Clicky

El famoso hacker Kevin Mitnick muestra cómo hacerse invisible en línea

invisibilidad en Internet

Cuando usas Tor, la línea directa entre tú y tu sitio web de destino es oscurecida por nodos adicionales

Si eres como yo, una de las primeras cosas que haces por la mañana es revisar tu correo electrónico. Y si eres como yo, también te preguntas quién más ha leído tu correo electrónico. Eso no es una preocupación paranoica. Si utilizas un servicio de correo electrónico basado en web como Gmail o Outlook 365, la respuesta es algo obvia y aterradora.

Incluso si eliminas un correo electrónico en tu computadora o teléfono móvil en el momento en que lo leas, eso no borrará necesariamente el contenido. Todavía hay una copia en algún sitio. El correo web está basado en la nube, por lo que para poder acceder a él desde cualquier dispositivo en cualquier lugar, en cualquier momento, tiene que haber copias redundantes. Si utilizas Gmail, por ejemplo, se conserva en varios servidores de Google en todo el mundo una copia de cada correo electrónico enviado y recibido a través de tu cuenta de Gmail. Esto también es cierto si utilizas sistemas de correo electrónico proporcionados por Yahoo, Apple, AT & T, Comcast, Microsoft o incluso de tu lugar de trabajo. Cualquier correo electrónico que envíes también puede ser inspeccionado, en cualquier momento, por la empresa de alojamiento. Al parecer esto es para filtrar el malware, pero la realidad es que terceros pueden acceder a nuestros correos electrónicos por otras razones más siniestras y egoístas.

Mientras que la mayoría de nosotros puede tolerar que nuestros correos electrónicos sean escaneados para el malware, y tal vez algunos de nosotros tolera la exploración con fines publicitarios, la idea de terceros leyendo nuestra correspondencia y actuando sobre determinados contenidos encontrados dentro de correos electrónicos específicos es francamente preocupante.

Lo menos que puedes hacer es que sea mucho más difícil para ellos hacerlo.

Comienza con el cifrado

La mayoría de los servicios de correo electrónico basados en la web utilizan cifrado cuando el correo electrónico se encuentra en tránsito. Sin embargo, cuando algunos servicios transmiten correo entre los Agentes de transferencia de correo (MTA), es posible que no estén utilizando el cifrado, por lo tanto, tu mensaje está al aire libre. Para volverte invisible necesitarás encriptar tus mensajes.

La mayoría del cifrado de correo electrónico utiliza lo que se denomina cifrado asimétrico. Esto significa que se generan dos claves: una clave privada que permanece en mi dispositivo, que nunca comparto, y una clave pública que publico libremente en Internet. Las dos claves son diferentes pero matemáticamente relacionadas.

Por ejemplo: Elena quiere enviar a Alicia un correo electrónico seguro. Encuentra la clave pública de Alicia en Internet o la obtiene directamente de Alicia, y al enviarle un mensaje encripta el mensaje con su clave. Este mensaje permanecerá encriptado hasta que Alicia - y sólo Alicia - use una contraseña para desbloquear su clave privada y desbloquear el mensaje cifrado.

Entonces, ¿cómo funcionaría el cifrado de los contenidos del correo electrónico?

El método más popular de encriptación de correo electrónico es PGP, que significa "Pretty Good Privacy". No es gratis. Es un producto de Symantec Corporation. Pero su creador, Phil Zimmermann, también es el autor de una versión de código abierto, OpenPGP, que es gratuita. Y una tercera opción, GPG (GNU Privacy Guard), creada por Werner Koch, también es gratuita. La buena noticia es que los tres son interoperacionales. Esto significa que, independientemente de la versión de PGP que utilices, las funciones básicas son las mismas.

Cuando Edward Snowden decidió por primera vez revelar los datos sensibles que había copiado de la NSA, necesitaba la ayuda de personas de ideas afines repartidas por todo el mundo. La defensora de la privacidad y cineasta Laura Poitras había terminado recientemente un documental sobre la vida de los denunciantes. Snowden quería establecer un intercambio cifrado con Poitras, excepto que sólo unas pocas personas conocían su clave pública.

