Surveillance
Self-Defense

¿Usas una Mac?

  • ¿Usas una Mac?

    Consejos y herramientas para ayudarte a proteger tus datos y comunicaciones digitales

    La siguiente lista de consejos y herramientas está diseñada para ayudarte a proteger tus comunicaciones en la red y prevenir que los entrometidos te espíen usando una Mac.

  • Evaluando tus riesgos

    Intentar proteger todos sus datos de todo el mundo, todo el tiempo, es poco práctico y agotador. ¡Pero no tema! La seguridad es un proceso, y a través de una planificación cuidadosa, puede evaluar lo apropiado para usted. La seguridad no se trata de las herramientas que usa o del software que descarga. Comienza con la comprensión de las amenazas únicas que enfrenta y cómo puede contrarrestar esas amenazas.

    En seguridad informática, una amenaza es un evento potencial capaz de socavar cualquier esfuerzo para defender sus datos. Puede contrarrestar las amenazas que afronta determinando lo que necesita proteger y de quien necesita protegerlo. Este proceso se llama "modelado de amenazas".

    Esta guía le enseñará cómo modelar la amenaza, o cómo evaluar los riesgos para su información digital y cómo determinar qué soluciones son las mejores para usted.

    ¿Cómo podría lucir este  modelo de amenazas? Digamos que usted quiere mantener su casa y sus posesiones seguras, aquí hay algunas preguntas que se podría hacer:

    ¿Qué tengo dentro de mi casa que valga la pena proteger?

    • Los activos incluirían: joyas, electrónica, documentos financieros, pasaportes o fotos

    ¿De quién lo quieres proteger?

    • Los adversarios podrían incluir: ladrones, con quienes compartes la habitación o invitados

    ¿Cuán probable es que necesites protegerlo?

    • ¿Mi barrio tiene un historial de robos? ¿Qué tan confiables son mis compañeros o compañeras de cuarto o la gente que invito? ¿Cuáles son las capacidades de mis adversarios? ¿Cuáles son los riesgos que debo considerar?

    ¿Cuán destructivas pueden ser las consecuencias en caso de fallar?

    • ¿Tengo algo en mi casa que no pueda reemplazar? ¿Tengo tiempo o dinero para reemplazar estas cosas? ¿Tengo un seguro que cubra el robo de bienes de mi casa?

    ¿Cuánto esfuerzo está dispuesto/a a hacer para prevenirlas?

    •  ¿Deseo comprar una caja fuerte para documentos sensibles? ¿Puedo comprar una cerradura de alta calidad? ¿Tengo tiempo para abrir una caja de seguridad en mi banco local y guardar mis objetos de valor?

    Una vez que se ha hecho estas preguntas  está en posición de poder evaluar qué medidas tomar. Si sus posesiones son valiosas, pero el riesgo de un robo es bajo, entonces usted puede no desear invertir demasiado dinero en una cerradura. Pero, si el riesgo es alto, usted querrá conseguir la mejor disponible en el mercado y considerar sumarle un sistema de seguridad.

    La construcción de un modelo de amenaza  ayuda a comprender las amenazas únicas a las que se enfrenta, sus activos, sus adversarios, sus capacidades y la probabilidad de riesgos a los que se enfrenta.

    ¿Qué es el modelado de amenazas y por dónde comienzo?

    El modelado de amenazas le ayuda a identificar amenazas a las cosas que usted valora y determina respecto a quién necesita protegerlas. Cuando construya un modelo de amenaza, responda a estas cinco preguntas:

    1. ¿Qué es lo que quiere proteger?
    2. ¿De quién lo quiere proteger?
    3. ¿Cuán probable es que necesite protegerlo?
    4. ¿Cuán destructivas pueden ser las consecuencias si falla?
    5. ¿Cuánto esfuerzo está dispuesto/a a hacer para prevenirlas?

    Miremos estas preguntas más de cerca

    ¿Qué quiero proteger?

    Un "activo o acción" es algo que valora y quiere proteger. En el contexto de la seguridad digital, un activo suele ser algún tipo de información. Por ejemplo, sus correos electrónicos, listas de contactos, mensajes instantáneos, ubicación y archivos son todos los activos posibles. Sus dispositivos también pueden ser activos.

    Haga una lista de sus activos: datos que guarda, donde los guarda, quién tiene acceso a éllos y qué impide que otros accedan a éllos.

    ¿De quién quiero protegerlo?

    Para responder a esta pregunta, es importante identificar quién podría querer acceder a usted o a su información. Una persona o entidad que represente una amenaza para sus activos es un/una "adversario/a". Ejemplos de adversarios potenciales son su jefe, su ex pareja, su competencia empresarial, su gobierno o un o una hacker en una red pública.

    Haga una lista de sus adversarios, o de aquellos que puedan querer obtener sus bienes. Su lista puede incluir individuos, una agencia gubernamental, o corporaciones.

    Dependiendo de quiénes son sus adversarios, en algunas circunstancias, esta lista podría ser algo que desee destruir después de terminar de modelar la amenaza.

    ¿Qué tan malas son las consecuencias en caso de fallar?

    Hay muchas maneras en que un adversario puede amenazar su información. Por ejemplo, un adversario puede leer sus comunicaciones privadas a medida que pasan a través de la red o pueden eliminar o dañar sus datos.

    Los motivos de los o las adversarios difieren mucho, al igual que sus ataques. A un gobierno deseoso de evitar la difusión de un video demuestrando violencia policial puede bastarle simplemente con borrar o reducir la disponibilidad de ese video. En contraste, su oponente político puede desear tener acceso a contenido secreto y publicar ese contenido a sus espaldas.

    El modelado de amenazas implica entender cuán malas podrían ser las consecuencias si su adversario ataca con éxito uno de sus activos. Para determinarlo, debe considerar la capacidad de su adversario. Por ejemplo, su proveedor de telefonía móvil tiene acceso a todos sus registros telefónicos y por lo tanto tiene la capacidad de utilizar esos datos en su contra. Un o una hacker en una red Wi-Fi abierta puede acceder a sus comunicaciones sin cifrar. Su gobierno podría tener capacidades más fuertes.

    Anote lo que su adversario podría querer hacer con sus datos privados.

    ¿Qué tan probable es que necesite protegerlo?

    El riesgo es la probabilidad de que ocurra una amenaza particular contra un activo particular. Va de la mano con la capacidad. Aunque su proveedor de telefonía móvil tiene la capacidad de acceder a todos sus datos, el riesgo de que publiquen sus datos privados en línea para dañar su reputación es bajo.

    Es importante distinguir entre amenazas y riesgos. Si bien una amenaza es algo malo que puede suceder, el riesgo es la probabilidad de que ocurra la amenaza. Por ejemplo, existe la amenaza de que su edificio se derrumbe, pero el riesgo de que esto suceda es mucho mayor en San Francisco (donde los terremotos son comunes) que en Estocolmo (donde no lo son).

    Realizar un análisis de riesgo es un proceso personal y subjetivo; no todo el mundo tiene las mismas prioridades o ve amenazas de la misma manera. Muchas personas encuentran ciertas amenazas inaceptables sin importar el riesgo, porque la mera presencia de la amenaza en cualquier probabilidad no vale la pena el costo. En otros casos, las personas no tienen en cuenta los riesgos elevados porque no ven la amenaza como un problema.

    Tome nota de las amenazas que va a tomar en serio, y de aquellas que puedan ser demasiado raras o inofensivas (o demasiado difíciles de combatir) para preocuparse.

    ¿Cuánto problemas estoy dispuesto a afrontar para prevenir posibles consecuencias?

    Responder a esta pregunta requiere llevar a cabo el análisis de riesgo. No todo el mundo tiene las mismas prioridades o ve las amenazas de la misma forma.

    Por ejemplo, un abogado o abogada que representen a un cliente en un caso de seguridad nacional probablemente estarían dispuestos a ir más lejos para proteger las comunicaciones sobre ese caso, como usar un correo electrónico cifrado, que una madre que regularmente envía correos electrónicos a su hija.

    Escriba las opciones que tiene disponibles para ayudar a mitigar sus amenazas únicas. Tenga en cuenta si tiene restricciones financieras, restricciones técnicas o restricciones sociales.

    El modelado de amenazas como práctica regular

    Tenga en cuenta que su modelo de amenaza puede cambiar mientras cambia su situación. Por lo tanto, realizar evaluaciones frecuentes de modelos de amenazas es una buena práctica.

    Cree su propio modelo de amenaza basado en su propia y particular situación. A continuación, marque su calendario para una fecha en el futuro. Esto le pedirá que revise su modelo de amenaza y vuelva a comprobar si sigue siendo relevante en su caso.

