You are on page 1of 17

TEMARIO:

Mdulo 1: Introduccin a la privacidad.

Por qu proteger nuestra privacidad

Que es el cifrado

Mdulo 2: Taller prctico.

TOR: Navegacin annima.

Thunderbird + Enigmail: Cifrado de e-mails.

Truecrypt: Protege tus archivos.

ANEXOS

Anexo I: Uso de contraseas seguras.

Anexo II: Cerrar sesiones de usuario.

Anexo III: Mejor usar Software libre.

Anexo IV: Pidgin: Chat cifrado.

Anexo V: Mviles.

Anexo VI: Alternativas a redes y servicios privativos.

Anexo VII: Enlaces de inters.

Estamos en:
cgtbarcelona
@cgtbarcelona
https://quitter.es/cgtbarcelona
cgtbarcelona@diasp.eu

PRIVACIDAD EN LA RED
MDULO 1
Introduccin a la privacidad.
1. Por qu proteger nuestra privacidad.
Cuando se habla de la privacidad siempre se obtiene la misma respuesta: No tengo nada
que ocultar, estoy tranquila.
Dejaras que un desconocido leyera tu correspondencia, cuenta bancaria o e-mails?, abriras tu
casa al primero que pasa para que mire en tus cajones, en tu nevera o se meta en tu cama?, no,
verdad?, y por qu no, si seguramente no tengas nada que esconder?, verdad que tienes
cortinas para que el vecino de enfrente no mire?
Se trata de preservar tu privacidad, porque tu espacio es tuyo y en l quieres estar tranquila y
sentirte a salvo, aunque no tengas nada que esconder. Pues con tus datos pasa exactamente lo
mismo.
No somos conscientes de la cantidad de informacin que generamos y que
acaban en manos de multinacionales y gobiernos, que llegan a saber ms
de nosotros que nosotras mismos. Datos almacenados en grandes centros
de datos (Big data) y que venden a terceros para hacer negocio a nuestra
costa. Y quien sabe, la vida da muchas vueltas y un da esos datos pueden
convertirse en antecedentes.

1.1 Por qu proteger nuestra privacidad.


Edward Snowden, ex agente de la NSA en bsqueda y captura acusado de alta traicin por
el gobierno de los Estados Unidos, desvel los secretos de la agencia, confirmando las sospechas
que muchos colectivos tenan sobre el espionaje masivo de las comunicaciones mundiales. PRISM,
Echelon o Patriot Act son un pequeo ejemplo.
Navegar es una actividad promiscua. Cada vez que introduces una direccin en el
navegador, pinchas en un enlace o buscas una palabra en Google, tu navegador intercambia
fluidos digitales (composicin de nuestro equipo informtico, geolocalizacin, direccin IP) con
otros ordenadores desconocidos, una jungla de servidores y proveedores de servicios, y esto pasa

-2-

docenas de veces con un solo enlace, sin que nosotros tengamos que hacer nada. Y hay mucha
gente escuchando.
Despus de un ao de visitas, la incansable maquinaria de registrar datos acumula miles de
pginas sobre nosotros en un archivo que incluye nuestro nombre, direccin, estado civil,
financiero y emocional; compras, viajes, amigos, inclinaciones polticas y predicciones acerca de
nuestras vidas, basadas en todo lo anterior. Esto, sin que nadie nos vigile especialmente.

Target es un sistema capaz de determinar si una adolescente est embarazada


antes de que lo sepa ella misma solo mirando lo que compra.
Segn las estadsticas, las recin embarazadas compran miniaturas, plsticos y
colores pastel. Si estn de 3 meses compran locin sin perfume y suplementos de
calcio, magnesio y zinc. Si Marianita Rajoy de 23 aos compra crema hidratante
de manteca de coco, suplementos de zinc y magnesio y una alfombra de color azul
pastel, hay un 87% de probabilidades de que est embarazada y d a luz a finales
de agosto

