Surveillance
Self-Defense

¿Usas una Mac?

  • ¿Usas una Mac?

    Consejos y herramientas para ayudarte a proteger tus datos y comunicaciones digitales

    La siguiente lista de consejos y herramientas está diseñada para ayudarte a proteger tus comunicaciones en la red y prevenir que los entrometidos te espíen usando una Mac.

  • Evaluando tus riesgos

    Intentar proteger todos sus datos de todo el mundo, todo el tiempo, es poco práctico y agotador. ¡Pero no tengas miedo! La seguridad es un proceso, y a través de una planificación cuidadosa, puede evaluar lo apropiado para usted. La seguridad no se trata de las herramientas que usa o del software que descarga. Comienza con la comprensión de las amenazas únicas que enfrenta y cómo puede contrarrestar esas amenazas.

    En seguridad informática, una amenaza es un evento potencial capaz de socavar cualquier esfuerzo para defender sus datos. Puede contrarrestar las amenazas que afronta determinando lo que necesita proteger y de quien necesita protegerlo. Este proceso se llama "modelado de amenazas".

    Esta guía le enseñará cómo modelar la amenaza, o cómo evaluar los riesgos para su información digital y cómo determinar qué soluciones son las mejores para usted.

    ¿Cómo podría lucir este  modelo de amenazas? Digamos que usted quiere mantener su casa y sus posesiones seguras, aquí hay algunas preguntas que se podría hacer:

    ¿Qué tengo dentro de mi casa que valga la pena proteger?

    • Los activos incluirían: joyas, electrónica, documentos financieros, pasaportes o fotos

    ¿De quién lo quieres proteger?

    • Los adversarios podrían incluir: ladrones, compañeros de habitación o invitados

    ¿Cuán probable es que necesites protegerlo?

    • ¿Mi barrio tiene un historial de robos? ¿Qué tan confiables son mis compañeros de cuarto/invitados? ¿Cuáles son las capacidades de mis adversarios? ¿Cuáles son los riesgos que debo considerar?

    ¿Cuán destructivas pueden ser las consecuencias si fallas?

    • ¿Tengo algo en mi casa que no pueda reemplazar? ¿Tengo tiempo o dinero para reemplazar estas cosas? ¿Tengo un seguro que cubra el robo de bienes de mi casa?

    ¿Cuánto esfuerzo estás dispuesta a hacer para prevenirlas?

    •  ¿Estoy dispuesto a comprar una caja fuerte para documentos sensibles? ¿Puedo comprar una cerradura de alta calidad? ¿Tengo tiempo para abrir una caja de seguridad en mi banco local y guardar mis objetos de valor?

    Una vez que se ha hecho estas preguntas,  está en posición de poder evaluar qué medidas tomar. Si sus posesiones son valiosas, pero el riesgo de un robo es bajo, entonces usted puede no desear invertir demasiado dinero en una cerradura. Pero, si el riesgo es alto, usted querrá conseguir la mejor disponible en el mercado y considerar sumarle un sistema de seguridad.

    La construcción de un modelo de amenaza  ayuda a comprender las amenazas únicas a las que se enfrenta, sus activos, su adversario, sus capacidades y la probabilidad de riesgos a los que se enfrenta.

    ¿Qué es el modelado de amenazas y por dónde empiezo?

    El modelado de amenazas le ayuda a identificar amenazas a las cosas que usted valora y determina de quién necesita protegerlas. Cuando construya un modelo de amenaza, responda a estas cinco preguntas:

    1. ¿Qué es lo que quieres proteger?
    2. ¿De quién lo quieres proteger?
    3. ¿Cuán probable es que necesites protegerlo?
    4. ¿Cuán destructivas pueden ser las consecuencias si fallas?
    5. ¿Cuánto esfuerzo estás dispuesta a hacer para prevenirlas?

    Miremos estas preguntas más de cerca

    ¿Qué quiero proteger?

    Un "activo o acción" es algo que valoras y quieres proteger. En el contexto de la seguridad digital, un activo suele ser algún tipo de información. Por ejemplo, sus correos electrónicos, listas de contactos, mensajes instantáneos, ubicación y archivos son todos los activos posibles. Sus dispositivos también pueden ser activos.

    Haga una lista de sus activos: datos que guarda, donde se guarda, quién tiene acceso a él y qué impide que otros accedan a él.

    ¿De quién quiero protegerlo?

    Para responder a esta pregunta, es importante identificar quién podría querer acceder a usted o a su información. Una persona o entidad que represente una amenaza para sus activos es un "adversario". Ejemplos de adversarios potenciales son su jefe, su ex pareja, su competencia empresarial, su gobierno o un hacker en una red pública.

    Haga una lista de sus adversarios, o de aquellos que puedan querer obtener sus bienes. Su lista puede incluir individuos, una agencia gubernamental, o corporaciones.

    Dependiendo de quiénes son sus adversarios, en algunas circunstancias, esta lista podría ser algo que desee destruir después de terminar de modelar la amenaza.

    ¿Qué tan malas son las consecuencias en caso de fallo?

    Hay muchas maneras en que un adversario puede amenazar su información. Por ejemplo, un adversario puede leer sus comunicaciones privadas a medida que pasan a través de la red o pueden eliminar o dañar sus datos.

    Los motivos de los adversarios difieren mucho, al igual que sus ataques. A un gobierno deseoso de evitar la difusión de un video demuestrando violencia policial puede bastarle simplemente con borrar o reducir la disponibilidad de ese video. En contraste, un oponente político puede desear tener acceso a contenido secreto y publicar ese contenido a sus espaldas.

    El modelado de amenazas implica entender cuán malas podrían ser las consecuencias si un adversario ataca con éxito uno de sus activos. Para determinarlo, debe considerar la capacidad de su adversario. Por ejemplo, su proveedor de telefonía móvil tiene acceso a todos sus registros telefónicos y por lo tanto tiene la capacidad de utilizar esos datos en su contra. Un hacker en una red Wi-Fi abierta puede acceder a sus comunicaciones sin cifrar. Su gobierno podría tener capacidades más fuertes.

    Anote lo que su adversario podría querer hacer con sus datos privados.

    ¿Qué tan probable es que necesite protegerlo?

    El riesgo es la probabilidad de que ocurra una amenaza particular contra un activo particular. Va de la mano con la capacidad. Aunque su proveedor de telefonía móvil tiene la capacidad de acceder a todos sus datos, el riesgo de que publiquen sus datos privados en línea para dañar su reputación es bajo.

    Es importante distinguir entre amenazas y riesgos. Si bien una amenaza es algo malo que puede suceder, el riesgo es la probabilidad de que ocurra la amenaza. Por ejemplo, existe la amenaza de que su edificio se derrumbe, pero el riesgo de que esto suceda es mucho mayor en San Francisco (donde los terremotos son comunes) que en Estocolmo (donde no lo son).

    Realizar un análisis de riesgo es un proceso personal y subjetivo; no todo el mundo tiene las mismas prioridades o ve amenazas de la misma manera. Muchas personas encuentran ciertas amenazas inaceptables sin importar el riesgo, porque la mera presencia de la amenaza en cualquier probabilidad no vale la pena el costo. En otros casos, las personas no tienen en cuenta los riesgos elevados porque no ven la amenaza como un problema.

    Tome nota de las amenazas que va a tomar en serio, y de aquellas que puedan ser demasiado raras o inofensivas (o demasiado difíciles de combatir) para preocuparse.

    ¿Cuánto problemas estoy dispuesto a afrontar para prevenir posibles consecuencias?

    Responder a esta pregunta requiere llevar a cabo el análisis de riesgo. No todo el mundo tiene las mismas prioridades o ve las amenazas de la misma forma.

    Por ejemplo, un abogado que representa a un cliente en un caso de seguridad nacional probablemente estaría dispuesto a ir más lejos para proteger las comunicaciones sobre ese caso, como usar un correo electrónico cifrado, que una madre que regularmente envía correos electrónicos a su hija.

    Escriba las opciones que tiene disponibles para ayudar a mitigar sus amenazas únicas. Tenga en cuenta si tiene restricciones financieras, restricciones técnicas o restricciones sociales.

    El modelado de amenazas como práctica regular

    Tenga en cuenta que su modelo de amenaza puede cambiar mientras cambia su situación. Por lo tanto, realizar evaluaciones frecuentes de modelos de amenazas es una buena práctica.

    Cree su propio modelo de amenaza basado en su propia y particular situación. A continuación, marque su calendario para una fecha en el futuro. Esto le pedirá que revise su modelo de amenaza y vuelva a comprobar si sigue siendo relevante en su caso.

