En realidad el costo conlleva entregar los datos a estos proveedores. Todo documento que escribas en estas plataformas lo compartes con sus dueños: Google y Microsoft, que a su vez generan dinero con nuestros datos, por otro lado se sabe que las mismas incluso comparte nuestra información con agencias de inteligencia como lo reveló Snowden en el año 2013.

¿Se puede colaborar en Internet sin que un tercero lea nuestros documentos? La respuesta es sí, pero en distintos niveles. Hay que preguntarse, ¿dónde esta el servidor? ¿quién lo administra?¿en qué país y bajo que legislación estarán protegidos mis datos?

Nextcloud es una herramienta libre que la vengo utilizando durante algunos años para tener mis archivos sincronizados. En mi opinión, la forma más segura de compartir archivos con Nextcloud, es mediante Servicios Cebolla de Tor. Es algo relativamente fácil de configurar y tiene la ventaja que el servidor puede estar en mi casa, en la casa de mi amigo, en las oficinas de alguna organización, en cualquier lugar con Internet donde me pueda conectar a la red Tor. Incluso se puede tener carpetas sincronizadas de forma transparente.

En esta ocasión escribiré sobre la versión 18 de Nextcloud que permite instalar de forma amigable el servidor OnlyOffice que permite colaboración en tiempo real de forma similar a cómo lo hace Office 365 o Google Docs. Para esto es necesario tener un servidor conectado a Internet, normalmente se utiliza un VPS. Dependiendo de mis recursos el VPS se lo puede contratar a un proveedor de Internet o se lo puede tener alojado en un servidor propio.

Lamentablemente, de momento la combinación Nextcloud + OnlyOffice no funciona con Servicios Cebolla.

Manos a la obra

La versión 18 de Nextcloud permite instalar de forma fácil un servidor de Onlyoffice que permite editar archivos de forma colaborativa entre varias personas como se puede ver en las siguientes imágenes:

Gracias al gestor de aplicaciones SNAP, instalar Nextcloud es bastante sencillo. Primero se instala SNAP y luego Nextcloud:

sudo apt install snapd
sudo snap install nextcloud --channel=18/edge

La versión 18 de Nextcloud es bastante nueva y al momento de escribir este artículo hay que utilizar al canal edge, en el futuro debería bastar con:

sudo snap install nextcloud

Una vez instalado Nextcloud es importante configurar HTTPS para tener nuestro servicio de colaboración seguro. En caso de utilizar una red LAN se puede utilizar un certificado auto-firmado:

sudo nextcloud.enable-https 

Cuando se abra Nextcloud desde el navegador o desde el cliente se mostrará un error de certificado auto-firmado. Este certificado se debería aceptar la primera vez. Se puede confiar en el mismo porque nosotros mismo lo creamos. Para esto seleccionar avanzado y añadir la excepción.

En caso de querer el servidor de Nextcloud disponible en Internet, se debe generar un certificado con Letsencrypt, el mismo que será validado por todos los navegadores y no se presentará el error antes mencionado.

sudo nextcloud.enable-https lets-encrypt

En lo personal nunca configuré el certificado de Letsencrypt así, pero parece una muy buena opción.

Ahora abrimos el navegador en la dirección tipo https://192.168.20.25 o tipo https://nube.midominio.com. Aquí se pedirá crear una cuenta de administración donde entre otras cosas se podrá crear usuarios, añadir otras aplicaciones y más.

Aquí permite a más de instalar Nextcloud instalar otras aplicaciones, entre los que se incluye OnlyOffice. Para probar recomiendo instalar todo, para una instalación de un sistema en producción es mejor instalar solo lo necesario. (Para utilizar OnlyOffice es necesario instalar Community Document Server y ONLYOFFICE)

Ahora cuando se vaya a abrir un archivo en Nextcloud desde el navegador web se lo podrá editar directamente desde el navegador de forma individual o colaborativa.

Eso es todo, valdría la pena explorar las otras herramientas. Nextcloud se ha convertido en una gran herramienta para reclamar el control sobre nuestros datos.

Si bien este tutorial lo he probado con Linux, debería funcionar con Windows y Mac sin mayor problema. Para celular se puede utilizar Nextcloud a través de Orbot para acceder al servicio oculto.

