10 cosas cotidianas en la web que la Comisión Europea quiere ilegalizar: el legado de Oettinger

Pantallazo-2017-07-27 17-24-22

En unos días, el escandaloso Günther Oettinger dejará de ser el máximo responsable de la política de Internet en Europa – le han ascendido para supervisar los presupuestos de la UE.

Pero antes de irse, el Comisario Digital presentó unos planes peligrosos que quebrantan dos cimientos fundamentales de internet: Los enlaces y la subida de archivos. Mientras Oettinger se va, sus propuestas dictadas por el lobby están aquí para quedarse.

Estas propuestas satisfacen las demandas de algunos medios de comunicación de cobrar a los motores de búsquedas y redes sociales por redirigirles el tráfico (sí, lo has leído bien), así como el deseo de la industria discográfica de tener mayor apoyo en sus negociaciones con YouTube.

Estas propuestas causarán mayores daños colaterales – convirtiendo muchos de nuestros hábitos diarios en la red y muchos servicios que utilizas habitualmente en ilegales, sujetos a tasas o, como mínimo, sumidos en la inseguridad jurídica.

Aún estamos a tiempo de parar este plan descabellado – pero solo si pides a tus representantes en el Parlamento Europeo que se unan a mí en el rechazo de estas propuestas.

Si no, estas son las cosas que podrán ser ilegalizadas:

Pantallazo-2017-07-27 17-27-21

Compartir extractos de artículos de noticias en un blog o en una web personal sin permiso de los editores será una infracción – incluso 20 años después de que se publicase el artículo [en inglés].

La Comisión Europea no ha propuesto ninguna excepción ni para los fragmentos más cortos, o para individuos, o para usos no comerciales. Tampoco importa si se incluye o no un enlace a la fuente.

  • Derechos de autor extra para los editores: El artículo 11 de la propuesta de reforma de la directiva de copyright dice que la protección de los derechos de autor (concretamente el derecho de reproducción y el derecho de publicación) debe extenderse a los editores de prensa.
  • Un período de 20 años: Este derecho se garantiza durante 20 años tras su publicación (Artículo 11/4).
  • Retroactivo: Se aplicaría de manera retroactiva (Artículo 18/2) a las publicaciones ya existentes.
  • Afecta a los usuarios individuales: La ley no se limita en ningún momento para que tenga efecto sólo en usuarios comerciales o en extractos de cierta longitud.
  • No está cubierto por una excepción: Excepciones al derecho de autor como el de citar aún tendrán validez – pero en muchos países de la UE, compartir un extracto sin hacer más comentarios sobre su contenido no está cubierto por esta excepción. Por ejemplo, en Alemania “el trabajo citado [debe estar] intencionado como evidencia de declaraciones propias y como base para la discusión. La citación debe utilizarse para justificar, intensificar y asegurar el entendimiento de lo que se ha presentado. El uso de una cita no está permitido cuando solo se utiliza como ejemplo. La cita debe estar incorporada en el nuevo trabajo”
  • Malo incluso si no se aplica:Si se hace cumplir este nuevo derecho o no dependerá del editor individual. Aunque esto signifique que no todo uso de un extracto tendrá consecuencias legales, para estar seguros, cualquier página web que cite artículos de noticias tendrá que investigar sobre el editor y averiguar o preguntar sobre sus normas.

Captura de pantalla de 2017-07-27 17-31-35

“Wir sind Papst” (Somos el Papa) es un titular famoso del tabloide alemán Bild. A menos que la persona que lo twittee pague una licencia al editor de Bild, Axel Springer, twittear estas tres palabras supondría un incumplimiento del derecho de autor extra propuesto para los editores.

Twitter también podría pagar la cuenta, quizás pagando a una agencia colectora por una licencia general, librándote por lo tanto de la tarea de negociar tú una – de todas maneras, se necesitaría llegar a un acuerdo.

