En realidad el costo conlleva entregar los datos a estos proveedores. Todo documento que escribas en estas plataformas lo compartes con sus dueños: Google y Microsoft, que a su vez generan dinero con nuestros datos, por otro lado se sabe que las mismas incluso comparte nuestra información con agencias de inteligencia como lo reveló Snowden en el año 2013.

¿Se puede colaborar en Internet sin que un tercero lea nuestros documentos? La respuesta es sí, pero en distintos niveles. Hay que preguntarse, ¿dónde esta el servidor? ¿quién lo administra?¿en qué país y bajo que legislación estarán protegidos mis datos?

Nextcloud es una herramienta libre que la vengo utilizando durante algunos años para tener mis archivos sincronizados. En mi opinión, la forma más segura de compartir archivos con Nextcloud, es mediante Servicios Cebolla de Tor. Es algo relativamente fácil de configurar y tiene la ventaja que el servidor puede estar en mi casa, en la casa de mi amigo, en las oficinas de alguna organización, en cualquier lugar con Internet donde me pueda conectar a la red Tor. Incluso se puede tener carpetas sincronizadas de forma transparente.

En esta ocasión escribiré sobre la versión 18 de Nextcloud que permite instalar de forma amigable el servidor OnlyOffice que permite colaboración en tiempo real de forma similar a cómo lo hace Office 365 o Google Docs. Para esto es necesario tener un servidor conectado a Internet, normalmente se utiliza un VPS. Dependiendo de mis recursos el VPS se lo puede contratar a un proveedor de Internet o se lo puede tener alojado en un servidor propio.

Lamentablemente, de momento la combinación Nextcloud + OnlyOffice no funciona con Servicios Cebolla.

Manos a la obra

La versión 18 de Nextcloud permite instalar de forma fácil un servidor de Onlyoffice que permite editar archivos de forma colaborativa entre varias personas como se puede ver en las siguientes imágenes:

Gracias al gestor de aplicaciones SNAP, instalar Nextcloud es bastante sencillo. Primero se instala SNAP y luego Nextcloud:

sudo apt install snapd
sudo snap install nextcloud --channel=18/edge

La versión 18 de Nextcloud es bastante nueva y al momento de escribir este artículo hay que utilizar al canal edge, en el futuro debería bastar con:

sudo snap install nextcloud

Una vez instalado Nextcloud es importante configurar HTTPS para tener nuestro servicio de colaboración seguro. En caso de utilizar una red LAN se puede utilizar un certificado auto-firmado:

sudo nextcloud.enable-https 

Cuando se abra Nextcloud desde el navegador o desde el cliente se mostrará un error de certificado auto-firmado. Este certificado se debería aceptar la primera vez. Se puede confiar en el mismo porque nosotros mismo lo creamos. Para esto seleccionar avanzado y añadir la excepción.

En caso de querer el servidor de Nextcloud disponible en Internet, se debe generar un certificado con Letsencrypt, el mismo que será validado por todos los navegadores y no se presentará el error antes mencionado.

sudo nextcloud.enable-https lets-encrypt

En lo personal nunca configuré el certificado de Letsencrypt así, pero parece una muy buena opción.

Ahora abrimos el navegador en la dirección tipo https://192.168.20.25 o tipo https://nube.midominio.com. Aquí se pedirá crear una cuenta de administración donde entre otras cosas se podrá crear usuarios, añadir otras aplicaciones y más.

Aquí permite a más de instalar Nextcloud instalar otras aplicaciones, entre los que se incluye OnlyOffice. Para probar recomiendo instalar todo, para una instalación de un sistema en producción es mejor instalar solo lo necesario. (Para utilizar OnlyOffice es necesario instalar Community Document Server y ONLYOFFICE)

Ahora cuando se vaya a abrir un archivo en Nextcloud desde el navegador web se lo podrá editar directamente desde el navegador de forma individual o colaborativa.

Eso es todo, valdría la pena explorar las otras herramientas. Nextcloud se ha convertido en una gran herramienta para reclamar el control sobre nuestros datos.

Si bien este tutorial lo he probado con Linux, debería funcionar con Windows y Mac sin mayor problema. Para celular se puede utilizar Nextcloud a través de Orbot para acceder al servicio oculto.

Lo primero que se debe hacer es instalar el cliente de Nextcloud que esta disponible para la descarga para la mayoría de sistemas operativos. En el caso de Linux suele ser suficiente instalar el paquete nextcloud-desktop. Adicionalmente si se usa Gnome recomiendo instalar el paquete nautilus-nextcloud; nemo-nextcloud para Cinnamon; y dolphin-nextcloud para KDE:

Además del cliente Nextcloud es necesario tener instalado Tor. Para esto existen 2 opciones, usar el Navegador Tor (puerto 9150) o instalar el servicio Tor en el sistema operativo (puerto 9050).

