Surveillance
Self-Defense

¿Experta en Seguridad Digital?

  • ¿Experta en Seguridad Digital?

    Guías avanzadas para aumentar tu set de autoprotección contra la vigilancia en línea

    Felicidades! Ya has tomado los pasos necesarios para mejorar la seguridad de tus comunicaciones en la red. Ahora querrás llevarla hasta el próximo nivel y con esta lista, podrás entender las amenazas, verificar la identidad de las personas con quién te estás comunicando y quizás sumarle nuevas herramientas a tu repertorio.

  • Evaluando tus riesgos

    Intentar proteger todos sus datos de todo el mundo, todo el tiempo, es poco práctico y agotador. ¡Pero no tengas miedo! La seguridad es un proceso, y a través de una planificación cuidadosa, puede evaluar lo apropiado para usted. La seguridad no se trata de las herramientas que usa o del software que descarga. Comienza con la comprensión de las amenazas únicas que enfrenta y cómo puede contrarrestar esas amenazas.

    En seguridad informática, una amenaza es un evento potencial capaz de socavar cualquier esfuerzo para defender sus datos. Puede contrarrestar las amenazas que afronta determinando lo que necesita proteger y de quien necesita protegerlo. Este proceso se llama "modelado de amenazas".

    Esta guía le enseñará cómo modelar la amenaza, o cómo evaluar los riesgos para su información digital y cómo determinar qué soluciones son las mejores para usted.

    ¿Cómo podría lucir este  modelo de amenazas? Digamos que usted quiere mantener su casa y sus posesiones seguras, aquí hay algunas preguntas que se podría hacer:

    ¿Qué tengo dentro de mi casa que valga la pena proteger?

    • Los activos incluirían: joyas, electrónica, documentos financieros, pasaportes o fotos

    ¿De quién lo quieres proteger?

    • Los adversarios podrían incluir: ladrones, compañeros de habitación o invitados

    ¿Cuán probable es que necesites protegerlo?

    • ¿Mi barrio tiene un historial de robos? ¿Qué tan confiables son mis compañeros de cuarto/invitados? ¿Cuáles son las capacidades de mis adversarios? ¿Cuáles son los riesgos que debo considerar?

    ¿Cuán destructivas pueden ser las consecuencias si fallas?

    • ¿Tengo algo en mi casa que no pueda reemplazar? ¿Tengo tiempo o dinero para reemplazar estas cosas? ¿Tengo un seguro que cubra el robo de bienes de mi casa?

    ¿Cuánto esfuerzo estás dispuesta a hacer para prevenirlas?

    •  ¿Estoy dispuesto a comprar una caja fuerte para documentos sensibles? ¿Puedo comprar una cerradura de alta calidad? ¿Tengo tiempo para abrir una caja de seguridad en mi banco local y guardar mis objetos de valor?

    Una vez que se ha hecho estas preguntas,  está en posición de poder evaluar qué medidas tomar. Si sus posesiones son valiosas, pero el riesgo de un robo es bajo, entonces usted puede no desear invertir demasiado dinero en una cerradura. Pero, si el riesgo es alto, usted querrá conseguir la mejor disponible en el mercado y considerar sumarle un sistema de seguridad.

    La construcción de un modelo de amenaza  ayuda a comprender las amenazas únicas a las que se enfrenta, sus activos, su adversario, sus capacidades y la probabilidad de riesgos a los que se enfrenta.

    ¿Qué es el modelado de amenazas y por dónde empiezo?

    El modelado de amenazas le ayuda a identificar amenazas a las cosas que usted valora y determina de quién necesita protegerlas. Cuando construya un modelo de amenaza, responda a estas cinco preguntas:

    1. ¿Qué es lo que quieres proteger?
    2. ¿De quién lo quieres proteger?
    3. ¿Cuán probable es que necesites protegerlo?
    4. ¿Cuán destructivas pueden ser las consecuencias si fallas?
    5. ¿Cuánto esfuerzo estás dispuesta a hacer para prevenirlas?

    Miremos estas preguntas más de cerca

    ¿Qué quiero proteger?

    Un "activo o acción" es algo que valoras y quieres proteger. En el contexto de la seguridad digital, un activo suele ser algún tipo de información. Por ejemplo, sus correos electrónicos, listas de contactos, mensajes instantáneos, ubicación y archivos son todos los activos posibles. Sus dispositivos también pueden ser activos.

    Haga una lista de sus activos: datos que guarda, donde se guarda, quién tiene acceso a él y qué impide que otros accedan a él.

    ¿De quién quiero protegerlo?

    Para responder a esta pregunta, es importante identificar quién podría querer acceder a usted o a su información. Una persona o entidad que represente una amenaza para sus activos es un "adversario". Ejemplos de adversarios potenciales son su jefe, su ex pareja, su competencia empresarial, su gobierno o un hacker en una red pública.

    Haga una lista de sus adversarios, o de aquellos que puedan querer obtener sus bienes. Su lista puede incluir individuos, una agencia gubernamental, o corporaciones.

    Dependiendo de quiénes son sus adversarios, en algunas circunstancias, esta lista podría ser algo que desee destruir después de terminar de modelar la amenaza.

    ¿Qué tan malas son las consecuencias en caso de fallo?

    Hay muchas maneras en que un adversario puede amenazar su información. Por ejemplo, un adversario puede leer sus comunicaciones privadas a medida que pasan a través de la red o pueden eliminar o dañar sus datos.

    Los motivos de los adversarios difieren mucho, al igual que sus ataques. A un gobierno deseoso de evitar la difusión de un video demuestrando violencia policial puede bastarle simplemente con borrar o reducir la disponibilidad de ese video. En contraste, un oponente político puede desear tener acceso a contenido secreto y publicar ese contenido a sus espaldas.

    El modelado de amenazas implica entender cuán malas podrían ser las consecuencias si un adversario ataca con éxito uno de sus activos. Para determinarlo, debe considerar la capacidad de su adversario. Por ejemplo, su proveedor de telefonía móvil tiene acceso a todos sus registros telefónicos y por lo tanto tiene la capacidad de utilizar esos datos en su contra. Un hacker en una red Wi-Fi abierta puede acceder a sus comunicaciones sin cifrar. Su gobierno podría tener capacidades más fuertes.

    Anote lo que su adversario podría querer hacer con sus datos privados.

    ¿Qué tan probable es que necesite protegerlo?

    El riesgo es la probabilidad de que ocurra una amenaza particular contra un activo particular. Va de la mano con la capacidad. Aunque su proveedor de telefonía móvil tiene la capacidad de acceder a todos sus datos, el riesgo de que publiquen sus datos privados en línea para dañar su reputación es bajo.

