Playlist
  • ¿Experta en Seguridad Digital?

    Guías avanzadas para aumentar tu set de autoprotección contra la vigilancia en línea

    Felicidades! Ya has tomado los pasos necesarios para mejorar la seguridad de tus comunicaciones en la red. Ahora querrás llevarla hasta el próximo nivel y con esta lista, podrás entender las amenazas, verificar la identidad de las personas con quién te estás comunicando y quizás sumarle nuevas herramientas a tu repertorio.

  • Una Introducción al Modelo de Amenazas

    No existe una sola forma de mantenerte segura en Internet. La seguridad digital no se basa en qué herramientas usas, sino en el entendimiento de las amenazas que encuentras y cómo necesitas protegerte de ellas. Para estar más segura, debes de determinar lo qué necesitas proteger y de quién. Las amenazas pueden cambiar por tu localización, actividades, y la(s) persona(s) con quien(es) estás trabajando. Por lo tanto, para poder determinar cuáles serían las mejores soluciones, realiza un análisis de modelo de amenazas.

    Cinco preguntas qué debes hacerte al seguir el modelo de amenazas: Anchor link

    1. ¿Qué es lo que quieres proteger?
    2. ¿De quién lo quieres proteger?
    3. ¿Cuán probable es que necesites protegerlo?
    4. ¿Cuán destructivas pueden ser las consecuencias si fallas?
    5. ¿Cuánto esfuerzo estás dispuesta a hacer para prevenirlas?

     

    Cuando hablamos de la primera pregunta, muchas veces nos referimos a los bienes o las cosas que quieres proteger. Los bienes son las cosas de valor que quieres proteger. Cuando hablamos de la seguridad digital, los bienes a los que nos referimos son usualmente información. Por ejemplo, tu correo, lista de contactos, mensajes instantáneos y carpetas: todos estos son bienes, como son también todos tus aparatos electrónicos.

    Escribe una lista de los datos que tienes, donde los guardas, quien(es) tiene(n) acceso a ellos, y que los protege de otras personas.

    Para poder responder a la segunda pregunta, “De quién los quieres proteger,” es importante entender quien querría atacarte a tí o a tu información o quien es tu adversario. Un adversario es cualquier persona o entidad que presenta una amenaza contra tus bienes. Ejemplos de potenciales adversarios son tu jefe, gobierno o un cracker en una red pública.

    Haz una lista de quien(es) quisiera(n) conseguir tus datos o comunicaciones. Este puede ser un individuo, una agencia del gobierno, o una corporación.

    Una amenaza es algo malo que le podría pasar a tus bienes. Hay numerosas maneras que un adversario puede amenazar tus datos. Por ejemplo, un adversario puede leer tu comunicación privada mientras ellos pasan por la red o podrían borrar o corromper tus datos. Un adversario también puede inutilizar tu acceso a tu propios datos.

    Las motivaciones de los adversarios pueden variar sustancialmente, como también sus ataques. Un gobierno puede tratar de prevenir que un vídeo, mostrando violencia policial, se comparta en Internet. Ellos pueden borrar el video por completo o reducir la disponibilidad del mismo. Por la otra lado, un opositor político quizás desee tener acceso a tus contenidos secretos y publicarlo a tus espaldas.

    Escribe lo que crees que un adversario quisiera hacer con tus datos privados.

    La capacidad de tu atacante es también una cosa muy importante a considerar. Por ejemplo, tu proveedor de servicio de teléfonia celular tiene acceso a todos los récords de tu celular y tiene la capacidad de utilizar estos datos en contra tuya. Un cracker en una red abierta de Wi-Fi puede acceder a tus comunicaciones no-cifradas. Tu gobierno quizás tenga una capacidad aún mayor para hacerlo.

    Finalmente una cosa muy importante a considerar es el riesgo. Riesgo es la posibilidad de que ocurra una amenaza en particular a tus bienes y esta va mano-a-mano con la capacidad del atacante. Mientras que tu proveedor de servicio móvil tiene la capacidad de acceder a todos tus datos privados, el riesgo que ellos publiquen tu información en una plataforma pública para hacerle daño a tu reputación es mínima.

    Es importante distinguir entre las amenazas y los riesgos. Mientras que la amenaza es una cosa muy dañina que te puede pasar, el riesgo es la posibilidad que esto te ocurra. De hecho, hay una amenaza que tu edificio se desplome, pero los riesgos que esto ocurra son mayores en San Francisco (donde los temblores son muy comúnes) que en Stockholm (donde no los son).

    La análisis de riesgo es un proceso personal y subjetivo a la vez; no todo el mundo tiene las mismas prioridades o ven las amenazas de la misma manera. Muchas personas ven algunas amenazas inaceptables sin importarle cuales son los riesgos; otros los ven como una cosa a la que no vale la pena ponerle toda tu energía. En otros casos, las personas pasan por alto los riesgos porque no ven éstos como un problema.

    En un contexto militar, por ejemplo, podría ser preferible destruir los bienes que hacer que estos caigan en las manos del enemigo. A la inversa, en el contexto civil, es mas importante que los bienes-- como el servicio de correo electrónico--estén disponibles en véz de ser confidenciales.

    Ahora, práctiquemos el modelo de amenazas: Anchor link

    Si quieres mantener tu casa y tus posesiones seguras, aquí hay algunas preguntas que deberías hacerte:

    • ¿Debo cerrar mi puerta?
    • ¿En qué tipo de cerradura o cerraduras debería invertir?
    • ¿Necesito tener un sistema de cerradura mas avanzado?
    • ¿Cuáles son mis bienes en este escenario?
      • La privacidad de mi casa
      • Las cosas dentro de mi casa
    • ¿Cuáles son las amenazas?
      • Alguien podría entrar
    • ¿Cuáles son los riesgos probables de que alguien logre entrar? ¿Cuáles son las posibilidades?

    Una vez realizada estas preguntas, debes estar en la posición de analizar cuáles son las medidas a tomar. Si tus posesiones son de valor, pero el riesgo de que alguien entre es muy bajo, entonces probablemente no quieres invertir mucho dinero en una cerradura. Por otra parte, si los riesgos son muy elevados, entonces querrás tener la mejor cerradura disponible en el mercado, y quizás invertir en un sistema de seguridad.

    Última actualización: 
    2015-01-12
    This page was translated from English. The English version may be more up-to-date.
  • Eligiendo Tus Herramientas

    Todas las herramientas digitales, ya sean hardware o software, deben ser seguras. Es decir, deben protegerte de la vigilancia y evitar que tu dispositivo sea controlado por otros. Lamentablemente, este no es el caso actual. Para muchas actividades digitales, puedes terminar necesitando programas dedicados o equipos destinados a proveer funciones de seguridad específicas. Algunos ejemplos que utilizamos en esta guía incluyen un programa que te permite cifrar tus mensajes o archivos, como PGP.

    Pero dado el gran número de empresas y sitios web que ofrecen programas o hardware seguros, ¿cómo elegir el más adecuado para tí?

