Sabemos por Snowden que las comunicaciones en Internet están siendo vigiladas a nivel mundial por la NSA. Los gobiernos nacionales también tienen sus capacidades de espiar. En este trabajo se analiza la forma en la que dos personas se pueden comunicar entre sí, sin dejar huella de que esa comunicación existió.

• Comunicaciones Secretas en Internet (PDF)
• Comunicaciones Secretas en Internet (ODT)

No es suficiente aprender a cifrar las comunicaciones ya que si las personas con las que nos comunicamos no lo saben hacer sirve de poco. Por esto es importante una vez que se aprende, replicar el conocimiento y cuando sea posible aprender en grupo.

Es así que hace unos meses con los amigos de GCOOP decidimos organizar un curso para enseñar a la gente a proteger sus comunicaciones. No importa si es la NSA, el gobierno local o algún delincuente existen 3 ingredientes indispensables para tener comunicaciones seguras: software libre, criptografía y descentralización de las comunicaciones.

Para apoyo de clases desarrolle 7 presentaciones que me sirvieron de apoyo para el dictado del curso. Considerando la importancia de replicar el conocimiento comparto el trabajo bajo licencia creative commons compartir igual.  Si bien las diapositivas por si solas no sirven para aprender a proteger las comunicaciones, si sirven para que alguien que ya sabe cifrar pueda compartir ese conocimiento con otros.

En el curso se expliqué la problemática de la vigilancia en internet y que hacer para proteger el anonimato y la privacidad. Se enseño a usar Tor, un gestor de contraseñas. Hecho esto se aprendió a crear cuentas anónimas de chat y correo electrónico, así como cifrar las comunicaciones fin a fin. Si bien propongo el uso de algunas herramientas, estas no son las únicas, sino son con las que estoy familiarizado.

Neto, uno de los alumnos que participaron en este curso empezó a escribir una serie de reseñas sobre lo aprendido en el curso.

Descripción y presentaciones

A continuación pueden descargar todas las presentaciones sobre privacidad y anonimato.

1) Internet: Vigilancia masiva, privacidad y anonimato: En este capítulo se explicó la problemática actual de internet . Se hace referencia a los documentos de Snowden, los Spyfiles de Wikileaks y el caso de Hacking Team. Es una versión corta de la charla que suelo dar en mis conferencias sobre vigilancia masiva en Internet.

• 01 Internet: Vigilancia masiva, privacidad y anonimato (ODP)
• 01 Internet: Vigilancia masiva, privacidad y anonimato (PDF)

2) Anonimato con Tor: Se abordó la problemática sobre anonimato en Internet y las herramientas que se pueden utilizar para proteger el anonimato en línea. Si bien se utilizó Tor para esto, también se menciona a herramientas como i2p. Al final de la clase se realiza un ejercicio de crear una cuenta de correo electrónico anónima, misma que se utilizo en el resto de las clases.

• 02 Anonimato con Tor (ODP)
• 02 Anonimato con Tor (PDF)

3) Gestión de contraseñas: Tener una contraseña de muchos caracteres, difícil de adivinar y diferente para cada cuenta que se utilice en Internet es una de las recomendaciones que muchas personas dan y que pocas cumplen. Un gestor de contraseñas permite administrar contraseñas seguras y diferentes para cada cuenta que se maneje en línea.

• 03 Gestión de contraseñas (ODP)
• 03 Gestión de contraseñas (PDF)

4) Chat Seguro: El chat es una de las herramientas más utilizada para comunicarse por Internet. En este capítulo se aprendió a crear una cuenta de chat XMPP anónima a través de Tor. La comunicación se la protege con cifrado fin a fin a través de OTR. También se mencionó sobre el uso de herramientas como Signal o Telegram y la problemática de los servicios centralizados.

• 04 Chat seguro (ODP)
• 04 Chat seguro (PDF)

5) Voz/IP y Video conferencia: Si bien existen varias herramientas de voz/ip, en general no funcionan bien a través de Tor por lo que no es tan fácil conseguir anonimato. Se hicieron pruebas con Tox y sus distintos clientes porque permite tener una red de voz/ip p2p que funciona cifrada fin a fin siempre.

• 05 Voz-IP (ODP)
• 05 Voz-IP (PDF)

6) Correo Electrónico Encriptado: El correo electrónico es otra de las herramientas de comunicación más utilizada. En este capítulo se aprendió a ocultar el contenido de los mensajes a través de PGP y a ocultar los metadatos a través de Tor.