    Es importante distinguir entre amenazas y riesgos. Si bien una amenaza es algo malo que puede suceder, el riesgo es la probabilidad de que ocurra la amenaza. Por ejemplo, existe la amenaza de que su edificio se derrumbe, pero el riesgo de que esto suceda es mucho mayor en San Francisco (donde los terremotos son comunes) que en Estocolmo (donde no lo son).

    Realizar un análisis de riesgo es un proceso personal y subjetivo; no todo el mundo tiene las mismas prioridades o ve amenazas de la misma manera. Muchas personas encuentran ciertas amenazas inaceptables sin importar el riesgo, porque la mera presencia de la amenaza en cualquier probabilidad no vale la pena el costo. En otros casos, las personas no tienen en cuenta los riesgos elevados porque no ven la amenaza como un problema.

    Tome nota de las amenazas que va a tomar en serio, y de aquellas que puedan ser demasiado raras o inofensivas (o demasiado difíciles de combatir) para preocuparse.

    ¿Cuánto problemas estoy dispuesto a afrontar para prevenir posibles consecuencias?

    Responder a esta pregunta requiere llevar a cabo el análisis de riesgo. No todo el mundo tiene las mismas prioridades o ve las amenazas de la misma forma.

    Por ejemplo, un abogado que representa a un cliente en un caso de seguridad nacional probablemente estaría dispuesto a ir más lejos para proteger las comunicaciones sobre ese caso, como usar un correo electrónico cifrado, que una madre que regularmente envía correos electrónicos a su hija.

    Escriba las opciones que tiene disponibles para ayudar a mitigar sus amenazas únicas. Tenga en cuenta si tiene restricciones financieras, restricciones técnicas o restricciones sociales.

    El modelado de amenazas como práctica regular

    Tenga en cuenta que su modelo de amenaza puede cambiar mientras cambia su situación. Por lo tanto, realizar evaluaciones frecuentes de modelos de amenazas es una buena práctica.

    Cree su propio modelo de amenaza basado en su propia y particular situación. A continuación, marque su calendario para una fecha en el futuro. Esto le pedirá que revise su modelo de amenaza y vuelva a comprobar si sigue siendo relevante en su caso.

    Última actualización: 
    07-09-2017
  • Eligiendo sus Herramientas

    Con tantas empresas y sitios web que ofrecen herramientas orientadas a ayudar a las personas a mejorar su propia seguridad digital. ¿Cómo elige las herramientas adecuadas para usted?

    No tenemos una lista infalible de herramientas capaces de defenderlo (aunque puede ver algunas opciones comunes en nuestras Guías Básicas ) Pero si tiene una buena idea de lo que está tratando de proteger y respecto a quién trata de protegerlo, esta guía puede ayudarlo a elegir las herramientas adecuadas utilizando algunas pautas básicas.

    Recuerde: la seguridad no se trata de las herramientas que usa o del software que descarga. Comienza con comprender las amenazas únicas que enfrenta y cómo puede contrarrestar esas amenazas. Consulte nuestra guía Evaluación de sus riesgos para obtener más información.

    La seguridad es un proceso, no una compra

    Lo primero que debe recordar antes de cambiar el software que usa o comprar nuevas herramientas es que ninguna herramienta o software le dará protección absoluta contra la vigilancia en todas las circunstancias. Por lo tanto, es importante pensar en sus prácticas de seguridad digital de manera integral. Por ejemplo, si usa herramientas seguras en su teléfono, pero no pone una contraseña en su computadora, las herramientas en su teléfono podrían no serle de mucha ayuda. Si alguien quiere obtener información sobre usted, elegirá la forma más fácil de obtener esa información, no la más difícil.

    En segundo lugar, es imposible protegerse contra todo tipo de argucia o ataque, por lo que debe concentrarse en qué personas podrían querer sus datos, qué podrían querer de ellos y cómo podrían obtenerlos. Si su mayor amenaza es la vigilancia física de un investigador privado que no tiene acceso a las herramientas de vigilancia de Internet, no necesita comprar algún sistema caro de teléfono cifrado que dice ser "a prueba de NSA". Alternativamente, si se enfrenta a un gobierno que regularmente encarcela a los disidentes porque usan herramientas de cifrado, puede tener sentido utilizar tácticas más simples, como organizar un conjunto de códigos preestablecidos conteniendo mensajes, en lugar de arriesgarse a dejar evidencia de que usa software de cifrado en su computadora portátil. Contar con un conjunto de posibles ataques contra los que planea protegerse se llama modelado de amenazas.

    Ante todo, aquí hay algunas preguntas que puede hacer sobre una herramienta antes de descargarla, comprarla o usarla.

    ¿Qué tan transparente es?

    Los investigadores de seguridad creen firmemente que la apertura y la transparencia conducen a herramientas más seguras.

    Gran parte del software que la comunidad de seguridad digital usa y recomienda es de código abierto. Esto significa que el código que define cómo funciona está públicamente disponible para que otros lo examinen, modifiquen y compartan. Al ser transparentes sobre cómo funciona su programa, los creadores de estas herramientas invitan a otros a buscar fallas de seguridad y ayudar a mejorar el programa.

    El software de código abierto brinda la oportunidad de mejorar la seguridad, pero no la garantiza. La ventaja del código abierto se basa, en parte, en una comunidad de tecnólogos que realmente verifican el código, lo cual, para proyectos pequeños (e incluso para los populares, complejos), puede ser difícil de lograr.

    Al considerar una herramienta, vea si su código fuente está disponible y si cuenta con una auditaría de seguridad independiente para confirmar la calidad de su seguridad. Como mínimo, el software o hardware debe tener una explicación técnica detallada de cómo funciona para que otros expertos lo inspeccionen.

    ¿Cuán claros son sus creadores sobre sus ventajas y desventajas?

    Ningún software o hardware es completamente seguro. Busque herramientas respecto a las cuales, sus creadores o vendedores sean honestos acerca de las limitaciones de sus productos.

    Las afirmaciones generales que dicen que el código es de "grado militar" o "a prueba de NSA" son realmente alertas. Estas declaraciones indican que los creadores están demasiado confiados o no están dispuestos a considerar los posibles fallos en su producto.

    Debido a que los atacantes siempre intentan descubrir nuevas formas de romper la seguridad de las herramientas, es necesario actualizar el software y el hardware para corregir las vulnerabilidades. Puede ser un problema grave si los creadores no están dispuestos a hacerlo, ya sea porque temen a la mala publicidad o porque no han construido la infraestructura para hacerlo. Busque creadores que estén dispuestos a hacer estas actualizaciones, y que sean honestos y claros acerca de por qué lo hacen.

