Seguridad Personal para Objetivos Visibles: Periodistas, Activistas y Ejecutivos

Un periodista de investigacion descubrio en 2024 que su direccion residencial circulaba en tres data brokers diferentes por menos de dos dolares la consulta. Una ejecutiva de fintech recibio fotos del colegio de sus hijos por Telegram tras un reportaje sobre fraude. No son escenarios distopicos: es el dia a dia de quien tiene visibilidad publica en America Latina. La seguridad personal para objetivos visibles no empieza con chaleco antibalas ni con una VPN cara, empieza con un modelo de amenaza honesto. Quien quiere hacerte dano, cuanto invierte en eso, y cual es el camino mas corto entre tu rutina y el impacto que busca.

El primer ejercicio es listar adversarios reales por capacidad y motivacion. Un stalker individual tiene presupuesto de hasta 100 dolares y usa OSINT publico. Un grupo criminal organizado opera con 10 mil dolares, soborna empleados de operadoras y contrata SS7 lookups. Un actor estatal o paraestatal tiene capacidad ilimitada, incluyendo spyware comercial como Pegasus, Predator y QuaDream. Para cada nivel cambia el playbook. Quien sigue la logica de OPSEC para Investigadores de Seguridad: Modelo de Amenaza Personal prioriza gastos de 400 dolares en hardening antes de comprar gadgets de 4 mil que protegen contra amenazas equivocadas.

En la capa digital, empieza por el trio contrasena-MFA-recuperacion. Usa Bitwarden o 1Password, genera claves de 20+ caracteres, y migra logins criticos a passkeys como explica Passwords y MFA: Migrando a Passkeys sin Romper tu Recuperacion. Desactiva SMS como segundo factor: los ataques de SIM swap cuestan menos de 600 dolares en el mercado negro regional y tardan en promedio 4 horas en detectarse. Para comunicacion con fuentes, Signal con mensajes efimeros de una semana y numero VoIP dedicado. SimpleX o Session cuando el adversario tiene acceso a metadatos de operadora. Compara las garantias tecnicas en OPSEC de Comunicacion: Signal, SimpleX y Session Comparados Tecnicamente antes de adoptar un unico stack.

Antes de publicar cualquier documento, pasa por higiene de metadatos. Hubo reportajes que filtraron fuentes porque el PDF cargaba el autor original en el campo XMP, y fotos de manifestantes fueron geolocalizadas via EXIF GPS. ExifTool en batch, qpdf para linearizar PDFs y LibreOffice exportando como PDF/A resuelven el 90% de los casos descritos en Higiene de Metadatos: Limpiando EXIF, PDF y Office antes de Publicar. Para dispositivos cotidianos, activa Lockdown Mode en iPhone (reduce la superficie de ataque aproximadamente 70% segun pruebas del Citizen Lab) y sigue el checklist de Hardening de macOS: Lockdown Mode, MDM y Reduccion de Superficie en laptops corporativos. En Windows personal de alto riesgo, BitLocker con TPM+PIN y reglas ASR como en Hardening de Windows 11 para Estaciones de Trabajo de Alto Riesgo.

En la capa fisica, el concepto clave son los patrones predecibles. Quien te observa durante dos semanas mapea ruta al gimnasio, horario de recoger hijos, restaurante de los viernes. Varia rutas en al menos tres alternativas y horarios en ventanas de 30 minutos. Para deteccion de vigilancia, apps como AirGuard (Android) detectan AirTags y trackers BLE en segundo plano. Camaras con SD card local sin nube en porteria, sensor de movimiento en perimetro y caja fuerte Clase III para pasaportes y HSM. Un curso basico de conduccion defensiva cuesta 300 dolares y ensena maniobras de extraccion que valen mas que un coche blindado mal usado.

El anti-doxxing es el trabajo mas ingrato y mas urgente. Hazle pentest a tu propia huella con Maltego CE y Spiderfoot como muestra OSINT Etico: Investigando tu Propia Huella Digital con Maltego y Spiderfoot, y luego paga servicios de remocion para data brokers regionales y globales (Spokeo, BeenVerified, WhitePages tienen flujos de opt-out, y en LATAM aplican LGPD brasilena y leyes locales de proteccion de datos). El guia Seguridad Personal Anti-Doxxing: Eliminando Datos de Data Brokers en Brasil lista los brokers principales con plazos legales de respuesta. Para el circulo familiar, entrena pareja e hijos en compartimentacion basica: nada de check-in en tiempo real, perfiles privados, nombres del colegio fuera de Instagram. Aplica la logica de Compartimentacion Digital: Identidades Separadas sin Filtrar Metadatos.

Backup y recuperacion son la parte que nadie hace hasta perderlo todo. Estrategia 3-2-1 con Veracrypt en HD externo, segundo backup cifrado en nube (Tresorit o Proton Drive) y un cold backup en caja fuerte fisica o casa de pariente confiable. Detalles practicos en Cripto de Disco y Backups: VeraCrypt, LUKS y Estrategia 3-2-1 Resiliente. Para cripto personal, hardware wallet con passphrase BIP39 separada como en Cripto Personal: Hardware Wallets, Passphrase y Backup Resistente a Coaccion protege contra coercion fisica via plausible deniability. Documenta en sobre sellado un plan de continuidad: quien activa al abogado, quien comunica a la empresa, como acceder a cuentas en caso de detencion u hospitalizacion.

Takeaway practico: bloquea 4 horas este sabado, abre una hoja de calculo y rellena tres columnas: adversario, capacidad estimada en dolares, vector mas probable. Para los tres vectores top, define una accion concreta para la proxima semana: cambiar proveedor de email, comprar YubiKey, contratar remocion de data broker. La seguridad personal no es un producto, es un proceso iterativo de 90 dias. Quien lo trata como proyecto con sprints, metricas y revision trimestral termina mas seguro que quien compra soluciones caras y olvida lo basico.