Playlist
  • ¿Usas una Mac?

    Consejos y herramientas para ayudarte a proteger tus datos y comunicaciones digitales

    La siguiente lista de consejos y herramientas está diseñada para ayudarte a proteger tus comunicaciones en la red y prevenir que los entrometidos te espíen usando una Mac.

  • Evaluando tus riesgos

    Intentar proteger todos sus datos de todo el mundo, todo el tiempo, es poco práctico y agotador. ¡Pero no tengas miedo! La seguridad es un proceso, y a través de una planificación cuidadosa, puede evaluar lo apropiado para usted. La seguridad no se trata de las herramientas que usa o del software que descarga. Comienza con la comprensión de las amenazas únicas que enfrenta y cómo puede contrarrestar esas amenazas.

    En seguridad informática, una amenaza es un evento potencial capaz de socavar cualquier esfuerzo para defender sus datos. Puede contrarrestar las amenazas que afronta determinando lo que necesita proteger y de quien necesita protegerlo. Este proceso se llama "modelado de amenazas".

    Esta guía le enseñará cómo modelar la amenaza, o cómo evaluar los riesgos para su información digital y cómo determinar qué soluciones son las mejores para usted.

    ¿Cómo podría lucir este  modelo de amenazas? Digamos que usted quiere mantener su casa y sus posesiones seguras, aquí hay algunas preguntas que se podría hacer:

    ¿Qué tengo dentro de mi casa que valga la pena proteger?

    • Los activos incluirían: joyas, electrónica, documentos financieros, pasaportes o fotos

    ¿De quién lo quieres proteger?

    • Los adversarios podrían incluir: ladrones, compañeros de habitación o invitados

    ¿Cuán probable es que necesites protegerlo?

    • ¿Mi barrio tiene un historial de robos? ¿Qué tan confiables son mis compañeros de cuarto/invitados? ¿Cuáles son las capacidades de mis adversarios? ¿Cuáles son los riesgos que debo considerar?

    ¿Cuán destructivas pueden ser las consecuencias si fallas?

    • ¿Tengo algo en mi casa que no pueda reemplazar? ¿Tengo tiempo o dinero para reemplazar estas cosas? ¿Tengo un seguro que cubra el robo de bienes de mi casa?

    ¿Cuánto esfuerzo estás dispuesta a hacer para prevenirlas?

    •  ¿Estoy dispuesto a comprar una caja fuerte para documentos sensibles? ¿Puedo comprar una cerradura de alta calidad? ¿Tengo tiempo para abrir una caja de seguridad en mi banco local y guardar mis objetos de valor?

    Una vez que se ha hecho estas preguntas,  está en posición de poder evaluar qué medidas tomar. Si sus posesiones son valiosas, pero el riesgo de un robo es bajo, entonces usted puede no desear invertir demasiado dinero en una cerradura. Pero, si el riesgo es alto, usted querrá conseguir la mejor disponible en el mercado y considerar sumarle un sistema de seguridad.

    La construcción de un modelo de amenaza  ayuda a comprender las amenazas únicas a las que se enfrenta, sus activos, su adversario, sus capacidades y la probabilidad de riesgos a los que se enfrenta.

    ¿Qué es el modelado de amenazas y por dónde empiezo? Anchor link

    El modelado de amenazas le ayuda a identificar amenazas a las cosas que usted valora y determina de quién necesita protegerlas. Cuando construya un modelo de amenaza, responda a estas cinco preguntas:

    1. ¿Qué es lo que quieres proteger?
    2. ¿De quién lo quieres proteger?
    3. ¿Cuán probable es que necesites protegerlo?
    4. ¿Cuán destructivas pueden ser las consecuencias si fallas?
    5. ¿Cuánto esfuerzo estás dispuesta a hacer para prevenirlas?

    Miremos estas preguntas más de cerca

    ¿Qué quiero proteger?

    Un "activo o acción" es algo que valoras y quieres proteger. En el contexto de la seguridad digital, un activo suele ser algún tipo de información. Por ejemplo, sus correos electrónicos, listas de contactos, mensajes instantáneos, ubicación y archivos son todos los activos posibles. Sus dispositivos también pueden ser activos.

    Haga una lista de sus activos: datos que guarda, donde se guarda, quién tiene acceso a él y qué impide que otros accedan a él.

    ¿De quién quiero protegerlo?

    Para responder a esta pregunta, es importante identificar quién podría querer acceder a usted o a su información. Una persona o entidad que represente una amenaza para sus activos es un "adversario". Ejemplos de adversarios potenciales son su jefe, su ex pareja, su competencia empresarial, su gobierno o un hacker en una red pública.

    Haga una lista de sus adversarios, o de aquellos que puedan querer obtener sus bienes. Su lista puede incluir individuos, una agencia gubernamental, o corporaciones.

    Dependiendo de quiénes son sus adversarios, en algunas circunstancias, esta lista podría ser algo que desee destruir después de terminar de modelar la amenaza.

    ¿Qué tan malas son las consecuencias en caso de fallo?

    Hay muchas maneras en que un adversario puede amenazar su información. Por ejemplo, un adversario puede leer sus comunicaciones privadas a medida que pasan a través de la red o pueden eliminar o dañar sus datos.

    Los motivos de los adversarios difieren mucho, al igual que sus ataques. A un gobierno deseoso de evitar la difusión de un video demuestrando violencia policial puede bastarle simplemente con borrar o reducir la disponibilidad de ese video. En contraste, un oponente político puede desear tener acceso a contenido secreto y publicar ese contenido a sus espaldas.

    El modelado de amenazas implica entender cuán malas podrían ser las consecuencias si un adversario ataca con éxito uno de sus activos. Para determinarlo, debe considerar la capacidad de su adversario. Por ejemplo, su proveedor de telefonía móvil tiene acceso a todos sus registros telefónicos y por lo tanto tiene la capacidad de utilizar esos datos en su contra. Un hacker en una red Wi-Fi abierta puede acceder a sus comunicaciones sin cifrar. Su gobierno podría tener capacidades más fuertes.

    Anote lo que su adversario podría querer hacer con sus datos privados.

    ¿Qué tan probable es que necesite protegerlo?

    El riesgo es la probabilidad de que ocurra una amenaza particular contra un activo particular. Va de la mano con la capacidad. Aunque su proveedor de telefonía móvil tiene la capacidad de acceder a todos sus datos, el riesgo de que publiquen sus datos privados en línea para dañar su reputación es bajo.

    Es importante distinguir entre amenazas y riesgos. Si bien una amenaza es algo malo que puede suceder, el riesgo es la probabilidad de que ocurra la amenaza. Por ejemplo, existe la amenaza de que su edificio se derrumbe, pero el riesgo de que esto suceda es mucho mayor en San Francisco (donde los terremotos son comunes) que en Estocolmo (donde no lo son).

    Realizar un análisis de riesgo es un proceso personal y subjetivo; no todo el mundo tiene las mismas prioridades o ve amenazas de la misma manera. Muchas personas encuentran ciertas amenazas inaceptables sin importar el riesgo, porque la mera presencia de la amenaza en cualquier probabilidad no vale la pena el costo. En otros casos, las personas no tienen en cuenta los riesgos elevados porque no ven la amenaza como un problema.

    Tome nota de las amenazas que va a tomar en serio, y de aquellas que puedan ser demasiado raras o inofensivas (o demasiado difíciles de combatir) para preocuparse.

    ¿Cuánto problemas estoy dispuesto a afrontar para prevenir posibles consecuencias?

    Responder a esta pregunta requiere llevar a cabo el análisis de riesgo. No todo el mundo tiene las mismas prioridades o ve las amenazas de la misma forma.

    Por ejemplo, un abogado que representa a un cliente en un caso de seguridad nacional probablemente estaría dispuesto a ir más lejos para proteger las comunicaciones sobre ese caso, como usar un correo electrónico cifrado, que una madre que regularmente envía correos electrónicos a su hija.

    Escriba las opciones que tiene disponibles para ayudar a mitigar sus amenazas únicas. Tenga en cuenta si tiene restricciones financieras, restricciones técnicas o restricciones sociales.

    El modelado de amenazas como práctica regular Anchor link

    Tenga en cuenta que su modelo de amenaza puede cambiar mientras cambia su situación. Por lo tanto, realizar evaluaciones frecuentes de modelos de amenazas es una buena práctica.

    Cree su propio modelo de amenaza basado en su propia y particular situación. A continuación, marque su calendario para una fecha en el futuro. Esto le pedirá que revise su modelo de amenaza y vuelva a comprobar si sigue siendo relevante en su caso.

    Última actualización: 
    2017-09-07
    This page was translated from English. The English version may be more up-to-date.
  • Comunicándote Con Otros

    Las redes de telecomunicación y el Internet han hecho la comunicación con otros mas fácil que nunca, sin embargo, han hecho la vigilancia mas prevalente en la historia de la humanidad. Sin tomar pasos extras para proteger tu privacidad, cada llamada telefónica, cada mensaje de texto, email, mensaje instantáneo, llamada de voz sobre IP (VoIP), video charla, y mensaje en la red social podrían ser vulnerables a la escucha secreta.

