento, no persistent storage fácil.

Opción 2: Qubes OS (Máxima Seguridad)

Qubes OS
├─ Máquinas virtuales aisladas por función
├─ Compromiso de una VM no afecta otras
├─ Aislamiento criptográfico
└─ Para periodistas/activistas de máximo riesgo

Ventaja: Si comprometen una VM, otras están protegidas. Desventaja: Complejo de aprender, lento.

Presupuesto: $500-$3,000

Herramienta	Costo	Necesaria
Computadora Linux	Variable	✅ Sí
YubiKey (2x)	$100	✅ Sí (redundancia)
VPN Mullvad	Gratis (donación)	✅ Sí
Tor Browser	Gratis	✅ Sí
ProtonMail Plus	€6/mes	✅ Sí
ProtonMail Professional	€8/mes	❌ Opcional
Bitwarden Premium	$10/año	✅ Sí
Signal	Gratis	✅ Sí
SimpleLogin Premium	€7/mes	✅ Sí (aliases infinitos)
Cryptomator	Gratis	✅ Sí
TOTAL MENSUAL	~€30-50	✅

Próximos Pasos Si Subes a Nivel 3

Nivel 2 es sólido para periodistas/activistas. Pero si necesitas:

Desaparecer completamente de bases de datos: Usa Tails + Monero
Contactar fuentes sin riesgo: Usa SecureDrop (plataforma)
Proteger a otros en la red: Enseña Nivel 1 a compañeros
Investigación en países represivos: Consulta con abogados primero

Mantén Esto Privado

Esta configuración de Nivel 2 es visible si alguien te acosa. No es ilegal tener estas herramientas, pero podría levantar sospechas.

Si eres periodista: Es normal. Protege fuentes. Si eres activista: Es normal. Protege movimiento. Si eres ciudadano común: Podría parecer sospechoso. Nivel 1 es suficiente.

🎯 Objetivo Logrado

Después de completar Nivel 2:

✅ Tu tráfico de red es anónimo (VPN + Tor) ✅ Tu SO es resistente a malware (Linux encriptado) ✅ Tus comunicaciones son imposibles de interceptar (Signal + ProtonMail PGP) ✅ Tus archivos son indestructibles si confiscados (Cryptomator) ✅ Tus identidades están separadas (aliases + emails anónimos) ✅ Eres prácticamente inrastreable para vigilancia de masa ✅ Puedes proteger fuentes sin ponerlas en riesgo

Eres un profesional de la privacidad. Solo tú sabes tu verdadero nombre.