7. Mantener privada tu comunicación en Internet

Tabla de contenido

...Loading Table of Contents...

    La conveniencia, la relación costo-beneficio y la flexibilidad del correo electrónico y de la mensajería instantánea los hace extremadamente valiosos para las personas y las organizaciones, incluso para aquellas con el acceso más limitado a la Internet. Para aquellos con conexiones más rápidas y más confiables, programas como Jitsi, Skype y otras herramientas de Voz sobre Protocolo de Internet (VoIP) también comparten estas características. Lamentablemente, estas alternativas digitales a los medios tradicionales de comunicación no siempre pueden ser confiables para mantener privada información sensible. Por supuesto, esto no es nada nuevo. El correo postal, las llamadas telefónicas y los mensajes de texto también son vulnerables, particularmente cuando se utilizan por quienes son objeto de vigilancia por parte de las autoridades.

    Una diferencia importante entre las comunicaciones digitales, métodos de comunicación basados en Internet y métodos más tradicionales, es que la primera a menudo te permite elegir tu propio nivel de seguridad. Si envías correos electrónicos, mensajes instantáneos y conversaciones en Voz sobre Protocolo de Internet (VoIP) utilizando métodos inseguros, éstos son casi con certeza menos privados que las cartas físicas o las llamadas telefónicas. Esto ocurre, en parte, debido a que algunas muy poderosas computadoras pueden automáticamente buscar a través de grandes cantidades de información digital para identificar a los remitentes, los destinatarios y palabras claves específicas. Se requieren de grandes recursos para llevar a cabo el mismo nivel de vigilancia para canales de comunicación tradicionales. Sin embargo, si tomas ciertas precauciones, puedes hacer realidad lo opuesto. La flexibilidad de las herramientas de comunicación de Internet y la fortaleza del cifrado moderno pueden ahora proporcionarnos un nivel de privacidad que alguna vez sólo estuvo al alcance de los ejércitos nacionales y de las organizaciones de inteligencia.

    Siguiendo las guías y explorando el software que se trata en este capítulo, puedes mejorar enormemente la seguridad de tus comunicaciones. El servicio de correo electrónico Riseup, el complemento OTR para el programa de mensajería instantánea de Pidgin, el Mozilla Firefox y el complemento Enigmail para el cliente de correo electrónico Mozilla Thunderbird son todas excelentes herramientas. Sin embargo, cuando las utilices debes tener en cuenta que la privacidad de una conversación nunca estará cien por ciento garantizada. Siempre existe alguna amenaza que no has considerado, ya sea un registrador de teclas (keylogger) en tu computadora, una persona escuchando tras la puerta, un corresponsal de correo electrónico descuidado o algo completamente diferente. El objetivo de este capítulo es ayudarte a reducir incluso las amenazas que no se te ocurran, mientras evitamos la posición extrema, favorecida por algunos, de que no debes enviar nada por Internet que no estés dispuesto/a a comunicar públicamente.

    Contexto

    Claudia y Pablo trabajan con una ONG de derechos humanos en un país sudamericano. Después de pasar varios meses recolectando testimonios de testigos de violaciones de derechos humanos que fueron cometidos por miembros del ejército en su región, Claudia y Pablo han empezado a dar pasos para proteger los datos resultantes. Ellos mantienen sólo la información que necesitan, la cual almacenan en una partición TrueCrypt que está respaldada en varias ubicaciones físicas. Mientras se preparan para publicar ciertos aspectos de estos testimonios en un próximo informe, ellos se han percatado que deben debatir información sensible con unos cuantos de sus colegas en otro país. Aunque han acordado no mencionar nombres ni ubicaciones, aún así quieren garantizar que sus correos electrónicos y conversaciones a través de mensajería instantánea sobre este tema se mantengan privadas. Después de convocar una reunión para ocuparse de la importancia de la seguridad en la comunicación, Claudia pregunta si alguien en la oficina tiene alguna inquietud.

    ¿Qué puedes aprender de este capítulo?

    • Porqué la mayoría de los correos con interfaz web y servicios de mensajería instantánea no son seguros.
    • Cómo crear una nueva y más segura cuenta de correo electrónico.
    • Cómo mejorar la seguridad en tu actual cuenta de correo electrónico.
    • Cómo utilizar un servicio seguro de mensajería instantánea.
    • Qué hacer en caso que sospeches que alguien podría estar accediendo a tu correo electrónico.
    • Cómo verificar la identidad de un remitente de correo electrónico.

    Asegurar tu correo electrónico

    Existen pocos pasos importantes que puedes dar para incrementar la seguridad de tu comunicación por correo electrónico. El primero es asegurarte que sólo la persona a quien le envías el mensaje sea capaz de leerlo. Esto se trata en las secciones Mantener privado tu correo con interfaz web y Cambiarse a una cuenta de correo electrónico más segura, que vienen a continuación.