    La Seguridad es un Proceso, no una Compra Anchor link

    Antes de pensar en cambiar el programa que utilizas o comprar nuevas herramientas debes primero recordar que no existe una herramienta que te otorgue una protección absoluta frente a la vigilancia y en todos los casos. El uso de software cifrado generalmente dificulta que otros lean tus comunicaciones o hurguen en tus archivos digitales. Pero quienes atacan tu seguridad digital siempre buscarán el elemento más débil de tus prácticas de seguridad. Cuando utilizas una nueva herramienta segura, debes pensar en cómo su uso podría afectarte y en qué otras formas podría convertirte en blanco. Por ejemplo, tal vez decides utilizar un programa de mensajes de texto seguro al hablar con tu contacto porque sabes que tu teléfono podría verse comprometido. Entonces, en primer lugar, debes preguntarte: ¿podría este hecho (usar un programa seguro) revelar a tu adversario que estás transmitiendo información confidencial?

    En segundo lugar, recuerda tu modelo de amenazas. No necesitas comprar un sistema de telefonía cifrado caro que dice ser "a prueba de la NSA" si tu mayor amenaza es la vigilancia física de un investigador privado sin acceso a las herramientas de vigilancia digitales. Alternativamente, si estás enfrentando un gobierno que encarcela a los disidentes regularmente porque utilizan herramientas de cifrado, tiene entonces sentido usar trucos más simples - como un conjunto de códigos preestablecidos-, en lugar de arriesgarte a dejar en evidencia que utilizas un programa de cifrado en tu computadora portátil.

    Teniendo en cuenta todo eso, he aquí algunas preguntas que puedes realizarte acerca de una herramienta antes de descargarla, comprarla, o usarla.

    ¿Qué Tan Transparente Es? Anchor link

    A pesar de que la seguridad digital parece ser sobre todo acerca de tener secretos, hay una fuerte creencia entre los investigadores de seguridad que la apertura y la transparencia conducen a herramientas más seguras. Gran parte de los programas utilizados y recomendados por la comunidad de seguridad digital es gratuito y de código abierto, lo que quiere decir que el código (que define la forma en la cual funciona el programa) es de acceso libre y público, permitiendo que otros puedan examinarlo, modificarlo y compartirlo. Al ser transparentes acerca de cómo funciona el programa, los creadores de estas herramientas invitan a otros desarrolladores a buscar fallas de seguridad, y ayudar así a mejorar el programa.

    El Software Libre ofrece la oportunidad de una mejor seguridad, pero no la garantiza. La ventaja de código abierto se basa, en parte, en contar con una comunidad de tecnólogos que comprueben efectivamente el código, una tarea que para pequeños proyectos (e incluso para los complejos, populares) puede ser difícil de lograr. Cuando estés considerando el uso de una herramienta, debes comprobar si el código fuente está disponible, y si tiene una auditoría de seguridad independiente para confirmar la calidad de su seguridad. Por lo menos, el software o el hardware deben tener una explicación técnica detallada de cómo funciona, para que otros expertos puedan inspeccionarla.

    ¿Cuán Claros Son Los Creadores Acerca De Las Ventajas y Desventajas? Anchor link

    Ningún programa ni hardware es totalmente seguro. Cuando un creador o vendedor es honesto acerca de las limitaciones de su producto, te dará una idea mucho más sólida si su aplicación es adecuada para tí. Cuando un producto anuncia despreocupadamente que su código es "de nivel militar" o a "prueba de la NSA"; suelen representar una advertencia clara de cuán confiados son sus creadores o que no quieren considerar los posibles fallos en su producto.

    Debido a que los atacantes están intentando descubrir nuevas maneras de romper la seguridad de herramientas de software y hardware, éstas necesitan ser actualizadas continuamente para corregir nuevas vulnerabilidades. Si los creadores de una herramienta no están dispuestos a hacerlo, ya sea por temor a la mala publicidad, o porque no poseen la infraestructura para corregir problemas, su uso puede constituir a mediano plazo un problema grave de seguridad.

    No se puede predecir el futuro, pero un buen indicador de cómo los fabricantes de herramientas se comportarán en el futuro es su actividad pasada. Si el sitio web de la herramienta tiene una sección con enlaces a actualizaciones regulares e información - como, siendo claros, cuánto tiempo ha pasado desde que el software fue actualizado por última vez - puedes estar más seguro que van a seguir prestando este servicio en el futuro.

    ¿Qué Sucede si los Creadores se Ven Comprometidos? Anchor link

    Los fabricantes de herramientas de seguridad - sea tanto software como hardware - deben tener un modelo de amenaza clara. Los mejores creadores describirán explícitamente en su documentación frente a qué tipo de atacantes pueden protegerte más eficientemente.

    Pero hay un atacante en el que muchos fabricantes no quieren pensar: ¿Si ellos mismos se ven comprometidos o deciden atacar a sus propios usuarios?. Por ejemplo, si un tribunal o gobierno obliga a una empresa a ceder los datos personales o a crear una "puerta trasera" que eliminará todas las protecciones de la herramienta ofrece. Es posible que desees considerar la jurisdicción (es) donde los fabricantes se basan. Si tu amenaza proviene del gobierno de Irán, por ejemplo, una empresa con sede en los Estados Unidos será capaz de resistir a las órdenes judiciales iraníes, incluso si debe cumplir con las órdenes de EE.UU.

    Incluso si un creador es capaz de resistir la presión del gobierno, un atacante puede intentar conseguir el mismo resultado irrumpiendo en los mismos sistemas de los fabricantes de herramientas con el fin de atacar a sus clientes.

    Las herramientas más resistentes son las que consideran ésto como un posible ataque, y están diseñadas para defenderse contra ellos. Busca frases en la licencia que aseguren que un creador no puede acceder a los datos privados, en lugar de promesas de que un creador no lo hará. Busca instituciones con fama de luchar contra las órdenes judiciales para proteger los datos personales.

    Busca Reseñas y Críticas en la Red Anchor link

    Por supuesto, las empresas que venden productos y la publicidad entusiasta de la última versión de software puede inducir a error, ser engañosa o incluso una completa mentira. Podrías, a futuro, descubrir terribles fallas de seguridad en un producto, que originalmente era seguro. Asegúrate de estar bien informada sobre las últimas noticias acerca de las herramientas que utilizas.

    ¿Conoces a Otros Que Utilizan la Misma Herramienta? Anchor link

    Mantenerse al día con las últimas noticias de una herramienta en particular es un trabajo enorme para una sola persona, si tienes colegas que usan un producto o servicio en particular, trabaja con ellos para estar al tanto de lo que está pasando.

    Productos Mencionados en Esta Guía Anchor link

    Tratamos de asegurar que el software y el hardware que mencionamos en esta guía cumple con los criterios que hemos enumerado más arriba: hemos hecho un esfuerzo de buena fe para sólo listar los productos que tienen una base sólida en lo que actualmente sabemos sobre seguridad digital, y que son - generalmente - transparentes sobre su funcionamiento (y sus fallos), tienen defensas contra la posibilidad de que los propios creadores se vean comprometidos, y también son actualmente mantenidos. Además cuentan con una base de usuarios grande y técnicamente bien informada. Creemos que ellos tienen, al momento de escribir esta guía, la atención de una amplia audiencia que los están investigando en busca de fallos, y expondría cualquier problema al público rápidamente. Por favor, entienda que no tenemos los recursos para examinar o brindar garantías independientes acerca de su seguridad, no estamos apoyando estos productos y no podemos garantizar competencia en cuanto seguridad.