La primera opción es simple y funciona en cualquier sistema operativo; tiene el problema de que siempre hay que abrir el navegador sino la carpeta no sincroniza. La segunda opción depende del sistema operativo, en el caso de GNU/Linux basta con instalar el paquete «tor». Entiendo que se puede instalar Tor como servicio en Windows y Mac, queda de tarea para quiénes usen esos sistemas operativos.

Una vez que esté instalado el servicio Tor y el cliente de Nextcloud se debe iniciar el cliente. Lo primero que se debe hacer es configurar el cliente de Nextcloud para que funcione con Tor. Para esto, la primera vez que se lo inicie, se abrirán 2 ventanas. La de adelante pedirá registrar una cuenta en un proveedor o hacer login. Antes de seleccionar hacer login, se debe modificar la configuración seleccionando la ventana de atrás.

En la ventana de atrás existen las secciones General y Red. Asegúrese de seleccionar la sección red y configurar para que use proxy SOCKS5 con servidor localhost y puerto 9050 (9150, en caso de usar Navegador Tor).

Una vez hecho esto se puede continuar con el asistente de configuración. Se selecciona hacer login y en la próxima ventana se debe poner el url http://abcxyz.onion como se ve en la siguiente imagen.

Si bien se esta utilizando http, en lugar de https, la comunicación es cifrada hasta el servidor gracias a que se esta utilizando un servicio cebolla.

Una vez terminada la configuración se puede empezar a sincronizar.

Por último si se instaló un plugin para el explorador de archivos se añadirán los íconos de sincronización y de esta manera saber si se tiene la última versión del archivo. En mi caso utilizo Nautilus (Gnome) y se ve así.

Eso es todo, espero les resulte útil.

A diferencia de servicios gratuitos o pagados como los antes mencionados, con software libre es posible tener una solución similar con infraestructura propia. Es decir, nadie pero los dueños de la infraestructura debería poder acceder a la información que se comparte. De esta manera cualquier persona con conocimientos técnicos podría implementar su propia nube para compartir archivos. En su defecto, alguien sin conocimientos técnicos puede pedir ayuda o contratar a alguien que sepa como hacerlo.

En este tutorial explicaré la forma más fácil de instalar Nextcloud que he probado hasta ahora. Para esto es necesario tener una máquina con Linux, esta podría ser algo como un Raspberry Pi, una computadora vieja o una máquina virtual. No es necesario tener una dirección IP pública ya que se utilizará los servicios cebolla de Tor para acceder a Nextcloud.

Hace unos meses, en colaboración con Autoformación TL y Fundación Acceso grabé un video y escribí un post donde explico detalladamente como configurar nextcloud como servicio cebolla de Tor. En este artículo explicaré una forma mucho más sencilla de configurar esta solución, pero recomiendo a las personas curiosas ver el video y/o leer el artículo.

Manos a la obra

Existen varias formas para instalar Nextcloud, una de las recomendadas en su página web es a través de Snap. Snap es un sistema de gestión de aplicaciones que, entre otras cosas, permite instalar sistemas complejos como Nextcloud de manera simple. Lo primero que haremos es instalar Snap.

sudo apt install snapd

A través de Snap se instalará Nextcloud:

sudo snap install nextcloud

Con eso esta instalado nextcloud, y se podría acceder desde un navegador web de manera local a través de http://127.0.0.1. También se puede desde la dirección ip de la computadora, pero no es recomendable si no se ha configurado correctamente HTTPS. En este artículo no se verá como configurar HTTPS, sin embargo los servicios ocultos de Tor permiten tener una comunicación cifrada.

Es la primera vez que utilizo Snap y no me considero lo suficientemente informado para emitir un criterio sobre su seguridad. No recomiendo este tutorial para temas sensibles. En todo caso es mucho más seguro que utilizar los servicios en la nube donde se sabe que se espía.

Para configurar el servicio oculto se debe instalar Tor:

sudo apt install tor

Luego se debe editar el archivo /etc/tor/torrc y añadir las siguientes líneas:

HiddenServiceDir /var/lib/tor/nextcloud/
HiddenServicePort 80 127.0.0.1:80

Ahora se reinicia Tor para activar la configuración

sudo systemctl restart tor

Hecho esto con el siguiente comando se puede ver la url con la que se puede acceder al servicio oculto.

sudo cat /var/lib/tor/nextcloud/hostname
tdmgcihbshcpq7vjg3bi7r5srs2t3ezbzgsjz36z45ng3wyofbfjauid.onion

Con esa dirección se abre en el navegador Tor y se pide crear el usuario de administración.

