privacidad en la red
TRANSCRIPT
TEMARIO:
Módulo 1: Introducción a la privacidad.
• Por qué proteger nuestra privacidad
• Que es el cifrado
Módulo 2: Taller práctico.
• TOR: Navegación anónima.
• Thunderbird + Enigmail: Cifrado de e-mails.
• Truecrypt: Protege tus archivos.
ANEXOS
• Anexo I: Uso de contraseñas seguras.
• Anexo II: Cerrar sesiones de usuario.
• Anexo III: Mejor usar Software libre.
• Anexo IV: Pidgin: Chat cifrado.
• Anexo V: Móviles.
• Anexo VI: Alternativas a redes y servicios privativos.
• Anexo VII: Enlaces de interés.
Estamos en:
cgtbarcelona
@cgtbarcelona
https://quitter.es/cgtbarcelona
PRIVACIDAD EN LA RED
MÓDULO 1
Introducción a la privacidad.
1. Por qué proteger nuestra privacidad.
Cuando se habla de la privacidad siempre se obtiene la misma respuesta: “No tengo nada
que ocultar, estoy tranquila”.
¿Dejarías que un desconocido leyera tu correspondencia, cuenta bancaria o e-mails?, ¿abrirías tu
casa al primero que pasa para que mire en tus cajones, en tu nevera o se meta en tu cama?, no,
¿verdad?, ¿y por qué no, si seguramente no tengas nada que esconder?, ¿verdad que tienes
cortinas para que el vecino de enfrente no mire?
Se trata de preservar tu privacidad, porque tu espacio es tuyo y en él quieres estar tranquila y
sentirte a salvo, aunque no tengas nada que esconder. Pues con tus datos pasa exactamente lo
mismo.
1.1 Por qué proteger nuestra privacidad.
Edward Snowden, ex agente de la NSA en búsqueda y captura acusado de alta traición por
el gobierno de los Estados Unidos, desveló los secretos de la agencia, confirmando las sospechas
que muchos colectivos tenían sobre el espionaje masivo de las comunicaciones mundiales. PRISM,
Echelon o Patriot Act son un pequeño ejemplo.
Navegar es una actividad promiscua. Cada vez que introduces una dirección en el
navegador, pinchas en un enlace o buscas una palabra en Google, tu navegador intercambia
fluidos digitales (composición de nuestro equipo informático, geolocalización, dirección IP) con
otros ordenadores desconocidos, una jungla de servidores y proveedores de servicios, y esto pasa
- 2 -
No somos conscientes de la cantidad de información que generamos y que
acaban en manos de multinacionales y gobiernos, que llegan a saber más
de nosotros que nosotras mismos. Datos almacenados en grandes centros
de datos (Big data) y que venden a terceros para hacer negocio a nuestra
costa. Y quien sabe, la vida da muchas vueltas y un día esos datos pueden
convertirse en antecedentes.
docenas de veces con un solo enlace, sin que nosotros tengamos que hacer nada. Y hay mucha
gente escuchando.
Después de un año de visitas, la incansable maquinaria de registrar datos acumula miles de
páginas sobre nosotros en un archivo que incluye nuestro nombre, dirección, estado civil,
financiero y emocional; compras, viajes, amigos, inclinaciones políticas y predicciones acerca de
nuestras vidas, basadas en todo lo anterior. Esto, sin que nadie nos “vigile” especialmente.
Hace poco saltaba a la luz pública el escándalo de la compañía italiana “Hacking Team”, la
cual robaba información para los gobiernos (incluido el nuestro) a través de Facebook y Whatsapp.
Para no depender de compañías extranjeras, el Ministerio del Interior tendrá operativo a partir de
2017 el sistema de interceptación de comunicaciones llamado “Evident X-Stream”, una completa
herramienta que permite localizar en tiempo real, registrar y almacenar cualquier conversación
realizada a través del teléfono, correo electrónico, chat, redes sociales y otra decena de
plataformas. Mientras tanto, el Gobierno ha incrementado en un 41% la información de los
españoles que pide a Facebook, esa gran compañía dueña de whatsapp e Instagram, que viola
sistemáticamente nuestra privacidad, junto con Google o Microsoft.