    Última actualización: 
    2017-09-07
  • Comunicándote Con Otros

    Las redes de telecomunicación y el Internet han hecho la comunicación con otros mas fácil que nunca, sin embargo, han hecho la vigilancia mas prevalente en la historia de la humanidad. Sin tomar pasos extras para proteger tu privacidad, cada llamada telefónica, cada mensaje de texto, email, mensaje instantáneo, llamada de voz sobre IP (VoIP), video charla, y mensaje en la red social podrían ser vulnerables a la escucha secreta.

    Muchas veces la mejor manera de comunicarte con otros es en persona, sin involucrar computadoras o teléfonos. Sin embargo, ello no es siempre posible. Si necesitas proteger el contenido de tu comunicación, el otro medio preferido para comunicarte a través de una red es el uso del cifrado de punto-a-punto (“end-to-end encryption”)

    ¿Cómo Trabaja el Cifrado de Punto-a-Punto?

    Cuando dos personas quieren comunicarse de manera segura (por ejemplo, Akiko y Boris) ambos necesitan generar una llave de cifrado. Antes que Akiko envíe un mensaje a Boris, ella cifra su mensaje con la llave de Boris; así solo Boris podrá descifrarlo. De esta forma, lo que Akiko hará es enviar el mensaje ya cifrado vía Internet. Si alguien está escuchando a escondidas a Akiko y Boris-- inclusive sí el atacante tiene acceso a los servicios que Akiko está usando para enviar sus mensajes (tales como su cuenta de email)--los atacantes sólo podrán ver la información cifrada y no podrán leer el mensaje. Cuando Boris reciba el mensaje, él debe de usar su llave de cifrado para descifrar el mensaje y hacerlo legible.

    El cifrado de punto-a-punto involucra algunos esfuerzos adicionales, pero estos son la única manera para que el usuario puede verificar la seguridad de sus comunicaciones sin tener que confiar en la plataforma que ambos están usando. Algunos servicios como Skype dicen que ofrecen al público servicios de cifrado de punto-a-punto cuando en la realidad ellos no los ofrecen. Para que un cifrado de punto-a-punto sea seguro, los usuarios deben poder verificar que la llave cifrada, a la que ellos están enviando el mensaje cifrado, pertenece a la persona que ellos creen le pertenece. Si el software no lleva esa funcionalidad construida dentro de sí mismo, entonces cualquier mensaje cifrado podría ser interceptado por el mismo proveedor de servicio, de hecho ellos están obligados hacerlo, por ejemplo si el gobierno se lo requiere.

    Puedes leer el reporte de La Fundación de Libertad de Prensa (Freedom of the Press Foundation's whitepaper), Encryption Works para detalles e instrucciones de como usar cifrado de punto-a-punto para proteger mensajes instantáneos y email. Asegúrate de mirar también los siguientes módulos de SSD:

    Llamada de Voz

    Cuando haces una llamada desde un teléfono fijo o desde un móvil, tu llamada no es cifrada de punto-a-punto. Si estás usando un teléfono móvil, tu llamada puede ser cifrada (de forma débil) entre tu equipo y las torres de telefonía celular. Sin embargo, como la comunicación está viajando a través de las redes telefónicas, las mismas se hacen vulnerables a interceptaciones por parte de la compañía telefónica, del mismo modo que es vulnerable frente a cualquiera otra rama del gobierno, organización, o institución que tenga poder sobre la compañía. La manera mas fácil de asegurarte que tienes el sistema de cifrado de punto-a-punto en una conversación de voz, es usando en su lugar, el sistema VoIP (Voz-sobre-el Protócolo de Internet).

    ¡Ten cuidado! Los proveedores mas populares de VoIP, tales como Skype y Google Hangouts, ofrecen transporte de cifrado que los atacantes que vigilan a escondidas no pueden oír, pero los mismos proveedores tienen la capacidad técnica de escuchar la conversación. Dependiendo de tu modelo de amenaza, esto podría ser o no un problema.

    Algunos de los servicios que ofrecen cifrado de punto-a-punto de llamadas VoIP incluyen:

    Para poder tener una conversación VoIP cifrada de punto-a-punto, ambos lados tienen que usar el mismo software o software compatible.

    Mensajes de Texto

    Los mensajes de texto estándar no permiten el cifrado de punto a punto. Si quieres enviar mensajes cifrados desde tu teléfono, piensa en utilizar un programa de mensajería instantánea cifrada en vez de mensajes de texto.

    Algunos de estos servicios de mensajería cifrada de punto a punto utilizan su propio protocolo. Por eso, por ejemplo, los usuarios de Signal sobre Android e iOS pueden chatear con seguridad con otras personas que utilizan esos programas. ChatSecure es una aplicación para móviles que encripta conversaciones con OTR sobre cualquier red que utilice XMPP, lo que implica que puedes elegir entre una variedad de servicios de mensajería instantánea independientes.

    Mensajes Instantáneos

    Los mensajes “Off-the-record", comúnmente llamado OTR, es un protócolo de cifrado de punto-a-punto para conversaciones de textos en tiempo real (al momento), el cual puedes usar sobre una variedad de servicios.

    Algunas de las plataformas que incorporan OTR con mensajes instantáneos incluyen:

    Email

    La mayoría de los proveedores de email proporcionan una forma de acceso a tu email usando un navegador de web, tales como Firefox o Chrome. De estos proveedores, la mayoría apoyan los protócolos HTTPS, o transporte de cifrado en capa (“transport-layer encryption”). Puedes saber si tu proveedor de email soporta HTTPS si ingresas a tu Webmail y el URL (en la parte superior de tu navegador) comienza con las letras “HTTPS” en vez de “HTTP” (por ejemplo: https://mail.google.com).

    Si tu proveedor permite HTTPS, pero no lo hace por defecto, trata de reemplazar HTTP con HTTPS en la URL , y actualiza la página. Si quieres estar seguro que siempre estás usando HTTPS en los sitios donde HTTPS esté disponible, baja el HTTPS Everywhere, un “plug-in” para el navegador de Firefox o Chrome.

    Algunos proveedores de webmail que usan HTTPS de manera estándar incluyen:

    • Gmail
    • Riseup
    • Yahoo

    Algunos de los proveedores de webmail que le dan la opción de escoger el uso de HTTPS de manera estándar en sus ajustes. El servicio mas popular que todavía lo ofrece es Hotmail.

    ¿Qué hace el protócolo de transporte de cifrado en capa (“transport-layer encryption”)? y ¿por qué podrías necesitar éste? HTTPS, es también denominado SSL o TLS, éste cifra tu comunicación, y de esa manera no puede ser leída por otras personas en tu red. Estos pueden incluir otras personas usando el mismo Wi-Fi en un aeropuerto o en un café, las otras personas en tu oficina o escuela, el administrador en tu ISP, crackers malignos, gobiernos, e oficiales del órden público.

    Un atacante puede fácilmente interceptar y leer las comunicaciones que envias sobre tu navegador web, incluyendo las páginas web que visitas y el contenido de tus emails, entradas de blog, y mensajes si usas HTTP en vez de HTTPS.

    HTTPS es el nivel mas básico de cifrado para tu navegador que le podríamos recomendar a todo el mundo. Es tan básico como el ponerse el cinturón de seguridad cuando manejas.

    Pero hay algunas cosas que el HTTPS no hace. Cuando envías un email usando HTTPS, tu proveedor de email también recibe una copia descifrada de tu comunicación. El gobierno y las fuerzas del orden público podrían tener acceso a esta información con una orden judicial, o una citación. En los Estados Unidos, la mayoría de proveedores de email tienen una política de privacidad que dice que ellos te notificaran cuando reciban una solicitud del gobierno para recolectar tus datos, siempre y cuando ellos estén legalmente permitidos, pero estas políticas son estrictamente voluntarias, y en mucho de los casos, los proveedores están legalmente impedidos de informarles a los usuarios sobre la petición de información.

    Algunos proveedores de email, tales como Google, Yahoo, y Microsoft, publican un reporte de transparencia, detallando el número de solicitudes por parte del gobierno para obtener información de sus usuarios, que país hizo la solicitud, y cuántas veces la compañía ha obedecido a las solicitudes, entregándoles la información.

    Si tu modelo de amenaza incluye algún gobierno o fuerza de orden público o tienes otras razones de querer estar seguro que tu proveedor de servicios de email no entregará tu información a una tercera persona, quizás quieras considerar usar cifrado de punto-a-punto para tus comunicaciones de email.

    PGP (o Pretty Good Privacy/Privacidad Muy Buena) es el estandar de seguridad de punto-a-punto para tu email. Usado correctamente, éste ofrece una protección muy fuerte para sus comunicaciones. Para detalles e instrucciones de cómo instalar y usar PGP para cifrar tu email, vea esta sección:

    ¿Qué es lo que un Cifrado de Punto-a-Punto No Hace?

