A diario nos comunicamos a través de WhatsApp: compartimos conversaciones con ex compañeros de colegio, decidimos sobre asuntos familiares y profesionales, vivimos el romance; muchas alegrías y tristezas suceden en esta plataforma. Casi todas las personas con un teléfono inteligente en América Latina utilizamos WhatsApp y somos más de 3 mil millones personas en el mundo.

Es así como Meta, dueña de WhatsApp, es responsable de las comunicaciones de gran parte del planeta. Es decir, una caída técnica, una prohibición de funcionamiento o un conflicto empresarial pueden tener consecuencias globales. Algo que ya ocurrió en el pasado y sobre lo cual reflexionamos en su momento.

Desde un punto de vista tecnopolítico, existe un problema de concentración de poder. Nuestras conversaciones fluyen a través de una de las aplicaciones de Meta. Si bien se supone que WhatsApp usa cifrado extremo a extremo, ya solo usar la aplicación implica entregarle nuestros metadatos. Esto quiere decir que nuestros contactos, con qué frecuencia hablamos con ellos, desde dónde y a qué hora, además de gran cantidad de información adicional, es recolectada por Meta por el simple hecho de usar sus servicios.

La concentración de poder no solo tiene implicancias en materia de privacidad. Por ejemplo, una aplicación de la cual dependen buena parte de las comunicaciones de la población podría verse amenazada por un conflicto geopolítico. Es decir, esta dependencia convierte a una herramienta de comunicación en un arma para el conflicto entre Estados.

A raíz de las revelaciones de Snowden, desde 2013 sabemos que EE. UU. utiliza las plataformas digitales de empresas estadounidenses para espiar las comunicaciones globales. Los embargos económicos de EE. UU. también implican restricciones en la adquisición de software a países como Cuba, Irán y Siria. Con estos antecedentes, cabe preguntarse: ¿qué pasaría si EE. UU. entrara en guerra con Europa a causa de Groenlandia? ¿WhatsApp funcionaría sin problemas para las personas europeas?

Este tipo de escenarios plantean preocupaciones globales que no son nuevas: desde distintas regiones y Estados del mundo existen múltiples intentos para tensionar la concentración económica, de datos y de poder en el entorno digital. En el caso de la Unión Europea (UE), tomaron la decisión de regular las plataformas digitales buscando establecer criterios y límites claros por medio de la Ley de Mercados Digitales (DMA por sus siglas en inglés).

Descentralizar la mensajería por ley

Los aspectos de concentración de poder, soberanía digital y privacidad, motivaron a la UE a crear la Ley DMA. Esta normativa busca regular a las empresas que dominan el mercado digital, denominadas en la legislación como “guardianes de acceso” (gatekeepers en inglés), para evitar abusos de poder, prácticas anticompetitivas y garantizar la interoperabilidad con plataformas más pequeñas. WhatsApp (Meta) fue designada como “gatekeeper” en 2023, entre otros motivos por tener más de 45 millones de personas usuarias activas al mes dentro de la UE. Esta condición le obliga a cumplir con los requisitos de la DMA, incluyendo la obligación de poder interoperar con plataformas más pequeñas.

La expectativa de una legislación de estas características es ambiciosa: permitir a las personas conversaciones a través de distintos servicios conectados. La consecuencia debería ser que quienes utilizan aplicaciones como Signal, Telegram, o plataformas europeas como Threema o Wire, se puedan comunicar con aquellas que tienen WhatsApp.

Sin embargo, la implementación conlleva una paradoja. La forma en la que está redactada la ley obliga a la plataforma que se quiere regular a que defina las reglas técnicas mediante las cuáles interactuaría con otras aplicaciones. La legislación estableció que hasta marzo de 2024, WhatsApp debía definir e implementar un plan para interactuar con otras plataformas. A fines de 2025, WhatsApp comenzó a interoperar con otras aplicaciones, pero solo con dos: Haiket y BirdyChat, recientemente creadas, y de las cuales se sabe muy poco.

Aplicaciones como Signal o Threema se oponen a la interoperatividad planteada por la DMA. Las dos empresas sostienen que su enfoque en favor de la privacidad y seguridad podría verse vulnerado al interactuar con otros proveedores ya que, de esta manera, no pueden asegurar el cuidado de los datos cuando pasan a manos de proveedores como WhatsApp. Al ser aplicaciones con bases de usuarios más pequeñas que WhatsApp, no son vistas como “guardianes de acceso” y por lo tanto no tienen obligación de cumplir con la DMA.

La ley podría así lograr que WhatsApp se conecte con aplicaciones irrelevantes, mientras que sus competidores más sólidos se mantienen al margen, dejando su dominio prácticamente intacto.

Los estándares abiertos y la idea de federación

Lo que la UE quiere hacer con WhatsApp es muy parecido a lo que se conoce como federación: un sistema donde plataformas independientes pueden comunicarse entre sí usando estándares abiertos. Un ejemplo es el correo electrónico: las personas que usan Gmail pueden comunicarse con otras que utilizan casillas de Outlook, Protonmail u otro proveedor. Si bien Gmail, con 1800 millones de usuarios, es un actor dominante en el terreno del correo electrónico, no es quien pone las reglas sobre las cuales se comunican los otros proveedores. Esto es posible gracias a protocolos consensuados como el “Protocolo Simple de Transferencia de Correo” (SMTP en inglés), sin la necesidad de intervención estatal.

Hay una diferencia clave: el correo electrónico surgió de la colaboración voluntaria entre desarrolladores que construyeron internet, acordando reglas para un sistema de correspondencia digital asincrónico y federado que previamente no existía.

Siguiendo la tradición de estándares federados, a inicios de este siglo surgió el “Protocolo extensible de mensajería y comunicación de presencia” (XMPP en inglés), inspirado en el servicio de correo electrónico donde las cuentas son del tipo usuario@dominio.com. Se trata de un protocolo conocido y utilizado por comunidades como las del software libre. Hasta 2013, Google Talk, el chat de Gmail en ese momento, implementaba este mecanismo mediante el cual una cuenta de Gmail podía comunicarse con cuentas de chat alojadas en servidores más pequeños y diversos.

Curiosamente, WhatsApp utiliza una versión modificada de XMPP conocida como FunXMPPque está optimizada para las necesidades de la aplicación y que además desactiva las funcionalidades de federación.

De todas formas, XMPP no es la única opción para comunicaciones de chat federadas. En 2014 se empezó a construir el protocolo Matrix con características similares a XMPP, pero con el cifrado extremo a extremo desarrollado como parte fundamental del protocolo, con el fin de cuidar su seguridad. En la actualidad, en Derechos Digitales utilizamos este estándar como la base de nuestra oficina virtual en un servidor manejado por nuestro equipo técnico. Incluso nos podemos comunicar con otras organizaciones que también van por el mismo camino: la apropiación de nuestras comunicaciones.

XMPP y Matrix no son protocolos perfectos y tienen muchos aspectos por mejorar. El primero tuvo un desarrollo lento y el soporte de chat cifrado entre extremos no fue adoptado por todos los servidores y clientes. Matrix resuelve el problema de cifrado extremo a extremo, pero también podría mejorar para establecerse como un estándar oficial. Igualmente, estos aspectos no opacan su relevancia como protocolos abiertos que sostienen el espíritu de la comunicación descentralizada y abierta que caracteriza a internet.