    Yendo más allá de los fundamentos, a veces es crítico que tus contactos de correo electrónico tengan la capacidad de verificar, sin duda, que un mensaje en particular efectivamente viene de ti y no de alguien que podría estar intentando hacerse pasar por ti. Una manera de lograrlo está descrita en la sección Seguridad avanzada de correo electrónico, dentro de la sección Cifrar y autenticar los mensajes individuales.

    También debes saber qué hacer si sospechas que la privacidad de tu cuenta de correo electrónico ha sido violada. La sección Consejos para responder a una sospecha de violación de correo electrónico se ocupa de esta interrogante.

    Recuerda, también que el asegurar el correo electrónico no tendrá ningún efecto positivo si todo lo que ingresas se registra por medio de un software espía (spyware) y es enviado de manera periódica por medio de la Internet a un tercero. El capítulo 1. Proteger tu computadora de software malicioso (malware) y piratas informáticos (hackers) ofrece algunos consejos sobre como evitar esta clase de cosas, y el capítulo 3. Crear y mantener contraseñas seguras te ayudará a proteger tus cuentas para el correo electrónico y las herramientas de mensajería instantánea descritas a continuación.

    Mantener privado tu correo con interfaz web

    La Internet es una red abierta a través de la cual la información normalmente viaja en formato legible. Si un mensaje común de correo electrónico es interceptado en su ruta hacia el destinatario, su contenido puede ser leído muy fácilmente. Y, debido a que la Internet es una gran red que depende de computadoras intermedias para dirigir el tráfico, muchas personas distintas pueden tener la oportunidad de interceptar un mensaje de esta manera. Tu Proveedor de Servicio de Internet (ISP) es el primer destinatario de un mensaje de correo electrónico cuando este inicia su viaje hacia el destinatario final. De manera similar, el ISP del destinatario es la última parada para tu mensaje antes de ser entregado. A menos que tomes ciertas precauciones, tus mensajes pueden ser leídos o interferidos en cualquiera de estos puntos, o mientras viaja.

    Pablo: Estuve hablando con uno de nuestros colegas acerca de todo esto, y ella dijo que ella y sus colegas a veces simplemente guardan mensajes importantes en la carpeta de 'Borradores' de su cuenta de correo con interfaz web donde todos comparten una contraseña. Esto me suena un tanto extraño, pero ¿Funciona? Es decir, ¿ese hecho no evitaría que alguien lea los mensajes, ya que en realidad nunca los enviaron?

    Claudia: Sea cual fuera el momento en que lees un mensaje de correo electrónico en tu computadora, incluso si es solamente un 'borrador', su contenido ha sido enviado a ti a través de la Internet. De lo contrario, no podría aparecer en tu pantalla ¿correcto? La cosa es que si alguien te tiene bajo vigilancia, ellos simplemente no vigilan tus mensajes de correo electrónico, ellos pueden escanear toda la información legible que sale e ingresa a tu computadora. En otras palabras, este truco no funcionaría al menos que cada uno se conecte de manera segura a esa cuenta compartida con interfaz web. Y si lo hacen entonces no hace daño a nadie crear cuentas separadas o seguir adelante y pulsar el botón de 'enviar'.

    Hace tiempo que es posible asegurar tu conexión de Internet entre tu computadora y los sitios web que visitas. A menudo encuentras este nivel de seguridad cuando ingresas contraseñas o información de tarjeta de crédito en sitios web. La tecnología que hace que ello sea posible se llama cifrado de Capa de Conexión Segura (Secure Sockets Layer (SSL)). Puedes decir si estas o no utilizando SSL mirando con atención la barra de direcciones de tu navegador web.

    Todas las direcciones web normalmente empiezan con las letras HTTP, como se muestra en el ejemplo siguiente:

    Cuando visitas un sito web seguro, su dirección empieza con HTTPS.

    La ' S' adicional al final significa que tu computadora ha establecido una conexión segura al sitio web. También puedes notar un símbolo de 'candado', ya sea en la barra de direcciones o en la barra de estado en la parte baja de tu ventana del navegador. Estas son pistas que te permiten saber que cualquiera que esté vigilando tu conexión a Internet no será ya capaz de espiar tu comunicación con dicho sitio web en particular.

    Además de proteger contraseñas y transacciones financieras, este tipo de cifrado es perfecto para asegurar tu correo con interfaz web. Sin embargo, muchos proveedores de correos con interfaz web no ofrecen acceso seguro, y otros requieren que lo habilites explícitamente, ya sea fijando una preferencia o ingresando manualmente el término HTTPS. Siempre debes asegurarte que tu conexión sea segura antes de tener acceso, leer tu correo electrónico o enviar un mensaje.

    Debes prestar mucha atención si tu navegador de pronto empieza a quejarse sobre unos certificados de seguridad inválidos cuando intentas acceder a una cuenta segura con interfaz web. Esto podría significar que alguien esta interfiriendo en la comunicación entre tu computadora y el servidor con el fin de interceptar tus mensajes. Finalmente, si confías en tu correo con interfaz web para intercambiar información sensible, es importante que tu navegador sea lo más confiable posible. Considera el instalar Mozilla Firefox y sus complementos vinculados a la seguridad.