    El cifrado de punto-a-punto solo protege el contenido de tu comunicación, no la veracidad de la misma. Este no protege tus metadata, la cual es otra cosa, incluyendo el asunto de tu email, o con quien te está comunicando y cuando.

    Los metadatos puede revelar información extremadamente sensible sobre tí inclusive cuando el contenido de tu comunicación se mantiene privada.

    Los metadatos de tus llamadas telefónicas pueden proporcionar información muy íntima y sensible. Por ejemplo:

    • Ellos pueden saber que llamaste a un servicio de sexo telefónico a las 2:24 am y habló por 18 minutos, pero no pueden saber que conversaste.
    • Ellos pueden saber que llamaste a una línea de prevención de suicidio desde el Puente Golden Gate, pero el tópico de la conversación se mantiene en secreto.
    • Ellos pueden saber que llamaste a un servicio de prueba para VIH, después a tu doctor, después a tu seguro de salud a la misma hora. Pero ellos no pueden saber que discutiste.
    • Ellos saben que recibiste una llamada desde la oficina local de la Asociación Nacional del Rifle (o su acrónimo en inglés NRA) mientras que ellos desarrollaban tu campaña sobre la legislatura de armas, y llamaste a tu senador y a tus representantes en el congreso inmediatamente después, pero el contenido de esas llamadas se mantienen privadas frente a la intrusión del gobierno.
    • Ellos saben que llamaste a un ginecólogo, hablaste por media hora, y luego llamaste a la oficina local de Planificación Familiar, pero nadie sabe que conversaste.

    Si estás llamando desde un celular, la información de tu localidad es metadatos. En el 2009, el político del Partido Verde en Alemania, Malte Spitz, demandó a la compañía Deutsche Telekom para forzarlos a que le entreguen los metadatos de tu teléfono por un período de seis meses, la cual hizo público en un periódico alemán. La visualización resultante demuestra en detalles la historia de los movimientos de Spitz.

    El proteger tus metadatos requiere que utilices otras herramientas, por ejemplo Tor, al mismo tiempo que utilizas el cifrado de punto-a-punto.

    Para un ejemplo de cómo Tor y HTTPS trabajan conjuntamente para proteger el contenido de tus comunicaciones y tus metadatos de una variedad de posibles atacantes, tal vez desee echar un vistazo a esta explicación.

    Última actualización: 
    2017-01-12
  • Verificando las Llaves

    Cuando el cifrado se utiliza correctamente, tus comunicaciones o informaciones deberían ser leídas solamente por tí y la persona o personas con quien te estás comunicando. El cifrado de punto-a-punto (“end-to-end encryption”) protege tus datos frente a la vigiliancia realizada por un tercero, pero si no estás seguro de la identidad de la persona con la cual estás hablando, su utilidad es limitada. Es aquí donde la llave de verificación (“key verification”) entra en juego. Verificando las llaves públicas (public keys), tu y la persona con la cual te estás comunicando podrán agregar una capa adicional de protección a su conversación. La verificación de llaves permite confirmar la identidad de cada uno y así estar más seguro que te encuentras hablando con la persona correcta.

    La llave de la verificación es una característica común de los protocolos que usan cifrado de punto-a-punto, tales como PGP y OTR (por sus siglas en inglés). En Signal, se les llama "safety numbers." Para verificar las llaves sin el riesgo de interferencia, es recomendable que uses un método secundario de comunicación distinto al que usas para cifrar; este método es conocido como verificación fuera de banda (out-of-band verification). Por ejemplo, si estás verificando tus huellas OTR, podrías enviarle un correo electrónico con tus huellas a la otra parte. En ese caso, tu email podría ser tu canal secundario de comunicación.

    Verificando Las Llaves Fuera de Banda

    Hay varias formas de hacerlo. Si esto se arregla de manera segura y te es conveniente, es ideal verificar las llaves cara a cara. Muchas veces esto se hace en las reuniones o eventos llamados “fiestas de firmas de llaves” (“key-signing parties”) o entre colegas.

    Si no te puedes reunir cara-a-cara, puedes contactar a tu corresponsal a través de un medio distinto de aquel para el cual estás tratando de verificar las llaves. Por ejemplo, si estás tratando de verificar las llaves PGP con alguien, podrías utilizar el teléfono o una conversación vía OTR para hacer lo mismo.

    No importa el programa que uses, siempre serás capaz de localizar tu llave y la llave de tu compañero en la comunicación.

    Aunque el método de localizar tu llave varía por programa, el método de verificar la llave se mantiene igual. Inclusive puedes leer sus huellas de llave en voz alta (si estás cara-a-cara o usando un teléfono) o puedes copiar y pegarlas dentro de un programa de comunicaciones, pero sea cual sea el método que uses, es imperativo que revises cada una de las letras y los números.

    Consejos: Trata de verificar las llaves con uno de tus amigas. Para aprender a verificar las llaves de un programa específico, visita la guía de ese programa.

     

    Última actualización: 
    2017-01-13
  • Cómo Usar OTR Para Mac

    Adium es un recurso libre y abierto de mensajes instantáneos para el sistema OS X que te permite charlar/chatear con múltiples individuos a través de diversos protocolos de charla, incluyendo Google Hangouts, Yahoo! Messenger, Windows Live Messenger, AIM, ICQ, y XMPP.

    OTR (Off-the-record/Fuera del récord) es un protocolo que permite a las personas tener una conversación confidencial utilizando las herramientas de mensajes con los cuales ellos ya están familiarizados. Este no debe de ser confundido con el setting de “Off the record” en Google, el cual simplemente desactiva el fichero histórico de la charla, y no tiene cifrado o capacidad para verificaciones. Paro los usuarios de Mac, OTR viene ya construido dentro del Adium para sus clientes.

    OTR emplea el cifrado de punta-a-punta (end-to-end encryption). Esto quiere decir que tú puedes usarlo para tener conversaciones a través de los servicios como Google Hangouts sin que estas compañías nunca tengan acceso al contenido de la conversaciones. Sin embargo, el hecho de que usted está teniendo una conversación es visible para el proveedor.

    Por qué debo yo usar Adium + OTR?

    Cuando tienes una conversación/chat usando Google Hangouts chat en los sitios web de Google, esa charla es cifrada usando HTTPS, la cual quiere decir que el contenido de tu charla está protegido contra los hackers y de otros personas de tercera vía mientras está transitando. Sin embargo, tu comunicación no está protegida de Google, empresas que tienen la clave de tus conversaciones y pueden entregarla a las autoridades o utilizarlos para fines de marketing.

    Después de que instales Adium, puedes usarlo con múltiples cuentas al mismo tiempo. Por ejemplo, puedes usar Google Hangouts y XMPP simultáneamente. Adium también te permite usar estas herramientas sin OTR. Ya que OTR solamente funciona si ambas personas la están usando, esto quiere decir que aunque la otra persona no lo tenga instalado, puedes charlar con ellos/ellas usando Adium.

    Adium también te permita hacer verificaciones fuera-de-banda (out-of-band verification) para estar seguro que estás hablando con la persona que piensas que está hablando, y no ha estado sujeto a un ataque de intermediario (MITM attack). Para cada conversación, hay una opción que te enseñará las huellas de llave (key fingerprints) que esta tiene para ti, y la persona con la cual estás charlando. Una "huella de llave/key fingerprint" es una cinta de caracteres semejantes a "342e 2309 bd20 0912 ff10 6c63 2192 1928,” que se usa para verificar una llave pública larga. Intercambia tus huellas a través de otros canales de comunicaciones, tales como Twitter DM o email, para estar seguro de que nadie este interfiriendo con tu comunicación. Si las claves no coinciden, no se puede estar seguro de que está hablando con la persona correcta. En la práctica, la gente suele usar varias claves, o perder y tienen que volver a crear nuevas claves, así que no se sorprenda si tiene que volver a revisar sus llaves con tus amigos de vez en cuando.

    Limitaciones: Cuándo no debo de usar Adium + OTR?

    Los técnicos tienen un término para describir cuando un programa o tecnología puede ser vulnerable a ataques externos: ellos dicen que tiene una "gran superficie de ataque”. Pues bien, Adium tiene una gran superficie de ataque, ya que es un programa complejo que no ha sido escrito con la seguridad como una de las prioridades principales y es cierto que tiene vulnerabilidades (“bugs”), algunas las cuales podrían ser usadas por el gobierno e inclusive por grandes compañías para entrar en las computadoras que están usandandolo. Usar Adium para cifrar tu conversación es una gran defensa contra el tipo de ataque de vigilancia no intencionada que se usa para espiar las conversaciones de todo el mundo. Pero a nivel personal seria un blanco de ataque de un agresor bien-armado (como la de un estado),en ese caso debes de considerar precauciones mas fuertes, como el email cifrado-PGP (PGP-encrypted email).