Fortalecer protocolos y estándares para una soberanía tecnológica

El intento de la UE apunta a fortalecer una internet más descentralizada y con menos concentración de poder en pocas empresas. Más allá de una perspectiva política, la apuesta refleja preocupaciones técnicas profundas sobre la resiliencia de las comunicaciones digitales a través de la independencia tecnológica, el cifrado y la interoperabilidad. Si bien representa un avance significativo, aún quedan dudas sobre la estrategia de dar el control sobre la forma de federarse a las aplicaciones que se quieren regular.

Por otro lado, las soluciones basadas en estándares abiertos, como XMPP y Matrix, ayudan a poner las mismas reglas para todas las aplicaciones que implementan el estándar. Es decir, en lugar de que WhatsApp defina cómo se comunica con el resto, el estándar abierto define las reglas por las que todas las partes se comunican entre sí. De esta manera, no se le da un poder especial a la aplicación que se pretende regular, similar a lo que sucede con el correo electrónico y Gmail.

Moverse a un sistema federado tiene ventajas como la independencia de proveedor, eliminar un único punto de fallo y la posibilidad de tener infraestructura propia para nuestras comunicaciones. También nos presenta retos: los organismos de estandarización técnicos deben acordar las actualizaciones de los estándares a futuro.

En América Latina, nuestros gobiernos ni se asoman a este tipo de discusiones, y somos pocas las comunidades que estamos reflexionando sobre estos temas. Sin embargo, los estándares abiertos están disponibles, y si organizaciones como Derechos Digitales pueden tener su propio servidor de chat federado, seguramente muchas otras también puedan emprender el mismo camino hacia una soberanía tecnológica cada vez mayor.

Publicada originalmente en Derechos Digitales.

La inteligencia artificial (IA) es mucho más que los sistemas de chat que se popularizaron desde inicios de esta década. Si bien ahora se está viviendo el boom de esta tecnología, no hay que olvidar que la IA es una rama de las ciencias de la Computación que ha estado presente desde sus inicios. En el pasado, existieron hitos importantes en relación a esto. Por ejemplo, en el año 1997 la computadora Deep Blue, creada por IBM, fue capaz de vencer en ajedrez al entonces campeón del mundo Gary Kasparov. También, hace poco menos de 10 años, el software Alpha Go de Google logró ganarle a varios campeones internacionales del juego de estrategia Go.

El boom que se vive en la actualidad tiene que ver principalmente con los modelos grandes de lenguaje (LLM por sus siglas en inglés). Se trata de un programa de la IA que permite tener aplicaciones con las cuales nos podemos comunicar de forma natural como si estuviéramos hablando con personas. Para que estos sistemas puedan tener una conversación con humanos se los debe entrenar con cantidades extraordinarias de datos y además se requiere de mucha capacidad de cómputo.

Dime qué datos utilizas y te diré quién eres

Si se piensa en los LLM desde una perspectiva de privacidad, lo primero que nos deberíamos preguntar es ¿de dónde salen los datos que entrenan el modelo? Según OpenAI, utilizan 3 fuentes para entrenar los modelos de ChatGPT: información pública, información compartida por socios e información provista por humanos.

En la primera opción, se puede pensar en la internet pública con sitios como Wikipedia, Github, Archivo de internet y otras similares. Desde un punto de vista de privacidad, esta información está públicamente accesible y se puso a disposición con la intención de compartir conocimiento libremente. Se podría decir que entrenar LLM con esta información, haría más accesible el conocimiento a la mayoría de la gente.

Pero este no es el caso para todos los sitios web. Existen casos como las redes sociales, donde las personas -por error- pudieron haber publicado información personal sin intención y esta se hizo pública. Incluso se podría haber subido contenido con el propósito de que sea accesible para el público, pero no necesariamente para entrenar modelos de inteligencia artificial.  Evidentemente, hay problemas relacionados con derechos de autor, pero en esta columna no nos vamos a detener en esa cuestión.

En el segundo caso, no es claro cuáles son los socios que proveen información a OpenAI. En su página web mencionan una colaboración con al gobierno de Islandia para mejorar el soporte del idioma islandés, y también hablan de colaborar con la organización Free Law Project. Sin embargo, no queda claro con qué otros grupos hacen alianzas para la provisión de datos.

Desde el punto de vista económico, el principal aliado de OpenAI es Microsoft. Una empresa que en 2023 realizó un acuerdo de 10 mil millones de dólares con OpenAI por varios años, y que incluye el uso de la infraestructura Azure. Esta infraestructura es la “nube” que oferta Microsoft para que terceros puedan ejecutar sus aplicaciones. En este caso, Azure es la principal infraestructura de ChatGPT y otros productos de OpenAI.

¿Será que OpenAI utiliza información de las aplicaciones de Microsoft como Bing, Outlook, Office 360, entre otros? ¿Estará Microsoft entregando información personal de sus usuarios para entrenar al ChatGPT? No hay forma de saberlo, salvo que se haga una auditoría y se transparente la forma en la que OpenAI entrena sus modelos.

Si pensamos en las otras empresas líderes como Google con Gemini, Meta con MetaAI o X con Grok, podemos, al menos, sospechar que utilizan los datos de sus sistemas para entrenar sus modelos grandes de lenguaje. Todas estas empresas tienen algo en común, muchos datos y gran capacidad de procesamiento de información, lo que las pone en la élite de la IA.

Nube y privacidad: malos amigos

Ya se analizó la privacidad al momento de entrenar los modelos LLM. Ahora bien, ¿qué pasa con nuestra privacidad al utilizar estos chat bots? El principal problema que se presenta al utilizar estas herramientas de IA es que se encuentran en la nube, a quien le entregamos todos nuestros datos.

Si se utiliza la IA para que nos responda nuestras preguntas cotidianas, estas preguntas se asocian a nuestro perfil y sirven para perfilarnos como individuos. Si se usa la IA para que resuma una llamada de Zoom, entonces estamos entregando la transcripción de la conversación y el resumen a la plataforma. Si la utilizamos para escribir un correo electrónico, entonces el sistema que lo redacta tendrá el contenido de nuestro correo. Si le pedimos que nos sintetice un documento confidencial, le servimos en bandeja esa información. Toda esta interacción servirá para entrenar los futuros modelos de lenguaje. En teoría, gente con la capacidad de hacer las preguntas correctas a la IA podría extraer información de nuestros archivos confidenciales.

Por otra parte, el uso de IA en aplicaciones de chat cifrado también resulta un problema muy grave para la privacidad de la ciudadanía. El cifrado extremo a extremo protege nuestras comunicaciones para que nadie, excepto las personas que participan en la misma, las pueda leer. Un adversario particularmente importante del cual nos protege este tipo de cifrado es el proveedor del servicio. Si se piensa en WhatsApp, entonces su cifrado nos debe proteger para que WhatsApp no lea nuestras conversaciones. Sin embargo, desde algún tiempo atrás tenemos entre nuestros contactos al bot de @MetaAI. A este bot lo podemos invocar desde cualquier conversación para hacerle consultas. Cuando eso sucede, el cifrado extremo a extremo pierde su valor ya que Meta debe leer nuestras conversaciones para interactuar.