Hace poco saltaba a la luz pblica el escndalo de la compaa italiana Hacking Team, la
cual robaba informacin para los gobiernos (incluido el nuestro) a travs de Facebook y Whatsapp.
Para no depender de compaas extranjeras, el Ministerio del Interior tendr operativo a partir de
2017 el sistema de interceptacin de comunicaciones llamado Evident X-Stream, una completa
herramienta que permite localizar en tiempo real, registrar y almacenar cualquier conversacin
realizada a travs del telfono, correo electrnico, chat, redes sociales y otra decena de
plataformas. Mientras tanto, el Gobierno ha incrementado en un 41% la informacin de los
espaoles que pide a Facebook, esa gran compaa duea de whatsapp e Instagram, que viola
sistemticamente nuestra privacidad, junto con Google o Microsoft.
1.2 Qu es el cifrado.
El cifrado es una tcnica de transformacin de un mensaje a travs de un algoritmo. El
resultado es ilegible y solo se puede leer con la clave que se us para cifrarlo.
El cifrado no es nuevo, Julio Csar ya se invent un sistema para evitar que el enemigo supiera
sus planes. Mara Estuardo, Vigenre o Alan Turing han utilizado el cifrado a lo largo de la historia.
Por qu es importante el cifrado para nosotras? El cifrado permite navegar por la red sin que
nuestros datos sean entendibles. Igual pasa con los archivos que guardamos en nuestro
ordenador. Si estn cifrados nadie salvo el conocedor de la clave podr descifrarlos para poderlos
leer. Vamos a ver cmo aplicar el cifrado a nuestro uso en la red.

-3-

MDULO 2
Taller prctico.

1. TOR: Navegacin annima.


TOR (The Onion Ruter) es un sistema cifrado que no revela tu identidad ni los datos que
viajan por ella. El que enva algo no sabe a quien y el que lo recibe no sabe de quien. Adems
TOR ofrece su propia red, llamada onion, adentrndonos a lo que se conoce como deep web o
darknet. Las direcciones de la red onion tienen la siguiente sintaxis: 7jguhsfwruviatqe.onion
1.1 La Deep Web.
Creemos errneamente que Internet es lo que nos muestra Google, sin embargo hay un
mundo de contenidos que no estn fichados por los buscadores, ya sea por su formato fuera del
estndar o simplemente por su dudoso contenido de cara a las leyes cada vez ms restrictivas,
siendo ms de la mitad de contenido total de internet lo que no se ve.

-4-

1.2. Como usamos TOR

Usar TOR es muy fcil, solo necesitamos el Tor Browser Bundle


disponible en su web: https://torproject.org

Al ejecutar TOR aparecer un men de conexin y, tras finalizar, el navegador Firefox


aparecer en ventana dndonos la bienvenida a TOR en color verde. Ahora ya podremos navegar
por la web annimamente. Pero adems tenemos un plus con TOR, y es que podemos visitar las
webs de su propia red. En la direccin http://thehiddenwiki.org/ podremos acceder a un directorio
de enlaces que se actualizan muy a menudo, pero hay muchos ms.
NOTA: Debemos tener en cuenta algunos aspectos, ya que TOR renuncia a varios sistemas
para mantener la privacidad, por lo que debemos observar las siguientes recomendaciones:

TOR no usa flash, java ni RealPlayer, para eso ya usamos otros sistemas.

TOR nos avisar si ponemos el navegador en modo pantalla completa. Parece una
tontera, pero el tamao de pantalla es una pista para identificar un origen.

TOR nos avisar al abrir automticamente los documentos que son manejados por las
aplicaciones externas, como archivos PDF o DOC. ya que estos documentos contienen
recursos de Internet que sern descargado fuera de TOR por la aplicacin que los abre y
esto revelar nuestra direccin IP y perderemos el anonimato. Siempre es mejor
descargarlos y ya los veremos offline.

2. Thunderbird + Enigmail: Cifrado de e-mails


Es posible implementar el cifrado en nuestro correo electrnico para que solo su
destinatario vea el contenido. Para ello usaremos el programa Thunderbird y su complemento
Enigmail.
Thunderbird es un gestor de correo multicuenta, parecido a Outlook. Podemos tener todos
nuestros correos configurados dentro para ver todos los correos de nuestras cuentas con un solo
click. Lo podemos descargar de su web: https://www.mozilla.org/es-ES/thunderbird/
Para instalar Enigmail, iremos al men Herramientas Complementos Extensiones y en el
buscador pondremos enigmail. Tambin es recomendable instalar gpg4win si no queremos usar