  • Derecho de autor adicional para los editores: El artículo 11 de la propuesta de reforma de la directiva de copyright dice que la protección del derecho de autor (en concreto el derecho de reproducción right y el derecho de publicación) debe extenderse a los editores de prensa.
  • Titulares creativos afectados: Golem.de informó [en alemán] de que Oettinger había dicho que la ley afectaría también a los titulares de noticias a menos que fuesen puramente factuales. “Somos el papa” sería, por lo tanto, un titular que podría verse afectado por esta ley.
  • ¿También afecta a titulares genéricos? La protección de titulares puede ir más allá incluso en la práctica, con derechos conexos como este, que protegen a los productores de contenidos en vez de a los autores originales, no se requiere por lo general que el contenido sea una creación intelectual merecedora de la protección del derecho de autor. No hay nada en la propuesta que indique que los titulares puramente fácticos fuesen a estar excluidos de este nuevo derecho, aunque debe ser complicado en la práctica decidir si alguien ha copiado un titular de este tipo o se le ha ocurrido de manera independiente.
  • Twitter es un objetivo previsto: La agencia de noticias alemana DPA citó [en alemán] a miembros del equipo de Oettinger que confirmaban que “servicios como Twitter, donde se comparte el contenido, eran los objetivos previstos por la ley”
  • Usuarios individuales afectados: Las condiciones de servicio de Twitter establecen que “al publicar contenido les otorgas el derecho a copiar [y] reproducir ese contenido”. Cuando se apruebe esta ley, ya no podrás otorgar tal derecho. Por lo tanto, si enviaste ese tweet y Twitter no pagó – porque decidieron no hacerlo o porque no se pusieron de acuerdo con un precio justo – estarías violando las condiciones de servicio (sujetas a la supresión de tu cuenta) y serías legalmente responsable.

Captura de pantalla de 2017-07-27 17-40-44

La imagen y el trozo de texto que Facebook, Twitter, Reddit y otros servicios generan automáticamente cuando compartes un enlace serían objeto de licencia si enlazan a una “publicación de prensa” – que explícitamente incluye páginas web de entretenimiento actualizados regularmente.

Si Facebook y Twitter no quieren empezar a pagar por los enlaces, quizás tendrán que deshabilitar esta función, provocando que sus interfaces no sean tan fáciles de usar.

  • Derecho de autor adicional para los editores: El artículo 11 de la propuesta de reforma de la directiva de copyright dice que la protección del derecho de autor (en concreto el derecho de reproducción y el derecho de publicación) debe extenderse a los editores de prensa.
  • No solo las noticias: Se define “publicaciones de prensa” en el artículo 2/4 como “una colección de trabajos literarios de naturaleza periodística” “dentro de una publicación periódica o actualizada regularmente y bajo un único título” “publicado en cualquier medio de comunicación”.
  • Twitter un objetivo previsto: La agencia de noticias alemana DPA citó [en alemán] a miembros del equipo de Oettinger que confirmaban que “servicios como Twitter, donde se comparte el contenido, eran los objetivos previstos por la ley”

4

Los marcadores visuales como Pinterest te permiten sacar imágenes de páginas web y guardarlas de manera organizada para, por ejemplo, hacer una lista de la compra o reunir cosas que te inspiran.

Al hacer eso, copian y publican de nuevo el título, la imagen y un extracto del texto de la página donde encontraste la imagen – lo que supondría un incumplimiento del derecho de autor adicional de los editores, si la Comisión Europea se sale con la suya.
Todos los detalles

Esto sería problemático bajo dos disposiciones separadas de la reforma del derecho de autor, una dirigida hacia ti y otra dirigida al servicio de marcadores:

1. Derecho de autor adicional para los editores:

  • Derecho de autor adicional para los editores: El artículo 11 de la propuesta de reforma de la directiva de copyright dice que la protección del derecho de autor (en concreto el derecho de reproducción y el derecho de publicación) debe extenderse a los editores de prensa.
  • No solo las noticias: La página web de una revista como Wallpaper* se incluye bajo la definición de “publicación de prensa” – una “publicación periodística, actualizada regularmente, con el propósito de informar o entretener… por ejemplo, revistas mensuales de interés general o específico” (Artículo 2/4).
  • No solo el texto: La “publicación de prensa” se define en el artículo 2/4 como “una fijación de un conjunto de trabajos literarios de carácter periodístico que puede incluir también otras obras o materias” – por lo que las fotografías están incluidas.

2. Obligación de supervisar las subidas

  • Nueva obligación para los servicios de la web: El artículo 13 de la propuesta de reforma de la directiva sobre derechos de autor introduce nuevas obligaciones para “los proveedores de servicios de la sociedad de la información que almacenan y proveen al público grandes cantidades de obras u otras materias subidas por sus usuarios” – contradiciendo el artículo 14 de la directiva sobre el Comercio Electrónico, que establece que los servicios que almacenen contenido no son responsables legalmente por el contenido subido por sus usuarios. El recital 38 intenta eliminar la excepción de esta responsabilidad de cualquier servidor que “juegue un rol activo, incluyendo la optimización de la presentación de las obras subidas o su promoción”.
  • Supervisión de subidas: La obligación es de “asegurar el funcionamiento de los acuerdos realizados con los titulares de los derecho por el uso de sus obras” o, supuestamente si no se alcanzan tales acuerdos, de “evitar la disponibilidad en sus servicios de obras identificadas por los dueños de sus derechos”. Esto contradice el Artículo 15 de la Directiva de Comercio Digital, la cual, explícitamente, no permite la “obligación general de supervisar la información que [los proveedores] transmiten o almacenan”.
  • Pinterest afectado: En su [en inglés] evaluación de impacto de la propuesta de ley, la Comisión Europea establece que “servicios como Pinterest también pueden verse incluidos en esta categoría” [Pg. 152, nota de pie 466]