En general, los problemas de privacidad de la IA están asociados a la utilización de plataformas en “la nube”. En otras columnas, hemos visto algunos ejemplos del uso de infraestructura propia con software libre para poder tener una oficina virtual, sistemas de videoconferencia seguras, incluso instancias de redes sociales descentralizadas como el Fediverso.  ¿Se puede hacer lo mismo con la inteligencia artificial?

La respuesta es sí, y de hecho existen varios LLMs que se pueden utilizar sin costo y de forma local o incluso en infraestructura propia. A diferencia de sistemas como una nube propia o sistemas de chat seguro, con inteligencia artificial se va a necesitar mayor capacidad de cómputo o versiones más pequeñas de los LLM. Al usar modelos más cortos, probablemente no sirvan para preguntar cualquier cosa, pero sí podrían ser muy útiles para tener un bot con un propósito específico. Por ejemplo, para resumir documentos confidenciales o traducir textos.

IA al servicio de las personas, no de las corporaciones

En nuestros días, es común que la gente utilice IA para apoyarse en sus tareas cotidianas y, seguramente, en el futuro esta herramienta se usará aún más. Es sumamente importante que como sociedad podamos reflexionar acerca de los propósitos para los cuales se seguirá utilizando la IA y los riesgos que eso trae aparejado. No es lo mismo recurrir a ella para traducir un documento público, redactar un correo electrónico o resumir un documento confidencial. Habrá casos en los que se pueda considerar aceptable utilizar IA a cambio de sacrificar la privacidad y habrá otros en los que no.

La autonomía en la IA es algo que la sociedad debe explorar. Para tareas y actividades donde se trabaja sobre información sensible, tener un sistema tecnológico que no reporte esa información a terceros sería una herramienta muy poderosa. Incluso varias organizaciones podrían unirse entre sí para compartir infraestructura y poder ejecutar colectivamente mejores modelos de lenguaje. Las regulaciones sobre esta herramienta tecnológica deben velar por el respeto de nuestra privacidad, nuestros datos y nuestra información. Solo de esa forma podremos imaginar un futuro digital seguro para todas y todos.

Publicado originalmente en Derechos Digitales.

Cuándo nos conectamos a algún servicio en internet, nuestra comunicación atraviesa varias computadoras conocidas como ruteadores. El primer dispositivo al que nos conectaremos es el ruteador de internet de nuestra casa – si lo hacemos a través de internet fijo – o la antena de telefonía celular, si lo hacemos con internet móvil. Luego, la comunicación sigue a través de otros dispositivos en la red del proveedor de internet y de otros proveedores de comunicación hasta llegar al destino. En cualquiera de estos sitios se podría filtrar el contenido de nuestras comunicaciones.

Cuando un Estado quiere bloquear contenidos o aplicaciones, una posibilidad para concretarlo es obligar a los proveedores de acceso a internet – también conocidos como ISPs por sus siglas en inglés – a hacerlo en su favor. Dado que el ISP es responsable por conectar una computadora de origen a un sitio web ubicado en una computadora de destino, basta que este intermediario no efectúe la comunicación para que el sitio quede inaccesible.

Otra forma de bloqueo se da a partir de modificaciones en los registros de nombres de dominio (DNS), el que asocia dispositivos físicos a nombres y números que lo permiten ubicar en la red. Estas no son las únicas formas de operar la censura en Internet, sobre el funcionamiento técnico y las estas estrategias de bloqueo hablamos en otra columna.

El diseño de Internet implica que los proveedores de Internet sepan quién solicita el acceso a un sitio y la dirección IP de destino. Con esta información es posible operar la conexión, pero también la censura. Cuando estos registros se almacenan por periodos largos de tiempo, sea por requisitos técnicos o legales, puede facilitar prácticas de vigilancia, una vez que esos datos permiten identificar patrones de acceso por parte de usuarias específicas. Por eso, el uso de herramientas para evadir la censura en muchos casos también sirve para proteger la privacidad de las comunicaciones.

Evadir la censura

Una primera medida de protección contra la censura son las redes virtuales privadas, o VPNs. Esta tecnología permite generar un canal cifrado desde nuestros dispositivos hasta uno de los servidores de VPNs que, por su vez, nos irá dirigir al destino deseado. El ISP solo podrá ver que existen conexiones cifradas a ciertas direcciones IPs de las VPNs, pero no sabrá hacia donde esta nos está direccionando o el tipo de actividad que se está realizando. De este modo, salvo que los ISPs empiecen a bloquear las VPNs o que las mismas VPNs bloqueen determinados contenidos, no será posible impedir el acceso.

El colectivo Riseup provee desde hace mucho tiempo la VPN RiseupVPN que se puede utilizar de manera gratuita y sin entregar datos de registro. En la coyuntura actual de Venezuela proveedores de VPN como ProtonVPN y TunnelBear están ofreciendo acceso gratuito a sus servicios si la conexión proviene de Venezuela.

Si mucha gente empieza a utilizar estos servicios, entonces el Estado podría intentar bloquear las VPNs. Se podría intentar con otras que no están mencionadas acá y seguir jugando el juego del gato y el ratón. Otra opción es aprovechar el hecho de que la tecnología de VPNs se basa en estándares abiertos, lo que permite a otros proveedores implementar VPNs propias de forma autónoma con software libre. Lo que se necesita para esto es un servidor virtual (VPS) que se puede contratar por un costo bajo y alguien con conocimientos de Linux.

Outline es una solución sencilla que nos permite implementar nuestros propios servidores de VPN de manera fácil y segura. Al usar una solución como esta se tendría un servicio que sería menos visible que el servicio de VPNs conocidas pero se requieren ciertos conocimientos técnicos. Una vez implementado el servidor es fácil conectarse desde computadoras o celulares.

Otra opción para evadir la censura es la red de anonimato Tor. Para acceder a este red no es necesario pagar ni entregar datos personales. Al igual que las VPNs, Tor se puede instalar en teléfonos celulares y computadoras. La forma más común de acceder a la red es a través del navegador Tor, disponible para computadoras y celulares Android, en el caso de Iphone se puede usar el navegador Onion Browser.

Mediante este navegador se puede evadir la censura de sitios web, pero no es tan evidente su uso para evadir el bloqueo de aplicaciones como Signal o WhatsApp. En el caso de celulares, existe la aplicación Orbot que funciona de forma similar a una VPN, pero con la red Tor. En este caso se podría conectar Orbot a la red Tor y decirle que ciertas aplicaciones funcionen a través de esta aplicación. De esta manera se podría utilizar Signal, WhatsApp, X o cualquier otra aplicación.

Estas son algunas soluciones para evadir la censura en Internet, pero no son las únicas. Como documentado en años anteriores, incluso en el caso de Venezuela, es posible a los operadores bloquear incluso el acceso a la red de Tor. Así, es recomendable probar más de una opción por si el Estado llegara a bloquear una de estas, se puede usar otra.

Documentar la censura del Internet

La censura en Internet normalmente está asociada con acontecimientos que suceden en la sociedad. En el caso de Venezuela tiene que ver con las elecciones, pero se han registrado bloqueos de comunicaciones en otros países de la región durante eventos de conmoción social.