-5-

thunderbird, para cifrar archivos y enviarlos como adjuntos. Su web es https://www.gpg4win.org/

2.1. Pretty Good Privacy (PGP)


Para cifrar nuestros correos usaremos el PGP o su alternativa libre GPG. Es el sistema que
mejores resultados da a la hora de enviar mensajes con seguridad. Est basado en un sistema de
par de claves. Generamos 2 claves, una pblica y otra privada, asociadas a nuestra direccin de
correo. La pblica se la damos a todo el mundo pero la privada no. Buscando un smil fcil de
entender, supongamos que la clave pblica es un candado y la llave privada es la llave que abre
ese candado.

Reparto a todos mis contactos copias del candado, as cuando alguien me


quiera mandar algo, solo tiene que poner el candado a la caja, cerrarlo y
enviarme la caja. Ahora estoy seguro de que solo yo voy a poder abrir la caja
porque solo yo tengo la nica copia que existe de la llave.

-6-

Al iniciar Thunderbird deberemos generar nuestro par de claves. Iremos al asistente de


instalacin que detectar que no tenemos instalado gnuPG y proceder a instalar gpg4win.
Inmediatamente generaremos las claves y pondremos una contrasea que sea fuerte. Por ltimo
crearemos un certificado de revocacin para anular nuestra clave en caso de quedar
comprometida y ya tendremos preparado el sistema para poder usar el cifrado.
Es importante subir la clave pblica a un servidor para que todos puedan buscarla y usarla para
enviarnos mensajes cifrados. Yo recomiendo el servidor pgp.mit.edu ya que dispone de
certificado de seguridad.
Redactamos un nuevo correo, ponemos un asunto y el correo propiamente dicho con
adjuntos si fuera necesario. Ahora pulsaremos el candado para cifrar el correo.
NOTA: El asunto del mensaje no se cifra, por lo que hay que tener cuidado en lo que se
pone. Muchos correos cifrados han sido usados contra colectivos por el evidente contenido del
asunto.

-7-

3. Truecrypt: Protege tus archivos.


Es un programa que sirve para proteger nuestros datos mediante el cifrado de particiones o
todo un disco duro completo, pero lo ms habitual, y lo que vamos a hacer en este taller, es crear
un archivo con el nombre y tamao que queramos, cifrarlo y usarlo como si fuera un disco duro o
un pendrive en Windows.
Pulsaremos el botn Create volume y daremos un nombre al archivo a crear y su ubicacin (el
resto de opciones las dejaremos como vienen). Nos pedir una contrasea, que debe ser fuerte, y
se crear el archivo.

Una vez creado aparece en la lista de volmenes (en la imagen Datos.dat en el volumen H). Solo
tenemos que pulsar el botn Mount para montarlo y ya podremos acceder desde windows.
Una vez usado el archivo deberemos volver a Truecrypt para desmontar el volumen, lo
seleccionaremos de la lista y mediante el botn Dismount lo dejaremos desmontado.

-8-

ANEXOS

Anexo I:
Uso de contraseas seguras.
Varios estudios revelan que las contraseas ms utilizadas son 12345, password, qwerty, la
fecha de nacimiento, la fecha de casados o el nombre de nuestro perro. En el caso de los e-mails,
muchas ponen el mismo nombre de su cuenta como contrasea y lo peor de todo es que muchas
personas utilizan una misma contrasea para todo. Evidentemente todo esto es un error.
Una buena contrasea es la que tiene como mnimo 8 caracteres alfanumricos, intercalando
maysculas, minsculas y signos.
Hay varios mtodos para obtener una contrasea fuerte y fcil de memorizar, que es lo que ms
preocupa. La mejor opcin es poner el nombre de cuenta y el servicio. as pues, si quiero entrar a
mi cuenta en google la contrasea sera algo as:
Cuenta:

micuenta@gmail.com

Contraea:

Mi-Cuent4-Gmail

Otra opcin es aadir una palabra que solo nosotras conozcamos:


Cuenta Twitter:

@micuenta

Contrasea:

Twitter*palabra*

De una manera fcil obtenemos contraseas largas y seguras. Y para aquellos que
tengan memoria de pez, como el que suscribe, existen programas como Keepass, el
cual guarda nuestras contraseas en un archivo cifrado con contrasea, por lo que
solo deberemos recordar UNA contrasea.