    ¿Qué Teléfono Debo Comprar? ¿Qué Equipo? Anchor link

    Una de las preguntas más frecuentes que reciben los capacitadores en seguridad es "¿Debo comprar Android o un iPhone?" O "¿Debo usar un PC o un Mac?" O "¿Qué sistema operativo debo usar?." No hay respuestas simples a estas preguntas. La seguridad relativa del software y los dispositivos cambia constantemente, a medida que se descubren nuevos defectos y errores viejos son resueltos. Las empresas pueden competir entre sí para ofrecerle una mejor seguridad, o al mismo tiempo, todas pueden estar bajo la presión de los gobiernos para debilitarla.

    Sin embargo, algunas recomendaciones generales son casi siempre correctas. Cuando compres un dispositivo o un sistema operativo, mantente al corriente respecto a las actualizaciones de software. Las actualizaciones suelen solucionar problemas de seguridad en código antiguo que los ataques pueden explotar. Los teléfonos y los sistemas operativos más antiguos ya no tienen soporte ni actualizaciones de seguridad. En particular, Microsoft ha dejado claro que Windows XP y versiones anteriores de Windows no recibirán correcciones, incluso para los problemas de seguridad graves. Si utiliza XP, no puede esperar que sea seguro contra atacantes. (Lo mismo se aplica a las versiones de OS X anteriores a 10.7.5 o "Lion").

    Última actualización: 
    2014-11-04
    Esta página fue traducida desde el inglés. La versión en lengua inglesa puede estar más actualizada.
  • Verificando las Llaves

    Cuando el cifrado se utiliza correctamente, tus comunicaciones o informaciones deberían ser leídas solamente por tí y la persona o personas con quien te estás comunicando. El cifrado de punto-a-punto (“end-to-end encryption”) protege tus datos frente a la vigiliancia realizada por un tercero, pero si no estás seguro de la identidad de la persona con la cual estás hablando, su utilidad es limitada. Es aquí donde la llave de verificación (“key verification”) entra en juego. Verificando las llaves públicas (public keys), tu y la persona con la cual te estás comunicando podrán agregar una capa adicional de protección a su conversación. La verificación de llaves permite confirmar la identidad de cada uno y así estar más seguro que te encuentras hablando con la persona correcta.

    La llave de la verificación es una característica común de los protocolos que usan cifrado de punto-a-punto, tales como PGP y OTR (por sus siglas en inglés). En Signal, se les llama "safety numbers." Para verificar las llaves sin el riesgo de interferencia, es recomendable que uses un método secundario de comunicación distinto al que usas para cifrar; este método es conocido como verificación fuera de banda (out-of-band verification). Por ejemplo, si estás verificando tus huellas OTR, podrías enviarle un correo electrónico con tus huellas a la otra parte. En ese caso, tu email podría ser tu canal secundario de comunicación.

    Verificando Las Llaves Fuera de Banda Anchor link

    Hay varias formas de hacerlo. Si esto se arregla de manera segura y te es conveniente, es ideal verificar las llaves cara a cara. Muchas veces esto se hace en las reuniones o eventos llamados “fiestas de firmas de llaves” (“key-signing parties”) o entre colegas.

    Si no te puedes reunir cara-a-cara, puedes contactar a tu corresponsal a través de un medio distinto de aquel para el cual estás tratando de verificar las llaves. Por ejemplo, si estás tratando de verificar las llaves PGP con alguien, podrías utilizar el teléfono o una conversación vía OTR para hacer lo mismo.

    No importa el programa que uses, siempre serás capaz de localizar tu llave y la llave de tu compañero en la comunicación.

    Aunque el método de localizar tu llave varía por programa, el método de verificar la llave se mantiene igual. Inclusive puedes leer sus huellas de llave en voz alta (si estás cara-a-cara o usando un teléfono) o puedes copiar y pegarlas dentro de un programa de comunicaciones, pero sea cual sea el método que uses, es imperativo que revises cada una de las letras y los números.

    Consejos: Trata de verificar las llaves con uno de tus amigas. Para aprender a verificar las llaves de un programa específico, visita la guía de ese programa.

     

    Última actualización: 
    2017-01-13
    Esta página fue traducida desde el inglés. La versión en lengua inglesa puede estar más actualizada.
  • Una Introducción a la Criptografía de Llave Pública y PGP

    PGP significa Pretty Good Privacy. Que traducido es "muy buena privacidad". Si se utiliza correctamente, puede proteger el contenido de sus mensajes, textos, y archivos, de ser capturados incluso por los programas - bien financiados - de vigilancia del gobierno. Cuando Edward Snowden dice "el cifrado funciona", es de PGP y del software relacionado a este, del que está hablando. Notemos que no es raro para un gobierno robar las llaves privadas de las computadoras de personas en particular (confiscando las computadoras, o introduciendo malware en ellas, usando acceso físicos o con ataques de “phishing,” lo que desmantela la protección e inclusive permite la lectura de correos antiguos. Esto es como decir que tienes una cerradura a prueba de ladrones en su puerta, pero alguien todavía te puede robar la llave en la calle y luego hacerle copia y devolvertela sigilosamente y de esa manera entrar en tu casa sin tener que violar la cerradura.

    Desafortunadamente, PGP no es fácil de comprender, o usar. El cifrado de alta seguridad que utiliza PGP - cifrado de llave pública - es genial, pero poco intuitivo. PGP ha estado con nosotros desde 1991, lo que lo hace tan antiguo como las primeras versiones de Microsoft Windows, y su aspecto no ha cambiado mucho desde entonces. La buena noticia es que actualmente hay muchos programas disponibles que pueden ocultar el antiguo diseño de PGP y hacerlo un poco más fácil de usar, especialmente cuando se trata del cifrado y la autenticación del correo electrónico, que es la finalidad principal de PGP. Hemos incluido guías para la instalación y operación de este programa en otros lugares.

    Antes de jugar un poco con PGP u otros programas que lo utilizan vale la pena dedicar unos minutos al entendimiento de los conceptos básicos de cifrado de llave pública: lo que puede hacer por ti, lo que no puede hacer, y cuando debería usarlo.

    Historia de dos llaves Anchor link

    Cuando usamos cifrado para combatir la vigilancia, esto es lo que estamos tratando de hacer:

    Tomamos un mensaje claramente legible como "hola mamá" y lo ciframos en un mensaje codificado que es incomprensible para cualquiera que busque en él “OhsieW5ge+osh1aehah6,”. Enviamos el mensaje cifrado a través de Internet, donde puede ser leído por muchas personas, pero - esperamos - no entendido por ninguno de ellos. Cuando llega a su destino, nuestro destinatario, y sólo nuestro destinatario, tiene alguna forma de descifrar el mensaje original.

    ¿Cómo nuestro destinatario sabe cómo decodificar el mensaje, cuando nadie más puede hacerlo? Debe ser porque conoce algo de información extra que nadie más tiene. Llamemos a esto la llave de decodificación, ya que desbloquea el mensaje dentro del código.

    Cómo puede el destinatario conocer esta llave? Generalmente, es debido a que el emisor les ha comunicado previamente la llave, ya sea "Tratar de sostener el mensaje en un espejo" o "tomar cada letra y convertirla a la siguiente letra del alfabeto." Hay un problema con esta estrategia, sin embargo. Si le preocupa ser espiado cuando usted envía su mensaje en llave, ¿cómo enviar al destinatario la llave sin que que alguien espíe esa conversación también? No tiene sentido enviar un mensaje ingeniosamente encriptado si el atacante ya sabe la llave para descifrarlo. Y si usted tiene un camino secreto para enviar llaves de decodificación, ¿por qué no utilizarlo para todos sus mensajes secretos?