    Muchas veces la mejor manera de comunicarte con otros es en persona, sin involucrar computadoras o teléfonos. Sin embargo, ello no es siempre posible. Si necesitas proteger el contenido de tu comunicación, el otro medio preferido para comunicarte a través de una red es el uso del cifrado de punto-a-punto (“end-to-end encryption”)

    ¿Cómo Trabaja el Cifrado de Punto-a-Punto? Anchor link

    Cuando dos personas quieren comunicarse de manera segura (por ejemplo, Akiko y Boris) ambos necesitan generar una llave de cifrado. Antes que Akiko envíe un mensaje a Boris, ella cifra su mensaje con la llave de Boris; así solo Boris podrá descifrarlo. De esta forma, lo que Akiko hará es enviar el mensaje ya cifrado vía Internet. Si alguien está escuchando a escondidas a Akiko y Boris-- inclusive sí el atacante tiene acceso a los servicios que Akiko está usando para enviar sus mensajes (tales como su cuenta de email)--los atacantes sólo podrán ver la información cifrada y no podrán leer el mensaje. Cuando Boris reciba el mensaje, él debe de usar su llave de cifrado para descifrar el mensaje y hacerlo legible.

    El cifrado de punto-a-punto involucra algunos esfuerzos adicionales, pero éstos son la única manera para que el usuario puede verificar la seguridad de sus comunicaciones sin tener que confiar en la plataforma que ambos están usando. Algunos servicios como Skype dicen que ofrecen al público servicios de cifrado de punto-a-punto cuando en la realidad ellos no los ofrecen. Para que un cifrado de punto-a-punto sea seguro, los usuarios deben poder verificar que la llave cifrada, a la que ellos están enviando el mensaje cifrado, pertenece a la persona que ellos creen le pertenece. Si el software no lleva esa funcionalidad construida dentro de si mismo, entonces cualquier mensaje cifrado podría ser interceptado por el mismo proveedor de servicio, de hecho ellos estan obligados hacerlo, por ejemplo si el gobierno se lo requiere.

    Puedes leer el reporte de La Fundación de Libertad de Prensa (Freedom of the Press Foundation's whitepaper), Encryption Works para detalles e instrucciones de como usar cifrado de punto-a-punto para proteger mensajes instantáneos y email. Asegúrate de mirar también los siguientes módulos de SSD:

    Llamada de Voz Anchor link

    Cuando haces una llamada desde un teléfono fijo o desde un móvil, tu llamada no es cifrada de punto-a-punto. Si estás usando un teléfono móvil, tu llamada puede ser cifrada (de forma débil) entre tu equipo y las torres de telefonía celular. Sin embargo, como la comunicación está viajando a través de las redes telefónicas, las mismas se hacen vulnerables a interceptaciones por parte de la compañía telefónica, del mismo modo que es vulnerable frente a cualquiera otra rama del gobierno, organización, o institución que tenga poder sobre la compañía. La manera mas fácil de asegurarte que tienes el sistema de cifrado de punto-a-punto en una conversación de voz, es usando en su lugar, el sistema VoIP (Voz-sobre-el Protócolo de Internet).

    ¡Ten cuidado! Los proveedores mas populares de VoIP, tales como Skype y Google Hangouts, ofrecen transporte de cifrado que los atacantes que vigilan a escondidas no pueden oír, pero los mismos proveedores tienen la capacidad técnica de escuchar la conversación. Dependiendo de tu modelo de amenaza, esto podría ser o no un problema.

    Algunos de los servicios que ofrecen cifrado de punto-a-punto de llamadas VoIP incluyen:

    Para poder tener una conversación VoIP cifrada de punto-a-punto, ambos lados tienen que usar el mismo software o software compatible.

    Mensajes de Texto Anchor link

    Los mensajes de texto estándar no permiten el cifrado de punto a punto. Si quieres enviar mensajes cifrados desde tu teléfono, piensa en utilizar un programa de mensajería instantánea cifrada en vez de mensajes de texto.

    Algunos de estos servicios de mensajería cifrada de punto a punto utilizan su propio protocolo. Por eso, por ejemplo, los usuarios de Signal sobre Android e iOS pueden chatear con seguridad con otras personas que utilizan esos programas. ChatSecure es una aplicación para móviles que encripta conversaciones con OTR sobre cualquier red que utilice XMPP, lo que implica que puedes elegir entre una variedad de servicios de mensajería instantánea independientes.

    Mensajes Instantáneos Anchor link

    Los mensajes “Off-the-record", comúnmente llamado OTR, es un protócolo de cifrado de punto-a-punto para conversaciones de textos en tiempo real (al momento), el cual puedes usar sobre una variedad de servicios.

    Algunas de las plataformas que incorporan OTR con mensajes instantáneos incluyen:

    Email Anchor link

    La mayoría de los proveedores de email proporcionan una forma de acceso a tu email usando un navegador de web, tales como Firefox o Chrome. De estos proveedores, la mayoría apoyan los protócolos HTTPS, o transporte de cifrado en capa (“transport-layer encryption”). Puedes saber si tu proveedor de email soporta HTTPS si ingresas a tu Webmail y el URL (en la parte superior de tu navegador) comienza con las letras “HTTPS” en vez de “HTTP” (por ejemplo: https://mail.google.com).

    Si tu proveedor permite HTTPS, pero no lo hace por defecto, trata de reemplazar HTTP con HTTPS en la URL , y actualiza la página. Si quieres estar seguro que siempre estás usando HTTPS en los sitios donde HTTPS esté disponible, baja el HTTPS Everywhere, un “plug-in” para el navegador de Firefox o Chrome.

    Algunos proveedores de webmail que usan HTTPS de manera estándar incluyen:

    • Gmail
    • Riseup
    • Yahoo

    Algunos de los proveedores de webmail que le dan la opción de escoger el uso de HTTPS de manera estándar en sus ajustes. El servicio mas popular que todavía lo ofrece es Hotmail.

    ¿Qué hace el protócolo de transporte de cifrado en capa (“transport-layer encryption”)? y ¿por qué podrías necesitar éste? HTTPS, es también denominado SSL o TLS, éste cifra tu comunicación, y de esa manera no puede ser leída por otras personas en tu red. Estos pueden incluir otras personas usando el mismo Wi-Fi en un aeropuerto o en un café, las otras personas en tu oficina o escuela, el administrador en tu ISP, crackers malignos, gobiernos, e oficiales del órden público.

    Un atacante puede fácilmente interceptar y leer las comunicaciones que envias sobre tu navegador web, incluyendo las páginas web que visitas y el contenido de tus emails, entradas de blog, y mensajes si usas HTTP en vez de HTTPS.

    HTTPS es el nivel mas básico de cifrado para tu navegador que le podríamos recomendar a todo el mundo. Es tan básico como el ponerse el cinturón de seguridad cuando manejas.

    Pero hay algunas cosas que el HTTPS no hace. Cuando envías un email usando HTTPS, tu proveedor de email también recibe una copia descifrada de tu comunicación. El gobierno y las fuerzas del orden público podrían tener acceso a esta información con una orden judicial, o una citación. En los Estados Unidos, la mayoría de proveedores de email tienen una política de privacidad que dice que ellos te notificaran cuando reciban una solicitud del gobierno para recolectar tus datos, siempre y cuando ellos estén legalmente permitidos, pero estas políticas son estrictamente voluntarias, y en mucho de los casos, los proveedores están legalmente impedidos de informarles a los usuarios sobre la petición de información.

    Algunos proveedores de email, tales como Google, Yahoo, y Microsoft, publican un reporte de transparencia, detallando el número de solicitudes por parte del gobierno para obtener información de sus usuarios, que país hizo la solicitud, y cuántas veces la compañía ha obedecido a las solicitudes, entregándoles la información.

    Si tu modelo de amenaza incluye algún gobierno o fuerza de orden público o tienes otras razones de querer estar seguro que tu proveedor de servicios de email no entregará tu información a una tercera persona, quizás quieras considerar usar cifrado de punto-a-punto para tus comunicaciones de email.

    PGP (o Pretty Good Privacy/Privacidad Muy Buena) es el estandar de seguridad de punto-a-punto para tu email. Usado correctamente, éste ofrece una protección muy fuerte para sus comunicaciones. Para detalles e instrucciones de cómo instalar y usar PGP para cifrar tu email, vea esta sección:

    ¿Qué es lo que un Cifrado de Punto-a-Punto No Hace? Anchor link

    El cifrado de punto-a-punto solo protege el contenido de tu comunicación, no la veracidad de la misma. Este no protege tus metadata, la cual es otra cosa, incluyendo el asunto de tu email, o con quien te está comunicando y cuando.

    Los metadatos puede revelar información extremadamente sensible sobre tí inclusive cuando el contenido de tu comunicación se mantiene privada.

