Hace algunas semanas que estoy un poco preocupado acerca de nuestra privacidad en internet. Cada día mas y mas noticias relacionadas a la privacidad del usuario en Internet emergen de la nada misma; El sobrecontrol y la sensación de “protección” que se quiere dejar.

El 28 de Marzo, el congreso de los Estados Unidos aceptó una nueva Ley para que los ISP puedan trackear y vender la información y actividad en Internet de uno.

A partir de esa noticia, muchas personas sintieron la necesidad de “esconderse” del Gran Hermano, y una táctica es la ofuscación. Noiszy es un plugin para los navegadores que aleatoriamente recorre diferentes sitios web que uno puede personalizar para “ensuciar” el muestreo de la navegación común nuestra. Eso puede ayudar a dispersar nuestra actividad, mezclándola con diferentes sitios.

Y la privacidad no sólo es cuestión del Gobierno. Sin ir mas lejos, la publicidad que vemos a diario en diferentes sitios web, también trackean nuestra actividad, y rearman la publicidad apuntando a un target ya conocido: nuestros gustos. Buscar en Mercadolibre sandalias rojas, produce un efecto impresionante en la publicidad que vemos, por ejemplo, en Facebook. Notaremos que un gran porcentaje de todo eso va a estar relacionado a sandalias rojas, sin lugar a duda. O mejor (o peor) aún… ¿nunca notaste que si hablaste de algo relacionado a un producto o servicio con alguien en WhatsApp termina relacionado a publicidad que ves? Ahora, probablemente, entiendas la razón de la compra de este servicio de mensajería por parte de Facebook…

En este artículo – que no pretende ser una guía per se – se intentará tocar los aspectos más importanetes que hay que tener en cuenta para mejorar nuestra privacidad en Internet. Se recomienda seguir los enlaces, informarse y comenzar a blindarse pero de a poco, sabiendo y entendiendo lo que se hace.

 

Cómo navegar de la manera más segura posible

Todo lo que está en Internet es prácticamente trackeable, incluso, las queries de DNS. Es increíble, pero verdad. Y si bien tampoco hay que volverse super paranóico, tenemos que tener un poco de cuidado al navegar y entender bien lo que estamos haciendo. A nadie le gusta que lo espíen y mucho menos a un nivel impensado, donde hoy por hoy todo lo que hacemos cruza por Internet de alguna manera. Fotos, mensajes, audios, transacciones de banco y más, mucho más.

TOR: El elegido

TOR es, probablemente, una de las herramientas mas poderosas que existen al momento de anonimizarse en Internet. Protege la privacidad del usuario, previene el análisis de tráfico y el control de la red. Por un lado TOR es la red donde funciona la Deep Web de la que tanto se habla y tanto se dice; Y por otro, permite navegar como con cualquier navegador pero de forma anónima.

Gracias a muchos nodos voluntarios (casi 7500), nuestra comunicación pasa a través de ellos y de esa manera mantiene la integridad de las comunicaciones que suceden. Por supuesto, TOR no es infalible y tiene fallos de seguridad que arreglan en cada actualización, lo que supone dos cosas:

  • No es 100% seguro
  • ¡Mantenelo actualizado!

Para mejorar la seguridad, se recomienda utilizar una VPN por encima de TOR, de esa manera además de tener un navegador anónimo, también anonimizamos nuestro tráfico, y lo encriptamos en la primer trama hacia el ISP, hasta el nodo de VPN para que todo lo que hagamos sea inentendible a cualquier persona u organismo que quiera sniffear nuestros movimientos.

TOR + VPN: Aún mejor

Un servicio de VPN que recomiendo mucho, es Proxy.sh. Proxy.sh es una VPN económica (con planes desde 5 USD al mes o 2 USD por 72hs) que tiene decenas de nodos en todo el mundo por donde podemos salir y proteger nuestro tráfico. Además de ser un servicio excelente, también se puede pagar con criptomonedas como Bitcoin, que anonimiza aún más la cuestión si tenemos en cuenta que los Bitcoins podemos limpiarlos y dejarlos (casi) intrackeables.

Y que sucede con las consultas de DNS? Es decir, puedo anonimizar el tráfico de navegación pero no necesariamente las consultas a mi servidor DNS. El proyecto DNSCrypt nos ayuda a resolver esta cuestión, en parte también encriptando las consultas y evitando el spoofing que pudiésemos llegar a sufrir en caso de que alguien necesite conseguir información nuestra.