    Última actualización: 
    10-01-2019
  • Comunicándote Con Otros

    Las redes de telecomunicaciones e Internet han facilitado más que nunca la comunicación con la gente, pero también han hecho que la vigilancia sea más frecuente. Sin tomar medidas adicionales para proteger su privacidad, cada llamada telefónica, mensaje de texto, correo electrónico, mensaje instantáneo, chat de audio y video, y mensaje de medios sociales podría ser vulnerable a las personas que escuchan a escondidas.

    A menudo, la forma más respetuosa con la privacidad de comunicarnos con los demás es en persona, sin la intervención de ordenadores o teléfonos. Debido a que esto no siempre es posible, lo mejor es usar cifrado de extremo a extremo.

    ¿Cómo funciona el cifrado de extremo a extremo?

    El cifrado de extremo a extremo garantiza que la información se convierta en un mensaje secreto por parte del remitente original (el primer " extremo "), y que sólo sea decodificado por su destinatario final (el segundo " extremo "). Esto significa que nadie puede "escuchar" y fisgonear en su actividad, incluyendo a posibles ladrones de información en redes públicas o Cafés Wifi, su proveedor de servicios de Internet, e incluso el sitio web o la aplicación que usted está usando por sí mismo. De manera algo contradictoria, el hecho de que acceda a los mensajes de una aplicación en su teléfono o a la información de un sitio web en su computadora no significa que la empresa de aplicaciones o la propia plataforma del sitio web puedan verla. Esta es una característica fundamental de un buen cifrado: incluso las personas que lo diseñan e implementan no pueden romperlo por sí mismas.

    Todas las herramientas que tienen guías en el sitio del proyecto SSD usan cifrado de extremo a extremo. Puede utilizar el cifrado de extremo a extremo para cualquier tipo de comunicación, incluidas las llamadas de voz y vídeo, la mensajería, el chat y el correo electrónico.

    (No debe confundirse con el cifrado de extremo a extremo con el cifrado de capa de transporte. Mientras que el cifrado de extremo a extremo protege los mensajes, por ejemplo, desde usted hasta su destinatario, el cifrado de la capa de transporte sólo los protege cuando viajan desde su dispositivo hasta los servidores de la aplicación y desde los servidores de la aplicación hasta el dispositivo de su destinatario. En el medio, su proveedor o el sitio web que está navegando, o la aplicación que está utilizando, pueden ver copias no cifradas de sus mensajes.)

    Bajo el capó, el cifrado de extremo a extremo funciona así: Cuando dos personas desean comunicarse mediante cifrado de extremo a extremo (por ejemplo, Akiko y Boris) deben generar cada una de ellas datos, denominados llaves. Estas llaves se pueden usar para convertir datos que cualquiera puede leer en datos que sólo pueden ser leídos por alguien que tiene una llave correspondiente. Antes de que Akiko envíe un mensaje a Boris, lo cifra en la clave de Boris para que sólo Boris pueda descifrarlo. Entonces ella envía este mensaje cifrado a través de Internet. Si alguien está escuchando a escondidas a Akiko y Boris -incluso si tienen acceso al servicio que Akiko está usando para enviar este mensaje (como su cuenta de correo electrónico)- sólo verán los datos cifrados y no podrán leer el mensaje. Cuando Boris lo recibe, debe usar su clave para descifrarlo en un mensaje legible.

    Algunos servicios, como Google Hangouts, anuncian "cifrado", pero utilizan claves creadas y controladas por Google, no por el remitente y el receptor final del mensaje. Esto no es un cifrado de extremo a extremo. Para que la conversación sea realmente segura, sólo los "extremos" de la conversación deben tener las llaves que les permitan cifrar y descifrar. Si el servicio que utiliza controla las llaves, se trata de un cifrado de capa de transporte.

    El cifrado de extremo a extremo significa que los usuarios deben mantener sus llaves en secreto. También puede significar trabajar para asegurarse de que las llaves usadas para cifrar y descifrar pertenecen a las personas adecuadas . El uso del cifrado de extremo a extremo puede implicar un cierto esfuerzo, desde simplemente elegir descargar una aplicación que lo ofrezca hasta verificar las claves de forma proactiva, pero es la mejor manera de que los usuarios verifiquen la seguridad de sus comunicaciones sin tener que confiar en la plataforma que ambos están utilizando.

    Más información sobre el cifrado en ¿Qué debo saber sobre el cifrado? , Conceptos clave de cifrado , y Diferentes tipos de cifrado . También explicamos un tipo particular de cifrado de extremo a extremo -llamado "cifrado de llave pública"- con más detalle en A Deep Dive on End-to-End Encryption

     

    Llamadas telefónicas y mensajes de texto frente a mensajería cifrada por Internet

    Cuando hace una llamada desde un teléfono fijo o móvil, la llamada no está cifrada de extremo a extremo. Cuando usted envía un mensaje de texto (también conocido como SMS) en un teléfono, el texto no está cifrado en absoluto. Ambos permiten a los gobiernos o a cualquier otra persona con poder sobre la compañía telefónica leer sus mensajes o grabar sus llamadas. Si su evaluación de riesgos incluye una intervención del gobierno, es posible que prefiera usar alternativas cifradas que funcionen a través de Internet. Además, muchas de estas alternativas cifradas también ofrecen vídeo.

    Algunos ejemplos de servicios o software que ofrecen texto cifrado de extremo a extremo y llamadas de voz y video incluyen:

    Algunos ejemplos de servicios que no ofrecen cifrado de extremo a extremo por defecto incluyen:

    • Google Hangouts
    • Kakao Talk
    • Line
    • Snapchat
    • WeChat
    • QQ
    • Yahoo Messenger

    Y algunos servicios, como Facebook Messenger y Telegram, sólo ofrecen cifrado de extremo a extremo si se activa explícitamente. Otros, como iMessage, sólo ofrecen cifrado de extremo a extremo cuando ambos usuarios utilizan un dispositivo en particular (en el caso de iMessage, ambos usuarios deben utilizar un iPhone).

    ¿Cuánto puede confiar en su servicio de mensajería?

    El cifrado de extremo a extremo puede defenderle contra la vigilancia por parte de los gobiernos, los hackers y el propio servicio de mensajería. Pero todos esos grupos podrían ser capaces de hacer cambios secretos en el software que usted usa, de modo que incluso si dice que usa cifrado de extremo a extremo, realmente está enviando sus datos sin cifrar o con un cifrado debilitado.

    Muchos grupos, entre ellos EFF, dedican tiempo para observar a proveedores conocidos (como WhatsApp, que es propiedad de Facebook, o Signal) para asegurarse de que realmente están proporcionando el cifrado de extremo a extremo que prometen. Pero si le preocupan estos riesgos, puede utilizar herramientas que utilizan técnicas de cifrado conocidas y revisadas públicamente y que están diseñadas para ser independientes de los sistemas de transporte que utilizan. OTR y PGP son dos ejemplos. Estos sistemas se basan en la experiencia del usuario para operar, a menudo son menos fáciles de usar y son protocolos más antiguos que no usan todas las mejores técnicas de cifrado modernas..

    Off-the-Record (OTR) es un protocolo de cifrado de extremo a extremo para conversaciones de texto en tiempo real que se puede usar además de una variedad de servicios de mensajería instantánea. Algunas de las herramientas que incorporan OTR incluyen:

    PGP (o Pretty Good Privacy) es el estándar para el cifrado de extremo a extremo del correo electrónico. Para obtener instrucciones detalladas sobre cómo instalar y utilizar el cifrado PGP para su correo electrónico, consulte:

    PGP para correo electrónico es el más adecuado para usuarios con experiencia técnica que se comunican con otros usuarios con experiencia técnica y que conocen bien las complejidades y limitaciones de PGP.

    Lo que no hace el cifrado de extremo a extremo

    El cifrado de extremo a extremo sólo protege el contenido de su comunicación, pero no el hecho de que usted se esté comunicando en primer lugar. No protege sus metadatos, que incluyen, por ejemplo, la línea de asunto de un correo electrónico, con quién se está comunicando y cuándo. Si está haciendo una llamada desde un teléfono móvil, la información sobre su ubicación también es metadatos.

    Los metadatos pueden proporcionar información extremadamente reveladora sobre usted, incluso cuando el contenido de su comunicación permanece en secreto.