El proyecto OONI es una herramienta de software libre que se puede instalar en nuestros teléfonos o computadoras para que realice pruebas recurrentes a sitios web y aplicaciones y así identificar si estas están bloqueadas. Los datos recolectados pueden ser subidos a OONI para ser accesibles por investigadores a través de su explorador.

El uso de OONI es simple y hace unos años publicamos una guía sobre como hacerlo. Es importante tener cuidado y estar atentos a los riesgos que podemos tener al monitorear bloqueos de Internet, debido a que algunos países restringen este tipo de actividad.

En el caso de Latinoamérica hay organizaciones que utilizan OONI y herramientas similares para detectar bloqueos. Nos gustaría destacar el trabajo de organizaciones como Conexión Segura y Libre (antes Venezuela Inteligente) con su proyecto VEsinFiltro donde documentan bloqueos a Internet en este país. En Colombia se encuentra la Fundación Karisma con el Observatorio de Bloqueos de Internet en dónde han publicado una guía para investigar de bloqueos de Internet.

Internet es una herramienta esencial para poder informarnos, pero también para ejercer un conjunto de derechos fundamentales, como a la educación, la salud, entre muchos otros. La censura de sitios y aplicaciones afecta directamente el ejercicio de estos derechos, además de limitar la libre expresión y asociación en momentos de crisis política, como observamos ahora en Venezuela. Poder documentar estos casos es de suma importancia para denunciar abusos, desarrollar mejores estrategias para evadirlos y también para exigir comunicaciones libres.

La red es vulnerable a ser censurada, y necesitamos seguir presionando agentes públicos y privados a que atenten a sus obligaciones internacionales de mantener la integridad de Internet. Por otro lado, su naturaleza abierta permite que tengamos herramientas para poder evadirla. Es recomendable aprender a usar estas herramientas incluso si en nuestro país no existen bloqueos aparentes, ya que para cuando existan estaremos listas para seguir comunicándonos y accediendo a información relevante.

Publicada originalmente en Derechos Digitales.

Se puede pensar a la privacidad como tener el control de qué parte de nuestra vida compartimos y con quién. No es lo mismo una conversación de pareja, un intercambio familiar, que el que se tiene con amigos, o con colegas de trabajo. En cada conversación nos comportamos de una forma diferente, basada en el contexto, porque entendemos muy bien con quién nos comunicamos.

En internet esto no funciona así. Si bien hay quienes creen que la comunicación es anónima, la verdad es que cuando hacemos algo cotidiano, como enviar un mensaje vía WhatsApp, esta empresa conoce al remitente, destinatario, los teléfonos que intervienen, la hora y la frecuencia en que sucede la comunicación. Una empresa de telecomunicaciones puede acceder a información muy similar cuando utilizamos nuestro teléfono móvil. Quien tenga acceso a esos datos, a su vez, puede inferir mucho sobre nuestros hábitos más íntimos. Del mismo modo: el contenido que publicamos en Facebook puede ser visto por las personas que conocemos y queremos, pero también por personas totalmente desconocidas, a depender de nuestras configuraciones de privacidad y seguridad. El contexto dirá si tal acceso puede mostrarse peligroso o no.

La parte que nos toca

Ya sabemos de la vigilancia de las grandes empresas de tecnología y su relación con agencias de inteligencia. También de los mecanismos como podemos sufrir distintos tipos de intervención en nuestras comunicaciones de manera más o menos legítima.  Sin embargo, si bien hay situaciones en que es difícil escaparse de la intrusión de agentes externos, hay mucho que podemos hacer aún para proteger nuestra privacidad en las redes sociales.

Hay momentos en los que la información que queremos compartir debería llegar a todo el mundo y otros en las que no quisiéramos que personas (organismos, o empresas) específicas se enteren.

No es lo mismo promocionar un bien o servicio en Internet, emitir una opinión política o compartir una foto familiar. La opinión política, por ejemplo, podría poner en riesgo mi trabajo o mi emprendimiento. En algunos países, si se piensa en periodistas de investigación o activistas sociales, la exposición de ciertas informaciones personales de manera pública podría poner en riesgo sus vidas e incluso las vidas de sus familias.

La inteligencia de fuentes abiertas permite averiguar mucho de una persona basada en información pública, principalmente en internet. Es lo que utilizaría un periodista para investigar el perfil de un funcionario corrupto. También es utilizada por la policía para seguir a personas sospechosas. Los gobiernos, muchas veces la utilizan para monitorear redes sociales e identificar adversarios políticos. Delincuentes comunes utilizan esta información para conocer nuestros movimientos y así poder planificar actos criminales.

Algo tan sencillo como realizar publicaciones de Instagram en tiempo real, mostrando las maravillosas vacaciones que estoy teniendo podría alertar a un ladrón que no estoy en mi casa. El riesgo de esta situación se incrementa si además comparto esta información en estados de WhatsApp.

Utilizamos a diario esta plataforma para comunicarnos con gente cercana, pero también para interactuar de manera profesional con otras personas. De esta manera, en nuestros teléfonos, tenemos contactos de restaurantes, plomeros, albañiles, médicos y un largo etcétera de profesionales con los que interactuamos de manera cotidiana.

Muchas de estas personas utilizan estados para comunicar su trabajo y los servicios que ofrecen. Sin embargo, parte importante de ellas comparten su vida privada a través de estos estados. Personalmente me he encontrado en situaciones donde observo almuerzos familiares, bautizos, fiestas infantiles y un largo etcétera de situaciones de la vida privada de otras personas con las que no soy cercano.

Soy una persona con buenas intenciones y no quiero hacerle el mal a nadie, pero esta información es accesible a gente bien y mal intencionada. Como persona que trabaja en seguridad digital reflexiono sobre los riesgos a los que nos exponemos en este tipo de situaciones. ¿Qué es lo que haría un acosador, un ladrón, pedófilo o cualquier otro actor mal intencionado con esta información? Nos hemos preguntado, ¿qué tanto conocemos a las personas que tenemos como contactos en nuestros teléfonos?

(Re)tomando las riendas de nuestra información

Las redes sociales que utilizamos a diario tienen configuraciones de privacidad que nos permiten tener mejor control sobre quién puede, o no ver lo que publicamos. Es cierto también que estas configuraciones suelen ser complicadas y sus valores predefinidos son demasiado abiertos. Esto trae como primera consecuencia que la gente publique sin tener conciencia de quién lo verá o quién lo leerá.

Los estados de WhatsApp son accesibles para todas las personas que yo tengo registradas en mi teléfono y que me tienen registrado a mí, sin embargo se puede hacer una lista corta de quién puede leer lo que publico.  Instagram o X pueden ser configurados para que solamente las personas que nos siguen puedan ver las publicaciones y el seguimiento debe ser aceptado, de manera predeterminada cualquiera puede ver nuestras publicaciones. Incluso si la cuenta es privada, pero nos siguen cientos o miles de personas ya no es tan privada.

La privacidad sí importa

Internet ha traído cambios radicales en nuestras vidas, muchos de los cuales aún estamos intentando entender. Por un lado, podemos llegar con nuestros mensajes a cientos, miles y tal vez millones de personas. Por otro, nuestras vidas privadas pueden ser expuestas a audiencias indefinidas y personas mal intencionadas que podrían hoy o en el futuro usar esta información en nuestra contra.

