Como Usar OTR en Windows

OTR (Off-the-record/Fuera de record) es un protocolo que permite a los usuarios de mensajes instantáneos o herramientas de chat tener una conversación confidencial. En esta guía, podrás aprender como usar OTR usando Pidgin, un cliente de mensajería instantánea de codigo fuente abierto y gratuito para PC con Windows.

Qué es OTR? Anchor link

OTR (Off-the-record)/Fuera de registro)  es un protocolo que permite a las personas tener conversaciones confidenciales usando las herramientas de mensajes con las que ya están familiarizadas. OTR provee esta seguridad mediante:

  • cifrado de tus charlas
  • proporcionándote  una manera de estar seguro de que la persona con quien estás hablando es realmente la persona que dice ser.
  • no permitiendo el servidor entrar o tener acceso a sus conversaciones

Esto no debe ser confundido con  la opción de Google “Off the record,” que solo desactiva el registro del chat, y no tiene la capacidad de cifrar o  hacer verificaciones. Mientras que existen muchas maneras de usar OTR en Microsoft Windows, nosotros hemos encontrado la herramienta mas consistente y fácil de usar; El cliente de Mensajería Instantánea  Pidgin con el plugin pidgin-otr.

Ojo! El cliente de mensajes instantáneos para Windows PC, Pidgin,  entra en la conversación automáticamente por defecto, sin embargo, tú no tienes la habilidad de desactivar esta característica. Dicho esto,  no tienes el control sobre con quien estás charlando— tu interlocutor puede estar entrando y tomando screenshots de tu conversación, incluso si has desactivado registro.

Por qué debo yo usar Pidgin + OTR? Anchor link

Cuando tienes una conversación/chat usando Google Hangouts o Facebook chat en los sitios web de Google o Facebook, esa charla es cifrada usando HTTPS, la cual quiere decir que el contenido de tu charla está protegido contra los hackers y de otros personas de tercera vía mientras está transitando. Sin embargo, tu comunicación no está protegida de Google o Facebook, empresas que tienen la clave de tus conversaciones y pueden entregarla a las autoridades o utilizarlos para fines de marketing.

Después de que instales Pidgin, puedes usarlo con múltiples cuentas al mismo tiempo. Por ejemplo, puedes usar Google Hangouts, Facebook, y XMPP simultáneamente. Pidgin también te permite usar estas herramientas sin OTR. Ya que OTR solamente funciona si ambas personas la están usando, esto quiere decir que aunque la otra persona no lo tenga instalado, puedes charlar con ellos/ellas usando Pidigin.

Pidgin también te permita hacer verificaciones fuera-de-banda (out-of-band verification) para estar seguro que estás hablando con la persona que piensas que está hablando, y no ha estado sujeto a un ataque MITM (MITM attack). Para cada conversación, hay una opción que te enseñará las huellas de llave (key fingerprints) que esta tiene para ti, y la persona con la cual estás charlando. Una "huella de llave/key fingerprint" es una cinta de caracteres semejantes a "342e 2309 bd20 0912 ff10 6c63 2192 1928,” que se usa para verificar una llave pública larga. Intercambia tus huellas a través de otros canales de comunicaciones, tales como Twitter DM o email, para estar seguro de que nadie este interfiriendo con tu comunicación.

Limitaciones: Cuándo no debo de usar Pidgin + OTR? Anchor link

Los técnicos tienen un término para describir cuando un programa o tecnología puede ser vulnerable a ataques externos: ellos dicen que tiene una "gran superficie de ataque”. Pues bien, Pidgin tiene una gran superficie de ataque, ya que es un programa complejo que no ha sido escrito con la seguridad como una de las prioridades principales y es cierto que tiene vulnerabilidades (“bugs”), algunas las cuales podrían ser usadas por el gobierno e inclusive por grandes compañías para entrar en las computadoras que están usandandolo. Usar Pidgin para cifrar tu conversación es una gran defensa contra el tipo de ataque de vigilancia no intencionada que se usa para espiar las conversaciones de todo el mundo. Pero a nivel personal seria un blanco de ataque de un agresor bien-armado (como la de un estado), en ese caso debes de considerar precauciones mas fuertes, como el email cifrado-PGP (PGP-encrypted email).

Obteniendo Pidgin Anchor link

Puedes obtener Pidgin en Windows descargando el instalador desde la pagina de descargas de Pidgin.