Snowden se dirigió a Micah Lee de la Electronic Frontier Foundation. La clave pública de Lee estaba disponible en línea y, según la cuenta publicada en el Intercept, tenía la clave pública de Poitras. Lee comprobó si Poitras le permitiría compartirla. Ella lo haría.

Dada la importancia de los secretos que iban a compartir, Snowden y Poitras no podían usar sus direcciones de correo electrónico normales. ¿Por qué no? Sus cuentas personales de correo electrónico contenían asociaciones únicas -como intereses específicos, listas de contactos- que podían identificar cada una de ellas. En cambio, Snowden y Poitras decidieron crear nuevas direcciones de correo electrónico. ¿Cómo se conocen las nuevas direcciones de correo electrónico? En otras palabras, si ambas partes eran totalmente anónimas, ¿cómo iban a saber quién era quién y en quién podían confiar? ¿Cómo podría Snowden, por ejemplo, descartar la posibilidad de que la NSA o alguien más no se presentara como la nueva cuenta de correo electrónico de Poitras? Las claves públicas son largas, así que no puedes simplemente recoger un teléfono seguro y leer los personajes a la otra persona. Necesitas un intercambio de correo electrónico seguro.

Al reclutar a Lee una vez más, tanto Snowden como Poitras podrían anclar su confianza en alguien al configurar sus cuentas de correo electrónico nuevas y anónimas. Poitras compartió su nueva clave pública con Lee. Lee no usó la clave real, sino una abreviatura de 40 caracteres (o una huella dactilar) de la clave pública de Poitras. Esto lo publicó en un sitio público - Twitter.

A veces para ser invisible debes usar lo visible

Ahora Snowden podía ver anónimamente el tweet de Lee y comparar la clave acortada con el mensaje que recibió. Si los dos no coinciden, Snowden sabría no confiar en el correo electrónico. El mensaje podría haberse comprometido. O podría estar hablando en cambio con la NSA. En este caso, los dos coincidieron.

Snowden finalmente envió a Poitras un e-mail cifrado identificándose solo como "Citizenfour". Esta firma se convirtió en el título de su documental ganador del premio de la Academia sobre su campaña de derechos de privacidad.

Eso podría parecer el final - ahora podían comunicarse de forma segura a través de e-mail cifrado - pero no lo era. Era sólo el comienzo.

Elegir un servicio de cifrado

El arte de la invisibilidad en InternetTanto la fuerza de la operación matemática como la longitud de la clave de cifrado determinan lo fácil que es para alguien sin una clave romper su código.

Los algoritmos de cifrado en uso hoy en día son públicos. Quieres eso. Los algoritmos públicos han sido investigados por la debilidad, lo que significa que las personas han tratado deliberadamente de romperlos. Cada vez que uno de los algoritmos públicos se debilita o se agrieta, se retira, y en su lugar se utilizan algoritmos más nuevos y más fuertes.

Las teclas están (más o menos) bajo tu control, y por lo tanto, como podrías suponer, su gestión es muy importante. Si generas una clave de cifrado, tu y nadie más tendrá la clave almacenada en su dispositivo. Si dejas que una empresa realice el cifrado, digamos, en la nube, esa compañía también podría mantener la clave después de que él o ella la comparta contigo y también puedes ser obligado por orden judicial a compartir la clave con la aplicación de la ley o una agencia gubernamental, con o sin una orden judicial.

Cuando cifras un mensaje, un correo electrónico, texto o llamada telefónica, utiliza cifrado de extremo a extremo. Esto significa que tu mensaje permanece ilegible hasta que llegue a su destinatario. Con el cifrado de extremo a extremo, sólo tu y tu destinatario tienen las claves para descodificar el mensaje. No es el operador de telecomunicaciones, el propietario del sitio web o el desarrollador de la aplicación: las partes que la aplicación de la ley o el gobierno solicitarán para entregar información sobre ti. Realiza una búsqueda en Google por "cifrado de llamada de voz de extremo a extremo". Si la aplicación o el servicio no utilizan cifrado de extremo a extremo, elije otro.