Lo primero que se debe hacer es instalar el cliente de Nextcloud que esta disponible para la descarga para la mayoría de sistemas operativos. En el caso de Linux suele ser suficiente instalar el paquete nextcloud-desktop. Adicionalmente si se usa Gnome recomiendo instalar el paquete nautilus-nextcloud; nemo-nextcloud para Cinnamon; y dolphin-nextcloud para KDE:

Además del cliente Nextcloud es necesario tener instalado Tor. Para esto existen 2 opciones, usar el Navegador Tor (puerto 9150) o instalar el servicio Tor en el sistema operativo (puerto 9050).

La primera opción es simple y funciona en cualquier sistema operativo; tiene el problema de que siempre hay que abrir el navegador sino la carpeta no sincroniza. La segunda opción depende del sistema operativo, en el caso de GNU/Linux basta con instalar el paquete «tor». Entiendo que se puede instalar Tor como servicio en Windows y Mac, queda de tarea para quiénes usen esos sistemas operativos.

Una vez que esté instalado el servicio Tor y el cliente de Nextcloud se debe iniciar el cliente. Lo primero que se debe hacer es configurar el cliente de Nextcloud para que funcione con Tor. Para esto, la primera vez que se lo inicie, se abrirán 2 ventanas. La de adelante pedirá registrar una cuenta en un proveedor o hacer login. Antes de seleccionar hacer login, se debe modificar la configuración seleccionando la ventana de atrás.

En la ventana de atrás existen las secciones General y Red. Asegúrese de seleccionar la sección red y configurar para que use proxy SOCKS5 con servidor localhost y puerto 9050 (9150, en caso de usar Navegador Tor).

Una vez hecho esto se puede continuar con el asistente de configuración. Se selecciona hacer login y en la próxima ventana se debe poner el url http://abcxyz.onion como se ve en la siguiente imagen.

Si bien se esta utilizando http, en lugar de https, la comunicación es cifrada hasta el servidor gracias a que se esta utilizando un servicio cebolla.

Una vez terminada la configuración se puede empezar a sincronizar.

Por último si se instaló un plugin para el explorador de archivos se añadirán los íconos de sincronización y de esta manera saber si se tiene la última versión del archivo. En mi caso utilizo Nautilus (Gnome) y se ve así.

Eso es todo, espero les resulte útil.

A diferencia de servicios gratuitos o pagados como los antes mencionados, con software libre es posible tener una solución similar con infraestructura propia. Es decir, nadie pero los dueños de la infraestructura debería poder acceder a la información que se comparte. De esta manera cualquier persona con conocimientos técnicos podría implementar su propia nube para compartir archivos. En su defecto, alguien sin conocimientos técnicos puede pedir ayuda o contratar a alguien que sepa como hacerlo.

En este tutorial explicaré la forma más fácil de instalar Nextcloud que he probado hasta ahora. Para esto es necesario tener una máquina con Linux, esta podría ser algo como un Raspberry Pi, una computadora vieja o una máquina virtual. No es necesario tener una dirección IP pública ya que se utilizará los servicios cebolla de Tor para acceder a Nextcloud.

Hace unos meses, en colaboración con Autoformación TL y Fundación Acceso grabé un video y escribí un post donde explico detalladamente como configurar nextcloud como servicio cebolla de Tor. En este artículo explicaré una forma mucho más sencilla de configurar esta solución, pero recomiendo a las personas curiosas ver el video y/o leer el artículo.

Manos a la obra

Existen varias formas para instalar Nextcloud, una de las recomendadas en su página web es a través de Snap. Snap es un sistema de gestión de aplicaciones que, entre otras cosas, permite instalar sistemas complejos como Nextcloud de manera simple. Lo primero que haremos es instalar Snap.

sudo apt install snapd

A través de Snap se instalará Nextcloud:

sudo snap install nextcloud

Con eso esta instalado nextcloud, y se podría acceder desde un navegador web de manera local a través de http://127.0.0.1. También se puede desde la dirección ip de la computadora, pero no es recomendable si no se ha configurado correctamente HTTPS. En este artículo no se verá como configurar HTTPS, sin embargo los servicios ocultos de Tor permiten tener una comunicación cifrada.