Con este usuario se podrá configurar la «nube» propia y a través de la misma compartir archivos y mucho más.

Esta es la solución más simple y cualquier persona con una navegador Tor podrá acceder a los archivos desde cualquier parte del mundo. Un paso adelante sería instalar el cliente de Nextcloud y de esta manera poder sincronizar archivos entre computadoras tan solo copiándolos y pegándoles dentro de una carpeta en el sistema operativo.

Ofrezco escribir un artículo al respecto pronto, pero como se que ofrecer es fácil y cumplir no tanto, esto ya lo expliqué en el blog de Fundación acceso, recomiendo ver la última parte.

Las comunicaciones en Internet pueden ser vigiladas por agencias de inteligencia de potencias como los Estados Unidos o por estados más pequeños como es el caso de Latinoamérica. En este capítulo se expondrán de manera breve varios casos de espionaje estatal de los que se tiene conocimiento.

En la sección 1.1 se explica los alcances de vigilancia masiva realizado por los Estados Unidos y sus aliados según las revelaciones de Edward Snowden. En la sección 1.2 se muestran algunos casos de espionaje realizados por gobiernos de América Latina. Se finaliza el capítulo con la sección 1.3 donde se explica el modelo de amenaza sobre el cual se trabajará a lo largo del trabajo.

1.1 Vigilancia Global

Para el “Trabajo Final de Especialización en Seguridad Informática”, el autor realizó una investigación sobre las capacidades de vigilancia de La Agencia Nacional de Seguridad de los Estados Unidos (NSA por sus siglas en inglés).[1] En junio de 2013 Edward Snowden, ex contratista de la NSA, filtró miles de documentos a los periodistas Glenn Greenwald y Laura Poitras. Los mismos contienen información interna que muestra las capacidades de la NSA para recolectar comunicaciones de Internet de forma masiva y cómo procesa toda la información almacenada.

Una de las revelaciones más importantes de Snowden es el programa PRISM. En una presentación de 2013 se explica que, para entonces, en este programa participaban las empresas Microsoft, Google, Yahoo, Facebook, Paltalk, Youtube, Skype, AOL y Apple; también se anunció que Dropbox se sumaría como proveedor de información para PRISM.

Según los documentos, las corporaciones que participan en este programa entregan los datos de sus usuarios al gobierno de Estados Unidos cuando este se lo solicita. Salvo que una persona sea ciudadana de Estados Unidos y se encuentre en este país, no existe ningún tipo de protección legal. Es decir que agencias como la NSA, CIA y el FBI pueden acceder a los datos de ciudadanos extranjeros almacenados en los servidores de estas empresas sin ser informados y sin necesidad de una orden judicial.

Entre la información que se entrega a estas agencias se encuentra correos electrónicos, conversaciones de chat, videos, llamadas de voz, entre otros como se puede ver en la imagen 1. En otra diapositiva de esta misma presentación se afirma que PRISM es la principal fuente de la NSA para generar informes de inteligencia. [2]

PRISM es una de las muchas formas que tiene la NSA para recolectar información de Internet. En la imagen 2 se puede ver una diapositiva que muestra que en 2012 la NSA recolectaba información con el apoyo de agencias de inteligencia de otros países (3rdPARTY/LIASON), interceptaba comunicaciones celulares desde misiones diplomáticas (REGIONAL), a través de ataques informáticos (CNE), directamente desde los cables de fibra óptica (LARGE CABLE) e interceptando las comunicaciones satelitales (FORNSAT).[3]

La información recolectada luego es procesada en varios sistemas que permiten realizar búsquedas. El sistema XKEYSCORE funciona de manera similar a un buscador de Internet sobre los datos recolectados por la NSA. Para 2009, en este sistema se podía realizar búsquedas de hasta tres días de contenido de las comunicaciones y treinta días de metadatos¹ de todo el tráfico recolectado de forma masiva por la NSA. Otros sistemas como Pinwale permiten almacenar datos por cinco años.[1]

Snowden describe las capacidades de estos sistemas: «Yo, sentado en mi escritorio, tenía la facultad de intervenir al que fuera, desde un contador hasta un juez federal e incluso el presidente, siempre y cuando tuviera su correo electrónico personal.» [4]

La NSA no es la única agencia de Estados Unidos que espía en Internet. Revelaciones realizadas por Wikileaks en el año 2017 muestran documentos de la CIA que ponen en evidencia la capacidad de esta agencia para explotar fallos de seguridad en sistemas operativos de computadoras, celulares, televisiones inteligentes, entre otros.[5]