Si todo esto suena complicado, eso es porque lo es. Sin embargo, hay complementos de PGP para los navegadores de Internet de Chrome y Firefox que facilitan el cifrado. Uno es Mailvelope, que maneja perfectamente las claves de cifrado públicas y privadas de PGP. Simplemente escribe una frase de acceso, que se utilizará para generar las claves públicas y privadas. Luego, cada vez que escribas un correo electrónico basado en la Web, selecciona un destinatario y, si el destinatario tiene una clave pública disponible, tendrás la opción de enviar a esa persona un mensaje cifrado.

Más allá del cifrado: metadatos

Incluso si cifras tus mensajes de correo electrónico con PGP, una parte pequeña de tu mensaje pero rica en información sigue siendo legible por casi cualquier persona. Al defenderse de las revelaciones de Snowden, el gobierno estadounidense declaró repetidamente que no captura el contenido real de nuestros correos electrónicos, que en este caso sería ilegible con el cifrado PGP. En lugar, el gobierno dijo que recoge solamente los metadatos del email.

¿Qué son los metadatos de correo electrónico? Es la información en los campos Para y De, así como las direcciones IP de los distintos servidores que manejan el correo electrónico de origen a receptor. También incluye la línea de asunto, que a veces puede ser muy reveladora en cuanto a los contenidos cifrados del mensaje. Los metadatos, un legado de los primeros días de Internet, todavía se incluyen en cada correo electrónico enviado y recibido, pero los lectores modernos de correo electrónico ocultan esta información de la pantalla.

Eso puede sonar bien, ya que los terceros no están realmente leyendo el contenido, y probablemente no se preocupan por la mecánica de cómo viajaron los correos electrónicos - las diferentes direcciones de servidor y los sellos de tiempo - pero te sorprendería lo mucho que se puede aprender solo de la ruta de correo electrónico y la frecuencia de los correos electrónicos.

Según Snowden, la NSA y otras agencias están recopilando nuestros metadatos de correo electrónico, texto y teléfono. Pero el gobierno no puede recopilar metadatos de todos - ¿o puede? Técnicamente, no. Sin embargo, ha habido un fuerte aumento en la colección "legal" desde 2001.

Para ser verdaderamente invisible en el mundo digital, necesitarás hacer más que encriptar sus mensajes. Necesitaras:

Elimina tu verdadera dirección IP: Este es tu punto de conexión a Internet, tu huella digital. Puede mostrar dónde te encuentras (hasta tu dirección física) y qué proveedor utilizas.

Obscurece tu hardware y software: Cuando te conectas a un sitio web en línea, pueden ser recogida por el sitio una instantánea del hardware y el software que estás utilizando.

Defiende tu anonimato: La atribución en línea es difícil. Probar que estabas en el teclado cuando ocurrió un evento es difícil. Sin embargo, si caminas delante de una cámara antes de conectarte a Starbucks, o si acabas de comprar un café con leche en Starbucks con tu tarjeta de crédito, estas acciones pueden estar vinculadas unos momentos después a tu presencia en línea.

Para comenzar, tu dirección IP revela dónde te encuentras en el mundo, qué proveedor utilizas y la identidad de la persona que paga por el servicio de Internet (que puedes o no ser tu). Todas estas piezas de información están incluidas dentro de los metadatos de correo electrónico y posteriormente se pueden utilizar para identificarte de manera única. Cualquier comunicación, sea por correo electrónico o no, puede utilizarse para identificarte en función de la dirección de Protocolo Interno (IP) asignada al enrutador que estás utilizando mientras estés en casa, en el trabajo o en el lugar de un amigo.

Las direcciones IP en los correos electrónicos pueden ser forjadas. Alguien podría usar una dirección de proxy, no su dirección IP real, sino la de otra persona, para que aparezca que un correo electrónico proviene de otra ubicación. Un proxy es como un traductor de lenguas extranjeras - hablas con el traductor, y el traductor habla con el hablante de lengua extranjera - sólo el mensaje sigue siendo exactamente el mismo. El punto aquí es que alguien podría usar un proxy de China o incluso Alemania para evadir la detección en un correo electrónico que realmente viene de Corea del Norte.

