Si bien este tutorial lo he probado con Linux, debería funcionar con Windows y Mac sin mayor problema. Para celular se puede utilizar Nextcloud a través de Orbot para acceder al servicio oculto.

Lo primero que se debe hacer es instalar el cliente de Nextcloud que esta disponible para la descarga para la mayoría de sistemas operativos. En el caso de Linux suele ser suficiente instalar el paquete nextcloud-desktop. Adicionalmente si se usa Gnome recomiendo instalar el paquete nautilus-nextcloud; nemo-nextcloud para Cinnamon; y dolphin-nextcloud para KDE:

Además del cliente Nextcloud es necesario tener instalado Tor. Para esto existen 2 opciones, usar el Navegador Tor (puerto 9150) o instalar el servicio Tor en el sistema operativo (puerto 9050).

La primera opción es simple y funciona en cualquier sistema operativo; tiene el problema de que siempre hay que abrir el navegador sino la carpeta no sincroniza. La segunda opción depende del sistema operativo, en el caso de GNU/Linux basta con instalar el paquete «tor». Entiendo que se puede instalar Tor como servicio en Windows y Mac, queda de tarea para quiénes usen esos sistemas operativos.

Una vez que esté instalado el servicio Tor y el cliente de Nextcloud se debe iniciar el cliente. Lo primero que se debe hacer es configurar el cliente de Nextcloud para que funcione con Tor. Para esto, la primera vez que se lo inicie, se abrirán 2 ventanas. La de adelante pedirá registrar una cuenta en un proveedor o hacer login. Antes de seleccionar hacer login, se debe modificar la configuración seleccionando la ventana de atrás.

En la ventana de atrás existen las secciones General y Red. Asegúrese de seleccionar la sección red y configurar para que use proxy SOCKS5 con servidor localhost y puerto 9050 (9150, en caso de usar Navegador Tor).

Una vez hecho esto se puede continuar con el asistente de configuración. Se selecciona hacer login y en la próxima ventana se debe poner el url http://abcxyz.onion como se ve en la siguiente imagen.

Si bien se esta utilizando http, en lugar de https, la comunicación es cifrada hasta el servidor gracias a que se esta utilizando un servicio cebolla.

Una vez terminada la configuración se puede empezar a sincronizar.

Por último si se instaló un plugin para el explorador de archivos se añadirán los íconos de sincronización y de esta manera saber si se tiene la última versión del archivo. En mi caso utilizo Nautilus (Gnome) y se ve así.

Eso es todo, espero les resulte útil.

A diferencia de servicios gratuitos o pagados como los antes mencionados, con software libre es posible tener una solución similar con infraestructura propia. Es decir, nadie pero los dueños de la infraestructura debería poder acceder a la información que se comparte. De esta manera cualquier persona con conocimientos técnicos podría implementar su propia nube para compartir archivos. En su defecto, alguien sin conocimientos técnicos puede pedir ayuda o contratar a alguien que sepa como hacerlo.

En este tutorial explicaré la forma más fácil de instalar Nextcloud que he probado hasta ahora. Para esto es necesario tener una máquina con Linux, esta podría ser algo como un Raspberry Pi, una computadora vieja o una máquina virtual. No es necesario tener una dirección IP pública ya que se utilizará los servicios cebolla de Tor para acceder a Nextcloud.

Hace unos meses, en colaboración con Autoformación TL y Fundación Acceso grabé un video y escribí un post donde explico detalladamente como configurar nextcloud como servicio cebolla de Tor. En este artículo explicaré una forma mucho más sencilla de configurar esta solución, pero recomiendo a las personas curiosas ver el video y/o leer el artículo.

Manos a la obra

Existen varias formas para instalar Nextcloud, una de las recomendadas en su página web es a través de Snap. Snap es un sistema de gestión de aplicaciones que, entre otras cosas, permite instalar sistemas complejos como Nextcloud de manera simple. Lo primero que haremos es instalar Snap.

sudo apt install snapd

A través de Snap se instalará Nextcloud:

sudo snap install nextcloud

Con eso esta instalado nextcloud, y se podría acceder desde un navegador web de manera local a través de http://127.0.0.1. También se puede desde la dirección ip de la computadora, pero no es recomendable si no se ha configurado correctamente HTTPS. En este artículo no se verá como configurar HTTPS, sin embargo los servicios ocultos de Tor permiten tener una comunicación cifrada.

Es la primera vez que utilizo Snap y no me considero lo suficientemente informado para emitir un criterio sobre su seguridad. No recomiendo este tutorial para temas sensibles. En todo caso es mucho más seguro que utilizar los servicios en la nube donde se sabe que se espía.

Para configurar el servicio oculto se debe instalar Tor:

sudo apt install tor

Luego se debe editar el archivo /etc/tor/torrc y añadir las siguientes líneas:

HiddenServiceDir /var/lib/tor/nextcloud/
HiddenServicePort 80 127.0.0.1:80

Ahora se reinicia Tor para activar la configuración

sudo systemctl restart tor

Hecho esto con el siguiente comando se puede ver la url con la que se puede acceder al servicio oculto.

sudo cat /var/lib/tor/nextcloud/hostname
tdmgcihbshcpq7vjg3bi7r5srs2t3ezbzgsjz36z45ng3wyofbfjauid.onion

Con esa dirección se abre en el navegador Tor y se pide crear el usuario de administración.

Con este usuario se podrá configurar la «nube» propia y a través de la misma compartir archivos y mucho más.

