xmr.club
EN 中文 ES RU
← todas las guías
guía · explicación larga

La auditoría anual de deuda de privacidad

La privacidad no es una configuración única. Cada año acumulas deuda: cuentas que olvidaste haber creado, brechas que expusieron credenciales que no rotaste, data brokers que volvieron a crecer después de que te diste de baja, alias de correo que nadie está leyendo, claves de recuperación 2FA para servicios que ya no usas, archivos de redes sociales que deberías haber descargado antes de que la plataforma cambiara de manos. La mayor parte de esta deuda no hace nada hasta que algo sale mal — y entonces hace mucho. Esta guía es la auditoría anual: un barrido concreto sobre siete clases específicas de deuda, más una lista para un día, más las cosas que parecen deuda pero no valen el tiempo. No es una guía de privacidad para principiantes; asume que ya tienes lo básico montado y quieres mantenerlo limpio.

Qué es realmente la deuda de privacidad

La deuda de privacidad es la cuenta acumulada de identificadores, cuentas, credenciales y divulgaciones que ya no mantienes activamente pero que siguen existiendo en algún sistema que puede filtrarlas. La forma que toma:

  • Cuentas que dejaste de usar pero no borraste. El host del correo, la plataforma social, el foro nicho, la suscripción cuyo cargo cancelaste en la tarjeta sin cerrar la cuenta.
  • Credenciales reutilizadas entre servicios. La contraseña de una brecha de 2019 que sigues usando en alguna parte, el correo de recuperación en un host al que ya no puedes entrar, el SMS-2FA atado a un número que ha sido reciclado.
  • Divulgaciones ya hechas. Data brokers que volvieron a agregar registros públicos desde tu última baja, una dirección vieja todavía en Whois, un archivo público de algo que te arrepientes haber publicado.
  • Herramientas que cambiaron de bando en silencio. Una VPN que introdujo KYC, un host de correo que aflojó su postura E2E, una wallet cuyos binarios ya no son firmados por el mantenedor original.

El costo de la deuda es asimétrico. La mayoría de años no pasa nada. El año que sí pasa — una brecha, un doxxing, una plataforma decidiendo verificar identidad retroactivamente — la deuda es lo que determina cuán mal sale. El trabajo de la auditoría es reducir ese peor caso mientras la deuda aún es barata de limpiar.

1. Inventario de cuentas viejas

Casi seguro tienes más cuentas de las que recuerdas. La forma más barata de encontrarlas:

  • Búsqueda en la bandeja. Busca en tu bandeja principal "welcome to", "confirm your email", "verify your account", "reset your password". Cada hit es una cuenta que te registraste en algún momento. Lee la lista, no solo el conteo.
  • Volcado del gestor de contraseñas. Exporta la lista completa. Cualquier cosa en la que no hayas entrado en los últimos 12 meses es candidata a borrar o cerrar.
  • Autorrellenado del navegador. Perfiles antiguos de Chrome / Firefox / Safari recuerdan sitios que dejaste de usar. Saca la lista de logins guardados.
  • Correos de recuperación de cuenta. Busca correos de "olvidé mi contraseña" que te enviaron — esos son servicios donde aún tienes credenciales.

Para cada cuenta de la lista, las opciones son: (a) borrarla (preferido, cuando el servicio lo soporta), (b) sobrescribir los datos personales a valores deleted-user-<random> y luego cerrar la cuenta, o (c) aceptar que la cuenta va a quedar viva y rotar la contraseña / correo de recuperación a valores actuales. Hay herramientas estilo Justeruse.com que encuentran cuentas, pero arrastran tu bandeja ellas mismas — haz la búsqueda manual si la bandeja es sensible.

2. Chequeo de exposición a brechas

La señal más rápida para "qué credenciales se han publicado en el último año":

  • Pasa cada dirección de correo que usas por Have I Been Pwned (haveibeenpwned.com/account/<email>) — incluyendo las que olvidaste haber creado. Cada brecha nueva desde la auditoría del año pasado es un servicio que necesita rotación de contraseña y (si reutilizas) cada otro servicio que comparte esa contraseña.
  • Chequea la API de Pwned Passwords con tus contraseñas top — si una contraseña que realmente usas aparece en el rango de hash k-anónimo, se publicó en algún lado y ya no protege por más fuerte que parezca.
  • Revisa listas de credenciales expuestas para las direcciones de correo en tus servicios de alto valor — banco, correo primario, identidad gubernamental. Si el correo usado como login en el banco está en una brecha, el login del banco quizá no esté comprometido pero el vector de recuperación se debilitó.

Para cada hit nuevo: rota la contraseña en el servicio afectado primero, luego barre la reutilización — si la misma cadena se usaba en otro lado, esos también están comprometidos aparezcan o no en HIBP todavía.

