OPSEC para Investigadores de Seguridad: Modelo de Amenaza Personal

Investigador de seguridad que arranca por Tor sin modelo de amenaza termina con tres telefonos, cinco correos y cero anonimato real. Lo hemos visto varias veces en Basilisk OffSec: un analista quiere publicar un writeup de SSRF en proveedor cloud, instala Whonix por impulso pero sigue logueado en la misma cuenta de Google de siempre y sube capturas con EXIF intacto. OPSEC no es ir de compras de herramientas, es proceso de riesgo. El punto de partida son tres preguntas concretas: quien quiere danarme, de que son capaces tecnicamente y que pierdo si ganan. Sin esas respuestas cualquier comparativa entre Tails y Qubes se vuelve teatro.

El modelo de amenaza personal sigue la misma logica del STRIDE corporativo que aplicamos en Threat Modeling con STRIDE en Sprints: Ejemplo Completo de un Microservicio, pero el activo central cambia: tu eres el sistema. Lista los activos crudos en una hoja: identidad legal, identidades de investigacion, cuentas de CTF, claves PGP, wallets cripto, dispositivos fisicos, contactos de fuentes, borradores no publicados. Para cada uno marca tres columnas: confidencialidad, integridad, disponibilidad. Un investigador de malware que pierde acceso al laboratorio dos dias sufre poco; el mismo investigador expuesto con nombre real en un foro ruso puede recibir dano permanente. Esa matriz dira donde gastar dinero en hardware wallet (Cripto Personal: Hardware Wallets, Passphrase y Backup Resistente a Coaccion) y donde gastar paranoia en compartimentacion.

Define al adversario con honestidad. La mayoria de investigadores no tiene como adversario realista a un servicio estatal con NSO Pegasus. Si tiene: el stalker individual con OSINT perezoso, la banda de ransomware a la que troleaste en Twitter, el abogado de una empresa molesta por tu disclosure, la ex pareja con acceso fisico al router de casa, el scraper que vende datos a data brokers. Cada uno exige respuesta tecnica distinta. Contra el data broker la defensa es burocratica y sigue la receta de Seguridad Personal Anti-Doxxing: Eliminando Datos de Data Brokers en Brasil. Contra la ex con acceso fisico es LUKS con keyfile externo y auditoria de keylogger USB. No mezcles capas.

Con adversario y activo en papel, elige el sistema operativo como consecuencia, no como identidad. El comparativo tecnico de Tails, Whonix o Qubes OS: Cual Elegir para Cada Escenario de OPSEC muestra que Tails sirve para sesiones cortas amnesicas, Whonix para aislamiento de red en VM, Qubes para compartimentacion por dominio. Si escribes writeups sobre AWS, Qubes con un qube dedicado a credenciales y otro qube con Burp y DVWA del laboratorio de Pentest Web desde Cero: Montando un Lab Seguro con DVWA, Juice Shop y Burp Suite resuelve sin drama. Si vas a campo a entrevistar una fuente, Tails en pendrive con persistencia minima es mas defendible. Mezclar todo en un Ubuntu unico con Tor browser es lo peor: alta complejidad, baja garantia.

La comunicacion merece capitulo propio dentro del modelo. Signal protege contenido pero filtra grafo social por el numero de telefono; SimpleX no tiene identificador persistente; Session usa la red Lokinet. La eleccion depende de con quien hablas y que pasa si la metadata se filtra. El comparativo de OPSEC de Comunicacion: Signal, SimpleX y Session Comparados Tecnicamente trae cifras de latencia y modelo de descubrimiento. Suma una regla simple: cada identidad de investigacion tiene canal propio, nunca se cruza con la personal. La higiene de metadatos de Higiene de Metadatos: Limpiando EXIF, PDF y Office antes de Publicar entra aqui tambien, porque un PDF con autor real en XMP ha quemado a mas investigadores que un zero day de navegador. Pasa exiftool antes de cualquier subida, sin excepcion.

Por ultimo, prueba tu modelo haciendo OSINT contra ti mismo. Usa Maltego y Spiderfoot como en OSINT Etico: Investigando tu Propia Huella Digital con Maltego y Spiderfoot, empezando por el correo principal, el handle de Twitter y el movil. Si llegas a tu direccion en diez minutos, cualquier adversario menor tambien llega. Documenta lo que se filtro, corrige lo que se puede corregir y acepta lo que ya es publico ajustando el modelo en vez de fingir que es privado. Conclusion practica: reserva dos horas este fin de semana, abre un archivo markdown llamado threat-model.md, llena activos, adversarios, vectores y contramedidas, y revisa cada trimestre. Herramienta nueva solo despues de que ese documento exista.