Esta es la solución más simple y cualquier persona con una navegador Tor podrá acceder a los archivos desde cualquier parte del mundo. Un paso adelante sería instalar el cliente de Nextcloud y de esta manera poder sincronizar archivos entre computadoras tan solo copiándolos y pegándoles dentro de una carpeta en el sistema operativo.

Ofrezco escribir un artículo al respecto pronto, pero como se que ofrecer es fácil y cumplir no tanto, esto ya lo expliqué en el blog de Fundación acceso, recomiendo ver la última parte.

Eben Moglen es un abogado y doctor en historia de la universidad de Yale que financió sus estudios desarrollando software. Fue miembro del equipo de defensa de Philip Zimmermann, autor original de PGP¹, cuando fue amenazado legalmente por el gobierno de Estados Unidos por hacer accesible el cifrado fuerte libremente. Ha sido abogado de la Fundación de Software Libre, organización con la que trabajó en el desarrollo de la versión tres de la licencia GPL. Desde 1987 trabaja como profesor en la Universidad de Columbia en Estados Unidos. [18] [19]

Moglen tiene un entendimiento técnico y político sobre el uso de la tecnología y el impacto que esta puede tener en la sociedad. Luego de las primeras revelaciones de Snowden, Moglen dictó una seria de charlas en la Universidad de Columbia. Él sostiene que para tener privacidad en Internet es necesario tener por lo menos 3 cosas: secreto, anonimato y autonomía.[20]

El secreto es la habilidad de ocultar el contenido de los mensajes para que pueda ser leído solo por quiénes intervienen en la comunicación. El anonimato por su parte implica ocultar quién publica contenido y quién lo lee, incluso si el contenido del mensaje es público. Dice Moglen que el anonimato de quién publica algo es tan importante como el de quién lo lee. Autonomía quiere decir que se puede tomar decisiones propias independientemente de las fuerzas que quieran vulnerar el secreto o el anonimato.

Secreto de las comunicaciones, anonimato y autonomía son los pilares que se buscarán al momento de elegir una herramienta de seguridad en este trabajo.

En la sección 2.1 se explicará que es la privacidad y por que es importante protegerla. En la sección 2.2 se hablará sobre software libre y las características que lo hacen importante para las comunicaciones seguras. En la sección 2.3 se describe el uso de la criptografía para proteger las comunicaciones. Por último, en la sección 2.4 se analiza la centralización de las comunicaciones en Internet y se explica por qué es importante tener autonomía.

2.1 Privacidad

Katitza Rodríguez, miembro de la EFF, en un trabajo realizado en conjunto con la Fundación Acceso de Centro América explica que la privacidad puede ser entendida de dos formas. La primera desde el punto de vista del derecho a ser dejado solo, es decir nadie debe entrometerse en la vida privada de las personas. La segunda que considera que la privacidad es el derecho de las personas a escoger de que manera y en qué circunstancias exponer su comportamiento a los demás. [21]

En el mundo físico es fácil entender este concepto. Si Alice y Bob se encuentran en un parque para conversar y no lo comentan con nadie, es muy probable que nadie sepa que esa reunión existió y menos aún sobre que conversaron.

Desde el punto de vista de ser dejados solos, la privacidad de Alice y Bob es respetada salvo que se estuviera espiando, fotografiando o grabando la conversación. Por otro lado, Alice y Bob tienen la capacidad de decidir con quién compartir el hecho de que la reunión sucedió y el contenido de la misma.

En el mundo digital sucede lo contrario, toda comunicación deja registro salvo que se haga algo al respecto. El proveedor de Internet o alguien que trabaje en el mismo puede vigilar el tráfico de sus usuarios e incluso guardar registros del mismo. El proveedor de nombres de dominio (DNS por sus siglas en inglés) puede saber todos los dominios al que quiere acceder una determinada dirección IP. Los portales web o servidores de servicios en línea pueden conocer la actividad de sus usuarios. En muchos casos los Estados pueden vigilar el tráfico de los ISPs o proveedores en línea de manera legal o ilegal como se vio en el capítulo anterior.

La privacidad es un derecho humano fundamental consagrado en la Declaración Universal de Derechos Humanos donde en su artículo 12 dice que:

Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques.[22]

El derecho a la privacidad o intimidad se encuentra protegida en la constitución y leyes de varios países. En el caso de Ecuador la no interferencia de las comunicaciones privadas esta protegida en el artículo 66 literal 21 de la constitución:[23]

El derecho a la inviolabilidad y al secreto de la correspondencia física y virtual; esta no podrá ser retenida, abierta ni examinada, excepto en los casos previstos en la ley, previa intervención judicial y con la obligación de guardar el secreto de los asuntos ajenos al hecho que motive su examen. Este derecho protege cualquier otro tipo o forma de comunicación

Países como Nicaragua, Honduras, El Salvador y Guatemala también lo hacen. A pesar de que en estos países las constituciones protegen la privacidad de los ciudadanos, existen leyes que la pueden contradecir. [21] [24]

Existen marcos legales que protegen derechos como la privacidad incluso a nivel constitucional; sin embargo no existe garantía de que siempre se cumpla la ley. De manera similar a como se ponen cerraduras en las puertas de las casas, se debe buscar soluciones tecnológicas para proteger las comunicaciones en línea y no depender solamente de la buena voluntad del Estado.

En un mundo donde toda actividad deja huella, buscar comunicaciones secretas no es algo subversivo, es ejercer el derecho a la privacidad.