Es importante pensar antes de publicar y utilizar Internet de una manera en la que podamos buscar nuestro beneficio. Si queremos compartir temas familiares mejor hacerlo en grupos pequeños donde conozcamos a las personas. Si queremos vender, informar, expresar nuestras ideas, pensemos cuáles son los mejores espacios de difusión.

Delimitar nuestros espacios de exposición nos protege, nos requiere reflexionar sobre los contenidos personales que compartimos diariamente. No todo está en nuestras manos, es verdad, pero un análisis acerca de cómo usamos nuestras redes está a nuestro alcance y puede ayudarnos a la hora de cuidar nuestra privacidad y nuestra seguridad en línea y fuera de ésta. 

Publicado originalmente en Derechos Digitales.

En primer lugar, están los servicios provistos por grandes empresas de Internet como son Zoom, Google Meet, Teams e Skype de Microsoft, entre otros. Estas plataformas suelen dar un servicio limitado gratuito y además ofrecen la posibilidad de pagar para tener funcionalidades extras.

Más allá de ser un servicio pago o gratuito, estas plataformas tienen la característica que la comunicación es gestionada por las empresas que proveen el servicio. Las conversaciones que viajan entre nuestros dispositivos y los servidores de las plataformas es cifrada. Esto quiere decir que alguien que pueda vigilar nuestras comunicaciones no tendrá la posibilidad de saber con quién hablamos ni lo que estamos diciendo, lo que es bueno y es el mínimo seguridad que se esperaría para cualquier sistema de comunicación.

Por otro lado, las empresas que proveen el servicio lo pueden ver todo y, si lo desean, tienen la capacidad de grabar y transcribir las conversaciones.

¿Nos sentiríamos a gusto si tuviéramos una conversación con micrófonos y cámaras en nuestra casa u oficina de trabajo? ¿Nos cuestionaríamos quién puede escuchar estas conversaciones y para qué? ¿Existe algún problema si las grandes empresas de internet pueden escuchar y grabar nuestras conversaciones?

Para contestar esta última pregunta vale la pena regresar a 2013, cuando Edward Snowden filtró documentos secretos de la agencia de inteligencia de Estados Unidos NSA. En estas revelaciones aparece el programa PRISM, en el que participaban empresas como Google, Microsoft, Meta (entonces Facebook), Yahoo, entre otras. Según las filtraciones, las empresas debían entregar información de cualquier usuaria si el gobierno de Estados Unidos se los pedía. Para ese entonces ya se incluía a las videoconferencias.

¿Estaríamos cómodos si supiéramos que en nuestras casas hay micrófonos y cámaras por dónde miran y escuchan agencias de inteligencia? ¿Está bien que nuestras conversaciones puedan ser escuchadas? ¿Se puede hablar por Internet sin que nos escuchen?

El primer camino es el cifrado de extremo a extremo. En ese caso, las organizaciones o personas que proveen el servicio no serán capaces de escuchar las conversaciones. Según las preguntas frecuentes de Zoom, es posible habilitar esta opción en sus llamadas. Sin embargo, si revisamos la historia reciente, en el año 2021 Zoom tuvo que pagar 85 millones de dólares en EEUU, como resultado de una demanda colectiva donde se les acusó de mentir sobre el cifrado extremo a extremo y entregar información a Google y a Facebook.

¿Se puede confiar en Zoom o cualquier otra empresa que provea cifrado extremo a extremo? La respuesta es sí, siempre y cuando se trate de software libre y que el protocolo de cifrado funcione en nuestro dispositivo y no en el servidor. El software libre es importante porque se sabe de manera pública cómo funciona la aplicación y se la puede auditar de forma colectiva a nivel global. Es muy difícil poner puertas traseras con este esquema de desarrollo. Por otro lado, es importante que el cifrado de extremo a extremo suceda en nuestros dispositivos, porque por más libre que sea el software, no podemos saber si el sistema que funciona en el servidor ha sufrido modificaciones y pueda servir para espiarnos.

En ese sentido, las videollamadas de Signal están cifradas de extremo a extremo desde finales de 2021 para llamadas de hasta 5 personas y se supone que hoy en día soportan hasta 40. Si bien es una aplicación con más de 10 años de existencia y ha demostrado ser confiable, tiene un problema. Todas las comunicaciones son gestionadas por los servidores de Signal. Si bien no pueden escuchar las llamadas, tienen la posibilidad de monitorear quién se comunica con quién a través de los metadatos. No significa que suceda, pero es algo técnicamente viable.

Si no se puede confiar en quién provee el servicio, ¿qué se puede hacer? Una opción es gestionar el servicio de manera autónoma con servidores propios que funcionen con software libre. De esta forma, la gestión de la comunicación ya no pasa por proveedores conocidos por colaborar con agencias de inteligencia o lucrar con nuestros datos. En otras palabras, se transfiere la confianza de estos proveedores a nuestra organización o a un proveedor más chico en el que se pueda confiar.

Herramientas libres como Jitsi y Big Blue Button permiten tener un sistema de videoconferencias propio. Si bien las comunicaciones ya no pasan por las grandes empresas de tecnología, en principio no están cifradas de extremo a extremo. Esto quiere decir que las personas que gestionan las comunicaciones podrían vigilarlas. Por ello, es muy importante conocer quién nos da el servicio y confiar en nuestro equipo. Es importante también destacar que Jitsi está trabajando para tener cifrado de extremo a extremo en sus comunicaciones.

¿Existe alguna opción en la que dos o más personas puedan hablar por internet de forma segura sin que un tercero sepa que esto está sucediendo? Puede sonar algo subversivo, sin embargo, es el equivalente a reunirnos en un parque sin celulares en los bolsillos, ya que el mundo físico no viene con vigilancia embebida. Algo que fue normal hasta hace algunos años.

Herramientas como Jami o Tox buscan que la gente se comunique de forma segura sin la necesidad de servidores de terceros. Estos son proyectos que ya tienen su muchos años de existencia, pero que por problemas de usabilidad no han despegado.

Una alternativa interesante es Wahay, que ha sido desarrollada en Latinoamérica por el Centro de Autonomía Digital. Esta aplicación combina los proyectos de software libre Mumble con los servicios cebolla de Tor. Su arquitectura garantiza que nadie por fuera de la conversación sepa que la mismo sucedió y menos lo que se dijo. Actualmente, Wahay funciona solamente en GNU/Linux.

Esta columna no tiene el objetivo de recomendar una aplicación sobre otra. Lo que busca es ampliar una visión crítica sobre la tecnología que nos permita tomar decisiones informadas basadas en nuestras necesidades.

Por ejemplo, la inteligencia artificial está llegando a estas plataformas de comunicación y es importante tener una visión crítica sobre la misma. Hoy en día es posible tener un asistente virtual en nuestras reuniones que pueda tomar nota, hacer resúmenes, grabar las reuniones e incluso destacar los puntos claves en las grabaciones. Algo que puede ser útil y conveniente, pero si es gestionado por servidores remotos pone en riesgo nuestra comunicación y nuestra privacidad. Sin embargo, si la aplicación de inteligencia virtual funciona con software libre y en nuestros dispositivos, puede ser interesante. Tal vez es más simple y seguro tomar las notas entre seres humanos.