En diciembre de 2011 Wikileaks realizó la primera publicación de los documentos conocidos como Spyfiles. En esta entrega se denunció la existencia de 160 empresas, ubicadas en países tecnológicamente desarrollados, que venden productos de vigilancia a gobiernos a nivel mundial. Software como el de la empresa sudafricana Vastech permite grabar las llamadas telefónicas de naciones enteras, otras soluciones permite registrar la ubicación de todos los teléfonos celulares en una ciudad. Empresas como la italiana Hacking Team o la francesa Vupen venden software para instalar malware en teléfonos celulares y tomar control remoto. En ese entonces soportaban Android, Iphone y Blackberry. Revelaciones similares se realizaron en 2013 y 2014.[6] [7]

1.2 Vigilancia Estatal en América Latina

No es necesario tener las capacidades de vigilancia de gobiernos como Estados Unidos para vigilar a los ciudadanos de un país. Es suficiente tener los recursos para comprar las soluciones ofertadas por las empresas que venden tecnologías de vigilancia. En los últimos años sucedieron revelaciones que muestran que gobiernos de América Latina compraron software de vigilancia y que lo han utilizado para espiar a periodistas, activistas y políticos.

En julio de 2015, la empresa italiana Hacking Team fue vulnerada electrónicamente y se hicieron públicos 400 gigabytes de información. Un informe realizado por la organización chilena Derechos Digitales basada en la información filtrada muestra que Brasil, Chile, Colombia, Ecuador, Honduras, México y Panamá compraron licencias de software de esta empresa; mientras que Argentina, Guatemala, Paraguay, Uruguay y Venezuela mantuvieron negociaciones que, hasta julio de 2015, no se concretaron. [8]

Un video de Hacking Team filtrado a Wikileaks describe el tipo de software que ellos ofertaban a gobiernos en 2011. El mismo dice tener la capacidad de infectar teléfonos y computadoras de forma remota o con acceso físico. Una vez que el dispositivo está infectado, se tiene control remoto sobre el mismo y se puede vigilar su actividad. Comunicaciones cifradas, documentos editados, impresiones, capturas de actividad en el teclado (keylogger), mensajería instantánea son algunas de las actividades que se puede monitorear de forma remota.[9] En otro documento promocional de 2011 se dice que tiene la capacidad de monitorear desde unas pocas personas hasta algunos miles. [10] Basado en información de las filtraciones, el informe de Derechos Digitales dice que en México, Panamá y Ecuador se utilizó el software Hacking Team para espionaje político.

En la imagen 3 se puede ver un gráfico que detalla cuánto gastaron los países de América Latina en el software de Hacking Team. El medio periodístico Animal Político de México hizo otra investigación sobre los documentos y determinó que México es el país que más dinero pagó a Hacking Team a nivel mundial y Chile ocupa el quinto lugar.[11]

NSO es una empresa Israelita que vende el software Pegasus, que de manera similar al de Hacking Team, permite tomar control remoto de teléfonos celulares. En una investigación realizada por el laboratorio Citizen Lab de la Universidad de Toronto sobre el uso de Pegasus a nivel mundial mostró que México es el país que más utiliza este software.[12]

Las organizaciones R3D, Article 19 y SocialTIC realizaron el reporte “Gobierno Espía” que analiza el uso de este software en México. El reporte mostró intentos de infectar teléfonos celulares de periodistas y activistas políticos que denunciaron casos de violencia y corrupción en ese país. Entre las víctimas se encuentran miembros del Centro de Derechos Humanos Miguel Agustín Pro Juárez que denunciaron el caso de los 43 estudiantes desaparecidos de Ayotzinapa.[13]

La periodista Carmen Aristegui denunció el caso de corrupción Casa Blanca que vincula al presidente mexicano Enrique Peña Nieto en su programa Aristegui Noticias. Luego de esto, ella fue otra de las víctimas de intentos de infección del software de NSO. Al no poder vulnerar el teléfono de la periodista intentaron infectar el teléfono de su hijo, que en ese entonces era menor de edad. Esto muestra que no hay que ser político, periodista o activista para ser víctima de espionaje; basta con ser hijo o cercano a alguien a quién un estado quiere vigilar para que las comunicaciones puedan ser intervenidas.