2.2 Software Libre

Software libre son los programas informáticos donde “los usuarios tienen la libertad de ejecutar, copiar, distribuir, estudiar, modificar y mejorar el software.”[25] Software no libre o privativo es el que no cumple con estas libertades. Por ejemplo, con el software no libre se puede limitar estudiar como funciona un sistema o prohibir que se lo comparta.

Los sistemas operativos más utilizados en computadoras personales o dispositivos móviles no son libres. El código fuente de Microsoft es cerrado y no es accesible al público. Los sistemas operativos de Apple, si bien tienen código proveniente de sistemas libres como FreeBSD[26] son sistemas cerrados. Incluso el sistema operativo Android, que en su mayoría es software libre, [27] suele tener dependencias de herramientas cerradas de Google como Google Maps, Google Play u otras².

Las tres empresas desarrolladoras de estos sistemas operativos han participado en el programa de vigilancia PRISM de la NSA. La situación es más compleja porque a más de tener el control sobre los sistemas operativos de las computadoras personales y dispositivos móviles proveen servicios en la nube; al igual que Facebook. En este caso a más de ceder el control del software a una empresa se cede el control de los datos.

Si se toma como ejemplo al servicio de correo electrónico Gmail, de Google, es conocido que hasta junio del año 2017 los anuncios publicitarios de Gmail eran asociados al contenido de los correos. Es decir que Google estaba analizando los correos de todos sus usuarios para proveer anuncios personalizados. El 23 de junio de 2017 Google anunció que ya no mostraría anuncios personalizados junto a los correos de Gmail.[28] Qué no se muestre anuncios junto a los correos no es garantía de que no se este procesando el contenido de los mismos.

En agosto de 2018 la agencia de noticias de Estados Unidos Associated Press realizó una investigación donde demostró que las aplicaciones de Google para IOS y Android almacenan la localización de sus usuarios incluso cuando los mismos desactivan esta funcionalidad.[29] A finales del mismo mes Bloomberg publicó un artículo donde denunció un acuerdo secreto entre Google y Mastercard para verificar si las compras realizadas con tarjetas de crédito fuera de línea se realizaban gracias a un anuncio de Google.[30] ¿Se puede confiar en Google para defender la privacidad? ¿Se lo puede hacer con las otras empresas de PRISM?

Richard Stallman, fundador del movimiento de software libre, explica que el software privativo como el software como servicio tienen el problema de ceder poder a otro. En el caso del software privativo se cede el control del software a el desarrollador o la empresa que hace el sistema. En el caso del software como servicio, además se cede el control sobre los datos al proveedor del servicio.[31]

Explica Stallman que “[a] diferencia del software privativo, el servicio sustitutivo del software no requiere código oculto para obtener los datos de los usuarios. Son los usuarios quienes tienen que enviar sus propios datos al servidor para poder usarlo. Esto tiene el mismo efecto que el spyware: el administrador del servidor obtiene los datos, sin ningún tipo de esfuerzo, en virtud de la naturaleza misma del servicio sustitutivo del software.” [32]

Con software libre se puede estudiar como funciona el sistema, mejorarlo y contribuir a su desarrollo. Un proyecto exitoso de software libre es aquel que forma comunidad. En el año 2017, el núcleo Linux, se desarrolló por 15600 personas de más de 1400 empresas alrededor del mundo.[33] El hecho de tener una comunidad grande de desarrolladores no es garantía de que el sistema sea seguro, pero sí de que no se depende de una sola empresa para su seguridad.

No todo proyecto de software libre es exitoso ni tiene una comunidad tan grande. En general antes de adoptar un sistema libre es importante informarse sobre el tamaño y la calidad de su comunidad.

Que el código fuente sea público permite que el mismo pueda ser auditado por gente de todo el mundo. Esto por si solo no garantiza de que el sistema sea auditado pero a diferencia del software privativo tiene un modelo de desarrollo transparente. Si la comunidad es grande es probable que alguien vigile el código fuente, pero tampoco es garantía que esto suceda. Por esto es importante que desde la academia, gobierno y sociedad civil se audite a los sistemas libres que brinden seguridad en las comunicaciones.

Otro factor a destacar sobre el software libre es que no existe una barrera económica para acceder al mismo. La libertad de poder distribuir el software permite que ricos y pobres puedan tener acceso a las mismas herramientas para comunicarse de forma segura.

El software libre por si solo no es garantía de que las comunicaciones sean seguras. Para que esto suceda es indispensable el uso de la criptografía en las comunicaciones.

2.3 Criptografía

Luego de las revelaciones de la NSA se le preguntó a Snowden si la criptografía funciona, a lo que respondió: “La criptografía funciona. Los sistemas criptográficos correctamente implementados son una de las pocas cosas en las que podemos confiar. Lamentablemente la seguridad de las terminales es tan débil que la NSA puede encontrar sus caminos”³[34]

A más de las declaraciones de Snowden, cabe destacar que documentos revelados muestran que en 2012 un correo cifrado con PGP⁴[35] y una conversación de chat cifrada con OTR⁵[36] no pudieron ser leídas por la NSA.