    Los metadatos de tus llamadas telefónicas pueden proporcionar información muy íntima y sensible. Por ejemplo:

    • Ellos pueden saber que llamaste a un servicio de sexo telefónico a las 2:24 am y habló por 18 minutos, pero no pueden saber que conversaste.
    • Ellos pueden saber que llamaste a una línea de prevención de suicidio desde el Puente Golden Gate, pero el tópico de la conversación se mantiene en secreto.
    • Ellos pueden saber que llamaste a un servicio de prueba para VIH, después a tu doctor, después a tu seguro de salud a la misma hora. Pero ellos no pueden saber que discutiste.
    • Ellos saben que recibiste una llamada desde la oficina local de la Asociación Nacional del Rifle (o su acrónimo en inglés NRA) mientras que ellos desarrollaban tu campaña sobre la legislatura de armas, y llamaste a tu senador y a tus representantes en el congreso inmediatamente después, pero el contenido de esas llamadas se mantienen privadas frente a la intrusión del gobierno.
    • Ellos saben que llamaste a un ginecólogo, hablaste por media hora, y luego llamaste a la oficina local de Planificación Familiar, pero nadie sabe que conversaste.

    Si estás llamando desde un celular, la información de tu localidad es metadatos. En el 2009, el político del Partido Verde en Alemania, Malte Spitz, demandó a la compañía Deutsche Telekom para forzarlos a que le entreguen los metadatos de tu teléfono por un período de seis meses, la cual hizo público en un periódico alemán. La visualización resultante demuestra en detalles la historia de los movimientos de Spitz.

    El proteger tus metadatos requiere que utilices otras herramientas, por ejemplo Tor, al mismo tiempo que utilizas el cifrado de punto-a-punto.

    Para un ejemplo de cómo Tor y HTTPS trabajan conjuntamente para proteger el contenido de tus comunicaciones y tus metadatos de una variedad de posibles atacantes, tal vez desee echar un vistazo a esta explicación.

    Última actualización: 
    2017-01-12
    Esta página fue traducida desde el inglés. La versión en lengua inglesa puede estar más actualizada.
  • Verificando las Llaves

    Cuando el cifrado se utiliza correctamente, tus comunicaciones o informaciones deberían ser leídas solamente por tí y la persona o personas con quien te estás comunicando. El cifrado de punto-a-punto (“end-to-end encryption”) protege tus datos frente a la vigiliancia realizada por un tercero, pero si no estás seguro de la identidad de la persona con la cual estás hablando, su utilidad es limitada. Es aquí donde la llave de verificación (“key verification”) entra en juego. Verificando las llaves públicas (public keys), tu y la persona con la cual te estás comunicando podrán agregar una capa adicional de protección a su conversación. La verificación de llaves permite confirmar la identidad de cada uno y así estar más seguro que te encuentras hablando con la persona correcta.

    La llave de la verificación es una característica común de los protocolos que usan cifrado de punto-a-punto, tales como PGP y OTR (por sus siglas en inglés). En Signal, se les llama "safety numbers." Para verificar las llaves sin el riesgo de interferencia, es recomendable que uses un método secundario de comunicación distinto al que usas para cifrar; este método es conocido como verificación fuera de banda (out-of-band verification). Por ejemplo, si estás verificando tus huellas OTR, podrías enviarle un correo electrónico con tus huellas a la otra parte. En ese caso, tu email podría ser tu canal secundario de comunicación.

    Verificando Las Llaves Fuera de Banda Anchor link

    Hay varias formas de hacerlo. Si esto se arregla de manera segura y te es conveniente, es ideal verificar las llaves cara a cara. Muchas veces esto se hace en las reuniones o eventos llamados “fiestas de firmas de llaves” (“key-signing parties”) o entre colegas.

    Si no te puedes reunir cara-a-cara, puedes contactar a tu corresponsal a través de un medio distinto de aquel para el cual estás tratando de verificar las llaves. Por ejemplo, si estás tratando de verificar las llaves PGP con alguien, podrías utilizar el teléfono o una conversación vía OTR para hacer lo mismo.

    No importa el programa que uses, siempre serás capaz de localizar tu llave y la llave de tu compañero en la comunicación.

    Aunque el método de localizar tu llave varía por programa, el método de verificar la llave se mantiene igual. Inclusive puedes leer sus huellas de llave en voz alta (si estás cara-a-cara o usando un teléfono) o puedes copiar y pegarlas dentro de un programa de comunicaciones, pero sea cual sea el método que uses, es imperativo que revises cada una de las letras y los números.

    Consejos: Trata de verificar las llaves con uno de tus amigas. Para aprender a verificar las llaves de un programa específico, visita la guía de ese programa.

     

    Última actualización: 
    2017-01-13
    Esta página fue traducida desde el inglés. La versión en lengua inglesa puede estar más actualizada.
  • Cómo Usar OTR Para Mac

    Adium es un recurso libre y abierto de mensajes instantáneos para el sistema OS X que te permite charlar/chatear con múltiples individuos a través de diversos protocolos de charla, incluyendo Google Hangouts, Yahoo! Messenger, Windows Live Messenger, AIM, ICQ, y XMPP.

    OTR (Off-the-record/Fuera del récord) es un protocolo que permite a las personas tener una conversación confidencial utilizando las herramientas de mensajes con los cuales ellos ya están familiarizados. Este no debe de ser confundido con el setting de “Off the record” en Google, el cual simplemente desactiva el fichero histórico de la charla, y no tiene cifrado o capacidad para verificaciones. Paro los usuarios de Mac, OTR viene ya construido dentro del Adium para sus clientes.

    OTR emplea el cifrado de punta-a-punta (end-to-end encryption). Esto quiere decir que tú puedes usarlo para tener conversaciones a través de los servicios como Google Hangouts sin que estas compañías nunca tengan acceso al contenido de la conversaciones. Sin embargo, el hecho de que usted está teniendo una conversación es visible para el proveedor.

    Por qué debo yo usar Adium + OTR? Anchor link

    Cuando tienes una conversación/chat usando Google Hangouts chat en los sitios web de Google, esa charla es cifrada usando HTTPS, la cual quiere decir que el contenido de tu charla está protegido contra los hackers y de otros personas de tercera vía mientras está transitando. Sin embargo, tu comunicación no está protegida de Google, empresas que tienen la clave de tus conversaciones y pueden entregarla a las autoridades o utilizarlos para fines de marketing.

    Después de que instales Adium, puedes usarlo con múltiples cuentas al mismo tiempo. Por ejemplo, puedes usar Google Hangouts y XMPP simultáneamente. Adium también te permite usar estas herramientas sin OTR. Ya que OTR solamente funciona si ambas personas la están usando, esto quiere decir que aunque la otra persona no lo tenga instalado, puedes charlar con ellos/ellas usando Adium.

    Adium también te permita hacer verificaciones fuera-de-banda (out-of-band verification) para estar seguro que estás hablando con la persona que piensas que está hablando, y no ha estado sujeto a un ataque de intermediario (MITM attack). Para cada conversación, hay una opción que te enseñará las huellas de llave (key fingerprints) que esta tiene para ti, y la persona con la cual estás charlando. Una "huella de llave/key fingerprint" es una cinta de caracteres semejantes a "342e 2309 bd20 0912 ff10 6c63 2192 1928,” que se usa para verificar una llave pública larga. Intercambia tus huellas a través de otros canales de comunicaciones, tales como Twitter DM o email, para estar seguro de que nadie este interfiriendo con tu comunicación. Si las claves no coinciden, no se puede estar seguro de que está hablando con la persona correcta. En la práctica, la gente suele usar varias claves, o perder y tienen que volver a crear nuevas claves, así que no se sorprenda si tiene que volver a revisar sus llaves con tus amigos de vez en cuando.

    Limitaciones: Cuándo no debo de usar Adium + OTR? Anchor link

    Los técnicos tienen un término para describir cuando un programa o tecnología puede ser vulnerable a ataques externos: ellos dicen que tiene una "gran superficie de ataque”. Pues bien, Adium tiene una gran superficie de ataque, ya que es un programa complejo que no ha sido escrito con la seguridad como una de las prioridades principales y es cierto que tiene vulnerabilidades (“bugs”), algunas las cuales podrían ser usadas por el gobierno e inclusive por grandes compañías para entrar en las computadoras que están usandandolo. Usar Adium para cifrar tu conversación es una gran defensa contra el tipo de ataque de vigilancia no intencionada que se usa para espiar las conversaciones de todo el mundo. Pero a nivel personal seria un blanco de ataque de un agresor bien-armado (como la de un estado),en ese caso debes de considerar precauciones mas fuertes, como el email cifrado-PGP (PGP-encrypted email).

    Instalando Adium + OTR en su Mac Anchor link

    Paso 1: Instale el programa

    Primero, ve a https://adium.im/ en su navegador. Da click en “Download Adium 1.5.9.” (“Descarga Adium 1.5.9”). La carpeta bajará como un .dmg, o disco imagen, y posiblemente se guardará en tu carpeta “downloads.”