    Un buen indicador de cómo se comportarán los fabricantes de herramientas en el futuro es su actividad pasada. Si el sitio web de la herramienta enumera problemas anteriores y enlaces a actualizaciones e información periódicas, como - específicamente - cuánto tiempo ha pasado desde la última actualización del software, puede tener más confianza en que continuarán brindando este servicio en el futuro.

    ¿Qué sucede si los creadores están comprometidos?

    Cuando los fabricantes de herramientas de seguridad crean software y hardware, deben (al igual que usted) tener un modelo de amenaza claro. Los mejores creadores describen explícitamente respecto a qué tipo de adversarios pueden protegerlo en su documentación.

    Pero hay un atacante en el que muchos fabricantes no quieren pensar: ¡ellos mismos! ¿Qué pasa si han sido vulnerados o deciden atacar a sus propios usuarios? Por ejemplo, un tribunal o un gobierno puede obligar a una empresa a entregar datos personales o crear una "puerta trasera" que eliminará todas las protecciones que ofrece su herramienta. Así que considere la(s) jurisdicción(es) de origen de los creadores. Si está preocupado por protegerse del gobierno de Irán, por ejemplo, una compañía con sede en los EE. UU. Podrá resistir las órdenes judiciales iraníes, incluso si debe cumplir con las órdenes estadounidenses.

    Incluso si un creador puede resistir la presión del gobierno, un atacante puede intentar entrar en los sistemas de los propios fabricantes de herramientas para atacar a sus clientes.

    Las herramientas más resistentes son aquellas que lo consideran un posible ataque y están diseñadas para defenderse de esto. Busque un lenguaje que afirme que un creador no puede acceder a datos privados, en lugar de prometer que un creador no lo hará . Busque instituciones con una reputación por combatir órdenes judiciales de datos personales .

    ¿Se ha ordenado su devolución o ha sido criticado en línea?

    Las compañías que venden productos y entusiastas que anuncian su último software pueden ser engañadas, ser engañosas o incluso mentir abiertamente. Un producto que originalmente era seguro podría tener defectos terribles en el futuro. Asegúrese de estar bien informado sobre las últimas noticias sobre las herramientas que usa.

    Es muy trabajoso para una persona mantenerse al día con las últimas noticias sobre una herramienta. Si tiene colegas que usan un producto o servicio en particular, trabaje con ellos para mantenerse informado.

    ¿Qué teléfono debería comprar? ¿Qué computadora?

    A los formadores de seguridad a menudo se les pregunta: "¿Debo comprar un Android o un iPhone?" o "¿Debo usar una PC o una Mac?" o "¿Qué sistema operativo debo usar?" No hay respuestas simples a estas preguntas. La seguridad relativa del software y los dispositivos cambia constantemente a medida que se descubren nuevos defectos y se subsanan errores antiguos. Las empresas pueden competir entre sí para proporcionarle una mejor seguridad, o pueden estar bajo la presión de los gobiernos para debilitar esa seguridad.

    Sin embargo, algunos consejos generales casi siempre son ciertos. Cuando compra un dispositivo o un sistema operativo, mantenga su dispositivo actualizado con las ultimas actualizaciones de software. Las actualizaciones a menudo solucionan problemas de seguridad en código antiguo que los ataques pueden explotar. Tenga en cuenta que es posible que algunos teléfonos y sistemas operativos más antiguos ya no sean compatibles, incluso para las actualizaciones de seguridad. En particular, Microsoft ha dejado en claro que las versiones de Windows Vista, XP y posteriores no recibirán correcciones incluso para graves problemas de seguridad. Esto significa que si los usa, no puede esperar estar a salvo de los atacantes. Lo mismo es cierto para OSX antes de 10.11 o El Capitán.

    Ahora que ha considerado las amenazas que enfrenta y sabe qué buscar en una herramienta de seguridad digital, puede elegir con más confianza las herramientas más adecuadas para su situación particular.

    Productos mencionados en Autoprotección digital contra la vigilancia

    Intentamos garantizar que el software y el hardware mencionados en SSD cumplan con los criterios enumerados anteriormente. Hemos hecho un esfuerzo de buena fe para solo enumerar productos que:

    • tienen una sólida base en lo que sabemos actualmente sobre seguridad digital,
    • son generalmente transparentes sobre su operación (y sus fallas),
    • tienen defensas contra la posibilidad de que los propios creadores se verán comprometidos, y
    • se mantienen actualmente, con una gran base de usuarios con conocimiento técnico.

    Creemos que existe, en el momento de redactar este informe, una amplia audiencia examinándolos en búsqueda de fallas y dispuestos a llevar esas inquietudes al público rápidamente. Por favor, comprendan que no tenemos los recursos para examinar o asegurar de forma independiente su seguridad. No respaldamos estos productos y no podemos garantizar una seguridad completa.

    Última actualización: 
    19-04-2018
  • Verificando las Llaves

    Cuando el cifrado se utiliza correctamente, tus comunicaciones o informaciones deberían ser leídas solamente por tí y la persona o personas con quien te estás comunicando. El cifrado de punto-a-punto (“end-to-end encryption”) protege tus datos frente a la vigiliancia realizada por un tercero, pero si no estás seguro de la identidad de la persona con la cual estás hablando, su utilidad es limitada. Es aquí donde la llave de verificación (“key verification”) entra en juego. Verificando las llaves públicas (public keys), tu y la persona con la cual te estás comunicando podrán agregar una capa adicional de protección a su conversación. La verificación de llaves permite confirmar la identidad de cada uno y así estar más seguro que te encuentras hablando con la persona correcta.

    La llave de la verificación es una característica común de los protocolos que usan cifrado de punto-a-punto, tales como PGP y OTR (por sus siglas en inglés). En Signal, se les llama "safety numbers." Para verificar las llaves sin el riesgo de interferencia, es recomendable que uses un método secundario de comunicación distinto al que usas para cifrar; este método es conocido como verificación fuera de banda (out-of-band verification). Por ejemplo, si estás verificando tus huellas OTR, podrías enviarle un correo electrónico con tus huellas a la otra parte. En ese caso, tu email podría ser tu canal secundario de comunicación.

    Verificando Las Llaves Fuera de Banda

    Hay varias formas de hacerlo. Si esto se arregla de manera segura y te es conveniente, es ideal verificar las llaves cara a cara. Muchas veces esto se hace en las reuniones o eventos llamados “fiestas de firmas de llaves” (“key-signing parties”) o entre colegas.

