Your SlideShare is downloading. ×
CryptoPeriodismoManual Ilustrado Para Periodistas       nelson fernandez         Pablo Mancini
Un paranoico es alguien que sabe         un poco de lo que está pasando                   William S. Burroughs	           ...
Índice	  1. Prólogo: Una brújula para periodistas, por AndrésD´Alessandro2. Introducción3. Cómo generar contraseñas segura...
Prólogo: Una brújula paraperiodistas                             Todas las cosas son palabras del                   idioma...
que empleaba la Policía del Pensamiento para controlar       un hilo privado. Incluso se concebía que los vigilaran       ...
militarización de la Red en el mundo y cómo nos espíanen la Argentina, temas que deberían (preo)ocuparnos mása periodistas...
registrado y escuchado por la Policía del Pensamiento,y luego ese “hilo informativo” permitía a losfuncionarios del Partid...
que periodistas y medios de todas las latitudesentendamos y nos adaptemos a esta nueva realidad.                          ...
Introducción    Nunca en la historia la humanidad tuvo tantasherramientas disponibles para comunicarse. Elperiodismo, como...
Con servicios como Amazon y Google funcionando,todavía eran impensables "game changers" como Youtube,Facebook o Twitter, q...
periodística y para los medios de comunicación han sidocomentados, discutidos y analizados en miles de librospublicados du...
Hacking Team, Vupen, Phoenexia, Blue Coat, y la listacontinua. En el 2012, los principales clientes fueronLibia, Egipto, U...
todo el mundo los compran. Incluso países con muy pocosrecursos, algunos muy pobres, invierten parte de supresupuesto en e...
de información, la transparencia, la privacidad ycontra las libertades en general. Es iluso pensar quela Red importa lo me...
protección tan inmaterial y a la vez tan poderosa quenecesariamente debe estar basada en el mismo recursoque los hace posi...
permiten entrecruzar información y acelerar el análisisen determinadas circunstancias”, según lo definió laministra de Seg...
La tarjeta SUBE, el Sistema Único de BoletoElectrónico, “un medio de pago simple y moderno”, segúnlo define el Gobierno, e...
La transparencia es para los gobiernos y losestados. La privacidad para los individuos. No al revés.El problema que resuel...
Así las cosas, no se trata de convertirse en geniosde la criptografía ni en matemáticos especializados enblindar y cifrar ...
Cuando Usted termine de leer este libro podrá saberlo inseguro que estaba hasta antes de leerlo. Estelibro no le ofrece ga...
Agradecemos a Mariella Miranda que diseñó la tapa ya Andrés D´Alessandro que escribió el prólogo.                     Buen...
Cómo generar contraseñas seguras    Las claves de acceso a los dispositivos y a losservicios Web son, frecuentemente, una ...
para obtener información sobre la víctima y, a partirde ella, dar con la clave que se busca o tener losdatos que permiten ...
dejar fuera de juego la posibilidad de que alguien contiempo, cercano a Usted o un desconocido con acceso ainformación sob...
3. Añada una variable más, una letra en mayúsculas.La tercera por ejemplo: "nsSducqmacm".    4. Tome en cuenta el servicio...
minimizar el riesgo de que alguien pueda acceder a susclaves y, en caso de que sea accedida por un tercero,no pueda usarla...
utiliza más o menos el mismo algoritmo explicadoanteriormente y le agrega la función de hash. Con locual, si el servicio q...
    29	  
Cómo armar un sistema de correosno vinculante    Los correos electrónicos son actualmente unmecanismo clave de la comunica...
Actualmente Usted está en peligro: si alguien tieneacceso a su cuenta de correo, está en el actohabilitado para tomar cont...
proceso de espionaje. Por eso es tan importante queUsted registre su segunda cuenta en un serviciodistinto a la primera, c...
Cómo encriptar el contenido delos chats    El chat es una puerta de inseguridadpermanentemente abierta. Los periodistas us...
esas aplicaciones. Y usar otras considerablemente menosinseguras como, por ejemplo, Jabber.    Jabber es un protocolo de m...
http://psi-im.org/Adium para Machttp://adium.im/Xabber para Androidhttp://www.xabber.com/Gibber para Androidhttps://guardi...
Una vez generada la clave, se va a mostrar suFingerprint. Una buena práctica es verificar por otromedio (email, teléfono, ...
Un dato no menor a tener en cuenta es que en elservicio de IM de Google existe una opción OTR. Estaopción no tiene relació...
CrytoCat    Si Usted necesita tener una conversación segura enInternet y no dispone de un cliente XMPP ni del pluginOTR, C...
Cómo anonimizarse al usarInternet    El proyecto Tor intenta permitir navegaranónimamente por Internet. Esto lo logra util...
el camino completo. Sólo conoce el túnel anterior dedonde vino y hacia dónde tiene que enviarlo acontinuación, nada más.  ...
Un punto a tener en cuenta es que Tor opera desdela máquina del usuario hasta el último servidor antesde llegar a destino....
Tor no resuelve todos los problemas de anonimidad.Por ejemplo la información que presenta el navegador alconectarse al ser...
técnicos y de infraestructura que se pueden ver en elsitio de Tor.Tor, también en el teléfono celular    The Guardian Proj...
Cómo construir un túnel privado    Las Redes Privadas Virtuales (VPN) no son nuevas.Hace ya mucho tiempo que existen y nac...
implica que cualquier persona que intercepte lacomunicación desde ese lado del túnel puede saber todoslos datos solicitado...
RiseuoVPN, https://help.riseup.net/es/vpn    Una alternativa a los servicios arancelados esconfigurar su propio servicio d...
Cómo tener una privacidad“bastante buena”    Pretty Good Privacy (PGP) es un software paraencriptar y desencriptar informa...
OS X: GpgTools es la implementación para Mac queofrece varias herramientas además de PGP, incluyendointegración con el adm...
Cuando Usted abra esa ventana se le presentará unnuevo menú que tiene la opción Generate y un submenúNew Key Pair, que una...
Aquí podrá seleccionar la cuenta de correo para lacual se va a generar el par de claves, una clave deseguridad que se le s...
especificar el uso que se pretende dar a esa clave, asíal momento de seleccionarla es más simple:    En las opciones avanz...
Una vez elegidas estas opciones, Usted puedeoprimir el botón de Generate Key para comenzar elproceso de la generación de l...
su clave privada, la contraseña para utilizarla o encaso de que la clave privada haya sido comprometida, esdecir, haya sal...
OpenPGP, que tiene las opciones, Sign Message y EncriptMessage (Firmar y Encriptar Mensaje) que le permitiránfirmar los me...
En caso de que la firma no pueda ser verificada, labarra será de color rosa. Esto implica que el mensajefue modificado de ...
Cómo asegurar su teléfono    Los dispositivos móviles son usados cada vez máspara las tareas más diversas: desde enviar co...
- Activar el ingreso por contraseña cuando no seusa el móvil por un tiempo determinado.    - Activar que los datos sean bo...
ObscuraCam    Es una cámara de fotos que puede oscurecer,encriptar o destruir pixeles de una imagen. También seestá trabaj...
Cómo encriptar un disco     La mejor herramienta de código abierto paraencriptar un disco rígido es sin lugar a dudasTrueC...
crear un archivo contenedor o encriptar un disco opartición:    La opción de un archivo contenedor crea un archivoque pued...
Las particiones ocultas se crean sobre unapartición ya existente y es, precisamente, el tipo departición que mencionábamos...
Ahora tendrá que seleccionar dos parámetros muytécnicos, como son el algoritmo de encriptación y el dedigesto. Por defecto...
El siguiente paso es seleccionar la capacidad deeste archivo. Debe tener en cuenta que una vez creadono se podrá modificar...
Y finalmente se le solicitará seleccionar la clave paraproteger el disco.    Una opción extra que se presentará es el uso ...
factor de autenticación que no se basa en algo que“sabe”, sino en algo que “tiene”. En el caso de quepierda el archivo enc...
Y finalmente se le preguntará qué tipo de formatole dará al disco encriptado. Lo ideal quizás seautilizar FAT, para tener ...
Una vez seleccionado, se verá una pantalla donde sevisualizará el proceso de creación de este discoencriptado.    En la et...
tres minutos, para generar la suficiente cantidad denúmeros al azar.    Luego podrá oprimir el botón Format y comenzará el...
Dependiendo del sistema operativo, se le solicitaráo no la clave de administrador para montar el discoencriptado:	        ...
Particiones Ocultas    La creación de una partición oculta esprácticamente igual al proceso descripto anteriormente.La úni...
Avanzando, comienza el proceso de creación de lapartición oculta en el espacio restante de la primerapartición. Allí selec...
Luego pasará por las pantallas del proceso decreación, pero esta vez será para crear el volumenoculto.    Una vez terminad...
    73	  
Nos vemos en el café de laesquina    Si Usted necesita tener una conversación virtualprivada, salga de ahí. La mejor idea ...
decir cada vez interactúa en el sitio haciendo click enun link, debe presentar esa cookie que tienen suidentificador para ...
dada. Así las cosas, la mejor forma de evitarlo es noseguir directamente url que le fue enviada sinoescribirla en el brows...
una red pública y obtener los identificadores desesión:y luego conectarse a cada servicio:	                               ...
Por eso es muy importante verificar que siempre seesté conectando por una conexión segura (HTTPS) durantetoda la sesión. Y...
