---
description: 'Cómo hacer una caja de mantequilla a prueba de manipulaciones'
sidebar_position: 7
---

# Seguridad

Esta guía se diseñó para su uso en entornos hostiles, semihostiles o de baja
confianza, donde los dispositivos pueden ser inspeccionados, confiscados,
modificados o utilizados indebidamente. Su objetivo es proporcionar
recomendaciones prácticas para que la Caja Mantequilla sea más resistente a
manipulaciones físicas y digitales.

Seguir las recomendaciones de esta guía ayudará a reducir el riesgo, pero no
garantiza la seguridad absoluta. La Caja Mantequilla es un sistema de bajo
costo, sin conexión a internet y que se puede implementar en campo, por lo
que estas recomendaciones priorizan medidas de protección realistas y
fáciles de mantener.

**Suposiciones del modelo de amenazas**

Antes de aplicar los controles, define claramente tu contexto de
implementación. Esta guía asume uno o más de los siguientes riesgos:

* Acceso físico por usuarios no autorizados
* Confiscación del dispositivo o inspección por parte de las autoridades
* Usuarios curiosos o maliciosos
* Manipulación o reemplazo de contenido
* Uso indebido o suplantación de identidad en la red
* Reutilización de credenciales o abuso de la configuración predeterminada

Recuerda que los controles deben adaptarse al nivel de riesgo local; un
endurecimiento excesivo puede reducir la usabilidad y la confianza.



### Sección 1: Resistencia a la manipulación física

#### Protección de la cubierta   y el hardware

El acceso físico a la Caja Mantequilla permite la clonación de tarjetas SD,
el reemplazo del firmware, la inyección de malware y la difusión de
información maliciosa. Las placas de circuito impreso (PCB) son delicadas y
deben contar con protección adicional para evitar su manipulación diaria y
la exposición a la intemperie.

Recomendaciones:

1. Utiliza una cubierta sellada o semi-sellada (con tornillos en lugar de
   cierre a presión)
2. Prefer tamper-evident screws (Torx, security hex)
3. Aplica etiquetas de seguridad contra manipulaciones sobre las uniones de
   la cubierta y las ranuras para tarjetas SD

| 1) Sealed enclosures              | 2) Screws                               |
| --------------------------------- | --------------------------------------- |
| ![](/img/docs/unknown.jpeg) | ![](</img/docs/unknown_1.jpeg>) |

#### ![](</img/docs/void-tamper-evident seal.png>)

#### Protección de la tarjeta SD y almacenamiento

Recomendaciones:

1. Utiliza tarjetas SD de alta calidad para reducir la corrupción de datos
2. Encriptar particiones sensibles (cuando sea posible)
3. Mantén el contenido y el sistema operativo separados (firmware frente a
   paquetes de contenido)
4. Evita etiquetar las tarjetas SD con identificadores confidenciales

Opcional (contextos de mayor riesgo):

1. Epoxy Resin. Electronico potting solutions ​​protect Printed Circuit
   Boards from extreme temperatures, moisture, vibration, and other
   environmental threats.
2. Bloquea físicamente la extracción de la tarjeta SD



| Epoxy Resin                             | Epoxy Resin                             |
| --------------------------------------- | --------------------------------------- |
| ![](</img/docs/unknown_3.jpeg>) | ![](</img/docs/unknown_4.jpeg>) |

#### ![](</img/docs/unknown_5.jpeg>)

#### Gestión de energía y puertos

Recomendaciones:

1. Desactiva o bloquea físicamente los puertos no utilizados (USB, HDMI). Se
   pueden usar bloqueadores físicos económicos para reducir el riesgo de
   manipulación de la Caja Mantequilla, impidiendo el acceso no autorizado a
   las interfaces expuestas. Estos bloqueadores limitan la capacidad de los
   atacantes para inyectar código malicioso, conectar periféricos no
   autorizados o transmitir contenido no deseado. Los puertos están sellados
   con bloqueadores de plástico que solo se pueden retirar con una llave
   especial incluida en el kit de instalación.
2. Evita exponer los puertos Ethernet a menos que sea necesario. Los puertos
   Ethernet deben permanecer deshabilitados o bloqueados físicamente, salvo
   que sean imprescindibles para la implementación. Cuando sea necesario el
   acceso a Ethernet, su uso debe estar claramente documentado y restringido
   a operadores autorizados.
3. Utiliza cables internos cortos para reducir la facilidad de sondeo
4. Etiqueta las baterías portátiles de forma genérica (evita los nombres de
   los proyectos)

| USB & HDMI                              | Ethernet Ports                          |
| --------------------------------------- | --------------------------------------- |
| ![](</img/docs/unknown_6.jpeg>) | ![](</img/docs/unknown_7.jpeg>) |

#### Prácticas ambientales y operativas

Recomendaciones:

* Guarda las cajas en lugares controlados cuando no las utilices
* En despliegues prolongados, rota los dispositivos periódicamente
* Supo que los dispositivos pueden ser copiados o perdidos
* Considera las cajas Mantequilla como infraestructura semidesechable, no
  como dispositivos personales.

### Sección 2: Resistencia a la manipulación digital

#### Higiene de credenciales (crítica)

Acciones obligatorias:

SSH

* Por defecto, el usuario Pi tiene la contraseña butterbox-admin.
* Cambia esta contraseña accediendo a la Raspberry Pi mediante sshing y
  ejecutando passwd.
* Si prefieres utilizar una clave SSH, asegúrate de desactivar el acceso
  mediante contraseña una vez que habilites el acceso basado en clave.

RaspAP

* El punto de acceso dispone de una interfaz administrativa que permite
  modificar tu configuración.
* Valores predeterminados: usuario: admin, contraseña: secret (irónicamente,
  esto no es secreto).
* Cambia esto iniciando sesión en
  [http://butterbox.lan/admin](http://butterbox.lan/admin) (o
  [http://comolamantequilla.lan/admin](http://comolamantequilla.lan/admin)
  para un cuadro en español) y utilizando la interfaz web.

Chat

* El chat local fue creado por un usuario administrador llamado
  butterbox-admin. La contraseña de este usuario también es butterbox-admin.
* Para cambiar esta contraseña, inicia sesión en la Caja Mantequilla, ve a
  la sala de chat pública, visita tu perfil de usuario y actualiza la
  contraseña. Si lo deseas, también puedes cambiar el nombre de usuario de
  butterbox-admin para que otros usuarios te reconozcan.

Mejores prácticas:

* Utiliza contraseñas únicas para cada implementación
* Almacena las credenciales sin conexión en documentación segura
* Nunca reutilices credenciales en diferentes regiones

#### Service Hardening

Recomendaciones:

* Desactiva los servicios que no sean estrictamente necesarios:
* SSH (o restringir a la autenticación basada en claves)
* Bluetooth
* Puertos USB

#### Integridad y autenticidad del contenido

Recomendaciones:

* Manten el firmware inmutable durante el funcionamiento normal
* Mantener una imagen de referencia conocida y buena
* Reprograma los dispositivos periódicamente en despliegues prolongados

Control operativo:

* Solo los operadores de confianza deben instalar o actualizar el contenido
* Fuentes y fechas de actualización del documento



### Sección 3: Mitigación del mal uso y el abuso

#### Chat local y abuso de contenido

Riesgos:

* Acoso o discurso de odio
* Suplantación de identidad
* Difusión de desinformación

Mitigaciones:

* Instrucciones de uso claras que se muestran localmente
* Funciones de moderación de la comunidad (si procede)
* Posibilidad de restablecer o borrar rápidamente los datos del chat
* Limita quién puede subir o reemplazar contenido
* Manten un modo de solo lectura para la mayoría de los usuarios



### Sección 4: Respuesta y recuperación ante incidentes

Encuentra un punto medio:

* Asume que algunos dispositivos serán manipulados
* Manten un procedimiento sencillo de borrado y reprogramación
* Da seguimiento a las implementaciones

<br/>