La empresa alemana Fin Fisher vende soluciones similares a las de Hacking Team y NSO. Para su funcionamiento necesita tener servidores en Internet a los que reporta la actividad de los dispositivos infectados. Citizen Lab encontró cómo identificar estos servidores al enviar cierto tipo de peticiones. Para eso utilizaron herramientas como ZMAP² para explorar todas las direcciones públicas IPV4 de Internet. Con esto identificaron 33 posibles clientes ubicados en 32 países; en el listado aparecen México, Venezuela y Paraguay. Debido a las limitaciones del estudio no se sabe exactamente quiénes están utilizando el software de Fin Fisher para espiar, pero sí que se lo ha utilizado en estos países.[14]

Otro caso que puso en evidencia Citizen Lab es el denominado PACRAT. En el mismo se identificó infraestructura compartida por varios países de la región, así como campañas para intentar infectar con código malicioso computadoras o robar contraseñas a través de phishing³. Entre los países que aparecen en este estudio se encuentran Argentina, Ecuador, Brasil y Venezuela. En este caso el espionaje se dio a políticos, periodistas y activistas. [15]

Casos como los de Hacking Team, NSO, Fin Fisher y PACRAT muestran que gobiernos en América Latina adquieren tecnología de vigilancia. La misma que debería ser utilizada para combatir el crimen se utiliza también para espiar a políticos, periodistas o activistas. Esto se hace incluso al margen de la ley.[8] En los cuatro casos se trata de vigilancia dirigida; es decir que se quiere espiar a ciertas personas en particular.

La vigilancia masiva es cuando se espía o se recolecta datos de forma masiva a una población determinada. La Fundación de la Frontera Electrónica (EFF por sus siglas en inglés) coordinó una investigación en 12 países de América Latina para conocer las capacidades de vigilancia de los gobiernos de estos países.[16]

De los países en los que se realizó la investigación, se determinó que en México, Honduras, Colombia, Perú, Argentina y Chile existe obligación legal de las operadoras de telecomunicaciones de recolectar datos de sus abonados. Esta obligación va desde al menos un año en Chile hasta los 5 años en Colombia y Honduras.

En todos los casos para que el gobierno pueda acceder a la información recolectada se requiere una orden judicial. La excepción a la regla es México donde el gobierno puede acceder a los datos de localización en tiempo real.

La organización Privacy International realizó en 2015 una investigación sobre la vigilancia en Colombia. En la misma se muestra que en 2013, la policía colombiana gastó 28 millones de dólares estadounidenses para el fortalecimiento de la Plataforma Única de Monitoreo y Análisis (PUMA). Más de la mitad de esta inversión se utilizó para:

… software y hardware básicos necesarios para convertir PUMA en un sistema completo de interceptación legal, capaz de recopilar datos y contenido de llamadas de voz, VoIP, tráfico de Internet y redes sociales en 12 de los proveedores de servicios de telecomunicaciones de Colombia –cuatro redes de datos móviles y voz (Claro, Tigo, Avantel y Movistar) y ocho proveedores de servicios de Internet (Une, Telefónica, Emcali, Metrotel, ETB, Telebucaramanga, Telmex y EPM). [17]

Este contrato fue firmado con la empresa Verint aunque luego se canceló; sin embargo, dice el informe, el proyecto PUMA sigue activo.

El objetivo de este trabajo no es detallar todos los casos de vigilancia por parte de gobiernos en América Latina. Sin embargo, es importante saber que los gobiernos de la región tienen la capacidad de vigilar a sus ciudadanos y que en varias ocasiones abusaron de ese poder, incluso al margen de la ley.

1.3 Modelo de Amenaza

En las secciones previas de este capítulo se vio que existen varias formas en la que los gobiernos y empresas pueden espiar las comunicaciones en Internet. Con la vigilancia masiva se intenta espiar o recolectar la información de poblaciones enteras y con la vigilancia dirigida se busca espiar a un grupo específico de gente.

El modelo de amenaza que busca mitigar este trabajo es el de vigilancia masiva. Se quiere proteger el tráfico de la comunicación de posibles actores que podrían espiarlo. Estos podrían ser los proveedores de Internet o cualquier otro que pueda interceptar las comunicaciones en tránsito. Además se quiere proteger las comunicaciones de las personas u organizaciones que proveen los servicios de comunicación como correo electrónico, chat y voz sobre IP.

La imagen 4 explica el modelo de amenaza para el caso de correo electrónico; pero es un esquema similar a cualquier tipo de servicio. La conexión a Internet de Alice o Bob podría ser espiada por su proveedor local de Internet o por cualquier ruteador en el medio hasta llegar al servidor de correo. El proveedor de correo electrónico podría espiar los correos de todos sus usuarios.

En este trabajo no se analiza el modelo de amenaza de atacantes como NSO, Fin Fisher o Hacking Team. Es importante tomar en cuenta la seguridad de las terminales de comunicación debido a que si alguna estuviera infectada con software malicioso pondría en riesgo la comunicación

1Metadatos son los datos que describen a los datos.

2ZMAP es una herramienta que permite escanear todas las direcciones IPv4 públicas. Disponible en: https://zmap.io/

3Ataque informático que intenta robar claves a través de páginas falsas similares a las reales.

Referencias

[1] R. Bonifaz, “La NSA Según las Revelaciones de Snowden”, Facultad de Ciencias Económicas. Universidad de Buenos Aires, 2017.