    Los metadatos sobre sus llamadas telefónicas pueden revelar información muy íntima y delicada. Por ejemplo:

    • Saben que llamó a un proveedor de sexo telefónico a las 2:24 am y habló durante 18 minutos, pero no saben de qué hablaste.
    • Saben que llamó a la línea directa de prevención del suicidio desde el puente Golden Gate, pero el tema de la llamada sigue siendo un secreto.
    • Saben que usted habló con un servicio de pruebas de VIH, luego con su médico y luego con su compañía de seguro médico en la misma hora, pero no saben de qué se habló.
    • Saben que usted recibió una llamada de la oficina local de la NRA mientras estaba haciendo una campaña contra la legislación sobre armas de fuego, y luego llamó a sus senadores y representantes en el Congreso inmediatamente después, pero el contenido de esas llamadas sigue a salvo de la intrusión del gobierno.
    • Saben que llamó a un ginecólogo, habló durante media hora y luego llamó al número local de Planned Parenthood ese mismo día, pero nadie sabe de qué habló.

    Otras características importantes

    El cifrado de extremo a extremo es sólo una de las muchas características que pueden ser importantes para usted en comunicación segura . Como se ha descrito anteriormente, el cifrado de extremo a extremo es ideal para evitar que las empresas y los gobiernos accedan a sus mensajes. Pero para muchas personas, las empresas y los gobiernos no son la mayor amenaza y, por lo tanto, el cifrado de extremo a extremo puede no ser la mayor prioridad.

    Por ejemplo, si a alguien le preocupa que un cónyuge, padre o empleador con acceso físico a su dispositivo , la capacidad de enviar mensajes efímeros y "que desaparecen" podría ser un factor decisivo a la hora de elegir una aplicación de mensajería . Alguien más podría estar preocupado por dar su número de teléfono y, por lo tanto, la capacidad de usar un "alias" que no sea un número de teléfono podría ser importante.

    Hablando en términos más generales, las características de seguridad y privacidad no son las únicas variables que importan a la hora de elegir un método de comunicación seguro. Una aplicación con grandes características de seguridad no tiene valor si ninguno de sus amigos y contactos la usan, y las aplicaciones más populares y ampliamente usadas pueden variar significativamente según el país y la comunidad. La mala calidad del servicio o tener que pagar por una aplicación también pueden hacer que una aplicación de mensajería sea inadecuada para algunas personas.

    Mientras más claramente entienda lo que quiere y necesita de un método de comunicación seguro, más fácil será navegar por la riqueza de extensa, conflictiva y a veces anticuada información disponible.

    Última actualización: 
    07-12-2018
  • Verificando las Llaves

    Cuando el cifrado se utiliza correctamente, tus comunicaciones o informaciones deberían ser leídas solamente por tí y la persona o personas con quien te estás comunicando. El cifrado de punto-a-punto (“end-to-end encryption”) protege tus datos frente a la vigiliancia realizada por un tercero, pero si no estás seguro de la identidad de la persona con la cual estás hablando, su utilidad es limitada. Es aquí donde la llave de verificación (“key verification”) entra en juego. Verificando las llaves públicas (public keys), tu y la persona con la cual te estás comunicando podrán agregar una capa adicional de protección a su conversación. La verificación de llaves permite confirmar la identidad de cada uno y así estar más seguro que te encuentras hablando con la persona correcta.

    La llave de la verificación es una característica común de los protocolos que usan cifrado de punto-a-punto, tales como PGP y OTR (por sus siglas en inglés). En Signal, se les llama "safety numbers." Para verificar las llaves sin el riesgo de interferencia, es recomendable que uses un método secundario de comunicación distinto al que usas para cifrar; este método es conocido como verificación fuera de banda (out-of-band verification). Por ejemplo, si estás verificando tus huellas OTR, podrías enviarle un correo electrónico con tus huellas a la otra parte. En ese caso, tu email podría ser tu canal secundario de comunicación.

    Verificando Las Llaves Fuera de Banda

    Hay varias formas de hacerlo. Si esto se arregla de manera segura y te es conveniente, es ideal verificar las llaves cara a cara. Muchas veces esto se hace en las reuniones o eventos llamados “fiestas de firmas de llaves” (“key-signing parties”) o entre colegas.

    Si no te puedes reunir cara-a-cara, puedes contactar a tu corresponsal a través de un medio distinto de aquel para el cual estás tratando de verificar las llaves. Por ejemplo, si estás tratando de verificar las llaves PGP con alguien, podrías utilizar el teléfono o una conversación vía OTR para hacer lo mismo.

    No importa el programa que uses, siempre serás capaz de localizar tu llave y la llave de tu compañero en la comunicación.

    Aunque el método de localizar tu llave varía por programa, el método de verificar la llave se mantiene igual. Inclusive puedes leer sus huellas de llave en voz alta (si estás cara-a-cara o usando un teléfono) o puedes copiar y pegarlas dentro de un programa de comunicaciones, pero sea cual sea el método que uses, es imperativo que revises cada una de las letras y los números.

    Consejos: Trata de verificar las llaves con uno de tus amigas. Para aprender a verificar las llaves de un programa específico, visita la guía de ese programa.

     

    Última actualización: 
    13-01-2017
  • Cómo Usar OTR Para Mac

    Adium es un recurso libre y abierto de mensajes instantáneos para el sistema OS X que te permite charlar/chatear con múltiples individuos a través de diversos protocolos de charla, incluyendo Google Hangouts, Yahoo! Messenger, Windows Live Messenger, AIM, ICQ, y XMPP.

    OTR (Off-the-record/Fuera del récord) es un protocolo que permite a las personas tener una conversación confidencial utilizando las herramientas de mensajes con los cuales ellos ya están familiarizados. Este no debe de ser confundido con el setting de “Off the record” en Google, el cual simplemente desactiva el fichero histórico de la charla, y no tiene cifrado o capacidad para verificaciones. Paro los usuarios de Mac, OTR viene ya construido dentro del Adium para sus clientes.

    OTR emplea el cifrado de punta-a-punta (end-to-end encryption). Esto quiere decir que tú puedes usarlo para tener conversaciones a través de los servicios como Google Hangouts sin que estas compañías nunca tengan acceso al contenido de la conversaciones. Sin embargo, el hecho de que usted está teniendo una conversación es visible para el proveedor.

    Por qué debo yo usar Adium + OTR?

    Cuando tienes una conversación/chat usando Google Hangouts chat en los sitios web de Google, esa charla es cifrada usando HTTPS, la cual quiere decir que el contenido de tu charla está protegido contra los hackers y de otros personas de tercera vía mientras está transitando. Sin embargo, tu comunicación no está protegida de Google, empresas que tienen la clave de tus conversaciones y pueden entregarla a las autoridades o utilizarlos para fines de marketing.

    Después de que instales Adium, puedes usarlo con múltiples cuentas al mismo tiempo. Por ejemplo, puedes usar Google Hangouts y XMPP simultáneamente. Adium también te permite usar estas herramientas sin OTR. Ya que OTR solamente funciona si ambas personas la están usando, esto quiere decir que aunque la otra persona no lo tenga instalado, puedes charlar con ellos/ellas usando Adium.

    Adium también te permita hacer verificaciones fuera-de-banda (out-of-band verification) para estar seguro que estás hablando con la persona que piensas que está hablando, y no ha estado sujeto a un ataque de intermediario (MITM attack). Para cada conversación, hay una opción que te enseñará las huellas de llave (key fingerprints) que esta tiene para ti, y la persona con la cual estás charlando. Una "huella de llave/key fingerprint" es una cinta de caracteres semejantes a "342e 2309 bd20 0912 ff10 6c63 2192 1928,” que se usa para verificar una llave pública larga. Intercambia tus huellas a través de otros canales de comunicaciones, tales como Twitter DM o email, para estar seguro de que nadie este interfiriendo con tu comunicación. Si las claves no coinciden, no se puede estar seguro de que está hablando con la persona correcta. En la práctica, la gente suele usar varias claves, o perder y tienen que volver a crear nuevas claves, así que no se sorprenda si tiene que volver a revisar sus llaves con tus amigos de vez en cuando.

    Limitaciones: Cuándo no debo de usar Adium + OTR?

    Los técnicos tienen un término para describir cuando un programa o tecnología puede ser vulnerable a ataques externos: ellos dicen que tiene una "gran superficie de ataque”. Pues bien, Adium tiene una gran superficie de ataque, ya que es un programa complejo que no ha sido escrito con la seguridad como una de las prioridades principales y es cierto que tiene vulnerabilidades (“bugs”), algunas las cuales podrían ser usadas por el gobierno e inclusive por grandes compañías para entrar en las computadoras que están usandandolo. Usar Adium para cifrar tu conversación es una gran defensa contra el tipo de ataque de vigilancia no intencionada que se usa para espiar las conversaciones de todo el mundo. Pero a nivel personal seria un blanco de ataque de un agresor bien-armado (como la de un estado),en ese caso debes de considerar precauciones mas fuertes, como el email cifrado-PGP (PGP-encrypted email).

    Instalando Adium + OTR en su Mac

    Paso 1: Instale el programa

    Primero, ve a https://adium.im/ en su navegador. Da click en “Download Adium 1.5.9.” (“Descarga Adium 1.5.9”). La carpeta bajará como un .dmg, o disco imagen, y posiblemente se guardará en tu carpeta “downloads.”