    Instalando Adium + OTR en su Mac

    Paso 1: Instale el programa

    Primero, ve a https://adium.im/ en su navegador. Da click en “Download Adium 1.5.9.” (“Descarga Adium 1.5.9”). La carpeta bajará como un .dmg, o disco imagen, y posiblemente se guardará en tu carpeta “downloads.”

    Dale doble click en la carpeta; esto abrirá una ventanilla semejante a esta:

    Mueva la imagen dentro de la carpeta “Applications” (“Aplicaciones”) para instalar el programa. Una vez el programa esté instalado, buscalo en tu carpeta de Aplicaciones y dale un doble click para abrirlo.

    Paso 2: Configura tu cuenta(s)

    Primero, necesitas decidir que herramienta de charlas o protocolos quieres usar con Adium. El establecimiento del proceso es similar, pero no idéntico para cada tipo de herramienta/programa. Tú debes de saber el nombre de cuenta para cada programa o protocolo, como también la clave para cada cuenta.

    Para establecer una cuenta, ve al menú de Adium en la parte superior de tu pantalla y haz click en “Adium” y después en “Preferences” (“Preferencias”). Esto abrirá otra ventana, con otro menú superior. Seleccione “Accounts” (“Cuentas”); entonces da un click al signo “+” en la parte inferior de la ventana. Verás un menú que se parece a éste:

    Seleccione el protocolo que desees. Desde aquí, te pedirá ingresar tu nombre de usuario y clave, o a usar una autorización de Adium para ingresar en tu cuenta. Sigue las instrucciones de Adium cuidadosamente.

    Cómo iniciar una charla OTR

    Una vez registrado o ingresado en una o más de tus cuentas, puedes empezar a usar OTR.

    Recuerda: para tener una conversación usando OTR, ambas personas tienen que tener un programa de charla que soporten OTR.

    Paso 1: Iniciando una charla OTR

    Primero, identifique a alguien que esté usando OTR, e inicie una conversación con ellos en Adium dandole un doble-teclado en su nombre. Una vez tu hallas abierto la ventana de charla, verás una vpequeña, abierto candado en la esquina a mano superior-izquierda de la ventana de charla. Déle al teclado en el candado y seleccione “Initiate Encrypted OTR Chat.” (“Iniciar el chat cifrado-OTR”).

    Paso 2: Verifique su conexión

    Una vez hallas iniciado su charla y la otra persona halla aceptado la invitación, tú verás el símbolo del candado cerrado; así es como sabes que la conversación está ahora cifrada (Felicidades!) – Pero espera, hay otro paso!

    Ahora, tú has iniciado una charla cifrada inverificable (unverified). Esto significa que mientras tus comunicaciones están cifradas, tú no has determinado y verificado todavía la identidad de la persona con la que estás charlando, al menos que estés en el mismo salón y puedan ver la pantalla de cada uno. Es importante que verifiques la identidad de cada uno. Para mas información, lea el módulo sobre Verificación de las Llaves (Key Verification).

    Para verificar la identidad del otro usuario usando Adium, de nuevo déle un teclado/click en el símbolo del candado, y seleccione “Verificar” (“Verify”). Te mostrará una ventana con ambas llaves, la tuya y la del otro usuario. Algunas versiones de Adium solo soportan la verificación de huella manual (“manual fingerprint verification”). Esto quiere decir que, usando algunos métodos, tú y la persona con la cual estás charlando necesitan verificarlas para estar seguros que la llave que les están enseñado en Adium precisamente concuerdan.

    La manera mas fácil de hacer esto es que ambos la lean en voz alta de modo presencial, pero esto no es siempre posible. Hay diferentes maneras de lograrlo con varios grados de confianza. Por ejemplo, pueden leer sus llaves los unos a los otros por teléfono si reconocen sus voces o envíenlas usando otros métodos verificables de comunicación, tales como PGP. Algunas personas publican sus llaves en sus sitios web, sus cuentas de Twitter, o su tarjeta de presentación/visita.

    La cosa mas importante es que verifiques que cada letra y dígito concuerden perfectamente.

    Paso 3: Deshabilitar logging/registro

    Ahora que tú has iniciado una charla cifrada y has verificado la identidad de tu compañero(a), hay una cosa mas que tú necesitas hacer. Desafortunadamente, Adium registra tu charla cifrada-OTR por defecto (by default), guardando ésta en tu disco duro. Esto quiere decir, que a pesar del hecho de que la conversación está cifrada, también ha sido guardada en texto simple en tu disco duro.

    Para deshabilitar logging, teclee en “Adium” en el menú arriba de tu pantalla, entonces “Preferences” (“Preferencias”). En la nueva ventanilla, seleccione “General” y entonces deshabilite “Log messages” (“Registra mensajes”) y “Log OTR-secured chats.” (“Registra los chats seguros-OTR). Sin embargo, recuerde que usted no tiene control sobre la persona con la que está conversando, ella podría registrando o tomar capturas de pantalla de su conversación, incluso si usted tiene el registro de personas con discapacidad. Tus ajustes se verán así:

    Además, Centro de Notificaciones de OS X puede registrar el contenido de las notificaciones de nuevos mensajes que muestra Adium. Esto significa que a pesar de Adium no deja rastro de tus comunicaciones en tu Mac o la de tu interlocutor, puede ser que existan rastros de las conversaciones en el OS X de alguna de las dos computadoras. Para evitarlo, puedes desactivar las notificaciones.

    Para eso,  selecciona "Eventos" en la ventana de Preferencias, y busca las entradas que digan "Mostrar una notificación." Puedes ampliar cada entrada haciendo clic en el triángulo gris, y luego en la linea que dice "Mostrar una notificación", a continuación, clic en el icono de signo menos ("-") en la parte inferior izquierda para eliminar esa línea. Si estás preocupado acerca de los registros que quedan en el equipo, también debes activar el cifrado de disco completo, lo que ayudará a proteger estos datos sean obtenidos por una tercera parte sin su contraseña.

    Última actualización: 
    2017-01-19
  • Cómo Usar PGP Para macOS

    Pretty Good Privacy/Muy Buena Privacidad (PGP) es una herramienta pensada para proteger tus comunicaciones por email de ser leídas por alguien además de sus destinatarios. Y, en un menor grado, puede evita que tus emails sean leídos si la computadora donde los guardas es robada o intervenida.

    También permite probar que los correos han sido generados por una persona en particular, en vez de ser mensajes falsos de alguna otra persona (de hecho es muy fácil falsificar un email). En ambos casos es una defensa muy importante si eres o has sido blanco de vigilancia o desinformación.

    Para usar PGP, necesitas instalar algunos programas extras que trabajaran a la par de tu programa de email habitual. También necesitas crear una clave privada, que deberás mantener privada. La clave privada es la que usarás para descifrar los emails que te envían, y para firmar digitalmente los  que  envías para asegurar que realmente fueron enviados por ti. Finalmente, aprenderás como distribuir tu clave pública; una pequeña porción de información que otros necesitarán conocer antes de que ellos te puedan enviar mensajes/email cifrados, y que puede ser usada para certificar la autenticidad de los emails que envías.

    Obteniendo GnuPG

    Puedes descargar GnuPG (también conocido como GPG) en Mac Os X descargando un pequeño instalador desde la página de descargas de GnuPG.

    Haz clic en el enlace de descarga al lado de "Instalador Simple para GnuPG Modern", y descargará el instalador GPG.

    Serás redirigido a la página de descarga en SourceForge

    Descargando Mozilla Thunderbird

    Ve a la página de Mozilla Thunderbird.

    Haz clic en el botón verde con el texto "Descarga Gratuita". El sitio web de Mozilla Thunderbird detectará tu idioma preferido. Si deseas utilizar Thunderbird en otro idioma, haz clic en el enlace "Sistemas y Lenguajes" y haz tu selección ahí.

    Instalando GnuPG

    Haz Clic en el ícono de descarga en el Dock y despues en el archivo GnuPG-2.11-002.dmg

    Una ventana se abrirá, indicando tu progreso.

    Una ventana se abrirá, mostrándo una vista del archivo de instalación y algunos otros archivos. Haz clic en el ícono Install.pkg

    A continuación una ventana se abrirá, comenzando la instalación guiada. Haz clic en el botón continuar.

    GnuPG está instalado como un paquete de sistema y necesita tu usuario y contraseña para instalarse. Ingresa tu contraseña y haz clic en Instalar Software.

    Verás una ventana que dice que la instalación fue exitosa, haz click en el botón cerrar.

    Instalando Mozilla Thunderbird

    Haz Clic en el ícono de descarga en el Dock y despues en el archivo Thunderbird 45.2.0.dmg

    Una ventana se abrirá, indicando tu progreso.

    Una ventana se abrirá con el ícono de Thunderbird y un link a tu folder de aplicaciones. Arrastra Thunderbird a tu folder de aplicaciones.

