tox – Rafael Bonifaz

Reflexiones sobre la privacidad en videoconferencias

Rafael Bonifaz — Sat, 23 Dec 2023 02:31:00 +0000

Las videoconferencias forman parte de nuestra vida cotidiana desde hace algunos años y su uso incrementó notablemente en la pandemia. Estas herramientas nos permitieron estar en contacto y comunicarnos a pesar del encierro. Si bien el concepto de videoconferencia es genérico, las plataformas que proveen estos servicios no son todas iguales. En esta columna se reflexionará sobre las implicaciones a la privacidad en videollamadas con respecto a quién provee el servicio.

CC:BY (Gilda Martini)

En primer lugar, están los servicios provistos por grandes empresas de Internet como son Zoom, Google Meet, Teams e Skype de Microsoft, entre otros. Estas plataformas suelen dar un servicio limitado gratuito y además ofrecen la posibilidad de pagar para tener funcionalidades extras.

Más allá de ser un servicio pago o gratuito, estas plataformas tienen la característica que la comunicación es gestionada por las empresas que proveen el servicio. Las conversaciones que viajan entre nuestros dispositivos y los servidores de las plataformas es cifrada. Esto quiere decir que alguien que pueda vigilar nuestras comunicaciones no tendrá la posibilidad de saber con quién hablamos ni lo que estamos diciendo, lo que es bueno y es el mínimo seguridad que se esperaría para cualquier sistema de comunicación.

Por otro lado, las empresas que proveen el servicio lo pueden ver todo y, si lo desean, tienen la capacidad de grabar y transcribir las conversaciones.

¿Nos sentiríamos a gusto si tuviéramos una conversación con micrófonos y cámaras en nuestra casa u oficina de trabajo? ¿Nos cuestionaríamos quién puede escuchar estas conversaciones y para qué? ¿Existe algún problema si las grandes empresas de internet pueden escuchar y grabar nuestras conversaciones?

Para contestar esta última pregunta vale la pena regresar a 2013, cuando Edward Snowden filtró documentos secretos de la agencia de inteligencia de Estados Unidos NSA. En estas revelaciones aparece el programa PRISM, en el que participaban empresas como Google, Microsoft, Meta (entonces Facebook), Yahoo, entre otras. Según las filtraciones, las empresas debían entregar información de cualquier usuaria si el gobierno de Estados Unidos se los pedía. Para ese entonces ya se incluía a las videoconferencias.

¿Estaríamos cómodos si supiéramos que en nuestras casas hay micrófonos y cámaras por dónde miran y escuchan agencias de inteligencia? ¿Está bien que nuestras conversaciones puedan ser escuchadas? ¿Se puede hablar por Internet sin que nos escuchen?

El primer camino es el cifrado de extremo a extremo. En ese caso, las organizaciones o personas que proveen el servicio no serán capaces de escuchar las conversaciones. Según las preguntas frecuentes de Zoom, es posible habilitar esta opción en sus llamadas. Sin embargo, si revisamos la historia reciente, en el año 2021 Zoom tuvo que pagar 85 millones de dólares en EEUU, como resultado de una demanda colectiva donde se les acusó de mentir sobre el cifrado extremo a extremo y entregar información a Google y a Facebook.

¿Se puede confiar en Zoom o cualquier otra empresa que provea cifrado extremo a extremo? La respuesta es sí, siempre y cuando se trate de software libre y que el protocolo de cifrado funcione en nuestro dispositivo y no en el servidor. El software libre es importante porque se sabe de manera pública cómo funciona la aplicación y se la puede auditar de forma colectiva a nivel global. Es muy difícil poner puertas traseras con este esquema de desarrollo. Por otro lado, es importante que el cifrado de extremo a extremo suceda en nuestros dispositivos, porque por más libre que sea el software, no podemos saber si el sistema que funciona en el servidor ha sufrido modificaciones y pueda servir para espiarnos.