Publicado originalmente en Derechos Digitales.

El fediverso es una “red de redes”, similar a internet. De ella participan redes federadas como Mastodon (que es similar a Twitter), Pixelfed (similar a Instagram), Peertube (a Youtube), entre muchas otras. Se puede pensar en el fediverso como un mundo compuesto por países, que están formados por ciudades. Los países serían las redes federadas y las ciudades serían las instancias donde las personas u organizaciones tienen cuentas. Las instancias son servidores en internet donde se instalan sistemas como Mastodon, Pixelfed u otros, y se pueden crear cuentas para publicar y leer contenido. En el fediverso existen miles de instancias que pueden interactuar unas con otras, a través de la federación.

La mayoría de personas que participan del fediverso lo hacen a través de cuentas que crean en instancias que son mantenidas por personas voluntarias y donaciones. Existen instancias grandes como Mastodon.Social, con más de 300 000 usuarias, y otras más pequeñas, como Mastodon Uruguay, que tiene poco más de 300. Las instancias funcionan gracias a sistemas de software libre que se instalan en servidores. De manera similar como se puede instalar WordPress para tener un sitio web, se puede instalar Mastodon para tener un microblog, PixelFed para compartir fotos, PeerTube para compartir videos, entre otros. Incluso, existen plataformas de hosting que permiten tener una instancia en el fediverso de manera fácil.

El pasado 31 de julio, la BBC decidió experimentar con el fediverso y creó una instancia de Mastodon, que actualmente aloja nueve cuentas de distintos programas. A diferencia de las instancias antes mencionadas, no está abierta para crear cuentas. Si alguien desea seguir una de las cuentas de la BBC en el fediverso, debe tener una cuenta en una instancia pública o implementar la propia. De esta forma, la BBC tiene la posibilidad de informar a la ciudadanía, sin tener la responsabilidad de almacenar los datos de las personas que comentan en sus artículos.

De manera similar, en abril de 2022, la Unión Europea implementó una instancia de Mastodon y otra de PeerTube para que distintas agencias puedan interactuar con la ciudadanía. Al igual que la de la BBC, estas instancias no están abiertas para que cualquier persona pueda crear una cuenta. Sin embargo, agencias estatales de la Unión Europea o funcionarios públicos podrían solicitar una.

Los gobiernos de Suiza, Holanda y Alemania han implementado sus propias instancias de Mastodon. El caso de Alemania es interesante. Algunos partidos políticos, como el Partido Verde y el Partido Social Demócrata, ya tienen sus propias instancias, lo que demuestra que diversos tipos de organizaciones están creando sus propios espacios en el fediverso para publicar y acceder a contenido.

La descentralización mitiga el impacto de los fallos

El modelo centralizado con el que trabajan las principales plataformas y redes sociales de internet es susceptible a un único punto de fallo. Si algo deja de funcionar en Twitter, este error afectará a más de 500 millones de cuentas; si la falla es en Instagram, entonces la afectación será a más 2 mil millones de cuentas. Esto ya ha sucedido. Por ejemplo, en octubre de 2021, Facebook, Instagram y WhatsApp dejaron de funcionar de manera simultánea por 5 horas a nivel de mundial. Eso quiere decir que miles de millones de personas a nivel global perdieron parte importante de su comunicación por culpa de una sola empresa.

En tal sentido, es casi imposible que todo el fediverso deje de funcionar a la vez o que que todas las instancias de una red como Mastodon fallen de manera simultánea. El modelo federado es más antiguo que internet y una de sus motivaciones es evitar un punto único de fallo. El correo electrónico es el caso de éxito más importante. Nunca ha sucedido que todos los correos electrónicos del mundo dejen de funcionar a la vez.

Desde el punto de vista de la privacidad, es importante tener la opción de escoger una instancia en la que se pueda confiar. De esta manera es posible saber quién tiene acceso a nuestros datos y se puede decidir dónde participar, sin perder la posibilidad de interactuar con el resto. Incluso, si se creó una cuenta en una instancia de Mastodon, es posible migrar la cuenta y sus seguidores a otra instancia. De esta manera, además de tener la posibilidad de proteger los datos, se evita tener dependencia de proveedor.

En el caso de las organizaciones, tener una instancia propia significa tener mayor autonomía. Las publicaciones no podrán ser borradas o censuradas, porque la plataforma está controlada por la organización. Desde el punto de vista técnico, no es más complejo que administrar un sitio web propio, sobre todo si la instancia no permite registrar cuentas de forma pública.

En marzo de este año, WordPress adoptó de manera oficial un plugin para publicar contenido al fediverso, a través del protocolo ActivityPub. Esto quiere decir que personas con cuentas en el fediverso pueden suscribirse al contenido publicado en un sitio web directamente desde su cuenta de Mastodon, Pixelfed u otra.

Las instancias gubernamentales mencionadas en este artículo y la de la BBC se encuentran en una etapa de pruebas. No se sabe si tendrán éxito y se mantengan a lo largo del tiempo, pero el hecho de que las empiecen a probar es alentador. Esperemos que en el futuro tengamos más redes descentralizadas y federadas, que estén pensadas para que las personas se comuniquen de manera libre y sin dependencia de proveedores. Ojalá que cada vez más gente habite el fediverso.

Publicado originalmente en Derechos Digitales.

Gran parte de nuestras vidas suceden en los teléfonos móviles. Las interacciones personales o profesionales a través de chats de WhatsApp, las búsquedas en Google, la búsqueda de romance a través de aplicaciones de citas o el uso de mapas para movilizarnos por las ciudades. Todas estas interacciones están mediadas por aplicaciones y empresas que lucran de nuestros datos, que son en gran medida representación de nuestra vida privada.

En esta columna explicaré como podemos utilizar nuestro teléfono celular de una forma distinta a la que se acostumbra utilizando aplicaciones alternativas o incluso sistemas operativos alternativos. Esta no es una columna sobre seguridad digital, es una columna sobre privacidad y libertad frente a las grandes corporaciones que están en nuestros teléfonos.

Los celulares con sistema operativo Android son los más utilizados en América Latina por lo que este artículo se enfocará en este tipo de dispositivos. La primera característica de estos teléfonos es que son dependientes de Google. En un teléfono nuevo, lo primero que se pide es una cuenta de Google que permitirá instalar aplicaciones, acceder al correo electrónico de Gmail, pero además se generará un perfil asociado a cada persona. La georeferenciación, las búsquedas, los videos vistos en Youtube son algunos de los datos recolectados por Google. Al ingresar con una cuenta de Google a “Mi Actividad en Google” se puede tener una idea de lo que Google sabe de nosotres.

Google sabe mucho de las personas que usan sus servicios, probablemente más que ellas. Pero no es la única empresa que conoce nuestra actividad, Meta, Tik-Tok, Twitter, Waze o cualquier aplicación que funciona como servicio en la nube, lucran de nuestros datos y tienen información sensible que nos describe. El primer paso para proteger nuestra privacidad es usar aplicaciones alternativas que respeten nuestra privacidad.