    Una ventana se abrirá con una barra de progreso. Cuando llegue a su final, se cerrará.

    Asegurate de ejectar los archivos DMG montados.

    Preparación para la instalación de Enigmail

    Cuando Mozilla Thunderbird se ejecute por primera vez, MacOs X te preguntará si estás seguro de abrirlo. Mozilla Thunderbird fue descargado de Mozilla.org y debería ser seguro, haz clic en el botón abrir.

    Mozilla Thunderbird se puede integrar con la libreta de direcciones de Mac OS X , esa elección está en tus manos.

    Cuando Mozilla se ejecuta por primera vez, verás una pequeña ventana de confirmación preguntando sobre algunos ajustes predeterminados. Se recomienda hacer clic en el botón "Establecer como predeterminado".

    Cuando Mozilla Thunderbird inicia por primera vez, te preguntará si deseas abrir una nueva dirección de correo electrónico. Haz clic en el botón "saltar esto y utilizar mi correo electrónico existentes". Ahora vas a configurar Mozilla Thunderbird para poder recibir y enviar correo electrónico. Si estás acostumbrado a solamente leer y enviar correo electrónico a través de gmail.com, outlook.com, o yahoo.com, Mozilla Thunderbird será una nueva experiencia, pero no es tan diferente en general.

    Añadiendo una cuenta de correo a Mozilla Thunderbird

    Una nueva ventana se abrirá.

    Ingresa tu nombre, dirección de correo electrónico y la contraseña de tu cuenta de correo electrónico. Mozilla no tiene acceso a tu contraseña o tu cuenta de correo electrónico. Haz clic en el botón "Continuar".

    En muchos casos Mozilla Thunderbird detectará automáticamente los ajustes necesarios.

    En algunos casos Mozilla Thunderbird no tiene la información completa y deberás introducir algunos parametros de configuración por tu cuenta. Aquí, un ejemplo de las instrucciones que proporciona el propio Google para Gmail:

    • Incoming Mail (IMAP) Server - Requires SSL
      • imap.gmail.com
      • Port: 993
      • Requires SSL: Yes
    • Outgoing Mail (SMTP) Server - Requires TLS
      • smtp.gmail.com
      • Port: 465 or 587
      • Requires SSL: Yes
      • Requires authentication: Yes
      • Use same settings as incoming mail server
    • Nombre Completo o Nombre para mostrar: [tu nombre o seudónimo]
    • Nombre de la cuenta o nombre de usuario: tu dirección de Gmail completa (username@gmail.com). usuarios de Google Apps, ingresar username@your_domain.com
    • Dirección de correo electrónico: la dirección completa de Gmail (username@gmail.com) usuarios de Google Apps, por favor, usen username@your_domain.com
    • Contraseña: la contraseña de Gmail

    Si usas la autenticación de dos factores con Google (y dependiendo de tu modelo de amenaza ¡probablemente deberías!) no puede usar la contraseña estándar de Gmail con Thunderbird. En lugar de ello, será necesario crear una nueva contraseña exclusivamente para que Thunderbird acceda a tu cuenta de Gmail. Ver la Guía de Google para hacer esto.

    Cuando hayas introducido, correctamente, toda la información, haz clic en el botón "Done".

    Si usas la autenticación de dos factores con Google (y dependiendo de tu modelo de amenaza ¡probablemente deberías!) no puede usar la contraseña estándar de Gmail con Thunderbird. En lugar de ello, será necesario crear una nueva contraseña exclusivamente para que Thunderbird acceda a tu cuenta de Gmail. Ver la Guía de Google para hacer esto.

    Cuando hayas introducido, correctamente, toda la información, haz clic en el botón "Done".

    Mozilla Thunderbird comenzará a descargar copias de tu correo electrónico en tu computadora. Intenta enviar un mensaje de prueba a tus amigos.

    Instalando Enigmail

    Enigmail se instala de una forma distinta a Mozilla Thunderbird y GnuPG. Como se ha mencionado antes, Enigmail es un complemento para Mozilla. Haz clic en el botón de "Menú", también llamado el botón hamburguesa y selecciona "Complementos".

    Esto te llevará a la pestaña de Administrador de complementos. Ingresa Enigmail en el campo de busqueda para buscar por Enigmail en el sitio de complementos de Mozilla.

    Enigmail será la primera opción. Haz clic en el botón instalar.

    Una vez instalado el complemento Enigmail Mozilla Thunderbird te pedirá reiniciar el navegador para activar Enigmail. Haga clic en el botón "Reiniciar ahora" y Mozilla Thunderbird se reiniciará.

    Cuando Mozilla Thunderbird se reinicie, se abrirá una ventana adicional que iniciará el proceso de configuración de Enigmail. Selecciona el botón "Iniciar configuración ahora" y haz clic en el botón "Siguiente".

    Pasos de configuración necesarios

    En mayo de 2018 algunos investigadores revelaron varias vulnerabilidades en PGP (incluyendo GPG) para el correo electrónico, y teorizaron  muchas otras  podrían aprovechar estas.

    Los desarrolladores de Thunderbird y Enigmail han estado trabajando en formas de protegerse contra las vulnerabilidades de EFAIL. A partir de la versión 2.0.6 (publicada el 27 de mayo de 2018), Enigmail ha publicado parches que lo defienden contra todas las vulnerabilidades conocidas descritas en el documento EFAIL, junto con algunas nuevas de la misma clase que otros investigadores fueron capaces de distinguir, que superan las correcciones anteriores de Enigmail. Cada nueva corrección hacía un poco más difícil para un atacante superar las defensas de Enigmail. Estamos seguros de que, si actualizas a esta versión de Enigmail (¡y sigues actualizando!), los usuarios de Thunderbird pueden volver a activar su PGP.

    Pero, mientras que Enigmail ahora se defiende contra la mayoría de los ataques conocidos incluso con HTML activado, la vulnerabilidad EFAIL demostró cuan peligroso  resulta el HTML en los correos electrónicos para la seguridad. Por lo tanto, recomendamos que los usuarios de Enigmail también desactiven el HTML yendo a Ver > Cuerpo del mensaje como > Texto sin formato.

    1. Primero haga clic en el menú hamburguesa de Thunderbird (las tres líneas horizontales).

    2. Seleccione "Ver" en la parte derecha del menú que aparecerá.

    3. Seleccione "Cuerpo del mensaje como" en el menú que aparece y, a continuación, seleccione la opción de radio " Texto sin formato ".

    Ver todo el correo electrónico en texto plano puede ser difícil y no sólo porque muchos servicios sólo envían correos electrónicos HTML. Desactivar el correo HTML puede plantear algunos problemas de usabilidad, como que algunos archivos adjuntos no aparezcan. Los usuarios de Thunderbird no deberían tener que hacer este compromiso entre usabilidad y seguridad, así que esperamos que Thunderbird le de un poco más de atención a  su comunidad de texto plano de ahora en adelante. En el estado actual del software, sin embargo, los usuarios necesitarán decidir por sí mismos si toman el riesgo de usar correo HTML; los usuarios más vulnerables probablemente no deberían tomar ese riesgo, pero la elección correcta para su comunidad es que lo juzguen basados en su situación.

    Ahora comenzará a crear sus llaves públicas y privadas, aprenda más sobre estas llaves y lo que son en nuestra guía Introducción a la criptografía de llave pública y PGP.

    Creando una clave pública y una clave privada

    A menos que ya hayas configurado más de una cuenta de correo electrónico, Enigmail elegirá la cuenta de correo electrónico acabas de configurar. La primera cosa que que necesitas hacer es seleccionar una frase de contraseña segura para su clave privada.

    Haz clic en el botón "Siguiente".

    Tu clave expirará en un momento determinado; cuando esto suceda, la gente dejará de usarla para cifrar cualquier nuevo correo electrónico enviado a ti, sin embargo puede que no recibas advertencia o explicación acerca de por qué. Por lo tanto, es posible que desees marcar tu calendario y prestar atención a este problema un mes antes de la fecha de caducidad.

    Es posible extender la vida útil de una clave ya existente, asignadole una nueva y posterior, fecha de vencimiento o es posible sustituirla por una nueva clave mediante la creación de otra nueva desde cero. Ambos procesos pueden requerir contactar a las personas que te escriben y asegurarte de que reciban la clave actualizada; el software actual no es muy competente en la automatización de este proceso. Asi que establece un recordatorio a ti mismo; pero si no crees que serás capaz de lidiar con eso, podrías considerar configurar la clave para que esta nunca expire, aunque en ese caso, otras personas podrían tratar de usarla cuando se comuniquen contigo en un futuro lejano, incluso si tú no tienes más la clave o no usas PGP.