    Si no te puedes reunir cara-a-cara, puedes contactar a tu corresponsal a través de un medio distinto de aquel para el cual estás tratando de verificar las llaves. Por ejemplo, si estás tratando de verificar las llaves PGP con alguien, podrías utilizar el teléfono o una conversación vía OTR para hacer lo mismo.

    No importa el programa que uses, siempre serás capaz de localizar tu llave y la llave de tu compañero en la comunicación.

    Aunque el método de localizar tu llave varía por programa, el método de verificar la llave se mantiene igual. Inclusive puedes leer sus huellas de llave en voz alta (si estás cara-a-cara o usando un teléfono) o puedes copiar y pegarlas dentro de un programa de comunicaciones, pero sea cual sea el método que uses, es imperativo que revises cada una de las letras y los números.

    Consejos: Trata de verificar las llaves con uno de tus amigas. Para aprender a verificar las llaves de un programa específico, visita la guía de ese programa.

     

    Última actualización: 
    13-01-2017
  • Una mirada en profundidad al cifrado de extremo a extremo: ¿Cómo funcionan los sistemas de cifrado de clave pública?

    Si se utiliza correctamente, el cifrado de extremo a extremo puede ayudar a proteger el contenido de sus mensajes, texto e incluso archivos para que nadie los entienda, excepto sus destinatarios previstos. También se puede utilizar para probar que un mensaje proviene de una persona en particular y no ha sido alterado.

    En los últimos años, las herramientas de cifrado de extremo a extremo se han vuelto más usables. Las herramientas de mensajería segura como Signal (iOS o Android) - para llamadas telefónicas, videollamadas, chats y uso compartido de archivos- son buenos ejemplos de aplicaciones que utilizan cifrado de extremo a extremo para cifrar mensajes entre el remitente y el destinatario previsto. Estas herramientas hacen que los mensajes sean ilegibles para los que escuchan a escondidas en la red, así como para los propios proveedores de servicios.

    Dicho esto, algunas implementaciones de cifrado de extremo a extremo pueden ser difíciles de entender y utilizar

    En esta guía, nos referiremos al cifrado de extremo a extremo para correo electrónico como un ejemplo de cómo funciona conceptualmente el cifrado de extremo a extremo. El correo electrónico cifrado de extremo a extremo sólo funciona cuando ambos extremos acuerdan un protocolo de cifrado específico. Un protocolo se llama Pretty Good Privacy, o PGP, para abreviar.

    Por favor, tenga en cuenta que EFF no recomienda actualmente PGP - simplemente lo estamos usando como un ejemplo educativo. Para uso práctico, recomendamos otros métodos de mensajería cifrada de extremo a extremo por las razones que describimos aquí. PGP sigue teniendo muchos desafíos, mientras que se han dado grandes pasos en la cifrado de extremo a extremo para aplicaciones de chat, como Signal.

    Antes de empezar a utilizar herramientas de cifrado de extremo a extremo, le recomendamos encarecidamente que se tome el tiempo necesario para comprender los conceptos básicos de la criptografía de clave pública.

    El tipo de cifrado del que hablamos en esta guía, en el que se basan las herramientas de cifrado de extremo a extremo, se denomina criptografía de clave pública o cifrado de clave pública. Para obtener más información sobre otros tipos de cifrado, consulte nuestra guía ¿Qué es el cifrado?

    La comprensión de los principios subyacentes de la criptografía de clave pública le ayudará a utilizar estas herramientas con éxito. Hay cosas que la criptografía de clave pública puede y no puede hacer, y es importante entender cuándo y cómo usted podría querer usarla.

    ¿Qué hace el cifrado?

    Así es como funciona el cifrado al enviar un mensaje secreto:

    1. Un mensaje claramente legible ("hola mamá") es cifrado en un mensaje codificado que es incomprensible para cualquiera que lo mire ("OhsieW5ge+osh1aehah6").
    2. El mensaje cifrado se envía a través de Internet, donde otros ven el mensaje codificado, "OhsieW5ge+osh1aehah6".
    3. Cuando llega a su destino, el destinatario previsto, y sólo el destinatario previsto, tiene alguna manera de descifrarlo de nuevo en el mensaje original ("hola mamá").

    Cifrado simétrico: Una historia de pasar notas secretas con una sola llave

    Julia quiere enviar una nota a su amigo César que dice "Encuéntrame en el jardín", pero no quiere que sus compañeros la vean.

    La nota de Julia pasa por un grupo de compañeros intermediarios antes de llegar a César. Aunque son neutrales, los intermediarios son entrometidos y pueden fácilmente echar un vistazo al mensaje antes de transmitirlo. También están haciendo copias de este mensaje antes de transmitirlo y anotando la hora en que Julia está enviando este mensaje a César.

    Julia decide cifrar su mensaje con una llave de 3, cambiando las letras del alfabeto por tres. Así que A sería D, B sería E, etc. Si Julia y César usan una simple llave de 3 para cifrar y una llave de 3 para descifrar entonces su mensaje cifrado en un galimatías es fácil de descifrar. Alguien podría forzar usando "fuerza bruta" la llave probando todas las combinaciones posibles. En otras palabras, pueden adivinar persistentemente hasta que obtienen la respuesta para descifrar el mensaje.

    El método de cambiar el alfabeto por tres caracteres es un ejemplo histórico de cifrado utilizado por Julio César: el cifrado César. Cuando hay una llave para cifrar y descifrar, como en este ejemplo donde es un simple número de 3, se llama cifrado simétrico.

    El cifrado César es una forma débil de cifrado simétrico. Afortunadamente, el cifrado ha avanzado mucho desde el cifrado César. Usando matemáticas asombrosas y la ayuda de las computadoras, se puede generar una llave que es mucho, mucho más grande, y es mucho, mucho más difícil de adivinar. La criptografía simétrica ha recorrido un largo camino y tiene muchos propósitos prácticos.

    Sin embargo, el cifrado simétrica no aborda el siguiente problema: ¿qué pasaría si alguien pudiera, simplemente, escuchar a escondidas y esperar a que Julia y César compartieran la llave y robaran la llave para descifrar sus mensajes? ¿Y si esperaran a que Julia y César dijeran el secreto para descifrar sus mensajes con la llave de 3? ¿Y si Julia y César estuvieran en diferentes partes del mundo, y no planearan reunirse en persona?

    ¿Cómo pueden César y Julia sortear este problema?

    Digamos que Julia y César han aprendido sobre cifrado de llave pública. Es poco probable que un fisgón encuentre a Julia o César compartiendo la llave de descifrado, ya que no necesitan compartirla. En el cifrado de llave pública, las claves de cifrado y descifrado son diferentes.