    Dale doble click en la carpeta; esto abrirá una ventanilla semejante a esta:

    Mueva la imagen dentro de la carpeta “Applications” (“Aplicaciones”) para instalar el programa. Una vez el programa esté instalado, buscalo en tu carpeta de Aplicaciones y dale un doble click para abrirlo.

    Paso 2: Configura tu cuenta(s)

    Primero, necesitas decidir que herramienta de charlas o protocolos quieres usar con Adium. El establecimiento del proceso es similar, pero no idéntico para cada tipo de herramienta/programa. Tú debes de saber el nombre de cuenta para cada programa o protocolo, como también la clave para cada cuenta.

    Para establecer una cuenta, ve al menú de Adium en la parte superior de tu pantalla y haz click en “Adium” y después en “Preferences” (“Preferencias”). Esto abrirá otra ventana, con otro menú superior. Seleccione “Accounts” (“Cuentas”); entonces da un click al signo “+” en la parte inferior de la ventana. Verás un menú que se parece a éste:

    Seleccione el protocolo que desees. Desde aquí, te pedirá ingresar tu nombre de usuario y clave, o a usar una autorización de Adium para ingresar en tu cuenta. Sigue las instrucciones de Adium cuidadosamente.

    Cómo iniciar una charla OTR Anchor link

    Una vez registrado o ingresado en una o más de tus cuentas, puedes empezar a usar OTR.

    Recuerda: para tener una conversación usando OTR, ambas personas tienen que tener un programa de charla que soporten OTR.

    Paso 1: Iniciando una charla OTR

    Primero, identifique a alguien que esté usando OTR, e inicie una conversación con ellos en Adium dandole un doble-teclado en su nombre. Una vez tu hallas abierto la ventana de charla, verás una vpequeña, abierto candado en la esquina a mano superior-izquierda de la ventana de charla. Déle al teclado en el candado y seleccione “Initiate Encrypted OTR Chat.” (“Iniciar el chat cifrado-OTR”).

    Paso 2: Verifique su conexión

    Una vez hallas iniciado su charla y la otra persona halla aceptado la invitación, tú verás el símbolo del candado cerrado; así es como sabes que la conversación está ahora cifrada (Felicidades!) – Pero espera, hay otro paso!

    Ahora, tú has iniciado una charla cifrada inverificable (unverified). Esto significa que mientras tus comunicaciones están cifradas, tú no has determinado y verificado todavía la identidad de la persona con la que estás charlando, al menos que estés en el mismo salón y puedan ver la pantalla de cada uno. Es importante que verifiques la identidad de cada uno. Para mas información, lea el módulo sobre Verificación de las Llaves (Key Verification).

    Para verificar la identidad del otro usuario usando Adium, de nuevo déle un teclado/click en el símbolo del candado, y seleccione “Verificar” (“Verify”). Te mostrará una ventana con ambas llaves, la tuya y la del otro usuario. Algunas versiones de Adium solo soportan la verificación de huella manual (“manual fingerprint verification”). Esto quiere decir que, usando algunos métodos, tú y la persona con la cual estás charlando necesitan verificarlas para estar seguros que la llave que les están enseñado en Adium precisamente concuerdan.

    La manera mas fácil de hacer esto es que ambos la lean en voz alta de modo presencial, pero esto no es siempre posible. Hay diferentes maneras de lograrlo con varios grados de confianza. Por ejemplo, pueden leer sus llaves los unos a los otros por teléfono si reconocen sus voces o envíenlas usando otros métodos verificables de comunicación, tales como PGP. Algunas personas publican sus llaves en sus sitios web, sus cuentas de Twitter, o su tarjeta de presentación/visita.

    La cosa mas importante es que verifiques que cada letra y dígito concuerden perfectamente.

    Paso 3: Deshabilitar logging/registro

    Ahora que tú has iniciado una charla cifrada y has verificado la identidad de tu compañero(a), hay una cosa mas que tú necesitas hacer. Desafortunadamente, Adium registra tu charla cifrada-OTR por defecto (by default), guardando ésta en tu disco duro. Esto quiere decir, que a pesar del hecho de que la conversación está cifrada, también ha sido guardada en texto simple en tu disco duro.

    Para deshabilitar logging, teclee en “Adium” en el menú arriba de tu pantalla, entonces “Preferences” (“Preferencias”). En la nueva ventanilla, seleccione “General” y entonces deshabilite “Log messages” (“Registra mensajes”) y “Log OTR-secured chats.” (“Registra los chats seguros-OTR). Sin embargo, recuerde que usted no tiene control sobre la persona con la que está conversando, ella podría registrando o tomar capturas de pantalla de su conversación, incluso si usted tiene el registro de personas con discapacidad. Tus ajustes se verán así:

    Además, Centro de Notificaciones de OS X puede registrar el contenido de las notificaciones de nuevos mensajes que muestra Adium. Esto significa que a pesar de Adium no deja rastro de tus comunicaciones en tu Mac o la de tu interlocutor, puede ser que existan rastros de las conversaciones en el OS X de alguna de las dos computadoras. Para evitarlo, puedes desactivar las notificaciones.

    Para eso,  selecciona "Eventos" en la ventana de Preferencias, y busca las entradas que digan "Mostrar una notificación." Puedes ampliar cada entrada haciendo clic en el triángulo gris, y luego en la linea que dice "Mostrar una notificación", a continuación, clic en el icono de signo menos ("-") en la parte inferior izquierda para eliminar esa línea. Si estás preocupado acerca de los registros que quedan en el equipo, también debes activar el cifrado de disco completo, lo que ayudará a proteger estos datos sean obtenidos por una tercera parte sin su contraseña.

    Última actualización: 
    2017-01-19
    Esta página fue traducida desde el inglés. La versión en lengua inglesa puede estar más actualizada.
  • Cómo Usar PGP Para Mac OS X

    Para utilizar PGP para el intercambio de correos electrónicos seguros es necesario usar tres programas: GnuPG, Mozilla Thunderbird y Enigmail. GnuPG es el programa que realmente cifra y descifra el contenido de tu correo, Mozilla Thunderbird es un cliente de correo electrónico que permite leer y escribir mensajes de correo electrónico sin necesidad de utilizar un navegador, y Enigmail es un complemento para Mozilla Thunderbird que hace que todo funcione.

    Esta guía te enseñará como usar la PGP con un sistema operativo basado en Windows, usando Mozilla Thunderbird, un cliente de correo electrónico muy popular que se caracteriza por ser de código abierto. Normalmente, no puedes usar PGP directamente con un servicio de email web como Gmail, Hotmail, Yahoo! Mail, o Outlook Live. Pero puedes seguir usando tu dirección webmail; solo tienes que configurarla en Thunderbird.

    El uso de PGP no cifra por completo tu correo electrónico de modo que la información del remitente y el receptor esté cifrada. El cifrado de la información del remitente y el receptor estropearía el correo electrónico. Lo que obtienes usando Mozilla Thunderbird con Enigmail es una manera fácil de cifrar el contenido de tu correo electrónico.

    Primero, debes descargar todo el software necesario, instalar, y luego terminas con la configuración y usando el resultado.

    Pretty Good Privacy/Muy Buena Privacidad (PGP) es una herramienta pensada para proteger tus comunicaciones por email de ser leídas por alguien además de sus destinatarios. Esto te puede proteger contra compañías, gobiernos, o criminales espiando tus conexiones de Internet, y, en un menor grado, puede evita que tus emails sean leídos si la computadora donde los guardas es robada o intervenida.

    También permite probar que los correos han sido generados por una persona en particular, en vez de ser mensajes falsos de alguna otra persona (de hecho es muy fácil falsificar un email). En ambos casos es una defensa muy importante si eres o has sido blanco de vigilancia o desinformación.

    Para usar PGP, necesitas instalar algunos programas extras que trabajaran a la par de tu programa de email habitual. También necesitas crear una clave privada, que deberás mantener privada. La clave privada es la que usarás para descifrar los emails que te envían, y para firmar digitalmente los  que  envías para asegurar que realmente fueron enviados por ti. Finalmente, aprenderás como distribuir tu clave pública; una pequeña porción de información que otros necesitarán conocer antes de que ellos te puedan enviar mensajes/email cifrados, y que puede ser usada para certificar la autenticidad de los emails que envías.

    Obteniendo GnuPG Anchor link

    Puedes descargar GnuPG (también conocido como GPG) en Mac Os X descargando un pequeño instalador desde la página de descargas de GnuPG.

    Haz clic en el enlace de descarga al lado de "Instalador Simple para GnuPG Modern", y descargará el instalador GPG.

    Serás redirigido a la página de descarga en SourceForge

    Descargando Mozilla Thunderbird Anchor link

    Ve a la página de Mozilla Thunderbird.

    Haz clic en el botón verde con el texto "Descarga Gratuita". El sitio web de Mozilla Thunderbird detectará tu idioma preferido. Si deseas utilizar Thunderbird en otro idioma, haz clic en el enlace "Sistemas y Lenguajes" y haz tu selección ahí.