    La criptografía de llave pública tiene una buena solución para esto. Cada persona en una conversación puede crear dos llaves. Una es su llaves privada, que mantendrán para si y nunca deben permitir que nadie le conozca. La otra es una llaves pública, que se entrega a cualquier persona que quiera comunicarse con ellos/as. No importa quién puede ver la llaves pública aun cuando la ponga en línea donde todo el mundo pueda verla.

    Las "llaves" en sí son, en el fondo y en realidad, números muy grandes, con ciertas propiedades matemáticas. La llave pública y la llave privada se conectan. Si codifica algo usando la llave pública, a continuación, otra persona puede descifrarlo con su llave privada correspondiente.

    Vamos a ver cómo eso podría funcionar. Usted quiere enviar un mensaje secreto a Aarav. Aarav tiene una llave privada, pero al igual que un buen usuario de cifrado de llave pública, que ha puesto su llave pública conectada en su página web. Usted descarga la llave pública, cifra el mensaje con ella, y lo envía, él puede descifrarlo, porque él tiene la llave privada correspondiente - pero nadie más puede.

    Signo de nuestos tiempos Anchor link

    La cifrado de llave pública se deshace del problema del robo de la llave de decodificación de la persona a la que desea enviar un mensaje porque esa persona ya tiene la llave. Usted sólo debe tener la llave de codificación pública correspondiente, que el destinatario ha repartido a todos/as, incluyendo a los espías, ya que es sólo útil para codificar un mensaje mientras es inútil para cualquier persona que intente descifrar el mensaje.

    Pero aún hay más! Si codifica un mensaje con una cierta llave pública, sólo puede ser decodificada por la llave privada correspondiente. Pero lo contrario también es cierto. Si codifica un mensaje con una cierta llave privada, sólo puede ser decodificada por su llave pública correspondiente.

    ¿Por qué sería útil? A primera vista, no parece haber ninguna ventaja en crear un mensaje secreto con su llave privada que todo el mundo (o al menos, todo el que tiene la llave pública) puede descifrarlo. Pero supongo que escribí un mensaje que decía: "Me comprometo a pagarle a Aazul $100," y luego lo vuelvo un mensaje secreto usando mi llave privada. Cualquiera podía descifrar ese mensaje, pero sólo una persona podría haberlo escrito: la persona que tiene mi llave privada. Si he hecho un buen trabajo manteniendo segura la llave privada, es decir, conmigo y solo conmigo. En efecto, mediante la codificación con mi llave privada, me he asegurado de que sólo podría haber venido de mí. En otras palabras, he hecho lo mismo con este mensaje digital como lo hacemos cuando firmamos un mensaje en el mundo real.

    Firmar también hace que los mensajes sean a prueba de manipulaciones. Si alguien trata de cambiar "prometo pagar a Aazul $100" por "Me comprometo a pagar a Bob $100," no sería capaz de volver a firmarlo utilizando mi llave privada. Así que un mensaje firmado garantiza que procede de una fuente determinada, y no puede ser alterado con el transporte.

    Así que la criptografía de llave pública permite cifrar y enviar mensajes de forma segura a cualquier persona cuya llave pública ya sabes. Si los demás conocen tu llave pública, pueden enviarte mensajes, que sólo tú puedes decodificar. Y si la gente conoce tu llave pública, puedes firmar los mensajes para que esas personas sepan que son tuyos realmente. Y si conoces la llave pública de otras personas, puedes decodificar un mensaje firmado por ellas, y saber que sólo vino de ellas.

    Debería estar claro ahora que la criptografía de llave pública se vuelve más útil entre más personas conocen tu llave pública. También debe ser evidente que necesitas mantener tu llave privada muy segura. Si alguien recibe una copia de tu llave privada, puede suplantarte y firmar mensajes que simulen ser escritos por ti. PGP tiene una característica que permite "revocar" una llave privada, y advertir a la gente que ya no es confiable, pero no es una gran solución. La parte más importante del uso de un sistema de criptografía de llave pública es proteger tu llavellave privada con mucho cuidado.

    Como funciona PGP Anchor link

    Pretty Good Privacy se ocupa principalmente de los pequeños detalles de creación y uso de llaves públicas y privadas. Puedes crear un par de llaves pública / privada con este, proteger la llave privada con una contraseña y utilizarla junto a la llave pública para firmar y cifrar texto. También permitirá descargar las llaves públicas de otras personas y subir tus llaves públicas a "servidores de llaves públicas", que son los repositorios donde otras personas puedan encontrar tu llave. Revisa nuestras guías de instalación de software compatible con PGP en tu cliente de correo electrónico.

    Si hay una cosa que hay que sacar de este panorama general es: usted debe mantener su llave privada almacenada en un lugar seguro y protegido con una contraseña larga. Puedes compartir su llavellave pública a cualquier persona que desee comunicarse con usted, o que quiera confirmar si un mensaje realmente vino de usted.

    PGP avanzado: La red de la confianza Anchor link

    Es posible que haya descubierto un defecto potencial en cómo funciona la cifrado de llave pública. Supongamos que yo comencé a distribuir una llave pública que digo pertenece a Barack Obama. Si la gente me cree, podrían empezar a enviar mensajes secretos a Barack, cifradas con la llave. O podrían creer que nada firmado con esa llave es una declaración jurada de Barack. Esto es verdaderamente raro, y sin embargo actualmente le sucede a algunas personas en la vida real, incluyendo a algunos de los autores de este documento, ¡algunos de nosotros hemos sido tontos! (Nosotros no sabemos con seguridad en este caso si en realidad algunas de las personas que han hecho las llaves falsas realmente estaban capacitadas para interceptar los mensajes en transito y leer los mismos, o si esto era meramente un truco para hacer más difícil a las personas tener una conversación segura.)

    Otro atentado furtivo es que un atacante se ubique entre dos personas hablando en línea, espiando toda la conversación y ocasionalmente insertando mensajes engañosos en la conversación. Gracias al diseño de la Internet como un sistema que transporta los mensajes en varios equipos diferentes y particulares, este ataque es totalmente posible. En estas condiciones (llamados un ataque tipo “de intermediario”), el intercambio de llaves sin acuerdo previo puede ser muy arriesgado. "Aquí está mi llave", anuncia una persona que suena como Barack Obama, y le envía un archivo de llave pública. Pero quien dice que alguien no esperó hasta ese momento, interceptar la transmisión de la llave de Obama, y luego insertar su propia llave?

    ¿Cómo podemos demostrar que una determinada llave pertenece realmente a una persona determinada? Una forma es obtener la llave de ellos directamente, pero eso no es mucho mejor que nuestro desafío de búsqueda de obtener una llave secreta sin que alguien nos detecten. Aún así, la gente hace el intercambio de llaves públicas cuando se encuentran, en privado y en cryptoparties públicas.

    PGP tiene una solución ligeramente mejor llamada la "red de confianza." En la red de confianza, si creo que una llave pertenece a una determinada persona, puedo firmarla, y luego subir la llave (y la firma) a los servidores de llaves públicas. Estos servidores de llaves pasarán las llaves firmadas a cualquiera que pregunte por ellas.

    En términos generales, cuantas más personas en quien confío han firmado una llave, es más probable que voy a creer que la llave pertenece realmente a quien dice. PGP permite firmar llaves de otras personas y también le permite confiar en otros firmantes, de modo que si ellos firman una llave, su software cree automáticamente que la llave es válida.