[2] “PRISM/US-984XN Overview”, abr-2013. [En línea]. Disponible en: https://edwardsnowden.com/2013/06/07/prism-overview-slides/.

[3] “NSA’s global interception network”, Electrospaces.net, 03-dic-2013. [En línea]. Disponible en: https://electrospaces.blogspot.com.ar/2013/12/nsas-global-interception-network.html. [Consultado: 19-jun-2017].

[4] B. M. Tecnología, “La poderosa herramienta de EE.UU. para vigilarlo todo en internet”, BBC Mundo, 08-ene-2013. [En línea]. Disponible en: c. [Consultado: 22-abr-2017].

[5] Wikileaks, “Vault7 – Home”, 07-mar-2017. [En línea]. Disponible en: https://wikileaks.org/ciav7p1/. [Consultado: 18-dic-2017].

[6] Wikileaks, “The Spy Files”, 01-dic-2011. [En línea]. Diponible en: https://wikileaks.org/the-spyfiles.html. [Consultado: 06-sep-2017].

[7] Wikileaks, “Spy Files – All Releases”, 2014. [En línea]. Disponible en: https://www.wikileaks.org/spyfiles/. [Consultado: 28-ago-2017].

[8] G. Pérez de Acha, “Hacking Team Malware para la Vigilancia en América Latina”. Derechos Digitales, mar-2016.

[9] Wikileaks, “Spy Files – Remote Control System: Full Intelligence on Target Users even for encrypted Communications”. [En línea]. Disponible en: https://www.wikileaks.org/spyfiles/document/hackingteam/287_remote-control-system-full-intelligence-on-target-users-even/. [Consultado: 24-ene-2018].

[10] Wikileaks, “Spy Files – Remote Control System”, oct-2011. [En línea]. Disponible en: https://www.wikileaks.org/spyfiles/document/hackingteam/147_remote-control-system/page-2/#pagination. [Consultado: 24-ene-2018].

[11] Animal Político, “México, el principal cliente de una empresa que vende software para espiar”, Animal Político, 07-jul-2015. .

[12] Citizen Lab, “The Million Dollar Dissident: NSO Group’s iPhone Zero-Days used against a UAE Human Rights Defender”, The Citizen Lab, 24-ago-2016. [En línea]. Disponible en: https://citizenlab.ca/2016/08/million-dollar-dissident-iphone-zero-day-nso-group-uae/. [Consultado: 29-dic-2017].

[13]R3D, Article 19, y SocialTIC, “Gobierno Espía”. jun-2017.

[14] Citizen Lab, “Mapping FinFisher’s Continuing Proliferation”, The Citizen Lab, 15-oct-2015. [En línea]. Disponible en: https://citizenlab.ca/2015/10/mapping-finfishers-continuing-proliferation/. [Consultado: 12-ene-2018].

[15] J. Scott-Railton, M. Marquis-Boire, C. Guarnieri, y M. Marschalek, “Packrat: Seven Years of a South American Threat Actor”, The Citizen Lab, 08-dic-2015. [En línea]. Disponible en: https://citizenlab.ca/2015/12/packrat-report/. [Consultado: 13-ene-2018].

[16] EFF, “¿Quiénes pueden vigilarnos? Infografía”, Necessary and Proportionate, 29-sep-2016. [En línea]. Disponible en: https://necessaryandproportionate.org/es/americas-reports/quienes-pueden-vigilarnos. [Consultado: 31-ene-2018].

[17] Privacy International, “Un estado en la sombra: vigilancia y orden público en Colombia”. ago-2015.

Ola Bini es un programador de software libre especializado en el desarrollo de herramientas que permiten defender la privacidad en el mundo digital. Se encuentra detenido desde el 11 de abril de 2019 por supuestamente haber atacado sistemas informáticos.

La mañana de ese día, pocas horas después de que Ecuador retiró el asilo a Julian Assange; María Paula Romo, Ministra del Interior, anunció que hackers rusos y un miembro de Wikileaks viven en Ecuador. Resulta que el supuesto miembro de Wikileaks era Ola Bini de quién Romo dijo tener evidencias de que formaba parte de un «plan de desestabilización conectado con intereses geopolíticos del continente«.

Según el resumen del acta de la audiencia de flagrancia donde se dictó la prisión preventiva por 90 días, se lo investiga por supuestamente haber cometido el delito «ATAQUE A LA INTEGRIDAD DE SISTEMAS INFORMÁTICOS» como estipula el artículo 232 numeral 1 del COIP.