1.2 Qué es el cifrado.
El cifrado es una técnica de transformación de un mensaje a través de un algoritmo. El
resultado es ilegible y solo se puede leer con la clave que se usó para cifrarlo.
El cifrado no es nuevo, Julio César ya se inventó un sistema para evitar que el enemigo supiera
sus planes. María Estuardo, Vigenère o Alan Turing han utilizado el cifrado a lo largo de la historia.
¿Por qué es importante el cifrado para nosotras? El cifrado permite navegar por la red sin que
nuestros datos sean entendibles. Igual pasa con los archivos que guardamos en nuestro
ordenador. Si están cifrados nadie salvo el conocedor de la clave podrá descifrarlos para poderlos
leer. Vamos a ver cómo aplicar el cifrado a nuestro uso en la red.
- 3 -
Target es un sistema capaz de determinar si una adolescente está embarazada
antes de que lo sepa ella misma solo mirando lo que compra.
Según las estadísticas, las recién embarazadas compran miniaturas, plásticos y
colores pastel. Si están de 3 meses compran loción sin perfume y suplementos de
calcio, magnesio y zinc. “Si Marianita Rajoy de 23 años compra crema hidratante
de manteca de coco, suplementos de zinc y magnesio y una alfombra de color azul
pastel, hay un 87% de probabilidades de que esté embarazada y dé a luz a finales
de agosto”
MÓDULO 2Taller práctico.
1. TOR: Navegación anónima.
TOR (The Onion Ruter) es un sistema cifrado que no revela tu identidad ni los datos que
viajan por ella. El que envía algo no sabe a quien y el que lo recibe no sabe de quien. Además
TOR ofrece su propia red, llamada “onion”, adentrándonos a lo que se conoce como deep web o
darknet. Las direcciones de la red onion tienen la siguiente sintaxis: 7jguhsfwruviatqe.onion
1.1 La Deep Web.
Creemos erróneamente que Internet es lo que nos muestra Google, sin embargo hay un
mundo de contenidos que no están “fichados” por los buscadores, ya sea por su formato fuera del
estándar o simplemente por su dudoso contenido de cara a las leyes cada vez más restrictivas,
siendo más de la mitad de contenido total de internet lo que no se ve.
- 4 -
1.2. Como usamos TOR
Al ejecutar TOR aparecerá un menú de conexión y, tras finalizar, el navegador Firefox
aparecerá en ventana dándonos la bienvenida a TOR en color verde. Ahora ya podremos navegar
por la web anónimamente. Pero además tenemos un plus con TOR, y es que podemos visitar las
webs de su propia red. En la dirección http://thehiddenwiki.org/ podremos acceder a un directorio
de enlaces que se actualizan muy a menudo, pero hay muchos más.
NOTA: Debemos tener en cuenta algunos aspectos, ya que TOR renuncia a varios sistemas
para mantener la privacidad, por lo que debemos observar las siguientes recomendaciones:
• TOR no usa flash, java ni RealPlayer, para eso ya usamos otros sistemas.
• TOR nos avisará si ponemos el navegador en modo “pantalla completa”. Parece una
tontería, pero el tamaño de pantalla es una pista para identificar un origen.
• TOR nos avisará al abrir automáticamente los documentos que son manejados por las
aplicaciones externas, como archivos PDF o DOC. ya que estos documentos contienen
recursos de Internet que serán descargado fuera de TOR por la aplicación que los abre y
esto revelará nuestra dirección IP y perderemos el anonimato. Siempre es mejor
descargarlos y ya los veremos offline.
2. Thunderbird + Enigmail: Cifrado de e-mails
Es posible implementar el cifrado en nuestro correo electrónico para que solo su
destinatario vea el contenido. Para ello usaremos el programa Thunderbird y su complemento
Enigmail.