    Parte Práctica: Empieza con la Guía del Firefox

    Pablo: Una de las personas que va a trabajar con nosotros en este informe tiende a utilizar su cuenta de correo con interfaz web de Yahoo cuando no está en la oficina. Y si no recuerdo mal alguien más utiliza Hotmail. Si les envío un mensaje a estas personas, ¿Puede otra persona leerlos?

    Claudia: Probablemente. Yahoo, Hotmail y otros muchos proveedores de correo con interfaz web tienen sitios web inseguros que no protegen la privacidad de los mensajes de sus usuarios. Vamos a tener que cambiar los hábitos de ciertas personas si deseamos ser capaces de tratar estos testimonios de forma segura.

    Cambiarse a una cuenta de correo electrónico más segura

    Pocos proveedores de correo con interfaz web ofrecen el acceso Capa de Conexión Segura (SSL) a tu correo electrónico. Por ejemplo, Yahoo y Hotmail, proporcionan una conexión segura cuando inicias sesión, para proteger tu contraseña, pero tus mensajes en sí se envían y reciben de manera insegura. Además, Yahoo, Hotmail y otros proveedores de correo con interfaz web incluyen la dirección IP de la computadora que estas utilizando en todos los mensajes que envías.

    Las cuentas de Gmail, por otro lado, utilizan una conexión segura desde el inicio de sesión y todo el tiempo hasta que hayas cerrado la sesión. Puedes comprobarlo todo el tiempo viendo y observando el URL que inicia con 'https', en la que la 's' denota una conexión segura. A diferencia de Yahoo y Hotmail, el Gmail no revela tu dirección IP a tus destinatarios de correo. Sin embargo no es recomendable que confíes completamente en Google para la confidencialidad de tus comunicaciones electrónicas sensibles. Google escanea y guarda el contenido de los mensajes de sus usuarios para una gran variedad de propósitos y, en el pasado, ha sido condesciente con demandas de los gobiernos que restringen la libertad digital. Dirígete a la sección de Lecturas Adicionales para obtener mayor información sobre la política de privacidad de Google.

    Si es posible, debes crearte una nueva cuenta de correo electrónico en Riseup visitando <https://mail.riseup.net>. Riseup ofrece correo electrónico gratuito a los activistas alrededor del mundo y presta mucha atención a la protección de la información almacenada en sus servidores. Ellos por mucho tiempo han sido una fuente confiable para aquellos con necesidad de soluciones seguras de correo electrónico. Y, a diferencia de Google, tiene políticas muy estrictas relativas a la privacidad de sus usuarios e intereses no comerciales que en algún momento pudieran entrar en conflicto con sus políticas. Sin embargo, con el fin de crear una nueva cuenta de Riseup, necesitaras dos 'códigos de invitación.' Estos pueden ser entregados por cualquiera que ya tenga una cuenta de Riseup. Si tienes una copia física de este folleto, debes haber recibido tus 'códigos de invitación' junto con el mismo. Si no es así, necesitaras ubicar dos usuarios de Riseup y solicitarles que cada uno de ellos te envíe un código.

    Parte Práctica: Empieza con la Guía del Riseup

    Tanto el Gmail como Riseup son más que solo proveedores de correo con interfaz web. Estos pueden también utilizarse con un cliente de correo electrónico, tal como el Mozilla Thunderbird, que admite las técnicas descritas en Seguridad avanzada de correo electrónico. El garantizar que tu cliente de correo electrónico tenga una conexión cifrada con tu proveedor es tan importante como el acceder a tu correo con interfaz web a través de una dirección HTTPS Si utilizas un cliente de correo electrónico, dirígete a la Guía del Thunderbird para detalles adicionales. Sin embargo, por lo menos, debes estar seguro de habilitar el cifrado SSL o TLS tanto para los servidores de correo de salida como de entrada.

    Pablo: Entonces, ¿debo cambiarme a utilizar el Riseup o puedo seguir utilizando Gmail, y simplemente cambiarme a una dirección 'https'?

    Claudia: Esa es tu decisión, pero hay algunas cosas que debes considerar definitivamente cuando elijas un proveedor de correo electrónico. Primero, ¿te ofrecen una conexión segura a tu cuenta? Gmail lo hace, entonces ahí estás bien. Segundo, ¿confías en que los administradores mantengan privado tu correo electrónico y que no lo lean o compartan con otros? Esa depende de ti. Y, finalmente, debes pensar si es o no aceptable para ti que se te identifique con ese proveedor. En otras palabras, te pondrá en problemas el utilizar una dirección de correo electrónico que termine con 'riseup.net', el cual se conoce que es popular entre activistas, o necesitas una dirección más común como 'gmail.com'?