Es la primera vez que utilizo Snap y no me considero lo suficientemente informado para emitir un criterio sobre su seguridad. No recomiendo este tutorial para temas sensibles. En todo caso es mucho más seguro que utilizar los servicios en la nube donde se sabe que se espía.

Para configurar el servicio oculto se debe instalar Tor:

sudo apt install tor

Luego se debe editar el archivo /etc/tor/torrc y añadir las siguientes líneas:

HiddenServiceDir /var/lib/tor/nextcloud/
HiddenServicePort 80 127.0.0.1:80

Ahora se reinicia Tor para activar la configuración

sudo systemctl restart tor

Hecho esto con el siguiente comando se puede ver la url con la que se puede acceder al servicio oculto.

sudo cat /var/lib/tor/nextcloud/hostname
tdmgcihbshcpq7vjg3bi7r5srs2t3ezbzgsjz36z45ng3wyofbfjauid.onion

Con esa dirección se abre en el navegador Tor y se pide crear el usuario de administración.

Con este usuario se podrá configurar la «nube» propia y a través de la misma compartir archivos y mucho más.

Esta es la solución más simple y cualquier persona con una navegador Tor podrá acceder a los archivos desde cualquier parte del mundo. Un paso adelante sería instalar el cliente de Nextcloud y de esta manera poder sincronizar archivos entre computadoras tan solo copiándolos y pegándoles dentro de una carpeta en el sistema operativo.

Ofrezco escribir un artículo al respecto pronto, pero como se que ofrecer es fácil y cumplir no tanto, esto ya lo expliqué en el blog de Fundación acceso, recomiendo ver la última parte.

Sabemos por Snowden que las comunicaciones en Internet están siendo vigiladas a nivel mundial por la NSA. Los gobiernos nacionales también tienen sus capacidades de espiar. En este trabajo se analiza la forma en la que dos personas se pueden comunicar entre sí, sin dejar huella de que esa comunicación existió.

• Comunicaciones Secretas en Internet (PDF)
• Comunicaciones Secretas en Internet (ODT)

Durante los años 2016, 2017 y la mitad del 2018 viví en Buenos Aires donde estudié una Maestría en Seguridad Informática. Durante estos dos años y medio, a más de la maestría tuve la posibilidad de conocer la vida en Buenos Aires. Unos años muy intensos, donde conocí a gente a mucha gente copada (chévere) y de donde tengo muchas anécdotas que contar. Espero buscar el tiempo para escribir sobre las mismas; las que se pueda contar claro

Hoy hablaré sobre porque decidí estudiar seguridad informática y lo que más me gustó de la maestría. Desde finales de 2011 cuando Wikileaks publicó los Spyfiles entendí cuan vulnerable es nuestra privacidad en Internet. En el año 2012 mis charlas de “Software Libre y Comunidad” de a poco se convirtieron en “Privacidad con Criptografía y Software Libre”. En junio de 2013 Edward Snowden publica documentos secretos que muestran cuan vigilados somos todos en Internet.

Durante ese tiempo mucha gente pensó que yo era un experto en seguridad informática. Yo no me consideraba uno y como no quería decepcionarlos decidí buscar una Maestría en Seguridad Informática; por otro lado quería estar seguro de que las herramientas criptográficas que recomendaba eran las correctas.

Gracias al activismo por el por el software libre viajé por Latinoamérica y siempre quise conocer más de los países que visité por pocos días. Busque maestrías en seguridad informática y me encontré con la maestría en la Universidad de Buenos Aires – UBA. Pasaron algunos años hasta que, juntos con mi familia, emprendimos el proyecto de vivir en Buenos Aires. (Mucho más que una maestría, pero eso queda para otros posts)

La maestría tiene tres pilares: criptografía, seguridad en redes y gestión. Esta pensada para alguien que quiera ser el responsable de seguridad informática de una organización. No era exactamente mi caso, yo quería entender como la seguridad informática se puede utilizar para proteger la privacidad de las personas. Creo que una maestría como la que quería estudiar no existe. Sin embargo, considero que lo aprendido me ha servido de mucho, incluso de las clases que no disfruté.