Google Chrome:	                      79	  
    80	  
Upcoming SlideShare
Loading in...5
×

Cryptoperiodismo - Manual Ilustrado Para Periodistas

487

Published on

Cryptoperiodismo - Manual Ilustrado Para Periodistas
por
Nelson fernandez
Pablo Mancini

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
487
On Slideshare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Cryptoperiodismo - Manual Ilustrado Para Periodistas"

  1. 1. CryptoPeriodismoManual Ilustrado Para Periodistas nelson fernandez Pablo Mancini
  2. 2. Un paranoico es alguien que sabe un poco de lo que está pasando William S. Burroughs   3  
  3. 3. Índice  1. Prólogo: Una brújula para periodistas, por AndrésD´Alessandro2. Introducción3. Cómo generar contraseñas seguras4. Cómo gestionar claves5. Cómo armar un sistema de correos no vinculante6. Cómo encriptar el contenido de los chats7. Cómo anonimizarse al usar Internet8. Cómo construir un túnel privado9. Cómo tener una privacidad “bastante buena”10. Cómo asegurar su teléfono11. Cómo encriptar un disco12. Nos vemos en el café de la esquina   4  
  4. 4. Prólogo: Una brújula paraperiodistas Todas las cosas son palabras del idioma en que Alguien o Algo, noche y día, escribe esa infinita algarabía que es la historia del mundo. En su tropel pasan Cartago y Roma, yo, tú, él, mi vida que no entiendo, esta agonía de ser enigma, azar, criptografía y toda la discordia de Babel. Detrás del nombre hay lo que no se nombra; hoy he sentido gravitar su sombra en esta aguja azul, lúcida y leve, que hacia el confín de un mar tiende su empeño, con algo de reloj visto en un sueño y algo de ave dormida que se mueve. “Una brújula”, Jorge Luis Borges A la espalda de Winston, la voz de la telepantalla seguía murmurando datos sobre el hierro y el cumplimiento del noveno Plan Trienal. La telepantalla recibía y transmitía simultáneamente. Cualquier sonido que hiciera Winston superior a un susurro, era captado por el aparato. Además, mientras permaneciera dentro del radio de visión de la placa de metal, podía ser visto a la vez que oído. Por supuesto, no había manera de saber si le contemplaban a uno en un momento dado. Lo único posible era figurarse la frecuencia y el plan   5  
  5. 5. que empleaba la Policía del Pensamiento para controlar un hilo privado. Incluso se concebía que los vigilaran a todos a la vez. Pero, desde luego, podían intervenir su línea cada vez que se les antojara. “1984”, George Orwell La ficción, qué duda cabe, se anticipó de maneraprofética innumerables veces a la realidad. Y no sóloen lo que se refiere a cuestiones tecnológicas ocientíficas, sino también (y más bien) a aspectossociológicos y filosóficos. 1984, la fantástica noveladistópica que publicó George Orwell en 1949, debe seruno de los textos más citados y divulgados de lahistoria contemporánea. Por la academia y por la calle;en sesudas tesis universitarias y también en anodinospaneles televisivos. A pesar de que Orwell habló de telepantallas yjamás imaginó algo parecido a una red de redes (esemérito en la ficción podríamos adjudicárselo a MurrayLeinster, Fredric Brown, Isaac Asimov o William Gibson),con su nihilismo y desencanto logró predecir algunas delas características más riesgosas que configuraInternet: su ubicuidad y omnipresencia (¿policial?). Esa mirada paranoide es también la primerasensación que despiertan ya desde la IntroducciónNelson Fernández y Pablo Mancini cuando explican porquéy para qué hacer un Manual Ilustrado deCryptoPeriodismo. (“Si algo es fácil actualmente esmonitorear y espiar las actividades de un periodista”,nos alarman). Pero, por suerte para el lector, sumirada no se agota en el pesimismo inicial cuandodescriben con información y sin mitología la   6  
  6. 6. militarización de la Red en el mundo y cómo nos espíanen la Argentina, temas que deberían (preo)ocuparnos mása periodistas, blogueros, defensores de derechoshumanos, abogados, intelectuales, políticos, académicos,etc. Internet, las redes sociales y las herramientasdigitales son aliados fundamentales para la tareaprofesional de los periodistas. Trabajemos en elformato que trabajemos, medios tradicionales o nuevosmedios, el ecosistema digital nos sorprende cada díacon novedades y nuevas posibilidades. Sin embargo, los periodistas tenemos la obligaciónde ser conscientes de los riesgos crecientes quetambién aparecen en el horizonte con el uso de lasnuevas tecnologías digitales. En eso se basan losautores del Manual para convencernos de que periodistasy medios debemos adaptarnos a esta nueva realidad sinvolvernos (tan) paranoicos. Por la lógica y los procedimientos profesionalesque se involucran en nuestra tarea, y por los valoreséticos y la responsabilidad social que implica en larelación que tenemos con los ciudadanos en un sistemademocrático, los periodistas debemos necesariamenteconocer y asumir como parte de nuestra actividadcotidiana los nuevos peligros a los que nos exponemos.Peligros que directa y/o indirectamente pueden afectartanto a la materia prima con la que trabajamos, lainformación, las fuentes, los documentos, así como anuestra reputación y a la de los medios en los quetrabajamos, y a nuestros colegas. En la paranoia orwelliana cualquier sonido omovimiento de los habitantes de “Oceanía” era   7  
  7. 7. registrado y escuchado por la Policía del Pensamiento,y luego ese “hilo informativo” permitía a losfuncionarios del Partido Único apresar, torturar ydoblegar moralmente a los díscolos o rebeldes comoWinston Smith, para que, traicionados y derrotados,acepten la “verdad” impuesta por el Gran Hermano. Para vencer esa persecución permanente, dice Orwellcasi al comienzo de su novela, los “proles” tenían quevivir con la seguridad de que todos sus movimientosserían observados, y con la certeza de que ese hábitofinalmente se terminaba convirtiendo casi en uninstinto de supervivencia. Este Manual es una brújula, que permite señalar envarias direcciones los hábitos que deberíamos asumirlos periodistas como seguras salidas al laberinto quepresenta el uso (y abuso) de la tecnología, seamosexpertos o ignaros. Con sutiles diferencias respectodel mundo que pinta Orwell, pero con la presencia deciertos mecanismos perfeccionados de control yespionaje que hubiesen asustado aún más al autor inglés. Asuntos casi siempre complejos como generarcontraseñas seguras, gestionar claves, armar sistemasde correos no vinculantes, encriptar el contenido delos chats y de los discos, anonimizar el uso deInternet, asegurar el uso de los teléfonos celulares,etc. aparecen explicadas paso a paso en el Manual deCryptoPeriodismo e ilustradas de una manera didáctica ycomprensible, aplicable para periodistas de todo elmundo. Mancini y Fernández, especialistas en el tema,ofrecen con amplia generosidad toda su experiencia,claves, pistas, atajos, vericuetos y soluciones para   8  
  8. 8. que periodistas y medios de todas las latitudesentendamos y nos adaptemos a esta nueva realidad. Andrés D´Alessandro. Director Ejecutivo del Foro de Periodismo Argentino (Fopea.org). Licenciado en Ciencias de la Comunicación (UBA).   9  
  9. 9. Introducción Nunca en la historia la humanidad tuvo tantasherramientas disponibles para comunicarse. Elperiodismo, como muchas otras profesiones, esbeneficiario directo de las nuevas formas decomunicación que la evolución tecnológica está haciendoposible. Desde hace tres décadas, las tecnologíasdigitales auspician una transformación de proporcionesindustriales para la actividad de los medios y eltrabajo de los periodistas. Toda una constelacióntecnológica viva de nuevos equilibrios productivos estáempujando hacia una reorganización sin precedentes delas formas de ejercer el periodismo. A principios de los años noventa, los medios decomunicación aprovecharon la ventana de oportunidadabierta cuando la Web comercial irrumpió en la vida decientos de miles de personas. Inmediatamente y en todoel mundo, las ediciones digitales de los diariosespecialmente, se convirtieron en los sitios másvisitados de la Red. El cambio de milenio encontró a la Webevolucionando de una plataforma de consulta hacia unecosistema de participación popular. Los primeros blogsya estaban en línea. Proyectos hoy consagrados como laWikipedia y Wikileaks eran entonces ideas funcionandoen los cerebros de sus creadores. Los negociosdigitales de la época, la publicidad online y elcomercio electrónico, colapsarían con el derrumbefinanciero que representó la explosión de la burbuja delas puntocom para luego rediseñar y diversificar susmodelos de crecimiento como los conocemos en el 2013.   10  
  10. 10. Con servicios como Amazon y Google funcionando,todavía eran impensables "game changers" como Youtube,Facebook o Twitter, que también tendrían un impactodirecto en la profesión periodística, la distribuciónde contenidos, la relación con las fuentes y ladisponibilidad de información a escala planetaria.Menos imaginables eran entonces novedosas criaturasmediáticas como The Huffington Post y productos querediseñarían la relevancia de las voces autorizadassobre temas específicos como Trip Advisor. A principios de este siglo, con distintos nivelesde aceleración según las regiones del mundo que seanalicen, los periodistas comenzaron a adoptar cada vezmás tecnologías en sus vidas personales y para sudesarrollo profesional. Se armaron de dispositivos, deherramientas y con infraestructura. Todo cambio industrial y cultural profundo siempreengendra apocalípticos e integrados. Los mediosdigitales no fueron ni son la excepción. Si bientodavía tienen lugar las discusiones sobre el valordestruido y el valor creado en el periodismo, a partirdel desarrollo de las tecnologías digitales en ambosbandos anida un acuerdo cada día más sólido: elperiodismo se enfrenta actualmente a los peligros delsiglo XX, como la persecución, la censura y elasesinato de profesionales, mientras que también debelidiar con un nuevo conjunto de peligros que facilitael ambiente tecnocultural de principios del siglo XXI,como el espionaje, la vigilancia y el monitoreo queejercen gobiernos y empresas de todo el mundo sobre lascomunicaciones de los periodistas. Las oportunidades, los beneficios y los desafíosque representa el cambio tecnológico para la profesión   11  