    Sin importar qué herramientas seguras de correo electrónico decidas utilizar, considera que cada mensaje tiene un remitente y uno o más destinatarios. Tú mismo eres sólo una parte de todo, incluso si accedes a tu cuenta de correo electrónico de manera segura, considera qué precauciones toman o no tus contactos cuando envían, leen y responden a los mensajes, trata también de conocer dónde se hallan los proveedores de correo electrónico de tus contactos.

    Naturalmente, algunos países son más agresivos que otros cuando se trata de vigilancia de correos electrónicos. Para garantizar la comunicación privada, tú y tus contactos debéis utilizar servicios de correo electrónico seguros alojados en países relativamente seguros. Y - si quieres estar seguro que tus mensajes no son interceptados entre tu servidor de correo electrónico y el correspondiente de tu contacto - todos deben elegir el utilizar cuentas del mismo proveedor, utilizar el Riseup es una buena idea.

    Consejos adicionales para mejorar la seguridad de tu correo electrónico

    • Siempre se cauto cuando abras archivos adjuntos de un correo electrónico que no estés esperando, que provenga de alguien que no conoces o que contengan términos sospechosos en la línea de asunto. Cuando abras correos electrónicos como estos, debes asegurarte que tu antivirus esté actualizado y prestar mucha atención a cualquier advertencia que se muestre por parte de tu navegador o tu programa de correo electrónico.

    • El utilizar software anónimo como el Tor, el cual se describe en el capítulo 8. Mantenerse en el anonimato y evadir la censura en Internet, puede ayudarte a esconder el servicio de correo electrónico que elegiste de cualquiera que pudiera estar vigilando tu conexión de Internet. Y, dependiendo de la amplitud del filtrado de Internet en tu país, podrías necesitar utilizar Tor, o una de las herramientas de evasión descritas en dicho capitulo, sólo para acceder a un proveedor seguro de correo electrónico tal como el Riseup o Gmail.

    • Cuando crees una cuenta que pretendes utilizar mientras te mantienes anónimo antes tus propios destinatarios de correo electrónico, o de foros públicos en los cuales colocas mensajes por correo electrónico, debes ser lo suficientemente cuidadoso para no registrar un nombre de usuario o 'Nombre Completo' que este relacionado a tu vida personal o profesional. En dichos casos, también es importante que evites utilizar Hotmail, Yahoo, o cualquier otro proveedor de correo con interfaz web que incluya tu dirección IP en los mensajes que envías.

    • Dependiendo de quien tenga acceso físico a tu computadora, el eliminar los rastros vinculados a tu correo electrónico de tus archivos temporales puedes ser tan importante como proteger tus mensajes mientras viajan por la Internet. Dirígete al capítulo 6. Destruir información sensible y a la Guía del CCleaner para obtener detalles.

    • Debes considerar usar diferentes cuentas anónimas de correo electrónico para comunicarte con diferentes grupos de personas en tu red de contactos. También debes usar cuentas de correo diferentes para registrarte en servicios que requieren de una cuenta de correo.

    • También es importante tener en cuenta qué escribimos en nuestros correos electrónicos y el impacto que puede llegar a tener si llega a manos equivocadas. Una manera de incrementar la seguridad en el intercambio de información sensible es desarrollar un sistema de códigos para no tener que usar nombres reales de personas, direcciones reales de sitios, etcétera.

    Consejos para responder ante una sospecha de vigilancia de correo electrónico

    Si sospechas que tu cuenta de correo electrónico ha sido hackeada o intervenida, existen algunos pasos para reducir el daño. Si bien no es fácil estar seguro, podrían observarse algunos indicios, como por ejemplo:

    • observas cambios en la cuenta de correo electrónico o en su configuración que no has efectuado.
    • los contactos de tu lista de correo avisan que han recibido un correo que tú no enviaste.
    • no puedes ingresar a tu cuenta de correo electrónico, aunque estás seguro de que la contraseña y otras configuraciones son correctas.
    • has dejado de recibir con regularidad algunos mensajes de correo de tus colegas que insisten haberte enviado.
    • cierta información privada que fue enviada o recibida exclusivamente por correo electrónico fue dada a conocer a un tercero, aunque ni tú ni tu corresponsal la compartieron.
    • al ingresar al historial de actividad de la cuenta de correo (en el caso de que tu proveedor la ofrezca) puedes ver que ingresaron a tu cuenta en un horario que no recuerdas o desde un lugar (o dirección IP) a la que no ingresaste.

    En estas situaciones, es aconsejable tomar algunas precauciones:

    • Deja de usar esa cuenta de correo electrónico para enviar información sensible, por lo menos hasta tener una mejor comprensión de la situación.