3. Las bajas a data brokers vuelven a crecer

Si enviaste solicitudes de baja a sitios de búsqueda de personas el año pasado, la forma realista este año es:

  • Alrededor del 30-50% volvieron a crecer. Los data brokers se refrescan desde registros públicos (registros judiciales, padrones electorales, transacciones inmobiliarias, listas de marketing que compran). Tu solicitud de eliminación vieja no se propagó a la nueva ingesta.
  • Aparecen brokers nuevos cada año. Un sitio que no existía cuando hiciste el barrido del año pasado te está indexando ahora.
  • La lista DIY ahora tiene ~150+ sitios. Hacerlo a mano es un fin de semana entero.

Movimiento práctico: rehaz la eliminación enfocada en la docena más visible (Spokeo, Whitepages, BeenVerified, Intelius, PeopleFinder, Radaris, MyLife, Truepeoplesearch, FastPeoplesearch, USSearch, Pipl, Nuwber). Esos cargan ~80% de la exposición de búsqueda casual. Si tu modelo de amenaza lo justifica, un servicio pagado (DeleteMe, Optery, Privacy Bee) automatiza el resto — verifica en sus docs qué brokers cubren realmente, porque la cola larga es donde está el valor.

4. Alias de correo abandonados

Si usas un proveedor de alias (Anonaddy, SimpleLogin, addy.io, Apple Hide My Email), algunos de tus alias están muertos — van a bandejas que ya no monitoreas, o fueron creados para un servicio que ya no existe, o eran direcciones de admisión de una sola vez que nunca quemaste. La auditoría:

  • Saca la lista completa de alias de tu proveedor. Ordena por última-recepción si el proveedor lo expone.
  • Quema los alias muertos. Borra el alias, luego cambia el correo de registro en el servicio upstream correspondiente al real o a un alias nuevo. Si el servicio upstream está abandonado (según la Sección 1), borra primero la cuenta upstream.
  • Audita el reenvío de destino. Si configuraste reenvío a una bandeja ahora difunta o a una dirección personal que se mudó, los alias están dejando caer mensajes en silencio.
  • Audita la cuenta del proveedor de alias misma. ¿Sigue bajo un método de pago que controlas? ¿El correo de recuperación sigue vivo? Un proveedor de alias al que pierdes acceso es peor que no tener alias.

5. Claves de recuperación 2FA y frases semilla obsoletas

La clase de deuda con más probabilidad de morderte en un escenario real de recuperación:

  • Códigos de recuperación impresos en papel. ¿Siguen donde los pusiste? ¿Son de cuentas que todavía tienes? Quema / tritura los de cuentas cerradas en la Sección 1.
  • Vectores de recuperación por correo de respaldo. Audita cada renglón de correo de recuperación. Si tu recuperación para el servicio A es un Gmail al que ya no entras, un atacante que tome ese Gmail también toma A.
  • SMS-2FA en números que no controlas del todo. Si portaste, perdiste o reciclaste un número en el último año, cada cuenta que aún use ese número como canal 2FA está comprometida. Reemplaza con TOTP o llave de hardware. La mayoría de operadores exponen esto en el panel de privacidad si preguntas.
  • Inventario de llaves de hardware. ¿Tienes aún las dos llaves que registraste? Si una está perdida o en un lugar inaccesible, registra una de reemplazo ahora y des-registra la perdida.
  • Frases semilla de wallet. ¿Alguna se mantuvo en un estado que se degradó — papel expuesto a humedad, backup de metal en una dirección donde ya no vives, archivo cifrado en un disco cuya passphrase olvidaste? Rehaz el backup. Ver almacenamiento en frío de Monero para el patrón canónico; plan de herencia para la versión de cola larga.

6. Descarga de archivos de redes sociales

Las plataformas cambian. Las cuentas son baneadas, hackeadas, suspendidas, recuperadas-por-otro, borradas-por-política. Tus años de posts no están seguros en el servidor de otro:

  • Descarga tu archivo una vez al año de cada plataforma donde tengas algo que te importaría. Export de Twitter / X, export de Facebook, export de Instagram, request de datos de Reddit, request de datos de Discord. La mayoría llegan en horas o días.
  • Guarda los archivos offline. Externo cifrado, remoto cifrado, una entrada en tu rutina normal de backup. El punto es tenerlos cuando la plataforma ya no coopere.
  • Luego re-audita la visibilidad de lo que está en cada plataforma. Posts que tenían sentido en 2018 pueden ser una superficie de doxxing hoy. Borra los que no postearías ahora. El archivo que descargaste es la red de seguridad.
  • Las promesas de portabilidad de cuenta son aspiracionales. "Siempre puedo recrear mi perfil" es cierto hasta que la plataforma decide que tu dirección de correo está ahora bloqueada, o tu handle anterior lo tiene otro, o tu país está geo-restringido.