Al momento de escribir este artículo Ola ha estado detenido por 30 días. El fiscal Fabián Chávez no ha sido capaz de mencionar los supuestas sistemas atacados. María Paula Romo ya no habla de los supuestos «hackers» rusos y los planes de desestabilización.

José Charry, abogado de Ola, explica en el siguiente tuit la injusticia que se está cometiendo.

Si se investiga un ataque informático, lo lógico sería investigar el sistema atacado para buscar a los responsables. En este caso primero se encontró un «culpable» y ahora andan buscando que sistema dizque atacó. Lo lógico sería recabar la información del sistema atacado como lo explica el perito informático Luis Enriquez en el siguiente tuit.

No soy abogado, pero me parece una injusticia que se meta preso a alguien cuando ni siquiera el fiscal sabe de que lo acusa. Vale la pena leer la opinión de algunos reconocidos abogados sobre la medida de la prisión preventiva:

El día 3 de mayo hubo una audiencia donde se solicitó la sustitución de la prisión preventiva. La misma fue negada y se citaron como motivos la la rueda de prensa de María Paula Romo, la declaración del presidente Moreno, una llamada al número 1800-delito y la amistad de Ola con Assange.

Si Ola hubiera atacado algún sistema, las motivaciones no serían lo que dijo la ministra, el presidente, un alias Marco o la amistad con Assange. Lo que diría el fiscal sería algo como «el sistema xyz fue atacado y según los registros del sistema vulnerado se tienen indicios para sospechar que Juan Pérez fue quién cometió el delito».

Si consideras que esto es una injusticia, únete a las 70 organizaciones y 95 a nivel MUNDIAL que piden la libertad de Ola Bini.

Sabemos por Snowden que las comunicaciones en Internet están siendo vigiladas a nivel mundial por la NSA. Los gobiernos nacionales también tienen sus capacidades de espiar. En este trabajo se analiza la forma en la que dos personas se pueden comunicar entre sí, sin dejar huella de que esa comunicación existió.

• Comunicaciones Secretas en Internet (PDF)
• Comunicaciones Secretas en Internet (ODT)

Durante los años 2016, 2017 y la mitad del 2018 viví en Buenos Aires donde estudié una Maestría en Seguridad Informática. Durante estos dos años y medio, a más de la maestría tuve la posibilidad de conocer la vida en Buenos Aires. Unos años muy intensos, donde conocí a gente a mucha gente copada (chévere) y de donde tengo muchas anécdotas que contar. Espero buscar el tiempo para escribir sobre las mismas; las que se pueda contar claro

Hoy hablaré sobre porque decidí estudiar seguridad informática y lo que más me gustó de la maestría. Desde finales de 2011 cuando Wikileaks publicó los Spyfiles entendí cuan vulnerable es nuestra privacidad en Internet. En el año 2012 mis charlas de “Software Libre y Comunidad” de a poco se convirtieron en “Privacidad con Criptografía y Software Libre”. En junio de 2013 Edward Snowden publica documentos secretos que muestran cuan vigilados somos todos en Internet.

Durante ese tiempo mucha gente pensó que yo era un experto en seguridad informática. Yo no me consideraba uno y como no quería decepcionarlos decidí buscar una Maestría en Seguridad Informática; por otro lado quería estar seguro de que las herramientas criptográficas que recomendaba eran las correctas.

Gracias al activismo por el por el software libre viajé por Latinoamérica y siempre quise conocer más de los países que visité por pocos días. Busque maestrías en seguridad informática y me encontré con la maestría en la Universidad de Buenos Aires – UBA. Pasaron algunos años hasta que, juntos con mi familia, emprendimos el proyecto de vivir en Buenos Aires. (Mucho más que una maestría, pero eso queda para otros posts)

La maestría tiene tres pilares: criptografía, seguridad en redes y gestión. Esta pensada para alguien que quiera ser el responsable de seguridad informática de una organización. No era exactamente mi caso, yo quería entender como la seguridad informática se puede utilizar para proteger la privacidad de las personas. Creo que una maestría como la que quería estudiar no existe. Sin embargo, considero que lo aprendido me ha servido de mucho, incluso de las clases que no disfruté.

Lo que más me gustó de la maestría, es lo que más me costó. Se nos pidió realizar dos trabajos importantes para poder graduarnos: el primero fue el trabajo final de especialización para obtener el título de «Especialista en Seguridad Informática»; el segundo fue el «Trabajo Final de Maestría» para obtener el título de «Master en Seguridad Informática». A diferencia de mis compañeros, estos dos trabajos fueron los que más motivaron. (Igual creo que el trabajo de Especialización debería ser opcional para los que quieran obtener solamente el título de especialista)

Fui a estudiar la maestría porque quería entender como funciona la vigilancia en Internet y qué se puede hacer para protegerse. Es por esto que para mi trabajo final de especialización me propuse leerme los documentos de Snowden para saber que mismo dicen. Eran demasiados documentos y muchas historias que entender y contar; por lo que me propuse entender como la NSA recolecta información, como la procesa y ver algunas operaciones que se han revelado. El resultado final lo defendí en diciembre de 2017 con el título: “La NSA Según las Revelaciones de Snowden”.