  11. 11. periodística y para los medios de comunicación han sidocomentados, discutidos y analizados en miles de librospublicados durante la última década. Pero poco se hadicho sobre los nuevos peligros a los que está expuestoel conjunto de trabajadores de la prensa. Quizás porquenunca a nadie le consta -hasta que se vuelve unavíctima- cuánto hay de cierto, cuánto de leyenda ofantasía, cuánto de posible y cuánto de ciencia ficción,a la hora de entender los riesgos del nuevo escenarioprofesional.La Red se está militarizando Ésta es la era del registro. El espionaje y lavigilancia jamás tuvieron las cosas tan fáciles. Nuncafue un mercado tan rentable. No sólo es posible ytecnológicamente cada vez más preciso: ostenta unalcance insospechado hace sólo unas décadas. Unaindustria creciente de inteligencia, máquinas ysoftware está en plena expansión y crecimiento. Y estaindustria es, por definición, invisible y silenciosa. Las soluciones de interceptación masiva deinformación y almacenamiento, como las de análisissemántico de grandes volúmenes de datos, se expanden alritmo que gobiernos y corporaciones contratan esosservicios. Los seis principales segmentos de mercadoson: monitoreo de contenido y tráfico de internet,monitoreo de comunicaciones móviles (llamadas),monitoreo de SMS, trojanos en dispositivos, análisissemántico de contenido de comunicaciones y trackeo porGPS. Los contratistas principales de las agencias deinteligencia y fuerzas militares de decenas de países,son proveedores de estas tecnologías. Algunos de ellosson: VASTech, Gamma Corporation, Amesys, ZTE Corp, SS8,   12  
  12. 12. Hacking Team, Vupen, Phoenexia, Blue Coat, y la listacontinua. En el 2012, los principales clientes fueronLibia, Egipto, Ucrania, Turquía, Sudáfrica, Hungría,China, Colombia, Brasil, Canadá, Estados Unidos, ReinoUnido, España, Suiza, Rusia, Italia, India, Alemania,Francia, entre otros países. Internet es una infraestructura invisible en todoslos aspectos de nuestra vida. El espionaje es un hechoconstante y, por definición, masivo. El espionajeversión siglo XXI se lleva a cabo monitoreando grandesvolúmenes de comunicaciones. No es personalizado. Estonos convierte a todos en potenciales víctimas. Sólodespués de espiar a todos, es posible individualizar yespiar a algunos. Ahora la vigilancia es, además,retroactiva. Durante la Guerra Fría el espionaje fuedirigido: primero era Usted sospechoso y sólo entoncesse procedía a monitorear su vida. Ahora las cosascambiaron: todos estamos vigilados y cuando alguien seconvierte en sospechoso se rastrea toda la informaciónal alcance que haya sido capturada y almacenadapreviamente. La vigilancia del siglo pasado, dirigida,y ejercida físicamente por humanos organizados enturnos y de forma presencial, sigue teniendo vigencia,pero está obsoleta comparada con las posibilidades y laeficacia que actualmente ofrece la tecnología. El periodismo es sólo una víctima más de esarealidad. Para dar un ejemplo ilustrativo: existenmáquinas subacuáticas para espiar las comunicacionesdigitales de poblaciones enteras. Empresas que fabricany venden robots que se sumergen para interceptar loscables de fibra óptica y los repetidores tendidos en elfondo del océano que propulsan la mayor parte de lascomunicaciones digitales por todo el mundo. Empresasvenden ese servicio y otras empresas y gobiernos de   13  
  13. 13. todo el mundo los compran. Incluso países con muy pocosrecursos, algunos muy pobres, invierten parte de supresupuesto en estas tecnologías. Pero mucho más cerca, en los bolsillos de laspersonas también existe un riesgo probable. Escuchar yrastrear llamadas de teléfonos celulares no sólo esposible: es muy fácil y muy barato. Del mismo modo quecualquier persona investigando un poco puede publicaruna página en Internet, también puede comprender cómointerceptar comunicaciones y hacerlo con destacadaeficiencia. Un ejemplo contundente: países con muypocos recursos, como Libia, pueden pagar portecnologías de monitoreo. Se invierten sumas menores,insignificantes, de dinero para tener acceso atecnología de alta eficiencia para interceptar redesGSM. Por un millón de euros se pueden comprar esossistemas de monitoreo de telefonía. La Red es una fábrica de huellas y rastros, uncatálogo de comunicaciones, conexiones y actividadesindividualizables, geolocalizables. Si una comunicaciónes digital es también interceptable, monitoreable.Todavía, la única forma de reducir al máximo posiblelas probabilidades de espionaje sobre una comunicaciónes conversar caminando, con el teléfono celular en unbolsillo y con su batería en el otro. Esa es la opciónmenos insegura: conversar caminando y con el teléfonosin batería. O mejor: sin llevar el teléfono. La Red es una extensión de la complejidad de lasociedad como sistema. Del mismo modo que en suarquitectura las más nobles expresiones de colaboracióncultural y organización social encuentran renovadasformas de funcionamiento, en la Red también habitan lasmás repudiables formas de represión contra la libertad   14  
  14. 14. de información, la transparencia, la privacidad ycontra las libertades en general. Es iluso pensar quela Red importa lo mejor de las sociedades analógicas.Lo peor también es parte de lo que ofrece. La Red es lamayor y más eficiente arquitectura conocida devigilancia. La Red no sólo expresa nuevas formas de libertad.También se vuelve una extensión real de la vigilancia yla militarización de la sociedad. Toda paranoia esjustificada en un mundo en el que las armas, larepresión y la censura del siglo XX desarrollaronextensiones virtuales y transparentes para esperar asus víctimas en los nuevos entornos de circulación deinformación. Las armas de destrucción cultural masivadel siglo XXI son invisibles, a veces incluso enapariencia amigables, pero no menos poderosas,represivas y repudiables que las del siglo pasado. Los peligros y riesgos históricos de ejercer elperiodismo estuvieron asociados a las amenazas contrala integridad física. Generalmente se evitaroneludiendo zonas de conflicto. Los nuevos riesgos parala prensa no tienen tiempo ni territorio. Elciberespacio no tiene un mapa del horror. Su naturalezalo hace inasible e intrínsecamente peligroso. La dialéctica de la palabra VS. la espada,lamentablemente, todavía tiene vigencia. Pero esincompleta para entender cómo funciona realmente elmundo y cuáles son los riesgos a principios del sigloXXI. La única forma de prevenir peligros intangibles,como la vigilancia, el espionaje y el monitoreo, dereducir sus probabilidades, es desarrollar una   15  
  15. 15. protección tan inmaterial y a la vez tan poderosa quenecesariamente debe estar basada en el mismo recursoque los hace posibles: el conocimiento.Argentina: Nos espían Este libro no se limita al trabajo de losperiodistas argentinos. No obstante, el origen de estapublicación vuelve oportuno comentar el estado de lavigilancia que se ejerce en este país. En el oficialismo y en la oposición tienen unarelación esquizofrénica con la información: paradiscutir sobre medios y periodismo se anotan todos,pero de la transparencia de la información pública y dela privacidad de las personas no se encarga nadie. El megaproyecto espía kirchnerista empezó ambiciosoy truncado. En el 2004, Néstor Kirchner estableció pordecreto la captación, conservación y derivación de loscontenidos de las comunicaciones para su observaciónremota. Mediante el decreto 1563 pretendió que lasempresas de telecomunicaciones inviertan millones dedólares en tecnología de vigilancia, escucha ymonitoreo. El decreto era tan delirante que en el 2005se suspendió su aplicación, en parte por lobby de laspropias “telcos” que no estaban dispuestas a invertirlas sumas siderales que demandaba espiar por decreto atoda la población. En el 2006 se reactivó el funcionamiento delProyecto X, creado en el 2002 y del que en el 2012 setomó conocimiento público: “Un sistema informático deinteligencia criminal para la investigación de delitoscomplejos. Es una base de datos con vinculadores que   16  
  16. 16. permiten entrecruzar información y acelerar el análisisen determinadas circunstancias”, según lo definió laministra de Seguridad de la Nación, Nilda Garré. ElProyecto X fue denunciado porque su protocolo deactuación vulneraba derechos constitucionales. No existe información pública sobre dos programasclave: el SADI (Sistema de Adquisición y Diseminaciónde Imágenes) y el SARA (Sistema Aéreo RobóticoArgentino), que tienen decenas de millones de pesos depresupuesto y entre otros objetivos la inteligencia,vigilancia y reconocimiento. Estamos hablando detecnología que puede detectar a una persona a 14 km dedistancia, reconocerla a 5 km e identificarla a 2,5 km.De película pero no en una película: ahí afuera. Los aviones no tripulados (drones) están en auge entodo el mundo y el debate sobre su uso no puede darsesin información pública mínima porque, tal como seadvierte en la Revista de Publicaciones Navales, “esteingenio puede ser empleado tanto en operacionesmilitares como en el campo civil”. La vigilancia masiva en la Argentina se oficializócomo política de Estado en el 2011. El 8 de noviembrede ese año se publicó en el Boletín Oficial el DecretoNacional 1766/2011 del Poder Ejecutivo para crear elSistema Federal de Identificación Biométrica para laSeguridad (SIBIOS). El propósito del programa es claro:“Identificación de personas y rastros”. Esprácticamente inexistente la información pública sobreSIBIOS. Sólo es posible conocer el decreto. Sobre cómose estructuran los datos que el Estado captura yalmacena, con qué bases de datos los cruzan y bajo quépolíticas de seguridad los almacenan, nada se sabe.   17  
  17. 17. La tarjeta SUBE, el Sistema Único de BoletoElectrónico, “un medio de pago simple y moderno”, segúnlo define el Gobierno, es otro mecanismo de vigilanciaefectiva en la Argentina. Permite pagar viajes encolectivos, subtes y estaciones de trenes adheridas ala Red SUBE en el transporte público del ÁreaMetropolitana de Buenos Aires (AMBA). La tarjeta espersonal y el Estado guarda toda la información sobrelos recorridos que hacen los usuarios todos los días,asociándolos a la persona física. Para decirlo sinvueltas: el Estado sabe quién y cuándo viaja desde quélugar y hacia dónde, cada vez que usa la tarjeta. Lainformación que captura y almacena es tan vulnerableque el 20 de enero del 2012 un grupo de hackers de lared Anonymous publicó la base de datos de SUBE enInternet para demostrar cómo el Estado está vigilando alos usuarios y la precariedad con la que protege lainformación. Otros dos hechos llamativos son la compra detecnología de espionaje para monitorear comunicaciones.En el 2010, un sistema para intervenir redes GSM a laempresa alemana Rohde & Schwarz y, en el 2012, unrepetidor de microondas a China National ElectronicsImport and Export Corp. Sólo en esas dos tecnologías elEstado invirtió más de 2 millones de dólares. La militarización de las comunicaciones es unproceso en alza en todo el mundo. También en laArgentina. El contexto local de transparencia ausente,de información pública que tiende a cero y deprivacidad en peligro, vuelve todo más turbio y menosconfiable. El decreto del 2004 para espiar a toda lapoblación está suspendido. Pero hay indicios de que nosespían.   18  