Si elevamos el grado de paranoia, hay que tener en cuenta que si aún utilizamos el modem-router que nos entregó nuestra operadora de Internet, estamos expuestos a que ellos puedan ver las mac address y el tráfico sectorizado por equipos, ya que el routeo ocurre directo en el aparato que ellos felizmente nos entregan en comodato. Aquí la mejor solución es dejar el modem-router como bridge, y establecer la red wifi y cableada en un aparato nuestro. De esa manera, la operadora de Internet sólo verá una mac address unificada (la del puerto WAN de nuestro router) para todo el tráfico.

Cómo comunicarnos de manera más segura

Gran parte de nuestro día nos la pasamos chateando. Es ley, estamos mas tiempo en Whatsapp y Facebook que con cualquier otra cosa.

También muchas veces pasó de que necesitabamos hablar algo importante y super privado, y no encontrabamos los medios. En realidad podríamos haber pasado nuestra tarjeta de crédito por Facebook Messenger (ahora conocido simplemente como Messenger) pero cualquier persona sabe que eso es una falta grave a cualquier código de seguridad que se pueda establecer ya que un infiltrado en el chat podría hacer uso y abuso de esa tarjeta para comprar todo lo que quiera. También el hecho de poder transferir documentos privados o secretos es difícil, no podés estar 100% seguro y tranquilo de que lo que estás chateando o enviando por e-mail no sea visto por alguna otra persona.

¿Nunca tuvieron la necesidad de chatear de algo muy íntimo o privado, y sintieron que alguien más los estaba escuchando? Me pasa muy seguido. Pero… ¿En que confiar? ¿Telegram? Y… no. Telegram hace algunos años era la aplicación por excelencia a la que había que migrar desde Whatsapp porque era segura. Hubo muchos leaks de seguridad de Telegram (1), (2) y (3) por lo que  a mi parecer, escupieron para arriba.

¿Está la conexión realmente encriptada punto a punto? ¿Es realmente seguro hablar por allí sin que nadie mas lo sepa? Yo creo que no. No confío en absoluto. Además de Telegram, aparecieron varias aplicaciones similares, con un fin común: hacer una comunicación privada, realmente privada. Entre ellas se encuentran Signal, Ricochet, GNU Ring, wire.com y más.

En mi caso personal, ya hace varios años (+10) que vengo utilizando Pidgin; Un cliente de mensajería instantánea multiplataforma y multiprotocolo. Es decir, funciona por igual en Windows, Mac OSX y Linux, y soporta muchos protocolos como XMPP, IRC, Bonjour, OSCAR, entre otros. Pidgin además soporta un montón de plugins para realizar diferentes tareas, una de ellas y por la que es muy conocido, es el off-the-record messaging.

Éste plugin ofrece encriptación end-to-end con tu contraparte, incluso con la capacidad de establecer autenticación, basada en frases del tipo pregunta-respuesta para estar seguros que nuestro amigo también nos conoce ¿Qué significa esto? Que si alguien por alguna casualidad puede interceptar nuestra conversación lo único que verá son símbolos y códigos raros. Lo mejor de todo es que se trata de información casi imposible de descifrar (salvo que seas de la CIA o del FBI).

Nuestra computadora

Con su bajo costo y sus beneficios de portabilidad, creo que casi todos nosotros tenemos una notebook. Hoy en día son muy potentes y accesibles, podemos trabajar desde cualquier lado y movernos con tranquilidad.

Guardamos una cantidad increíble de documentos en nuestros discos rígidos, fotos, archivos, planificaciones, algunas cosas que son bastante secretas como movimientos de dinero. Sin dudas que si nuestra computadora cae en manos de un desconocido, o alguien que desea hacer daño, puede encontrar cosas que nosotros claramente no querríamos. Para esto tenemos algunas cosas en las que trabajar.

Contraseña

El punto número uno y que nadie debería obviarlo, nuestro sistema operativo debe tener usuarios, y cada usuario debe tener una contraseña. Si bien ésto no provee una seguridad altísima e inviolable, sirve para poder separar los usuarios entre sí y que los documentos no se “mezclen” por “error”.

Llave pública, llave privada, GPG

El punto número dos, es importante al momento de compartir información principalmente por email. GnuPG o GNU Privacy Guard es una alternativa de código libre al sistema privativo de Symantec, PGP.