Thunderbird es un gestor de correo multicuenta, parecido a Outlook. Podemos tener todos
nuestros correos configurados dentro para ver todos los correos de nuestras cuentas con un solo
click. Lo podemos descargar de su web: https://www.mozilla.org/es-ES/thunderbird/
Para instalar Enigmail, iremos al menú “Herramientas Complementos Extensiones”→ → y en el
buscador pondremos “enigmail”. También es recomendable instalar gpg4win si no queremos usar
- 5 -
Usar TOR es muy fácil, solo necesitamos el “Tor Browser Bundle”
disponible en su web: https://torproject.org
thunderbird, para cifrar archivos y enviarlos como adjuntos. Su web es https://www.gpg4win.org/
2.1. Pretty Good Privacy (PGP)
Para cifrar nuestros correos usaremos el PGP o su alternativa libre GPG. Es el sistema que
mejores resultados da a la hora de enviar mensajes con seguridad. Está basado en un sistema de
“par de claves”. Generamos 2 claves, una pública y otra privada, asociadas a nuestra dirección de
correo. La pública se la damos a todo el mundo pero la privada no. Buscando un símil fácil de
entender, supongamos que la clave pública es un candado y la llave privada es la llave que abre
ese candado.
- 6 -
Reparto a todos mis contactos copias del candado, así cuando alguien me
quiera mandar algo, solo tiene que poner el candado a la caja, cerrarlo y
enviarme la caja. Ahora estoy seguro de que solo yo voy a poder abrir la caja
porque solo yo tengo la única copia que existe de la llave.
Al iniciar Thunderbird deberemos generar nuestro par de claves. Iremos al asistente de
instalación que detectará que no tenemos instalado gnuPG y procederá a instalar gpg4win.
Inmediatamente generaremos las claves y pondremos una contraseña que sea fuerte. Por último
crearemos un certificado de revocación para anular nuestra clave en caso de quedar
comprometida y ya tendremos preparado el sistema para poder usar el cifrado.
Es importante subir la clave pública a un servidor para que todos puedan buscarla y usarla para
enviarnos mensajes cifrados. Yo recomiendo el servidor pgp.mit.edu ya que dispone de
certificado de seguridad.
Redactamos un nuevo correo, ponemos un asunto y el correo propiamente dicho con
adjuntos si fuera necesario. Ahora pulsaremos el candado para cifrar el correo.
NOTA: El asunto del mensaje no se cifra, por lo que hay que tener cuidado en lo que se
pone. Muchos correos cifrados han sido usados contra colectivos por el evidente contenido del
asunto.
- 7 -
3. Truecrypt: Protege tus archivos.
Es un programa que sirve para proteger nuestros datos mediante el cifrado de particiones o
todo un disco duro completo, pero lo más habitual, y lo que vamos a hacer en este taller, es crear
un archivo con el nombre y tamaño que queramos, cifrarlo y usarlo como si fuera un disco duro o
un pendrive en Windows.
Pulsaremos el botón “Create volume” y daremos un nombre al archivo a crear y su ubicación (el
resto de opciones las dejaremos como vienen). Nos pedirá una contraseña, que debe ser fuerte, y
se creará el archivo.
Una vez creado aparece en la lista de volúmenes (en la imagen Datos.dat en el volumen H). Solo
tenemos que pulsar el botón “Mount” para montarlo y ya podremos acceder desde windows.
Una vez usado el archivo deberemos volver a Truecrypt para desmontar el volumen, lo
seleccionaremos de la lista y mediante el botón “Dismount” lo dejaremos desmontado.
- 8 -
ANEXOS
Anexo I:
Uso de contraseñas seguras.
Varios estudios revelan que las contraseñas más utilizadas son 12345, password, qwerty, la
fecha de nacimiento, la fecha de casados o el nombre de nuestro perro. En el caso de los e-mails,
muchas ponen el mismo nombre de su cuenta como contraseña y lo peor de todo es que muchas
personas utilizan una misma contraseña para todo. Evidentemente todo esto es un error.
Una buena contraseña es la que tiene como mínimo 8 caracteres alfanuméricos, intercalando
mayúsculas, minúsculas y signos.
Hay varios métodos para obtener una contraseña fuerte y fácil de memorizar, que es lo que más
preocupa. La mejor opción es poner el nombre de cuenta y el servicio. así pues, si quiero entrar a
mi cuenta en google la contraseña sería algo así:
Cuenta: [email protected]
Contraeña: Mi-Cuent4-Gmail
Otra opción es añadir una palabra que solo nosotras conozcamos:
Cuenta Twitter: @micuenta
Contraseña: Twitter*palabra*
➔ Recomendaciones:
• No marcar la opción "recordar contraseña" que ofrece el propio sistema ya que de esta
manera la contraseña queda en memoria y registrada en un archivo fácilmente descifrable.