5

Para permitir a los usuarios buscar en la red, el motor de búsqueda tiene que “leer” primero todas las páginas web utilizando un robot y creando una base de datos sobre qué contenidos se encuentran dónde. Para ser útil, tal base de datos necesita incluir copias de material protegido por derechos de autor.

La propuesta de lay amenaza con ilegalizar esas copias de publicaciones de prensa sin licencia de sus editores. Simplemente el hecho de almacenar una copia de la información será suficiente para requerir una licencia – no importa si alguien puede leerlo o no, por ejemplo, si el motor de búsqueda muestra o no un extracto del texto almacenado a los usuarios en sus búsquedas.

Bing, Google, Seznam.cz y otros tendrían que obtener licencias de todas las web periodísticas – o una licencia general a través de una sociedad colectora que podría estar establecida para ese propósito – o tendrían que quitarlos de su lista de resultados de búsqueda.

Dado que muchas web de noticias obtienen mucho tráfico a través de Google, probablemente se darán prisa en otorgarle a Google una licencia gratuita para seguir apareciendo en el listado de búsquedas, pero los motores de búsqueda más pequeños pueden no tener la misma suerte.

  • Derecho de autor adicional para los editores: El artículo 11 de la propuesta de reforma de la directiva de copyright dice que la protección del derecho de autor (en concreto el derecho de reproducción y el derecho de publicación) debe extenderse a los editores de prensa.
  • No solo las noticias:Se define “publicaciones de prensa” en el artículo 2/4 como “una colección de trabajos literarios de naturaleza periodística” “dentro de una publicación periódica o actualizada regularmente y bajo un único título” “publicado en cualquier medio de comunicación”.
  • Copias solo para uso legal: Rastrear la red es posible actualmente gracias a la excepción de copyright esencial para el funcionamiento de la red. Por un lado, cualquier reproducción de obras protegidas requiere una licencia, por otro lado, la excepción permite explícitamente las copias que son “transitorias o incidentales [y] parte integrante y esencial de un proceso tecnológico y cuyo único propósito es permitir una transmisión en una red entre terceros a través de un intermediario, o un uso lícito”. Por lo tanto, hacer copias que son incidentales para proporcionar la funcionalidad de búsqueda es también legal. Si esto se modifica a través de la introducción del nuevo derecho de autor adicional para los editores, que se aplicaría incluso a los fragmentos más pequeños, mostrar los resultados de búsqueda que conducen a sitios web de noticias ya no sería lícito y, por consiguiente, ya no sería legal bajo esta excepción.

6

FotoCommunity es una red social para fotógrafos con sede en Alemania que recoge millones de imágenes subidas por los propios titulares de sus derechos.

Hoy en día, cuando alguien denuncia que una imagen subida por uno de los usuarios de FotoCommunity infringe derechos de autor, FotoCommunity se ve obligada a retirarla. A cambio, no se hacen responsables de la infracción.

La reforma propuesta se les volvería en contra: FotoCommunity estaría ahora obligado a evitar de manera activa que sus usuarios subiesen nada que los titulares de derechos hubiesen identificado a FotoCommunity.

Esto supone un enorme desafío de ingeniería: enorme desafío de ingeniería: La web tendría que desarrollar un filtro que compruebe cada foto que se sube con una base de datos de imágenes protegidas por derechos de autor. YouTube, quien tiene un filtro similar para identificar música o vídeos protegidos por derechos de autor en los vídeos que se suben a su red, dice [en inglés] que se ha gastado más de 60 millones de dólares para construir esta tecnología.

Mucho peor, FotoCommunity tendría que detectar cualquier tipo de infracción de derechos de autor en las fotos subidas. El caso más sencillo sería que se subiese una copia idéntica de una imagen protegida. Pero una foto también puede infringir el derecho de autor de un escultor o de un arquitecto si se trata de una fotografía de su obra. Detectar una foto de una obra en 3D desde cualquier ángulo es mucho más complicado que emparejar subidas con una base de datos de imágenes protegidas – si es que es posible.