GPG es la forma mas estándar de encriptar texto, ya sea para emails o para chat, punto a punto de una manera muy sencilla. Donde cada parte (usuarios) tiene un par de llaves, pública y privada. Supongamos que Juan desea enviarle a Carlos un email con algunas contraseñas de administración de los nuevos routers que acaba de instalar en la empresa. Juan quiere ser precavido, y no pretende que cualquier persona que tenga acceso al email de Carlos pueda ver esas contraseñas. Tanto Juan como Carlos tienen generados sus pares de llaves, y se han intercambiado con anterioridad las llaves públicas. Por otro lado, las llaves privadas, con las que se desencriptan los mensajes encriptados previamente con las llaves públicas están muy bien protegidas.

Juan entonces, encripta el archivo que desea enviarle a Carlos, utilizando la llave pública de Carlos. El resultado es un binario ilegible, o un archivo de texto aún más ilegible. Juan lo envía por email y Carlos lo recibe. Haciendo uso de su llave privada, él puede ver el contenido. A pesar de que el binario incomprensible está en el email que envió Juan, nadie podrá saber nunca que es lo que había allí dentro.

Encriptación total en las unidades de disco

El punto número tres, que casi nadie debería obviarlo, es tener nuestro disco rígido encriptado. Tener nuestro dísco encriptado nos permite gozar de una seguridad sustancialmente alta; Todos los archivos se encuentran en el disco, pero sin la clave de desencriptación, la computadora ni siquiera puede bootear el sistema operativo.

En GNU/Linux, es ampliamente usado dm-crypt, o device-mapper crypt para encriptar discos rígidos enteros sin importar si son parte de un RAID, LVM o una simple partición EXT.

LUKS es el estándar de hoy para encriptar discos rígidos en Linux. En Internet se pueden encontrar cientos de guías de como configurarlo. Por supuesto que es de código libre y se puede investigar en su página de Github.

Para Windows existe Bitlocker, aunque sólo está disponible en las versiones más costosas y profesionales del mismo.

Conclusiones

Habiendo observado todas estas cosas que tenemos para trabajar, es momento de cerrar el topic  con algunas conclusiones y hechos.

  • El primer error siempre es humano, el descuido es el principal.
  • Nunca confíes en alguien de Internet.
  • Nunca estás lo suficientemente protegido.
  • El backup no es seguro hasta que no lo probás, y funciona.
  • Tu tía Marta no debería haber clickeado ese email donde ganó la lotería que nunca jugó.

En estos momentos mas que nunca, los usuarios tienen que estar alerta para saber que es lo que sucede. Hasta donde se puede llegar, que tan vulnerable somos y que tan en la mira estamos. Por último me gustaría dejarles algunos enlaces donde pueden nutrirse de información y seguir distintos aspectos de la seguridad.

  • Twitter de Edward Snowden: Snowden es ex empleado de la CIA y la NSA. En 2013 leakeó documentos clasificados como super secretos sobre algo del software de la NSA como el software de vigilancia PRISM. Les recomiendo ver la película Snowden (2016) http://www.imdb.com/title/tt3774114/
  • Twitter y blog personal de Javier Smaldone: Javier es quien desnudó junto a Joaquin Sorianello los problemas de seguridad en la boleta electrónica y el voto electrónico, donde demostró infinidad de veces lo peligroso que es tener un sistema así funcionando en nuestro país, y las formas de vulnerarlo, incluso utilizando una minipimmer.
  • Twitter de Joaquín Sorianello: Joaquín fue un programador procesado por detectar terribles fallos de seguridad en la boleta electrónica.
  • El subreddit /r/privacy: Donde se pueden leer noticias, documentos, preguntar y responder acerca de la privacidad en el mundo digital.
  • Hackernews: por lejos uno de los mejores lugares para leer acerca de tecnología, sistemas, programación, seguridad informática:
  • Conferencia de seguridad informática Ekoparty: por lejos uno de los eventos que mas ansío todos los años. Es una conferencia mayormente de seguridad informática donde uno además de asistir a las charlas de un excelente nivel, tiene la posibilidad de participar en los diferentes workshops y juegos como el capture the flag.

14 Comentarios

  1. Muy buen articulo! super recomendable! pero ahora te tenes que hacer uno sobre Celulares!

    Que es lo mas comun que te lo roben o perderlo, y si no tenes encriptada la tarjeta de memoria SD sonaste, y ni hablar si no le pusiste minimo un patron de desbloqueo.-

  2. Che, si encripto mis HDDs ¿Eso me proteje de una amenaza que pude haber descargado?

    ¿O sólo ante la posibilidad de que alguien robe el equipo y quiera ver los archivos?