    Cifrado de clave pública: Una historia de dos llaves

    Veamos el problema más de cerca: ¿Cómo envía el remitente la llave de descifrado simétrico al destinatario sin que alguien espíe también esa conversación? En particular, ¿qué pasa si el remitente y el destinatario están físicamente lejos el uno del otro, pero quieren poder conversar sin mirarse a hurtadillas?

    El cifrado de clave pública (también conocida como cifrado asimétrico) tiene una solución limpia para esto. Permite a cada persona en una conversación crear dos llaves: una llave pública y otra privada. Las dos llaves están conectadas y en realidad son números muy grandes con ciertas propiedades matemáticas. Si codifica un mensaje utilizando la llave pública de una persona, ésta puede decodificarlo utilizando su llave privada correspondiente.

    Julia y César ahora están usando sus dos computadoras para enviar mensajes cifrados usando cifrado de llave pública, en lugar de pasarse notas. Sus compañeros de clase que pasaban las notas ahora son reemplazados por computadoras. Hay intermediarios entre Julia y César: Los respectivos puntos Wi-Fi de Julia y César, los proveedores de servicios de Internet y sus servidores de correo electrónico. En realidad, puede haber cientos de computadoras entre Julia y César que faciliten esta conversación. Estos intermediarios están reproduciendo y almacenando copias de los mensajes de Julia y César cada vez que pasan.

    No les importa que los intermediarios puedan verlos comunicándose, pero quieren que el contenido de sus mensajes se mantenga privado.

    Primero, Julia necesita la llave pública de César. César envía su llave pública (archivo) a través de un canal inseguro, como un correo electrónico no cifrado. No le importa si los intermediarios tienen acceso a ella porque la llave pública es algo que puede compartir libremente. Nótese que la metáfora llave se rompe por aquí; no es del todo correcto pensar en la llave pública como una llave literal. César envía la llave pública a través de múltiples canales, de modo que los intermediarios no pueden enviar una de sus propias claves públicas a Julia.

    Julia recibe el archivo de llave pública de César. ¡Ahora Julia puede cifrar un mensaje para él! Ella escribe su mensaje: "Encuéntrame en el jardín."”

    Ella envía el mensaje cifrado Está cifrado sólo para César.

    Tanto Julia como César pueden entender el mensaje, pero parece un galimatías para cualquiera que intente leerlo. Los intermediarios pueden ver metadatos, como la línea de asunto, las fechas, el remitente y el destinatario.

    Debido a que el mensaje está cifrado con la llave pública de César, sólo está destinado a que César y el remitente (Julia) lean el mensaje.

    César puede leer el mensaje usando su llave privada.

    Para recapitular:

    • El cifrado de llave pública permite a alguien enviar su llave pública en un canal abierto e inseguro.
    • Tener la llave pública de un amigo le permite cifrar los mensajes que le envía.
    • Su llave privada se utiliza para descifrar los mensajes que se le envían cifrados.
    • Los intermediarios - como los proveedores de servicios de correo electrónico, los proveedores de servicios de Internet y los de sus redes- pueden ver metadatos todo el tiempo: quién está enviando qué, a quién, cuándo, a qué hora se recibe, cuál es la línea de asunto, que el mensaje está cifrado, etc.

    Otro problema: ¿Qué pasa con la suplantación de identidad?

    En el ejemplo de Julia y César, los intermediarios pueden ver los metadatos todo el tiempo.

    Digamos que uno de los intermediarios es un mal actor. Por mal actor, nos referimos a alguien que intenta dañarlo a usted, tratando de robar o interferir con su información. Por alguna razón, este mal actor quiere espiar el mensaje de Julia a César.

    Digamos que este mal actor es capaz de engañar a Julia para que tome el archivo de llave pública equivocado para César. Julia no se da cuenta de que no es la llave pública de César. El mal actor recibe el mensaje de Julia, lo mira y se lo pasa a César.

    El mal actor podría, incluso, decidir cambiar el contenido del archivo antes de pasárselo a César.

    La mayoría de las veces, el mal actor decide dejar los contenidos sin modificar. Entonces, este mal actor trasmite el mensaje de Julia a César como si nada hubiera pasado, César sabe que debe encontrarse con Julia en el jardín, y para su sorpresa, el mal actor también está allí.

    Esto se conoce como un ataque por intermediario. También es conocido como un ataque de máquina en medio.

    Afortunadamente, el cifrado de llave pública tiene un método para prevenir ataques por intermediario.

    El cifrado de llave pública le permite verificar la identidad digital de alguien con su identidad de la vida real a través de algo llamado "verificación de huellas dactilares". Esto funciona mejor en la vida real, si usted es capaz de reunirse con su amigo en persona. Tendrá su huella dactilar de llave pública disponible y su amigo comprobará que todos y cada uno de los caracteres de su huella dactilar de llave pública coincidan con lo que tienen para su huella dactilar de llave pública. Es un poco tedioso, pero vale la pena hacerlo.

    Otras aplicaciones con cifrado de extremo a extremo también tienen una forma de comprobar las huellas dactilares, aunque hay algunas variaciones sobre cómo se llama la práctica y cómo se implementa. En algunos casos, usted leerá cada carácter de la huella digital con sumo cuidado y deberá asegurarse de que coincida con lo que ve en su pantalla, y no con lo que su amigo ve en su pantalla. En otros, puede escanear un código QR en el teléfono de otra persona para "verificar" su dispositivo. En el siguiente ejemplo, Julia y César pueden reunirse en persona para verificar sus huellas dactilares escaneando los códigos QR de cada uno utilizando la cámara de su teléfono.

    Si no puede darse el lujo de reunirse en persona, puede hacer que su huella digital esté disponible a través de otro canal seguro, como otra aplicación de mensajería cifrada de extremo a extremo o un sistema de chat, o un sitio HTTPS.

    En el siguiente ejemplo, César, envía su huella digital de llave pública PGP de 40 caracteres a Julia utilizando la aplicación encriptada de extremo a extremo, Signal, con su smartphone. En el correo electrónico cifrado de extremo a extremo de PGP, sólo se conoce como comprobación de huellas dactilares. PGP permite verificar la identidad de alguien "firmando" su llave pública: es como decir, "sí, he comprobado que esta llave pública pertenece a mi amigo".

    Para repasar:

    • Un ataque por intermediario es cuando alguien intercepta su mensaje a otra persona. El atacante puede alterar el mensaje y pasarlo o simplemente escuchar a escondidas.
    • El cifrado de llave pública le permite hacer frente a los ataques del tipo "Intermediario" proporcionando formas de verificar las identidades del destinatario y del remitente. Esto se hace a través de la verificación de huellas dactilares.
    • Además de utilizarse para encriptar un mensaje a su amigo, la llave pública de su amigo también viene con algo llamado "huella digital de llave pública". Puede utilizar la huella dactilar para verificar la identidad de este amigo.
    • La llave privada se utiliza para cifrar mensajes, así como para firmar digitalmente mensajes como usted.