En lugar de alojar tu propio proxy, puedes utilizar un servicio conocido como un remailer anónimo, que enmascarará la dirección IP de tu correo electrónico para ti. Un remailer anónimo simplemente cambia la dirección de correo electrónico del remitente antes de enviar el mensaje a su destinatario. El destinatario puede responder a través del remailer. Esa es la versión más sencilla.

Una forma de enmascarar tu dirección IP es usar el enrutador onion (Tor), que es lo que hicieron Snowden y Poitras. Tor está diseñado para ser utilizado por personas que viven en regímenes severos como una forma de evitar la censura de los medios y servicios populares y para evitar que alguien rastree los términos de búsqueda que usan. Tor permanece libre y puede ser utilizado por cualquier persona, en cualquier lugar, incluso por ti.

¿Cómo funciona Tor? Si usas el modelo habitual para acceder a un sitio web, cuando usas Tor, la línea directa entre tú y tu sitio web de destino es oscurecida por nodos adicionales y cada diez segundos la cadena de nodos que te conectan a cualquier sitio que estás viendo cambia sin interrupción. Los distintos nodos que lo conectan a un sitio son como capas dentro de una cebolla. En otras palabras, si alguien iba a retroceder desde el sitio web de destino y tratar de encontrar, sería incapaz de porque el camino estaría cambiando constantemente. A menos que el punto de entrada y el punto de salida se asocien de alguna manera, tu conexión se considera anónima.

Para usar Tor, necesitarás el navegador Firefox modificado del sitio Tor (torproject.org). Siempre busca los navegadores Tor legítimos para tu sistema operativo desde el sitio web del proyecto Tor. No utilices un sitio de terceros. Para los sistemas operativos Android, Orbot es una aplicación Tor gratuita legítima de Google Play que encripta tu tráfico y oscurece tu dirección IP. En dispositivos iOS (iPad, iPhone), instala Onion Browser, una aplicación legítima de la tienda de aplicaciones de iTunes.

Además de permitirte navegar por Internet, Tor te da acceso a un mundo de sitios que normalmente no son buscables, lo que se llama la Red Oscura. Estos son sitios no resuelven nombres comunes como Google.com y en su lugar terminan con la extensión .onion. Algunos de estos sitios ocultos ofrecen, venden o proporcionan artículos y servicios que pueden ser ilegales. Algunos de ellos son sitios legítimos mantenidos por personas en partes oprimidas del mundo.

Cabe señalar, sin embargo, que hay varias debilidades con Tor: No tienes control sobre los nodos de salida, que pueden estar bajo el control del gobierno o la aplicación de la ley. Todavía puedes ser perfilado y posiblemente identificado. Y Tor es muy lento.

Dicho esto, si todavía decides usar Tor, no deberías ejecutarlo en el mismo dispositivo físico que usas para navegar. En otras palabras, tener un ordenador portátil para navegar por la web y un dispositivo separado para Tor (por ejemplo, un minicomputador Raspberry Pi que ejecuta el software Tor). La idea aquí es que si alguien es capaz de comprometer tu computadora portátil todavía no será capaz de despegar tu capa de transporte de Tor ya que se está ejecutando en una caja física por separado.

Crear una nueva cuenta (invisible)

Las cuentas de correo electrónico heredadas pueden estar conectadas de varias maneras a otras partes de tu vida: amigos, aficiones, trabajo. Para comunicarte en secreto, necesitarás crear nuevas cuentas de correo electrónico utilizando Tor para que la dirección IP que configura la cuenta no esté asociada con tu identidad real de ninguna manera.

La creación de direcciones de correo electrónico anónimas es un reto, pero es posible.

Puesto que dejarás un rastro si pagas por servicios privados del email, es realmente mejor apagarlos usando un servicio libre de la web. Una molestia menor: Gmail, Microsoft, Yahoo y otros requieren que proporciones un número de teléfono para verificar tu identidad. Obviamente, no puedes usar tu número de teléfono celular real, ya que puede estar conectado a su nombre real y dirección real. Es posible que puedas configurar un número de teléfono Skype si admite la autenticación de voz en lugar de la autenticación de SMS. Sin embargo, todavía necesitarás una cuenta de correo electrónico existente y una tarjeta de regalo prepagada para configurarla.