    Para verificar la fecha de caducidad de su llave en Thunderbird, haga clic en el menú Enigmail y seleccione "administración de llaves". Busque su llave en la ventana Administración de Llaves de Enigmail y haga doble clic en ella. Se abrirá una nueva ventana y la fecha de vencimiento de su llave se mostrará en el campo llamado "Caducidad". Para establecer una nueva fecha de vencimiento, haga clic en el botón "Cambiar" al lado de la fecha de vencimiento actual de su llave. Recuerde enviar su llave pública  actualizada a sus contactos o publicarla en un servidor de claves si actualiza la fecha de caducidad de su llave.

    Enigmail generará la clave y, cuando se complete, se abrirá una pequeña ventana pidiéndole que genere un certificado de revocación. Es importante conservar este certificado de revocación, ya que le permitirá invalidar la clave privada y la clave pública en caso de que pierda su clave privada o se la roban. Por este motivo, almacene su certificado de revocación separado de su clave privada; Grabelo en un CD o colóquelo en un dispositivo USB y guárdelo en un lugar seguro. La publicación del certificado de revocación en un servidor de claves permitirá que otros usuarios de PGP sepan que no deben usar o confiar en esa clave pública. Es importante tener en cuenta que simplemente eliminar la clave privada no invalida la clave pública y puede llevar a otros a enviarle correos encriptados que no puede descifrar. Haga clic en el botón "Generar certificado".

    Primero se te pedirá que proporciones la contraseña que usaste al crear la clave PGP. Haz clic en el botón "OK".

    Se abrirá una ventana para ofrecerte un lugar donde guardar el certificado de revocación. Si bien puedes guardar el archivo en el equipo, se recomienda guardarlo en una unidad USB que esté destinada exclusivamente para eso y nada más y almacenar esa unidad en un lugar seguro. También se recomienda eliminar el certificado de revocación del computador donde estén las claves, para evitar la revocación no intencional. Aún mejor, guarda este archivo en un disco encriptado. Elige el lugar donde vas a guardar el archivo y haz clic en el botón "Guardar".

    Ahora Enigmail te dará más información acerca de cómo guardar el archivo de revocación de certificados de nuevo. Haz clic en el botón "OK".

    Finalmente, haz terminado de generar las clave privada y pública. Haz clic en el botón "Finalizar".

    Pasos opcionales de configuración

    Mostrando identificación de claves largas

    Los próximos pasos son completamente opcionales, pero pueden ser útiles cuando uses OpenPGP y Enigmail. Brevemente, la Key ID es es una pequeña parte de la huella, Cuando debemos comprobar que una clave pública pertenece a una persona en particular, la huella es la mejor manera. El cambiar la ventana por defecto hace más fácil leer las huellas del certificado que conoces. Click en el botón de configuración, entonces la opción Enigmail, Administración de claves.

    Una ventanilla se abrirá mostrando dos columnas: Name and Key ID/Nombre e Identificación de clave.

    Al extremo del lado derecho hay un pequeño botón. Click en ese botón para configurar las columnas. Cancela la opción en el botón Key ID y dale click a la opción de Fingerprint.

    Ahora habrá tres columnas: Nombre, validez de la clave, y la huella digital.

    Haciendo saber a otros que estás usando PGP

    Dejándole saber a otros que estás usando PGP con un email

    Es posible que te envien claves públicas como adjuntos de correo. Haz clic en el botón "Importar clave".

    Una pequeña ventana se abrirá pidiéndote que confirmes la importación de una clave PGP. Haz clic en el botón "Sí".

    Una nueva ventana se abrirá con los resultados de la importación. Haz clic en el botón "OK".

    Si recargas el correo electrónico original verás que la barra sobre el correo electrónico ha cambiado.

    Si abres la ventana de gestión de claves Enigmail nuevo podrás comprobar el resultado. Tu clave PGP está en negrita porque tiene tanto la clave privada y la clave pública. La clave pública que acabas de importar no está en negrita, ya que no contiene la clave privada.

    Obteniendo una clave pública como un archivo

    Es posible obtener una clave pública descargándola de un sitio web o alguien podría haber enviado a través de programa de mensajería. En un caso como este, vamos a suponer que has descargado el archivo en la carpeta de descargas.

    Abre el administrador de claves de Enigmail y haz clic en el menú "Archivo". Seleccione "Importar claves desde archivo".

    Haz clic en el menú "Archivo". Seleccione "Importar claves desde archivo".

    Elige la clave pública, podría tener diferentes nombres de extención de archivos, como .asc, .pgp, o .gpg. Haz clic en el botón "Abrir".

    Una pequeña ventana se abrirá pidiéndote que confirmes la importación de una clave PGP. Haz clic en el botón "Sí".

    Una nueva ventana se abrirá con los resultados de la importación. Haz clic en el botón "OK".

    Obteniendo una clave Publica desde una URL

    Es posible conseguir una clave pública descargándola directamente desde una URL.

    Abrir el Administrador de claves de Enigmail y haz clic en el menú "Editar". Seleccione "Importar claves de la URL."

    Ingresa la URL. La URL puede tener varias formas. Frecuentemente puedes ser un nombre de dominio que termine en un archivo.

    Haz clic en el botón "OK".

    Una pequeña ventana se abrirá pidiéndole que confirme la importación de una clave PGP. Haz clic en el botón "Sí".

    Se abrirá una nueva ventana con los resultados de la importación: Haz clic en el botón OK

    Si nos fijamos en https://www.eff.org/about/staff te darás cuenta que hay un enlace "clave PGP" debajo de los fotos del staff. La clave PGP de Danny O'Brien está en: https://www.eff.org/files/pubkeydanny.txt.

    Obteniendo una clave pública desde un servidor de claves

    Los servidores de claves pueden ser una manera muy útil de obtener claves públicas, intenta buscando por una clave pública.

    Desde la interfaz de administración de claves haz click en el menú “Servidor de claves” y selecciona “buscar claves”

    Una pequeña ventana se abrirá con un campo de búsqueda. Puedes buscar una dirección completa de correo electrónico, una dirección de correo electrónico parcial, o un nombre. En ese caso, buscarás las claves que contienen "samir@samirnassar.com". Haz clic en el botón "OK".

    Una ventana más grande aparecerá con muchas opciones. Si te desplazas hacia abajo notarás algunas claves estarán en cursiva y en gris claro. Estas son las claves que han sido revocados o caducados por si mismas.

    Tenemos varias claves PGP para Samir Nassar y aún no sabemos cuál elegir. Una clave está en cursiva gris que significa que ha sido revocada. Debido a que no sabemos aún cuál queremos aún, importaremos todas. Seleccione las claves haciendo clic en el cuadro de la izquierda y pulsa el botón "OK".

    Una pequeña ventana de notificación aparecerá dejándote saber si has tenido éxito. Haz clic en el botón "OK".

    El Administrador de claves de Enigmail ahora mostrará las claves añadidas:

    Nota que de las tres claves importadas, una ha caducado, otra está revocada, y otra más es una clave válida actualmente.

    Haciendo saber a otros que estás usando PGP

    Ahora que tienes PGP, deseas que los demás sepan que lo estás utilizando, asi podrán enviarte mensajes encriptados con PGP.

    El uso de PGP no cifra totalmente su email de modo que el emisor y receptor estén cifrados. Cifrar la información del remitente y el receptor rompería el correo electrónico. El uso de Thunderbird con Enigmail proporciona una manera fácil de cifrar y descifrar el contenido de tu correo electrónico.

    Veamos tres formas distintas en que puedas hacer saber a la gente que estás usando PGP.

    Haz saber estás utilizando PGP con un correo electrónico

    Puedes enviar fácilmente tu clave pública a otras personas enviándoles una copia como un archivo adjunto.

    Haz clic en el botón "Escribir" en Mozilla Thunderbird.

    Escribe una dirección y un asunto, tal vez algo como mi "mi clave pública", haz clic en el botón "Adjuntar mi clave pública". Si ya has importado una clave PGP para la persona a la que estás enviando la clave PGP, aparecerá resaltado el icono de candado en la barra de Enigmail. Como opción adicional, también puedes hacer clic en el icono de lápiz para firmar el correo electrónico, dando a los destinatarios una forma de verificar la autenticidad del correo electrónico más tarde.

    Se abrirá una ventana preguntando si olvidaste agregar un archivo adjunto. Esto es un error en la interacción entre Enigmail y Mozilla Thunderbird, pero no te preocupes, igual se adjuntará la clave pública. Haz clic en el botón "No, Enviar ahora". Mira a continuación por una prueba.

    Haz que la gente sepa que usas PGP en tu sitio Web

    Además de comunicarlo por correo electrónico, puedes publicar tu clave pública en tu sitio web. La forma más fácil es cargar el archivo y hacer un enlace a él. En esta guía no entrará en como hacer esas cosas, pero debes saber cómo exportar la clave en un archivo para tu uso en el futuro.

