Este artículo lo escribí en octubre de 2013, luego de las revelaciones de Snowden. Es un tutorial para evitar que los correos sean leídos por terceros. Nos es perfecto, pero incrementará la seguridad de sus comunicaciones notablemente.

Lo hice para Linux, que es lo que uso, sin embargo una ves instalado se lo puede utilizar desde la parte de configuración de Gmail. Intento no usar Gmail y no recomiendo su uso. Con pocas modificaciones este tutorial podría funcionar para herramientas como Hotmail, Yahoo, o cualquir correo que soporte los protocolos IMAP o POP3.

Para instalar las herramientas en Windows o Mac pueden complementar este tutorial con el que hizo la Free Software Foundation: «Defensa personal del correo electrónico«.

A muchas personas les preocupa el tema del espionaje y no saben como defenderse. En un artículo anterior expliqué como proteger las comunicaciones por chat. En este artículo explicare como proteger los correos electrónicos de un correo ya existente. Para este ejemplo utilizaré una cuenta de Gmail, pero el mismo concepto funcionará para Yahoo, Hotmail y correos propios (lo ideal) que no dependan de estas corporaciones.

Es importante notar que si bien se pueden cifrar los correos de servicios como Gmail, no es lo más conveniente. Ellos siguen teniendo nuestros correos y tal vez en el futuro los puedan descifrar y además tienen nuestra metadata. Es decir con quién me comunico, con que frecuencia, desde donde, etc…. Este tutorial debería servir como un primer paso para tener privacidad. El siguiente paso sería conseguir un servidor de correo propio para una organización, comunidad, amigos, etc….

Instalar Thunderbird/Icedove y Enigmail

Si usan Windows o Mac deberán buscar como instalar los programas Thunderbird, Enigmail y GPG. En el caso de GNU/Linux, GPG ya viene instalado y muchas veces Thunderbird.

En distribuciones como Ubuntu, Linux Mint se pueden instalar los paquetes necesarios de la siguiente manera:

sudo apt-get install thunderbird enigmail thunderbird-l10n-es-ar

En el caso de Debian el paquete se llama icedove en lugar de thunderbird, por temas relacionados con marcas.

sudo apt-get install icedove enigmail icedove-l10n-es-ar

En el caso de otras distribuciones se instalará los paquetes correspondientes.

Configurar Gmail con IMAP en Thunderbird

Una vez configurado instalado Thunderbird con Enigmail, el siguiente paso es configurarlo con nuestra cuenta de correo electrónico. Para este ejemplo utilizará Gmail, que como ya dije antes, no es lo mejor pero es un avance importante si se quiere tener privacidad.

Lo primero que decimos es que no queremos crear una cuenta sino utilizar una existente

Configuramos los datos de la cuenta de Gmail:

Luego de dar click en continuar Thunderbird / Icedove hará las comprobaciones de la cuenta y configurará IMAP:

Listo se ha configurado la cuenta y se empezará a descargar los correos de Gmail.

Llaves Públicas y Privadas

El concepto de criptografía cuando se utiliza PGP es el de llaves públicas y privadas. Se tiene una llave pública que se la entrega a las personas que van a encriptar los correos que voy a recibir. Es más se la puede subir a Internet para que sea más fácil para otros cifrarme los correos. Por otro lado se tiene la llave privada que sirve para descifrar los correos. Esta llave no se debe compartir y es recomendable sacar un respaldo ya que sin esta no se podrán leer los correos.

Las llave privada también sirve para firmar los correos electrónicos y la pública para verificar si la firma de los correos es correcta. Es decir PGP también funciona para tener firma digital.

Crear par de Llaves Públicas y Privadas

Es muy probable que la instalación de Thunderbird / Icedove tenga el problema de que no sean visibles los menús. Para esto configuramos con click derecho en la parte superior para que estos sean visibles.

Una vez que es visible el menú, se selecciona el menú OpenPGP y luego el administrador de claves:

En el administrador de claves seleccionamos Generar -> Nuevo par de claves

Asignamos una contraseña y de manera opcional un comentario para la llave pública. El comentario podría ser mi nombre y algo que me describa. Se define si se le da opción de caducidad al par de llaves. Es recomendable dar un tiempo de vida a nuestras llaves e ir renovando cada cierto tiempo.