La criptografía puede tener varios tipos de usos para mantener el secreto de la información. Se la puede utilizar para cifrar las comunicaciones en tránsito; se puede cifrar la comunicación extremo a extremo; o se la puede utilizar para cifrar la información de datos almacenados.[37]

El cifrado de datos almacenados sirve para proteger la información que se encuentra en un dispositivo. Casos típicos de uso son el cifrado de discos duros, otros dispositivos de almacenamiento o archivos. De esta manera si alguien roba un equipo no podrá acceder a la información del mismo. En este trabajo no se abordará este tipo de cifrado pero se recomienda tenerlo en cuenta; particularmente por si un dispositivo llega a ser robado.

El cifrado de la comunicación en tránsito se utiliza para proteger la comunicación entre una aplicación cliente y un servidor. Para acceder a la banca en línea, por ejemplo, se utiliza el protocolo HTTPS. El mismo sirve para proteger la comunicación entre el navegador web (cliente) y el sistema del banco.

El cifrado extremo a extremo da un paso más allá. Si Alice envía un mensaje a Bob a través de un servidor administrado por Eva, este mensaje podría ser visto por la administradora. Para que esto no suceda, el mensaje que Alice envía a Bob sale cifrado de la máquina de Alice y se descifra en la de Bob. Nadie en el camino podrá leer este mensaje, incluso quien administra el servidor.

*****

Adicionalmente al secreto de las comunicaciones, existen otras características de la criptografía que son deseables en las comunicaciones secretas como: autenticación, repudio y secreto perfecto hacia adelante⁶.

La autenticación consiste en que si Alice envía un mensaje a Bob, ella debe tener certeza que se está comunicando con Bob y no con alguien más. La autenticación también permite evitar el riesgo del ataque de hombre en el medio.

A diferencia del mundo corporativo en las conversaciones secretas se desea tener repudio. Es decir que si alguien tiene acceso a un mensaje escrito por Alice, este mensaje no será una evidencia criptográfica de que Alice fue quien lo envió.

El secreto perfecto hacia adelante es cuando cada mensaje está cifrado con una clave diferente por lo que no será posible descifrar todos los mensajes recuperando la llave privada de Alice. Para lograr esta propiedad, en lugar de cifrar los mensajes con la llave pública se negocia una llave simétrica efímera con algoritmos como Diffie Hellman. [38]

2.3.1 Criptografía de Ayer, Hoy y Mañana

Snowden sostiene que la criptografía es algo en lo que se puede confiar, no existe garantía de que esto vaya a ser así siempre. En los años 90s existió un conflicto entre el gobierno de los Estados Unidos y la comunidad activista conocida como Cypherpunks respecto al uso de la criptografía. Hasta entonces el gobierno de Estados Unidos, representado por la NSA, consideraba que la criptografía era un arma estratégica de guerra y su uso debía ser limitado. Los Cypherpunks consideraban que la criptografía era una herramienta que permitía a las personas comunicarse con libertad y preservar la privacidad.[39]

Un caso emblemático fue el del sistema de cifrado de correo conocido como PGP desarrollado por Phil Zimmermann en el año 1991. Zimmermann creó este sistema porque hasta ese entonces la criptografía había sido utilizada solamente por gobiernos, diplomáticos y militares; él creía que “… una emergente economía global dependiente cada vez más de las comunicaciones digitales, las personas comunes y las empresas necesitan criptografía para proteger sus comunicaciones diarias.”⁷ [40]

El software y el código fuente del sistema fueron publicados en Internet sin costo en junio de 1991 y se distribuyó rápidamente por varios países; esto trajo problemas a Zimmermann. Por un lado violaba el uso de patente del algoritmo RSA⁸ que pertenecía a la empresa RSA Data Security; por otro lado molestó al gobierno ya que violaba las leyes de exportación al considerar la criptografía como un arma estratégica. Zimmermann fue investigado por democratizar el acceso a la criptografía; a pesar de esto nunca fue culpado.[39] [41]

A finales de los años 1970s el gobierno federal de Estados Unidos publicó el estándar DES que fue ampliamente utilizado. Durante los años 1990s se cuestionó la seguridad de este estándar, algo que el gobierno negaba. La EFF, con un presupuesto de $250 000 desarrolló hardware y software capaces de romper el algoritmo DES en 56 horas. Hizo esto para demostrar que el algoritmo no era seguro y no se podía confiar en el mismo. [42]

Los documentos de Snowden muestran que la NSA hace lo posible para que no existan comunicaciones que ellos no puedan espiar. Una investigación realizada por la revista alemana Der Spiegel, basada en documentos de la NSA, puso en evidencia que la agencia tiene proyectos dedicados a vulnerar las seguridades en Internet. En esa investigación se destacan ataques a tecnologías de VPN como PPTP que la NSA puede vulnerar fácilmente; también se muestran intentos de la agencia de influir en los organismos de estándares como IETF⁹ o NIST¹⁰[43]

La agencia Routers denunció que la NSA habría dado diez millones de dólares a la firma RSA para que utilizara el algoritmo de Curvas Elítpicas Dual como generador de números aleatorios en su producto Bsafe. Este algoritmo ha demostrado ser débil por lo que el experto Bruce Schneier sostiene que se trata de una puerta trasera.[44]

La investigación de Der Spiegel también dice que herramientas como Tor, PGP u OTR no han podido ser vulneradas por lo NSA. Eso se sabe al menos hasta dichas revelaciones que sucedieron en el año 2013. ¿Será posible que ahora lo puedan hacer? ¿Es posible que lo pueden hacer en el futuro?