    • Cambia tu contraseña tan pronto como sea posible. Ver [capítulo 3. Crear y mantener contraseñas seguras]. Para cambiar la contraseña de tu cuenta (o para otras cuentas) es necesario estar familiarizado con el sistema de correo electrónico que utilizar, para poder hacerlo rápido. Cambia la contraseña de todas las otras cuentas que tengan la misma contraseña o una similar ya que también podrían estar intervenidas. Utiliza contraseñas diferentes y seguras para cada cuenta. También podrías cambiar todas las contraseñas de las cuentas que posees. Considera utilizar Keepass para almacenarlas y administrarlas. Cambia las respuestas de seguridad (si las utilizas) de todas las cuentas, para que sea imposible adivinar o encontrar la respuesta buscando información sobre ti. Esta precaución aplica en el caso de que tu ordenador esté infectado con programas espía (spyware) que podría poner en riesgo las otras cuentas.

    • Si no puedes ingresar a tu cuenta para cambiar las contraseñas, considera ponerte en contacto con tu proveedor de correo electrónico e intentar recuperar tu cuenta. Algunos proveedores de correo electrónico cuentas con procedimientos especiales para ayudar a los usuarios en estos casos. Conocer estos procedimientos con antelación puede ser de ayuda.

    • Mitigar la pérdida de información y el impacto en su comunidad. Es importante contar con un plan de respuesta. Saber qué tipos de información sensible tienes en la cuenta y determinar aquellas personas con las cuales intercambias información a través de esa cuenta, decidir a quienes debes alertar y qué otras cuentas será necesario revisitar o cerrar. Determinar qué servicios (de Internet, financiera, etc.) será necesario revisitar o cancelar. Es importante controlar las carpetas de la cuenta (de ser posible) para investigar qué podría haber sido enviado desde tu cuenta y actuar en consecuencia. Para informar a tus contactos, necesitará una copia de tu libreta de direcciones por separado. También deberás revisar la configuración de tu cuenta para ver posibles cambios que se hayan producido. Controlar las opciones de firmas de las cuentas para los enlaces y programas maliciosos (malware), enviando opciones que permitan copiar correos electrónicos que recibes a una tercera cuenta, mensajes de aviso de ausencia, visualizar el nombre, etc.

    • Investigar cómo fue intervenida tu cuenta. Ocurrió porque la contraseña no era segura, o infección de programas maliciosos, etc. Cuanto más sepa sobre esto será mejor su capacidad para responder ante la situación y la posibilidad de proteger a sus contactos.

    • Revise la seguridad de todos sus dispositivos que acceden a esa cuenta de correo electrónico, y los dispositivos en los que ha almacenado la contraseña de su cuenta de correo electrónico. Ver capítulos 1. Proteger tu computadora de malware y piratas informáticos (hackers), 2. Proteger tu información de amenazas físicas y 11. Utilizar teléfonos inteligentes de la forma más segura posible. Revise su software antivirus (vea los manuales guía de Avast! - Anti-Virus y Spybot - Anti-Spyware. Examina tu ordenador: lee 4.1 Guía corta para combatir las infecciones de virus. Utiliza un CD o USB de rescate para realizar un examen exhaustivo, ver 4.9 Métodos avanzados para la eliminación de virus. Si no estás seguro/a de que has podido limpiar tu equipo, considera volver a instalar todo el software, inclusive el sistema operativo desde una fuente limpia. Contempla el cambiar a programas más seguros como Firefox, Thunderbird, LibreOffice y otros programas de código libre y abierto. Tras realizar las mejoras mencionadas a la seguridad de tus dispositivos, cambia tus contraseñas nuevamente a nuevas, más seguras.

    • Contempla el denunciar el hackeo de tu cuenta a tu proveedor de correo electrónico.

    • Considera utilizar otra cuenta, más segura, por ejemplo, una que notifique cuando se ingresa desde lugares o dispositivos inusuales e impida el acceso. Utiliza una cuenta que esté albergada fuera de tu país y utilizar cifrado de correo, ver gpg4usb - texto de correo electrónico y cifrado de archivos o Thunderbird con Enigmail y GPG - Cliente de correo electrónico seguro.

    • Considera evitar guardar correos ya leídos en el servidor de correo de tu cuenta de correo electrónico. En lugar de esto, descárgalos a tu ordenador seguro. Analizar la seguridad con la que accedes a tu cuenta y los dispositivos que utilizas a este fin.

    En una situación como esta, es importante actuar con rapidez y precisión. Tener un plan preparado y ensayado puede ser de ayuda.

    Si sospechas que alguien ya está vigilando tu correo electrónico, puedes querer crear una nueva cuenta y conservar la antigua como un señuelo. Sin embargo, recuerda que cualquier cuenta con la cual hayas intercambiado correo electrónico en el pasado podría estar también ahora bajo vigilancia. Como resultado de ello, debes tener algunas precauciones adicionales:

    • Tanto tú como tus contactos recientes de correo electrónico deben crear nuevas cuentas y conectarse a ellas sólo desde lugares, como un café Internet, que nunca antes hayan utilizado. Te recomendamos esta estrategia con el fin de evitar conexiones desde la computadora que normalmente usas, la cual puede estar vigilada, y facilitarles a quienes te vigilan la ubicación de tu nueva cuenta. Como alternativa—si vas a iniciar sesión para tu nueva cuenta desde tu ubicación normal—puedes utilizar una de las herramientas descritas en el capítulo 8. Mantenerse en el anonimato y evadir la censura en Internet, para ocultar estas conexiones.