  18. 18. La transparencia es para los gobiernos y losestados. La privacidad para los individuos. No al revés.El problema que resuelve este libro Si algo es fácil actualmente es monitorear y espiarlas actividades de un periodista. El problema esidentificable: la mayoría no sabe cómo proteger suscomunicaciones, especialmente aquellas mediadas porInternet. El espionaje del que muchos están siendovíctimas es cada vez más obsceno, y es probable que sedeba mucho más a la falta de conocimiento que a lasupuesta súper inteligencia y a los inigualablesrecursos materiales de quienes espían. Si un periodista hace un uso corriente de lastecnologías y no cuenta con nociones y herramientaselementales para reducir la vulnerabilidad de laseguridad de sus comunicaciones, está haciendo mal unaparte de su trabajo. No sólo se expone y expone a laorganización para la cual trabaja, además, puede poneren riesgo la seguridad de sus fuentes y la de suscolegas. La Red siempre parece lo suficientemente amplia,extensa, ancha, diversa y desconocida como para quealguien pueda "tomarse el trabajo de encargarse denosotros y de nuestras comunicaciones". Pero puedepasar. Es más, es probable que Usted ya haya queridotener acceso a la información de otras personas, y queotras personas hayan querido, o incluso intentado,tener acceso a la suya. Si es que ya no la tienen. Loúnico que diferencia a unos de otros es el conocimientoy la ética. El deseo, iguala.   19  
  19. 19. Así las cosas, no se trata de convertirse en geniosde la criptografía ni en matemáticos especializados enblindar y cifrar con algoritmos complejos lascomunicaciones. Se trata, sí, de tener al alcancealgunas herramientas que contribuyan a una experiencialo más segura posible en un ambiente naturalmenteinseguro. Es por eso que este libro no es un manifiestode resistencia al espionaje ni un catálogo de casossobre cómo grandes organizaciones y gobiernosmonitorean actividades y comunicaciones de medios yperiodistas. Es un documento básico sobre cómo estarmenos inseguros frente a esa, ya no amenaza sino,realidad. Los esfuerzos y recursos utilizados para limitar alperiodismo no son sólo aquellos que pretendensilenciarlo. En buena parte de los casos no se pretendedetener al periodismo sino dejarlo funcionar ymonitorearlo desde muy cerca. Como no es posiblecontrolar o detener la circulación de la información,en la actualidad las estrategias de espionaje estánorientadas a objetivos de anticipación política. Es muydifícil, es imposible por la naturaleza distribuida dela Red, tener control de la información que estácirculando, pero sí es posible saber qué circula yquiénes están detrás de esa distribución, yprobablemente se podrán planificar acciones tácticaspara relativizar su impacto o intentar desviar laatención. La maquinaria de espionaje no descansa y sufuncionamiento eficiente es, por definición, norestrictivo sino silencioso. No reactivo sinoretroactivo. No individual ni dirigido sino masivo.   20  
  20. 20. Cuando Usted termine de leer este libro podrá saberlo inseguro que estaba hasta antes de leerlo. Estelibro no le ofrece garantías de que no puedan espiarlo.Pero sí le ofrece herramientas para que quienespretendan hacerlo tengan las cosas más difíciles.Sobre el libro El objetivo de este libro es ofrecer de un modosimple y práctico herramientas y soluciones quecontribuyan a reducir el peligro que corren losperiodistas en el ciberespacio y cuando establecencomunicaciones mediadas por tecnologías digitales. Muy lejos de ofrecer métodos y técnicas infalibles,CryptoPeriodismo ofrece procedimientos que, combinados,pueden proteger el trabajo y la seguridad de losperiodistas. Es un instrumento preventivo. Ofrece información einstrucciones que reducen sensiblemente lasprobabilidades de espionaje, pero, de nuevo, no esinfalible. La naturaleza de la evolución tecnológicalimita inevitablemente el alcance de estas sugerencias.Por la misma razón, este manual ilustrado es provisorio.Sirve, entonces, parcialmente, ahora. No sabemos mañana,ni dentro de unos años. Con toda probabilidad demandeactualizaciones periódicas que, esperamos, surjan de laexperiencia y del conocimiento de colegas que tengan laintención de colaborar con su actualización. En ese sentido, hacemos devolución expresa de loscontenidos de este libro al dominio público, para quecada uno de Ustedes pueda usarlo del modo que consideremás conveniente.   21  
  21. 21. Agradecemos a Mariella Miranda que diseñó la tapa ya Andrés D´Alessandro que escribió el prólogo. Buenos Aires, 15 febrero del 2013. Pablo Mancini, nelson fernandez.   22  
  22. 22. Cómo generar contraseñas seguras Las claves de acceso a los dispositivos y a losservicios Web son, frecuentemente, una fuente deproblemas. Implican una gestión difícil y es muy fácilterminar simplificándolas, y consecuentemente corriendoriesgos serios para poder recordarlas. Son puertas deacceso que, una vez abiertas por terceros, no hay nadaque hacer excepto, en el mejor de los casos, esperar avolver a tomar el control pero habiendo perdidoinformación y, sobre todo, privacidad. Las claves que Usted usa a diario representan dosdesafíos de seguridad: cómo diseñarlas y cómogestionarlas. Una buena combinación de diseño y gestiónde claves reduce sensiblemente las probabilidades deque un dispositivo o un servicio Web sea vulnerado,aunque es claro: nada es 100 % seguro. Quienes intentan violar contraseñas ajenasfrecuentemente lo hacen mediante tres métodos biendiferenciados, de complejidad variable y aplicados adistintos contextos: ataques de diccionario, ingenieríasocial y acceso físico a un dispositivo. Un ataque de diccionario es un método de crackingbasado en la "fuerza bruta". Es poco inteligente perono por eso poco efectivo. Consiste en averiguarcontraseñas probando múltiples combinaciones decaracteres miles de veces hasta dar con la correcta. Unrobot genera las combinaciones e intenta acceder concada una de ellas. Hasta que no encuentra aquella quebusca y le permite acceder, no se detiene. La ingeniería social es otra de las tres grandescompuertas para vulnerar contraseñas. Es una práctica   23  
  23. 23. para obtener información sobre la víctima y, a partirde ella, dar con la clave que se busca o tener losdatos que permiten recuperarla. El método actualmenteestá en pleno auge ya que la cantidad de informaciónpersonal que se hace pública a diario en las redessociales está creciendo de un modo inconmensurable. Enlas redes sociales circula la materia prima con la quese produce buena parte del espionaje actual. El acceso físico a un dispositivo es un riesgotambién creciente. Cada vez usamos más dispositivosconectados a la Red. Todos. Y todo parece indicar queesa tendencia continuará en ascenso durante lospróximos años. La mayoría guarda contraseñas en susdispositivos. Los navegadores de las computadoras y lasaplicaciones de los dispositivos móviles son verdaderosparaísos para el espionaje. El acceso físico muchasveces es la llave maestra que abre todas, o casi todas,las demás puertas. En esta parte del libro ofrecemos algunassugerencias para crear y gestionar claves de un modoseguro, que reduzcan al mínimo las probabilidades deser conocidas y usadas por terceros.Paso a paso Para empezar, lo esencial es descartar laestrategia de la memoria fácil: fechas de nacimiento,números de documentos de identidad o pasaporte, númerosde teléfono, apodos, nombres de parientes y mascotas,direcciones de lugares que puedan ser asociadas conUsted, edad, ciudades, barrios, códigos postales, etc.Toda esa información es demasiado predecible.Descartarla a la hora de crear contraseñas equivale a   24  
  24. 24. dejar fuera de juego la posibilidad de que alguien contiempo, cercano a Usted o un desconocido con acceso ainformación sobre Usted, se tome el trabajo de intentar“adivinar” sus passwords y, con un poco de suerte,acertar. De hecho, existen servicios Web que solicitanese tipo de información. En ese caso, lo másrecomendable es no usarlos. Si no tiene más opción quehacerlo, mienta: no publique su dirección, teléfono ocódigo postal, por ejemplo. Su segunda misión es sacarse de la cabeza que esalgo seguro usar la misma clave de acceso para todo. Dehecho esa estrategia implica todo lo contrario: es lomás inseguro que Usted puede hacer. Un algoritmo para crear passwords seguras puede serel siguiente: 1. Usted, como todos nosotros, recuerda una frase otítulo de un libro, el estribillo de una canción, unacita, una película, etc. Lo primero que debe hacer esseleccionar aquella frase que recuerda con precisiónpero que no lo representa ante su entorno social. Esdecir, aquella que sabe que es muy improbable que puedaser asociada con Usted. 2. Una vez identificada esa frase debe seleccionarsolamente una letra de cada palabra que la compone.Pongamos por ejemplo, la primera letra. Aunque lo másrecomendable sería que use la segunda, o la tercera,etc., o una combinación. Por ejemplo, si la frase queeligió es "Nunca sería socio de un club que me aceptaracomo miembro", el nemónico tomando la primera letra decada palabra sería "nssducqmacm". Ya dio un primer paso,está más lejos de la inseguridad. Pero vaya más allá.   25  