  3. Guille, muy buen post. De todos estos métodos, ¿cuáles usás vos?

    Me siento re desprotegido, salvo el de la contraseña en el S.O, no uso ninguno de estos métodos.

    • Ale, al artículo lo escribió Nico Rey.

      Yo soy bastante más espartano. Si bien uso algunas cosas, no soy tan expero como Nico como para configurar todo lo que comenta sin romper la pantalla

  4. Por ejemplo, yo en telefonía celular venía usando Windows Phone, y hace un par de semanas compré un Android después de un par de años sin usarlo. Lo primero que hice, antes de meterle cualquier SIMCard fué encriptarlo, aprovechando que estaba recién sacado de la caja y estaba inmaculado, y asi también el proceso fué bastante más rápido.

    Lo segundo, y sin haberlo conectado nunca a Internet, fué rootearlo e instalarle orbot y orfox, bajados desde un notebook, y recién ahí le dí acceso a la red por wlan (cuando orbot corre sobre un rooteado, todo el tráfico de todas las aplicaciones es anónimo, incluido el tráfico de los dispositivos que se conecten a Internet a través del celular vía tethering por wifi o bluetooth o si lo uso como módem con conexión usb para darle Internet a un pc). Realmente me sorprendió lo fluido que iba conectado por wifi, considerando que es un Android de gama ultra baja y súper baratito (Alcatel Pixi 3 versión 3G con KitKat).

    Para ser más anónimo jamás llegué a conectarme con el imei original, le puse el de un Nokia 1108 de mi propiedad no rastreable y la dirección MAC, el Android ID y otros parámetros identificatorios cambian aleatoriamente en cada reinicio. Respecto de WhatsApp, he probado enviar mensajes encriptados con pgp con llaves RSA de 2048 y 4096 bits y los envía perfectamente en un solo mensaje (no confío en la encriptación punto a punto cuando la efectúa una aplicación de código cerrado como WhatsApp). También se pueden enviar archivos encriptados con pgp siempre y cuando le cambiemos la extensión por una aceptable, como .doc por ejemplo, y no supere los 16 Mb (si es más grande se puede fraccionar antes de enviarlo y volver a unirlo después, con alguna aplicación como winrar por nombrar alguna).

    Para encriptación de texto y archivos con protocolo PGP de clave pública en Android recomiendo OpenKeyChain, y para correo electrónico K-9. No aconsejo encriptar la tarjeta microSD con la función de encriptación nativa de Android, porque no es un proceso reversible y en caso de reinicio de fábrica se perdería el acceso a los datos de la tarjeta. En su lugar recomiendo encriptar directorios o archivos con SSE. Respecto al desbloqueo del terminal, la EFF recomienda como mucho más seguro el uso de PIN o password que los patrones o la biometría (al encriptar el teléfono es obligatorio un PIN como mínimo). Para respaldar las aplicaciones y sus datos, uso Titanium Backup, y para respaldar la rom uso el recovery TWRP, ambos permiten encriptar los backups.

    • Un comentario al margen, elegí un teléfono muy barato para no resentir la pérdida o robo del terminal o la anulación de la garantía por rootearlo, y para no utlizar el sistema de rastreo antirrobo de Google ni el Play Store, ya que lo uso sin una cuenta Google asociada. Considero a Google el espía masivo más grande sin duda alguna.

  5. Excelente el artículo y es muy grave lo ocurrido en USA.

    Es cuestión de tiempo a que se extienda a nivel global.

    La pregunta es: ¿Cómo se frena esto? ¿Cómo le explicás al usuario mortal que está permitiendo un control y abuso de privacidad tan descarado?

    Redes sociales, servicios cloud, navegadores y en definitiva, todo el software no libre circulante.

    • Hola Alexis, muchas gracias!

      Es imposible frenarlo, no podés concientizar a todo el mundo. Ojo! Yo tampoco soy 100% conciente, tengo numerosas redes sociales donde subo mis fotos, comparto videos de perritos y me río con amigos sobre las fotos del último viaje que hicimos y “checkeamos”. Si querés ser un purista completo, tenés que irte a vivir al medio del campo, desconectado del mundo con un gorro de papel aluminio en la cabeza. Pero bueno, uno puede evitar ciertas filtraciones de información mas sensible.

Dejar respuesta

Please enter your comment!
Please enter your name here