    • Intercambia información sobre esta nueva dirección de correo electrónico solo a través de canales seguros, tales como reuniones cara a cara, mensajes instantáneos seguros o cifrados, conversaciones de Voz sobre Protocolo de Internet (VoIP).

    • Mantén casi sin cambios el tráfico en tu vieja cuenta, al menos por un tiempo. Debes aparentar ante el espía que todavía estas utilizando la cuenta para información sensible. Probablemente, desees evitar el revelar información vital, pero debes intentar no hacer obvio que lo estás haciendo. Como puedes imaginar, esto puede ser algo exigente.

    • Dificulta el conectar tu identidad real con tu nueva cuenta. No envíes correos electrónicos entre tu nueva cuenta y las antiguas (o las de cualquier contacto del que sospeches que también pueda estar vigilado).

    • Mantente atento a lo que escribes cuando utilices tu nueva cuenta. Es mejor que evites utilizar nombres reales y direcciones o frases como 'derechos humanos' o 'tortura.' Desarrolla un sistema de código informal con tus contactos de correo electrónico y cámbialo periódicamente. Recuerda. La seguridad del correo electrónico no se trata solamente de tener fuertes defensas técnicas. Es también prestar atención a como tú y tus contactos de correo electrónico se comunican y mantienen disciplinados con relación a sus hábitos no técnicos de seguridad.

    Asegurar otras herramientas de comunicación por Internet

    De manera similar que en el caso del correo electrónico, el software de mensajería instantánea y de Voz sobre Protocolo de Internet (VoIP) pueden o no ser seguros, dependiendo de las herramientas que escojas y de cómo las uses.

    Asegurar tu software de mensajería instantánea

    La mensajería instantánea, también llamada 'chat,' normalmente no es segura, y puede ser tan vulnerable a la vigilancia como lo es el correo electrónico. Por suerte, existen programas que pueden ayudarte a asegurar la privacidad de tus sesiones de conversación o chat. Sin embargo - del mismo modo que con el correo electrónico - un canal de comunicación seguro requiere que tanto tú como tus contactos de mensajería instantánea utilicen el mismo software y tomen las mismas precauciones de seguridad.

    Existe un programa de chat llamado Pidgin que admite muchos de los protocolos existentes de mensajería instantánea, lo que significa que puedes utilizarlo fácilmente sin tener que cambiar el nombre de tu cuenta o recrear tu lista de contactos. Con el fin de tener conversaciones privadas cifradas a través del Pidgin, necesitarás instalar y activar el complemento Fuera de Registro (OTR). Afortunadamente, este es un proceso muy simple.

    Parte Práctica: Empieza con la Guía del Pidgin

    Pablo: Si el correo con interfaz de Yahoo es inseguro, eso significa que el ¿Yahoo Chat es inseguro, también?

    Claudia: Lo que tienes que recordar es que, si queremos utilizar mensajería instantánea para ocuparnos de este informe, necesitamos asegurarnos que todas las personas involucradas tengan instalados el Pidgin y el complemento Fuera de Registro (OTR). Si es así, podemos utilizar el Yahoo Chat o cualquier otro servicio de conversación (Chat).

    Asegurar tu software de Voz sobre Protocolo de Internet (VoIP)

    Las llamadas utilizando Voz sobre Protocolo de Internet (VoIP) hacia otros usuarios de Voz sobre Protocolo de Internet (VoIP) son generalmente gratuitas. Algunos programas te permiten también hacer llamadas baratas a teléfonos normales, incluyendo números internacionales. No es necesario decir que estas características pueden ser extremadamente útiles. Algunos de los programas más populares de Voz sobre Protocolo de Internet (VoIP) incluyen al Skype, Jitsi, Google Talk [2], y el Yahoo! Messenger [3].

    Normalmente, la comunicación por voz en Internet no es más segura que el correo electrónico no protegido y la mensajería instantánea. Cuando utilices conversaciones por voz para el intercambio de información sensible es importante escoger una herramienta que cifre la llamada durante todo el proceso, desde tu computadora hasta la computadora del destinatario. También es mejor utilizar software libre y de código abierto, preferiblemente aquellos que han sido revisados, probados y recomendados por una comunidad confiable. Tomando en cuenta los criterios expuestos anteriormente, recomendamos que pruebes Jitsi como tu elección para VoIP.

    Parte Práctica: Empieza con la Guía del Jitsi

    Nota sobre la seguridad de Skype

    El Skype es una herramienta común de mensajería instantánea y de VoIP que también soporta llamadas a líneas fijas y teléfonos móviles. A pesar de su popularidad, varios temas hacen de esta aplicación un elección insegura. Algunos de estos temas se describen a continuación.