En lugar de utilizar WhatsApp, se puede utilizar una aplicación como Signal que es software libre, utiliza cifrado fuerte y además su trabajo es gestionado por una organización sin fines de lucro. Probablemente no es el modelo ideal, pero al menos no es una empresa que lucra de nuestros datos.

Si se piensa en una aplicación de mapas, estas normalmente requieren acceso a internet y una cuenta para funcionar, entonces es muy probable que esta aplicación esté monitoreando la actividad de las personas que la usan. OSMand es una aplicación alternativa de software libre que permite descargar mapas de todo un país o regiones y utilizar el GPS sin necesidad de internet. No es perfecta, la función ofrecer rutas donde existe menor tráfico vehicular no es algo que se tendrá con esta aplicación, pero sí podrás saber como llegar a tu destino sin que tu privacidad sea invadida.

Aquí cité dos ejemplos, pero existen muchas más aplicaciones y sitios como Privacy Guides, Privacy Tools, Prism Break u otras se puede encontrar recomendaciones.

De manera predeterminada para instalar una aplicación en Android se quiere utilizar Google Play, pero existen otras tiendas de aplicaciones. F-Droid es una tienda de dónde se pueden descargar aplicaciones sin necesidad de registrar una cuenta donde todas sus aplicaciones son software libre.  Adicionalmente F-Droid alerta sobre posibles características controversiales en las aplicaciones. Por ejemplo si una aplicación es libre, pero depende de una red centralizada como es el caso de Telegram se nos informará.

Desde F-Droid se puede instalar otra tienda de aplicaciones que se llama Aurora Store. La misma permite instalar aplicación desde los repositorios de Google sin usar Google Play. Hasta hace poco se la podía utilizar de forma anónima, pero lamentablemente al momento de escribir este artículo Google ha bloqueado esta posibilidad.

Si realmente se quiere sacar a Google de nuestro teléfono un paso a seguir es probar un sistema operativo alternativo. Gran parte de Android es software libre y existen versiones modificadas de este sistema operativo. La más popular se llama LineageOS y está disponible para decenas de modelos de teléfono. Lamentablemente no siempre estos teléfonos se venden en todos los países de América Latina o los modelos soportados son antiguos. 

LineageOS trae muy poco software instalado, por lo que se puede instalar solo el software necesario. Menos software significa mejor rendimiento y mayor seguridad. Para instalar software es se puede utilizar tiendas como F-Droid o Aurora Store, sin embargo también existe la posibilidad de instalar las aplicaciones de Google y sus servicios.

Además de LineageOS existen otras versiones modificadas de Android. GrapheneOS y CalyxOS son alternativas a destacar porque se enfocan en la seguridad y la privacidad. Replicant también tiene este enfoque pero además está pensada para funcionar solamente con software libre. A diferencia de LineageOS, estas distribuciones tienen muchos menos modelos de teléfonos soportados.

Si bien Android es un sistema operativo basado en Linux, es una versión muy limitada de este sistema operativo. Existen otras versiones que también se pueden instalar en varios teléfonos móviles y algunas de las más conocidas son PostmarketOS, Ubuntu touch o PureOS. Estos sistemas son Linux completo y se puede hacer prácticamente lo mismo que harías en una computadora. Una desventaja a tomar en cuenta es que las aplicaciones de Android no funcionan de forma nativa pero se las puede ejecutar con un emulador.

Estos sistemas operativos están disponibles para varios modelos de teléfonos celulares, sin embargo existen teléfonos que vienen con estos sistemas pre-cargados. Algunas de los modelos más conocidos son Librem de Purism y Pinephone. Estos teléfonos permiten, a través de un adaptador USB C, conectar un teclado, monitor y ratón al teléfono conviertiéndole en una computadora de escritorio.

Si bien somos muy pocas las personas que utilizamos aplicaciones como OSMAnd, Fdroid o un sistema operativo alternativo en los celulares, es positivo que esto pueda hacer. Que se puede instalar y que no en un dispositivo por el que se pagó es algo que debería decidir la persona dueña del teléfono, no su fabricante, ni Google.

La libertad no es gratuita y la conveniencia es una droga muy adictiva. Los teléfonos inteligentes forman parte importante de nuestras vidas y sin embargo no son nuestros. Las grandes empresas ofrecen aplicaciones que resultan útiles a cambio de datos personales e interacciones sociales. La existencia de proyectos que buscan dar el control a las personas por sobre la tecnología es esperanzadora si queremos vivir en una sociedad libre y no en una dominada por pocas empresas tecnológicas.

Publicado originalmente en Derechos Digitales.

En realidad el costo conlleva entregar los datos a estos proveedores. Todo documento que escribas en estas plataformas lo compartes con sus dueños: Google y Microsoft, que a su vez generan dinero con nuestros datos, por otro lado se sabe que las mismas incluso comparte nuestra información con agencias de inteligencia como lo reveló Snowden en el año 2013.

¿Se puede colaborar en Internet sin que un tercero lea nuestros documentos? La respuesta es sí, pero en distintos niveles. Hay que preguntarse, ¿dónde esta el servidor? ¿quién lo administra?¿en qué país y bajo que legislación estarán protegidos mis datos?

Nextcloud es una herramienta libre que la vengo utilizando durante algunos años para tener mis archivos sincronizados. En mi opinión, la forma más segura de compartir archivos con Nextcloud, es mediante Servicios Cebolla de Tor. Es algo relativamente fácil de configurar y tiene la ventaja que el servidor puede estar en mi casa, en la casa de mi amigo, en las oficinas de alguna organización, en cualquier lugar con Internet donde me pueda conectar a la red Tor. Incluso se puede tener carpetas sincronizadas de forma transparente.

En esta ocasión escribiré sobre la versión 18 de Nextcloud que permite instalar de forma amigable el servidor OnlyOffice que permite colaboración en tiempo real de forma similar a cómo lo hace Office 365 o Google Docs. Para esto es necesario tener un servidor conectado a Internet, normalmente se utiliza un VPS. Dependiendo de mis recursos el VPS se lo puede contratar a un proveedor de Internet o se lo puede tener alojado en un servidor propio.

Lamentablemente, de momento la combinación Nextcloud + OnlyOffice no funciona con Servicios Cebolla.

Manos a la obra

La versión 18 de Nextcloud permite instalar de forma fácil un servidor de Onlyoffice que permite editar archivos de forma colaborativa entre varias personas como se puede ver en las siguientes imágenes:

Gracias al gestor de aplicaciones SNAP, instalar Nextcloud es bastante sencillo. Primero se instala SNAP y luego Nextcloud:

sudo apt install snapd
sudo snap install nextcloud --channel=18/edge

La versión 18 de Nextcloud es bastante nueva y al momento de escribir este artículo hay que utilizar al canal edge, en el futuro debería bastar con:

sudo snap install nextcloud

Una vez instalado Nextcloud es importante configurar HTTPS para tener nuestro servicio de colaboración seguro. En caso de utilizar una red LAN se puede utilizar un certificado auto-firmado:

sudo nextcloud.enable-https 

Cuando se abra Nextcloud desde el navegador o desde el cliente se mostrará un error de certificado auto-firmado. Este certificado se debería aceptar la primera vez. Se puede confiar en el mismo porque nosotros mismo lo creamos. Para esto seleccionar avanzado y añadir la excepción.

