K+Lab

2018-03-13

Creado en el año 2017 por la Fundación Karisma, K+LAB es el primer laboratorio de seguridad digital y privacidad de Colombia pensado desde y para la sociedad civil.

Nace por la necesidad de realizar análisis técnicos e investigaciones para apoyar el trabajo de incidencia de la Fundación, reconocer el impacto de la tecnología en la autonomía de la sociedad y las personas, alertar, divulgar, sensibilizar y educar en temas relacionados con seguridad digital y privacidad. 

Trabajamos con organizaciones de sociedad civil, activistas, periodistas, personas defensoras de derechos humanos para fortalecer, su capacidad de reconocer, prevenir y afrontar riesgos digitales según sus contextos.

¿Por qué es importante el K+LAB?

Los riesgos y amenazas que supone la inserción de las tecnologías digitales y su uso extenso por las personas y organizaciones mencionadas con anterioridad exigen acciones concretas para mejorar su seguridad digital y privacidad, pero estas no se deben hacer sin reflexión, atención y adaptación a sus contextos.

La falta de recursos humanos y técnicos que orienten las decisiones sobre prácticas, herramientas o infraestructura y la carencia de conocimientos, amplía la brecha digital y mantiene a las organizaciones y personas en una situación de vulnerabilidad sin que puedan anticiparse al impacto de la vigilancia de sus comunicaciones, evitar intrusiones no deseadas y eludir problemas relacionados con pérdida o fugas de información, así como su falta de disponibilidad.

Mientras la respuesta del Estado en materia de seguridad digital y privacidad está asociada a las necesidades del sector privado y público, las organizaciones de sociedad civil, periodistas y personas defensoras de derechos humanos y ejerciendo liderazgos sociales en los territorios, ni siquiera cuentan con cifras oficiales que permitan establecer sus necesidades.

Después de crear nuestra aproximación contextual a estos problemas en estos contextos, sabemos que las necesidades identificadas se repiten en otros países de la región y es por ello que desde K+LAB estamos trabajando para crear un sistema de respuesta y análisis sobre seguridad digital y privacidad de la sociedad civil para la sociedad civil en este contexto.

Te invitamos a profundizar en esta lectura haciendo clic aquí.

Logros K+LAB

2020

  • En el último año, gracias a la experiencia acumulada por K+LAB, se presentó al gobierno nacional un informe técnico y jurídico con una propuesta de ruta para el reporte de vulnerabilidades que ha sido incluida en los últimos lineamientos de política pública de confianza y seguridad digital (CONPES 3995 de 2020). Esta propuesta también ha sido considerada en otras recomendaciones internacionales (OECD).
  • El Gobierno Nacional, el Instituto Nacional de Salud y la Agencia Nacional Digital; así como las autoridades locales de Bogotá han acogido e implementado algunas de las recomendaciones y de las alertas que le hemos presentado para mejorar la seguridad y privacidad de los datos de las personas que usan la aplicación CoronApp – Colombia y de otras aplicaciones y páginas que han diseñado en regiones para el abordaje de la pandemia.
  • En este sentido, también hicimos el análisis técnico sobre la seguridad y privacidad del sitio web Medellín Me Cuida, de la aplicación CaliValle Corona, y de la plataforma Bogotá cuidadora, herramientas que se han ido desarrollando en el marco de la gestión de la epidemia de Covid-19.
  • Apertura de una cuenta Github y publicación de un primer script (pequeño programa) de código abierto para analizar los permisos de las distintas versiones de una aplicación Android. Da clic sobre este enlace para acceder.
  • ¡Ampliamos las capacidades de nuestro laboratorio! Ahora también podemos hacer análisis técnicos a dispositivos Apple.
  • Compartimos muchos más talleres sobre seguridad digital con organizaciones de la sociedad civil: Con motivo del creciente uso de herramientas digitales en el actual contexto de pandemia, varias organizaciones internacionales nos han contactado para trabajar con sus Copartes en Colombia en procesos de sensibilización sobre seguridad y privacidad digital.
  • Realizamos una análisis técnico de las tecnologías de marketing digital que usaron los principales candidatos a la alcaldía de Bogotá en 2019 y en 2020 publicamos el informe: “Pequeño manual introductorio de tecnologías para el marketing digital electoral – El caso de las candidaturas a la Alcaldía de Bogotá 2019”.