    Dale doble click en la carpeta; esto abrirá una ventanilla semejante a esta:

    Mueva la imagen dentro de la carpeta “Applications” (“Aplicaciones”) para instalar el programa. Una vez el programa esté instalado, buscalo en tu carpeta de Aplicaciones y dale un doble click para abrirlo.

    Paso 2: Configura tu cuenta(s)

    Primero, necesitas decidir que herramienta de charlas o protocolos quieres usar con Adium. El establecimiento del proceso es similar, pero no idéntico para cada tipo de herramienta/programa. Tú debes de saber el nombre de cuenta para cada programa o protocolo, como también la clave para cada cuenta.

    Para establecer una cuenta, ve al menú de Adium en la parte superior de tu pantalla y haz click en “Adium” y después en “Preferences” (“Preferencias”). Esto abrirá otra ventana, con otro menú superior. Seleccione “Accounts” (“Cuentas”); entonces da un click al signo “+” en la parte inferior de la ventana. Verás un menú que se parece a éste:

    Seleccione el protocolo que desees. Desde aquí, te pedirá ingresar tu nombre de usuario y clave, o a usar una autorización de Adium para ingresar en tu cuenta. Sigue las instrucciones de Adium cuidadosamente.

    Cómo iniciar una charla OTR

    Una vez registrado o ingresado en una o más de tus cuentas, puedes empezar a usar OTR.

    Recuerda: para tener una conversación usando OTR, ambas personas tienen que tener un programa de charla que soporten OTR.

    Paso 1: Iniciando una charla OTR

    Primero, identifique a alguien que esté usando OTR, e inicie una conversación con ellos en Adium dandole un doble-teclado en su nombre. Una vez tu hallas abierto la ventana de charla, verás una vpequeña, abierto candado en la esquina a mano superior-izquierda de la ventana de charla. Déle al teclado en el candado y seleccione “Initiate Encrypted OTR Chat.” (“Iniciar el chat cifrado-OTR”).

    Paso 2: Verifique su conexión

    Una vez hallas iniciado su charla y la otra persona halla aceptado la invitación, tú verás el símbolo del candado cerrado; así es como sabes que la conversación está ahora cifrada (Felicidades!) – Pero espera, hay otro paso!

    Ahora, tú has iniciado una charla cifrada inverificable (unverified). Esto significa que mientras tus comunicaciones están cifradas, tú no has determinado y verificado todavía la identidad de la persona con la que estás charlando, al menos que estés en el mismo salón y puedan ver la pantalla de cada uno. Es importante que verifiques la identidad de cada uno. Para mas información, lea el módulo sobre Verificación de las Llaves (Key Verification).

    Para verificar la identidad del otro usuario usando Adium, de nuevo déle un teclado/click en el símbolo del candado, y seleccione “Verificar” (“Verify”). Te mostrará una ventana con ambas llaves, la tuya y la del otro usuario. Algunas versiones de Adium solo soportan la verificación de huella manual (“manual fingerprint verification”). Esto quiere decir que, usando algunos métodos, tú y la persona con la cual estás charlando necesitan verificarlas para estar seguros que la llave que les están enseñado en Adium precisamente concuerdan.

    La manera mas fácil de hacer esto es que ambos la lean en voz alta de modo presencial, pero esto no es siempre posible. Hay diferentes maneras de lograrlo con varios grados de confianza. Por ejemplo, pueden leer sus llaves los unos a los otros por teléfono si reconocen sus voces o envíenlas usando otros métodos verificables de comunicación, tales como PGP. Algunas personas publican sus llaves en sus sitios web, sus cuentas de Twitter, o su tarjeta de presentación/visita.

    La cosa mas importante es que verifiques que cada letra y dígito concuerden perfectamente.

    Paso 3: Deshabilitar logging/registro

    Ahora que tú has iniciado una charla cifrada y has verificado la identidad de tu compañero(a), hay una cosa mas que tú necesitas hacer. Desafortunadamente, Adium registra tu charla cifrada-OTR por defecto (by default), guardando ésta en tu disco duro. Esto quiere decir, que a pesar del hecho de que la conversación está cifrada, también ha sido guardada en texto simple en tu disco duro.

    Para deshabilitar logging, teclee en “Adium” en el menú arriba de tu pantalla, entonces “Preferences” (“Preferencias”). En la nueva ventanilla, seleccione “General” y entonces deshabilite “Log messages” (“Registra mensajes”) y “Log OTR-secured chats.” (“Registra los chats seguros-OTR). Sin embargo, recuerde que usted no tiene control sobre la persona con la que está conversando, ella podría registrando o tomar capturas de pantalla de su conversación, incluso si usted tiene el registro de personas con discapacidad. Tus ajustes se verán así:

    Además, Centro de Notificaciones de OS X puede registrar el contenido de las notificaciones de nuevos mensajes que muestra Adium. Esto significa que a pesar de Adium no deja rastro de tus comunicaciones en tu Mac o la de tu interlocutor, puede ser que existan rastros de las conversaciones en el OS X de alguna de las dos computadoras. Para evitarlo, puedes desactivar las notificaciones.

    Para eso,  selecciona "Eventos" en la ventana de Preferencias, y busca las entradas que digan "Mostrar una notificación." Puedes ampliar cada entrada haciendo clic en el triángulo gris, y luego en la linea que dice "Mostrar una notificación", a continuación, clic en el icono de signo menos ("-") en la parte inferior izquierda para eliminar esa línea. Si estás preocupado acerca de los registros que quedan en el equipo, también debes activar el cifrado de disco completo, lo que ayudará a proteger estos datos sean obtenidos por una tercera parte sin su contraseña.

    Última actualización: 
    19-01-2017
  • Cómo Usar PGP Para macOS

    Pretty Good Privacy/Muy Buena Privacidad (PGP) es una herramienta pensada para proteger tus comunicaciones por email de ser leídas por alguien además de sus destinatarios. Y, en un menor grado, puede evita que tus emails sean leídos si la computadora donde los guardas es robada o intervenida.

    También permite probar que los correos han sido generados por una persona en particular, en vez de ser mensajes falsos de alguna otra persona (de hecho es muy fácil falsificar un email). En ambos casos es una defensa muy importante si eres o has sido blanco de vigilancia o desinformación.

    Para usar PGP, necesitas instalar algunos programas extras que trabajaran a la par de tu programa de email habitual. También necesitas crear una clave privada, que deberás mantener privada. La clave privada es la que usarás para descifrar los emails que te envían, y para firmar digitalmente los  que  envías para asegurar que realmente fueron enviados por ti. Finalmente, aprenderás como distribuir tu clave pública; una pequeña porción de información que otros necesitarán conocer antes de que ellos te puedan enviar mensajes/email cifrados, y que puede ser usada para certificar la autenticidad de los emails que envías.

    Obteniendo GnuPG

    Puedes descargar GnuPG (también conocido como GPG) en Mac Os X descargando un pequeño instalador desde la página de descargas de GnuPG.

    Haz clic en el enlace de descarga al lado de "Instalador Simple para GnuPG Modern", y descargará el instalador GPG.

    Serás redirigido a la página de descarga en SourceForge

    Descargando Mozilla Thunderbird

    Ve a la página de Mozilla Thunderbird.

    Haz clic en el botón verde con el texto "Descarga Gratuita". El sitio web de Mozilla Thunderbird detectará tu idioma preferido. Si deseas utilizar Thunderbird en otro idioma, haz clic en el enlace "Sistemas y Lenguajes" y haz tu selección ahí.

    Instalando GnuPG

    Haz Clic en el ícono de descarga en el Dock y despues en el archivo GnuPG-2.11-002.dmg

    Una ventana se abrirá, indicando tu progreso.

    Una ventana se abrirá, mostrándo una vista del archivo de instalación y algunos otros archivos. Haz clic en el ícono Install.pkg

    A continuación una ventana se abrirá, comenzando la instalación guiada. Haz clic en el botón continuar.

    GnuPG está instalado como un paquete de sistema y necesita tu usuario y contraseña para instalarse. Ingresa tu contraseña y haz clic en Instalar Software.

    Verás una ventana que dice que la instalación fue exitosa, haz click en el botón cerrar.

    Instalando Mozilla Thunderbird

    Haz Clic en el ícono de descarga en el Dock y despues en el archivo Thunderbird 45.2.0.dmg

    Una ventana se abrirá, indicando tu progreso.

    Una ventana se abrirá con el ícono de Thunderbird y un link a tu folder de aplicaciones. Arrastra Thunderbird a tu folder de aplicaciones.

    Una ventana se abrirá con una barra de progreso. Cuando llegue a su final, se cerrará.