Da un click en la pestaña morada DOWNLOAD. No hagas un click en el botón verde “Download Now”  porque podrías desear escoger una carpeta de descarga diferente. Esto te  llevara a la pagina de descargas.

El instalador  para Pidgin es pequeño por qué  no contiene toda la información, pero  la descarga por ti. Esto a veces falla y es por eso que  tendrás una mejor experiencia con el “offline installer” el cual contiene todo el material necesario para la instalación. Da click en el enlace “offline installer”. Serás llevado a una nueva página titulada “sourceforge” y después de unos segundos, saldrá una pequeña ventana que preguntará si es que quieres guardar el archivo.

Ten en cuenta que no obstante la página de descarga de Pidgin utiliza "HTTPS" y esté, por eso mismo, relativamente a salvo  de la manipulación, el sitio web al que se dirige para descargar la versión para Windows de Pidgin es en realidad Sourceforge, que utiliza  “HTTP" sin cifrado y por lo mismo no ofrece ninguna protección. Eso significa que el software que se descarga podría ser alterado antes de descargarlo.

Este riesgo provendría, en mayor parte,  de cualquier persona con acceso a la infraestructura local de Internet y que intente llevar a cabo una vigilancia específica contra ti, específicamente (por ejemplo, un proveedor de punto de red malicioso),o un estado o gobierno, distribuyendo software alterado de modo planificado a muchos usuarios. La extensión HTTPS Everywhere puede reescribir las direcciones de descarga de Sourceforge obligandolo a usar HTTPS, por lo mismo, es altamente recomendable instalar HTTPS Everywhere antes de descargar cualquier otro software. Además, en nuestra experiencia, Sourceforge tiene a menudo anuncios confusos  a toda página en sus páginas de descarga y pueden engañar a la gente para que instalen algo que ellos realmente no desean. Puedes instalar un bloqueador de anuncios antes de cualquier otro software para evitar estos anuncios confusos. Recuerda  que debes pensar en tu modelo de amenazas antes de descargar archivos desde sitios Web sin protección.

Muchos buscadores  preguntarán si  deseas bajar esta carpeta. Internet Explorer 11 mostrará una barra en la parte inferior de  la ventana del buscador con un borde naranja.

Para cualquier buscador, es mejor guardar la carpeta primero antes de proseguir. Acto seguido da click al botón “Save”/”Guardar.” Por defecto, la mayoría de los buscadores guardan las carpetas bajadas en la carpeta de Downloads/Bajadas.

Obteniendo OTR Anchor link

Puedes obtener pidgin-otr, bajando el instalador de la página de descargas de OTR.

Haz click en la pestaña “Downloads”/”Descargas” para ser guiado a la sección  “Downloads”/”Bajadas.” Click el instalador “Win32 para el enlace pidgin.”

Muchos buscadores le preguntarán si  deseas confirmar la carpeta para descargas. Internet Explorer 11 muestra  una barra debajo de la ventana del buscador con un borde naranja.

Para cualquier buscador, es mejor primero guardar la carpeta antes de proseguir, entonces da click en el botón “Save”/”Guardar.” Por defecto, la mayoría de los buscadores/browsers guardan los archivos bajados en la carpeta llamada “Downloads”/”Bajadas.”

Después de bajar Pidgin y pidgin-otr  debes de tener dos archivos nuevas en tu carpeta de Downloads/Bajadas:

Instalando Pidgin Anchor link

Manten la ventana de Windows Explorer abierta y da un doble-click en pidgin-2.10.9-offline.exe. (El nombre del archivo utilizado en este módulo puede no coincidir necesariamente lo que se ve en su propio equipo.) Se te preguntará si quieres permitir la instalación de este programa. Da click al botón “Yes”/”Si.”

Una pequeña ventana se abrirá pidiendote que selecciones un idioma. Click el botón “OK.”

Una ventana se abrirá dándote un resumen rápido del proceso de la instalación. Click en el botón “Next”/”Próximo.”

Tendrás un resumen de la licencia.  Click en el botón “Next”/”Próximo.”

Ahora puedes ver que diferentes componentes están siendo instalados. No cambies los ajustes.Da click en el botón “Next”/”Próximo.”

Ahora  verás donde será instalado Pidgin. No cambies esta información. Click en el botón “Next”/”Próximo.”

Ahora  verás una ventana con texto en movimiento que dice “Installation Complete”/”Instalación Completa.” Click en el botón “Next”/”Próximo.”

Finalmente,  verás la ultima ventana del instalador de Pidgin.  Click en el botón “Finish”/”Terminar.”