Es tedioso tener que teclear las contraseñas todo el rato, pero recordemos que nos
- 9 -
De una manera fácil obtenemos contraseñas largas y seguras. Y para aquellos que
tengan memoria de pez, como el que suscribe, existen programas como Keepass, el
cual guarda nuestras contraseñas en un archivo cifrado con contraseña, por lo que
solo deberemos recordar UNA contraseña.
preocupa la seguridad.
• No solo es importante la contraseña, sino también el nombre de nuestra cuenta. Huid de
poner nombre y apellidos a vuestra cuenta, ni tampoco la fecha de nacimiento, es mucha
información la que estamos dando solo con el nombre de la cuenta de correo, susceptible
de ser utilizada para muchas cosas.
• Cambiar periódicamente las contraseña. De nada sirve tener una buena contraseña si
dejamos tiempo para que por “fuerza bruta” alguien se haga con ella. Basta con ir
poniendo caracteres nuevos al final de la contraseña o cambiando la primera letra de la
misma con cierta regularidad.
• Si estamos en un ordenador que no es nuestro, usaremos un teclado virtual, ya que no
sabemos si hay instalados keyloggers que leen las pulsaciones del teclado (en ordenadores
de Empresa es habitual). Windows trae uno, accesible desde “Accesorios Accesibilidad → →
On-Screen Keyboard” o con “tecla de windows”+”R” y tecleando osk
Anexo II:
Cerrar sesiones de usuario.
Cuando queramos salir de nuestro correo o red social debemos acostumbrarnos a pulsar la
opción “cerrar sesión” y no cerrar el navegador sin más. Esto es un ERROR, ya que cualquiera que
venga después de nosotros y abra el navegador le aparecerá nuestra sesión abierta y todos
nuestros datos a su disposición.
Anexo III:
Mejor usar Software libre.
Hay un debate generalizado sobre cuál es el sistema operativo más seguro. Pues no existe
ningún sistema operativo seguro. En cualquiera se puede instalar un programa molesto, o un
virus. Ni Linux ni Mac están libres de ello, no hay que engañarse.
- 10 -
Así se ha conseguido “supuestamente” obtener pactos con la Empresa de otros
“sindicatos” o “supuestamente” leer las conversaciones entre “sindicalistas”
poniéndose de acuerdo para reventar una manifestación.
Sobre lo que sí hay un acuerdo mayoritario es sobre que Windows es el sistema más inseguro y
más difícil de proteger debido a su política de usuarios. Por defecto Windows nos da acceso a todo
el ordenador, y si instalamos un programa usando nuestro usuario (con acceso ilimitado), ese
programa podrá acceder a todo lo que le apetezca.
Se puede proteger en cierta forma un Windows, mediante firewalls, antivirus, permisos de
usuario, mantener actualizado el ordenador y, sobre todo, teniendo mucho cuidado con qué se
instala y de dónde se ha obtenido lo que se instala.
Apple es algo más seguro, aunque el número de “programas atacantes” está creciendo día a día,
aprovechándose de “agujeros de seguridad”. Dado que Apple es una empresa con “software
cerrado” estos agujeros de seguridad son corregidos lentamente.
Linux, por defecto, aisla a cada usuario en su propia “cuenta” y así los ataques no se extienden
al resto del sistema: si solo tienes acceso limitado a algo solo puedes hacer un daño limitado.
También existen agujeros de seguridad, por supuesto, aunque al ser un proyecto open source son
corregidos con más celeridad.
La principal recomendación aquí sería no usar Windows (ni Mac, por ser software cerrado) y
pasarse a alguna variante de Linux. Pero esto es difícil ya que la mayoría de los ordenadores que
se venden vienen con Windows instalado.
Software libre u Open Source.
Siempre hablamos de software libre y de software privativo. Siempre es mejor el primero y
vamos a ver por qué:
• El software libre respeta la libertad de los usuarios y fomenta la solidaridad social con su
comunidad.
• El software libre permite ejecutar el programa como quieras, modificar el código fuente
para que se adapte a las necesidades de cada usuario y permite añadir mejoras para luego
distribuirlas a los demás, contribuyendo así a la comunidad del software libre.