El problema se agrava con la computación cuántica que probablemente haga vulnerable las técnicas de cifrado que se utilizan hoy en día. Una investigación realizada por The Washington Post y sustentada por los documentos de Snowden denuncia que la NSA invierte presupuesto para computación cuántica con el fin de vulnerar la seguridad de los sistemas que se utilizan en la actualidad.[45]

La NSA y probablemente agencias de inteligencia de otras potencias intenten vulnerar las herramientas de criptografía que se utilizan en estos días. Por esto es importante que en América Latina se generen capacidades técnicas para entender y proponer criptografía post cuántica. Es decir el tipo de cifrado que podría resistir a la computación cuántica.

En ese sentido es importante destacar el trabajo que realiza la comunidad académica de Criptografía Post Cuántica. Pedro Hecht, coordinador académico de la Maestría de Seguridad Informática de la Universidad de Buenos Aires, ha desarrollado algoritmos que podrían resistir a la computación cuántica y que permitirían que en el futuro se pueda tener privacidad en las comunicaciones. ¹¹

Probablemente para América Latina sea difícil tener computación cuántica; sin embargo la criptografía post cuántica permite igualar la asimetría de poder entre quién puede tener computadoras cuánticas y quiénes necesitan proteger su vida privada.

2.4 Autonomía en las Comunicaciones

Julian Assange dice que: “Hay muchos aspectos de Internet que no están suficientemente descentralizados, como su infraestructura física, por ejemplo. Eso hace que sea más vulnerable a la vigilancia masiva…”. Sobre la región Assange dice que “[e]n América Latina, casi todas las conexiones a la Internet mundial pasan a través de cables de fibra óptica que atraviesan Estados Unidos”[46]

Servicios de correo como Gmail, Hotmail o Yahoo; servicios de chat como Whatsapp, Facebook Messenger; servicios de voz sobre IP como Skype o Google Hangouts; tienen todos en común que son provistos por empresas participantes del programa PRISM.

En el caso de chat o de voz, estos son servicios centralizados y no pueden federarse. Si Alice quiere hablar con Bob a través de Whatsapp, los dos deben tener una cuenta en Whatsapp. No es posible que Alice hable con Bob desde su cuenta de Telegram. Lo mismo sucede con servicios de voz sobre IP como Skype.

En el caso de correo electrónico es diferente porque este es un sistema federado. Alice puede utilizar la cuenta del servidor de su organización para comunicarse con la cuenta de correo de Bob en Gmail. Si bien el correo electrónico es federado, también existe concentración de cuentas en servicios como Gmail, Outlook y Yahoo.

Para tener comunicaciones seguras es importante tener autonomía El software libre da la posibilidad de que cualquier organización con las suficientes capacidades técnicas pueda implementar sus propios servidores de comunicaciones para que un tercero no las espíe. Los servicios ocultos de redes de anonimato como I2P y Tor permiten tener infraestructura propia de comunicaciones sin la necesidad de dominios, direcciones IP públicas y de manera anónima.

1Software que permite cifrar correos electrónicos sobre el que se hablará en el capítulo 4.

2El sistema operativo LineageOS se basa en Android y por defecto no instala las aplicaciones cerradas de Google. https://lineageos.org

3Traducción propia del inglés “Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it. ”

4PGP quiere decir “Pretty Good Privacy”, la traducción al español sería “Muy Buena Privacidad” En el capítulo 4 se verán los aspectos técnicos de este protocolo.

5Sistema de cifrado de chat que se explicará en el capítulo 5.

6Traducción tomada de Wikipedia, en inglés se conoce como “perfect forward secrecy”

7Traducción propia del inglés: “… an emerging global economy depending more and more on digital communication, ordinary people and companies need cryptography to protect their everyday communications.”

8Algoritmo de cifrado asimétrico.

9Grupo de Trabajo de Ingeniería de Internet – IETF por sus siglas en inglés.

10Instituto Nacional de Estándares y Tecnología – NIST por sus siglas en inglés.

11Los trabajos de Pedro Hecht están disponibles acá: https://arxiv.org/a/hecht_p_1.html

Referencias

[18] “Our People – Moglen & Associates”. [En línea]. Disponible en: /people/. [Consultado: 22-ene-2018].

[19] I. Marson, “Free software’s white knight”, ZDNet, 20-mar-2006. [En línea]. Disponible en: http://www.zdnet.com/article/free-softwares-white-knight-5000147301/. [Consultado: 22-ene-2018].

[20] E. Moglen, “Snowden and the Future – Part II: Oh, Freedom”, 30-oct-2013. [En línea]. Disponible en: http://www.snowdenandthefuture.info/PartII.html. [Consultado: 26-ene-2018].

[21] K. Rodríguez, M. Hernández Anzora, H. Sierra-Castro, J. Jiménez Barillas, Tábora Gonzales, Edy, y Zepeda Rivera, Mireya, ¿Privacidad digital para defensores y defensoras de derechos humanos?, Primera. San José, Costa Rica, 2015.

[22] “La Declaración Universal de Derechos Humanos”. [En línea]. Disponible en: https://www.un.org/es/universal-declaration-human-rights/. [Consultado: 24-jul-2017].

[23] “Constitución del Ecuador”. [En línea]. Disponible en: http://www.asambleanacional.gob.ec/documentos/constitucion_de_bolsillo.pdf.

[24] Fratti Sara, “Informe Anual 2017 – Observatorio Centroamericano de Seguridad Digital”. .

[25] R. Stallman, “¿A quién sirve realmente ese servidor?” [En línea]. Disponible en: https://www.gnu.org/philosophy/who-does-that-server-really-serve.html. [Consultado: 21-feb-2018].