  25. 25. 3. Añada una variable más, una letra en mayúsculas.La tercera por ejemplo: "nsSducqmacm". 4. Tome en cuenta el servicio Web para el que estácreando esa clave, por ejemplo "mail.google.com". Elijala marca o alguna palabra con la que Usted lo asociementalmente. Si es la marca, en este caso, sería"google". Si es una palabra, podría ser "correo". Ahoracomplete su contraseña: una esta variable a la clavegenerada en los tres puntos anteriores con un signo,por ejemplo, "!". El resultado es "google!nsSducqmacm"o bien "correo!nsSducqmacm". 5. Un último agregado para terminar de crear suclave: añada un número y otro símbolo. Por ejemplo";12". Su contraseña es ahora: "google!nsSducqmacm;12"o bien "correo!nsSducqmacm;12". Ahora bien, esta clave le permitirá acceder a sucuenta de correo en Google. Modifíquela para cadaservicio extra que use. Por ejemplo, para su clave deTwitter, podría ser: "Twitter!nsSducqmacm;12". Siguiendo estos cinco pasos es posible crear unacontraseña fuerte a nivel de seguridad y relativamentesimple de recordar. El método reduce el margen deinseguridad pero no es infalible. Si al servicio al queUsted está accediendo con esta clave no la almacena deun modo seguro, su clave es tan vulnerable como sifuera "1234567890"Cómo gestionar claves Crear passwords seguras es sólo un primer paso.Usted ahora debe contar con alguna herramienta para   26  
  26. 26. minimizar el riesgo de que alguien pueda acceder a susclaves y, en caso de que sea accedida por un tercero,no pueda usarla. Lo que debe hacer es aplicar unalgoritmo de hash su clave. A las funciones hash (adopción más o menos directadel término inglés hash function) también se las llamafunciones picadillo, funciones resumen o funciones dedigest. El término hash proviene de la analogía con elsignificado estándar de dicha palabra: picar y mezclar. En la gestión de claves, un Hash es un algoritmoque se aplica sobre un texto (también puede ser usadosobre otros formatos de archivos, como .mp3 o formatosde video). A partir de ese texto, genera un número queidentifica a ese texto, a esa clave. La longitud delnúmero va a depender de la función de digesto queutilice. Las más comunes son MD5 y Sha1. Aplicar esto asus claves construye un obstáculo más para el terceroque busque conocerlas. Es decir, cuando ese terceroencuentre su clave, en realidad no encontrará otra cosaque un número compuesto aproximadamente por veintecaracteres. Usted construyó ese número aplicando unHash sobre su password, pero la persona que seencuentre con ese número, será incapaz de conocer suclave a partir de esa cifra. Suena complejo pero es muy simple de poner enpráctica este método de seguridad. Existe un serviciollamado SuperGenPass que está implementado como unbookmarlet y por tanto se ejecuta completamente en sunavegador sin utilizar ningún sitio externo, sincompartir datos, nada. Cuando se lo invoca, se requiereingresar una password maestra, que es la única claveque Usted debe recordar y automáticamente genera laclave para el sitio que se va a acceder. El servicio   27  
  27. 27. utiliza más o menos el mismo algoritmo explicadoanteriormente y le agrega la función de hash. Con locual, si el servicio que está utilizando no guarda susclaves de forma segura, no importa, ya que Usted estáenviando una clave en un formato seguro. Al invocar el bookmarlet se le solicitará ingresaruna contraseña maestra utilizada para generar la clavepara el sitio: Y luego le presentará la contraseña generada parael sitio que se está visitando: Utilizando los links de ‘mostrar/ocultar’ se puedeacceder a toda la información que utiliza el bookmarletpara generar la contraseña:   28  
  28. 28.   29  
  29. 29. Cómo armar un sistema de correosno vinculante Los correos electrónicos son actualmente unmecanismo clave de la comunicación y una herramienta,sino la herramienta, que periodistas usan a diario paracomunicarse. El mundo es más confortable con emails quesin emails, pero vale decir también que lascomunicaciones son sensiblemente más vulnerables cuandolos emails entran en juego. Es por ello que Usteddebería tomar todas las medidas de seguridad a sualcance. Construir un sistema de correos no vinculante esfácil y contribuye a minimizar la inseguridad de susintercambios electrónicos. Uno de los problemas centrales respecto de losemails es que cuando alguien tiene acceso a su cuentade correo, accede virtualmente a mucho más: redessociales, compras, servicios vinculados a los bancoscon los que Usted opera, agenda de actividades,calendario de trabajo persona, chats, en fin... De todo. El propósito concreto de crear un sistema decorreos no vinculante es que si alguien logra acceder asu cuenta de correo electrónico, no podrá encontrarinformación que le permita continuar violando suprivacidad y consiguiendo más información sobre Usted.Se trata, entonces, de evitar que acceder a su emailsea una llave maestra para acceder a todo lo demás:servicios en la nube, cuentas bancarias y perfiles enredes sociales, entre muchas otras cosas.   30  
  30. 30. Actualmente Usted está en peligro: si alguien tieneacceso a su cuenta de correo, está en el actohabilitado para tomar control de sus perfiles deFacebook, Twitter, Skype, Dropbox, o cualquier otro queutilice. Por razones profesionales, su email es público.Esta situación lo expone más que a cualquier otrousuario de sistemas de correos electrónicos. El sistema de correos no vinculante parte de lapremisa de que en algún momento alguien podría tomarcontrol de su cuenta de correo electrónico principal.Esto es lo que debería hacer para minimizar losriesgos: 1. Su email público, es decir, aquel al cual leescriben sus contactos y personas que deseancomunicarse con Usted, debe ser una cuenta “alias”. Porejemplo: si su email público es periodista@ejemplo.com,Usted debe convertir esa cuenta en un alias, yredirigir sus mails entrantes a otra cuenta, en otrodominio, por ejemplo a periodista25@3j3mplo3.com. Es enesta segunda cuenta, que debe ser secreta y nadie salvoUsted puede conocer de su existencia, Usted recibirátoda comunicación que sea enviada aperiodista@ejemplo.com. Lo que deberá hacer también esconfigurar periodista25@3j3mplo3.com para que lepermita enviar correos con el aliasperiodista@ejemplo.com, de tal forma que cuando Ustedenvíe un correo no revele la verdadera cuenta que estáusando y siempre se muestre el alias. Este primer paso hará que si alguien eventualmentelogra ingresar a periodista@ejemplo.com se encontrarácon nada. Eso sí, tendrá acceso a saber que Usted operacon la cuenta periodista25@3j3mplo3.com. Con lo cualUsted gana tiempo y el intruso deberá reiniciar el   31  
  31. 31. proceso de espionaje. Por eso es tan importante queUsted registre su segunda cuenta en un serviciodistinto a la primera, con datos falsos. 2. Su cuenta de correo real, no el alias, no puedeestar vinculada a ningún otro servicio. Es por ello queUsted debería crear una cuenta de correo por cada redsocial o servicio que utilice. Esto tiene un aspecto encontra: recibirá notificaciones de esos servicios endistintas direcciones de email. Pero tiene un aspecto afavor: quien pueda ingresar a uno de esos servicios queUsted está utilizando, podrá tener accesos sólo a ese,y no a todos los demás. Esas cuentas que Usted crearápara registrase en los servicios que utiliza, deben sersecretas, no se las puede decir a nadie, y no debentener ninguna coincidencia con su persona. Por ejemplo:Si su email público es periodista@ejemplo.com, que esun alias que Usted gestiona desdeperiodista25@3j3mplo3.com, su registro en Twitterdebería hacerlo con una tercera cuenta que Usted creepara tal efecto, por ejemplo: ptwsta.2le3t@gmail.com. Si alguien en este momento tuviese acceso a sucuenta en Gmail, por ejemplo, es muy probable quetambién tenga accesos a su cuenta de correo corporativa,a su perfil en Facebook, Twitter, Dropbox, bancos queutiliza, entre muchos otros servicios. Porque sialguien en este momento tuviese acceso podría recuperarlas contraseñas de todos esos servicios reseteándolas.Y todas esas notificaciones de cambios de contraseñasllegarían, siguiendo con el ejemplo, a esa cuenta enGmail. Es por esa razón que Usted necesita armar unsistema de correos no vinculante. Para que si alguienaccede a A, no pueda acceder a B, ni a C, ni a D, etc.   32  
  32. 32. Cómo encriptar el contenido delos chats El chat es una puerta de inseguridadpermanentemente abierta. Los periodistas usan serviciosde mensajería instantánea todos los días, tanto paraestablecer comunicaciones personales como profesionales.En cualquier caso, exponen su comunicación y, algo nadamenor, exponen a las personas con las que se comunicana través de mensajería instantánea. Cuando del otro lado del chat hay una fuente o uncolega, el riesgo aumenta exponencialmente. Llama laatención que buena parte de los profesionales siganutilizando servicios como Google Talk o, peor, MSN.Están totalmente expuestos a ser espiados. En investigaciones periodísticas y judicialesaparecen, cada vez más en carácter de evidencia,fragmentos de comunicaciones mediadas por software ypantallas. Un ejemplo concreto respecto de que en laRed nada, nada, nada de nada, es off the record. Todoes en On. Haga la prueba, abra su cuenta de Google Talk,active la opción Off the record y converse concualquiera de sus contactos. Luego de un par demensajes enviados y recibidos, abra esa misma cuentadesde un teléfono o cualquier otro dispositivo. ¿Sabequé verá? Toda la conversación. Así que cuidado: el Offthe record de muchas aplicaciones no es tan off, y esbastante más on the record de lo que prometen. Copiasde sus comunicaciones se replican en servidorespermanentemente, en todo el mundo. Usted no tienecontrol de esa situación. Su única opción es no usar   33  
  33. 33. esas aplicaciones. Y usar otras considerablemente menosinseguras como, por ejemplo, Jabber. Jabber es un protocolo de mensajería instantánea ypresencia que fue estandarizado para Internet por elInternet Engineering Task Force (IETF) (Fuerza deTareas de Ingeniería de Internet). Su denominacióntécnica es Extensible Messaging and Presence Protocol,más conocido como XMPP. Es abierto y extensible. El proyecto Jabber comenzó a ser desarrollado en1998 por Jeremie Miller. Actualmente, una de susventajas sustantivas es la seguridad. Los servidoresXMPP pueden ser aislados de la red pública XMPP. Paraapoyar la utilización de los sistemas de cifrado, laXMPP Standards Foundation pone a disposición de losadministradores de servidores XMPP certificadosdigitales. Los estándares XMPP para clientes cuentanquince años después del comienzo de su desarrollo condiversas implementaciones. Lo usan, entre muchas otras,compañías como Sun Microsystems y Google. La red XMPP está basada en servidoresdescentralizados; no hay ningún servidor central, adiferencia de otros servicios como AOL InstantMessenger o MSN Messenger. Para su uso se requiere obtener una cuenta en unproveedor del servicio y utilizar algún cliente quesoporte el protocolo. Entre los clientes que podemosnombrar están:Pidgin para Linux y Windowshttp://pidgin.im/PSI para Linux, Mac y Windows   34  