    Instalando GnuPG Anchor link

    Haz Clic en el ícono de descarga en el Dock y despues en el archivo GnuPG-2.11-002.dmg

    Una ventana se abrirá, indicando tu progreso.

    Una ventana se abrirá, mostrándo una vista del archivo de instalación y algunos otros archivos. Haz clic en el ícono Install.pkg

    A continuación una ventana se abrirá, comenzando la instalación guiada. Haz clic en el botón continuar.

    GnuPG está instalado como un paquete de sistema y necesita tu usuario y contraseña para instalarse. Ingresa tu contraseña y haz clic en Instalar Software.

    Verás una ventana que dice que la instalación fue exitosa, haz click en el botón cerrar.

    Instalando Mozilla Thunderbird Anchor link

    Haz Clic en el ícono de descarga en el Dock y despues en el archivo Thunderbird 45.2.0.dmg

    Una ventana se abrirá, indicando tu progreso.

    Una ventana se abrirá con el ícono de Thunderbird y un link a tu folder de aplicaciones. Arrastra Thunderbird a tu folder de aplicaciones.

    Una ventana se abrirá con una barra de progreso. Cuando llegue a su final, se cerrará.

    Asegurate de ejectar los archivos DMG montados.

    Preparación para la instalación de Enigmail Anchor link

    Cuando Mozilla Thunderbird se ejecute por primera vez, MacOs X te preguntará si estás seguro de abrirlo. Mozilla Thunderbird fue descargado de Mozilla.org y debería ser seguro, haz clic en el botón abrir.

    Mozilla Thunderbird se puede integrar con la libreta de direcciones de Mac OS X , esa elección está en tus manos.

    Cuando Mozilla se ejecuta por primera vez, verás una pequeña ventana de confirmación preguntando sobre algunos ajustes predeterminados. Se recomienda hacer clic en el botón "Establecer como predeterminado".

    Cuando Mozilla Thunderbird inicia por primera vez, te preguntará si deseas abrir una nueva dirección de correo electrónico. Haz clic en el botón "saltar esto y utilizar mi correo electrónico existentes". Ahora vas a configurar Mozilla Thunderbird para poder recibir y enviar correo electrónico. Si estás acostumbrado a solamente leer y enviar correo electrónico a través de gmail.com, outlook.com, o yahoo.com, Mozilla Thunderbird será una nueva experiencia, pero no es tan diferente en general.

    Añadiendo una cuenta de correo a Mozilla Thunderbird Anchor link

    Una nueva ventana se abrirá.

    Ingresa tu nombre, dirección de correo electrónico y la contraseña de tu cuenta de correo electrónico. Mozilla no tiene acceso a tu contraseña o tu cuenta de correo electrónico. Haz clic en el botón "Continuar".

    En muchos casos Mozilla Thunderbird detectará automáticamente los ajustes necesarios.

    En algunos casos Mozilla Thunderbird no tiene la información completa y deberás introducir algunos parametros de configuración por tu cuenta. Aquí, un ejemplo de las instrucciones que proporciona el propio Google para Gmail:

    • Incoming Mail (IMAP) Server - Requires SSL
      • imap.gmail.com
      • Port: 993
      • Requires SSL: Yes
    • Outgoing Mail (SMTP) Server - Requires TLS
      • smtp.gmail.com
      • Port: 465 or 587
      • Requires SSL: Yes
      • Requires authentication: Yes
      • Use same settings as incoming mail server
    • Nombre Completo o Nombre para mostrar: [tu nombre o seudónimo]
    • Nombre de la cuenta o nombre de usuario: tu dirección de Gmail completa (username@gmail.com). usuarios de Google Apps, ingresar username@your_domain.com
    • Dirección de correo electrónico: la dirección completa de Gmail (username@gmail.com) usuarios de Google Apps, por favor, usen username@your_domain.com
    • Contraseña: la contraseña de Gmail

    Si usas la autenticación de dos factores con Google (y dependiendo de tu modelo de amenaza ¡probablemente deberías!) no puede usar la contraseña estándar de Gmail con Thunderbird. En lugar de ello, será necesario crear una nueva contraseña exclusivamente para que Thunderbird acceda a tu cuenta de Gmail. Ver la Guía de Google para hacer esto.

    Cuando hayas introducido, correctamente, toda la información, haz clic en el botón "Done".

    Si usas la autenticación de dos factores con Google (y dependiendo de tu modelo de amenaza ¡probablemente deberías!) no puede usar la contraseña estándar de Gmail con Thunderbird. En lugar de ello, será necesario crear una nueva contraseña exclusivamente para que Thunderbird acceda a tu cuenta de Gmail. Ver la Guía de Google para hacer esto.

    Cuando hayas introducido, correctamente, toda la información, haz clic en el botón "Done".

    Mozilla Thunderbird comenzará a descargar copias de tu correo electrónico en tu computadora. Intenta enviar un mensaje de prueba a tus amigos.

    Instalando Enigmail Anchor link

    Enigmail se instala de una forma distinta a Mozilla Thunderbird y GnuPG. Como se ha mencionado antes, Enigmail es un complemento para Mozilla. Haz clic en el botón de "Menú", también llamado el botón hamburguesa y selecciona "Complementos".

    Esto te llevará a la pestaña de Administrador de complementos. Ingresa Enigmail en el campo de busqueda para buscar por Enigmail en el sitio de complementos de Mozilla.

    Enigmail será la primera opción. Haz clic en el botón instalar.

    Una vez instalado el complemento Enigmail Mozilla Thunderbird te pedirá reiniciar el navegador para activar Enigmail. Haga clic en el botón "Reiniciar ahora" y Mozilla Thunderbird se reiniciará.

    Cuando Mozilla Thunderbird se reinicie, se abrirá una ventana adicional que iniciará el proceso de configuración de Enigmail. Selecciona el botón "Iniciar configuración ahora" y haz clic en el botón "Siguiente".

    Creemos que la opción "configuración estándar" de Enigmail, es una buena opción. Haz clic en el botón "Siguiente".

    Ahora podrás comenzar a crear tu clave privada y la clave pública.

    Creando una clave pública y una clave privada Anchor link

    A menos que ya hayas configurado más de una cuenta de correo electrónico, Enigmail elegirá la cuenta de correo electrónico acabas de configurar. La primera cosa que que necesitas hacer es seleccionar una frase de contraseña segura para su clave privada.

    Haz clic en el botón "Siguiente".

    Tu clave expirará en un momento determinado; cuando esto suceda, la gente dejará de usarla para cifrar cualquier nuevo correo electrónico enviado a ti, sin embargo puede que no recibas advertencia o explicación acerca de por qué. Por lo tanto, es posible que desees marcar tu calendario y prestar atención a este problema un mes antes de la fecha de caducidad.

    Es posible extender la vida útil de una clave ya existente, asignadole una nueva y posterior, fecha de vencimiento o es posible sustituirla por una nueva clave mediante la creación de otra nueva desde cero. Ambos procesos pueden requerir contactar a las personas que te escriben y asegurarte de que reciban la clave actualizada; el software actual no es muy competente en la automatización de este proceso. Asi que establece un recordatorio a ti mismo; pero si no crees que serás capaz de lidiar con eso, podrías considerar configurar la clave para que esta nunca expire, aunque en ese caso, otras personas podrían tratar de usarla cuando se comuniquen contigo en un futuro lejano, incluso si tú no tienes más la clave o no usas PGP.

    Enigmail generará la clave y vez que esté lista, una pequeña ventana se abrirá pidiendote que generes un certificado de revocación. Es importante contar con este certificado de revocación, ya que te permiten invalidar las clave privada y pública. Es importante, tambien, señalar que la mera eliminación de la clave privada no invalida la clave pública y puede derivar en que otros te escriban correos que no puedan ser descifrados. Haz clic en el botón "Generar Certificado".

    Primero se te pedirá que proporciones la contraseña que usaste al crear la clave PGP. Haz clic en el botón "OK".

    Se abrirá una ventana para ofrecerte un lugar donde guardar el certificado de revocación. Si bien puedes guardar el archivo en el equipo, se recomienda guardarlo en una unidad USB que esté destinada exclusivamente para eso y nada más y almacenar esa unidad en un lugar seguro. También se recomienda eliminar el certificado de revocación del computador donde estén las claves, para evitar la revocación no intencional. Aún mejor, guarda este archivo en un disco encriptado. Elige el lugar donde vas a guardar el archivo y haz clic en el botón "Guardar".

    Ahora Enigmail te dará más información acerca de cómo guardar el archivo de revocación de certificados de nuevo. Haz clic en el botón "OK".

    Finalmente, haz terminado de generar las clave privada y pública. Haz clic en el botón "Finalizar".

    Pasos opcionales de configuración Anchor link

    Mostrando identificación de claves largas

    Los próximos pasos son completamente opcionales, pero pueden ser útiles cuando uses OpenPGP y Enigmail. Brevemente, la Key ID es es una pequeña parte de la huella, Cuando debemos comprobar que una clave pública pertenece a una persona en particular, la huella es la mejor manera. El cambiar la ventana por defecto hace más fácil leer las huellas del certificado que conoces. Click en el botón de configuración, entonces la opción Enigmail, Administración de claves.