  • Nueva obligación en las web de servicios: El artículo 13 de la propuesta de reforma de la directiva de copyright introduce nuevas obligaciones para “los servicios proveedores de las sociedad de la información que almacenes y den acceso al público a un gran número de obras u otras materias subidas por sus usuarios” – contradiciendo al artículo 14 de la directiva sobre el Comercio Electrónico, bajo la que los servicios que almacenen contenido no son responsables legalmente por el contenido subido por sus usuarios. El recital 38 intenta eliminar la excepción de esta responsabilidad de cualquier servidor que “juegue un rol activo, incluyendo la optimización de la presentación de las obras subidas o promocionándolas”.
  • Supervisión de subidas: La obligación es de “asegurar el funcionamiento de los acuerdos realizados con los titulares de los derecho por el uso de sus obras” o, supuestamente si no se alcanzan tales acuerdos, “evitar la disponibilidad en sus servicios de obras identificadas por los dueños de sus derechos”. Esto contradice el Artículo 15 de la Directiva de Comercio Digital, la cual no permite explícitamente la “obligación general de supervisar la información que los [proveedores] transmiten o almacenan”.
  • Objetivo incierto: Qué constituye exactamente una “gran cantidad de obras” permanece sin determinar.

7

La obligación de escanear todas las subidas en busca de infracciones de copyright se aplicaría a cualquier tipo de servicio que aloje “una gran cantidad de obras”, no solo fotos.

Dado que la Comisión Europea no ha previsto ninguna excepción, servicios populares que no están para nada relacionados con las tan extendidas infracciones de copyright, tales como GitHub, un servicio de alojamiento de repositorios de software, tendría no obstante que poner en práctica una tecnología de filtración para solucionar un problema no existente – tan pronto como la primera persona titular de derechos de autor de un código fuente les identifique un código y quiera mantenerlo fuera de la web.

Startups europeas como MuseScore, que permite a los usuarios subir partituras, podría tener que desarrollar también tecnologías para detectar, en este caso, partituras o melodías protegidas por derechos de autor. Tal obligación podría poner en peligro su existencia.

  • Nueva obligación en las web de servicios: El artículo 13 de la propuesta de reforma de la directiva de copyright introduce nuevas obligaciones para “los servicios proveedores de las sociedad de la información que almacenes y den acceso al público a un gran número de obrar u otras materias subidas por sus usuarios” – contradiciendo al artículo 14 de la directiva, sobre el Comercio Electrónico, bajo la que los servicios que almacenen contenido no son responsables legalmente por el contenido subido por sus usuarios. El recital 38 intenta eliminar la excepción de esta responsabilidad de cualquier servidor que “juegue un rol activo, incluyendo la optimización de la presentación de las obras subidas o promocionándolas”.
  • Supervisión de subidas: La obligación es de “asegurar el funcionamiento de los acuerdos realizados con los titulares de los derecho por el uso de sus obras” o, supuestamente si no se alcanzan tales acuerdos through measures “evitar la disponibilidad de obras identificadas por los dueños de sus derechos en sus servicios”. Esto contradice el Artículo 15 de la Directiva de Comercio Digital, la cual no permite explícitamente la “obligación general de controlar la información que los [proveedores] transmiten o almacenan”.
  • Objetivo incierto: Qué constituye exactamente una “gran cantidad de obras” permanece sin determinar.
  • Todo tipo de contenidos: En ningún sitio se limita esta obligación a cierto tipo de obras – por lo que se aplicaría a todo tipo de contenidos protegidos por derechos de autor, como los códigos [en inglés].

8

La obligación de analizar todas las subidas no se aplicaría solamente a páginas comerciales, también a proyectos como Wikipedia que no funcionan por un beneficio económico y que permiten expresamente la subida de fotos con licencia para reutilización pública. Si se considera que “den acceso a una gran cantidad de obras subidas por sus usuarios” tendrían que “evitar que las obras identificadas por los titulares de derechos de autor estuviesen disponibles”.

En Wikipedia, los voluntarios pueden revisar las nuevas imágenes subidas – pero es dudoso que este proceso impreciso satisficiese la nueva ley. Lo más seguro sería que necesitasen implantar “tecnologías efectivas de reconocimiento de contenido”.