    Haz clic en el botón de configuración, a continuación, la opción Enigmail, luego de administración de claves.

    Selecciona la clave en negrita, después, oprime el botón derecho del ratón para que aparezca el menú y selecciona Exportar claves al archivo.

    Una pequeña ventana, con tres botones, se abrirá. Haz clic en el botón “Exportar claves públicas solamente”.

    Ahora se abrirá una ventana para que puedas grabar el archivo, Para que sea más fácil de encontrar en el futuro, puedes grabar el archivo en la carpeta Documentos. Ahora puedes usar este archivo como desees.

    Asegúrate de no oprimir el botón "Exportar claves secretas" la exportación de la clave secreta permitiría a otros a hacerse pasar por ti si son capaces de adivinar la contraseña.

    Subiendo a un servidor de claves

    Los servidores de claves facilitan la búsqueda y descarga de las claves públicas de otros. La mayoría de los servidores de claves modernos se sincronizan entre ellos, lo que significa que una clave pública subida a un servidor con el tiempo estará en todos los demás.

    Aunque subir tu clave pública a un servidor de claves es una manera conveniente de comunicar a todos que tienes un certificado de PGP público, debes saber que, debido a la naturaleza de cómo los servidores de claves funcionan no hay manera de eliminar las claves públicas, una vez cargadas.

    Antes de subir tu clave pública a un servidor de claves, es bueno tomar un momento para considerar si deseas que todo el mundo sepa que tienes un certificado público sin la posibilidad de eliminar esta información en un momento posterior.

    Si eliges enviar tu clave pública al servidor de claves, volverás a la ventana de administración de claves Enigmail.

    Haz clic derecho en la clave PGP y elige la opción "Subir al servidor de claves de claves públicas".

    Enviando correspondencia PGP cifrada

    Ahora enviarás tu primer correo electrónico cifrado a un destinatario.

    En la ventana principal de Mozilla Thunderbird haz clic en el botón “Escribir”. Se abrirá una nueva ventana.

    Escribe tu mensaje, e ingresa un destinatario. Para este ensayo, selecciona un destinatario cuya clave pública ya poseas. Enigmail lo detectará y cifrará el correo electrónico de forma automática.

    La línea de asunto no se cifrará, así que elige algo inofensivo, como "hola".

    El cuerpo del mensaje ha sido cifrado y transformado. Por ejemplo, el texto anterior se transformará en algo como esto:

    Recibiendo correos PGP cifrado

    Repasemos lo que sucede cuando se recibe correo electrónico cifrado.

    Ten en cuenta que Mozilla Thunderbird está avisando que tienes correo nuevo. Haz clic en el mensaje.

    Se abrirá una pequeña ventana pidiéndote la contraseña para la clave PGP. Recuerda: No introduzcas tu contraseña de correo electrónico. Haz clic en el botón "OK"

    Ahora podrás ver el mensaje descifrado.

    Revocando una clave PGP

    Revocando tu clave PGP a través de la interfaz de Enigmail

    Las claves PGP generadas por Enigmail expiran automáticamente después de cinco años. Asi, si pierdes todos tus archivos, tienes la esperanza de que la gente que conoces te pedirá otra clave, una vez que esa clave halla expirado.

    Puede ser que tengas una buena razón para desactivar tu clave PGP antes de que caduque. Quizás quieras generar una nueva, y más fuerte, clave PGP. La forma más fácil de revocar tu clave PGP en Enigmail es a través del Administrador de claves.

    Haz clic derecho sobre la clave PGP, que está en negrita, y elige la opción "Revocar Clave".

    Haz clic derecho en la clave PGP, que está en negrita, y elige la opción "Revocar Clave".

    Ahora se abrirá una nueva ventana dejándote saber que has tenido éxito. Haz clic en el botón “OK”.

    Al regresar a la ventana de administración de claves Enigmail notarás un cambio en tu clave PGP. Ahora aparece en gris y en cursiva.

    Revocando una clave PGP con un certificado de revocación

    Como hemos mencionado antes, puede que tengas una buena razón para desactivar la clave PGP antes de que caduque. Del mismo modo, otros pueden tener buenas razones para revocar una clave. En la sección anterior puedes haber notado que Enigmail genera e importa un certificado de revocación internamente cuando se usa el Administrador de claves Enigmail para revocar una clave.

    Es posible que amigos te envien certificados de revocación como un aviso de que quieren revocar su clave. Dado que ya tienes un certificado de revocación, usarás el que generaste anteriormente para revocar su propia clave.

    Comienza con el administrador de claves Enigmail y haz clic en el menú "Archivo" y selecciona "Importar claves desde archivo".

    Se abrirá una ventana para que puedas seleccionar el certificado de revocación. Haz clic en el archivo, y después en el botón "Abrir".

    Obtendrás un aviso de que el certificado se importó correctamente y que la clave ha sido revocada. Haz clic en el botón "OK".

    Cuando regreses a la ventana de administración de claves Enigmail notarás un cambio en tu clave PGP. Ahora aparece en gris y en cursiva.

    Ahora que posees todas las herramientas adecuadas, trata de enviar tu propio correo electrónico cifrado por PGP.

    Última actualización: 
    2018-06-01
  • Cómo Usar KeePassXC

    Cómo funciona KeePassXC

    KeePassXC trabaja con bases de datos de contraseñas, que son archivos que almacenan una lista de todas sus contraseñas. Estas bases de datos se cifran cuando se almacenan en el disco duro de su ordenador. Por lo tanto, si su computadora está apagada y alguien la roba, no podrán leer sus contraseñas. Las bases de datos de contraseñas pueden ser cifradas usando una contraseña maestra. Dado que su contraseña maestra protege todas sus demás contraseñas, debería hacerla tan fuerte como sea posible .

     

    .

    Usando una contraseña maestra

    Una contraseña maestra actúa como una llave; con el fin de abrir la base de datos de contraseñas, necesita la contraseña maestra correcta. Sin ella, nadie puede ver lo que hay dentro de la base de datos de contraseñas. Hay algunas cosas a tener en cuenta al utilizar una contraseña maestra para proteger su base de datos de contraseñas:

    • Esta contraseña descifrará todas sus contraseñas, ¡así que tiene que ser fuerte! Debería ser larga y difícil de adivinar. Cuanto más larga sea, menos tendrá que preocuparse por tener caracteres especiales o letras mayúsculas o números. Así que haga de su contraseña maestra una frase de contraseña. Una frase de contraseña es una cadena de muchas palabras que son fáciles de recordar para usted pero difíciles de adivinar para los demás.
    • Puede crear una contraseña maestra fuerte usando palabras regulares y aleatorias . Son más fáciles de recordar que combinaciones antinaturales de símbolos y letras mayúsculas. Consulte nuestra guía de contraseñas para obtener más información sobre la creación de una contraseña segura.

     

    Iniciándose con KeePassXC

    Instale KeePassXC y ejecútelo. Haga clic en el menú "Base de datos" y seleccione "Nueva base de datos". Se le pedirá que guarde su base de datos de contraseñas. Tenga en cuenta que puede mover el archivo de base de datos de contraseñas más tarde a donde quiera en su disco duro, o moverlo a otras computadoras; aún así, podrá abrirlo usando KeePassXC y la contraseña, o archivo de claves, que especificó antes.

    El uso de un archivo de claves además de su contraseña maestra puede hacer más difícil para alguien el descifrar su base de datos de contraseñas si roban una copia de ella. Puede usar cualquier archivo existente como archivo clave: una imagen de su gato, por ejemplo, podría servir como archivo clave. Sólo tendrá que asegurarse de que el archivo que elija nunca se modifique, porque si se cambia su contenido, ya no descifrará su base de datos de contraseñas. A veces, abrir un archivo en otro programa puede ser suficiente para modificarlo, así que no lo abra excepto para desbloquear KeePassXC. (Sin embargo, es seguro mover o renombrar el archivo de claves.) Por lo general, una contraseña maestra segura es suficiente por sí sola. Si decide usar un archivo de claves además de su contraseña maestra, asegúrese de almacenarlo separadamente de su base de datos de contraseñas.

    A continuación, aparecerá un cuadro de diálogo en el que se le pedirá que introduzca una contraseña maestra y/o el uso de un archivo de claves. Seleccione la(s) casilla(s) apropiada(s) según su elección.

    Si desea ver la contraseña que está escribiendo (en lugar de ocultarla con puntos), haga clic en el botón con el ojo de la derecha.