    Una ventanilla se abrirá mostrando dos columnas: Name and Key ID/Nombre e Identificación de clave.

    Al extremo del lado derecho hay un pequeño botón. Click en ese botón para configurar las columnas. Cancela la opción en el botón Key ID y dale click a la opción de Fingerprint.

    Ahora habrá tres columnas: Nombre, validez de la clave, y la huella digital.

    Haciendo saber a otros que estás usando PGP Anchor link

    Dejándole saber a otros que estás usando PGP con un email

    Es posible que te envien claves públicas como adjuntos de correo. Haz clic en el botón "Importar clave".

    Una pequeña ventana se abrirá pidiéndote que confirmes la importación de una clave PGP. Haz clic en el botón "Sí".

    Una nueva ventana se abrirá con los resultados de la importación. Haz clic en el botón "OK".

    Si recargas el correo electrónico original verás que la barra sobre el correo electrónico ha cambiado.

    Si abres la ventana de gestión de claves Enigmail nuevo podrás comprobar el resultado. Tu clave PGP está en negrita porque tiene tanto la clave privada y la clave pública. La clave pública que acabas de importar no está en negrita, ya que no contiene la clave privada.

    Obteniendo una clave pública como un archivo

    Es posible obtener una clave pública descargándola de un sitio web o alguien podría haber enviado a través de programa de mensajería. En un caso como este, vamos a suponer que has descargado el archivo en la carpeta de descargas.

    Abre el administrador de claves de Enigmail y haz clic en el menú "Archivo". Seleccione "Importar claves desde archivo".

    Haz clic en el menú "Archivo". Seleccione "Importar claves desde archivo".

    Elige la clave pública, podría tener diferentes nombres de extención de archivos, como .asc, .pgp, o .gpg. Haz clic en el botón "Abrir".

    Una pequeña ventana se abrirá pidiéndote que confirmes la importación de una clave PGP. Haz clic en el botón "Sí".

    Una nueva ventana se abrirá con los resultados de la importación. Haz clic en el botón "OK".

    Obteniendo una clave Publica desde una URL

    Es posible conseguir una clave pública descargándola directamente desde una URL.

    Abrir el Administrador de claves de Enigmail y haz clic en el menú "Editar". Seleccione "Importar claves de la URL."

    Ingresa la URL. La URL puede tener varias formas. Frecuentemente puedes ser un nombre de dominio que termine en un archivo.

    Haz clic en el botón "OK".

    Una pequeña ventana se abrirá pidiéndole que confirme la importación de una clave PGP. Haz clic en el botón "Sí".

    Se abrirá una nueva ventana con los resultados de la importación: Haz clic en el botón OK

    Si nos fijamos en https://www.eff.org/about/staff te darás cuenta que hay un enlace "clave PGP" debajo de los fotos del staff. La clave PGP de Danny O'Brien está en: https://www.eff.org/files/pubkeydanny.txt.

    Obteniendo una clave pública desde un servidor de claves

    Los servidores de claves pueden ser una manera muy útil de obtener claves públicas, intenta buscando por una clave pública.

    Desde la interfaz de administración de claves haz click en el menú “Servidor de claves” y selecciona “buscar claves”

    Una pequeña ventana se abrirá con un campo de búsqueda. Puedes buscar una dirección completa de correo electrónico, una dirección de correo electrónico parcial, o un nombre. En ese caso, buscarás las claves que contienen "samir@samirnassar.com". Haz clic en el botón "OK".

    Una ventana más grande aparecerá con muchas opciones. Si te desplazas hacia abajo notarás algunas claves estarán en cursiva y en gris claro. Estas son las claves que han sido revocados o caducados por si mismas.

    Tenemos varias claves PGP para Samir Nassar y aún no sabemos cuál elegir. Una clave está en cursiva gris que significa que ha sido revocada. Debido a que no sabemos aún cuál queremos aún, importaremos todas. Seleccione las claves haciendo clic en el cuadro de la izquierda y pulsa el botón "OK".

    Una pequeña ventana de notificación aparecerá dejándote saber si has tenido éxito. Haz clic en el botón "OK".

    El Administrador de claves de Enigmail ahora mostrará las claves añadidas:

    Nota que de las tres claves importadas, una ha caducado, otra está revocada, y otra más es una clave válida actualmente.

    Haciendo saber a otros que estás usando PGP Anchor link

    Ahora que tienes PGP, deseas que los demás sepan que lo estás utilizando, asi podrán enviarte mensajes encriptados con PGP.

    El uso de PGP no cifra totalmente su email de modo que el emisor y receptor estén cifrados. Cifrar la información del remitente y el receptor rompería el correo electrónico. El uso de Thunderbird con Enigmail proporciona una manera fácil de cifrar y descifrar el contenido de tu correo electrónico.

    Veamos tres formas distintas en que puedas hacer saber a la gente que estás usando PGP.

    Haz saber estás utilizando PGP con un correo electrónico Anchor link

    Puedes enviar fácilmente tu clave pública a otras personas enviándoles una copia como un archivo adjunto.

    Haz clic en el botón "Escribir" en Mozilla Thunderbird.

    Escribe una dirección y un asunto, tal vez algo como mi "mi clave pública", haz clic en el botón "Adjuntar mi clave pública". Si ya has importado una clave PGP para la persona a la que estás enviando la clave PGP, aparecerá resaltado el icono de candado en la barra de Enigmail. Como opción adicional, también puedes hacer clic en el icono de lápiz para firmar el correo electrónico, dando a los destinatarios una forma de verificar la autenticidad del correo electrónico más tarde.

    Se abrirá una ventana preguntando si olvidaste agregar un archivo adjunto. Esto es un error en la interacción entre Enigmail y Mozilla Thunderbird, pero no te preocupes, igual se adjuntará la clave pública. Haz clic en el botón "No, Enviar ahora". Mira a continuación por una prueba.

    Haz que la gente sepa que usas PGP en tu sitio Web

    Además de comunicarlo por correo electrónico, puedes publicar tu clave pública en tu sitio web. La forma más fácil es cargar el archivo y hacer un enlace a él. En esta guía no entrará en como hacer esas cosas, pero debes saber cómo exportar la clave en un archivo para tu uso en el futuro.

    Haz clic en el botón de configuración, a continuación, la opción Enigmail, luego de administración de claves.

    Selecciona la clave en negrita, después, oprime el botón derecho del ratón para que aparezca el menú y selecciona Exportar claves al archivo.

    Anchor link

    Una pequeña ventana, con tres botones, se abrirá. Haz clic en el botón “Exportar claves públicas solamente”.

    Ahora se abrirá una ventana para que puedas grabar el archivo, Para que sea más fácil de encontrar en el futuro, puedes grabar el archivo en la carpeta Documentos. Ahora puedes usar este archivo como desees.

    Asegúrate de no oprimir el botón "Exportar claves secretas" la exportación de la clave secreta permitiría a otros a hacerse pasar por ti si son capaces de adivinar la contraseña.

    Subiendo a un servidor de claves

    Los servidores de claves facilitan la búsqueda y descarga de las claves públicas de otros. La mayoría de los servidores de claves modernos se sincronizan entre ellos, lo que significa que una clave pública subida a un servidor con el tiempo estará en todos los demás.

    Aunque subir tu clave pública a un servidor de claves es una manera conveniente de comunicar a todos que tienes un certificado de PGP público, debes saber que, debido a la naturaleza de cómo los servidores de claves funcionan no hay manera de eliminar las claves públicas, una vez cargadas.

    Antes de subir tu clave pública a un servidor de claves, es bueno tomar un momento para considerar si deseas que todo el mundo sepa que tienes un certificado público sin la posibilidad de eliminar esta información en un momento posterior.

    Si eliges enviar tu clave pública al servidor de claves, volverás a la ventana de administración de claves Enigmail.

    Haz clic derecho en la clave PGP y elige la opción "Subir al servidor de claves de claves públicas".

    Enviando correspondencia PGP cifrada Anchor link

    Ahora enviarás tu primer correo electrónico cifrado a un destinatario.

    En la ventana principal de Mozilla Thunderbird haz clic en el botón “Escribir”. Se abrirá una nueva ventana.

    Escribe tu mensaje, e ingresa un destinatario. Para este ensayo, selecciona un destinatario cuya clave pública ya poseas. Enigmail lo detectará y cifrará el correo electrónico de forma automática.

    La línea de asunto no se cifrará, así que elige algo inofensivo, como "hola".

    El cuerpo del mensaje ha sido cifrado y transformado. Por ejemplo, el texto anterior se transformará en algo como esto:

    Recibiendo correos PGP cifrado Anchor link

    Repasemos lo que sucede cuando se recibe correo electrónico cifrado.

    Ten en cuenta que Mozilla Thunderbird está avisando que tienes correo nuevo. Haz clic en el mensaje.