Recomendaciones:

No marcar la opcin "recordar contrasea" que ofrece el propio sistema ya que de esta
manera la contrasea queda en memoria y registrada en un archivo fcilmente descifrable.
Es tedioso tener que teclear las contraseas todo el rato, pero recordemos que nos

-9-

preocupa la seguridad.

No solo es importante la contrasea, sino tambin el nombre de nuestra cuenta. Huid de


poner nombre y apellidos a vuestra cuenta, ni tampoco la fecha de nacimiento, es mucha
informacin la que estamos dando solo con el nombre de la cuenta de correo, susceptible
de ser utilizada para muchas cosas.

Cambiar peridicamente las contrasea. De nada sirve tener una buena contrasea si
dejamos tiempo para que por fuerza bruta alguien se haga con ella. Basta con ir
poniendo caracteres nuevos al final de la contrasea o cambiando la primera letra de la
misma con cierta regularidad.

Si estamos en un ordenador que no es nuestro, usaremos un teclado virtual, ya que no


sabemos si hay instalados keyloggers que leen las pulsaciones del teclado (en ordenadores
de Empresa es habitual). Windows trae uno, accesible desde Accesorios Accesibilidad
On-Screen Keyboard o con tecla de windows+R y tecleando osk

Anexo II:
Cerrar sesiones de usuario.
Cuando queramos salir de nuestro correo o red social debemos acostumbrarnos a pulsar la
opcin cerrar sesin y no cerrar el navegador sin ms. Esto es un ERROR, ya que cualquiera que
venga despus de nosotros y abra el navegador le aparecer nuestra sesin abierta y todos
nuestros datos a su disposicin.

As se ha conseguido supuestamente obtener pactos con la Empresa de otros


sindicatos o supuestamente leer las conversaciones entre sindicalistas
ponindose de acuerdo para reventar una manifestacin.

Anexo III:
Mejor usar Software libre.
Hay un debate generalizado sobre cul es el sistema operativo ms seguro. Pues no existe
ningn sistema operativo seguro. En cualquiera se puede instalar un programa molesto, o un
virus. Ni Linux ni Mac estn libres de ello, no hay que engaarse.

- 10 -

Sobre lo que s hay un acuerdo mayoritario es sobre que Windows es el sistema ms inseguro y
ms difcil de proteger debido a su poltica de usuarios. Por defecto Windows nos da acceso a todo
el ordenador, y si instalamos un programa usando nuestro usuario (con acceso ilimitado), ese
programa podr acceder a todo lo que le apetezca.
Se puede proteger en cierta forma un Windows, mediante firewalls, antivirus, permisos de
usuario, mantener actualizado el ordenador y, sobre todo, teniendo mucho cuidado con qu se
instala y de dnde se ha obtenido lo que se instala.
Apple es algo ms seguro, aunque el nmero de programas atacantes est creciendo da a da,
aprovechndose de agujeros de seguridad. Dado que Apple es una empresa con software
cerrado estos agujeros de seguridad son corregidos lentamente.
Linux, por defecto, aisla a cada usuario en su propia cuenta y as los ataques no se extienden
al resto del sistema: si solo tienes acceso limitado a algo solo puedes hacer un dao limitado.
Tambin existen agujeros de seguridad, por supuesto, aunque al ser un proyecto open source son
corregidos con ms celeridad.
La principal recomendacin aqu sera no usar Windows (ni Mac, por ser software cerrado) y
pasarse a alguna variante de Linux. Pero esto es difcil ya que la mayora de los ordenadores que
se venden vienen con Windows instalado.

Software libre u Open Source.


Siempre hablamos de software libre y de software privativo. Siempre es mejor el primero y
vamos a ver por qu:

El software libre respeta la libertad de los usuarios y fomenta la solidaridad social con su
comunidad.

El software libre permite ejecutar el programa como quieras, modificar el cdigo fuente
para que se adapte a las necesidades de cada usuario y permite aadir mejoras para luego
distribuirlas a los dems, contribuyendo as a la comunidad del software libre.