    Signo de los Tiempos

    El cifrado de llave pública hace que no tenga que pasar de contrabando la clave de descifrado al destinatario de su mensaje secreto porque esa persona ya tiene la clave de descifrado. La clave de descifrado es su llave privada. Por lo tanto, todo lo que necesita para enviar un mensaje es la clave de cifrado pública coincidente de su destinatario. Y puede obtener esto fácilmente porque su destinatario puede compartir su llave pública con cualquier persona, ya que las claves públicas sólo se utilizan para cifrar mensajes, no para descifrarlos.

    Pero hay más! Sabemos que si encriptas un mensaje con una determinada llave pública, sólo se puede desencriptar con la llave privada correspondiente. Pero también es cierto lo contrario. Si encriptas un mensaje con una determinada llave privada, sólo se puede descifrar mediante su llave pública correspondiente.

     

    La firma también hace que los mensajes sean a prueba de manipulaciones. Si alguien tratara de cambiar su mensaje de "Prometo pagar a Aazul $100" a "Prometo pagar a Ming $100", no podrían volver a firmarlo usando su llave privada. Por lo tanto, un mensaje firmado garantiza que se originó de cierta fuente y que no fue manipulado en tránsito.

    En Revisión: Uso de la cifrado de llave pública

    Vamos a repasar. La cifrado de llave pública le permite cifrar y enviar mensajes de forma segura a cualquier persona cuya llave pública conozca.

    Si otros conocen su llave pública:

    • pueden enviarle mensajes secretos que sólo usted puede decodificar usando su llave privada y,,
    • puede firmar sus mensajes con su llave privada para que los destinatarios sepan que los mensajes sólo pueden proceder de usted.

    Y si conoce la llave pública de otra persona:

    • puede decodificar un mensaje firmado por ellos y saber que sólo proviene de ellos.

    Ya debería estar claro que la cifrado de llave pública se vuelve más útil cuando más gente conoce su llave pública. La llave pública se puede compartir, en el sentido de que es un archivo que se puede tratar como una dirección en una guía telefónica: es pública, la gente sabe que lo puede encuentrar allí, puede compartirla ampliamente y la gente sabe que hay que cifrar los mensajes que se le envían con ella. Puede compartir su llave pública con cualquiera que quiera comunicarse con usted; no importa quién la vea.

    La llave pública viene emparejada con un archivo llamado llave privada. Puede pensar en la llave privada como una llave real que tienes que proteger y mantener a salvo. Su llave privada se utiliza para cifrar y descifrar mensajes.

    También debe ser evidente que usted necesita mantener su llave privada muy segura. Si la llave privada se elimina accidentalmente del dispositivo, no podrá descifrar los mensajes cifrados. Si alguien copia su llave privada (ya sea por acceso físico a tu computadora, malware en su dispositivo, o si accidentalmente publica o compartes su llave privada), entonces otros pueden leer sus mensajes cifrados. Pueden fingir ser usted y firmar mensajes afirmando que los escribió usted.

    No es infrecuente que los gobiernos roben claves privadas de los ordenadores de determinadas personas (quitándoles los ordenadores o poniéndoles malware mediante acceso físico o ataques de phishing). Esto deshace la protección que ofrece el cifrado de llave privada. Esto es comparable a decir que usted puede ser que tenga una cerradura inmune a cualquier ganzúa en su puerta, pero alguien pudo robarle la llave en la calle, copiarla y escabullirla de nuevo en su bolsillo y por lo tanto poder entrar en su casa sin necesitar forzar la cerradura.

    Esto se remonta al modelado de amenazas: determine cuáles son sus riesgos y enfréntelos apropiadamente. Si cree que alguien se tomaría muchas molestias para intentar obtener su llave privada, es posible que no desee utilizar una solución dentro del navegador para el cifrado de extremo a extremo. En su lugar, puede optar por tener la llave privada almacenada en su propio ordenador o teléfono, en lugar del ordenador de otra persona (como en la nube o en un servidor)..

    Revisión de la cifrado de llave pública y un ejemplo específico: PGP.

    Por lo tanto, repasamos la cifrado simétrica y la cifrado de llave pública como explicaciones separadas. Sin embargo, debemos tener en cuenta que el cifrado de llave pública también utiliza el cifrado simétrico! El cifrado de llave pública en realidad sólo cifra una clave simétrica, que luego se utiliza para descifrar el mensaje real.

    PGP es un ejemplo de un protocolo que utiliza tanto cifrado simétrica como cifrado de llave pública (asimétrica). Funcionalmente, el uso de herramientas de cifrado de extremo a extremo como PGP le hará muy consciente de las prácticas de cifrado de llave pública.

    Qué son exactamente las llaves. ¿Y cómo se unen las llaves?

    El cifrado de llave pública se basa en la premisa de que hay dos llaves: una llave para cifrar y otra para descifrar. Cómo funciona básicamente es que puede enviar una llave a través de un canal inseguro, como Internet. Esta llave se denomina llave pública. Puede publicar esta llave pública en cualquier lugar, en lugares muy públicos, y no comprometer la seguridad de sus mensajes cifrados

     

    La llave pública viene emparejada con un archivo llamado llave privada. Piense en la llave privada como una llave real que tiene que proteger y mantener a salvo. Su llave privada se utiliza para cifrar y descifrar mensajes.

    Vamos a examinar la generación de llaves en un algoritmo de cifrado de llave pública de uso común llamado RSA (Rivest-Shamir-Adleman). RSA se utiliza a menudo para generar pares de llaves para correo electrónico cifrado PGP.

    La llave pública y la llave privada se generan juntas y se enlazan. Ambos dependen de los mismos números primos secretos muy grandes. La llave privada es la representación de dos números primos secretos muy grandes. Metafóricamente, la llave pública es el número de producto: está formada por los mismos dos números primos enormes que se usan para crear la llave privada. Lo que es asombroso es que es muy difícil averiguar qué dos números primos grandes crearon la llave pública.

    Este problema se conoce como factoraje primario, y algunas implementaciones de cifrado de llave pública aprovechan esta dificultad para que las computadoras resuelvan cuáles son los números primos de los componentes. El cifrado moderna nos permite usar números primos escogidos al azar, ridículamente gigantescos que son difíciles de adivinar tanto para los humanos como para las computadoras.