    Se abrirá una pequeña ventana pidiéndote la contraseña para la clave PGP. Recuerda: No introduzcas tu contraseña de correo electrónico. Haz clic en el botón "OK"

    Ahora podrás ver el mensaje descifrado.

    Revocando una clave PGP Anchor link

    Revocando tu clave PGP a través de la interfaz de Enigmail

    Las claves PGP generadas por Enigmail expiran automáticamente después de cinco años. Asi, si pierdes todos tus archivos, tienes la esperanza de que la gente que conoces te pedirá otra clave, una vez que esa clave halla expirado.

    Puede ser que tengas una buena razón para desactivar tu clave PGP antes de que caduque. Quizás quieras generar una nueva, y más fuerte, clave PGP. La forma más fácil de revocar tu clave PGP en Enigmail es a través del Administrador de claves.

    Haz clic derecho sobre la clave PGP, que está en negrita, y elige la opción "Revocar Clave".

    Haz clic derecho en la clave PGP, que está en negrita, y elige la opción "Revocar Clave".

    Ahora se abrirá una nueva ventana dejándote saber que has tenido éxito. Haz clic en el botón “OK”.

    Al regresar a la ventana de administración de claves Enigmail notarás un cambio en tu clave PGP. Ahora aparece en gris y en cursiva.

    Revocando una clave PGP con un certificado de revocación

    Como hemos mencionado antes, puede que tengas una buena razón para desactivar la clave PGP antes de que caduque. Del mismo modo, otros pueden tener buenas razones para revocar una clave. En la sección anterior puedes haber notado que Enigmail genera e importa un certificado de revocación internamente cuando se usa el Administrador de claves Enigmail para revocar una clave.

    Es posible que amigos te envien certificados de revocación como un aviso de que quieren revocar su clave. Dado que ya tienes un certificado de revocación, usarás el que generaste anteriormente para revocar su propia clave.

    Comienza con el administrador de claves Enigmail y haz clic en el menú "Archivo" y selecciona "Importar claves desde archivo".

    Se abrirá una ventana para que puedas seleccionar el certificado de revocación. Haz clic en el archivo, y después en el botón "Abrir".

    Obtendrás un aviso de que el certificado se importó correctamente y que la clave ha sido revocada. Haz clic en el botón "OK".

    Cuando regreses a la ventana de administración de claves Enigmail notarás un cambio en tu clave PGP. Ahora aparece en gris y en cursiva.

    Ahora que posees todas las herramientas adecuadas, trata de enviar tu propio correo electrónico cifrado por PGP.

    Última actualización: 
    2016-08-12
    Esta página fue traducida desde el inglés. La versión en lengua inglesa puede estar más actualizada.
  • Cómo Usar KeePassX

    KeePassX es una cartera segura para contraseñas; un programa que se puede utilizar para almacenar todas sus contraseñas necesarias para acceder a diversos sitios web y servicios. Estas carteras seguras para contraseñas son convenientes y le permiten organizar todas sus contraseñas en un solo lugar. Una cartera segura es una gran herramienta, ya que permite utilizar diferentes contraseñas difíciles de adivinar para todos sus servicios, sin necesidad de recordarlos. En su lugar, sólo tiene que recordar una contraseña maestra que le permite descifrar una base de datos de todas sus contraseñas.

    Cabe señalar que su uso crea un solo punto de fallo y establece un objetivo obvio para los malos actores o adversarios. Las investigaciónes han sugerido que muchas carteras seguras de uso común tienen vulnerabilidades, así que tenga cuidado al determinar si es o no es la herramienta adecuada para usted.

    Como funciona KeePassX Anchor link

    KeePassX trabaja con archivos llamados bases de datos de contraseñas, que son exactamente lo que parecen; archivos que organizan y almacenan todas sus contraseñas. Estas bases de datos se cifran cuando están almacenados en el disco duro de tu computadora, por lo que si está apagada y alguien lo roba no será capaz de leer sus contraseñas.

    Las bases de datos de contraseñas se pueden cifrar a través de tres métodos: el uso de una contraseña maestra, utilizando un archivo de claves, o ambos. Echemos un vistazo a los pros y los contras de cada uno.

    Usando una contraseña maestra Anchor link

    Una contraseña maestra actúa como una llave; con el fin de abrir la base de datos de contraseñas, necesitas la contraseña maestra correcta. Sin ella, nadie puede ver lo que hay dentro de la base de datos de contraseñas. Hay algunas cosas a tener en cuenta al utilizar una contraseña maestra para proteger su base de datos de contraseñas.

    • Esta contraseña descifrará todas tus contraseñas, ¡así que debe ser fuerte! Esto significa que no debe resultar fácil, para nadie, adivinarla, y también debe ser larga - ¡mientras más larga es mejor! - ten en cuenta que a mayor complejidad, tendrás menos necesidad de preocuparte de incluir caracteres especiales o mayúsculas o números. Una contraseña que sólo se compone de seis palabras al azar (en minúsculas, con espacios entre medio) puede ser más difícil de romper que una contraseña de 12 caracteres compuesta de letras mayúsculas y minúsculas, números y símbolos.
    • ¡Necesitas ser capaz de recordar esta contraseña! Dado que esta te permitirá el acceso a todas tus otras contraseñas, debes ser capaz de poder recordarla sin necesidad de escribirla. Esta es otra razón para usar algo como Diceware; usted puede utilizar palabras regulares que son fáciles de recordar, en lugar de tratar de recordar combinaciones no naturales de símbolos y letras mayúsculas.

    Usando un archivo de claves Anchor link

    Alternativamente, puedes utilizar un archivo de claves para cifrar la base de datos de contraseñas. Un archivo de claves actúa de la misma manera que una contraseña; cada vez que desees descifrar tu base de datos de contraseña tendrás que proporcionar el archivo de claves a KeePassX. Un archivo de claves debe ser almacenado en una unidad USB o algunos otros medios portátiles, y sólo debe insertarse en tu computadora cuando desees abrir la base de datos de contraseñas. El beneficio de esto es que incluso si alguien tiene acceso al disco duro de tu computadora (y por lo tanto la base de datos de contraseñas) aun no será capaz de descifrarlo sin el archivo de claves almacenada en el medio externo. (Además, un archivo de claves puede ser mucho más difícil, para un adversario, de adivinar que una contraseña normal.) Lo malo es que cada vez que quieras acceder a tu base de datos de contraseñas, tendrás que tener ese soporte externo a mano (y si lo pierdes o se daña, entonces no serás capaz de abrir la base de datos de contraseñas).

    El uso de un archivo de claves en lugar de una contraseña es lo más parecido a tener una llave física real para abrir la contraseña de base de datos, todo lo que necesitas hacer es insertar la unidad USB, seleccionar el archivo de claves, y ¡listo! Si tú eliges utilizar un archivo de claves en lugar de una contraseña maestra, sin embargo, asegúrate de que tu unidad USB esté almacenada en un lugar seguro; cualquier persona que la encuentre será capaz de abrir la base de datos de contraseñas.

    Usando ambos Anchor link

    El método más seguro para el cifrado de la base de datos de contraseña es utilizar tanto una contraseña principal y un archivo de claves. De esta manera, tu capacidad para descifrar la base de datos contraseña depende de lo que tu sabes (la contraseña maestra) y lo que tienes (el archivo de claves) - y cualquier entidad malintencionada que quiera tener acceso a tus contraseñas necesitará ambas. (Dicho esto, ten en cuenta el modelo de amenazas para la mayoría de los usuarios domésticos que sólo quieren almacenar sus contraseñas, una contraseña maestra fuerte debería ser suficiente. Pero si estás preocupado acerca de la protección contra los agentes a nivel estatal con acceso a enormes recursos computacionales, entonces mientras más seguridad, mejor.)

    Ahora que entiendes cómo funciona KeePassX, ¡empecemos a usarlo!

    Comenzando con KeePassX Anchor link

    Una vez que hayas instalado KeePassX, inicia el programa y una vez abierto, selecciona "Nueva base de datos" en el menú Archivo. Un diálogo aparecerá pidiendo que introduzcas una contraseña maestra y / o utilizar un archivo de claves. Selecciona la casilla de verificación correspondiente (s) en función de tu elección. Ten en cuenta que si quieres ver la contraseña que estás escribiendo (en vez de oscurecerlo con puntos) puedes hacer clic en el botón con el "ojo" a la derecha. También ten en cuenta que puedes usar cualquier archivo existente como archivo de claves , una imagen de tu gato, por ejemplo, podría ser utilizado como un archivo de claves. Sólo tienes que asegurarte de que el archivo elegido nunca sea modificado, porque si su contenido cambia, entonces ya no funcionará para descifrar la base de datos de contraseñas. También ten en cuenta que a veces la apertura de un archivo en otro programa puede ser suficiente para modificarlo; la mejor práctica es no abrir el archivo, excepto para desbloquear KeePassX. (mover o cambiar el nombre del archivo de claves, sin embargo, es seguro .)