Los usuarios tienen el control de sus sistemas, del funcionamiento de los programas y de la
informacin de privacidad que genera y enva, y no al revs.

Con el software privativo los usuarios estamos atados a un sistema el cual no podemos adaptar
a nuestras necesidades. Adems, el cdigo es cerrado y no se puede acceder a l, por lo que el

- 11 -

usuario no sabe lo que hay en ese cdigo, no podemos saber si hay, espas, trampas, mecanismos
de control, etc.
Por qu desconfiar del software privativo?
El simple uso de este tipo de programas se basa en la dependencia de su creador, es decir,
el funcionamiento, a veces insuficiente o anmalo, depende de l; no podemos adaptarlo a
nuestras necesidades, no podemos aplicar las mejoras que cada usuario pretenda, por lo que es el
usuario el que acaba adaptndose al software.
Este tipo de software suele esconder funcionalidades malvolas como backdoors (puertas
traseras) o sistemas de control y envo de datos privados, y no son casos aislados, es la tnica
general, sabida y aceptada (solo hay que leerse los trminos de uso, que nadie se lee). Se ha
podido saber cmo Microsoft o Google han escondido cdigo a cargo de la NSA (agencia de
seguridad americana), dentro del proyecto PRISM, as pues, el software pasa de servir al usuario a
vigilarlo.
Windows, por ejemplo, tiene funcionalidades de recogida de datos del usuario que enva a un
servidor, restringe el uso de los datos del propio usuario imponiendo cambios en el software sin
previo permiso del usuario, y adems tiene una puerta trasera conocida.
Un ejemplo
Entramos a una web y vemos que las imgenes estn deformadas, la letra se ve mal y todo
es un galimatas incomprensible. Podemos coger el cdigo de esa web y cambiar las partes
anmalas, adaptndolo al sistema que usemos y a nuestras caractersticas. Ahora cuando
volvemos a entrar en esa web, todo se ve bien. Si no pudiramos modificar el cdigo, tendramos
que conformarnos con ver la web mal y esperar a que su creador se diese cuenta y lo arreglase
por nosotros en alguna actualizacin, algo que a veces no sucede.

Anexo IV:
Pidgin: Chat cifrado.
Recordis el Messenger, tan popular a principios del 2000? Existe un protocolo llamado
XMPP (antes jabber), que es utilizado por whatsapp, hangouts o el chat de Facebook, pero que
tiene la ventaja de utilizar servidores descentralizados y software libre.
La ventaja de este servicio es que no tenemos que dar nuestro nmero de mvil ni nuestra
cuenta de correo personal para que nadie se lucren con ellos como hace whatsapp o Telegram.

- 12 -

Adems las conversaciones se pueden cifrar mediante el protocolo OTR (Off The Record) para que
nadie ms que los participantes en el chat sepan de qu se est hablando. Ofrece salas de chat
(como los grupos en whatsapp), envo de todo tipo de archivos y otros servicios.
Para usar XMPP nos abrimos cuenta en cualquiera de los servidores de esta direccin:
https://list.jabber.at/ y el programa para utilizarlo puede ser pidgin, Psi, Gajim o Jitsi.
Para chatear con otras personas solo hay que intercambiarse las cuentas XMPP y aadirlas al
programa. Y como no poda ser de otra forma, para mviles tenemos Conversations, xabber o
jtalk.

Anexo V:
Mviles.

Los mismos programas, o similares, que usamos con el ordenador pueden ser usados en los
telfonos mviles. En este apartado presentaremos consejos y alternativas para Android, por ser el
sistema ms extendido. Los usuarios de Apple pueden... cambiar de telfono, por ejemplo.
Mensajera