Lo que más me gustó de la maestría, es lo que más me costó. Se nos pidió realizar dos trabajos importantes para poder graduarnos: el primero fue el trabajo final de especialización para obtener el título de «Especialista en Seguridad Informática»; el segundo fue el «Trabajo Final de Maestría» para obtener el título de «Master en Seguridad Informática». A diferencia de mis compañeros, estos dos trabajos fueron los que más motivaron. (Igual creo que el trabajo de Especialización debería ser opcional para los que quieran obtener solamente el título de especialista)

Fui a estudiar la maestría porque quería entender como funciona la vigilancia en Internet y qué se puede hacer para protegerse. Es por esto que para mi trabajo final de especialización me propuse leerme los documentos de Snowden para saber que mismo dicen. Eran demasiados documentos y muchas historias que entender y contar; por lo que me propuse entender como la NSA recolecta información, como la procesa y ver algunas operaciones que se han revelado. El resultado final lo defendí en diciembre de 2017 con el título: “La NSA Según las Revelaciones de Snowden”.

Mientras me encontraba desarrollando este trabajo, Hugo Pagola, mi profesor de Seguridad en Redes me sugirió que escriba un paper con los avances de mi trabajo para el Congreso Iberoamericano de Seguridad Informática – CIBSI 2017, que se realizó en Buenos Aires en noviembre de 2017. Así lo hice, el paper: «Las Capacidades de Vigilancia de la NSA Según los Documentos de Snowden» fue aprobado y tuve la oportunidad de presentarlo en el congreso.

Se podría decir que mi “Trabajo Final de Especialización” fue el diagnóstico sobre la vigilancia, entonces mi trabajo “Trabajo Final de Maestría” sería la medicina para proteger la privacidad. Para el mismo me propuse saber si dos o más personas se pueden comunicar en Internet sin que nadie sepa de que hablaron, pero incluso sin que nadie sepa que se comunicaron. El trabajo lo terminé en diciembre de 2018 y se tituló “Comunicaciones Secretas en Internet”, el mismo lo defenderé a mediados de febrero y lo publicaré en este blog una vez que este aprobado.

No fue fácil ir a vivir en otro país por dos años y medio, pero valió la pena. Aprendí mucho en la maestría y estoy ansioso de defender mi tesis en febrero.

El artículo tiene como objetivo abordar la incorporación de nuevas tecnologías de la  comunicación e información (TIC) al ámbito de la educación, especialmente en el contexto latinoamericano. La intención es discutir la concepción ingenua sobre las TIC que las entiende como político-pedagógicamente neutrales. A tal fin, tomaremos como marco teórico la pedagogía de la liberación elaborada por Paulo Freire. Si bien la problemática no se corresponde temporalmente con la reflexión del educador brasilero, su pensamiento contiene algunos principios pedagógicos que permiten abordarla. Uno de ellos es el carácter intrínsecamente político de la educación: la educación no es neutral, se educa pensando en un tipo de ciudadano para que se desempeñe en un tipo de sociedad. El artículo plantea cuatro discusiones de alto contenido político-pedagógico con respecto a las TIC: software libre vs. software propietario (o copyrigth vs copyleft); comunidad de pares vs. relación servidor-empresa/usuarios-clientes; información y comunicación libre y segura vs. espionaje masivo; comunidad de conocimiento vs. neocolonialidad del saber. Planteadas las alternativas y atendiendo a la perspectiva freireana se opta por el paradigma en TIC que consideramos pedagógica, ética y técnicamente más adecuado para el ámbito de la educación especialmente en los países del contexto latinoamericano.

El resumen del trabajo:

En 2013, Edward Snowden filtró miles de documentos de la Agencia Nacional de Seguridad de los Estados Unidos (NSA por sus siglas en inglés) a los periodistas Glenn Greenwald y Laura Poitras. Desde entonces se han publicado decenas de reportajes periodísticos a nivel mundial que revelan programas de vigilancia masiva de alcance global.
Las filtraciones muestran que esta agencia tiene la capacidad de recolectar las comunicaciones de Internet. Cables de fibra óptica, comunicaciones satelitales y telefonía celular son algunas de los medios sobre los que la agencia recolecta información. Las grandes empresas de Internet entregan los datos sus usuarios a esta agencia. Si esto no es suficiente se recurre a los ataques informáticos para buscar la información restante.
Las comunicaciones recolectadas son procesadas en sistemas sofisticados. Los mismos permiten a los analistas de la NSA encontrar información a través de buscadores similares al de Google o DuckDuckGo que operan sobre las comunicaciones privadas de quiénes usan Internet.
Si bien la NSA sostiene que los programas de vigilancia se realizan con el fin de combatir el terrorismo. Se revelaron operaciones que muestran espionaje político y a sectores estratégicos de países alrededor del mundo. En este trabajo se enfatiza el caso de América Latina.

El documento completo se lo puede descargar acá:

• Biblioteca Digital Facultad de Economía UBA (pdf)
• La NSA Según las Revelaciones de Snowden (pdf)
• La NSA Según las Revelaciones de Snowden (odt)
• Archive.org en varios formatos
• Torrent

Un documento más corto lo publiqué en CIBSI y lo pueden descargar acá.

Mi primer trabajo consistió en un estudio sobre los documentos revelados por Snowden. Se han publicado varios artículos de prensa sobre estos documentos de  2013 a la fecha, pero existen pocos trabajos que realicen un análisis general para tener una visión sistémica del funcionamiento de la NSA. Básicamente intento explicar las capacidades de la NSA para recolectar y analizar información, así como también, muestro algunas operaciones de espionaje realizados por esta agencia.

Información dispersa

Hugo Pagola, mi profesor de la maestría, me recomendó que escriba un artículo sobre los documentos de Snowden para el IX Congreso Iberoamericano de Seguridad de la Información (CIBSI) que se realizó del 1 al 3 de noviembre de este año en la Universidad de Buenos Aires. Me encantó la idea, asumí el reto y el artículo fue aceptado.

El artículo fue publicado junto a las actas de CIBSI y ahora esta disponible para descarga bajo licencia Creative Commons:

• Las Capacidades de Vigilancia de la NSA Según los Documentos de Snowden (PDF)
• Las Capacidades de Vigilancia de la NSA Según los Documentos de Snowden (ODT)

Dentro del mismo hay una sección donde se habla sobre aspectos legales. Tuve el gusto de conocer a Rodrigo Iglesias a quién realicé una entrevista sobre privacidad y aspectos legales en Argentina.

Rodrigo es un abogado «hacker» (en el mejor sentido de la palabra) con conocimientos de seguridad informática. Esta día jueves 26, en conjunto con HackanCuba, darán una conferencia en la Ekoparty sobre los nodos de salida Tor y la justicia Argentina. Los 2 tienen una historia una historia de miedo con final feliz, que  podré escucharla este día jueves.

Sin más, les dejo la entrevista:

¿Esta protegida legalmente la privacidad de las comunicaciones en Argentina?

Existen varias regulaciones en la materia. En primer lugar esta el artículo 18 de la Constitución Nacional que habla de la protección al correo epistolar. La Corte Suprema de Justicia entendió al Correo Electrónico como correo epistolar. Por este motivo se entiende que las comunicaciones vía Internet se encuentran protegidas (como el total de las comunicaciones).

Además tenemos la Ley Federal de Telecomunicaciones indica que cualquier violación de las comunicaciones es competencia de los tribunales Federales. En base a ésta ley es que la Corte Suprema de Justicia, siguiendo el dictamen del Procurador General Eduardo Casal .

Por otro lado, existe un fallo de Corte Suprema de Justicia que por decreto emitido por Néstor Kirchner donde se indicaba a las empresas de telecomunicaciones que resguarden todas las comunicaciones de sus clientes por 10 años. Además, esto implico una acción de amparo de clase que generó un fallo muy importante. El Dr Halabi entiende, con el cual estoy de acuerdo, que las comunicaciones entre un abogado y su cliente deben ser privadas. Por lo tanto discriminar cual es una comunicación con su letrado hace que se viole la privacidad de la misma. La Corte entendió el planteo de forma tardía ya el mismo ex presidente había emitido un nuevo decreto dejando sin efecto el anterior.