  • Nueva obligación con un concepto demasiado amplio de servicios comerciales: El artículo 13 de la propuesta de reforma de la directiva de copyright introduce nuevas obligaciones para “los proveedores de servicios de la sociedad de la información”, sin limitar estas obligaciones a los servicios con ánimo de lucro. “Los proveedores de servicios de la sociedad de la informacións” son servicios que “normalmente se proveen a cambio de una remuneración”, sin embargo, la jurisprudencia ha establecido que esta definición se aplique también a servicios que normalmente piden donaciones o que obtienen remuneración por parte de sus participantes, incluso si el servicio en particular se provee de manera gratuita.
  • Supervisión de subidas no limitada a infracciones de copyright: El artículo 13 especifica que la obligación de instalar una tecnología de supervisión de subidas afecta a plataformas que alojan “grandes cantidades de obras u otros contenidos subidos por sus usuarios”, sin requerir que ninguna de estas subidas constituyan de hecho infracciones de copyright. Incluso si todo el contenido subido a Wikipedia se encuentra bajo dominio público o se ha publicado bajo licencia libre, las obras con licencia CC siguen siendo obras protegidas por derechos de autor. La hipótesis subyacente a estas obligaciones es que cada vez que un usuario sube una obra sin la participación de un titular de derechos, debe estar teniendo lugar una infracción de copyright, ignorando completamente la existencia de licencias Creative Commons o excepciones de copyright. Por lo que la gran cantidad de obras bajo licencia CC subidas a Wikipedia requerirían poner en práctica una tecnología de supervisión de subidas.

9

Vale, puede que todavía no estés haciendo esto… pero pronto, algún día, puede que quieras hacerlo.

Según la inteligencia artificial va tomando más presencia en nuestras vidas, el modo en que los usuarios hacen que sus ordenadores lleven a cabo las tareas va cambiando: Tradicionalmente, programas el ordenador para realizar una tarea a través de programación – escribiendo instrucciones paso a paso. Una IA, sin embargo, no se programa, se entrena. La entrenas dándole mucha información que representa lo que tú quieres que haga por ti y dejándole que averigüe por su cuenta qué pasos debe seguir. Entrenar una IA requerirá, lo más seguro, copiar datos – la mayoría bajo protección de derechos de autor.

La reforma de copyright propuesta introduce por primera vez en toda Europa la excepción de copyright para la minería de texto y datos, por ejemplo, analizar una gran cantidad de datos – pero solo par “instituciones de investigación” y “para el propósito de una investigación científica”.

Esto no te incluye a ti – o a otros innumerables aficionados, hackers, programadores o investigadores principiantes que podrían estar haciendo valiosas contribuciones y descubrimientos… o simplemente utilizando la tecnología para aprender y jugar.

  • Nueva excepción: El artículo 3 (1) de la propuesta directiva de copyright establece una nueva excepción para la minería de texto y datos
  • Pero no para ti: Sin embargo, está limitada específicamente a instituciones de investigación y “para el propósito de investigaciones científicas”.

10

A pesar de todas las nuevas restricciones sobre los hipervínculos y las subidas, sitios como MegaUpload, famoso al ser cerrado por las autoridades estadounidenses por supuestamente infringir derechos de autor de manera sistemática, no se vería afectado.

Está comprobado: Esta ley no tiene como objetivo las webs que se toman a la ligera los derechos de autor – su propósito es sacar dinero a las redes sociales y a los motores de búsqueda para la maltrecha industria cultural europea.

  • Rol activo: El recital 38 de la propuesta directiva de copyright enfatiza que una plataforma adquiere responsabilidad legal sobre las infracciones de copyright de sus usuarios si “juega un papel activo, incluyendo la optimización de la presentación de obras subidas o su promoción”.
  • Los sitios de archivo de documentos como MegaUpload están diseñados solo para almacenar, pero no para promocionar o hacer que se pueda buscar el contenido que se sube a sus servidores. Dado que los usuarios solo pueden encontrar el material subido si tienen el link exacto, estos proveedores pueden no considerarse que “provean acceso al público” a las subidas de los usuarios y, por lo tanto, no estarían incluidos en la obligación de supervisión de subidas del artículo 13.

Qué podemos hacer

El Parlamento Europeo y el Consejo (conformado por los 28 gobiernos nacionales de los países de la UE) acaban de empezar a deliberar sobre la propuesta de Oettinger.

Pídeles que rechacen el derecho de autor adicional para los editores (Artículo 11) y la obligatoriedad de inspeccionar las subidas (Artículo 13):

euro

unete

 

Asociaciones de bibliotecas como EBLIDA yLIBER están luchando por una ampliación de la nueva excepción para la minería de texto y datos para permitir que cualquiera pueda beneficiarse de ella. ¡Podrían contar con tu apoyo!

¿Te encargas de llevar un servicio en internet, tales como foros web o almacenamiento de archivos, que podría verse afectado por esta propuesta? Cuenta tu historia en tu blog, contacta con la prensa local ¡o deja tu historia en los comentarios!