2019

  • Fuimos la primera organización Latinoamericana en hacer parte de CIVI CERT, una red de actores internacionales que obran para proveer respuestas a la sociedad civil en seguridad digital dando solución ante emergencias e incidentes informáticos.
  • Compartimos y socializamos la Guía Currículo para personas auditoras en seguridad digital, un documento con metodologías y contextos para que personas técnicas puedan apoyar a la sociedad civil colombiana y latinoamericana en el desarrollo de auditorías de seguridad.
  • Intercambiamos experiencias con actores públicos y privados y testeamos herramientas para abordar los desafíos a la libertad de expresión en medio de las jornadas de protestas en Colombia.
  • Lanzamos Prácticas que salvan, una guía que ofrece una serie de recomendaciones para fortalecer la seguridad y privacidad digital de las organizaciones.
  • Hicimos varios reportes sobre vulnerabilidades de la Plataforma Tu Llave (tarjeta del sistema de transporte masivo de Bogotá), algunas de ellas se implementaron.

2018

  • Junto con la Misión de Observación Electoral, analizamos la posibilidad de hacer auditorías al software de escrutinios de elecciones en Colombia y publicamos un protocolo para esto, que puedes conocer haciendo clic sobre este enlace.
  • Para los reportes de vulnerabilidades en páginas web y aplicaciones del Estado, que son de interés público, construimos un modelo incipiente de reporte y seguimiento que ha contado con el apoyo del MinTic.
  • Hicimos un análisis a los sitios web de los cinco principales candidatos presidenciales con el objetivo de identificar que herramientas de recolección de datos y rastreo utilizaban en las campañas.
  • Acompañamos a varias organizaciones víctimas de ataques digitales en la revisión de los incidentes y en la implementación de mejoras en la seguridad de sus sitios.
  • Adaptamos la metodología Safetag de auditorías de seguridad digital a OSC, al contexto nacional.

2017

  • Logramos ser un ejemplo del modelo de corresponsabilidad propuesto en el conpes de seguridad digital de 2016 a raíz de los resultados y el trabajo conjunto tras el reporte de vulnerabilidades de la página web de la unidad para la atención de las víctimas.
  • Las recomendaciones que hicimos tras el análisis de la página de la Unidad para la atención y reparación de víctimas fueron oportunamente atendidas, en particular logramos que se minimizara un riesgo de fuga de información y que se generaran las políticas y el aviso de privacidad para este sitio web.

2016

  • Realizamos un reporte sobre las vulnerabilidades de seguridad digital  en la página web de IMEI Colombia. Fue nuestro primer informe de este tipo.
  • Obtuvimos una beca de Open Technology Found a través de la cual se financió el trabajo de una persona experta en seguridad digital, la compra de equipos para dar inicio a nuestro Laboratorios de Seguridad digital K+LAB y la participación en conferencias internacionales (IFF y OTF Summit) para presentar estos trabajos.

Capacidades del K+LAB

Trabajamos con las personas y  las organizaciones de acuerdo con sus necesidades y contextos específicos en: 

La co creación de capacidades en seguridad digital a través de talleres de sensibilización.

La identificación de vulnerabilidades en seguridad y privacidad de sus redes, dispositivos y plataformas para implementar planes de mejora.

El diseño conjunto de los protocolos de seguridad digital para sus equipos de trabajo.

Aportamos fundamentos técnicos para apoyar la labor de incidencia de Karisma:

Analizamos la seguridad y privacidad de páginas web, aplicaciones y otras tecnologías de interés público.