[26] “BSD Overview”. [En línea]. Disponible en: https://developer.apple.com/library/archive/documentation/Darwin/Conceptual/KernelProgramming/BSD/BSD.html. [Consultado: 05-sep-2018].

[27] “The Android Source Code”, Android Open Source Project. [En línea]. Disponible en: https://source.android.com/setup/. [Consultado: 05-sep-2018].

[28] D. Greene, “As G Suite gains traction in the enterprise, G Suite’s Gmail and consumer Gmail to more closely align”, Google, 23-jun-2017. [En línea]. Disponible en: https://www.blog.google/products/gmail/g-suite-gains-traction-in-the-enterprise-g-suites-gmail-and-consumer-gmail-to-more-closely-align/. [Consultado: 05-sep-2018].

[29] Bergen, Mark y Surane, Jennifer, “AP Exclusive: Google tracks your movements, like it or not”, AP News. [En línea]. Disponible en: https://apnews.com/828aefab64d4411bac257a07c1af0ecb. [Consultado: 05-sep-2018].

[30] “Google and Mastercard Cut a Secret Ad Deal to Track Retail Sales”, Bloomberg.com, 30-ago-2018.

[31] Stallman, Richard, “El software libre es ahora aún más importante”. [En línea]. Disponible en: https://www.gnu.org/philosophy/free-software-even-more-important.es.html. [Consultado: 05-sep-2018].

[32] “¿A quién sirve realmente ese servidor?” [En línea]. Disponible en: https://www.gnu.org/philosophy/free-software-even-more-important.es.html. [Consultado: 07-feb-2018].

[33] A. Ankerholz, “2017 Linux Kernel Report Highlights Developers’ Roles and Accelerating Pace of Change”, The Linux Foundation, 25-oct-2017. .

[34] “Edward Snowden: NSA whistleblower answers reader questions”, The Guardian, 17-jun-2013.

[35] “Intercept with PGP encrypted message”. [En línea]. Disponible en: https://edwardsnowden.com/2015/01/06/intercept-with-pgp-encrypted-message/. [Consultado: 22-sep-2017].

[36] “Intercept with OTR encrypted chat”. [En línea]. Disponible en: https://edwardsnowden.com/2015/01/07/intercept-with-otr-encrypted-chat/. [Consultado: 22-sep-2017].

[37] “Different Types of Encryption”. [En línea]. Disponible en: https://sec.eff.org/articles/different-encryption. [Consultado: 22-nov-2018].

[38] P. Higgins, “Pushing for Perfect Forward Secrecy, an Important Web Privacy Protection”, Electronic Frontier Foundation, 28-ago-2013. [En línea]. Disponible en: https://www.eff.org/deeplinks/2013/08/pushing-perfect-forward-secrecy-important-web-privacy-protection. [Consultado: 16-oct-2018].

[39] S. Levy, “Crypto Rebels”, WIRED, 01-feb-1993. [En línea]. Disponible en: https://www.wired.com/1993/02/crypto-rebels/. [Consultado: 29-ene-2018].

[40] P. Zimmermann, “Phil Zimmermann on PGP”, nov-1994. [En línea]. Disponible en: https://philzimmermann.com/EN/essays/index.html. [Consultado: 29-ene-2018].

[41] T. Rid, “The cypherpunk revolution”, Atavist, 20-jul-2016. [En línea]. Disponible en: http://projects.csmonitor.com/cypherpunk. [Consultado: 29-ene-2018].

[42] “The Electronic Frontier Foundation”, 07-may-2017. [En línea]. Disponible en: https://web.archive.org/web/20170507231657/https://w2.eff.org/Privacy/Crypto/Crypto_misc/DESCracker/HTML/19980716_eff_des_faq.html. [Consultado: 20-nov-2018].

[43] Appelbaum, Jacob et al., “Prying Eyes: Inside the NSA’s War on Internet Security”, SPIEGEL ONLINE, 28-dic-2014. [En línea]. Disponible en: http://www.spiegel.de/international/germany/inside-the-nsa-s-war-on-internet-security-a-1010361.html. [Consultado: 03-ene-2017].

[44] “Exclusive: Secret contract tied NSA and security industry pioneer”, Reuters, 20-dic-2013.

[45] https://www.facebook.com/hokietiger88, “NSA seeks to build quantum computer that could crack most types of encryption”, Washington Post. [En línea]. Disponible en: https://www.washingtonpost.com/world/national-security/nsa-seeks-to-build-quantum-computer-that-could-crack-most-types-of-encryption/2014/01/02/8fff297e-7195-11e3-8def-a33011492df2_story.html. [Consultado: 20-nov-2018].

[46] J. Assange, “Flujos de información y poder”, América Latina en movimiento, 10-abr-2014. [En línea]. Disponible en: http://www.alainet.org/es/articulo/84739. [Consultado: 26-ene-2017].

Sabemos por Snowden que las comunicaciones en Internet están siendo vigiladas a nivel mundial por la NSA. Los gobiernos nacionales también tienen sus capacidades de espiar. En este trabajo se analiza la forma en la que dos personas se pueden comunicar entre sí, sin dejar huella de que esa comunicación existió.

• Comunicaciones Secretas en Internet (PDF)
• Comunicaciones Secretas en Internet (ODT)

Actualización 13/feb/2019: Grabé un video para crear la cuenta con Protonmail para la comunidad AutoformacionTL y el mismo esta disponible en el blog de Fundación Acceso y en Archive.org.