En caso de querer el servidor de Nextcloud disponible en Internet, se debe generar un certificado con Letsencrypt, el mismo que será validado por todos los navegadores y no se presentará el error antes mencionado.

sudo nextcloud.enable-https lets-encrypt

En lo personal nunca configuré el certificado de Letsencrypt así, pero parece una muy buena opción.

Ahora abrimos el navegador en la dirección tipo https://192.168.20.25 o tipo https://nube.midominio.com. Aquí se pedirá crear una cuenta de administración donde entre otras cosas se podrá crear usuarios, añadir otras aplicaciones y más.

Aquí permite a más de instalar Nextcloud instalar otras aplicaciones, entre los que se incluye OnlyOffice. Para probar recomiendo instalar todo, para una instalación de un sistema en producción es mejor instalar solo lo necesario. (Para utilizar OnlyOffice es necesario instalar Community Document Server y ONLYOFFICE)

Ahora cuando se vaya a abrir un archivo en Nextcloud desde el navegador web se lo podrá editar directamente desde el navegador de forma individual o colaborativa.

Eso es todo, valdría la pena explorar las otras herramientas. Nextcloud se ha convertido en una gran herramienta para reclamar el control sobre nuestros datos.

Si bien este tutorial lo he probado con Linux, debería funcionar con Windows y Mac sin mayor problema. Para celular se puede utilizar Nextcloud a través de Orbot para acceder al servicio oculto.

Lo primero que se debe hacer es instalar el cliente de Nextcloud que esta disponible para la descarga para la mayoría de sistemas operativos. En el caso de Linux suele ser suficiente instalar el paquete nextcloud-desktop. Adicionalmente si se usa Gnome recomiendo instalar el paquete nautilus-nextcloud; nemo-nextcloud para Cinnamon; y dolphin-nextcloud para KDE:

Además del cliente Nextcloud es necesario tener instalado Tor. Para esto existen 2 opciones, usar el Navegador Tor (puerto 9150) o instalar el servicio Tor en el sistema operativo (puerto 9050).

La primera opción es simple y funciona en cualquier sistema operativo; tiene el problema de que siempre hay que abrir el navegador sino la carpeta no sincroniza. La segunda opción depende del sistema operativo, en el caso de GNU/Linux basta con instalar el paquete «tor». Entiendo que se puede instalar Tor como servicio en Windows y Mac, queda de tarea para quiénes usen esos sistemas operativos.

Una vez que esté instalado el servicio Tor y el cliente de Nextcloud se debe iniciar el cliente. Lo primero que se debe hacer es configurar el cliente de Nextcloud para que funcione con Tor. Para esto, la primera vez que se lo inicie, se abrirán 2 ventanas. La de adelante pedirá registrar una cuenta en un proveedor o hacer login. Antes de seleccionar hacer login, se debe modificar la configuración seleccionando la ventana de atrás.

En la ventana de atrás existen las secciones General y Red. Asegúrese de seleccionar la sección red y configurar para que use proxy SOCKS5 con servidor localhost y puerto 9050 (9150, en caso de usar Navegador Tor).

Una vez hecho esto se puede continuar con el asistente de configuración. Se selecciona hacer login y en la próxima ventana se debe poner el url http://abcxyz.onion como se ve en la siguiente imagen.

Si bien se esta utilizando http, en lugar de https, la comunicación es cifrada hasta el servidor gracias a que se esta utilizando un servicio cebolla.

Una vez terminada la configuración se puede empezar a sincronizar.

Por último si se instaló un plugin para el explorador de archivos se añadirán los íconos de sincronización y de esta manera saber si se tiene la última versión del archivo. En mi caso utilizo Nautilus (Gnome) y se ve así.

Eso es todo, espero les resulte útil.

A diferencia de servicios gratuitos o pagados como los antes mencionados, con software libre es posible tener una solución similar con infraestructura propia. Es decir, nadie pero los dueños de la infraestructura debería poder acceder a la información que se comparte. De esta manera cualquier persona con conocimientos técnicos podría implementar su propia nube para compartir archivos. En su defecto, alguien sin conocimientos técnicos puede pedir ayuda o contratar a alguien que sepa como hacerlo.

En este tutorial explicaré la forma más fácil de instalar Nextcloud que he probado hasta ahora. Para esto es necesario tener una máquina con Linux, esta podría ser algo como un Raspberry Pi, una computadora vieja o una máquina virtual. No es necesario tener una dirección IP pública ya que se utilizará los servicios cebolla de Tor para acceder a Nextcloud.

Hace unos meses, en colaboración con Autoformación TL y Fundación Acceso grabé un video y escribí un post donde explico detalladamente como configurar nextcloud como servicio cebolla de Tor. En este artículo explicaré una forma mucho más sencilla de configurar esta solución, pero recomiendo a las personas curiosas ver el video y/o leer el artículo.

Manos a la obra

Existen varias formas para instalar Nextcloud, una de las recomendadas en su página web es a través de Snap. Snap es un sistema de gestión de aplicaciones que, entre otras cosas, permite instalar sistemas complejos como Nextcloud de manera simple. Lo primero que haremos es instalar Snap.

sudo apt install snapd

A través de Snap se instalará Nextcloud:

sudo snap install nextcloud

Con eso esta instalado nextcloud, y se podría acceder desde un navegador web de manera local a través de http://127.0.0.1. También se puede desde la dirección ip de la computadora, pero no es recomendable si no se ha configurado correctamente HTTPS. En este artículo no se verá como configurar HTTPS, sin embargo los servicios ocultos de Tor permiten tener una comunicación cifrada.

Es la primera vez que utilizo Snap y no me considero lo suficientemente informado para emitir un criterio sobre su seguridad. No recomiendo este tutorial para temas sensibles. En todo caso es mucho más seguro que utilizar los servicios en la nube donde se sabe que se espía.

Para configurar el servicio oculto se debe instalar Tor:

sudo apt install tor

Luego se debe editar el archivo /etc/tor/torrc y añadir las siguientes líneas:

HiddenServiceDir /var/lib/tor/nextcloud/
HiddenServicePort 80 127.0.0.1:80

Ahora se reinicia Tor para activar la configuración

sudo systemctl restart tor

Hecho esto con el siguiente comando se puede ver la url con la que se puede acceder al servicio oculto.

sudo cat /var/lib/tor/nextcloud/hostname
tdmgcihbshcpq7vjg3bi7r5srs2t3ezbzgsjz36z45ng3wyofbfjauid.onion

Con esa dirección se abre en el navegador Tor y se pide crear el usuario de administración.

Con este usuario se podrá configurar la «nube» propia y a través de la misma compartir archivos y mucho más.

Esta es la solución más simple y cualquier persona con una navegador Tor podrá acceder a los archivos desde cualquier parte del mundo. Un paso adelante sería instalar el cliente de Nextcloud y de esta manera poder sincronizar archivos entre computadoras tan solo copiándolos y pegándoles dentro de una carpeta en el sistema operativo.

Ofrezco escribir un artículo al respecto pronto, pero como se que ofrecer es fácil y cumplir no tanto, esto ya lo expliqué en el blog de Fundación acceso, recomiendo ver la última parte.