    La web de confianza viene con sus propios retos, y organizaciones como EFF están investigando mejores soluciones. Pero por ahora, si quieres una alternativa a entregar las llaves a otros en persona, usando la red de confianza y la red pública del servidor de llavellaves son su mejor opción.

    Metadata: Lo que PGP no puede hacer Anchor link

    PGP trata de hacer que el contenido de un mensaje sea secreto, genuino e inalterable. Pero ese no es el único problema de privacidad que puedas tener. Como hemos señalado, la información acerca de tus mensajes puede ser tan reveladora como su contenido (Consulte "metadatos"). Si estás intercambiando mensajes PGP con un disidente conocido en tu país, puedes estar en peligro por el simple hecho de comunicarte con él, aun sin decodificar dichos mensajes. De hecho, en algunos países puedes ser encarcelado simplemente por negarse a descifrar los mensajes cifrados.

    PGP no hace nada para ocultar con quien estás hablando o que estás utilizando PGP para hacerlo. De hecho, si subes tu llave pública a los servidores de llaves o firmas las llaves de otras personas estás demostrando efectivamente al mundo que la llave es tuya y a quien conoces.

    No tienes que hacer eso, puedes mantener su llave pública PGP discretamente y sólo darle a la gente con quien te sientes seguro y pedirles que no lo suban a los servidores de llaves públicas. No es necesario atar tu nombre a una llave.

    Disfrazar que te estás comunicando con una persona en particular es más difícil. Una forma de hacer esto es que ambos usen cuentas de correo electrónico anónimas, y acceder a ellas usando Tor. Si haces esto, PGP seguirá siendo útil, tanto para mantener sus mensajes de correo electrónico privada de otras personas, y demostrar a la otra que los mensajes no han sido alterados.

    Última actualización: 
    2014-11-07
    Esta página fue traducida desde el inglés. La versión en lengua inglesa puede estar más actualizada.
  • Cómo Usar OTR Para Mac

    Adium es un recurso libre y abierto de mensajes instantáneos para el sistema OS X que te permite charlar/chatear con múltiples individuos a través de diversos protocolos de charla, incluyendo Google Hangouts, Yahoo! Messenger, Windows Live Messenger, AIM, ICQ, y XMPP.

    OTR (Off-the-record/Fuera del récord) es un protocolo que permite a las personas tener una conversación confidencial utilizando las herramientas de mensajes con los cuales ellos ya están familiarizados. Este no debe de ser confundido con el setting de “Off the record” en Google, el cual simplemente desactiva el fichero histórico de la charla, y no tiene cifrado o capacidad para verificaciones. Paro los usuarios de Mac, OTR viene ya construido dentro del Adium para sus clientes.

    OTR emplea el cifrado de punta-a-punta (end-to-end encryption). Esto quiere decir que tú puedes usarlo para tener conversaciones a través de los servicios como Google Hangouts sin que estas compañías nunca tengan acceso al contenido de la conversaciones. Sin embargo, el hecho de que usted está teniendo una conversación es visible para el proveedor.

    Por qué debo yo usar Adium + OTR? Anchor link

    Cuando tienes una conversación/chat usando Google Hangouts chat en los sitios web de Google, esa charla es cifrada usando HTTPS, la cual quiere decir que el contenido de tu charla está protegido contra los hackers y de otros personas de tercera vía mientras está transitando. Sin embargo, tu comunicación no está protegida de Google, empresas que tienen la clave de tus conversaciones y pueden entregarla a las autoridades o utilizarlos para fines de marketing.

    Después de que instales Adium, puedes usarlo con múltiples cuentas al mismo tiempo. Por ejemplo, puedes usar Google Hangouts y XMPP simultáneamente. Adium también te permite usar estas herramientas sin OTR. Ya que OTR solamente funciona si ambas personas la están usando, esto quiere decir que aunque la otra persona no lo tenga instalado, puedes charlar con ellos/ellas usando Adium.

    Adium también te permita hacer verificaciones fuera-de-banda (out-of-band verification) para estar seguro que estás hablando con la persona que piensas que está hablando, y no ha estado sujeto a un ataque de intermediario (MITM attack). Para cada conversación, hay una opción que te enseñará las huellas de llave (key fingerprints) que esta tiene para ti, y la persona con la cual estás charlando. Una "huella de llave/key fingerprint" es una cinta de caracteres semejantes a "342e 2309 bd20 0912 ff10 6c63 2192 1928,” que se usa para verificar una llave pública larga. Intercambia tus huellas a través de otros canales de comunicaciones, tales como Twitter DM o email, para estar seguro de que nadie este interfiriendo con tu comunicación. Si las claves no coinciden, no se puede estar seguro de que está hablando con la persona correcta. En la práctica, la gente suele usar varias claves, o perder y tienen que volver a crear nuevas claves, así que no se sorprenda si tiene que volver a revisar sus llaves con tus amigos de vez en cuando.

    Limitaciones: Cuándo no debo de usar Adium + OTR? Anchor link

    Los técnicos tienen un término para describir cuando un programa o tecnología puede ser vulnerable a ataques externos: ellos dicen que tiene una "gran superficie de ataque”. Pues bien, Adium tiene una gran superficie de ataque, ya que es un programa complejo que no ha sido escrito con la seguridad como una de las prioridades principales y es cierto que tiene vulnerabilidades (“bugs”), algunas las cuales podrían ser usadas por el gobierno e inclusive por grandes compañías para entrar en las computadoras que están usandandolo. Usar Adium para cifrar tu conversación es una gran defensa contra el tipo de ataque de vigilancia no intencionada que se usa para espiar las conversaciones de todo el mundo. Pero a nivel personal seria un blanco de ataque de un agresor bien-armado (como la de un estado),en ese caso debes de considerar precauciones mas fuertes, como el email cifrado-PGP (PGP-encrypted email).

    Instalando Adium + OTR en su Mac Anchor link

    Paso 1: Instale el programa

    Primero, ve a https://adium.im/ en su navegador. Da click en “Download Adium 1.5.9.” (“Descarga Adium 1.5.9”). La carpeta bajará como un .dmg, o disco imagen, y posiblemente se guardará en tu carpeta “downloads.”

    Dale doble click en la carpeta; esto abrirá una ventanilla semejante a esta:

    Mueva la imagen dentro de la carpeta “Applications” (“Aplicaciones”) para instalar el programa. Una vez el programa esté instalado, buscalo en tu carpeta de Aplicaciones y dale un doble click para abrirlo.

    Paso 2: Configura tu cuenta(s)

    Primero, necesitas decidir que herramienta de charlas o protocolos quieres usar con Adium. El establecimiento del proceso es similar, pero no idéntico para cada tipo de herramienta/programa. Tú debes de saber el nombre de cuenta para cada programa o protocolo, como también la clave para cada cuenta.

    Para establecer una cuenta, ve al menú de Adium en la parte superior de tu pantalla y haz click en “Adium” y después en “Preferences” (“Preferencias”). Esto abrirá otra ventana, con otro menú superior. Seleccione “Accounts” (“Cuentas”); entonces da un click al signo “+” en la parte inferior de la ventana. Verás un menú que se parece a éste:

    Seleccione el protocolo que desees. Desde aquí, te pedirá ingresar tu nombre de usuario y clave, o a usar una autorización de Adium para ingresar en tu cuenta. Sigue las instrucciones de Adium cuidadosamente.

    Cómo iniciar una charla OTR Anchor link

    Una vez registrado o ingresado en una o más de tus cuentas, puedes empezar a usar OTR.