    Asegurate de ejectar los archivos DMG montados.

    Preparación para la instalación de Enigmail

    Cuando Mozilla Thunderbird se ejecute por primera vez, MacOs X te preguntará si estás seguro de abrirlo. Mozilla Thunderbird fue descargado de Mozilla.org y debería ser seguro, haz clic en el botón abrir.

    Mozilla Thunderbird se puede integrar con la libreta de direcciones de Mac OS X , esa elección está en tus manos.

    Cuando Mozilla se ejecuta por primera vez, verás una pequeña ventana de confirmación preguntando sobre algunos ajustes predeterminados. Se recomienda hacer clic en el botón "Establecer como predeterminado".

    Cuando Mozilla Thunderbird inicia por primera vez, te preguntará si deseas abrir una nueva dirección de correo electrónico. Haz clic en el botón "saltar esto y utilizar mi correo electrónico existentes". Ahora vas a configurar Mozilla Thunderbird para poder recibir y enviar correo electrónico. Si estás acostumbrado a solamente leer y enviar correo electrónico a través de gmail.com, outlook.com, o yahoo.com, Mozilla Thunderbird será una nueva experiencia, pero no es tan diferente en general.

    Añadiendo una cuenta de correo a Mozilla Thunderbird

    Una nueva ventana se abrirá.

    Ingresa tu nombre, dirección de correo electrónico y la contraseña de tu cuenta de correo electrónico. Mozilla no tiene acceso a tu contraseña o tu cuenta de correo electrónico. Haz clic en el botón "Continuar".

    En muchos casos Mozilla Thunderbird detectará automáticamente los ajustes necesarios.

    En algunos casos Mozilla Thunderbird no tiene la información completa y deberás introducir algunos parametros de configuración por tu cuenta. Aquí, un ejemplo de las instrucciones que proporciona el propio Google para Gmail:

    • Incoming Mail (IMAP) Server - Requires SSL
      • imap.gmail.com
      • Port: 993
      • Requires SSL: Yes
    • Outgoing Mail (SMTP) Server - Requires TLS
      • smtp.gmail.com
      • Port: 465 or 587
      • Requires SSL: Yes
      • Requires authentication: Yes
      • Use same settings as incoming mail server
    • Nombre Completo o Nombre para mostrar: [tu nombre o seudónimo]
    • Nombre de la cuenta o nombre de usuario: tu dirección de Gmail completa (username@gmail.com). usuarios de Google Apps, ingresar username@your_domain.com
    • Dirección de correo electrónico: la dirección completa de Gmail (username@gmail.com) usuarios de Google Apps, por favor, usen username@your_domain.com
    • Contraseña: la contraseña de Gmail

    Si usas la autenticación de dos factores con Google (y dependiendo de tu modelo de amenaza ¡probablemente deberías!) no puede usar la contraseña estándar de Gmail con Thunderbird. En lugar de ello, será necesario crear una nueva contraseña exclusivamente para que Thunderbird acceda a tu cuenta de Gmail. Ver la Guía de Google para hacer esto.

    Cuando hayas introducido, correctamente, toda la información, haz clic en el botón "Done".

    Si usas la autenticación de dos factores con Google (y dependiendo de tu modelo de amenaza ¡probablemente deberías!) no puede usar la contraseña estándar de Gmail con Thunderbird. En lugar de ello, será necesario crear una nueva contraseña exclusivamente para que Thunderbird acceda a tu cuenta de Gmail. Ver la Guía de Google para hacer esto.

    Cuando hayas introducido, correctamente, toda la información, haz clic en el botón "Done".

    Mozilla Thunderbird comenzará a descargar copias de tu correo electrónico en tu computadora. Intenta enviar un mensaje de prueba a tus amigos.

    Instalando Enigmail

    Enigmail se instala de una forma distinta a Mozilla Thunderbird y GnuPG. Como se ha mencionado antes, Enigmail es un complemento para Mozilla. Haz clic en el botón de "Menú", también llamado el botón hamburguesa y selecciona "Complementos".

    Esto te llevará a la pestaña de Administrador de complementos. Ingresa Enigmail en el campo de busqueda para buscar por Enigmail en el sitio de complementos de Mozilla.

    Enigmail será la primera opción. Haz clic en el botón instalar.

    Una vez instalado el complemento Enigmail Mozilla Thunderbird te pedirá reiniciar el navegador para activar Enigmail. Haga clic en el botón "Reiniciar ahora" y Mozilla Thunderbird se reiniciará.

    Cuando Mozilla Thunderbird se reinicie, se abrirá una ventana adicional que iniciará el proceso de configuración de Enigmail. Selecciona el botón "Iniciar configuración ahora" y haz clic en el botón "Siguiente".

    Pasos de configuración necesarios

    En mayo de 2018 algunos investigadores revelaron varias vulnerabilidades en PGP (incluyendo GPG) para el correo electrónico, y teorizaron  muchas otras  podrían aprovechar estas.

    Los desarrolladores de Thunderbird y Enigmail han estado trabajando en formas de protegerse contra las vulnerabilidades de EFAIL. A partir de la versión 2.0.6 (publicada el 27 de mayo de 2018), Enigmail ha publicado parches que lo defienden contra todas las vulnerabilidades conocidas descritas en el documento EFAIL, junto con algunas nuevas de la misma clase que otros investigadores fueron capaces de distinguir, que superan las correcciones anteriores de Enigmail. Cada nueva corrección hacía un poco más difícil para un atacante superar las defensas de Enigmail. Estamos seguros de que, si actualizas a esta versión de Enigmail (¡y sigues actualizando!), los usuarios de Thunderbird pueden volver a activar su PGP.

    Pero, mientras que Enigmail ahora se defiende contra la mayoría de los ataques conocidos incluso con HTML activado, la vulnerabilidad EFAIL demostró cuan peligroso  resulta el HTML en los correos electrónicos para la seguridad. Por lo tanto, recomendamos que los usuarios de Enigmail también desactiven el HTML yendo a Ver > Cuerpo del mensaje como > Texto sin formato.

    1. Primero haga clic en el menú hamburguesa de Thunderbird (las tres líneas horizontales).

    2. Seleccione "Ver" en la parte derecha del menú que aparecerá.

    3. Seleccione "Cuerpo del mensaje como" en el menú que aparece y, a continuación, seleccione la opción de radio " Texto sin formato ".

    Ver todo el correo electrónico en texto plano puede ser difícil y no sólo porque muchos servicios sólo envían correos electrónicos HTML. Desactivar el correo HTML puede plantear algunos problemas de usabilidad, como que algunos archivos adjuntos no aparezcan. Los usuarios de Thunderbird no deberían tener que hacer este compromiso entre usabilidad y seguridad, así que esperamos que Thunderbird le de un poco más de atención a  su comunidad de texto plano de ahora en adelante. En el estado actual del software, sin embargo, los usuarios necesitarán decidir por sí mismos si toman el riesgo de usar correo HTML; los usuarios más vulnerables probablemente no deberían tomar ese riesgo, pero la elección correcta para su comunidad es que lo juzguen basados en su situación.

    Ahora comenzará a crear sus llaves públicas y privadas, aprenda más sobre estas llaves y lo que son en nuestra guía Introducción a la criptografía de llave pública y PGP.

    Creando una clave pública y una clave privada

    A menos que ya hayas configurado más de una cuenta de correo electrónico, Enigmail elegirá la cuenta de correo electrónico acabas de configurar. La primera cosa que que necesitas hacer es seleccionar una frase de contraseña segura para su clave privada.

    Haz clic en el botón "Siguiente".

    Tu clave expirará en un momento determinado; cuando esto suceda, la gente dejará de usarla para cifrar cualquier nuevo correo electrónico enviado a ti, sin embargo puede que no recibas advertencia o explicación acerca de por qué. Por lo tanto, es posible que desees marcar tu calendario y prestar atención a este problema un mes antes de la fecha de caducidad.

    Es posible extender la vida útil de una clave ya existente, asignadole una nueva y posterior, fecha de vencimiento o es posible sustituirla por una nueva clave mediante la creación de otra nueva desde cero. Ambos procesos pueden requerir contactar a las personas que te escriben y asegurarte de que reciban la clave actualizada; el software actual no es muy competente en la automatización de este proceso. Asi que establece un recordatorio a ti mismo; pero si no crees que serás capaz de lidiar con eso, podrías considerar configurar la clave para que esta nunca expire, aunque en ese caso, otras personas podrían tratar de usarla cuando se comuniquen contigo en un futuro lejano, incluso si tú no tienes más la clave o no usas PGP.