    Y, la fuerza aquí es que la gente puede compartir sus llaves públicas a través de canales inseguros para dejar que se cifren entre sí! En el proceso, nunca revelan cuál es su llave privada (números primos secretos), porque nunca tienen que enviar su llave privada para descifrar mensajes en primer lugar.

    Recuerde: Para que el cifrado de llave pública funcione, el remitente y el destinatario necesitan las llaves públicas del otro.

    Otra forma de pensar en ello: La llave pública y la llave privada se generan juntas, como un símbolo yin-yang. Están entrelazados.

    La llave pública se puede buscar y compartir. Puede distribuirla a quien sea. Puede publicarla en sus redes sociales, si no le importa revelar la existencia de su dirección de correo electrónico. Usted puede ponerla en su sitio web personal. Puede repartirla.

    La llave privada debe mantenerse a salvo y cerca. Sólo tiene una. No quiere perderla, ni compartirla, ni hacer copias de élla que puedan flotar por ahí, ya que hace más difícil mantener sus mensajes privados en privado. Sin sus llaves, no puede leer los mensajes cifrados que se le envían y tampoco puede enviarlos. Mantengalas a salvo y en secreto.

    Cómo funciona PGP

    Veamos cómo podría funcionar la cifrado de llave pública, aún usando el ejemplo de PGP. Digamos que quieres enviar un mensaje secreto a Aarav:

    1. Aarav tiene una llave privada y, como un buen usuario de cifrado de llave pública, ha puesto su llave pública disponible en su página web (HTTPS).
    2. Usted descarga su llave pública.
    3. Usted cifra su mensaje secreto usando la llave pública de Aarav y se lo envía.
    4. Sólo Aarav puede decodificar tu mensaje secreto porque es el único con la llave privada correspondiente.

    Pretty Good Privacy se ocupa principalmente de las minucias de la creación y el uso de llaves públicas y privadas. Puede usarlo para crear un par de llaves públicas/privadas, proteger la llave privada con una contraseña y utilizarla y su llave pública para firmar y cifrar texto.

     

    Metadatos: Lo que no puede hacer el cifrado de llave pública

    El cifrado de llave pública consiste en asegurarse de que el contenido de un mensaje sea secreto, genuino y sin alteraciones. Pero esa no es la única preocupación de privacidad que pueda tener. Como hemos notado, la información sobre sus mensajes puede ser tan reveladora como su contenido (Ver "metadatos"). (See “metadata”).

    Si intercambia mensajes cifrados con un disidente conocido en su país, puede estar en peligro por simplemente comunicarse con él, incluso si esos mensajes no son decodificados. En algunos países puede ser encarcelado simplemente por negarse a descifrar mensajes cifrados.

    Disimular que te estás comunicando con una persona en particular es más difícil. En el ejemplo de PGP, una forma de hacer esto es que ambos usen cuentas de correo anónimas, y accedan a ellas usando Tor. Si lo hace, PGP seguirá siendo útil, tanto para mantener sus mensajes de correo electrónico privados de los demás, como para probarse mutuamente que los mensajes no han sido manipulados.

    Ahora que ha aprendido sobre cifrado de llave pública, pruebe a utilizar una herramienta de cifrado de extremo a extremo como Signal para iOS o Android.

    Última actualización: 
    09-05-2018
  • Cómo Usar OTR Para Mac

    Adium es un recurso libre y abierto de mensajes instantáneos para el sistema OS X que te permite charlar/chatear con múltiples individuos a través de diversos protocolos de charla, incluyendo Google Hangouts, Yahoo! Messenger, Windows Live Messenger, AIM, ICQ, y XMPP.

    OTR (Off-the-record/Fuera del récord) es un protocolo que permite a las personas tener una conversación confidencial utilizando las herramientas de mensajes con los cuales ellos ya están familiarizados. Este no debe de ser confundido con el setting de “Off the record” en Google, el cual simplemente desactiva el fichero histórico de la charla, y no tiene cifrado o capacidad para verificaciones. Paro los usuarios de Mac, OTR viene ya construido dentro del Adium para sus clientes.

    OTR emplea el cifrado de punta-a-punta (end-to-end encryption). Esto quiere decir que tú puedes usarlo para tener conversaciones a través de los servicios como Google Hangouts sin que estas compañías nunca tengan acceso al contenido de la conversaciones. Sin embargo, el hecho de que usted está teniendo una conversación es visible para el proveedor.

    Por qué debo yo usar Adium + OTR?

    Cuando tienes una conversación/chat usando Google Hangouts chat en los sitios web de Google, esa charla es cifrada usando HTTPS, la cual quiere decir que el contenido de tu charla está protegido contra los hackers y de otros personas de tercera vía mientras está transitando. Sin embargo, tu comunicación no está protegida de Google, empresas que tienen la clave de tus conversaciones y pueden entregarla a las autoridades o utilizarlos para fines de marketing.

    Después de que instales Adium, puedes usarlo con múltiples cuentas al mismo tiempo. Por ejemplo, puedes usar Google Hangouts y XMPP simultáneamente. Adium también te permite usar estas herramientas sin OTR. Ya que OTR solamente funciona si ambas personas la están usando, esto quiere decir que aunque la otra persona no lo tenga instalado, puedes charlar con ellos/ellas usando Adium.

    Adium también te permita hacer verificaciones fuera-de-banda (out-of-band verification) para estar seguro que estás hablando con la persona que piensas que está hablando, y no ha estado sujeto a un ataque de intermediario (MITM attack). Para cada conversación, hay una opción que te enseñará las huellas de llave (key fingerprints) que esta tiene para ti, y la persona con la cual estás charlando. Una "huella de llave/key fingerprint" es una cinta de caracteres semejantes a "342e 2309 bd20 0912 ff10 6c63 2192 1928,” que se usa para verificar una llave pública larga. Intercambia tus huellas a través de otros canales de comunicaciones, tales como Twitter DM o email, para estar seguro de que nadie este interfiriendo con tu comunicación. Si las claves no coinciden, no se puede estar seguro de que está hablando con la persona correcta. En la práctica, la gente suele usar varias claves, o perder y tienen que volver a crear nuevas claves, así que no se sorprenda si tiene que volver a revisar sus llaves con tus amigos de vez en cuando.

    Limitaciones: Cuándo no debo de usar Adium + OTR?