Algunas personas piensan en los teléfonos prepago como dispositivos utilizados sólo por terroristas, proxenetas y traficantes de drogas, pero hay muchos usos perfectamente legítimos para ellos. Los teléfonos prepago proporcionan sobre todo el servicio de voz, de texto, y de E-mail, y ése es sobre todo el que alguna gente necesita.

Sin embargo, comprar anónimamente un teléfono quemador será difícil. Claro, podrías entrar en Walmart y pagar en efectivo por un teléfono prepago y cien minutos de tiempo de antena. ¿Quién lo sabría? Bueno, mucha gente lo haría.

Primero, ¿cómo llegué a Walmart? ¿Tomaste un auto Uber? ¿Tomaste un taxi? Estos registros pueden ser citados. Yo podría conducir mi propio coche, pero la policía utiliza la tecnología automática de reconocimiento de placas de matrícula (ALPR) en grandes estacionamientos públicos para buscar vehículos perdidos o robados, así como personas en las que hay garantías pendientes. Los registros de ALPR pueden ser citados.

Incluso si caminas hasta Walmart, una vez que entrés en la tienda tu cara sería visible en varias cámaras de seguridad dentro de la tienda en sí, y el vídeo puede ser citado.

Bueno, así que digamos que enviar a un extraño a la tienda - tal vez una persona sin hogar que contrataste en el acto. Esa persona entra y compra el teléfono y varias tarjetas de relleno de datos con dinero en efectivo. Tal vez lo arreglas para citarte con esta persona más tarde fuera de la tienda. Esto ayudaría a distanciarte físicamente de la transacción real.

La activación del teléfono prepagado requiere llamar al departamento de servicio al cliente del operador móvil o activarlo en el sitio web del proveedor. Para evitar que se registre para el "aseguramiento de la calidad", es más seguro activar en la web. Usar Tor a través de una red inalámbrica abierta después de haber cambiado tu dirección MAC debe ser el mínimo de salvaguardia. Debes componer toda la información de suscriptores que ingreses en el sitio web. Para tu dirección, sólo Google la dirección de un hotel importante y usala. Marca una fecha de nacimiento y un PIN que recuerdes en caso de que en el futuro necesites ponerte en contacto con el servicio de atención al cliente.

Después de usar Tor para asignar aleatoriamente tu dirección IP y después de crear una cuenta de Gmail que no tiene nada que ver con tu número de teléfono real, Google envía a tu teléfono un código de verificación o una llamada de voz. Ahora tienes una cuenta de Gmail que es virtualmente imposible de rastrear. Podemos producir correos electrónicos razonablemente seguros cuya dirección IP - gracias a Tor - es anónima (aunque tu no tienes control sobre los nodos de salida) y cuyo contenido, gracias a PGP, no puede ser leído excepto por el destinatario.

Para mantener esta cuenta anónima sólo puedes acceder a la cuenta desde dentro de Tor para que tu dirección IP nunca se asocie con ella. Además, nunca debes realizar búsquedas en Internet mientras estás conectado a esa cuenta anónima de Gmail. Puedes buscar inadvertidamente algo relacionado con tu verdadera identidad. Incluso la búsqueda de información meteorológica podría revelar tu ubicación.

Como puedes ver, volverse invisible y mantenerse invisible requiere una disciplina tremenda y una diligencia perpetua. Pero vale la pena. Los puntos más importantes son: En primer lugar, ten en cuenta todas las formas en que alguien puede identificarte, incluso si llevas a cabo algunas, pero no todas las precauciones que he descrito. Y si realizas todas estas precauciones, debes realizar la debida diligencia cada vez que uses tus cuentas anónimas. Sin excepciones.

Extraído de: The Art of Invisibility: The World"™s Most Famous Hacker Teaches You How to Be Safe in the Age of Big Brother and Big Data

Jesus_Caceres