    Para verificar la fecha de caducidad de su llave en Thunderbird, haga clic en el menú Enigmail y seleccione "administración de llaves". Busque su llave en la ventana Administración de Llaves de Enigmail y haga doble clic en ella. Se abrirá una nueva ventana y la fecha de vencimiento de su llave se mostrará en el campo llamado "Caducidad". Para establecer una nueva fecha de vencimiento, haga clic en el botón "Cambiar" al lado de la fecha de vencimiento actual de su llave. Recuerde enviar su llave pública  actualizada a sus contactos o publicarla en un servidor de claves si actualiza la fecha de caducidad de su llave.

    Enigmail generará la clave y, cuando se complete, se abrirá una pequeña ventana pidiéndole que genere un certificado de revocación. Es importante conservar este certificado de revocación, ya que le permitirá invalidar la clave privada y la clave pública en caso de que pierda su clave privada o se la roban. Por este motivo, almacene su certificado de revocación separado de su clave privada; Grabelo en un CD o colóquelo en un dispositivo USB y guárdelo en un lugar seguro. La publicación del certificado de revocación en un servidor de claves permitirá que otros usuarios de PGP sepan que no deben usar o confiar en esa clave pública. Es importante tener en cuenta que simplemente eliminar la clave privada no invalida la clave pública y puede llevar a otros a enviarle correos encriptados que no puede descifrar. Haga clic en el botón "Generar certificado".

    Primero se te pedirá que proporciones la contraseña que usaste al crear la clave PGP. Haz clic en el botón "OK".

    Se abrirá una ventana para ofrecerte un lugar donde guardar el certificado de revocación. Si bien puedes guardar el archivo en el equipo, se recomienda guardarlo en una unidad USB que esté destinada exclusivamente para eso y nada más y almacenar esa unidad en un lugar seguro. También se recomienda eliminar el certificado de revocación del computador donde estén las claves, para evitar la revocación no intencional. Aún mejor, guarda este archivo en un disco encriptado. Elige el lugar donde vas a guardar el archivo y haz clic en el botón "Guardar".

    Ahora Enigmail te dará más información acerca de cómo guardar el archivo de revocación de certificados de nuevo. Haz clic en el botón "OK".

    Finalmente, haz terminado de generar las clave privada y pública. Haz clic en el botón "Finalizar".

    Pasos opcionales de configuración

    Mostrando identificación de claves largas

    Los próximos pasos son completamente opcionales, pero pueden ser útiles cuando uses OpenPGP y Enigmail. Brevemente, la Key ID es es una pequeña parte de la huella, Cuando debemos comprobar que una clave pública pertenece a una persona en particular, la huella es la mejor manera. El cambiar la ventana por defecto hace más fácil leer las huellas del certificado que conoces. Click en el botón de configuración, entonces la opción Enigmail, Administración de claves.

    Una ventanilla se abrirá mostrando dos columnas: Name and Key ID/Nombre e Identificación de clave.

    Al extremo del lado derecho hay un pequeño botón. Click en ese botón para configurar las columnas. Cancela la opción en el botón Key ID y dale click a la opción de Fingerprint.

    Ahora habrá tres columnas: Nombre, validez de la clave, y la huella digital.

    Haciendo saber a otros que estás usando PGP

    Dejándole saber a otros que estás usando PGP con un email

    Es posible que te envien claves públicas como adjuntos de correo. Haz clic en el botón "Importar clave".

    Una pequeña ventana se abrirá pidiéndote que confirmes la importación de una clave PGP. Haz clic en el botón "Sí".

    Una nueva ventana se abrirá con los resultados de la importación. Haz clic en el botón "OK".

    Si recargas el correo electrónico original verás que la barra sobre el correo electrónico ha cambiado.

    Si abres la ventana de gestión de claves Enigmail nuevo podrás comprobar el resultado. Tu clave PGP está en negrita porque tiene tanto la clave privada y la clave pública. La clave pública que acabas de importar no está en negrita, ya que no contiene la clave privada.

    Obteniendo una clave pública como un archivo

    Es posible obtener una clave pública descargándola de un sitio web o alguien podría haber enviado a través de programa de mensajería. En un caso como este, vamos a suponer que has descargado el archivo en la carpeta de descargas.

    Abre el administrador de claves de Enigmail y haz clic en el menú "Archivo". Seleccione "Importar claves desde archivo".

    Haz clic en el menú "Archivo". Seleccione "Importar claves desde archivo".

    Elige la clave pública, podría tener diferentes nombres de extención de archivos, como .asc, .pgp, o .gpg. Haz clic en el botón "Abrir".

    Una pequeña ventana se abrirá pidiéndote que confirmes la importación de una clave PGP. Haz clic en el botón "Sí".

    Una nueva ventana se abrirá con los resultados de la importación. Haz clic en el botón "OK".

    Obteniendo una clave Publica desde una URL

    Es posible conseguir una clave pública descargándola directamente desde una URL.

    Abrir el Administrador de claves de Enigmail y haz clic en el menú "Editar". Seleccione "Importar claves de la URL."

    Ingresa la URL. La URL puede tener varias formas. Frecuentemente puedes ser un nombre de dominio que termine en un archivo.

    Haz clic en el botón "OK".

    Una pequeña ventana se abrirá pidiéndole que confirme la importación de una clave PGP. Haz clic en el botón "Sí".

    Se abrirá una nueva ventana con los resultados de la importación: Haz clic en el botón OK

    Si nos fijamos en https://www.eff.org/about/staff te darás cuenta que hay un enlace "clave PGP" debajo de los fotos del staff. La clave PGP de Danny O'Brien está en: https://www.eff.org/files/pubkeydanny.txt.

    Obteniendo una clave pública desde un servidor de claves

    Los servidores de claves pueden ser una manera muy útil de obtener claves públicas, intenta buscando por una clave pública.

    Desde la interfaz de administración de claves haz click en el menú “Servidor de claves” y selecciona “buscar claves”

    Una pequeña ventana se abrirá con un campo de búsqueda. Puedes buscar una dirección completa de correo electrónico, una dirección de correo electrónico parcial, o un nombre. En ese caso, buscarás las claves que contienen "samir@samirnassar.com". Haz clic en el botón "OK".

    Una ventana más grande aparecerá con muchas opciones. Si te desplazas hacia abajo notarás algunas claves estarán en cursiva y en gris claro. Estas son las claves que han sido revocados o caducados por si mismas.

    Tenemos varias claves PGP para Samir Nassar y aún no sabemos cuál elegir. Una clave está en cursiva gris que significa que ha sido revocada. Debido a que no sabemos aún cuál queremos aún, importaremos todas. Seleccione las claves haciendo clic en el cuadro de la izquierda y pulsa el botón "OK".

    Una pequeña ventana de notificación aparecerá dejándote saber si has tenido éxito. Haz clic en el botón "OK".

    El Administrador de claves de Enigmail ahora mostrará las claves añadidas:

    Nota que de las tres claves importadas, una ha caducado, otra está revocada, y otra más es una clave válida actualmente.

    Haciendo saber a otros que estás usando PGP

    Ahora que tienes PGP, deseas que los demás sepan que lo estás utilizando, asi podrán enviarte mensajes encriptados con PGP.

    El uso de PGP no cifra totalmente su email de modo que el emisor y receptor estén cifrados. Cifrar la información del remitente y el receptor rompería el correo electrónico. El uso de Thunderbird con Enigmail proporciona una manera fácil de cifrar y descifrar el contenido de tu correo electrónico.

    Veamos tres formas distintas en que puedas hacer saber a la gente que estás usando PGP.

    Haz saber estás utilizando PGP con un correo electrónico

    Puedes enviar fácilmente tu clave pública a otras personas enviándoles una copia como un archivo adjunto.

    Haz clic en el botón "Escribir" en Mozilla Thunderbird.

    Escribe una dirección y un asunto, tal vez algo como mi "mi clave pública", haz clic en el botón "Adjuntar mi clave pública". Si ya has importado una clave PGP para la persona a la que estás enviando la clave PGP, aparecerá resaltado el icono de candado en la barra de Enigmail. Como opción adicional, también puedes hacer clic en el icono de lápiz para firmar el correo electrónico, dando a los destinatarios una forma de verificar la autenticidad del correo electrónico más tarde.

    Se abrirá una ventana preguntando si olvidaste agregar un archivo adjunto. Esto es un error en la interacción entre Enigmail y Mozilla Thunderbird, pero no te preocupes, igual se adjuntará la clave pública. Haz clic en el botón "No, Enviar ahora". Mira a continuación por una prueba.

    Haz que la gente sepa que usas PGP en tu sitio Web

    Además de comunicarlo por correo electrónico, puedes publicar tu clave pública en tu sitio web. La forma más fácil es cargar el archivo y hacer un enlace a él. En esta guía no entrará en como hacer esas cosas, pero debes saber cómo exportar la clave en un archivo para tu uso en el futuro.