• 06 Correo Electrónico (ODP)
• 06 Correo Electrónico (PDF)

7) Tails: Todas las herramientas vistas en el curso, salvo las de voz/IP, vienen listas para usar en la distribución Tails. Tails, es una distribución de GNU/Linux que funciona desde una memoria flash y que oculta el tráfico de internet a través de Tor. Es lo que utilizó Glen Greenwald para comunicarse con Snowden.

• 07 Tails (ODP)
• 07 Tails (PDF)

Pidgin por si solo no nos da mucha seguridad. Existen 2 plugins de pidgin que permite encriptar el chat a nivel de cliente. Esto es muy bueno porque podemos usar cualquier protocolo de chat y la información pasará encriptada por los servidores. Es decir solo el que escribe y el que recibe podrán leer la información. Hace mucho tiempo escribí un tutorial para utilizar Pidgin con el plugin pidgin-encription.  En este artículo explicaré como utilizar el plugin pidgin-otr que es más seguro.

Si bien la primera parte del artículo se habla sobre como instalar en las principales distribuciones GNU/Linux, la segunda parte sobre configuración de OTR y Pidgin es relevante para Windows. Los usuarios de Mac deberían instalar Adium y buscar la opción de OTR.

Los usuarios de celulares deberían buscar aplicaciones libres que soporten OTR.

Instalar Pidgin y OTR

Aquí explicaré como instalar a través de comandos en distribuciones que usan apt y yum. Utilizo la línea de comando para instalar, pero es probable que lo pueda hacer con las herramientas de paquetería gráficas buscando pidgin y pidgin-otr.

Para instalar Pidgin y OTR en distribuciones basades en apt (Ubuntu, Debian, etc…) bastará con:

sudo apt-get install pidgin pidgin-otr

Supongo que para distribuciones basadas en RPM tipo Fedora se debería poner:

yum install pidgin pidgin.otr

Listo con eso esta instalado Pidgin y OTR. Al abrir la aplicación se debe crear una cuenta. Siga el procedimiento para el sistema de mensajería instantánea que usted utilice.

Configurar OTR

Una vez que tenga la cuenta de chat configurada, hay que verificar que el módulo de OTR este activo. Para esto en el menú donde se despliegan los contactos conectados dentro del menú herramientas seleccionar complementos.

Una vez en los complementos buscar Mensajería Fuera-de-Registro (OTR)

Con eso ya esta instalado el complemento de encriptación. Se puede verificar que esta activo si en la parte inferior derecha de la ventana de chat tenemos un mensaje que dice «No privado.»

Esto quiere decir que se esta trabajando con un chat no seguro. Si la persona con la que se esta chateando tiene instalado OTR, entonces se puede iniciar una conversación privada. Para esto se hace click «No Privado» y luego en iniciar conversación privada.

Ahora ya se tiene una conversación encriptada.

Como dice el mensaje, falta autenticar a la persona al otro lado del chat. Estoy quiere decir que la comunicación es encriptada, pero no se tiene seguridad que la persona al otro lado del chat es quién dice ser. Sin embargo la conversación ya es encriptada y se puede comprobar abriendo el gmail (en este ejemplo que se usa gmail).

De lado de Diego en su celular donde tenía abierta la conversación de chat se puede comprobar fácilmente que la conversación esta encriptada.

Ahora solo falta autenticar que la persona que esta al otro lado es quién dice ser. La forma más fácil es utilizar una frase compartida entre los 2. Por ejemplo con Diego quedamos en poner el nombre de la ciudad donde el vive. Es algo simple, pero yo ya sabía que estaba hablando con Diego.

Para esto se hace click sobre el mensaje «No Verificado»y luego en autenticar compañero.

En este caso se utilizará una frase compartida. (Shared Secret)

Se podría compartir la frase por SMS, una llamada telefónica, etc… De alguna manera que uno este seguro que la otra persona es quien dice ser. En este caso compartimos la palabra Loja

Una vez que el compañero ingrese la frase compartida en su equipo la autenticación se realizará con éxito.

Listo ahora en la esquina inferior derecha se tendrá el mensaje de color verde que dice Privado.

Listo ahora se tiene chat encriptado.

Haga click para leer más sobre el libro

Cada día, la tecnología forma una parte más importante de nuestras vidas. Hoy en día, en el caso del Internet, compartimos parte importantes de nuestras vidas y de nuestra forma de pensar. El Internet ha llegado a convertirse en un mundo intelectual donde compartimos el pensamiento de la humanidad a nivel global. Esto es algo que antes no existía.

Sin embargo, el Internet tiene un problema muy grave del cual gran parte de gente no se da cuenta. La privacidad para la mayoría de personas es prácticamente nula. Ya sea que se conecte desde su computadora en la casa o por un teléfono celular, es fácil saber su ubicación y la información que esta enviando y recibiendo. Cualquier persona que alguna vez administró un servidor que comparte acceso a Internet, sabrá lo fácil que es poder leer el tráfico que pasa por ahí con herramientas como Wireshark.