Hacemos recomendaciones de política pública para el diseño, implementación y gestión de soluciones tecnológicas de interés público.

Desarrollamos y divulgamos investigaciones sobre estos temas.

Carecterísticas de las capacidades del K+LAB

1.  Conectamos el análisis técnico con el contextual:

Con el respaldo de más de 10 años de trabajo de Fundación Karisma en incidencia y relacionamiento con otros actores de la sociedad civil, en K+LAB tenemos un equipo de trabajo interdisciplinar especializado en seguridad digital y privacidad, que combina su experticia técnica con el entendimiento del marco legal y la comprensión del contexto social y político en la región.

Estos factores facilitan los lazos de confianza y, por tanto, el desarrollo de procesos de análisis de riesgo de seguridad digital con las personas y organizaciones.

2. Adaptamos metodologías e integramos nuestra experiencia en la construcción conjunta de procesos de fortalecimiento de seguridad digital para que las organizaciones:

  • Apropien la seguridad digital y la integren a sus procesos.
  • Adopten las herramientas tecnológicas que más se ajusten a su equipo, sus objetivos y contextos.
  • Desarrollen sus propios protocolos ante previsibles amenazas o ataques digitales.
  • Se empoderen de la capacidad para desarrollar su trabajo en un entorno digital con mayor tranquilidad.

La metodología que hemos desarrollado es lo suficientemente flexible para adaptarse a los recursos, estructuras y capacidades de las organizaciones. 

3. Poblaciones con características y vulnerabilidades especiales han confiado en nosotros y nos han permitido aprender de sus problemas:

Personas defensoras de derechos humanos y personas con liderazgo social o medioambiental, activistas LGBTIQ, periodistas, organizaciones sociales, culturales, de mujeres, de indígenas, de personas desplazadas, de diferentes territorios y contextos en Colombia; nos han abierto las puertas de sus organizaciones y sus entornos tecnológicos -dispositivos celulares, computadores y servidores-; aplicaciones y plataformas web, para analizarlos, diagnosticarlos y auditarlos.

El resultado: Una conciencia de las amenazas digitales acompañada de la incorporación de mejores prácticas de seguridad individuales y colectivas, sumadas a una serie de recomendaciones priorizadas y contextualizadas que pueden ser utilizadas para empezar a prevenir y mitigar sus riesgos.

4. Usamos nuestro conocimiento y capacidad tecnológica para apoyar procesos de incidencia y para mejorar la seguridad digital de la ciudadanía en infraestructuras públicas:

Los análisis no intrusivos y transparentes de páginas web y de aplicaciones del Estado que hemos realizado, han permitido el mejoramiento de estas infraestructuras. A través de estas investigaciones hemos reportado vulnerabilidades críticas, se puso en evidencia la exposición de datos personales sensibles en algunas instituciones y se ha logrado su compromiso con la mejora de sus infraestructuras.

Hemos constatado cómo se han tenido en cuenta algunas de nuestras recomendaciones y cómo se ha reconocido la importancia de este tipo de ejercicios.

La publicación y socialización de nuestros informes e investigaciones y de las metodologías que usamos facilitan que otros puedan replicar o realizar sus propios análisis.

5. Contamos con una red de apoyo

Estamos conectados y recibimos apoyo de organizaciones internacionales especializadas en materia de seguridad digital y privacidad. Esto nos permite reaccionar ante nuevos desafíos tecnológicos, trabajar en conjunto con otras organizaciones para casos complejos y acompañar a las organizaciones locales que eventualmente necesitan ser referidas a otras fuentes de apoyo. A través de Karisma, somos miembros de CIVICERT, la primera red internacional de grupos de respuesta rápida en seguridad digital para la sociedad civil https://www.civicert.org/


Nuestra propuesta de valor está en nuestra capacidad de abordar contextualmente y desde una mirada de derechos humanos cada una de las necesidades y requerimientos en seguridad y privacidad digital de las organizaciones.