Actualización 25/12/2017: Removí Yandex, añadí Disroot y Protonmail

Una buena forma de mejorar la privacidad en internet es ocultar metadatos. Los metedatos son información que describe la información. En el caso del correo electrónico algunos metadatos importantes son el nombre y apellido, destinatario, remitente, hora en la que se envió un correo, ubicación geográfica, etcétera. En este artículo se explica como crear una cuenta de  correo electrónico que sea muy difícil de asociar con la identidad real.

Esta es una solución parcial ya que no oculta el contenido de los mensajes.  Para ocultar el contenido de los mensajes se los debe cifrar con PGP. Sin embargo un correo cifrado, sin ocultar metadatos revela mucha información valiosa (los metadatos). Lo ideal es combinar el correo cifrado con una cuenta de correo anónimo. (Algo que espero escribir en el futuro, y lo enlazaré acá).

Lo primero que se debe hacer es instalar el navegador de correo Tor que esta disponible para Linux, Windows y Mac. Una vez abierto el navegar se debe crear una cuenta de correo electrónico. Herramientas como Gmail, Hotmail o Yahoo no son una opción ya que requieren un número de teléfono para crear la cuenta. De poco sirve usar Tor si estamos entregando el número de teléfono. Además las empresas antes mencionadas son parte de PRISM.

A continuación voy a listar algunas opciones que tienen como característica que se pueden usar con Tor, funcionan con HTTPS y que se pueden conectar desde un cliente remoto como Thunderbird para poder cifrar correos electrónicos en el futuro. No son las únicas y si alguien recomienda mejores favor publicar en los comentarios. Si alguien considera que algunos de listados no se debería utilizar, favor avisar.

• Disroot.org: Es una plataforma completa pensada para activistas. Permite crear una cuenta anónima que se puede usar para correo, chat XMPP y otros servicios. El único problema que se tiene es que hay que resolver captchas de Google para crear la cuenta. De ahí en más funciona muy bien.
• Cock.li: Es un servicio que permite crear cuentas de correo electrónico en varios dominios y que además funciona como cuenta de chat a través de la red XMPP. Además tiene la opción de ingresar a través de servicios ocultos de Tor.
• Vfmail: Es simple y permite elegir entre varios dominios. En su cuenta gratuita no tiene mucho espacio de almacenamiento, lo cuál obliga a borrar los correos del servidor. Una buena costumbre por si la cuenta es hackeada en el futuro. (A veces se demoran en llegar y salir los correos)
• Protonmail: Protonmail permite crear una cuenta de correo anónimo, pero se debe dar otra cuenta de correo para que funcione. Si se quiere que la cuenta sea anónima se puede usar una cuenta creada en servicios como Vfmail o Cock.li para el registro. Originalmente no recomiendo Protonmail porque no es compatible con protocolos como IMAP o POP3 y PGP. Sin embargo tiene estrategias de cifrado que en teoría no permite a la gente de Protonmail leer los correos y además permite cifrar con una llave simétrica a gente que no usa Protonmail.
  Esta bueno si se quiere empezar a comunicarse de una forma relativamente segura y rápida. No lo veo como una solución a largo plazo. Como dato interesante es el correo que usa Elliot en la serie Mr. Robot.

Es importante tener las siguientes consideraciones.

• Utilizar un gestor de contraseñas como KeePassX para usar contraseñas de buena calidad.
• Tener cuidado con el phishing. El doble factor de autenticación no es tan recomendable porque normalmente se lo hace a través de un número de celular.
• Crear la cuenta de correo que no sea fácil de asociar con la identidad real. Hay que ser creativos o usar un generador de contraseñas para el nombre de usuario ;).
• Utilizar cuentas de correo distintas para distintas actividades. Un activista debería utilizar esa cuenta solo para el activismo y no para comunicarse con la familia o compañeros de trabajo.
• Eliminar los correos del servidor. Si alguna vez en el futuro la cuenta llega a ser comprometida no es buena idea que todos los correos estén en el servidor.

Estas son algunas recomendaciones y desde ningún punto de vista es una receta infalible. Si alguien tiene recomendaciones para mejorar u otros servicios amigables con Tor, favor compartirlos en los comentarios.

Es decir se puede esconder el contenido de los mensajes pero no se puede ocultar quién habla con quién. Peor aún si se lo usa en conjunto con sistemas como Google que ya sabe bastante de nosotros y tiene muy claro cuál es nuestra red social. Sistemas como Signal, Telegram o WhatsApp también sufren de este problema. El dueño del servidor puede saber quién se comunica con quién.

Ricochet es una alternativa interesante que funciona en sistemas Linux, Windows y Mac que permite ocultar los metadatos porque no requiere un servidor intermedio. Para su funcionamiento Ricochet crea de forma automática un servicio oculto de Tor a través del cuál nos comunicaremos. Otros usuarios tendrán su propio servicio oculto. De esta forma la comunicación siempre  viaja cifrada entre los 2 extremos preservando así el anonimato y la privacidad. Si el proveedor de internet esta interceptando la comunicación solamente sabrá que estoy usando Tor. No sabrá que estoy usando Ricochet.

Para que 2 personas se comuniquen tendrán que compartir su identificador de Ricochet. Por ejemplo, en mi caso tengo: ricochet:shjeau2q3qu2lnqj. Los 2 contactos comparten su identificador y listo pueden chatear como lo harían con cualquier otro programa.