Si quieres saber más, echa un vistazo a nuestra publicación en Medium que aúna las críticas a esta propuesta de las distintas partes interesadas, incluyendo a Mozilla (los creadores de Firefox) y a defensores de los derechos digitales como EDRi.

¡Y difunde también este artículo!

(de la página web de la eurodiputada del Partido Pirata Julia Reda

Analizar redes con Nmap

 

nmap1Hoy en día están muy extendidas las redes informáticas, los sistemas más usados son las redes cableadas y las inalámbricas. Resultaría extraño qué en algún metro cuadrado de nuestra ciudad no encontráramos varias conexiones inalámbricas.

Todas esas redes, sean grandes o  pequeñas, sean cableadas o  inalámbricas, tienen un gran trabajo, a sus espaldas, y un mantenimiento permanente. Dentro de dicho mantenimiento se encuentra la vigilancia de la red para que no sea cableada e intervenida de forma “anónima” por un tercero. Al mismo tiempo, resulta complicado, en una red, saber en que lugar entra cualquiera de sus usuarios. Si se entra en sitios “no seguros” eso puede perjudicar a la red y a todos sus usuarios. Siendo misión de un gestor de red el hacer que esto no suceda.

Modos y maneras de enfrentarse a dichos problemas hay unos cuantos, el que presento a continuación: Nmap, es uno más., puede que no sea el mejor, pero tampoco es el peor, y es fácil de gestionar, tiene prestaciones que sobrepasan muchas expectativas y es libre.

La aplicación Network Mapper, más conocida como Nmap es un programa de código abierto. Se puede redistribuir y/o modificar bajo los términos de la Licencia Pública General de GNU según publica la Free Software Foundation, versión 2. Esta licencia garantiza el derecho de cualquiera a utilizarlo, modificarlo y redistribuirlo bajo ciertas condiciones.

Nmap está diseñado para explorar y realizar auditorías de seguridad en una red de ordenadores, así como efectuar rastreo de puertos. Permite descubrir información de los servicios y sistemas encontrados, así como el reconocimiento de huellas identificativas de los sistemas escaneados. De igual forma se puede utilizar para fines de hacking, ya que pone al descubierto puertos abiertos en los ordenadores de una red, también es posible conocer como se encuentra organizada, y de cuantos ordenadores consta una red. Escrito originalmente por Gordon Lyon. Se usa para evaluar la seguridad de sistemas informáticos, así como para descubrir servicios o servidores en una red informática.

Son sus características:

* Identifica ordenadores en una red, por ejemplo listando aquellos que responden a un ping.

* Comprueba la configuración de los elementos de seguridad.

* Identifica los puertos abiertos en una ordenador objetivo.

* Determina qué servicios se están ejecutando en el mismo.

* Determina qué sistema operativo y versión utiliza dicho ordenador.

* Obtiene algunas características del hardware de red de la máquina objeto de la prueba.

Ha llegado a ser uno de las herramientas imprescindibles para todo administrador de sistema, y se usa para pruebas de penetración y tareas de seguridad informática en general.

Los administradores de sistema pueden utilizarlo para verificar la presencia de posibles aplicaciones no autorizadas ejecutándose en el servidor, así como los crackers pueden usarlo para descubrir objetivos potenciales.

Nmap permite hacer el inventario y el mantenimiento de los ordenadores de una red. Luego se puede usar para auditar la seguridad de una red, mediante la identificación de todo nuevo servidor que se conecte.

nmap2Hay quien lo confunde con herramientas para la verificación de vulnerabilidad, tipo Nessus (que suelen ir más lejos en su exploración de los objetivos). Nmap es muy difícil de detectar, ha sido creado para evadir los Sistema de detección de intrusos (IDS) e interferir lo menos posible con las operaciones normales de las redes y de los ordenadores que son analizados.

Una de las posibilidades más interesantes de Nmap es la versatilidad que tiene a la hora de realizar las exploraciones. Puede usarse tanto para una sencilla exploración rutinaria en los equipos de nuestra propia red, como para realizar una compleja predicción de números de secuencia y descubrimiento de la huella identificativa de sistemas remotos protegidos por sistemas cortafuegos. También se puede usar para la realización de una única exploración o de forma interactiva, para poder realizar múltiples exploraciones desde un mismo equipo, esto es realizar exploraciones de varios equipos de forma simultánea.

Como la mayoría de aplicaciones ejecutadas desde consola, (es programa de consola, aunque existen varios entornos gráficos a elegir) Nmap puede combinar toda una serie de opciones de exploración que tienen sentido en conjunto, aunque también existen otras operaciones que son especificas para ciertos modos de exploración.