    Recuerda: para tener una conversación usando OTR, ambas personas tienen que tener un programa de charla que soporten OTR.

    Paso 1: Iniciando una charla OTR

    Primero, identifique a alguien que esté usando OTR, e inicie una conversación con ellos en Adium dandole un doble-teclado en su nombre. Una vez tu hallas abierto la ventana de charla, verás una vpequeña, abierto candado en la esquina a mano superior-izquierda de la ventana de charla. Déle al teclado en el candado y seleccione “Initiate Encrypted OTR Chat.” (“Iniciar el chat cifrado-OTR”).

    Paso 2: Verifique su conexión

    Una vez hallas iniciado su charla y la otra persona halla aceptado la invitación, tú verás el símbolo del candado cerrado; así es como sabes que la conversación está ahora cifrada (Felicidades!) – Pero espera, hay otro paso!

    Ahora, tú has iniciado una charla cifrada inverificable (unverified). Esto significa que mientras tus comunicaciones están cifradas, tú no has determinado y verificado todavía la identidad de la persona con la que estás charlando, al menos que estés en el mismo salón y puedan ver la pantalla de cada uno. Es importante que verifiques la identidad de cada uno. Para mas información, lea el módulo sobre Verificación de las Llaves (Key Verification).

    Para verificar la identidad del otro usuario usando Adium, de nuevo déle un teclado/click en el símbolo del candado, y seleccione “Verificar” (“Verify”). Te mostrará una ventana con ambas llaves, la tuya y la del otro usuario. Algunas versiones de Adium solo soportan la verificación de huella manual (“manual fingerprint verification”). Esto quiere decir que, usando algunos métodos, tú y la persona con la cual estás charlando necesitan verificarlas para estar seguros que la llave que les están enseñado en Adium precisamente concuerdan.

    La manera mas fácil de hacer esto es que ambos la lean en voz alta de modo presencial, pero esto no es siempre posible. Hay diferentes maneras de lograrlo con varios grados de confianza. Por ejemplo, pueden leer sus llaves los unos a los otros por teléfono si reconocen sus voces o envíenlas usando otros métodos verificables de comunicación, tales como PGP. Algunas personas publican sus llaves en sus sitios web, sus cuentas de Twitter, o su tarjeta de presentación/visita.

    La cosa mas importante es que verifiques que cada letra y dígito concuerden perfectamente.

    Paso 3: Deshabilitar logging/registro

    Ahora que tú has iniciado una charla cifrada y has verificado la identidad de tu compañero(a), hay una cosa mas que tú necesitas hacer. Desafortunadamente, Adium registra tu charla cifrada-OTR por defecto (by default), guardando ésta en tu disco duro. Esto quiere decir, que a pesar del hecho de que la conversación está cifrada, también ha sido guardada en texto simple en tu disco duro.

    Para deshabilitar logging, teclee en “Adium” en el menú arriba de tu pantalla, entonces “Preferences” (“Preferencias”). En la nueva ventanilla, seleccione “General” y entonces deshabilite “Log messages” (“Registra mensajes”) y “Log OTR-secured chats.” (“Registra los chats seguros-OTR). Sin embargo, recuerde que usted no tiene control sobre la persona con la que está conversando, ella podría registrando o tomar capturas de pantalla de su conversación, incluso si usted tiene el registro de personas con discapacidad. Tus ajustes se verán así:

    Además, Centro de Notificaciones de OS X puede registrar el contenido de las notificaciones de nuevos mensajes que muestra Adium. Esto significa que a pesar de Adium no deja rastro de tus comunicaciones en tu Mac o la de tu interlocutor, puede ser que existan rastros de las conversaciones en el OS X de alguna de las dos computadoras. Para evitarlo, puedes desactivar las notificaciones.

    Para eso,  selecciona "Eventos" en la ventana de Preferencias, y busca las entradas que digan "Mostrar una notificación." Puedes ampliar cada entrada haciendo clic en el triángulo gris, y luego en la linea que dice "Mostrar una notificación", a continuación, clic en el icono de signo menos ("-") en la parte inferior izquierda para eliminar esa línea. Si estás preocupado acerca de los registros que quedan en el equipo, también debes activar el cifrado de disco completo, lo que ayudará a proteger estos datos sean obtenidos por una tercera parte sin su contraseña.

    Última actualización: 
    2017-01-19
    Esta página fue traducida desde el inglés. La versión en lengua inglesa puede estar más actualizada.
  • Como Usar OTR en Windows

    OTR (Off-the-record/Fuera de record) es un protocolo que permite a los usuarios de mensajes instantáneos o herramientas de chat tener una conversación confidencial. En esta guía, podrás aprender como usar OTR usando Pidgin, un cliente de mensajería instantánea de codigo fuente abierto y gratuito para PC con Windows.

    Qué es OTR? Anchor link

    OTR (Off-the-record)/Fuera de registro)  es un protocolo que permite a las personas tener conversaciones confidenciales usando las herramientas de mensajes con las que ya están familiarizadas. OTR provee esta seguridad mediante:

    • cifrado de tus charlas
    • proporcionándote  una manera de estar seguro de que la persona con quien estás hablando es realmente la persona que dice ser.
    • no permitiendo el servidor entrar o tener acceso a sus conversaciones

    Esto no debe ser confundido con  la opción de Google “Off the record,” que solo desactiva el registro del chat, y no tiene la capacidad de cifrar o  hacer verificaciones. Mientras que existen muchas maneras de usar OTR en Microsoft Windows, nosotros hemos encontrado la herramienta mas consistente y fácil de usar; El cliente de Mensajería Instantánea  Pidgin con el plugin pidgin-otr.

    Ojo! El cliente de mensajes instantáneos para Windows PC, Pidgin,  entra en la conversación automáticamente por defecto, sin embargo, tú no tienes la habilidad de desactivar esta característica. Dicho esto,  no tienes el control sobre con quien estás charlando— tu interlocutor puede estar entrando y tomando screenshots de tu conversación, incluso si has desactivado registro.

    Por qué debo yo usar Pidgin + OTR? Anchor link

    Cuando tienes una conversación/chat usando Google Hangouts o Facebook chat en los sitios web de Google o Facebook, esa charla es cifrada usando HTTPS, la cual quiere decir que el contenido de tu charla está protegido contra los hackers y de otros personas de tercera vía mientras está transitando. Sin embargo, tu comunicación no está protegida de Google o Facebook, empresas que tienen la llave de tus conversaciones y pueden entregarla a las autoridades o utilizarlos para fines de marketing.

    Después de que instales Pidgin, puedes usarlo con múltiples cuentas al mismo tiempo. Por ejemplo, puedes usar Google Hangouts, Facebook, y XMPP simultáneamente. Pidgin también te permite usar estas herramientas sin OTR. Ya que OTR solamente funciona si ambas personas la están usando, esto quiere decir que aunque la otra persona no lo tenga instalado, puedes charlar con ellos/ellas usando Pidigin.

    Pidgin también te permita hacer verificaciones fuera-de-banda (out-of-band verification) para estar seguro que estás hablando con la persona que piensas que está hablando, y no ha estado sujeto a un ataque MITM (MITM attack). Para cada conversación, hay una opción que te enseñará las huellas de llave (key fingerprints) que esta tiene para ti, y la persona con la cual estás charlando. Una "huella de llave/key fingerprint" es una cinta de caracteres semejantes a "342e 2309 bd20 0912 ff10 6c63 2192 1928,” que se usa para verificar una llave pública larga. Intercambia tus huellas a través de otros canales de comunicaciones, tales como Twitter DM o email, para estar seguro de que nadie este interfiriendo con tu comunicación.