    Los técnicos tienen un término para describir cuando un programa o tecnología puede ser vulnerable a ataques externos: ellos dicen que tiene una "gran superficie de ataque”. Pues bien, Adium tiene una gran superficie de ataque, ya que es un programa complejo que no ha sido escrito con la seguridad como una de las prioridades principales y es cierto que tiene vulnerabilidades (“bugs”), algunas las cuales podrían ser usadas por el gobierno e inclusive por grandes compañías para entrar en las computadoras que están usandandolo. Usar Adium para cifrar tu conversación es una gran defensa contra el tipo de ataque de vigilancia no intencionada que se usa para espiar las conversaciones de todo el mundo. Pero a nivel personal seria un blanco de ataque de un agresor bien-armado (como la de un estado),en ese caso debes de considerar precauciones mas fuertes, como el email cifrado-PGP (PGP-encrypted email).

    Instalando Adium + OTR en su Mac

    Paso 1: Instale el programa

    Primero, ve a https://adium.im/ en su navegador. Da click en “Download Adium 1.5.9.” (“Descarga Adium 1.5.9”). La carpeta bajará como un .dmg, o disco imagen, y posiblemente se guardará en tu carpeta “downloads.”

    Dale doble click en la carpeta; esto abrirá una ventanilla semejante a esta:

    Mueva la imagen dentro de la carpeta “Applications” (“Aplicaciones”) para instalar el programa. Una vez el programa esté instalado, buscalo en tu carpeta de Aplicaciones y dale un doble click para abrirlo.

    Paso 2: Configura tu cuenta(s)

    Primero, necesitas decidir que herramienta de charlas o protocolos quieres usar con Adium. El establecimiento del proceso es similar, pero no idéntico para cada tipo de herramienta/programa. Tú debes de saber el nombre de cuenta para cada programa o protocolo, como también la clave para cada cuenta.

    Para establecer una cuenta, ve al menú de Adium en la parte superior de tu pantalla y haz click en “Adium” y después en “Preferences” (“Preferencias”). Esto abrirá otra ventana, con otro menú superior. Seleccione “Accounts” (“Cuentas”); entonces da un click al signo “+” en la parte inferior de la ventana. Verás un menú que se parece a éste:

    Seleccione el protocolo que desees. Desde aquí, te pedirá ingresar tu nombre de usuario y clave, o a usar una autorización de Adium para ingresar en tu cuenta. Sigue las instrucciones de Adium cuidadosamente.

    Cómo iniciar una charla OTR

    Una vez registrado o ingresado en una o más de tus cuentas, puedes empezar a usar OTR.

    Recuerda: para tener una conversación usando OTR, ambas personas tienen que tener un programa de charla que soporten OTR.

    Paso 1: Iniciando una charla OTR

    Primero, identifique a alguien que esté usando OTR, e inicie una conversación con ellos en Adium dandole un doble-teclado en su nombre. Una vez tu hallas abierto la ventana de charla, verás una vpequeña, abierto candado en la esquina a mano superior-izquierda de la ventana de charla. Déle al teclado en el candado y seleccione “Initiate Encrypted OTR Chat.” (“Iniciar el chat cifrado-OTR”).

    Paso 2: Verifique su conexión

    Una vez hallas iniciado su charla y la otra persona halla aceptado la invitación, tú verás el símbolo del candado cerrado; así es como sabes que la conversación está ahora cifrada (Felicidades!) – Pero espera, hay otro paso!

    Ahora, tú has iniciado una charla cifrada inverificable (unverified). Esto significa que mientras tus comunicaciones están cifradas, tú no has determinado y verificado todavía la identidad de la persona con la que estás charlando, al menos que estés en el mismo salón y puedan ver la pantalla de cada uno. Es importante que verifiques la identidad de cada uno. Para mas información, lea el módulo sobre Verificación de las Llaves (Key Verification).

    Para verificar la identidad del otro usuario usando Adium, de nuevo déle un teclado/click en el símbolo del candado, y seleccione “Verificar” (“Verify”). Te mostrará una ventana con ambas llaves, la tuya y la del otro usuario. Algunas versiones de Adium solo soportan la verificación de huella manual (“manual fingerprint verification”). Esto quiere decir que, usando algunos métodos, tú y la persona con la cual estás charlando necesitan verificarlas para estar seguros que la llave que les están enseñado en Adium precisamente concuerdan.

    La manera mas fácil de hacer esto es que ambos la lean en voz alta de modo presencial, pero esto no es siempre posible. Hay diferentes maneras de lograrlo con varios grados de confianza. Por ejemplo, pueden leer sus llaves los unos a los otros por teléfono si reconocen sus voces o envíenlas usando otros métodos verificables de comunicación, tales como PGP. Algunas personas publican sus llaves en sus sitios web, sus cuentas de Twitter, o su tarjeta de presentación/visita.

    La cosa mas importante es que verifiques que cada letra y dígito concuerden perfectamente.

    Paso 3: Deshabilitar logging/registro

    Ahora que tú has iniciado una charla cifrada y has verificado la identidad de tu compañero(a), hay una cosa mas que tú necesitas hacer. Desafortunadamente, Adium registra tu charla cifrada-OTR por defecto (by default), guardando ésta en tu disco duro. Esto quiere decir, que a pesar del hecho de que la conversación está cifrada, también ha sido guardada en texto simple en tu disco duro.

    Para deshabilitar logging, teclee en “Adium” en el menú arriba de tu pantalla, entonces “Preferences” (“Preferencias”). En la nueva ventanilla, seleccione “General” y entonces deshabilite “Log messages” (“Registra mensajes”) y “Log OTR-secured chats.” (“Registra los chats seguros-OTR). Sin embargo, recuerde que usted no tiene control sobre la persona con la que está conversando, ella podría registrando o tomar capturas de pantalla de su conversación, incluso si usted tiene el registro de personas con discapacidad. Tus ajustes se verán así:

    Además, Centro de Notificaciones de OS X puede registrar el contenido de las notificaciones de nuevos mensajes que muestra Adium. Esto significa que a pesar de Adium no deja rastro de tus comunicaciones en tu Mac o la de tu interlocutor, puede ser que existan rastros de las conversaciones en el OS X de alguna de las dos computadoras. Para evitarlo, puedes desactivar las notificaciones.

    Para eso,  selecciona "Eventos" en la ventana de Preferencias, y busca las entradas que digan "Mostrar una notificación." Puedes ampliar cada entrada haciendo clic en el triángulo gris, y luego en la linea que dice "Mostrar una notificación", a continuación, clic en el icono de signo menos ("-") en la parte inferior izquierda para eliminar esa línea. Si estás preocupado acerca de los registros que quedan en el equipo, también debes activar el cifrado de disco completo, lo que ayudará a proteger estos datos sean obtenidos por una tercera parte sin su contraseña.

    Última actualización: 
    19-01-2017
Next:
JavaScript license information