    Una vez que hayas inicializado con éxito tu base de datos de contraseñas, debes guardarla seleccionando "Guardar base de datos" en el menú Archivo. (Ten en cuenta que si quieres, puedes mover el archivo de base de datos de contraseña más adelante a donde quieras en tu disco duro, o moverlo a otra computadora, todavía serás capaz de abrirlo con KeePassX y la contraseña / archivo de claves especificada antes.)

    Organizando Contraseñas Anchor link

    KeePassX permite organizar las contraseñas en "Grupos", que funcionan - básicamente - como carpetas. Puedes crear, eliminar o editar los Grupos o Subgrupos en el menú "Grupos" en la barra de menú, o haciendo clic derecho en un grupo en el panel izquierdo de la ventana KeePassX. La agrupación de las contraseñas no afecta a ninguna de las funciones de KeePassX, es sólo una útil herramienta de organización.

    Almacenando / generando / editando contraseñas Anchor link

    Para crear una nueva contraseña o almacenar una contraseña que ya tienes, haz clic en el grupo donde deseas almacenar la contraseña y selecciona "Crear Nueva Entrada" (también puedes elegir la opción "Entradas> Añadir nueva entrada" desde el menú). Para una contraseña de uso básico, haz lo siguiente:

    • Introduce un título descriptivo que puedas utilizar para reconocer esta entrada de contraseña en el campo "Título".
    • Introduce el nombre de usuario asociado con esta entrada de contraseña en el campo "Nombre de usuario". (Éste puede estar en blanco si no hay ningún nombre de usuario.)
    • Introduce su contraseña en el campo "Contraseña". Si vas a crear una nueva contraseña (es decir, si estás dándote de alta en una nueva página web y deseas crear una nueva y singular, contraseña aleatoria) haz clic en el botón "Gen" a la derecha. Esto hará que aparezca un cuadro de diálogo generador de contraseñas que puedes usar para generar una contraseña aleatoria. Hay varias opciones en este cuadro de diálogo, incluyendo qué tipo de caracteres incluir y la longitud de la contraseña.
      • Ten en cuenta que si generas una contraseña aleatoria, ¡no es necesario que la recuerdes (¡o incluso conozcas la contraseña!) KeePassX la almacena por ti, y en cualquier momento que lo necesites podrás copiarla o pegarla en el programa apropiado. Este es el punto central de una contraseña segura, se pueden utilizar diferentes contraseñas aleatorias largas para cada sitio web/servicio, ¡sin siquiera saberlas de memoria!
      • Debido a esto, debes hacer que la contraseña sea tan larga como el servicio lo permita y utilizar tantos tipos diferentes de caracteres posible.
      • Una vez que estés satisfecho con las opciones, haz clic en "Generar" en la parte inferior derecha para generar la contraseña y, a continuación, haz clic en "OK." La contraseña aleatoria generada se introducirá automáticamente en los campos "Repetir" y "Contraseña" para usted. (Si no estás generando una contraseña aleatoria, entonces tendrás que introducir la contraseña elegida de nuevo en el campo "Repetición".)
    • Por último, da clic en Aceptar. Tu contraseña está ahora almacenada en la base de datos de contraseñas. Para asegurarse de que se han guardado los cambios, asegúrate de guardar la base de datos contraseña editada yendo a "Archivo> Guardar base de datos." (Por otra parte, si has cometido un error, puedes cerrar y volver a abrir el archivo de base de datos y todos los cambios se perderán.)

    Si alguna vez tienes que cambiar / editar la contraseña almacenada, puedes seleccionar el grupo donde está y después hacer doble clic en el título del panel de la derecha, y la "Nueva entrada" de diálogo aparecerá de nuevo.

    Uso Normal Anchor link

    Para utilizar una entrada en la base de datos de contraseñas, simplemente haz clic derecho en la entrada y selecciona "Copiar nombre de usuario al portapapeles" o "Copiar contraseña al portapapeles", y luego ir a la ventana / página web en la que deseas ingresar tu nombre de usuario / contraseña, y pegarlo en el campo apropiado. (En lugar de hacer clic derecho sobre la entrada, también puede hacer doble clic en el nombre de usuario o contraseña de la entrada que desea, y el nombre de usuario o contraseña se copiará automáticamente en el portapapeles.)

    Uso avanzado Anchor link

    Una de las características más útiles de KeePassX es que se puede escribir de forma automática en los nombres de usuario y contraseñas de otros programas cuando se pulsa una combinación especial de teclas en su teclado. Recuerda que aunque esta característica sólo está disponible en Linux, otras carteras seguras de contraseñas como KeePass (sobre el cual KeePassX fue basado) soportan esta característica en otros sistemas operativos, y funcionan de manera similar.

    Para activar esta función, haz lo siguiente.

    1. Elija tu Atajo global. Selecciona la opción "Configuración" en el menú "Extras", y luego la opción "Avanzadas" en el panel de la izquierda. Da clic dentro del campo "Global Auto-Type Shortcut", y después ingresa la combinación de teclas de acceso directo que desees utilizar. (Por ejemplo, pulsa y manten pulsado Ctrl, Alt y Shift, y después haz clic en "p." Puedes usar cualquier combinación de teclas que prefieras, pero asegurate de que no entren en conflicto con las teclas de acceso rápido de otras aplicaciones , así que trata de mantenerte alejado de cosas como Ctrl + X o Alt + F4.) Una vez que estés satisfecho, haz clic en "Aceptar".

    2. Configuración de entrada automática para una contraseña específica. Asegúrate de que tienes la ventana donde deseas introducir la contraseña abierta. Luego ve a KeePassX, busca la entrada para la que desee habilitar el ingreso automático, y da doble clic en el título de la entrada para abrir el cuadro de diálogo "Nueva entrada".

    3. Haz clic en el botón de "Herramientas" en la parte inferior izquierda, y selecciona "Auto-Type: Selecciona la ventana de destino." En el diálogo que aparece, expande el cuadro desplegable y selecciona el título de la ventana en la que deseas ingresar el nombre de usuario y contraseña. Haz clic en Aceptar y, a continuación, haz clic en Aceptar de nuevo.

    ¡Pruébalo! Ahora con el fin de ingresar automáticamente tu nombre de usuario y contraseña, ve a la ventana o página web en la que desea que KeePassX ingrese automáticamente el nombre de usuario o contraseña para ti. Asegúrate de que el cursor estén en el cuadro de texto para el nombre de usuario, y luego pulsa la combinación de teclas que eligió anteriormente como Atajo Global. Mientras KeePassX está abierto (incluso si está minimizado o no focalizado) tu nombre de usuario y contraseña se deben introducir de forma automática.

    Tenga en cuenta que dependiendo de cómo el sitio web / ventana está configurado, esta función puede no funcionar correctamente al 100% de buenas a primeras. (Puedes introducir el nombre de usuario pero no la contraseña, por ejemplo). Tú puedes solucionar y personalizar esta función, sin embargo, para obtener más información recomendamos que consultes la documentación KeePass aquí. (Aunque hay algunas diferencias entre KeePass y KeePassX, esa página debe ser suficiente para orientarte en la dirección correcta.)

    Se recomienda utilizar una combinación de teclas difícil de reproducir accidentalmente. No deseas ingresar accidentalmente la contraseña de la cuenta bancaria en un mensaje de Facebook!

    Otras características Anchor link

    Tú puedes buscar en tu base de datos escribiendo algo en el cuadro de búsqueda (el cuadro de texto en la barra de herramientas de la ventana principal KeePassX) y oprimir la tecla Enter. Puedes también ordenar las entradas haciendo clic en el encabezado de la columna en la ventana principal.

    También puedes "bloquear" KeePassX seleccionando "Archivo> Bloquear espacio de trabajo", por lo que dejarás KeePassX abierto, pero te pedirán la contraseña maestra (y/o archivo de claves) para poder acceder a lu base de datos de contraseñas. También puedes hacer que KeePassX se bloquee automáticamente después de un cierto periodo de inactividad. Esto puedes evitar que alguien acceda a tus contraseñas, si te alejas de tu computadora. Para activar esta función, seleccione "Herramientas> Configuración" en el menú y haz clic en las opciones de seguridad. Luego marca la casilla que dice "Bloquear la base de datos después de la inactividad de {número} segundos."

    KeePassX también puede almacenar más que los nombres de usuario y contraseñas. Por ejemplo, puedes crear entradas para guardar cosas importantes como números de cuenta o claves de producto o números de serie, o cualquier otra cosa. No es obligatorio que los datos que pongas en el campo "Contraseña" sean una contraseña en realidad, pueden ser lo que quieras, solo ingresa lo que desees almacenar en el campo "Contraseña" en lugar de una contraseña real (y deja el campo "Nombre de usuario" en blanco si no hay nombre de usuario) y KeePassX lo recordará para ti de manera segura.

    KeePassX es un software fácil de usar y robusto, y se recomienda explorar el programa para aprender todas las cosas útiles que puede hacer.

    Última actualización: 
    2015-11-23
    Esta página fue traducida desde el inglés. La versión en lengua inglesa puede estar más actualizada.
JavaScript license information