En ese sentido, las videollamadas de Signal están cifradas de extremo a extremo desde finales de 2021 para llamadas de hasta 5 personas y se supone que hoy en día soportan hasta 40. Si bien es una aplicación con más de 10 años de existencia y ha demostrado ser confiable, tiene un problema. Todas las comunicaciones son gestionadas por los servidores de Signal. Si bien no pueden escuchar las llamadas, tienen la posibilidad de monitorear quién se comunica con quién a través de los metadatos. No significa que suceda, pero es algo técnicamente viable.

Si no se puede confiar en quién provee el servicio, ¿qué se puede hacer? Una opción es gestionar el servicio de manera autónoma con servidores propios que funcionen con software libre. De esta forma, la gestión de la comunicación ya no pasa por proveedores conocidos por colaborar con agencias de inteligencia o lucrar con nuestros datos. En otras palabras, se transfiere la confianza de estos proveedores a nuestra organización o a un proveedor más chico en el que se pueda confiar.

Herramientas libres como Jitsi y Big Blue Button permiten tener un sistema de videoconferencias propio. Si bien las comunicaciones ya no pasan por las grandes empresas de tecnología, en principio no están cifradas de extremo a extremo. Esto quiere decir que las personas que gestionan las comunicaciones podrían vigilarlas. Por ello, es muy importante conocer quién nos da el servicio y confiar en nuestro equipo. Es importante también destacar que Jitsi está trabajando para tener cifrado de extremo a extremo en sus comunicaciones.

¿Existe alguna opción en la que dos o más personas puedan hablar por internet de forma segura sin que un tercero sepa que esto está sucediendo? Puede sonar algo subversivo, sin embargo, es el equivalente a reunirnos en un parque sin celulares en los bolsillos, ya que el mundo físico no viene con vigilancia embebida. Algo que fue normal hasta hace algunos años.

Herramientas como Jami o Tox buscan que la gente se comunique de forma segura sin la necesidad de servidores de terceros. Estos son proyectos que ya tienen su muchos años de existencia, pero que por problemas de usabilidad no han despegado.

Una alternativa interesante es Wahay, que ha sido desarrollada en Latinoamérica por el Centro de Autonomía Digital. Esta aplicación combina los proyectos de software libre Mumble con los servicios cebolla de Tor. Su arquitectura garantiza que nadie por fuera de la conversación sepa que la mismo sucedió y menos lo que se dijo. Actualmente, Wahay funciona solamente en GNU/Linux.

Esta columna no tiene el objetivo de recomendar una aplicación sobre otra. Lo que busca es ampliar una visión crítica sobre la tecnología que nos permita tomar decisiones informadas basadas en nuestras necesidades.

Por ejemplo, la inteligencia artificial está llegando a estas plataformas de comunicación y es importante tener una visión crítica sobre la misma. Hoy en día es posible tener un asistente virtual en nuestras reuniones que pueda tomar nota, hacer resúmenes, grabar las reuniones e incluso destacar los puntos claves en las grabaciones. Algo que puede ser útil y conveniente, pero si es gestionado por servidores remotos pone en riesgo nuestra comunicación y nuestra privacidad. Sin embargo, si la aplicación de inteligencia virtual funciona con software libre y en nuestros dispositivos, puede ser interesante. Tal vez es más simple y seguro tomar las notas entre seres humanos.

Publicado originalmente en Derechos Digitales.

¡El 2017 todos a encriptar!

Rafael Bonifaz — Mon, 02 Jan 2017 00:44:20 +0000

Empieza el año y con esto muchos hacen sus propósitos para el inicio de un nuevo ciclo. Gracias a Snowden, Wikileaks y otros, ahora sabemos toda actividad que realizamos en internet deja huella. Cada correo, búsqueda, chat, etcétera; va llenando la información de lo que con el tiempo se convierte en un perfil de cada uno de nosotros. Por esto para este nuevo año propongo enseñar y aprender a cifrar las comunicaciones.

