Es decir se puede esconder el contenido de los mensajes pero no se puede ocultar quién habla con quién. Peor aún si se lo usa en conjunto con sistemas como Google que ya sabe bastante de nosotros y tiene muy claro cuál es nuestra red social. Sistemas como Signal, Telegram o WhatsApp también sufren de este problema. El dueño del servidor puede saber quién se comunica con quién.

Ricochet es una alternativa interesante que funciona en sistemas Linux, Windows y Mac que permite ocultar los metadatos porque no requiere un servidor intermedio. Para su funcionamiento Ricochet crea de forma automática un servicio oculto de Tor a través del cuál nos comunicaremos. Otros usuarios tendrán su propio servicio oculto. De esta forma la comunicación siempre  viaja cifrada entre los 2 extremos preservando así el anonimato y la privacidad. Si el proveedor de internet esta interceptando la comunicación solamente sabrá que estoy usando Tor. No sabrá que estoy usando Ricochet.

Para que 2 personas se comuniquen tendrán que compartir su identificador de Ricochet. Por ejemplo, en mi caso tengo: ricochet:shjeau2q3qu2lnqj. Los 2 contactos comparten su identificador y listo pueden chatear como lo harían con cualquier otro programa.

Limitaciones

Existen algunas limitaciones con Ricochet:

• No soporta chats grupales.
• No funciona en celulares. Aunque si se requiere una comunicación realmente segura, lo que menos se debería usar es un celular.
• No se puede enviar mensajes fuera de línea. Los 2 contactos deben estar siempre en línea ya que no existe un servidor en el medio.
• A diferencia de aplicaciones como WhatsApp, Telegram y Signal; no vas a tener a todos los contactos de tu teléfono chateando al instante. Probablemente la característica que más gusta de estas aplicaciones es la que más arruina la privacidad de sus usuarios.

Si quieren probar Ricochet me pueden contactar por acá: ricochet:shjeau2q3qu2lnqj.

Pidgin por si solo no nos da mucha seguridad. Existen 2 plugins de pidgin que permite encriptar el chat a nivel de cliente. Esto es muy bueno porque podemos usar cualquier protocolo de chat y la información pasará encriptada por los servidores. Es decir solo el que escribe y el que recibe podrán leer la información. Hace mucho tiempo escribí un tutorial para utilizar Pidgin con el plugin pidgin-encription.  En este artículo explicaré como utilizar el plugin pidgin-otr que es más seguro.

Si bien la primera parte del artículo se habla sobre como instalar en las principales distribuciones GNU/Linux, la segunda parte sobre configuración de OTR y Pidgin es relevante para Windows. Los usuarios de Mac deberían instalar Adium y buscar la opción de OTR.

Los usuarios de celulares deberían buscar aplicaciones libres que soporten OTR.

Instalar Pidgin y OTR

Aquí explicaré como instalar a través de comandos en distribuciones que usan apt y yum. Utilizo la línea de comando para instalar, pero es probable que lo pueda hacer con las herramientas de paquetería gráficas buscando pidgin y pidgin-otr.

Para instalar Pidgin y OTR en distribuciones basades en apt (Ubuntu, Debian, etc…) bastará con:

sudo apt-get install pidgin pidgin-otr

Supongo que para distribuciones basadas en RPM tipo Fedora se debería poner:

yum install pidgin pidgin.otr

Listo con eso esta instalado Pidgin y OTR. Al abrir la aplicación se debe crear una cuenta. Siga el procedimiento para el sistema de mensajería instantánea que usted utilice.

Configurar OTR

Una vez que tenga la cuenta de chat configurada, hay que verificar que el módulo de OTR este activo. Para esto en el menú donde se despliegan los contactos conectados dentro del menú herramientas seleccionar complementos.

Una vez en los complementos buscar Mensajería Fuera-de-Registro (OTR)

Con eso ya esta instalado el complemento de encriptación. Se puede verificar que esta activo si en la parte inferior derecha de la ventana de chat tenemos un mensaje que dice «No privado.»

Esto quiere decir que se esta trabajando con un chat no seguro. Si la persona con la que se esta chateando tiene instalado OTR, entonces se puede iniciar una conversación privada. Para esto se hace click «No Privado» y luego en iniciar conversación privada.

Ahora ya se tiene una conversación encriptada.

Como dice el mensaje, falta autenticar a la persona al otro lado del chat. Estoy quiere decir que la comunicación es encriptada, pero no se tiene seguridad que la persona al otro lado del chat es quién dice ser. Sin embargo la conversación ya es encriptada y se puede comprobar abriendo el gmail (en este ejemplo que se usa gmail).

De lado de Diego en su celular donde tenía abierta la conversación de chat se puede comprobar fácilmente que la conversación esta encriptada.

Ahora solo falta autenticar que la persona que esta al otro lado es quién dice ser. La forma más fácil es utilizar una frase compartida entre los 2. Por ejemplo con Diego quedamos en poner el nombre de la ciudad donde el vive. Es algo simple, pero yo ya sabía que estaba hablando con Diego.

Para esto se hace click sobre el mensaje «No Verificado»y luego en autenticar compañero.

En este caso se utilizará una frase compartida. (Shared Secret)

Se podría compartir la frase por SMS, una llamada telefónica, etc… De alguna manera que uno este seguro que la otra persona es quien dice ser. En este caso compartimos la palabra Loja

Una vez que el compañero ingrese la frase compartida en su equipo la autenticación se realizará con éxito.