Este caso aclaró que las comunicaciones gozan de garantías constitucionales y que las excepciones deben ser a pedido de Fiscal y con autorización del Juez. (Como lo indica, por ejemplo, el artículo 117 del Código de Procedimiento Penal de la Ciudad Autónoma de Buenos Aires) Se deben establecer plazos y formas. En el caso de CABA existe un plazo de 30 días ampliable a 15, llegando a un máximo de 45.

El artículo 75 inciso 22 de la Constitución Nacional, reconoce distintos Tratados Internacionales de Derechos Humanos con jerarquía Constitucional. Con lo cual estos instrumentos indican, que no solo la Libertad de Expresión, sino el derecho a la privacidad como el reverso de la misma moneda. Esto se entiende así y es resguardado en la propia Constitución Nacional en el articulo 19.

Por lo tanto la protección legal a la privacidad esta contemplado en el ordenamiento jurídico argentino. El mismo reconoce al derecho internacional que le abarca y lo hace norma fundamental del País, por consiguiente el derecho a la privacidad de las comunicaciones se encuentra incluido en él y el tribunal máximo del País no solo entendió la problemática de forma correcta sino que dio tratamiento a los Fueros Federales.

Para que no exista el riesgo fundamental de entender una cosa distinta por cada provincia, dado que las telecomunicaciones son de carácter “transfronterizo” se eliminando así un problema enorme. Sin embargo, se crea otro a futuro (la falta de Juzgados Federales para la cantidad de causas que va a generar este tipo de reglamentaciones, existen muchísimos delitos que bajo este fallo se encuentran afectados a Juzgados Federales).

Recientemente el gobierno de Argentina firmó un acuerdo con Amazon para proveer servicios en la nube. ¿ Este acuerdo respeta la ley de Argentina de protección de datos ?

El memorandum de entendimiento entre la Empresa Amazon y el Ministerio de Modernización es no vinculante (dado que no es una acuerdo sino un principio de entendimiento), con lo cual no expresa que no será cumplido, todo indicaría que va a ser implementado. Se incumple con la actual y vigente ley de protección de datos personales en dos puntos, primero en que los datos deben encontrarse en territorio argentino o en un «País Seguro» esto implicaría que no deberían ser alojados en Países que tengan una normativa menor a la implementada por Argentina, por ejemplo USA. También la disposición 60-E/2016 establece que la jurisdicción, normativa y juez deben ser argentinas y la principal autoridad debe ser el Director de la Dirección Nacional de Protección de Datos Personales, entonces surgen dos problemas:

1) Amazon no tiene sede legal en Argentina, con lo cual caemos en que USA no reconoce tribunales internacionales (sic). Para dejarlo en claro: Amazón nunca sería responsable legal ante cualquier inconveniente.

2) No por nada en el Boletín Oficial ya plantearon remover al director de la Dirección Nacional de Protección de Datos Personales a la de

Acceso a la Información, uno se puede preguntar si vengo diciendo estas cosas. Claro que sí claro

Cabe destacar que podrían decir que los servidores se encuentran en Brasil, quien estaría en condiciones legales de alojar esta información, el problema es que esta información se encuentra en varios lugares al mismo tiempo (backup) y entre ellos Amazon utiliza servidores en USA (entre otros claro), también es mucho más sencillo eliminar información de forma segura en un servidor en otro País (de hecho se contratan por módico precio empresas para realizar un borrado seguro de información en la nube). Si uno ve estas cosas y como viene todo ¿qué se puede esperar?

Además se infringe la ley de acceso a la información pública, dado que el memorandum dicta de forma expresa la confidencialidad de las comunicaciones y oscurecer un proceso que debería ser transparente por ley es por lo menos falto de ética para un Ministerio de Modernización.

Otro problema es que Amazon debería no vender, ceder, etc los datos entregados a un tercero y debe quedar expreso, nada de esto se encuentra en el memorandum y si en la normativa vigente. Como se ve problemas hay varios, pero por último:

¿Va a estar toda la información del País menos de la Provincia de Santa Fe? porque tenemos una ley de Software Libre y si bien no se encuentra reglamentada, la ley esta vigente y debe informarse porque no se puede realizar este servicio de forma local, con software libre y con desarrollo argentino.