    Según indica Skype, encriptan tanto los mensajes comos las llamadas de voz, esto sólo sucedería cuando ambos lados de la comunicación se encuentren utilizando el programa Skype. Skype no cifra las llamadas a teléfonos o textos enviados por mensajes SMS.

    Si ambos lados de la comunicación se encuentran utilizando el programa (genuino) Skype, su cifrado podrá hacer un poco más segura la llamada que aquellas realizadas de forma común por teléfono. Pero debido a que Skype es una programa de código cerrado, es imposible realizar una auditoría independiente y una evaluación de sus afirmaciones sobre cifrado, así mismo es imposible verificar que tan bien protege Skype a sus usuarios/as y su información y comunicación. El capitulo 1. Proteger tu computadora de software malicioso (malware) y piratas informáticos (hackers) se ocupa de las virtudes del Software Libre y de Código Abierto (FOSS) en su sección mantener actualizado tu software.

    Como mencionamos anteriormente, no podemos recomendar Skype como herramienta segura de comunicación, es importante tomar algunas precauciones si uno/a decide utilizarlo para comunicar información sensible:

    • Descargue e instale Skype sólo de su sitio oficial www.skype.com para evitar un programa skype infectado con spyware. Siempre es importante que revises dos veces el URL para asegurarte de que estas conectado al sitio oficial. En algunos países el sitio de Skype está bloqueado y/o algunos sitios falsos anunciando que son el sitio oficial de Skype están funcionando. En estos casos, la versión disponible de Skype seguramente está infectado con malware diseñado para espiar cualqueir comunicación. Utiliza herramientas de evasión como se describe en el Capítulo 8 para conectarse al sitio de Skype y descargar una versión genuina del programa Skype y cuando quieras actualizar la última versión del programa.
    • Es importante que cambies tu contraseña de Skype regularmente. Skype permite múltiples accesos a sesiones desde diferentes ubicaciones y no te informa de estas múltiples sesiones simultáneas. Esto es un gran riesgo si tu contraseña se encuentra comprometida, porque cualqueira con esa contraseña puede abrir su sesión. Todas las sesiones abiertas reciben todas las comunicaciones de texto y tienen acceso al historial de llamadas. Cambiar la contraseña es la única forma de deshabilitar las sesiones 'ilegales' (obligando a un reinicio de sesión).
    • También es recomendable activar las configuraciones de privacidad del Skype para que no guarde el historial de los chat.
    • También es recomendable deshabilitar la configuración del Skype que permite aceptar automáticamente los archivos enviados, ya que esto ha sido utilizado para introducir malware/spyware en las computadoras.
    • Siempre verifica de forma independiente la identidad de la persona con quien te estás comunicando. Es más sencillo hacerlo cuando realizas chat con voz ya que sabes con quién estás hablando.
    • Decide si quieres que tu nombre de usuario te identifica o relaciona con tu nombre verdadero o el nombre de tu organización.
    • Es importante siempre buscar otras alternativas de comunicación. Skype podría no estar disponible en todo momento.
    • Ten cuidado con lo que dices, desarrolla un sistema de código para conversar sobre temas sensibles sin utilizar una terminología específica.

    A pesar de la popularidad de Skype, las preocupaciones anteriormente expuestas cuestionan su uso seguro, por lo tanto recomendamos que inicies el uso de herramientas como Jitsi para VoIP y Pidgin, con el complemento Fuera de Registro (OTR), para mensajería instantánea segura.

    Seguridad avanzada de correo electrónico

    Las herramientas y conceptos tratados a continuación se recomiendan para usuarios de computadoras experimentados.

    Utilizar cifrado de clave (llave) pública en correo electrónico

    Es posible alcanzar un gran nivel de privacidad con el correo electrónico, incluso con una cuenta de correo electrónico insegura. Para hacer esto, necesitas aprender sobre cifrado de clave pública. Esta técnica te permite cifrar mensajes individuales, haciéndolos ilegibles a cualquiera que no sea uno de los destinatarios previstos. El aspecto ingenioso del cifrado de clave pública es que no tiene que intercambiar ninguna información secreta con tus contactos sobre cómo vas a cifrar tus mensajes en el futuro.

    Pablo: Pero, ¿cómo funciona todo esto?

    Claudia: ¡Puras matemáticas! Cifras tus mensajes hacia un contacto de correo electrónico dado, utilizando su 'clave pública' especial la cual puede distribuir libremente. Luego, ella utiliza su 'clave privada,' la cual debe guardar cuidadosamente, con el fin de leer dichos mensajes. A su turno, tu contacto utiliza tu clave pública para cifrar mensajes que te escribe. De modo que al final, debes intercambiar claves públicas, pero puedes compartirlas abiertamente, sin tener que preocuparte sobre el hecho de que cualquiera que desee tu clave pública pueda obtenerla.