    Haz clic en el botón de configuración, a continuación, la opción Enigmail, luego de administración de claves.

    Selecciona la clave en negrita, después, oprime el botón derecho del ratón para que aparezca el menú y selecciona Exportar claves al archivo.

    Una pequeña ventana, con tres botones, se abrirá. Haz clic en el botón “Exportar claves públicas solamente”.

    Ahora se abrirá una ventana para que puedas grabar el archivo, Para que sea más fácil de encontrar en el futuro, puedes grabar el archivo en la carpeta Documentos. Ahora puedes usar este archivo como desees.

    Asegúrate de no oprimir el botón "Exportar claves secretas" la exportación de la clave secreta permitiría a otros a hacerse pasar por ti si son capaces de adivinar la contraseña.

    Subiendo a un servidor de claves

    Los servidores de claves facilitan la búsqueda y descarga de las claves públicas de otros. La mayoría de los servidores de claves modernos se sincronizan entre ellos, lo que significa que una clave pública subida a un servidor con el tiempo estará en todos los demás.

    Aunque subir tu clave pública a un servidor de claves es una manera conveniente de comunicar a todos que tienes un certificado de PGP público, debes saber que, debido a la naturaleza de cómo los servidores de claves funcionan no hay manera de eliminar las claves públicas, una vez cargadas.

    Antes de subir tu clave pública a un servidor de claves, es bueno tomar un momento para considerar si deseas que todo el mundo sepa que tienes un certificado público sin la posibilidad de eliminar esta información en un momento posterior.

    Si eliges enviar tu clave pública al servidor de claves, volverás a la ventana de administración de claves Enigmail.

    Haz clic derecho en la clave PGP y elige la opción "Subir al servidor de claves de claves públicas".

    Enviando correspondencia PGP cifrada

    Ahora enviarás tu primer correo electrónico cifrado a un destinatario.

    En la ventana principal de Mozilla Thunderbird haz clic en el botón “Escribir”. Se abrirá una nueva ventana.

    Escribe tu mensaje, e ingresa un destinatario. Para este ensayo, selecciona un destinatario cuya clave pública ya poseas. Enigmail lo detectará y cifrará el correo electrónico de forma automática.

    La línea de asunto no se cifrará, así que elige algo inofensivo, como "hola".

    El cuerpo del mensaje ha sido cifrado y transformado. Por ejemplo, el texto anterior se transformará en algo como esto:

    Recibiendo correos PGP cifrado

    Repasemos lo que sucede cuando se recibe correo electrónico cifrado.

    Ten en cuenta que Mozilla Thunderbird está avisando que tienes correo nuevo. Haz clic en el mensaje.

    Se abrirá una pequeña ventana pidiéndote la contraseña para la clave PGP. Recuerda: No introduzcas tu contraseña de correo electrónico. Haz clic en el botón "OK"

    Ahora podrás ver el mensaje descifrado.

    Revocando una clave PGP

    Revocando tu clave PGP a través de la interfaz de Enigmail

    Las claves PGP generadas por Enigmail expiran automáticamente después de cinco años. Asi, si pierdes todos tus archivos, tienes la esperanza de que la gente que conoces te pedirá otra clave, una vez que esa clave halla expirado.

    Puede ser que tengas una buena razón para desactivar tu clave PGP antes de que caduque. Quizás quieras generar una nueva, y más fuerte, clave PGP. La forma más fácil de revocar tu clave PGP en Enigmail es a través del Administrador de claves.

    Haz clic derecho sobre la clave PGP, que está en negrita, y elige la opción "Revocar Clave".

    Haz clic derecho en la clave PGP, que está en negrita, y elige la opción "Revocar Clave".

    Ahora se abrirá una nueva ventana dejándote saber que has tenido éxito. Haz clic en el botón “OK”.

    Al regresar a la ventana de administración de claves Enigmail notarás un cambio en tu clave PGP. Ahora aparece en gris y en cursiva.

    Revocando una clave PGP con un certificado de revocación

    Como hemos mencionado antes, puede que tengas una buena razón para desactivar la clave PGP antes de que caduque. Del mismo modo, otros pueden tener buenas razones para revocar una clave. En la sección anterior puedes haber notado que Enigmail genera e importa un certificado de revocación internamente cuando se usa el Administrador de claves Enigmail para revocar una clave.

    Es posible que amigos te envien certificados de revocación como un aviso de que quieren revocar su clave. Dado que ya tienes un certificado de revocación, usarás el que generaste anteriormente para revocar su propia clave.

    Comienza con el administrador de claves Enigmail y haz clic en el menú "Archivo" y selecciona "Importar claves desde archivo".

    Se abrirá una ventana para que puedas seleccionar el certificado de revocación. Haz clic en el archivo, y después en el botón "Abrir".

    Obtendrás un aviso de que el certificado se importó correctamente y que la clave ha sido revocada. Haz clic en el botón "OK".

    Cuando regreses a la ventana de administración de claves Enigmail notarás un cambio en tu clave PGP. Ahora aparece en gris y en cursiva.

    Ahora que posees todas las herramientas adecuadas, trata de enviar tu propio correo electrónico cifrado por PGP.

    Última actualización: 
    01-06-2018
  • Cómo Usar KeePassXC

    Cómo funciona KeePassXC

    KeePassXC trabaja con bases de datos de contraseñas, que son archivos que almacenan una lista de todas sus contraseñas. Estas bases de datos se cifran cuando se almacenan en el disco duro de su ordenador. Por lo tanto, si su computadora está apagada y alguien la roba, no podrán leer sus contraseñas. Las bases de datos de contraseñas pueden ser cifradas usando una contraseña maestra. Dado que su contraseña maestra protege todas sus demás contraseñas, debería hacerla tan fuerte como sea posible .

     

    .

    Usando una contraseña maestra

    Una contraseña maestra actúa como una llave; con el fin de abrir la base de datos de contraseñas, necesita la contraseña maestra correcta. Sin ella, nadie puede ver lo que hay dentro de la base de datos de contraseñas. Hay algunas cosas a tener en cuenta al utilizar una contraseña maestra para proteger su base de datos de contraseñas:

    • Esta contraseña descifrará todas sus contraseñas, ¡así que tiene que ser fuerte! Debería ser larga y difícil de adivinar. Cuanto más larga sea, menos tendrá que preocuparse por tener caracteres especiales o letras mayúsculas o números. Así que haga de su contraseña maestra una frase de contraseña. Una frase de contraseña es una cadena de muchas palabras que son fáciles de recordar para usted pero difíciles de adivinar para los demás.
    • Puede crear una contraseña maestra fuerte usando palabras regulares y aleatorias . Son más fáciles de recordar que combinaciones antinaturales de símbolos y letras mayúsculas. Consulte nuestra guía de contraseñas para obtener más información sobre la creación de una contraseña segura.

     

    Iniciándose con KeePassXC

    Instale KeePassXC y ejecútelo. Haga clic en el menú "Base de datos" y seleccione "Nueva base de datos". Se le pedirá que guarde su base de datos de contraseñas. Tenga en cuenta que puede mover el archivo de base de datos de contraseñas más tarde a donde quiera en su disco duro, o moverlo a otras computadoras; aún así, podrá abrirlo usando KeePassXC y la contraseña, o archivo de claves, que especificó antes.

    El uso de un archivo de claves además de su contraseña maestra puede hacer más difícil para alguien el descifrar su base de datos de contraseñas si roban una copia de ella. Puede usar cualquier archivo existente como archivo clave: una imagen de su gato, por ejemplo, podría servir como archivo clave. Sólo tendrá que asegurarse de que el archivo que elija nunca se modifique, porque si se cambia su contenido, ya no descifrará su base de datos de contraseñas. A veces, abrir un archivo en otro programa puede ser suficiente para modificarlo, así que no lo abra excepto para desbloquear KeePassXC. (Sin embargo, es seguro mover o renombrar el archivo de claves.) Por lo general, una contraseña maestra segura es suficiente por sí sola. Si decide usar un archivo de claves además de su contraseña maestra, asegúrese de almacenarlo separadamente de su base de datos de contraseñas.

    A continuación, aparecerá un cuadro de diálogo en el que se le pedirá que introduzca una contraseña maestra y/o el uso de un archivo de claves. Seleccione la(s) casilla(s) apropiada(s) según su elección.

    Si desea ver la contraseña que está escribiendo (en lugar de ocultarla con puntos), haga clic en el botón con el ojo de la derecha.

    Organizar contraseñas

    KeePassXC permite organizar las contraseñas en "Grupos", que son básicamente sólo carpetas. Puede crear, borrar o editar Grupos o Subgrupos yendo al menú "Grupos" en la barra de menú, o haciendo clic con el botón derecho del ratón en un Grupo en el panel izquierdo de la ventana de KeePassXC. Agrupar contraseñas no afecta ninguna de las funcionalidades de KeePassXC-es sólo una herramienta organizativa muy útil.