¿La vigilancia masiva que realiza el gobierno de Estados Unidos a través de la NSA viola el artículo 12 de la declaración Universal de la Declaración Universal de los Derechos Humanos de Naciones Unidas?

En realidad todos los Estados tienen regulado el Espionaje a nivel Interno, y ninguno a nivel externo. Para ejemplificar, nos esta penado realizar tareas de espionaje a nuestros ciudadanos, pero no nos esta penado realizarlo a personas que habiten tierra Uruguaya. Lo mismo pasaba con la NSA.

¿Los Estados Unidos tienen obligación de cumplir los derechos Humanos?

No, esta es una de las grandes mentiras de los defensores de los DDHH tradicionales, más precisamente de los organismos de derechos humanos como la ONU, OEA, etc. En la ONU existe el Consejo de Seguridad, donde 5 Países tienen carácter de miembros permanentes y con derecho a veto (esto significa que en cualquier votación, quien no este de acuerdo o simplemente no emita voto sobre cualquier normativa la decisión queda vetada, ya lo vivimos en la época de la Guerra Fría), además de esta discriminación dentro de del Consejo de Seguridad, USA nunca reconoció jurisdicción de ningún Tribunal Internacional en su territorio, con esto no solo existe el problema de la NSA, sino: guerras, Guantanamo, invasiones, etc etc, etc.

¿Se puede hacer algo desde la legislación para proteger la privacidad de las personas?

Desde la legislación se encuentran varias opciones ya cubiertas, todo a nivel local, de Países en particular. Falta trasladar a organismos internacionales la facultad de hacer cumplir los tratados u obligar a que Estados mejoren sus legislaciones en materia de privacidad.

En nuestro País se debe modificar la ley de protección de datos personales para aumentar el nivel y volver a encontrarnos acordes a la normativa de la Unión Europea. Lamentablemente en el anteproyecto de ley observamos que el consentimiento informado podría pasar a ser tácito con esto no solo no estaríamos en los parámetros de la normativa Europea sino que bajamos los niveles de la actual ley de protección de datos personales. Además la Dirección Nacional de Protección de Datos Personales se encuentra con un presupuesto precario (por decirlo de alguna forma), siempre fue ineficiente y los directores son designados o removidos por el Poder Ejecutivo. Esto a tornando el cargo en un «Puesto Político» y nunca la Dirección Nacional de Protección de Datos Personales realizó una inspección a un ente Estatal (hasta llegaron a decir que la ley no es para el Estado). Esto, más allá de que debería ser un ente autónomo y descentralizado de cualquier administración pública.

Todo esto, más allá de que nuestro País se encuentre en momentos de violación a la privacidad e intimidad a niveles aun mayores desde hace muchos años, como SIBIOS, Proyecto X etc (pero el gobierno actual empeoró estas condiciones a extremos muy peligrosos, hoy el Presidente puede ver tus datos biométricos, o una secretario de una municipalidad de algún lugar recóndito del País).

¿Es obligación de cada país hacer respetar hacer cumplir los derechos humanos a sus ciudadanos?

Con la Excepción de los Países que integran el consejo de seguridad de forma permanente y de USA en particular al desconocer jurisdicción de los tribunales internacionales, todos los países que aceptaron ingresar a ONU, OEA etc tienen el deber y la obligación de respetar y hacer cumplir con los derechos humanos a sus ciudadanos.

¿Es suficiente la legislación?

Podría ser mejorada, suficiente nunca puede ser una legislación sino no existirían los legisladores. Pero sí debería interpretarse muchas leyes de forma distinta o global (como todo, siempre es perfectible), pero si empezáramos a entender que el big data, IoT, Mineria de datos, etc pueden estar en colisión con la normativa vigente del País o que las reformas de leyes deben tener en cuenta estas cosas (un claro ejemplo es el secreto del voto y el voto electrónico). Mucho dinero y recursos podrían destinarse a otras áreas que al final de cuentas vemos que implementar tecnología para reparar problemas inexistentes es tener una solución en búsqueda de problemas cuando debería ser totalmente al revés.

Actualización 13/feb/2019: Grabé un video para crear la cuenta con Protonmail para la comunidad AutoformacionTL y el mismo esta disponible en el blog de Fundación Acceso y en Archive.org.