  34. 34. http://psi-im.org/Adium para Machttp://adium.im/Xabber para Androidhttp://www.xabber.com/Gibber para Androidhttps://guardianproject.info/apps/gibber/ChatSecure para iPhonehttp://chrisballinger.info/apps/chatsecure/ Recomendamos utilizar XMPP y no MSN, Yahoo!, GTalko Facebook u otro similar, debido a que distintosproveedores de XMPP tienen distintas políticas deprivacidad, uso y servicio más relajadas yprincipalmente por el uso de plugins como OTR (Off theRecord) que es lo que nos motiva en este libro. Muchomenos usar Whatsapp o BlackBerry Messenger: en ambasaplicaciones Usted renuncia a su privacidad y a saberqué hacen con sus datos y con la información queintercambia en esas herramientas de comunicación. Para tener una comunicación segura con otra persona,no alcanza únicamente con que la conexión sea seguracon el servidor utilizando el protocolo SSL. Esnecesario también que todo lo que se transmita entrelas partes esté protegido y para eso sirve el pluginOTR. Este plugin permite encriptar todos y cada uno delos mensajes que son enviados y recibidos entre laspartes que utilizan este plugin. Una vez instalado, loque se debe hacer es generar una clave por cada cuentadonde se lo quiera utilizar. Esto es muy simple y sólorequiere la pulsación de un botón:   35  
  35. 35. Una vez generada la clave, se va a mostrar suFingerprint. Una buena práctica es verificar por otromedio (email, teléfono, SMS, etc.) el fingerprint de lapersona con la que vamos a establecer la comunicación.Esta verificación se hará por única vez y es muy útilpara asegurarnos de que no se trate de una cuentaimpostada. El plugin tiene también una pantalla paraadministrar y dar de baja las distintas claves:   36  
  36. 36. Un dato no menor a tener en cuenta es que en elservicio de IM de Google existe una opción OTR. Estaopción no tiene relación con el plugin comentado y noencripta la conversación, sino que lo único que hace esno grabarla en los logs de la conversaciones en GoogleMail, algo que a nadie le consta.   37  
  37. 37. CrytoCat Si Usted necesita tener una conversación segura enInternet y no dispone de un cliente XMPP ni del pluginOTR, CryptoCat puede ser de gran utilidad. CrytoCat no es *la* solución para tener una conversación segura, pero puede resolver de una forma rápida y provisoria el problema. Actualmente se encuentra muy activo su desarrollo y se está implementando soporte para OTR y un cliente para dispositivos móviles.   38  
  38. 38. Cómo anonimizarse al usarInternet El proyecto Tor intenta permitir navegaranónimamente por Internet. Esto lo logra utilizando unared de voluntarios que ejecutan servidores para cambiarla ruta por la que un usuario navega por la Red,permitiendo ocultar la información que da cuenta sobredesde dónde se origina la visita. Tor no solamentealtera la ruta sino que también encripta múltiplesveces los datos, lo que hace extremadamente difícilconocer su origen y su contenido. De todos modos, hayque tener muy claro esto antes de avanzar: el valoragregado de Tor no es proteger el contenido sinoanonimizar los datos de quien está navegando. Originalmente Tor fue creado por el Laboratorio deInvestigación Naval de Estados Unidos para proteger lascomunicaciones de gobierno. Actualmente es usado poruna comunidad cada vez mayor de hackers, y muyespecialmente por activistas, periodistas profesionalesde distintas áreas que trabajan con informaciónsensible.Cómo funciona Tor Tor crea una suerte de túneles por donde vanpasando los datos. En vez de seguir una línea rectaentre el usuario y el sitio al que se quiere conectar,Tor crea un camino alternativo. Cada vez que pasa porun túnel, la información se vuelve a encriptar y esenviada hacia el siguiente túnel, hasta alcanzar elpunto de salida, donde se conecta al sitio de destino.En todo el trayecto, cada uno de los túneles no conoce   39  
  39. 39. el camino completo. Sólo conoce el túnel anterior dedonde vino y hacia dónde tiene que enviarlo acontinuación, nada más. Para crear este camino, Tor utiliza un softwareespecial que le permite conocer cuáles son losservidores disponibles y así seleccionar la ruta autilizar. Este software permite también que cada diezminutos se pueda volver a cambiar la ruta y de esaforma no poder relacionar las acciones que se veníanhaciendo con las futuras acciones que realice elusuario.   40  
  40. 40. Un punto a tener en cuenta es que Tor opera desdela máquina del usuario hasta el último servidor antesde llegar a destino. El camino que va desde el últimoservidor al destino no está protegido y los datosrelacionados a ese tráfico son visibles.   41  
  41. 41. Tor no resuelve todos los problemas de anonimidad.Por ejemplo la información que presenta el navegador alconectarse al servicio destino puede ser una fuentepara obtener datos del usuario.Servicios de Tor Tor no solamente provee un servicio de anonimidaden las comunicaciones. También tiene una serie deservicios adicionales, muy variados y complementarios.En el sitio Web del proyecto es posible encontrarherramientas incluso para anonimizar el tráfico entelevisores inteligentes, por ejemplo. Un panoramacompleto y actualizado del ecosistema Tor se presentóen Hamburgo en diciembre del 2012, en el marco del 29thChaos Communication Congress. Los esenciales: Orbot, en colaboración The Guardian Project, es uncliente Tor para los teléfonos que funcionan con elsistema operativo Android. Se puede descargar directa ygratuitamente desde Play, la tienda de aplicaciones deAndroid. Tails, es un Linux Live, que permite conectarseanónimamente a Tor y no dejar rastros tampoco en elsistema local. Es una distribución Linux diseñada parapreservar la privacidad y el anonimato. Está basada enDebian GNU/Linux y puede ser usado como un Live CD oUSB sin dejar ningún rastro en el almacenamiento delsistema local, excepto que se indique explícitamente. Tor Cloud permite montar un servidor en la nube deAmazon y sumarse a los puentes para acceder a unaInternet sin censura. Hay muchos más proyectos, más   42  
  42. 42. técnicos y de infraestructura que se pueden ver en elsitio de Tor.Tor, también en el teléfono celular The Guardian Project está realizando una serie deproyectos relacionados a proteger las comunicacionesrealizadas desde dispositivos móviles, especialmentepara la plataforma Android. Entre ellos se encuentra uncliente Tor, que permite conectarse a la red Tor ytener comunicaciones seguras. Gibberbot, un cliente demensajería instantánea que se integra con el protocoloOTR para encriptar las comunicaciones. Esta aplicacióntambién es posible descargarla desde la tienda Play enAndroid.   43  
  43. 43. Cómo construir un túnel privado Las Redes Privadas Virtuales (VPN) no son nuevas.Hace ya mucho tiempo que existen y nacieron paraasegurar las comunicaciones a través de Internet. Sontúneles que aíslan conexiones del peligro inherente deltráfico público. El servicio que ofrece una VPN es el de “asegurar”la comunicación entre dos puntos. Todos los datos quefluyan de un punto al otro de la VPN no podrían, enprimera instancia, ser vistos o modificados porcualquier tercero que esté en el medio monitoreando. Una VPN logra conectar dos puntos sobre Internetenviando todo el tráfico de red a través de túneles yencriptando el contenido. Es de ese modo, aislando yencriptando, que la comunicación establecida quedafuera del alcance de terceros. Estas conexiones no son físicas, son virtuales. Sidos computadoras están conectadas a Internet, lainformación puede ser compartida como si estuvieranconectadas físicamente. Es por esto que la forma en quelas VPN funcionan es considerada “virtual”, porque nohay una conexión física entre los dispositivos. Es importante notar, que la comunicación es sóloprotegida hasta la salida del túnel, que suele ser elproveedor de VPN. Desde este punto hasta el destino, elenlace es como cualquier otro y es susceptible de sermonitoreado. Por ejemplo, si luego de establecer unaconexión con el proveedor de VPN, se navega al sitioanonnews.org, la comunicación va a ser encriptada,desde su computadora hasta el proveedor de VPN. De ahíen más la comunicación es como cualquier otra. Esto   44  
  44. 44. implica que cualquier persona que intercepte lacomunicación desde ese lado del túnel puede saber todoslos datos solicitados y recibidos. Algo a tener muy en claro es que la VPN “únicamente”asegura o encripta el “canal” por donde se produce lacomunicación. Con esto queremos dejar en claro quecualquier dato que se introduzca por el canal o que sesaque por el otro extremo, si no se toman los recaudosnecesarios, es susceptible de ser interceptado. Existen actualmente muchos servicios de VPN que porun abono mensual o anual ofrecen la solución de uncanal seguro a usuarios finales. El primer punto aevaluar de estos servicios es dónde alojan susservidores y bajo qué jurisdicción legal se rigen. Yaque ante el reclamo de los datos de una fuente, elproveedor del servicio de VPN puede informar desde quéIP se produjo la conexión.Servicios de VPN Los servicios gratuitos de VPN suelen serpromocionados con publicidad o limitados en el ancho debanda que permiten usar. Los servicios pagos no suelentener estas limitaciones. Algunos servicios que podemosnombrar son: Hotspot Shield, https://hotspotshield.com FreeVPN, http://www.thefreevpn.com CyberGhost, http://cyberghostvpn.com Vpnod, http://www.vpnod.com Anonymizer, https://www.anonymizer.com/ Xerobank, https://xerobank.com/ HotSpot VPN, http://www.hotspotvpn.com/   45  