• Los usuarios tienen el control de sus sistemas, del funcionamiento de los programas y de la
información de privacidad que genera y envía, y no al revés.
Con el software privativo los usuarios estamos atados a un sistema el cual no podemos adaptar
a nuestras necesidades. Además, el código es cerrado y no se puede acceder a él, por lo que el
- 11 -
usuario no sabe lo que hay en ese código, no podemos saber si hay, espías, trampas, mecanismos
de control, etc.
¿Por qué desconfiar del software privativo?
El simple uso de este tipo de programas se basa en la dependencia de su creador, es decir,
el funcionamiento, a veces insuficiente o anómalo, depende de él; no podemos adaptarlo a
nuestras necesidades, no podemos aplicar las mejoras que cada usuario pretenda, por lo que es el
usuario el que acaba adaptándose al software.
Este tipo de software suele esconder funcionalidades malévolas como backdoors (puertas
traseras) o sistemas de control y envío de datos privados, y no son casos aislados, es la tónica
general, sabida y aceptada (solo hay que leerse los términos de uso, que nadie se lee). Se ha
podido saber cómo Microsoft o Google han escondido código a cargo de la NSA (agencia de
seguridad americana), dentro del proyecto PRISM, así pues, el software pasa de servir al usuario a
vigilarlo.
Windows, por ejemplo, tiene funcionalidades de recogida de datos del usuario que envía a un
servidor, restringe el uso de los datos del propio usuario imponiendo cambios en el software sin
previo permiso del usuario, y además tiene una puerta trasera conocida.
Un ejemplo
Entramos a una web y vemos que las imágenes están deformadas, la letra se ve mal y todo
es un galimatías incomprensible. Podemos coger el código de esa web y cambiar las partes
anómalas, adaptándolo al sistema que usemos y a nuestras características. Ahora cuando
volvemos a entrar en esa web, todo se ve bien. Si no pudiéramos modificar el código, tendríamos
que conformarnos con ver la web mal y esperar a que su creador se diese cuenta y lo arreglase
por nosotros en alguna actualización, algo que a veces no sucede.
Anexo IV:
Pidgin: Chat cifrado.
¿Recordáis el Messenger, tan popular a principios del 2000? Existe un protocolo llamado
XMPP (antes jabber), que es utilizado por whatsapp, hangouts o el chat de Facebook, pero que
tiene la ventaja de utilizar servidores descentralizados y software libre.
La ventaja de este servicio es que no tenemos que dar nuestro número de móvil ni nuestra
cuenta de correo personal para que nadie se lucren con ellos como hace whatsapp o Telegram.
- 12 -
Además las conversaciones se pueden cifrar mediante el protocolo OTR (Off The Record) para que
nadie más que los participantes en el chat sepan de qué se está hablando. Ofrece salas de chat
(como los grupos en whatsapp), envío de todo tipo de archivos y otros servicios.
Para usar XMPP nos abrimos cuenta en cualquiera de los servidores de esta dirección:
https://list.jabber.at/ y el programa para utilizarlo puede ser pidgin, Psi, Gajim o Jitsi.
Para chatear con otras personas solo hay que intercambiarse las cuentas XMPP y añadirlas al
programa. Y como no podía ser de otra forma, para móviles tenemos Conversations, xabber o
jtalk.
Anexo V:
Móviles.
Los mismos programas, o similares, que usamos con el ordenador pueden ser usados en los
teléfonos móviles. En este apartado presentaremos consejos y alternativas para Android, por ser el
sistema más extendido. Los usuarios de Apple pueden... cambiar de teléfono, por ejemplo.
Mensajería
- 13 -
La principal recomendación es no usar Whatsapp para nada. Ya era un programa inseguro
en sus inicios, pero ahora forma parte de Facebook que, entre otras cosas, trafica con nuestros
datos personales y pone a disposición de los gobiernos nuestras conversaciones. Además, los
mensajes de whatasapp se emiten en texto claro, sin cifrar, y un atacante podría capturar
nuestros datos.