Actualización 25/12/2017: Removí Yandex, añadí Disroot y Protonmail

Una buena forma de mejorar la privacidad en internet es ocultar metadatos. Los metedatos son información que describe la información. En el caso del correo electrónico algunos metadatos importantes son el nombre y apellido, destinatario, remitente, hora en la que se envió un correo, ubicación geográfica, etcétera. En este artículo se explica como crear una cuenta de  correo electrónico que sea muy difícil de asociar con la identidad real.

Esta es una solución parcial ya que no oculta el contenido de los mensajes.  Para ocultar el contenido de los mensajes se los debe cifrar con PGP. Sin embargo un correo cifrado, sin ocultar metadatos revela mucha información valiosa (los metadatos). Lo ideal es combinar el correo cifrado con una cuenta de correo anónimo. (Algo que espero escribir en el futuro, y lo enlazaré acá).

Lo primero que se debe hacer es instalar el navegador de correo Tor que esta disponible para Linux, Windows y Mac. Una vez abierto el navegar se debe crear una cuenta de correo electrónico. Herramientas como Gmail, Hotmail o Yahoo no son una opción ya que requieren un número de teléfono para crear la cuenta. De poco sirve usar Tor si estamos entregando el número de teléfono. Además las empresas antes mencionadas son parte de PRISM.

A continuación voy a listar algunas opciones que tienen como característica que se pueden usar con Tor, funcionan con HTTPS y que se pueden conectar desde un cliente remoto como Thunderbird para poder cifrar correos electrónicos en el futuro. No son las únicas y si alguien recomienda mejores favor publicar en los comentarios. Si alguien considera que algunos de listados no se debería utilizar, favor avisar.

• Disroot.org: Es una plataforma completa pensada para activistas. Permite crear una cuenta anónima que se puede usar para correo, chat XMPP y otros servicios. El único problema que se tiene es que hay que resolver captchas de Google para crear la cuenta. De ahí en más funciona muy bien.
• Cock.li: Es un servicio que permite crear cuentas de correo electrónico en varios dominios y que además funciona como cuenta de chat a través de la red XMPP. Además tiene la opción de ingresar a través de servicios ocultos de Tor.
• Vfmail: Es simple y permite elegir entre varios dominios. En su cuenta gratuita no tiene mucho espacio de almacenamiento, lo cuál obliga a borrar los correos del servidor. Una buena costumbre por si la cuenta es hackeada en el futuro. (A veces se demoran en llegar y salir los correos)
• Protonmail: Protonmail permite crear una cuenta de correo anónimo, pero se debe dar otra cuenta de correo para que funcione. Si se quiere que la cuenta sea anónima se puede usar una cuenta creada en servicios como Vfmail o Cock.li para el registro. Originalmente no recomiendo Protonmail porque no es compatible con protocolos como IMAP o POP3 y PGP. Sin embargo tiene estrategias de cifrado que en teoría no permite a la gente de Protonmail leer los correos y además permite cifrar con una llave simétrica a gente que no usa Protonmail.
  Esta bueno si se quiere empezar a comunicarse de una forma relativamente segura y rápida. No lo veo como una solución a largo plazo. Como dato interesante es el correo que usa Elliot en la serie Mr. Robot.

Es importante tener las siguientes consideraciones.

• Utilizar un gestor de contraseñas como KeePassX para usar contraseñas de buena calidad.
• Tener cuidado con el phishing. El doble factor de autenticación no es tan recomendable porque normalmente se lo hace a través de un número de celular.
• Crear la cuenta de correo que no sea fácil de asociar con la identidad real. Hay que ser creativos o usar un generador de contraseñas para el nombre de usuario ;).
• Utilizar cuentas de correo distintas para distintas actividades. Un activista debería utilizar esa cuenta solo para el activismo y no para comunicarse con la familia o compañeros de trabajo.
• Eliminar los correos del servidor. Si alguna vez en el futuro la cuenta llega a ser comprometida no es buena idea que todos los correos estén en el servidor.

Estas son algunas recomendaciones y desde ningún punto de vista es una receta infalible. Si alguien tiene recomendaciones para mejorar u otros servicios amigables con Tor, favor compartirlos en los comentarios.