En la misma venta seleccionamos la opción de avanzados para seleccionar el tamaño de llaves más grande permitido. En este caso el valor es 4096:

Con esto estamos listos para generar el par de llaves públicas y privadas. Dependiendo de la computadora esto podría tomar algún tiempo. Durante el proceso de creación se nos pregunta si queremos generar un certificado de revocación de la llave pública. Esto es útil si se tiene la llave subida a un servidor y por algún motivo ya no se la quiere utilizar. Por ejemplo, mi computadora fue robada. Es recomendable generar el certificado y guardarlo en algún lugar seguro:

Importar una llave pública y enviar el primer correo cifrado

Lo primero que debemos hacer para enviar un correo cifrado a alguien es solicitar su llave pública. Una forma sencilla de recibirla puede ser a través de correo electrónico como adjunto. Luego desde el administrador de claves la podemos importar.

Luego buscamos el archivo con la llave pública y lo importamos.

Con esto ya estamos listos para enviar nuestro primer correo cifrado. Básicamente en el botón de OpenPGP habilitamos la opción de cifrar el correo.

Listo ya hemos enviado nuestro primer correo cifrado.

Compartir Nuestra Llave Pública

Ahora que ya podemos enviar correos cifrados, es importante que podamos recibir correos cifrados. Para esto debemos hacer accesible nuestra llave pública. Una forma es a través de correo electrónico. En el menú de redacción de correo existe la opción OpenPGP -> Adjuntar mi clave pública.

Otra opción es subir la llave pública a los servidores de Internet y hacerla accesible a más gente. De esta manera más personas se podrán cifrarme correos electrónicos.
Para esto en el administrador de claves, buscamos la clave (por nombre, por ejemplo) y la exportamos a los servidores públicos.

Verificar la clave

Es importante verificar que la llave pública corresponde a la persona con la que me quiero comunicar. No quisiera enviar un correo cifrado que lo lea otra persona. Para esto debemos comprobar la llave pública y esto se lo hace a través del ID o el Finger Print.

Para conocer el ID o el Finger print de la llave pública, en el administrador de claves se selecciona la clave y se pone las propiedades de la misma.

Personalmente casi no uso Gmail y lo use para este ejemplo. Sin embargo para mi cuenta de correo electrónico convencional se puede ver los datos de mi clave pública en la siguiente diapositiva:

Si quieren practicar enviar un correo electrónico, pueden utilizar mi llave pública.

Este fue un pequeño tutorial para empezar a cifrar correos electrónicos. Hay muchas otras cosas que se pueden hacer con PGP, pero esto es lo básico que deberíamos utilizar.

Haga click para leer más sobre el libro

Cada día, la tecnología forma una parte más importante de nuestras vidas. Hoy en día, en el caso del Internet, compartimos parte importantes de nuestras vidas y de nuestra forma de pensar. El Internet ha llegado a convertirse en un mundo intelectual donde compartimos el pensamiento de la humanidad a nivel global. Esto es algo que antes no existía.

Sin embargo, el Internet tiene un problema muy grave del cual gran parte de gente no se da cuenta. La privacidad para la mayoría de personas es prácticamente nula. Ya sea que se conecte desde su computadora en la casa o por un teléfono celular, es fácil saber su ubicación y la información que esta enviando y recibiendo. Cualquier persona que alguna vez administró un servidor que comparte acceso a Internet, sabrá lo fácil que es poder leer el tráfico que pasa por ahí con herramientas como Wireshark.

El problema es que, normalmente la información por Internet no esta cifrada. ¿Usted se sentiría cómodo si al enviar una carta por correo tradicional esta fuera en sobre abierto? Esto es lo que sucede con el correo electrónico en la actualidad. Sin embargo, a diferencia de la carta, el correo se lo puede copiar fácilmente en el camino desde el origen al destino sin que ninguno de los involucrados en el envío del mismo se cuente de lo que sucede.