Instalando pidgin-otr Anchor link

Regresa a la ventana  Windows Explorer y abre,  con un doble-click, el archivo pidgin-otr-1.exe. Te preguntará si quieres permitir la instalación de este programa. Click en el botón  “Yes”/”Si.”

Una ventana se abrirá mostrándote un resumen rápido del proceso de instalación. Click en el botón “Next”/”Próximo.”

Ahora  obtienes un resumen de la licencia. Click  en el botón “I Agree”/”Estoy de acuerdo.”

Ahora tu verás donde Pidgin será instalado. No cambie esta información. Click en el botón  “Install”/”Instalar.”

Finalmente, podrás ver la última ventana del instalador pidgin-otr. Click en el botón  “Finish”/”Terminar.”

Configurando Pidgin Anchor link

Ve al menú de “Start,” click en la figurilla de Windows, y selecciona Pidgin desde el menú.

Agregando una cuenta Anchor link

Cuando Pidgin es iniciado por primera vez verás esta ventana de bienvenida dándote  una opción para agregar una cuenta. Ya que no tienes una cuenta configurada todavía, da click al botón “Add”/”Agregar.”

Ahora  verás la ventana “Add Account”/”Agregar una Cuenta.” Pidgin está capacitado para trabajar con muchos protocolos, pero  nos enfocaremos en XMPP, formalmente conocido como Jabber.

En la entrada del Protocolo, selecciona la opción “XMPP.”

En la entrada del Nombre de Usuario/Username, ingresa tu nombre de usuario XMPP.

En la entrada del Dominio/Domain, ingresa el dominio de tu cuenta XMPP.

En la entrada de Clave/Password, ingresa tu clave XMPP.

Marcando la casilla al lado de “Remember password”/”Recordar la clave”  hará el acceso a tu cuenta más fácil. Pero debes ser  consiente que marcando  “Remember password”/”Recordar la clave” tu clave será guardada en la computadora, haciendo esto accesible a cualquiera que esté usandola. Si  esto es una preocupación, no le des click a este cuadrito. Entonces, necesitarás poner tu clave de cuenta XMPP cada vez que quieras empezar el Pidgin.

Agregando un Amigo Anchor link

Ahora querras agregar a alguien con quien charlar. Da click al menú “Buddies”/”Amigos” y seleccione “Add Buddy”/”Agregar un Amigo.” Una ventana “Add Buddy”/”Agregar un Amigo” se abrirá.

En el “Add Window”/”Agregar Ventana”  puedes ingresar el nombre de usuario de la persona con quien  quieres charlar. Este otro usuario no tiene por que ser de tu mismo servidor, pero si tiene que usar el mismo protocolo, como el XMPP.

En la entrada “Buddy's username”/”Nombre del usuario del amigo,” ingresa el nombre de usuario de tu amigo con el nombre del dominio. Este parecerá como una dirección de email.

En la entrada “(Optional) Alias”/”(Opcional) Alias,”  puedes entrar el nombre que tu escojas para tu amigo. Esto es completamente opcional, pero puede ayudar si la cuenta  XMPP de la persona con la cual tu estás charlando es muy difícil de recordar.

Click en el botón “Add”/”Agregar.”

Una vez que hallas dado un click al botón “Add”/”Agregar,” tu amigo Boris recibirá un mensaje preguntándole si el te autoriza agregarlo a él. Una vez Boris lo apruebe, el agregará tu cuenta y recibirás la misma petición. Click el botón “Authorize”.”Autorizar.”

Configurando el enchufe/plug-in OTR Anchor link

Ahora tu podrás configurar el enchufe OTR y de esa manera tu puedes charlar seguro. Click en el menú de “Tools”/”Herramientas” y seleccione la opción “Plugins”/”Enchufes.”

Muévete hacia abajo a la opción  “Off-the-Record Messaging”/”Mensajería sin registro,” y marca la casilla. De ahi, da un click  en la entrada “Off-the-Record Messaging”/”Mensajería fuera del record,” y da  un click al botón “Configure Plugin”/”Configurar en Enchufe.”

Ahora verás la ventana de configuración “Off-the-Record Messaging” Presta atención a que dice “No key present”/”Llave no presente.” Click el botón “Generate”/”Generar.”

Ahora se abrirá una pequeña ventana y generará una llave. Cuando esto termine, click en el botón  “OK.”