Limitaciones

Existen algunas limitaciones con Ricochet:

• No soporta chats grupales.
• No funciona en celulares. Aunque si se requiere una comunicación realmente segura, lo que menos se debería usar es un celular.
• No se puede enviar mensajes fuera de línea. Los 2 contactos deben estar siempre en línea ya que no existe un servidor en el medio.
• A diferencia de aplicaciones como WhatsApp, Telegram y Signal; no vas a tener a todos los contactos de tu teléfono chateando al instante. Probablemente la característica que más gusta de estas aplicaciones es la que más arruina la privacidad de sus usuarios.

Si quieren probar Ricochet me pueden contactar por acá: ricochet:shjeau2q3qu2lnqj.

No es suficiente aprender a cifrar las comunicaciones ya que si las personas con las que nos comunicamos no lo saben hacer sirve de poco. Por esto es importante una vez que se aprende, replicar el conocimiento y cuando sea posible aprender en grupo.

Es así que hace unos meses con los amigos de GCOOP decidimos organizar un curso para enseñar a la gente a proteger sus comunicaciones. No importa si es la NSA, el gobierno local o algún delincuente existen 3 ingredientes indispensables para tener comunicaciones seguras: software libre, criptografía y descentralización de las comunicaciones.

Para apoyo de clases desarrolle 7 presentaciones que me sirvieron de apoyo para el dictado del curso. Considerando la importancia de replicar el conocimiento comparto el trabajo bajo licencia creative commons compartir igual.  Si bien las diapositivas por si solas no sirven para aprender a proteger las comunicaciones, si sirven para que alguien que ya sabe cifrar pueda compartir ese conocimiento con otros.

En el curso se expliqué la problemática de la vigilancia en internet y que hacer para proteger el anonimato y la privacidad. Se enseño a usar Tor, un gestor de contraseñas. Hecho esto se aprendió a crear cuentas anónimas de chat y correo electrónico, así como cifrar las comunicaciones fin a fin. Si bien propongo el uso de algunas herramientas, estas no son las únicas, sino son con las que estoy familiarizado.

Neto, uno de los alumnos que participaron en este curso empezó a escribir una serie de reseñas sobre lo aprendido en el curso.

Descripción y presentaciones

A continuación pueden descargar todas las presentaciones sobre privacidad y anonimato.

1) Internet: Vigilancia masiva, privacidad y anonimato: En este capítulo se explicó la problemática actual de internet . Se hace referencia a los documentos de Snowden, los Spyfiles de Wikileaks y el caso de Hacking Team. Es una versión corta de la charla que suelo dar en mis conferencias sobre vigilancia masiva en Internet.

• 01 Internet: Vigilancia masiva, privacidad y anonimato (ODP)
• 01 Internet: Vigilancia masiva, privacidad y anonimato (PDF)

2) Anonimato con Tor: Se abordó la problemática sobre anonimato en Internet y las herramientas que se pueden utilizar para proteger el anonimato en línea. Si bien se utilizó Tor para esto, también se menciona a herramientas como i2p. Al final de la clase se realiza un ejercicio de crear una cuenta de correo electrónico anónima, misma que se utilizo en el resto de las clases.

• 02 Anonimato con Tor (ODP)
• 02 Anonimato con Tor (PDF)

3) Gestión de contraseñas: Tener una contraseña de muchos caracteres, difícil de adivinar y diferente para cada cuenta que se utilice en Internet es una de las recomendaciones que muchas personas dan y que pocas cumplen. Un gestor de contraseñas permite administrar contraseñas seguras y diferentes para cada cuenta que se maneje en línea.

• 03 Gestión de contraseñas (ODP)
• 03 Gestión de contraseñas (PDF)

4) Chat Seguro: El chat es una de las herramientas más utilizada para comunicarse por Internet. En este capítulo se aprendió a crear una cuenta de chat XMPP anónima a través de Tor. La comunicación se la protege con cifrado fin a fin a través de OTR. También se mencionó sobre el uso de herramientas como Signal o Telegram y la problemática de los servicios centralizados.

• 04 Chat seguro (ODP)
• 04 Chat seguro (PDF)

5) Voz/IP y Video conferencia: Si bien existen varias herramientas de voz/ip, en general no funcionan bien a través de Tor por lo que no es tan fácil conseguir anonimato. Se hicieron pruebas con Tox y sus distintos clientes porque permite tener una red de voz/ip p2p que funciona cifrada fin a fin siempre.

• 05 Voz-IP (ODP)
• 05 Voz-IP (PDF)

6) Correo Electrónico Encriptado: El correo electrónico es otra de las herramientas de comunicación más utilizada. En este capítulo se aprendió a ocultar el contenido de los mensajes a través de PGP y a ocultar los metadatos a través de Tor.

• 06 Correo Electrónico (ODP)
• 06 Correo Electrónico (PDF)

7) Tails: Todas las herramientas vistas en el curso, salvo las de voz/IP, vienen listas para usar en la distribución Tails. Tails, es una distribución de GNU/Linux que funciona desde una memoria flash y que oculta el tráfico de internet a través de Tor. Es lo que utilizó Glen Greenwald para comunicarse con Snowden.

• 07 Tails (ODP)
• 07 Tails (PDF)

• Subgraph OS – ODT
• Subgraph OS – PDF

El conocimiento debe ser accesible para la mayor cantidad de persona, por lo que comparto este documento con licencia Creative Commons Compartir igual por si alguien quiere mejorarlo.