Mientras me encontraba desarrollando este trabajo, Hugo Pagola, mi profesor de Seguridad en Redes me sugirió que escriba un paper con los avances de mi trabajo para el Congreso Iberoamericano de Seguridad Informática – CIBSI 2017, que se realizó en Buenos Aires en noviembre de 2017. Así lo hice, el paper: «Las Capacidades de Vigilancia de la NSA Según los Documentos de Snowden» fue aprobado y tuve la oportunidad de presentarlo en el congreso.

Se podría decir que mi “Trabajo Final de Especialización” fue el diagnóstico sobre la vigilancia, entonces mi trabajo “Trabajo Final de Maestría” sería la medicina para proteger la privacidad. Para el mismo me propuse saber si dos o más personas se pueden comunicar en Internet sin que nadie sepa de que hablaron, pero incluso sin que nadie sepa que se comunicaron. El trabajo lo terminé en diciembre de 2018 y se tituló “Comunicaciones Secretas en Internet”, el mismo lo defenderé a mediados de febrero y lo publicaré en este blog una vez que este aprobado.

No fue fácil ir a vivir en otro país por dos años y medio, pero valió la pena. Aprendí mucho en la maestría y estoy ansioso de defender mi tesis en febrero.

El artículo tiene como objetivo abordar la incorporación de nuevas tecnologías de la  comunicación e información (TIC) al ámbito de la educación, especialmente en el contexto latinoamericano. La intención es discutir la concepción ingenua sobre las TIC que las entiende como político-pedagógicamente neutrales. A tal fin, tomaremos como marco teórico la pedagogía de la liberación elaborada por Paulo Freire. Si bien la problemática no se corresponde temporalmente con la reflexión del educador brasilero, su pensamiento contiene algunos principios pedagógicos que permiten abordarla. Uno de ellos es el carácter intrínsecamente político de la educación: la educación no es neutral, se educa pensando en un tipo de ciudadano para que se desempeñe en un tipo de sociedad. El artículo plantea cuatro discusiones de alto contenido político-pedagógico con respecto a las TIC: software libre vs. software propietario (o copyrigth vs copyleft); comunidad de pares vs. relación servidor-empresa/usuarios-clientes; información y comunicación libre y segura vs. espionaje masivo; comunidad de conocimiento vs. neocolonialidad del saber. Planteadas las alternativas y atendiendo a la perspectiva freireana se opta por el paradigma en TIC que consideramos pedagógica, ética y técnicamente más adecuado para el ámbito de la educación especialmente en los países del contexto latinoamericano.

• Descripción del Artículo
• Descarga PDF
• Versión HTML

Las imágenes en el PDF no tienen muy buena calidad por lo que subo acá una copia de cada una.

El resumen del trabajo:

En 2013, Edward Snowden filtró miles de documentos de la Agencia Nacional de Seguridad de los Estados Unidos (NSA por sus siglas en inglés) a los periodistas Glenn Greenwald y Laura Poitras. Desde entonces se han publicado decenas de reportajes periodísticos a nivel mundial que revelan programas de vigilancia masiva de alcance global.
Las filtraciones muestran que esta agencia tiene la capacidad de recolectar las comunicaciones de Internet. Cables de fibra óptica, comunicaciones satelitales y telefonía celular son algunas de los medios sobre los que la agencia recolecta información. Las grandes empresas de Internet entregan los datos sus usuarios a esta agencia. Si esto no es suficiente se recurre a los ataques informáticos para buscar la información restante.
Las comunicaciones recolectadas son procesadas en sistemas sofisticados. Los mismos permiten a los analistas de la NSA encontrar información a través de buscadores similares al de Google o DuckDuckGo que operan sobre las comunicaciones privadas de quiénes usan Internet.
Si bien la NSA sostiene que los programas de vigilancia se realizan con el fin de combatir el terrorismo. Se revelaron operaciones que muestran espionaje político y a sectores estratégicos de países alrededor del mundo. En este trabajo se enfatiza el caso de América Latina.

El documento completo se lo puede descargar acá:

• Biblioteca Digital Facultad de Economía UBA (pdf)
• La NSA Según las Revelaciones de Snowden (pdf)
• La NSA Según las Revelaciones de Snowden (odt)
• Archive.org en varios formatos
• Torrent

Un documento más corto lo publiqué en CIBSI y lo pueden descargar acá.