    Limitaciones: Cuándo no debo de usar Pidgin + OTR? Anchor link

    Los técnicos tienen un término para describir cuando un programa o tecnología puede ser vulnerable a ataques externos: ellos dicen que tiene una "gran superficie de ataque”. Pues bien, Pidgin tiene una gran superficie de ataque, ya que es un programa complejo que no ha sido escrito con la seguridad como una de las prioridades principales y es cierto que tiene vulnerabilidades (“bugs”), algunas las cuales podrían ser usadas por el gobierno e inclusive por grandes compañías para entrar en las computadoras que están usandandolo. Usar Pidgin para cifrar tu conversación es una gran defensa contra el tipo de ataque de vigilancia no intencionada que se usa para espiar las conversaciones de todo el mundo. Pero a nivel personal seria un blanco de ataque de un agresor bien-armado (como la de un estado), en ese caso debes de considerar precauciones mas fuertes, como el email cifrado-PGP (PGP-encrypted email).

    Obteniendo Pidgin Anchor link

    Puedes obtener Pidgin en Windows descargando el instalador desde la pagina de descargas de Pidgin.

    Da un click en la pestaña morada DOWNLOAD. No hagas un click en el botón verde “Download Now”  porque podrías desear escoger una carpeta de descarga diferente. Esto te  llevara a la pagina de descargas.

    El instalador  para Pidgin es pequeño por qué  no contiene toda la información, pero  la descarga por ti. Esto a veces falla y es por eso que  tendrás una mejor experiencia con el “offline installer” el cual contiene todo el material necesario para la instalación. Da click en el enlace “offline installer”. Serás llevado a una nueva página titulada “sourceforge” y después de unos segundos, saldrá una pequeña ventana que preguntará si es que quieres guardar el archivo.

    Ten en cuenta que no obstante la página de descarga de Pidgin utiliza "HTTPS" y esté, por eso mismo, relativamente a salvo  de la manipulación, el sitio web al que se dirige para descargar la versión para Windows de Pidgin es en realidad Sourceforge, que utiliza  “HTTP" sin cifrado y por lo mismo no ofrece ninguna protección. Eso significa que el software que se descarga podría ser alterado antes de descargarlo.

    Este riesgo provendría, en mayor parte,  de cualquier persona con acceso a la infraestructura local de Internet y que intente llevar a cabo una vigilancia específica contra ti, específicamente (por ejemplo, un proveedor de punto de red malicioso),o un estado o gobierno, distribuyendo software alterado de modo planificado a muchos usuarios. La extensión HTTPS Everywhere puede reescribir las direcciones de descarga de Sourceforge obligandolo a usar HTTPS, por lo mismo, es altamente recomendable instalar HTTPS Everywhere antes de descargar cualquier otro software. Además, en nuestra experiencia, Sourceforge tiene a menudo anuncios confusos  a toda página en sus páginas de descarga y pueden engañar a la gente para que instalen algo que ellos realmente no desean. Puedes instalar un bloqueador de anuncios antes de cualquier otro software para evitar estos anuncios confusos. Recuerda  que debes pensar en tu modelo de amenazas antes de descargar archivos desde sitios Web sin protección.

    Muchos buscadores  preguntarán si  deseas bajar esta carpeta. Internet Explorer 11 mostrará una barra en la parte inferior de  la ventana del buscador con un borde naranja.

    Para cualquier buscador, es mejor guardar la carpeta primero antes de proseguir. Acto seguido da click al botón “Save”/”Guardar.” Por defecto, la mayoría de los buscadores guardan las carpetas bajadas en la carpeta de Downloads/Bajadas.

    Obteniendo OTR Anchor link

    Puedes obtener pidgin-otr, bajando el instalador de la página de descargas de OTR.

    Haz click en la pestaña “Downloads”/”Descargas” para ser guiado a la sección  “Downloads”/”Bajadas.” Click el instalador “Win32 para el enlace pidgin.”

    Muchos buscadores le preguntarán si  deseas confirmar la carpeta para descargas. Internet Explorer 11 muestra  una barra debajo de la ventana del buscador con un borde naranja.

    Para cualquier buscador, es mejor primero guardar la carpeta antes de proseguir, entonces da click en el botón “Save”/”Guardar.” Por defecto, la mayoría de los buscadores/browsers guardan los archivos bajados en la carpeta llamada “Downloads”/”Bajadas.”

    Después de bajar Pidgin y pidgin-otr  debes de tener dos archivos nuevas en tu carpeta de Downloads/Bajadas:

    Instalando Pidgin Anchor link

    Manten la ventana de Windows Explorer abierta y da un doble-click en pidgin-2.10.9-offline.exe. (El nombre del archivo utilizado en este módulo puede no coincidir necesariamente lo que se ve en su propio equipo.) Se te preguntará si quieres permitir la instalación de este programa. Da click al botón “Yes”/”Si.”

    Una pequeña ventana se abrirá pidiendote que selecciones un idioma. Click el botón “OK.”

    Una ventana se abrirá dándote un resumen rápido del proceso de la instalación. Click en el botón “Next”/”Próximo.”

    Tendrás un resumen de la licencia.  Click en el botón “Next”/”Próximo.”

    Ahora puedes ver que diferentes componentes están siendo instalados. No cambies los ajustes.Da click en el botón “Next”/”Próximo.”

    Ahora  verás donde será instalado Pidgin. No cambies esta información. Click en el botón “Next”/”Próximo.”

    Ahora  verás una ventana con texto en movimiento que dice “Installation Complete”/”Instalación Completa.” Click en el botón “Next”/”Próximo.”

    Finalmente,  verás la ultima ventana del instalador de Pidgin.  Click en el botón “Finish”/”Terminar.”

    Instalando pidgin-otr Anchor link

    Regresa a la ventana  Windows Explorer y abre,  con un doble-click, el archivo pidgin-otr-1.exe. Te preguntará si quieres permitir la instalación de este programa. Click en el botón  “Yes”/”Si.”

    Una ventana se abrirá mostrándote un resumen rápido del proceso de instalación. Click en el botón “Next”/”Próximo.”

    Ahora  obtienes un resumen de la licencia. Click  en el botón “I Agree”/”Estoy de acuerdo.”

    Ahora tu verás donde Pidgin será instalado. No cambie esta información. Click en el botón  “Install”/”Instalar.”

    Finalmente, podrás ver la última ventana del instalador pidgin-otr. Click en el botón  “Finish”/”Terminar.”

    Configurando Pidgin Anchor link

    Ve al menú de “Start,” click en la figurilla de Windows, y selecciona Pidgin desde el menú.

    Agregando una cuenta Anchor link

    Cuando Pidgin es iniciado por primera vez verás esta ventana de bienvenida dándote  una opción para agregar una cuenta. Ya que no tienes una cuenta configurada todavía, da click al botón “Add”/”Agregar.”

    Ahora  verás la ventana “Add Account”/”Agregar una Cuenta.” Pidgin está capacitado para trabajar con muchos protocolos, pero  nos enfocaremos en XMPP, formalmente conocido como Jabber.

    En la entrada del Protocolo, selecciona la opción “XMPP.”

    En la entrada del Nombre de Usuario/Username, ingresa tu nombre de usuario XMPP.