A la hora de ejecutar Nmap con múltiples opciones a la vez, la aplicación tratará de detectar y advertirnos sobre el uso de combinaciones de opciones incompatibles o no permitidas.

Nmap puede funcionar en sistemas operativos como:

* las diversas variables de Unix (Solaris, Mac OS X, BSD y FreeBSD),

* GNU/Linux

* Microsoft Windows

* AmigaOS.

Interfaces gráficas

Si no se desea utilizar la línea de comandos de Nmap, se pueden usar varias interfaces gráficas, siendo la más conocida:

http://pages.infinit.net/rewind/

La interfaz de usuario oficial es nmapfe, escrita por Zach Smith, y Nmap lo integra desde la versión 2.2.

Existen otras interfaces basadas en navegadores Web. Algunos ejemplos son LOCALSCAN, nmapweb, y Nmap CGI. NMapWin es una interfaz para Windows (no actualizada desde la versión 1.4.0.). Una plataforma completa Nmap con capacidades para funcionar sobre distintos OS se encuentra en UMIT. Su autor es Adriano Monteiro Marques.

Téngase en cuenta que estamos hablando de Software Libre, con lo cual una cosa es la “página oficial” del equipo de desarrollo, y otra muy diferente la de los grupos o personas que, por su cuenta, deciden, un día, elaborar algo para el programa, en nuestro caso hablamos de “entornos gráficos”, y al poco tiempo pueden dejar de desarrollarlo. Con lo cual lo más aconsejable siempre es ir a la página oficial del programa en cuestión o a algún repositorio de confianza.

De forma parecida a la mayoría de herramientas utilizadas en seguridad informática, Nmap puede usarse para lo bueno o para lo malo.

• Puede usarse solo o para prevenir ataques, con otra herramienta de intrusión.

• Los mismos administradores de sistemas lo utilizan para buscar fallas en sus propias redes, o bien para detectar ordenadores que no cumplen con los requisitos mínimos de seguridad de la organización. (Nótese que Nmap por sí solo sólo dará una indicación básica de la vulnerabilidad de un ordenador, y que se usa normalmente junto a otras herramientas y tests).

Como curiosidad sobre dicho programa, podemos contar que:

• Nmap aparecía en la película The Matrix siendo usado por el personaje Trinity para penetrar en el sistema de la central eléctrica, mediante la explotación de vulnerabilidades en el servidor SSH y en el Control de redundancia cíclica.

• Nmap y NmapFE fueron también usados en The Listening, una película de 2006 sobre un exfuncionario de la NASA estadounidense, que deserta y organiza una estación de contraespionaje en los Alpes italianos.

• Partes del código fuente de Nmap pueden verse en la película Battle Royale.

licenciacc4

La Neutralidad en la Red y la UE

internet.png

La legislación de la UE intenta tener buenos principios (teatro, puro teatro) para garantizar que se pueda conectar a cualquier punto de la red sin discriminación. Sin embargo, algunas partes de dicha legislación pueden usarse para todo lo contrario, esto es para mermar la neutralidad de la red. Los europarlamentarios (con su clásico “dejar hacer” o “cobrar como Zeus y que los demás hagan tu trabajo”) decidieron dejar la responsabilidad de aclarar las dudas del texto a los reguladores de las telecomunicaciones -esto es, dejad a los bandoleros de la Sierra el mantenimiento del Orden Público en dicho lugar.

El Organismo de Reguladores Europeos de las Comunicaciones Electrónicas (ORECE) tiene que preparar directrices de aplicación para interpretar las ambigüedades de la ley para finales de agosto. Estas directrices determinarán si en Europa vamos a disfrutar de neutralidad de la red.

En junio de 2016, el ORECE tenía previsto publicar su proyecto de directrices y poner en marcha una consulta pública. Sin embargo, las normas de procedimiento del ORECE decían que el público sólo tenía desde el 6 junio hasta 18 julio para responder y el Reglamento ya que el BEREC necesita publicar sus directrices definitivas el 30 de agosto de 2016. Lo que quiere decir que los ciudadanos sólo hemos tenido unas pocas semanas para responder la consulta y ORECE tiene solamente poco más de un mes para procesar los (potencialmente miles de comentarios), proyectos de actualizaciones a sus directrices y luego seguir el procedimiento administrativo para acordar formalmente cualquier cambio para el proyecto.