Verás nueva información: una linea de texto de 40 caracteres, dividida en cinco grupos de ocho caracteres. Esta es su llave OTR/. Da click en el botón “Close”/”Cerrar.”

Ahora da un click en el botón “Close”/”Cerrar” en la ventana Plugins/Complementos.

Charlando Seguramente Anchor link

Ahora  estás capacitado para charlar con Boris. Ustedes dos pueden enviarse mensajes de ida y de vuelta. Sin embargo,  no estamos charlando de manera segura. Inclusive si  estás conectado al servidor XMPP, es posible que la conexión entre tú y Boris no esté segura de los curiosos. Si miras a la ventana de charla, podrás ver que  dice en rojo en la parte de abajo a la derecha “Not private/”No es privada.” Da click en el botón “Not private”/”No es privada.”

Un menú se abrirá, selecciona  “Authenticate buddy.”/”Autenticar amigo.”

Una ventana se abrirá. Se te preguntará: “How would you like to authenticate your buddy?”/”Como te gustaría  autenticar a tu amigo?”

El menú desplegable tiene tres opciones:

Compartir secretos Anchor link

El compartir secretos es una linea de texto que tú y la persona con quien quieres charlar han acordado usar con anticipación. Debes de haber compartido esta en persona y nunca  en canales inseguros como email o Skype.

Tú y tu amigo necesitan ingresar este texto juntos. Click en el botón “Authenticate”/”Autenticar.”

La verificación de secretos compartidos es útil si tú y tu amigo han hecho arreglos para charlar en el futuro pero no han creado todavía las huellas OTR en las computadoras que están usando. Esto sólo funciona si los dos están utilizando Pidgin.

Verificación de huellas manual Anchor link

La Verificación de Huellas Manual es muy útil si ya te han dado la huella de tu amigo y ahora estás conectado con Pidgin. Esto no será útil si tu amigo cambia de computadoras o ha creado una nueva huella. 

Si las huellas que te dieron concuerdan con las huellas de la pantalla, seleccione “I have”/”Yo las tengo,” y dale un click al botón de “Authenticate”/”Autenticar.”

Pregunta y respuesta Anchor link

La verificación de pregunta y respuesta es útil si conoces a la persona pero no han establecido el secreto compartido ni han tenido la oportunidad de compartir las huellas. Este método es útil para establecer verificación basada en algo que ambos conocen, como el compartir eventos o memorias. Esto sólo funciona si los dos están utilizando Pidgin.

Ingresa la pregunta que  quieres hacer. No la hagas muy simple, para que evitar que alguien pueda adivinar la respuesta con facilidad, pero tampoco la hagas imposible. Un ejemplo de una buena pregunta seria “Dónde fuiste a cenar en Minneapolis?” Y un ejemplo de una mala pregunta seria “Puede comprar manzanas en Tokio?”

Las respuestas deben de concordar exactamente; mantenga presente cuando escoja una respuesta a tu pregunta. Las mayúsculas son importantes; debido a esto, tú podrías considerar una nota en paréntesis como (por ejemplo: use mayúsculas y minúsculas).

Ingresa la pregunta y respuesta, entonces dale un click al botón “Authenticate”/”Autenticar.”

Tu amigo tendrá una ventana abierta mostrando la pregunta y esperando por la respuesta. Tendrá que responder y darle un click al botón “Authenticate”/”Autenticar.” Entonces, el recibirán un mensaje dejándole saber si la autenticidad ha sido un éxito.

Una vez tu amigo ha completado el proceso de autenticidad, tú obtendrás una ventana dejándole saber que el proceso de autenticidad fue un éxito.

Tu amigo también debe verificar su cuenta para que de esa manera los dos puedan estar convencidos que la comunicación es segura. Aquí está lo que seria para Akiko y Boris. Note el símbolo verde “Private”/”Privado” en la parte derecha debajo de la ventana de charla.

Trabajando con otros software Anchor link

Los mecanismos para verificar la autenticidad deben de trabajar entre los diferentes software de charla, tales como Jitsi, Pidgin, Adium, y Kopete. No es necesario que uses el mismo software de mensajería para poder usar la charla sobre XMPP y OTR, pero a veces hay errores en el  software. Adium, un software de charla para OS X, tiene un error recibiendo la verificación de Pregunta y Respuesta; en caso que tus amigos estén usando Adium trata de usar algún otro método de verificación.

Última actualización: 
2015-02-10
This page was translated from English. The English version may be more up-to-date.
JavaScript license information