    Organizar contraseñas

    KeePassXC permite organizar las contraseñas en "Grupos", que son básicamente sólo carpetas. Puede crear, borrar o editar Grupos o Subgrupos yendo al menú "Grupos" en la barra de menú, o haciendo clic con el botón derecho del ratón en un Grupo en el panel izquierdo de la ventana de KeePassXC. Agrupar contraseñas no afecta ninguna de las funcionalidades de KeePassXC-es sólo una herramienta organizativa muy útil.

    Almacenamiento/generación/edición de contraseñas

    Para crear una nueva contraseña o guardar una contraseña que ya tiene, haga clic con el botón del ratón sobre el grupo en el que desea guardar la contraseña, haga clic derecho en el panel derecho, y seleccione "Añadir nueva entrada". (También puede seleccionar "Entries > Add New Entry" en la barra de menús.) Para el uso básico de contraseñas:

    • Por ejemplo, podría ser el nombre del sitio web o servicio al que corresponde la contraseña.
    • Introduzca el nombre de usuario asociado a la entrada de la contraseña en el campo "Nombre de usuario". (Si no hay nombre de usuario, deje este espacio en blanco.)
    • Introduzca su contraseña en el campo "Contraseña". Si está creando una nueva contraseña, haga clic en el icono de dados de la derecha. Es posible que desee hacer esto cuando se registre en un nuevo sitio web, o cuando reemplace contraseñas más antiguas y débiles por frases de contraseña nuevas, únicas y aleatorias. Después de hacer clic en el icono de los dados, aparecerá un cuadro de diálogo generador de contraseñas. Puede usarlo para generar una contraseña aleatoria. Hay varias opciones en este cuadro de diálogo, incluyendo qué tipos de caracteres incluir y que longitud tendrá la contraseña.
      • Tenga en cuenta que si genera una contraseña aleatoria, no tiene que recordar (¡ni siquiera saber!) cuál es esa contraseña. KeePassXC la almacena por usted, y en cualquier momento que la necesite podrá copiarla/pegarla en el programa apropiado. Este es el objetivo de un administrador de contraseñas: puede usar diferentes contraseñas largas y aleatorias para cada sitio web/servicio, sin siquiera saber cuáles son las contraseñas.
      • Por este motivo, debe crear la contraseña siempre que el servicio lo permita y usar tantos tipos diferentes de caracteres como sea posible.
      • Una vez que esté satisfecho con las opciones, haga clic en "Generar" en la parte inferior derecha para generar la contraseña y, a continuación, haga clic en "Aceptar". La contraseña aleatoria generada se introducirá automáticamente en los campos "Contraseña" y "Repetir". (Si no está generando una contraseña aleatoria, tendrá que volver a introducir la contraseña elegida en el campo "Repetir".)
    • Haga clic en OK. Su contraseña se almacenará en su base de datos de contraseñas. Para asegurarse de que los cambios se guardan, guarde la base de datos de contraseñas editada yendo a "Archivo > Guardar base de datos".

    Si necesita cambiar/editar la contraseña almacenada, sólo tiene que elegir su Grupo y luego hacer doble clic en su título en el panel derecho, y el diálogo de "Nueva Entrada" aparecerá de nuevo.

    Uso normal

    Para usar una entrada en la base de datos de contraseñas, haga clic con el botón derecho del ratón en la entrada y seleccione "Copiar nombre de usuario en el portapapeles" o "Copiar contraseña en el portapapeles". Vaya a la ventana/página web en la que desea introducir su nombre de usuario/contraseña y péguela en el campo correspondiente. (En lugar de hacer clic con el botón derecho en la entrada, también puede hacer doble clic en el nombre de usuario o contraseña de la entrada que desee y el nombre de usuario o contraseña se copiará automáticamente en el portapapeles.)

    Otras características

    KeePassXC permite:

    • Buscar en su base de datos usando la caja de búsqueda (la caja de texto en la barra de herramientas de la ventana principal de KeePassXC).
    • ordenar sus entradas haciendo clic en el encabezado de la columna en la ventana principal.
    • "Bloquear" KeePassXC seleccionando "Herramientas"; Bloquear bases de datos. Esto le permite dejar KeePassXC abierto, pero hacer que solicite su contraseña maestra (y/o archivo de claves) antes de poder acceder de nuevo a su base de datos de contraseñas. También puede hacer que KeePassXC se bloquee automáticamente después de un cierto período de inactividad. Esto puede impedir que alguien acceda a sus contraseñas si se aleja de su equipo o lo pierde. Para habilitar esta función en macOS, seleccione "Preferencias > Configuración" del menú y haga clic en las opciones de seguridad. Luego marque la casilla que dice "Bloquear base de datos después de inactividad de[número] segundos". Para Linux o Windows, seleccione "Herramientas > Configuración" del menú y haga clic en las opciones de seguridad. A continuación, marque la casilla que dice "Bloquear la base de datos después de inactividad de[número] segundos".

    KeePassXC también puede almacenar algo más que nombres de usuario y contraseñas. Por ejemplo, puede crear entradas para almacenar cosas importantes como números de cuenta, claves de producto, información de viajero frecuente de aerolíneas o números de serie. No es necesario que los datos que introduzca en el campo "Contraseña" sean realmente una contraseña. Sólo tiene que introducir lo que desee almacenar en el campo "Contraseña" en lugar de una contraseña real (y dejar el campo "Nombre de usuario" en blanco si no hay nombre de usuario) y KeePassXC lo recordará por usted de forma segura.

    Cómo instalar la extensión del navegador

    Estas instrucciones provienen de https://keepassxc.org/docs/keepassxc-browser-migration/, consultado el 1 de mayo de 2018..

    Una extensión de navegador es un componente de software que añade características adicionales a su navegador web. El uso de la extensión del navegador KeePassXC proporciona una manera conveniente para que su navegador y su aplicación KeePassXC se comuniquen. Esto le permitirá guardar rápidamente o rellenar automáticamente las contraseñas en la web.

    A partir de la versión 2.3, KeePassXC ofrece un nuevo plugin de navegador llamado KeePassXC-Browser. Es compatible con Google Chrome, Chromium, Firefox y Vivaldi y está disponible en la Chrome Web Store y en el repositorio de complementos de Mozilla.

    El nuevo complemento reemplaza a los antiguos complementos de KeePassHTTP (KeePassHttp-Connector, chromeIPass, PassIFox, etc.) y el soporte para ellos será eliminado en futuras versiones de KeePassXC.

    Cómo conectar el KeePassXC-Browser con el KeePassXC

    Después de instalar KeePassXC-Browser y KeePassXC, primero debe iniciar KeePassXC y modificar algunos ajustes que no están habilitados por defecto.

    1. Habilitar la integración con el navegador

    Vaya a la configuración de KeePassXC y habilite el soporte para la integración de navegadores en Integración de navegadores / Habilitar la integración de navegadores KeePassXC. Sin esto, la extensión del navegador no puede comunicarse con KeePassXC:

    Si está habilitada, la antigua interfaz KeePassHTTP puede deshabilitarse desmarcando la casilla Legacy Browser Integration/Enable KeePassHTTP server. Se puede desinstalar cualquier complemento correspondiente instalado en el navegador (KeePassHttp-Connector, etc.).

    2. Habilitar compatibilidad con navegadores

    Para permitir que su navegador acceda a KeePassXC, debe indicarle dónde encontrar el archivo de programa KeePassXC. Afortunadamente, esto es algo que KeePassXC hace automáticamente por usted. Todo lo que tiene que hacer es marcar la casilla de verificación en Habilitar integración para estos navegadores para cualquier navegador con el que quieras usar KeePassXC.

    3. Conectarse a la base de datos

    Abra KeePassXC y desbloquee su base de datos (esto es importante, los siguientes pasos no funcionarán si su base de datos está bloqueada o KeePassXC no se está ejecutando).

    Cambie a su navegador y haga clic en el icono KeePassXC junto a la barra de direcciones. Aparecerá una ventana emergente indicando que no se ha configurado el navegador KeePassXC (si aparece un mensaje de error diferente, haga clic en Actualizar y espere unos segundos).

    Presione el botón Conectar. Aparecerá una ventana en la que se le pedirá que introduzca un nombre y que conceda acceso:

    Introduzca un nombre de su elección (idealmente uno que identifique su navegador) y haga clic en Guardar y permitir el acceso. Su navegador está ahora conectado a KeePassXC.

    Usar Autorrelleno puede ser malo para su privacidad. Para desactivarlo, desmarque las opciónes "Rellenar automáticamente la entrada de credenciales individuales" y "Activar autocompletar los campos de nombre de usuario".

    ¡Ya ha terminado! Ahora puede guardar las credenciales que introduzca en la Web. También podrá rellenar automáticamente sus nombres de usuario/contraseñas.

    KeePassXC es un software robusto y fácil de usar, y recomendamos explorar el programa para aprender todas las cosas útiles que puede hacer.

    Última actualización: 
    2018-04-30
Next:
JavaScript license information