Lo que acabo de explicar con el correo electrónico sucede, para los chats, comunicación de telefonía, tradicional y prácticamente todo sitio web en Internet que no funcione con HTTPS.

Según Wikileaks en la filtración de los Spyfiles, existen países donde simplemente se guardan todas las llamadas telefónicas de todos los ciudadanos del país. Los smartphones se pueden utilizar como herramientas de espionaje. No solamente para grabar conversaciones telefónicas, sino hasta las no telefónicas.

Alguna vez se ha puesto a pensar, que pasaría si en una reunión alguien empieza hacer streaming del audio por el celular o un tablet a otra persona por Internet. Existen varios servicios para esto, pero bastaría con una llamada por Skype. Ahora si no se controla la tecnología con la que funciona el celular, es posible activar el micrófono del celular y transmitir la conversación de forma remota con el simple hecho de que el celular este presente. Es decir, ni siquiera el dueño del celular sabe que esta sucediendo.

George Orwell, en su novela «1984«, presenta una sociedad en la que la gente es vigilada constantemente por el Gran Hermano. Por todo lado existen Telepantallas que a más de mostrar información como una televisión, están vigilando a los ciudadanos. En esta novela publicada en 1949, Orwell dice:

Con el desarrollo de la televisión y el adelanto técnico que hizo posible recibir y transmitir simultáneamente en el mismo aparato, terminó la vida privada. Todos los ciudadanos, o por lo menos todos aquellos ciudadanos que poseían la suficiente importancia para que mereciese la pena vigilarlos, podían ser tenidos durante las veinticuatro horas del día bajo la constante observación de la policía y rodeados sin cesar por la propaganda oficial, mientras que se les cortaba toda comunicación con el mundo exterior.

¿Qué diría George Orwell de los teléfonos celulares? Estos aparatos que pueden reportar donde estamos, pueden grabar nuestras conversaciones telefónicas y no telefónicas, tomar fotos, filmar y más sin que nosotros estemos conscientes de esto. Ahora si vemos los programas CypherPunks (video 1, video 2) del  programa «El Mundo de Mañana» de Julian Assange vamos a ver que el problema es realmente preocupante. Si no creen lo que dicen las personas en el programa o quieren profundizar sobre el mismo, recomiendo leer el libro Cypherpunks en el que se tiene enlaces que prueban las afirmaciones hechas en el mismo. Además de esto en el libro tiene la mucha más información que en los videos antes mencionados. Recomiendo su lectura.

Tenemos un problema grave, pero existe una solución que se llama criptografía. Básicamente es muy fácil encriptar información y extremadamente complicado desencriptarla si no se tiene las llaves para hacerlo. Esto quiere decir que a pesar de que se grabe la información en un servidor, va a ser casi imposible acceder al contenido si no es el dueño de esa información.

La criptografía por si sola no es suficiente. Lo que se necesitan son herramientas de criptografía que sean Software Libre. Caso contrario existe la posibilidad de que las herramientas cerradas de criptografía tengan puertas traseras y podemos ser espiados cuando pensamos que tenemos privacidad.

Las buenas noticias son que ya existe bastantes herramientas de Software Libre que permiten encriptar información. Recomiendo investigar un poco sobre las siguientes herramientas:

• Tor para navegación privada y anónima en Internet
• Pidgin con el plugin OTR para chat encriptado
• Thunderbird con el plugin enigmail para correo electrónico encriptado

Estas son tan solo algunas de las herramientas de Software Libre. No son todas las que existen, ni todas las que necesitamos. Sin embargo ayudarán a mantener privacidad en gran parte de nuestra información. Personalmente cada día busco aprender más sobre estas tecnologías y espero en el corto plazo ir publicando un poco sobre las mismas en este blog. Sobre Tor, pueden ver lo fácil que es instalar.

En realidad a más de la criptografía es importante poder contralar la infraestructura tecnológica en la que trabajamos, para eso deberíamos manejar nuestros propios servidores de correo electrónico, de chat, comunicacions Voz/IP, etc… Pero eso es tema de otro artículo.