7. Barrido de cambio de domicilio y teléfono

Si te mudaste o cambiaste de número el último año, el barrido es mecánico y aburrido:

  • Bancos, brokerages, seguros. Lo más fácil de hacer online; mayor consecuencia si lo olvidas.
  • Registros gubernamentales. Licencia de conducir, padrón electoral, dirección del pasaporte, autoridad fiscal, equivalente a seguridad social. El orden importa en algunas jurisdicciones — licencia de conducir primero alimenta padrón electoral automáticamente en muchos estados de EE. UU.
  • Whois del registrador de dominio. Si un dominio personal sigue listando la dirección vieja, la capa de data brokers eventualmente alcanzará.
  • Servicios de suscripción y envíos por defecto. Amazon, Apple, Google, la lista de correo a la que te suscribiste en 2017. Un paquete enviado al lugar viejo llega a quien viva ahí ahora.
  • Contactos de emergencia mantenidos por otras personas. Avísale a los amigos y familia que serían llamados en una emergencia real que el número / dirección cambió. Esta es la versión de la auditoría que protege al tú-futuro del registro desactualizado de otro.

Lista de auditoría de un día

Si puedes dedicar un día de fin de semana a la auditoría, el orden que da más seguridad por hora:

  1. Mañana (2-3 h). Pasa todas las direcciones de correo por HIBP. Anota las brechas nuevas. Rota las contraseñas afectadas de inmediato, barre la reutilización.
  2. Mediodía (1 h). Búsqueda en la bandeja por "welcome to / verify / confirm". Arma la lista de cuentas. Marca cada una como conservar / cerrar / sobrescribir-y-cerrar.
  3. Tarde temprana (2 h). Cierra 5-10 de las cuentas viejas de mayor riesgo. Quema los alias correspondientes. Mueve los renglones de correo de recuperación de cualquier host difunto.
  4. Tarde media (1 h). Reejecuta las bajas en los top 12 data brokers (usa un correo fresco o alias para el recibo, no tu dirección real).
  5. Tarde tardía (1 h). Verifica que los códigos de recuperación 2FA están + audita 2FA por número de teléfono, reemplaza SMS por TOTP / llave de hardware en las top-3 cuentas de mayor valor.
  6. Noche (1 h). Descarga archivos de redes sociales, déjalos bajar durante la noche. Decide qué borrar de cada plataforma mañana.
  7. Día siguiente (1 h). Verifica que los archivos bajaron limpio; backup cifrado a tu almacenamiento normal; consuma las borradas del lado de la plataforma.

Esa es la versión una vez al año. Repartida en un trimestre del calendario es un sábado por la mañana al mes. La palanca está en el paso de inventario al principio — una vez que sabes qué existe, la limpieza efectiva es rápida.

Qué NO vale la pena hacer

  • Demandar a cada data broker por cumplimiento. El costo legal supera el beneficio salvo que seas figura pública con un daño identificable específico. El listón razonable es "¿la docena de brokers más grandes cumplieron con la solicitud estándar?"
  • Cambiar todo a una identidad nueva cada año. El trabajo es enorme y la identidad nueva fuga igual en doce meses. Construye una identidad estable y auditada en su lugar.
  • Borrar tus cuentas históricas en modo purga pura. Algunas cuentas viejas son anclas — prueba de que has estado online de forma consistente — y deshacerse de ellas puede dañar vectores de recuperación de cuenta más tarde (el banco que te quiere verificar, la plataforma cuya antigüedad de cuenta es una señal de moderación). Conserva las de larga antigüedad; limpia lo que tienen dentro.
  • Comprar una "suscripción de dashboard de privacidad" que no nombra a sus brokers. Si el servicio no publica la lista de brokers de los que elimina, no puedes saber si cubre los que importan para ti. Paga solo por cobertura transparente.

Véase también

Picks

  • Feather Wallet — Lightweight Monero wallet — useful for moving long-tail balances off a wallet you no longer fully trust during the audit.
  • Cake Wallet — Mobile XMR wallet you can spin up to receive sweeps from old wallets during the cleanup.
  • Mullvad VPN — Account-number-only signup — when you rotate VPN providers as part of the audit, the new one should not be a new identity trail.
  • IVPN — Audited no-logs, no-email signup. Good replacement candidate if your incumbent VPN expanded its KYC posture in the past year.
  • Coldcard — Hardware wallet for the BTC side of the audit — rotate keys off old hot wallets while you have the project context loaded.