  45. 45. RiseuoVPN, https://help.riseup.net/es/vpn Una alternativa a los servicios arancelados esconfigurar su propio servicio de VPN. Esto requiere unmás alto nivel técnico, pero el servicio luego serágratis. La naturaleza privada de esta configuracióntambién lo hace menos vulnerable a que sea bloqueado.Uno de los softwares más utilizados es OpenVPN.Estándares VPN y encripción Hay diferentes estándares para configurar una redVPN, incluyendo IPSec, SSL/TLS y PPTP, que varían entérminos de complejidad y nivel de seguridad. PPTP es conocido por tener un sistema deencriptación débil, pero puede ser útil para la acciónde sortear un bloqueo de Internet. Es simple deconfigurar y está disponible para la mayoría de lossistemas operativos. SSL/TLS son sistemas relativamentesimples de configurar y proveen un sólido nivel deseguridad. IPSec opera a nivel de red y es responsable de latransferencia de paquetes en Internet, mientras losotros se ejecutan a nivel de aplicación. Esto hace aIPSec más flexible pero también más difícil deconfigurar.   46  
  46. 46. Cómo tener una privacidad“bastante buena” Pretty Good Privacy (PGP) es un software paraencriptar y desencriptar información. PGP utiliza un método de encriptación denominado declave pública o asimétrico. Consiste en la utilizaciónde dos claves que funcionan en conjunto. Una, laprivada, es tenida a resguardo por el propietario yjamás divulgada. La otra, la pública, puede serdistribuida libremente por cualquier medio. Su funcionamiento es simple: Si A debe enviar unmensaje a B, A toma la clave pública de B paraencriptar el mensaje que enviará. El único que puedeconocer el mensaje es B, que para desencriptarlo debeusar su clave privada. La única forma de desencriptar ese mensaje esutilizando la clave privada, cuyo único poseedor es eldestinatario. Ninguna persona que posea la clavepública del destinatario podrá desencriptar el mensaje.De esta manera se puede enviar un mensaje encriptadopor una red pública como Internet sin temor a que sucontenido pueda ser visto. Cada sistema operativo tiene su propia distribuciónde PGP . Y en cada caso, además, varía la forma deinstalación. Linux: GnuPG. Cada distribución de Linux tiene supropio manejador de paquetes. Se deberá buscar porGnuPG e instalarlo.   47  
  47. 47. OS X: GpgTools es la implementación para Mac queofrece varias herramientas además de PGP, incluyendointegración con el administrador de claves de OS X. Windows: Gpg4Win es la implementación para Windowsque incluye integración con Outlook e Internet Explorer. Una de las formas más simple de utilizar PGP paraencriptar los correos es utilizando el plugin Enigmailde Thunderbird tanto en Linux, Mac o Windows. En Linuxlos clientes de correo nativos como Evolution o KMailya vienen con soporte nativo para PGP. En Mac, laherramienta GpgTools incluye varias utilidades, entreellas una para integrarla con la aplicación Mail, elsoftware nativo de Apple para la gestión de correoselectrónicos.Generando la primera clave PGP En los siguientes ejemplos se utilizará laaplicación Thunderbird con el plugin Enigmail paragenerar la primera clave PGP y encriptar un correo. Sedecidió de esta manera ya que es un programamultiplataforma que funciona en todos los sistemasoperativos de la misma manera. Los conceptos que severán se pueden aplicar luego a cualquiera de los otrosclientes de correo. Luego de haber instalado PGP, Thunderbird y elplugin Enigmail, al abrir Thunderbird Usted encontraráun menú nuevo que se llama OpenPGP. Allí verá la opciónKey Management. Al seleccionarla se abrirá una ventanaque le permitirá gestionar las claves PGP que posea:   48  
  48. 48. Cuando Usted abra esa ventana se le presentará unnuevo menú que tiene la opción Generate y un submenúNew Key Pair, que una vez seleccionado le ofrecerá lassiguientes opciones:   49  
  49. 49. Aquí podrá seleccionar la cuenta de correo para lacual se va a generar el par de claves, una clave deseguridad que se le será solicitada cada vez que la use,un campo de comentario y la fecha de expiración de laclave. Un valor razonable para la fecha de expiraciónes de 1 año y nunca debería ser mayor a 2 años. Como esposible tener y usar varias claves PGP por cada cuentade correo, es bueno utilizar el campo comentario para   50  
  50. 50. especificar el uso que se pretende dar a esa clave, asíal momento de seleccionarla es más simple: En las opciones avanzadas (Advanced) se puedeconfigurar el tipo y tamaño de la clave. Para los estándares actuales, el tamaño de clave nodebería ser menor a 4096 y el tipo de clave debe serRSA.   51  
  51. 51. Una vez elegidas estas opciones, Usted puedeoprimir el botón de Generate Key para comenzar elproceso de la generación de la clave. Este proceso eslento y verá que la barra de progreso avanzar despacio.Tranquilo. Esto es así porque se están tomandomúltiples patrones al azar de procesos que están ensegundo plano, para generar la suficiente aleatoriedadde tal modo de que la clave sea segura: Terminado el proceso se le va a preguntar si deseagenerar un certificado de revocación. Este certificadova a ser utilizado únicamente en el caso de que pierda   52  
  52. 52. su clave privada, la contraseña para utilizarla o encaso de que la clave privada haya sido comprometida, esdecir, haya salido de su propiedad. Una buena práctica es mover este certificado derevocación a un cd-rom o a un pendrive y dejarlo a buenresguardo, y por supuesto, con acceso bajo clave. Yaque en caso de que alguien tuviera acceso a estecertificado, podría invalidar su clave privada: Muy bien, ahora cuando Usted crea un email enThunderbird obtendrá un nuevo icono etiquetado como   53  
  53. 53. OpenPGP, que tiene las opciones, Sign Message y EncriptMessage (Firmar y Encriptar Mensaje) que le permitiránfirmar los mensajes, para que el destinatario puedaverificar su autoría y/o encriptar el mensaje. De estamanera Usted puede enviar un mensaje de forma segura yque sólo sea visto por el destinatario y por nadie más. De ahora en adelante, cada vez que necesite accedera la clave privada, se le va a solicitar la contraseñaque se pidió cuando la generó, y si el mensaje serávalidado, y se mostrará una línea verde en la cabecera:   54  
  54. 54. En caso de que la firma no pueda ser verificada, labarra será de color rosa. Esto implica que el mensajefue modificado de alguna forma y no puede serverificado:   55  
  55. 55. Cómo asegurar su teléfono Los dispositivos móviles son usados cada vez máspara las tareas más diversas: desde enviar correoselectrónicos, establecer conversaciones de mensajeríainstantánea y tomar fotografías, hasta funcionesbastante más críticas, como acceder a servicios de homebanking, o usar la VPN de la empresa. Por esta razón, ypor la cantidad de información que cuenta sobre Usted,su teléfono celular se puede transformar en un bienpreciado, es decir, en un dispositivo que debe protegerbajo “siete llaves”. Asegurar tanto las conversaciones como el mismoacceso al dispositivo debe ser hoy un requisitoindispensable. Un periodista tomando fotos y enviandoreportes de los hechos que cubre puede ser algo normal.Pero si esos hechos se producen en un ambiente hostildonde las libertades de prensa y/o individuales sonescasas, y encontrar ese material puede poner alperiodista en una situación comprometida, toda acciónque proteja o impida el acceso a esa información debeser tomada en cuenta. Por todo eso, la primer medida y más básica debeser tener siempre protegido el acceso al teléfono porcontraseña, o por alguno de los métodos que provea elteléfono. Esa simple medida ya eleva la seguridad delos datos. En ese caso, accederlos no será imposible,pero los recursos técnicos necesarios para lograrloderán ser mucho mayores. Otras sugerencias simples que mejoran la seguridaddel dispositivo:   56  
  56. 56. - Activar el ingreso por contraseña cuando no seusa el móvil por un tiempo determinado. - Activar que los datos sean borrados luego de unacantidad N de intentos errados al ingresar lacontraseña para acceder al dispositivo. - Mantener todo el software que se utiliceactualizado. Otras medidas que Usted debe tomar son aquellasrelacionadas a las comunicaciones. Y en este sentido eltrabajo que está realizando The Guardian Project esnotable. Están creando un conjunto de herramientas quepermiten asegurar todas las comunicaciones del teléfono.Desde la navegación por internet, hasta el borrado dedatos sensibles del teléfono en caso de necesidad. Esta es una breve enumeración de los proyectos queestán llevando a cabo y que le sugerimos se haga eltiempo de probar en su teléfono. Son gratis, fáciles deinstalar y nada difíciles de usar: Orbot Implementación del protocolo Tor. Esto permitenavegar anónimamente desde el teléfono y acceder asitios que pueden estar bloqueados localmente. Orweb Navegador de Internet con una mejora en seguridadpor defecto. Por ejemplo: no almacena el historial denavegación, cookies, deshabilita flash y evita ciertospatrones de análisis de Red. Gibberbot Es un cliente de IM basado en XMPP que implementael protocolo OTR para tener conversaciones seguras.   57  
  57. 57. ObscuraCam Es una cámara de fotos que puede oscurecer,encriptar o destruir pixeles de una imagen. También seestá trabajando para tener este soporte en la gestiónde videos. ProxyMobile Es una extensión para la versión móvil de Firefox,que le permite navegar a través de un proxy, lograndoque se pueda usar con la red Tor. Panic! (“InTheClear”) Una aplicación muy sencilla y poderosa a la vez: unbotón rojo que cuando Usted lo presione, eliminará todala información sensible del dispositivo. Sin vueltaatrás. K-9 y APG Es un cliente de correo que tiene soporte para PGP.Le permite firmar y encriptar los correos. TextSecure Es un cliente para gestionar mensajes SMS, quepermite almacenarlos de forma segura. Si la otrapersona que los recibe también usa este software,permite encriptar todo ese intercambio de textos. CSipSimple Es un cliente SIP (cliente VoIP) que proveeencriptación de voz. No usa la red de voz para lasllamadas, sino que las realiza sobre Internet.   58  
  58. 58. Cómo encriptar un disco La mejor herramienta de código abierto paraencriptar un disco rígido es sin lugar a dudasTrueCrypt. Es multiplataforma (Linux, Mac, Windows) yde muy simple uso. Puede generar un archivo encriptadoy tratarlo como si fuera un disco. También puedeencriptar directamente una partición o disco externo oUSB. TrueCrypt tiene una característica muy interesante:la posibilidad de crear Particiones Ocultas (HiddenVolume). Esta característica permite ocultar laexistencia de un espacio donde se guardan archivos,dentro del propio disco encriptado. En ese caso, sialguien tuviese acceso a su computadora o a un disco desu propiedad en el que Usted guarda archivos sensibles,no podría tener acceso a las carpetas que Usted hayadefinido como inaccesibles. Un ejemplo extremo pero no por eso improbable es lasituación que muchos periodistas de todo el mundoenfrentan a diario. Si Usted se ve forzado o loextorsionan para revelar las claves de acceso a sudispositivo o incluso al disco encriptado, nadie podráver aquella información que es para Usted realmentevaliosa. Cuando un tercero tenga acceso no podrá ver lapartición oculta, ni sabrá de su existencia. Al ejecutar TrueCrypt se le presentará una ventanacon los “Slots” disponibles para crear particiones odiscos encriptados. Con el botón Create Volume comienza el proceso decreación de una partición. Se le consultará si desea   59  