¿Deseas mejorar tu seguridad digital o la de tu organización? ¿Tienes algo para contarnos?

¡Contáctanos!

Correo electrónico: klab@karisma.org.co 

Teléfono fijo: (+57 1) 2576946

¿Quieres contactarnos por un canal seguro?

Busca nuestra llave pública PGP con esta huella: 8FBC DF8F 4961 8BFC 65AD 

o escríbenos por Signal: (+57) 317 339 22 45

K+LAB se ha formado gracias al apoyo de

Open Technology Fund, Internews y Open Society Foundation.

En la actualidad realizamos consultorías y servicios para la sociedad civil y contamos con el apoyo financiero de Open Society Foundation.

Análisis preliminar sobre el certificado digital de vacunación en Colombia

Ayer el Gobierno Nacional presentó el sistema para generar el certificado de vacunación digital a través del portal MiVacuna del Ministerio de Salud. Si bien, este certificado utiliza criptografía para evitar ataques de enumeración, todavía está lejos de cumplir con los estándares internacionales.

Análisis y reflexiones sobre fallos pasados de la aplicación web MiVacuna

En esta entrada, nuestra invitada especial, Juanita, proponé algunos puntos de conversación alrededor de los fallos del sitio web MiVacuna el pasado 16 de junio, desde una perspectiva que observa y analiza las principales publicaciones en los medios del país sobre este tema.
Banner de fondo color verde a la izquierda y azul a la derecha. En la parte izquierda hay un texto que dice: “¡Pasa la voz! PASANTÍA, Buscamos “Pasante de comunicaciones” para apoyar nuestra área. Conoce a detalle los requisitos y postúlate. Cierre 25 de Julio Al lado derecho hay una ilustración de dos personas hablando, detrás de ellas hay un bombillo que dentro tiene íconos de redes sociales.

Convocatoria para pasante de Comunicaciones

¡Buscamos a alguien que de forma asertiva y estratégica, ponga en práctica sus conocimientos para el diseño y la promoción de contenidos audiovisuales, al servicio de la defensa de los derechos humanos de las personas en los contextos digitales!
Banner de fondo color azul a la izquierda y morado a la derecha. En la parte izquierda hay un texto que dice: “¡Pasa la voz! PASANTÍA, ¿Eres estudiante de diseño gráfico, comunicación gráfica, comunicación digital o afines? En Karisma buscamos pasante, apoyarás el diseño de contenidos audiovisuales. Conoce a detalle los requisitos y postúlate. Cierre 25 de Julio Al lado derecho hay una ilustración de dos personas hablando, dibujando y planeando.

Convocatoria para pasante de Diseño gráfico

¡Buscamos a alguien que de forma creativa, colaborativa y estratégica, ponga en práctica sus conocimientos sobre Illustrator, InDesign, Photoshop y Acrobat, al servicio de la promoción y la defensa de los derechos humanos de las personas en los contextos digitales!
Pieza de fondo gris que lleva como título “La colcha de retazos de coronaviruscolombia.gov.co” la dirección web está sobre un banner rojo. Debajo del título se encuentra el logo del Laboratorio de seguridad digital de Karisma, K+Lab. Al lado derecho de la imagen se ven los logos de 1DOC3, Media Commerce, Agencia Nacional Digital, Amplitude, Amazon, Presidencia de la república, Telmex, INS y Cloudflare, todos en forma de retazos o pedazos de tela unidos.

La colcha de retazos mal tejida de “coronaviruscolombia.gov.co”

Este análisis buscaba explorar la información, transparencia y protección de los datos personales (privacidad y seguridad digital) de la plataforma del Estado “coronaviruscolombia.gov.co” que incluye, además de información vinculada con el Covid-19, la versión web de CoronApp_Colombia y un formulario de autodiagnóstico.