Listo ahora en la esquina inferior derecha se tendrá el mensaje de color verde que dice Privado.

Listo ahora se tiene chat encriptado.

Haga click para leer más sobre el libro

Cada día, la tecnología forma una parte más importante de nuestras vidas. Hoy en día, en el caso del Internet, compartimos parte importantes de nuestras vidas y de nuestra forma de pensar. El Internet ha llegado a convertirse en un mundo intelectual donde compartimos el pensamiento de la humanidad a nivel global. Esto es algo que antes no existía.

Sin embargo, el Internet tiene un problema muy grave del cual gran parte de gente no se da cuenta. La privacidad para la mayoría de personas es prácticamente nula. Ya sea que se conecte desde su computadora en la casa o por un teléfono celular, es fácil saber su ubicación y la información que esta enviando y recibiendo. Cualquier persona que alguna vez administró un servidor que comparte acceso a Internet, sabrá lo fácil que es poder leer el tráfico que pasa por ahí con herramientas como Wireshark.

El problema es que, normalmente la información por Internet no esta cifrada. ¿Usted se sentiría cómodo si al enviar una carta por correo tradicional esta fuera en sobre abierto? Esto es lo que sucede con el correo electrónico en la actualidad. Sin embargo, a diferencia de la carta, el correo se lo puede copiar fácilmente en el camino desde el origen al destino sin que ninguno de los involucrados en el envío del mismo se cuente de lo que sucede.

Lo que acabo de explicar con el correo electrónico sucede, para los chats, comunicación de telefonía, tradicional y prácticamente todo sitio web en Internet que no funcione con HTTPS.

Según Wikileaks en la filtración de los Spyfiles, existen países donde simplemente se guardan todas las llamadas telefónicas de todos los ciudadanos del país. Los smartphones se pueden utilizar como herramientas de espionaje. No solamente para grabar conversaciones telefónicas, sino hasta las no telefónicas.

Alguna vez se ha puesto a pensar, que pasaría si en una reunión alguien empieza hacer streaming del audio por el celular o un tablet a otra persona por Internet. Existen varios servicios para esto, pero bastaría con una llamada por Skype. Ahora si no se controla la tecnología con la que funciona el celular, es posible activar el micrófono del celular y transmitir la conversación de forma remota con el simple hecho de que el celular este presente. Es decir, ni siquiera el dueño del celular sabe que esta sucediendo.

George Orwell, en su novela «1984«, presenta una sociedad en la que la gente es vigilada constantemente por el Gran Hermano. Por todo lado existen Telepantallas que a más de mostrar información como una televisión, están vigilando a los ciudadanos. En esta novela publicada en 1949, Orwell dice:

Con el desarrollo de la televisión y el adelanto técnico que hizo posible recibir y transmitir simultáneamente en el mismo aparato, terminó la vida privada. Todos los ciudadanos, o por lo menos todos aquellos ciudadanos que poseían la suficiente importancia para que mereciese la pena vigilarlos, podían ser tenidos durante las veinticuatro horas del día bajo la constante observación de la policía y rodeados sin cesar por la propaganda oficial, mientras que se les cortaba toda comunicación con el mundo exterior.

¿Qué diría George Orwell de los teléfonos celulares? Estos aparatos que pueden reportar donde estamos, pueden grabar nuestras conversaciones telefónicas y no telefónicas, tomar fotos, filmar y más sin que nosotros estemos conscientes de esto. Ahora si vemos los programas CypherPunks (video 1, video 2) del  programa «El Mundo de Mañana» de Julian Assange vamos a ver que el problema es realmente preocupante. Si no creen lo que dicen las personas en el programa o quieren profundizar sobre el mismo, recomiendo leer el libro Cypherpunks en el que se tiene enlaces que prueban las afirmaciones hechas en el mismo. Además de esto en el libro tiene la mucha más información que en los videos antes mencionados. Recomiendo su lectura.

Tenemos un problema grave, pero existe una solución que se llama criptografía. Básicamente es muy fácil encriptar información y extremadamente complicado desencriptarla si no se tiene las llaves para hacerlo. Esto quiere decir que a pesar de que se grabe la información en un servidor, va a ser casi imposible acceder al contenido si no es el dueño de esa información.

La criptografía por si sola no es suficiente. Lo que se necesitan son herramientas de criptografía que sean Software Libre. Caso contrario existe la posibilidad de que las herramientas cerradas de criptografía tengan puertas traseras y podemos ser espiados cuando pensamos que tenemos privacidad.

Las buenas noticias son que ya existe bastantes herramientas de Software Libre que permiten encriptar información. Recomiendo investigar un poco sobre las siguientes herramientas:

• Tor para navegación privada y anónima en Internet
• Pidgin con el plugin OTR para chat encriptado
• Thunderbird con el plugin enigmail para correo electrónico encriptado

Estas son tan solo algunas de las herramientas de Software Libre. No son todas las que existen, ni todas las que necesitamos. Sin embargo ayudarán a mantener privacidad en gran parte de nuestra información. Personalmente cada día busco aprender más sobre estas tecnologías y espero en el corto plazo ir publicando un poco sobre las mismas en este blog. Sobre Tor, pueden ver lo fácil que es instalar.

En realidad a más de la criptografía es importante poder contralar la infraestructura tecnológica en la que trabajamos, para eso deberíamos manejar nuestros propios servidores de correo electrónico, de chat, comunicacions Voz/IP, etc… Pero eso es tema de otro artículo.