  59. 59. crear un archivo contenedor o encriptar un disco opartición: La opción de un archivo contenedor crea un archivoque puede alojarse en el disco rígido o USB drive, elcual físicamente es como un archivo común, y puede sercopiado o borrado normalmente como cualquier otro. Seleccionando la opción de crear un archivocontenedor (Create an encrypted file container), sedeberá decidir si la partición será una de tipo normal(Standard) o una oculta (Hidden).   60  
  60. 60. Las particiones ocultas se crean sobre unapartición ya existente y es, precisamente, el tipo departición que mencionábamos antes, las cuales sólopueden ser accedidas si se sabe de su existencia y seingresa la clave correcta. En caso contrario sólo semuestra su partición contenedora y la oculta seráindetectable, invisible. Luego de crear la partición normal, creará laoculta: En este punto debe elegir qué nombre darle alarchivo y dónde será creado:   61  
  61. 61. Ahora tendrá que seleccionar dos parámetros muytécnicos, como son el algoritmo de encriptación y el dedigesto. Por defecto el algoritmo de encriptación esAES, que es un estandard desde 1998 y no hay evidenciade que haya sido vulnerado. Las otras opciones queaparecen son los otros finalistas de esa selección(Twofish y Serpent) y modalidades de uso combinando losalgoritmos. Salvo que sepa exactamente lo que está haciendo,será prudente que deje los valores que vienen pordefecto:   62  
  62. 62. El siguiente paso es seleccionar la capacidad deeste archivo. Debe tener en cuenta que una vez creadono se podrá modificar su tamaño. Es clave que presteatención entonces a qué tipo de archivos guardarádentro del disco encriptado.   63  
  63. 63. Y finalmente se le solicitará seleccionar la clave paraproteger el disco. Una opción extra que se presentará es el uso dekeyfiles. Estos archivos, que pueden ser de cualquiertipo, como un mp3, .avi, .zip, etc., y cualquiercantidad, permiten agregar un paso más para teneracceso y así seguir fortaleciendo la seguridad de suscontenidos. Lo ideal en caso de utilizar keyfiles, esaccederlos mediante una Smartcard o un Token deseguridad. De esta manera Usted agrega un segundo   64  
  64. 64. factor de autenticación que no se basa en algo que“sabe”, sino en algo que “tiene”. En el caso de quepierda el archivo encriptado y que alguien conozca laclave de seguridad para accederlo, si no se tienen loskeyfiles, no se podrá acceder. Así mismo se pueden utilizar los keyfiles paraarmar esquemas de acceso en los que se requiera lapresencia física de dos o tres personas para abrir unarchivo encriptado: Si elige una clave poco segura, se le pediráconfirmar para continuar:   65  
  65. 65. Y finalmente se le preguntará qué tipo de formatole dará al disco encriptado. Lo ideal quizás seautilizar FAT, para tener un formato que se puedautilizar desde distintas computadoras y sistemasoperativos:   66  
  66. 66. Una vez seleccionado, se verá una pantalla donde sevisualizará el proceso de creación de este discoencriptado. En la etiqueta Random Pool verá la generación dedistintos números, y cuando mueva el ratón sobre laventana, esta generación será más rápida. Esto se debea que para generar estos números al azar se estántomando distintos parámetros del sistema y uno de elloses la posición del mouse. Deberá mover el ratón sobre la ventana a intervalosirregulares y usando distintos patrones durante dos o   67  
  67. 67. tres minutos, para generar la suficiente cantidad denúmeros al azar. Luego podrá oprimir el botón Format y comenzará elproceso de creación: Después de haber creado el archivo encriptado,volverá a la ventana original. Aquí, oprimiendo elbotón Select File, elegirá el archivo recién creado yluego oprimirá el botón Mount donde se le solicitará laclave para accederlo.   68  
  68. 68. Dependiendo del sistema operativo, se le solicitaráo no la clave de administrador para montar el discoencriptado:   69  
  69. 69. Particiones Ocultas La creación de una partición oculta esprácticamente igual al proceso descripto anteriormente.La única diferencia es que al momento de ser solicitadala clave de acceso, primero deberá poner una claveExterior (Outer Volume Password). Esta clave es aquellaque permitirá acceder al disco encriptado. Una vez creada y formateada esta partición, se lepermitirá abrirla y agregar algunos archivos queeventualmente puedan ser expuestos:   70  
  70. 70. Avanzando, comienza el proceso de creación de lapartición oculta en el espacio restante de la primerapartición. Allí seleccionará Usted los parámetros deencriptación y la cantidad de espacio de esta particiónoculta: También la clave para acceder a este volumenencriptado (Hidden Volume Password):   71  
  71. 71. Luego pasará por las pantallas del proceso decreación, pero esta vez será para crear el volumenoculto. Una vez terminado este proceso Usted podrá montarel volumen y, dependiendo de la clave que utilice, veráel contenido del volumen exterior o del volumen oculto:   72  
  72. 72.   73  
  73. 73. Nos vemos en el café de laesquina Si Usted necesita tener una conversación virtualprivada, salga de ahí. La mejor idea es tomar la laptope ir al café de la esquina. Pida un café y conéctese ala Red. Una Red distinta a la suya, a la de su casa o ala de su lugar de trabajo, que no puede ser asociada aUsted ni a datos relacionados con su persona, es unaconexión en la cual nadie lo conoce. Pero no está asalvo. El mayor problema es que ahora las miradas soninvisibles. No vamos a poder identificar quién estáobservando, ni desde dónde. Y ahí está el gran truco,casi como describen en la película Los Sospechosos deSiempre a Keyser Söze: "El gran truco del diablo fuehacer creer que no existía". Entonces la forma de poder protegerse es tratandode entender con qué herramientas lo pueden espiar, cómofuncionan y con esa información y conocimientominimizar los riesgos. Desde una red pública, y esto se aplica tanto awifi como a redes de celulares (3g, lte, etc.), es muysimple de poder acceder a toda la comunicación ya queel transporte es el aire. Cuando se conecta a cualquier servicio web (homebanking, correo, Facebook, etc.) se crea una sesiónentre su máquina y el servicio. A esta sesión se leasigna un número para identificarla y se la guarda enel navegador en la forma de una cookie. De ahora en más,cada vez que hace una interacción con el servicio, es   74  
  74. 74. decir cada vez interactúa en el sitio haciendo click enun link, debe presentar esa cookie que tienen suidentificador para seguir usando el servicionormalmente. Caso contrario, el servicio no lo podráidentificar y le pedirá registrarse nuevamente. La primera forma de que los puedan espiar esintentando robar esa cookie. Accediendo a ella, puedenhacerse pasar por Usted y acceder al servicio. No leestán robando el usuario y la clave del servicio, perosin embargo pueden acceder a su cuenta. El robo de cookies de sesión se denomina asalto desesión (session hijacking) y éstas son algunas formasde lograrlo: - Fijación de sesión (session fixation). Este tipode ataque trata de imponerle un identificador de sesión.Es utilizado muchas veces enviando un mail con un linkal servicio. La forma más simple de protegerse: nuncahaga click en un link que le envía por correo undesconocido. Y si es una persona conocida, asegúreseque no es un tercero haciéndose pasar por esa persona.Vea desde dónde le envían el correo y escriba la urldel sitio en el navegador: sólo la dirección del sitio,por ejemplo: www.banco.com, y no la url completa querecibió. - Ejecución fuera del sitio (cross-site scripting).Este proceso es un poco más complejo técnicamente, peroes uno de las más utilizados. Lo que trata de lograr esejecutar código en el navegador haciéndose pasar comosi hubiera sido provisto por el sitio al que estáaccediendo. De esa forma pueden obtener la cookie quetiene su identificador de sesión. Nuevamente la formade inyectar este código es que primero visite una url   75  
  75. 75. dada. Así las cosas, la mejor forma de evitarlo es noseguir directamente url que le fue enviada sinoescribirla en el browser. - Y la más compleja técnicamente es llamada SessionSidejacking y es realizada monitoreando el tráfico quegenera el usuario. En base a este monitoreo se puedeobtener información de la sesión y de ahí obtener elusuario y clave, o el identificador de sesión. Estemonitoreo es mucho más simple cuando Usted se encuentraconectado a una red compartida, como en el caso del unwifi en un lugar público. La única forma de protegerse de este tipo deataques es asegurándose de utilizar siempre unaconexión segura denominada HTTPS. Este tipo deconección es fácilmente identificable porque cambia elícono en la barra del navegador: La conexión HTTPS no solo debe existir durante elproceso de autenticación, donde se ingresa usuario yclave, sino durante toda la sesión. Caso contrario,como ya vimos, no hace falta el usuario y clave, sinocon el identificador de sesión es posible que untercero ingrese al servicio haciéndose pasar por Usted. A modo ilustrativo podemos ver como funciona laaplicación Firesheep: permite analizar el tráfico de   76  
  76. 76. una red pública y obtener los identificadores desesión:y luego conectarse a cada servicio:   77  
  77. 77. Por eso es muy importante verificar que siempre seesté conectando por una conexión segura (HTTPS) durantetoda la sesión. Y usar la opción de Desconectarse(logout) al finalizar. Otra medida de seguridad importante es configurarel browser para que borre el historial y todas lascookies cuando se cierra. Todos los browsers tienenesta funcionalidad y es muy importante activarla. Firefox:   78  
  78. 78. Google Chrome:   79  
  79. 79.   80  

×