    En la entrada del Dominio/Domain, ingresa el dominio de tu cuenta XMPP.

    En la entrada de Contraseña/Password, ingresa tu contraseña XMPP.

    Marcando la casilla al lado de “Remember password”/”Recordar el contraseña”  hará el acceso a tu cuenta más fácil. Pero debes ser  consiente que marcando  “Remember password”/”Recordar el contraseña” tu contraseña será guardada en la computadora, haciendo esto accesible a cualquiera que esté usandola. Si  esto es una preocupación, no le des click a este cuadrito. Entonces, necesitarás poner tu contraseña de cuenta XMPP cada vez que quieras empezar el Pidgin.

    Agregando un Amigo Anchor link

    Ahora querras agregar a alguien con quien charlar. Da click al menú “Buddies”/”Amigos” y seleccione “Add Buddy”/”Agregar un Amigo.” Una ventana “Add Buddy”/”Agregar un Amigo” se abrirá.

    En el “Add Window”/”Agregar Ventana”  puedes ingresar el nombre de usuario de la persona con quien  quieres charlar. Este otro usuario no tiene por que ser de tu mismo servidor, pero si tiene que usar el mismo protocolo, como el XMPP.

    En la entrada “Buddy's username”/”Nombre del usuario del amigo,” ingresa el nombre de usuario de tu amigo con el nombre del dominio. Este parecerá como una dirección de email.

    En la entrada “(Optional) Alias”/”(Opcional) Alias,”  puedes entrar el nombre que tu escojas para tu amigo. Esto es completamente opcional, pero puede ayudar si la cuenta  XMPP de la persona con la cual tu estás charlando es muy difícil de recordar.

    Click en el botón “Add”/”Agregar.”

    Una vez que hallas dado un click al botón “Add”/”Agregar,” tu amigo Boris recibirá un mensaje preguntándole si el te autoriza agregarlo a él. Una vez Boris lo apruebe, el agregará tu cuenta y recibirás la misma petición. Click el botón “Authorize”.”Autorizar.”

    Configurando el enchufe/plug-in OTR Anchor link

    Ahora tu podrás configurar el enchufe OTR y de esa manera tu puedes charlar seguro. Click en el menú de “Tools”/”Herramientas” y seleccione la opción “Plugins”/”Enchufes.”

    Muévete hacia abajo a la opción  “Off-the-Record Messaging”/”Mensajería sin registro,” y marca la casilla. De ahi, da un click  en la entrada “Off-the-Record Messaging”/”Mensajería fuera del record,” y da  un click al botón “Configure Plugin”/”Configurar en Enchufe.”

    Ahora verás la ventana de configuración “Off-the-Record Messaging” Presta atención a que dice “No key present”/”Llave no presente.” Click el botón “Generate”/”Generar.”

    Ahora se abrirá una pequeña ventana y generará una llave. Cuando esto termine, click en el botón  “OK.”

    Verás nueva información: una linea de texto de 40 caracteres, dividida en cinco grupos de ocho caracteres. Esta es su llave OTR/. Da click en el botón “Close”/”Cerrar.”

    Ahora da un click en el botón “Close”/”Cerrar” en la ventana Plugins/Complementos.

    Charlando Seguramente Anchor link

    Ahora  estás capacitado para charlar con Boris. Ustedes dos pueden enviarse mensajes de ida y de vuelta. Sin embargo,  no estamos charlando de manera segura. Inclusive si  estás conectado al servidor XMPP, es posible que la conexión entre tú y Boris no esté segura de los curiosos. Si miras a la ventana de charla, podrás ver que  dice en rojo en la parte de abajo a la derecha “Not private/”No es privada.” Da click en el botón “Not private”/”No es privada.”

    Un menú se abrirá, selecciona  “Authenticate buddy.”/”Autenticar amigo.”

    Una ventana se abrirá. Se te preguntará: “How would you like to authenticate your buddy?”/”Como te gustaría  autenticar a tu amigo?”

    El menú desplegable tiene tres opciones:

    Compartir secretos Anchor link

    El compartir secretos es una linea de texto que tú y la persona con quien quieres charlar han acordado usar con anticipación. Debes de haber compartido esta en persona y nunca  en canales inseguros como email o Skype.

    Tú y tu amigo necesitan ingresar este texto juntos. Click en el botón “Authenticate”/”Autenticar.”

    La verificación de secretos compartidos es útil si tú y tu amigo han hecho arreglos para charlar en el futuro pero no han creado todavía las huellas OTR en las computadoras que están usando. Esto sólo funciona si los dos están utilizando Pidgin.

    Verificación de huellas manual Anchor link

    La Verificación de Huellas Manual es muy útil si ya te han dado la huella de tu amigo y ahora estás conectado con Pidgin. Esto no será útil si tu amigo cambia de computadoras o ha creado una nueva huella. 

    Si las huellas que te dieron concuerdan con las huellas de la pantalla, seleccione “I have”/”Yo las tengo,” y dale un click al botón de “Authenticate”/”Autenticar.”

    Pregunta y respuesta Anchor link

    La verificación de pregunta y respuesta es útil si conoces a la persona pero no han establecido el secreto compartido ni han tenido la oportunidad de compartir las huellas. Este método es útil para establecer verificación basada en algo que ambos conocen, como el compartir eventos o memorias. Esto sólo funciona si los dos están utilizando Pidgin.

    Ingresa la pregunta que  quieres hacer. No la hagas muy simple, para que evitar que alguien pueda adivinar la respuesta con facilidad, pero tampoco la hagas imposible. Un ejemplo de una buena pregunta seria “Dónde fuiste a cenar en Minneapolis?” Y un ejemplo de una mala pregunta seria “Puede comprar manzanas en Tokio?”

    Las respuestas deben de concordar exactamente; mantenga presente cuando escoja una respuesta a tu pregunta. Las mayúsculas son importantes; debido a esto, tú podrías considerar una nota en paréntesis como (por ejemplo: use mayúsculas y minúsculas).

    Ingresa la pregunta y respuesta, entonces dale un click al botón “Authenticate”/”Autenticar.”

    Tu amigo tendrá una ventana abierta mostrando la pregunta y esperando por la respuesta. Tendrá que responder y darle un click al botón “Authenticate”/”Autenticar.” Entonces, el recibirán un mensaje dejándole saber si la autenticidad ha sido un éxito.

    Una vez tu amigo ha completado el proceso de autenticidad, tú obtendrás una ventana dejándole saber que el proceso de autenticidad fue un éxito.

    Tu amigo también debe verificar su cuenta para que de esa manera los dos puedan estar convencidos que la comunicación es segura. Aquí está lo que seria para Akiko y Boris. Note el símbolo verde “Private”/”Privado” en la parte derecha debajo de la ventana de charla.

    Trabajando con otros software Anchor link

    Los mecanismos para verificar la autenticidad deben de trabajar entre los diferentes software de charla, tales como Jitsi, Pidgin, Adium, y Kopete. No es necesario que uses el mismo software de mensajería para poder usar la charla sobre XMPP y OTR, pero a veces hay errores en el  software. Adium, un software de charla para OS X, tiene un error recibiendo la verificación de Pregunta y Respuesta; en caso que tus amigos estén usando Adium trata de usar algún otro método de verificación.

    Última actualización: 
    2015-02-10
    Esta página fue traducida desde el inglés. La versión en lengua inglesa puede estar más actualizada.
JavaScript license information