- 13 -

La principal recomendacin es no usar Whatsapp para nada. Ya era un programa inseguro


en sus inicios, pero ahora forma parte de Facebook que, entre otras cosas, trafica con nuestros
datos personales y pone a disposicin de los gobiernos nuestras conversaciones. Adems, los
mensajes de whatasapp se emiten en texto claro, sin cifrar, y un atacante podra capturar
nuestros datos.
Una opcin menos daina es Telegram, que tampoco es segura al 100%, ya que forma parte de
una empresa privada. Tericamente Telegram cifra los mensajes y se lo pone ms difcil a los
atacantes. Tambin impide la modificacin de mensajes (alguien que intenta hacerse pasar por
otra persona) firmando los mensajes con un cdigo nico.
Una opcin ms interesante es Signal, que nos permite no slo una comunicacin por mensajera
ms segura, sino que adems los mensajes son borrados del servidor cada cierto tiempo,
podemos realizar llamadas telefnicas cifradas y es open souce as que puede ser auditada
para conocer si existe algn agujero de seguridad.
Aun as, lo que mejor resultado da es el protocolo XMPP, conocido como Jabber, del que hemos
hablado anteriormente.
Correo electrnico
Lo mismo que realizamos con Thunderbird + Enigmail (correo electrnico cifrado) puede ser
realizado mediante una aplicacin llamada K-9 (su icono es una especie de perro robot) y
openkeychain. Adems, al ser open source los agujeros de seguridad estn a la vista.
Navegacin segura
Tambin disponemos en Tor para el mvil, se llama Orbot. Orbot nos permite instalar un
proxy para que nuestras conexiones se realicen mediante TOR. Un proxy es un servicio intermedio
que conecta a la red TOR; simplemente se ha de decir a los programas de nuestro mvil que usen
ese proxy en vez de la conexin habitual de internet. Todos los programas pueden torificarse
configurando la conexin mediante proxy 127.0.0.1 y puerto 8118
Orweb es una navegador web seguro que usa la red TOR y Gibberbot es un cliente de
mensajera instantneo (chat) que usa la red TOR.

- 14 -

Anexo VI:
Alternativas a redes y servicios privativos.
Ya sabemos que las grandes empresas trafican con nuestros datos para lucrarse y que
adems, comparten esos datos con los Gobiernos que se los pidan, qu servicios utilizamos
entonces?. Lo puedes averiguar en la siguiente lista de equivalencias, aunque hay muchos ms.
Gmail

Tutanota: https://tutanota.com/#header

Openmailbox: https://openmailbox.org

Google

Duckduckgo: https://duckduckgo.com/

Google maps

Open Street Map: http://www.openstreetmap.org

Youtube

Mediagoblin: http://mediagoblin.org/

Facebook

Diaspora: https://joindiaspora.com/

Twitter

Gnusocial: https://quitter.es

Instagram

Quitim: https://quit.im/

Dropbox

Openmailbox: https://cloud.openmailbox.org/

SpiderOak: https://spideroak.com/

Copy: https://www.copy.com/

- 15 -

Seacloud CC: https://seacloud.cc/accounts/login/?next=/

Google Play

F-Droid: https://f-droid.org/

Skype

Linphone: http://www.linphone.org/

Tox: https://wiki.tox.im/Binaries

Whatsapp y Telegram

Signal

Xabber o conversations (XMMP)

Anexo VII:
Enlaces de inters.

Web recopilatoria de artculos sobre cmo las redes sociales violan nuestra privacidad:
http://moribundo-insurgente.blogspot.com.es/
Comuncate libremente, una web sobre programas y servicios de comunicacin alternativos.
https://comunicatelibremente.wordpress.com/
Ciberactivismo y recursos de seguridad.
https://xnet-x.net/es/
Video: Por qu me vigilan si no soy nadie?:
https://youtu.be/NPE7i8wuupk
Video: Disidentes digitales
https://youtu.be/rYGKEy2K6Cc
Video: Documentos TV, Ojo con tus datos:
https://youtu.be/uVIqRe02H4s

- 16 -

Video: Trminos y condiciones de uso:


https://youtu.be/5992zvskJz4
Defensa personal del correo electrnico, de la Free Software Foundation (FSF)
https://emailselfdefense.fsf.org/es/
Conjunto de herramientas para hacktivistas.
http://wiki.hacktivistas.net/index.php?title=Tools
Generador de contraseas y comprobador de contraseas
https://password.es/
https://password.es/comprobador/
Keepass, programa de almacenamiento de claves muy til cuando tenemos varias para recordar.
Tambin tiene versin para mvil.
http://keepass.info/

Liberado bajo licencia:

http://creativecommons.org/licenses/by-nc-sa/2.5/

- 17 -