    Esta técnica puede utilizarse con cualquier servicio de correo electrónico, incluso con uno que no cuente con un canal de comunicación seguro, debido a que los mensajes individuales son cifrados antes de que dejen tu computadora.

    Recuerda que al utilizar el cifrado puedes atraer la atención hacia ti. El tipo de cifrado utilizado cuando accedes a un sito web seguro, incluyendo una cuenta de correo con interfaz web, se ve a menudo con menor sospecha que la del tipo de cifrado de clave pública del que nos ocupamos aquí. En algunas circunstancias, si un correo electrónico que contenga esta suerte de datos cifrados es interceptado o publicado en un foro público, podría incriminar a la persona que lo envió, sin considerar el contenido del mensaje. Tú a veces tendrías que escoger entre la privacidad de tu mensaje y la necesidad de mantenerte sin llamar la atención.

    Cifrar y autenticar mensajes individuales

    El cifrado de clave pública puede parecer complicado al inicio, pero es muy directo una vez que has entendido los fundamentos, y las herramientas no son difíciles de utilizar. Simple, de fácil uso para el usuario y portátil; así es el programa gpg4usb el cual puede cifrar textos y archivos para mensajes de correo electrónico incluso cuando no estás conectado a la Internet.

    Parte Práctica: Empieza con gpg4usb Portátil - guía del programa de cifrado de texto y archivos para mensajes de correo electrónico

    El programa de correo electrónico de Mozilla Thunderbird puede ser utilizado con un complemento llamado Enigmail para cifrar y descifrar muy fácilmente mensajes de correo electrónico.

    Parte Práctica: Empieza con Thunderbird cliente de correo seguro

    La autenticidad de tu correo electrónico es otro aspecto importante de la seguridad en las comunicaciones. Cualquiera con acceso a la Internet y las herramientas correctas puede suplantarte enviando mensajes desde un correo electrónico falso que sea idéntico al tuyo. El peligro aquí es más aparente cuando se considera desde la perspectiva del destinatario. Imagina, por ejemplo, la amenaza planteada por un correo electrónico que aparenta ser de un contacto confiable pero que es en realidad de alguien cuyo objetivo es el de perturbar tus actividades o conocer información sensible sobre tu organización.

    Debido a que no podemos ver o escuchar a nuestros corresponsales a través del correo electrónico, normalmente confiamos en la dirección del remitente para verificar su identidad, que es la razón por la cual somos fácilmente engañados por correos electrónicos falsos. Las Firmas digitales - las cuales también se sostienen en el cifrado de clave pública - proporcionan un medio más seguro de probar la identidad de uno cuando se envía un mensaje. La guía del gpg4usb Portátil o la sección Utilizar Enigmail con GnuPG en Thunderbird de la Guía del Thunderbird explica en detalle cómo se hace esto.

    Pablo: Tengo un colega que una vez recibió un correo electrónico de parte mía que nunca envié. Decidimos, al final, que simplemente era correo comercial no deseado (spam), pero ahora me imagino cuanto daño podría haberse hecho si un correo electrónico falso apareciera en el buzón de la persona equivocada en el momento inapropiado. Escuche que se puede impedir esta clase de evento con firmas digitales ¿pero qué son?

    Claudia: Una firma digital es como un sello lacrado sobre la solapa de un sobre con tu carta incluida. Excepto que no puede falsificarse. Esto prueba que eres el verdadero remitente del mensaje y que este no ha sido falsificado en el camino.

    Lecturas Adicionales

    • Para aprender más sobre simular una identidad de correo electrónico, dirígete a la sección de Simulación (Spoofing) del libro Seguridad Digital y Privacidad para Defensores de los Derechos Humanos.
    • Además de las Guías Prácticas del Riseup y de Thunderbird, existen varios sitios web que explican como utilizar tu programa de correo electrónico con varios proveedores populares de correo electrónico al tiempo de dejar una copia de tus mensajes en el servidor de correo:
    • Existe un conocido ataque a la seguridad del cifrado de Capa de Conexión Segura (SSL) llamado el ataque del intermediario (Man in the Middle attack).
    • La Política de Privacidad de Gmail, la cual debes aceptar cuando creas una cuenta de Gmail, explica que, "Google almacena, procesa y mantiene los mensajes, lista de contactos y otros datos relacionado con la cuenta del usuario a fin de suministrarle el servicio." De hecho, todos los proveedores de correo electrónico escanean tus mensajes, hasta cierto punto, de modo que puedan ofrecer servicios contra el correo comercial no solicitado (spam) y otras opciones similares. Sin embargo, el Gmail va un poco más allá para proporcionar 'publicidad dirigida' basada en el contenido real de tu correo electrónico. Esto podría ser peligroso si la información almacenada por Google fuera intencional o accidentalmente expuesta.
    • Una serie de entrevistas en el 2008 que se enfocaron en las políticas de privacidad y cifrado de los principales servicios de mensajería instantánea.