Una opción menos dañina es Telegram, que tampoco es segura al 100%, ya que forma parte de
una empresa privada. Teóricamente Telegram cifra los mensajes y se lo pone más difícil a los
atacantes. También impide la modificación de mensajes (alguien que intenta hacerse pasar por
otra persona) firmando los mensajes con un código único.
Una opción más interesante es Signal, que nos permite no sólo una comunicación por mensajería
más segura, sino que además los mensajes son borrados del servidor cada cierto tiempo,
podemos realizar llamadas telefónicas “cifradas” y es “open souce” así que puede ser auditada
para conocer si existe algún agujero de seguridad.
Aun así, lo que mejor resultado da es el protocolo XMPP, conocido como Jabber, del que hemos
hablado anteriormente.
Correo electrónico
Lo mismo que realizamos con Thunderbird + Enigmail (correo electrónico cifrado) puede ser
realizado mediante una aplicación llamada K-9 (su icono es una especie de perro robot) y
openkeychain. Además, al ser open source los agujeros de seguridad están a la vista.
Navegación segura
También disponemos en Tor para el móvil, se llama Orbot. Orbot nos permite instalar un
proxy para que nuestras conexiones se realicen mediante TOR. Un proxy es un servicio intermedio
que conecta a la red TOR; simplemente se ha de decir a los programas de nuestro móvil que usen
ese “proxy” en vez de la conexión habitual de internet. Todos los programas pueden “torificarse”
configurando la conexión mediante proxy “127.0.0.1” y puerto “8118”
Orweb es una navegador web seguro que usa la red TOR y Gibberbot es un cliente de
mensajería instantáneo (chat) que usa la red TOR.
- 14 -
Anexo VI:
Alternativas a redes y servicios privativos.
Ya sabemos que las grandes empresas trafican con nuestros datos para lucrarse y que
además, comparten esos datos con los Gobiernos que se los pidan, ¿qué servicios utilizamos
entonces?. Lo puedes averiguar en la siguiente lista de equivalencias, aunque hay muchos más.
Gmail
• Tutanota: https://tutanota.com/#header
• Openmailbox: https://openmailbox.org
• Duckduckgo: https://duckduckgo.com/
Google maps
• Open Street Map: http://www.openstreetmap.org
Youtube
• Mediagoblin: http://mediagoblin.org/
• Diaspora: https://joindiaspora.com/
• Gnusocial: https://quitter.es
• Quitim: https://quit.im/
Dropbox
• Openmailbox: https://cloud.openmailbox.org/
• SpiderOak: https://spideroak.com/
• Copy: https://www.copy.com/
- 15 -
• Seacloud CC: https://seacloud.cc/accounts/login/?next=/
Google Play
• F-Droid: https://f-droid.org/
Skype
• Linphone: http://www.linphone.org/
• Tox: https://wiki.tox.im/Binaries
Whatsapp y Telegram
• Signal
• Xabber o conversations (XMMP)
Anexo VII:
Enlaces de interés.
Web recopilatoria de artículos sobre cómo las redes sociales violan nuestra privacidad:
http://moribundo-insurgente.blogspot.com.es/
Comunícate libremente, una web sobre programas y servicios de comunicación alternativos.
https://comunicatelibremente.wordpress.com/
Ciberactivismo y recursos de seguridad.
https://xnet-x.net/es/
Video: ¿Por qué me vigilan si no soy nadie?:
https://youtu.be/NPE7i8wuupk
Video: “Disidentes digitales”
https://youtu.be/rYGKEy2K6Cc
Video: Documentos TV, “Ojo con tus datos”:
https://youtu.be/uVIqRe02H4s
- 16 -
Video: Términos y condiciones de uso:
https://youtu.be/5992zvskJz4
Defensa personal del correo electrónico, de la Free Software Foundation (FSF)
https://emailselfdefense.fsf.org/es/
Conjunto de herramientas para hacktivistas.
http://wiki.hacktivistas.net/index.php?title=Tools
Generador de contraseñas y comprobador de contraseñas
https://password.es/
https://password.es/comprobador/
Keepass, programa de almacenamiento de claves muy útil cuando tenemos varias para recordar.
También tiene versión para móvil.
http://keepass.info/
Liberado bajo licencia:
http://creativecommons.org/licenses/by-nc-sa/2.5/
- 17 -