El problema es que, normalmente la información por Internet no esta cifrada. ¿Usted se sentiría cómodo si al enviar una carta por correo tradicional esta fuera en sobre abierto? Esto es lo que sucede con el correo electrónico en la actualidad. Sin embargo, a diferencia de la carta, el correo se lo puede copiar fácilmente en el camino desde el origen al destino sin que ninguno de los involucrados en el envío del mismo se cuente de lo que sucede.

Lo que acabo de explicar con el correo electrónico sucede, para los chats, comunicación de telefonía, tradicional y prácticamente todo sitio web en Internet que no funcione con HTTPS.

Según Wikileaks en la filtración de los Spyfiles, existen países donde simplemente se guardan todas las llamadas telefónicas de todos los ciudadanos del país. Los smartphones se pueden utilizar como herramientas de espionaje. No solamente para grabar conversaciones telefónicas, sino hasta las no telefónicas.

Alguna vez se ha puesto a pensar, que pasaría si en una reunión alguien empieza hacer streaming del audio por el celular o un tablet a otra persona por Internet. Existen varios servicios para esto, pero bastaría con una llamada por Skype. Ahora si no se controla la tecnología con la que funciona el celular, es posible activar el micrófono del celular y transmitir la conversación de forma remota con el simple hecho de que el celular este presente. Es decir, ni siquiera el dueño del celular sabe que esta sucediendo.

George Orwell, en su novela «1984«, presenta una sociedad en la que la gente es vigilada constantemente por el Gran Hermano. Por todo lado existen Telepantallas que a más de mostrar información como una televisión, están vigilando a los ciudadanos. En esta novela publicada en 1949, Orwell dice:

Con el desarrollo de la televisión y el adelanto técnico que hizo posible recibir y transmitir simultáneamente en el mismo aparato, terminó la vida privada. Todos los ciudadanos, o por lo menos todos aquellos ciudadanos que poseían la suficiente importancia para que mereciese la pena vigilarlos, podían ser tenidos durante las veinticuatro horas del día bajo la constante observación de la policía y rodeados sin cesar por la propaganda oficial, mientras que se les cortaba toda comunicación con el mundo exterior.

¿Qué diría George Orwell de los teléfonos celulares? Estos aparatos que pueden reportar donde estamos, pueden grabar nuestras conversaciones telefónicas y no telefónicas, tomar fotos, filmar y más sin que nosotros estemos conscientes de esto. Ahora si vemos los programas CypherPunks (video 1, video 2) del  programa «El Mundo de Mañana» de Julian Assange vamos a ver que el problema es realmente preocupante. Si no creen lo que dicen las personas en el programa o quieren profundizar sobre el mismo, recomiendo leer el libro Cypherpunks en el que se tiene enlaces que prueban las afirmaciones hechas en el mismo. Además de esto en el libro tiene la mucha más información que en los videos antes mencionados. Recomiendo su lectura.

Tenemos un problema grave, pero existe una solución que se llama criptografía. Básicamente es muy fácil encriptar información y extremadamente complicado desencriptarla si no se tiene las llaves para hacerlo. Esto quiere decir que a pesar de que se grabe la información en un servidor, va a ser casi imposible acceder al contenido si no es el dueño de esa información.

La criptografía por si sola no es suficiente. Lo que se necesitan son herramientas de criptografía que sean Software Libre. Caso contrario existe la posibilidad de que las herramientas cerradas de criptografía tengan puertas traseras y podemos ser espiados cuando pensamos que tenemos privacidad.

Las buenas noticias son que ya existe bastantes herramientas de Software Libre que permiten encriptar información. Recomiendo investigar un poco sobre las siguientes herramientas:

• Tor para navegación privada y anónima en Internet
• Pidgin con el plugin OTR para chat encriptado
• Thunderbird con el plugin enigmail para correo electrónico encriptado

Estas son tan solo algunas de las herramientas de Software Libre. No son todas las que existen, ni todas las que necesitamos. Sin embargo ayudarán a mantener privacidad en gran parte de nuestra información. Personalmente cada día busco aprender más sobre estas tecnologías y espero en el corto plazo ir publicando un poco sobre las mismas en este blog. Sobre Tor, pueden ver lo fácil que es instalar.

En realidad a más de la criptografía es importante poder contralar la infraestructura tecnológica en la que trabajamos, para eso deberíamos manejar nuestros propios servidores de correo electrónico, de chat, comunicacions Voz/IP, etc… Pero eso es tema de otro artículo.