    Almacenamiento/generación/edición de contraseñas

    Para crear una nueva contraseña o guardar una contraseña que ya tiene, haga clic con el botón del ratón sobre el grupo en el que desea guardar la contraseña, haga clic derecho en el panel derecho, y seleccione "Añadir nueva entrada". (También puede seleccionar "Entries > Add New Entry" en la barra de menús.) Para el uso básico de contraseñas:

    • Por ejemplo, podría ser el nombre del sitio web o servicio al que corresponde la contraseña.
    • Introduzca el nombre de usuario asociado a la entrada de la contraseña en el campo "Nombre de usuario". (Si no hay nombre de usuario, deje este espacio en blanco.)
    • Introduzca su contraseña en el campo "Contraseña". Si está creando una nueva contraseña, haga clic en el icono de dados de la derecha. Es posible que desee hacer esto cuando se registre en un nuevo sitio web, o cuando reemplace contraseñas más antiguas y débiles por frases de contraseña nuevas, únicas y aleatorias. Después de hacer clic en el icono de los dados, aparecerá un cuadro de diálogo generador de contraseñas. Puede usarlo para generar una contraseña aleatoria. Hay varias opciones en este cuadro de diálogo, incluyendo qué tipos de caracteres incluir y que longitud tendrá la contraseña.
      • Tenga en cuenta que si genera una contraseña aleatoria, no tiene que recordar (¡ni siquiera saber!) cuál es esa contraseña. KeePassXC la almacena por usted, y en cualquier momento que la necesite podrá copiarla/pegarla en el programa apropiado. Este es el objetivo de un administrador de contraseñas: puede usar diferentes contraseñas largas y aleatorias para cada sitio web/servicio, sin siquiera saber cuáles son las contraseñas.
      • Por este motivo, debe crear la contraseña siempre que el servicio lo permita y usar tantos tipos diferentes de caracteres como sea posible.
      • Una vez que esté satisfecho con las opciones, haga clic en "Generar" en la parte inferior derecha para generar la contraseña y, a continuación, haga clic en "Aceptar". La contraseña aleatoria generada se introducirá automáticamente en los campos "Contraseña" y "Repetir". (Si no está generando una contraseña aleatoria, tendrá que volver a introducir la contraseña elegida en el campo "Repetir".)
    • Haga clic en OK. Su contraseña se almacenará en su base de datos de contraseñas. Para asegurarse de que los cambios se guardan, guarde la base de datos de contraseñas editada yendo a "Archivo > Guardar base de datos".

    Si necesita cambiar/editar la contraseña almacenada, sólo tiene que elegir su Grupo y luego hacer doble clic en su título en el panel derecho, y el diálogo de "Nueva Entrada" aparecerá de nuevo.

    Uso normal

    Para usar una entrada en la base de datos de contraseñas, haga clic con el botón derecho del ratón en la entrada y seleccione "Copiar nombre de usuario en el portapapeles" o "Copiar contraseña en el portapapeles". Vaya a la ventana/página web en la que desea introducir su nombre de usuario/contraseña y péguela en el campo correspondiente. (En lugar de hacer clic con el botón derecho en la entrada, también puede hacer doble clic en el nombre de usuario o contraseña de la entrada que desee y el nombre de usuario o contraseña se copiará automáticamente en el portapapeles.)

    Otras características

    KeePassXC permite:

    • Buscar en su base de datos usando la caja de búsqueda (la caja de texto en la barra de herramientas de la ventana principal de KeePassXC).
    • ordenar sus entradas haciendo clic en el encabezado de la columna en la ventana principal.
    • "Bloquear" KeePassXC seleccionando "Herramientas"; Bloquear bases de datos. Esto le permite dejar KeePassXC abierto, pero hacer que solicite su contraseña maestra (y/o archivo de claves) antes de poder acceder de nuevo a su base de datos de contraseñas. También puede hacer que KeePassXC se bloquee automáticamente después de un cierto período de inactividad. Esto puede impedir que alguien acceda a sus contraseñas si se aleja de su equipo o lo pierde. Para habilitar esta función en macOS, seleccione "Preferencias > Configuración" del menú y haga clic en las opciones de seguridad. Luego marque la casilla que dice "Bloquear base de datos después de inactividad de[número] segundos". Para Linux o Windows, seleccione "Herramientas > Configuración" del menú y haga clic en las opciones de seguridad. A continuación, marque la casilla que dice "Bloquear la base de datos después de inactividad de[número] segundos".

    KeePassXC también puede almacenar algo más que nombres de usuario y contraseñas. Por ejemplo, puede crear entradas para almacenar cosas importantes como números de cuenta, claves de producto, información de viajero frecuente de aerolíneas o números de serie. No es necesario que los datos que introduzca en el campo "Contraseña" sean realmente una contraseña. Sólo tiene que introducir lo que desee almacenar en el campo "Contraseña" en lugar de una contraseña real (y dejar el campo "Nombre de usuario" en blanco si no hay nombre de usuario) y KeePassXC lo recordará por usted de forma segura.

    Cómo instalar la extensión del navegador

    Estas instrucciones provienen de https://keepassxc.org/docs/keepassxc-browser-migration/, consultado el 1 de mayo de 2018..

    Una extensión de navegador es un componente de software que añade características adicionales a su navegador web. El uso de la extensión del navegador KeePassXC proporciona una manera conveniente para que su navegador y su aplicación KeePassXC se comuniquen. Esto le permitirá guardar rápidamente o rellenar automáticamente las contraseñas en la web.

    A partir de la versión 2.3, KeePassXC ofrece un nuevo plugin de navegador llamado KeePassXC-Browser. Es compatible con Google Chrome, Chromium, Firefox y Vivaldi y está disponible en la Chrome Web Store y en el repositorio de complementos de Mozilla.

    El nuevo complemento reemplaza a los antiguos complementos de KeePassHTTP (KeePassHttp-Connector, chromeIPass, PassIFox, etc.) y el soporte para ellos será eliminado en futuras versiones de KeePassXC.

    Cómo conectar el KeePassXC-Browser con el KeePassXC

    Después de instalar KeePassXC-Browser y KeePassXC, primero debe iniciar KeePassXC y modificar algunos ajustes que no están habilitados por defecto.

    1. Habilitar la integración con el navegador

    Vaya a la configuración de KeePassXC y habilite el soporte para la integración de navegadores en Integración de navegadores / Habilitar la integración de navegadores KeePassXC. Sin esto, la extensión del navegador no puede comunicarse con KeePassXC:

    Si está habilitada, la antigua interfaz KeePassHTTP puede deshabilitarse desmarcando la casilla Legacy Browser Integration/Enable KeePassHTTP server. Se puede desinstalar cualquier complemento correspondiente instalado en el navegador (KeePassHttp-Connector, etc.).

    2. Habilitar compatibilidad con navegadores

    Para permitir que su navegador acceda a KeePassXC, debe indicarle dónde encontrar el archivo de programa KeePassXC. Afortunadamente, esto es algo que KeePassXC hace automáticamente por usted. Todo lo que tiene que hacer es marcar la casilla de verificación en Habilitar integración para estos navegadores para cualquier navegador con el que quieras usar KeePassXC.

    3. Conectarse a la base de datos

    Abra KeePassXC y desbloquee su base de datos (esto es importante, los siguientes pasos no funcionarán si su base de datos está bloqueada o KeePassXC no se está ejecutando).

    Cambie a su navegador y haga clic en el icono KeePassXC junto a la barra de direcciones. Aparecerá una ventana emergente indicando que no se ha configurado el navegador KeePassXC (si aparece un mensaje de error diferente, haga clic en Actualizar y espere unos segundos).

    Presione el botón Conectar. Aparecerá una ventana en la que se le pedirá que introduzca un nombre y que conceda acceso:

    Introduzca un nombre de su elección (idealmente uno que identifique su navegador) y haga clic en Guardar y permitir el acceso. Su navegador está ahora conectado a KeePassXC.

    Usar Autorrelleno puede ser malo para su privacidad. Para desactivarlo, desmarque las opciónes "Rellenar automáticamente la entrada de credenciales individuales" y "Activar autocompletar los campos de nombre de usuario".

    ¡Ya ha terminado! Ahora puede guardar las credenciales que introduzca en la Web. También podrá rellenar automáticamente sus nombres de usuario/contraseñas.

    KeePassXC es un software robusto y fácil de usar, y recomendamos explorar el programa para aprender todas las cosas útiles que puede hacer.

    Última actualización: 
    30-04-2018
Next:
JavaScript license information