No es suficiente aprender a cifrar las comunicaciones ya que si las personas con las que nos comunicamos no lo saben hacer sirve de poco. Por esto es importante una vez que se aprende, replicar el conocimiento y cuando sea posible aprender en grupo.

Es así que hace unos meses con los amigos de GCOOP decidimos organizar un curso para enseñar a la gente a proteger sus comunicaciones. No importa si es la NSA, el gobierno local o algún delincuente existen 3 ingredientes indispensables para tener comunicaciones seguras: software libre, criptografía y descentralización de las comunicaciones.

Para apoyo de clases desarrolle 7 presentaciones que me sirvieron de apoyo para el dictado del curso. Considerando la importancia de replicar el conocimiento comparto el trabajo bajo licencia creative commons compartir igual. Si bien las diapositivas por si solas no sirven para aprender a proteger las comunicaciones, si sirven para que alguien que ya sabe cifrar pueda compartir ese conocimiento con otros.

En el curso se expliqué la problemática de la vigilancia en internet y que hacer para proteger el anonimato y la privacidad. Se enseño a usar Tor, un gestor de contraseñas. Hecho esto se aprendió a crear cuentas anónimas de chat y correo electrónico, así como cifrar las comunicaciones fin a fin. Si bien propongo el uso de algunas herramientas, estas no son las únicas, sino son con las que estoy familiarizado.

Neto, uno de los alumnos que participaron en este curso empezó a escribir una serie de reseñas sobre lo aprendido en el curso.

Descripción y presentaciones

A continuación pueden descargar todas las presentaciones sobre privacidad y a nonimato.

1) Internet: Vigilancia masiva, privacidad y anonimato: En este capítulo se explicó la problemática actual de internet . Se hace referencia a los documentos de Snowden, los Spyfiles de Wikileaks y el caso de Hacking Team. Es una versión corta de la charla que suelo dar en mis conferencias sobre vigilancia masiva en Internet.

2) Anonimato con Tor: Se abordó la problemática sobre anonimato en Internet y las herramientas que se pueden utilizar para proteger el anonimato en línea. Si bien se utilizó Tor para esto, también se menciona a herramientas como i2p. Al final de la clase se realiza un ejercicio de crear una cuenta de correo electrónico anónima, misma que se utilizo en el resto de las clases.

3) Gestión de contraseñas: Tener una contraseña de muchos caracteres, difícil de adivinar y diferente para cada cuenta que se utilice en Internet es una de las recomendaciones que muchas personas dan y que pocas cumplen. Un gestor de contraseñas permite administrar contraseñas seguras y diferentes para cada cuenta que se maneje en línea.

4) Chat Seguro: El chat es una de las herramientas más utilizada para comunicarse por Internet. En este capítulo se aprendió a crear una cuenta de chat XMPP anónima a través de Tor. La comunicación se la protege con cifrado fin a fin a través de OTR. También se mencionó sobre el uso de herramientas como Signal o Telegram y la problemática de los servicios centralizados.

5) Voz/IP y Video conferencia: Si bien existen varias herramientas de voz/ip, en general no funcionan bien a través de Tor por lo que no es tan fácil conseguir anonimato. Se hicieron pruebas con Tox y sus distintos clientes porque permite tener una red de voz/ip p2p que funciona cifrada fin a fin siempre.

6) Correo Electrónico Encriptado: El correo electrónico es otra de las herramientas de comunicación más utilizada. En este capítulo se aprendió a ocultar el contenido de los mensajes a través de PGP y a ocultar los metadatos a través de Tor.

7) Tails: Todas las herramientas vistas en el curso, salvo las de voz/IP, vienen listas para usar en la distribución Tails. Tails, es una distribución de GNU/Linux que funciona desde una memoria flash y que oculta el tráfico de internet a través de Tor. Es lo que utilizó Glen Greenwald para comunicarse con Snowden.