Hoja de Ruta de la UE en la neutralidad de la red

Los legisladores han que dotarse de herramientas para hacer cumplir la neutralidad de la red. ORECE no tiene tiempo suficiente para procesar y tener debidamente en cuenta las probables decenas de miles de respuestas (¡el regulador de telecomunicaciones de Estados Unidos recibió 3,7 millones de respuestas a su consulta!). Hay que restablecer el equilibrio que permita a todos contribuir adecuadamente a las directrices de una manera más eficiente.

licenciacc4

tdt

5.- Tails: el s.o. live para navegar de incógnito

El uso de “fuertes sistemas de cifrado implementados adecuadamente” tiene una curva de aprendizaje grande y requiere usuarios dedicados dispuestos a hacer trabajo extra para tener el control de su propia privacidad, es el motivo principal por el que OTR y PGP no tengan actualmente un uso generalizado. Pero incluso cuando se utiliza estas herramientas, ¿cómo se puede garantizar la “seguridad de punto final”,cuando no se puede confiar en el sistema operativo o de otro software del que se depende todos los días?

La solución es utilizar un sistema operativo completamente diferente compuesto totalmente de un “software de confianza” cuando se tiene una gran necesidad de privacidad real. Tails ayuda a resolver este problema.

Captura de pantalla_2016-05-17_11-18-16.png

  • Tails es un sistema o. live que tiene por objeto preservar tu privacidad y anonimato. Te ayuda a utilizar Internet de forma anónima en casi cualquier lugar y en cualquier equipo, pues no deja rastro, al menos que tu se lo digas explícitamente.
  • Es un sistema operativo completo, diseñado para ser utilizado desde un DVD o una memoria USB de forma independiente del sistema operativo original del ordenador. Es Software Libre y se basa en Debian GNU / Linux.
  • Tails lleva varias aplicaciones incorporadas en la pre-configuración sin olvidar la seguridad: navegador web, cliente de mensajería instantánea, cliente de correo electrónico, suite de oficina, editor de imagen y de sonido, etc.

Tails no es para cualquiera. Comparándolo con los sistemas operativos normales aún es difícil de usar, es lento y no tiene todo el software que quisieras. Pero está diseñado de forma concreta para que resulte muy difícil para los propios usuarios echar a perder su seguridad de punto final. Si crees que la NSA, o cualquier otro atacante potencial, pueden tenerte y/o a tus colegas como objetivos (relación periodista / confidente) es una de las mejores herramientas disponibles.

Debido a que Tails no es práctico para el uso diario del ordenador, es una buena idea acostumbrarte a usar OTR y PGP en el sistema de uso normal también. Tails no ayudará a disminuir los efectos de vigilancia de la red por sí mismo, pero encriptar todo lo que se pueda si lo hará.

Cada vez que arrancas Tails es una pizarra limpia. Cualquier cosa que hicistes en la sesión anterior Tails, al ser una distro live, lo ha borrado y el sistema está de nuevo en su estado predeterminado. Esto significa que incluso si te has infectado con malware la última vez que lo usastes, la siguiente vez que arranques con él, el malware ha desaparecido.

Puedes comenzar a utilizarlo bajándote la imagen del DVD y grabándolo en un DVD. A continuación, tienes que arrancar desde este DVD. Este paso es diferente según qué modelo de equipo tienes, pero a menudo has de entrar en la BIOS y cambiar el orden de inicio para que el ordenador intente arrancar desde el DVD, antes de intentarlo desde el disco duro. En los nuevos ordenadores puede que tengas que desactivar UEFI “arranque seguro” en la BIOS, que es el cifrado que se utiliza para asegurarse de que tu equipo sólo arrancará versiones firmadas digitalmente de Windows (que, en efecto, hace que sea más difícil para la gente a arrancar en sistemas operativos que no sean Windows). La página web de Tails tiene más información sobre cómo iniciar las herramientas desde un DVD o USB.

Cabezal_nuevo

Después de arrancar el DVD tienes la opción de instalar Tails en una memoria USB, lo cual es especialmente útil, ya que te permite configurar un volumen permanente, una sección de cifrado de tu memoria USB para almacenar los datos. Al pesar de partir desde cero cada vez que arranca, es importante para que seas capaz de tener acceso a tus claves PGP y OTR, tu correo Claws (más adelante) y la configuración de Pidgin, y todos los documentos con los que trabaja. Tu volumen permanente te permitirá hacer esto.

PGP y correo electrónico en Tails

Analiza el uso de Thunderbird con Enigmail para acceder al correo electrónico y utilizar PGP, sin embargo este software no viene con las Tails. Que viene con Claws Mail que incluye un plugin PGP.

tails

En lugar de utilizar la interfaz gráfica de usuario de gestión de claves PGP de Enigmail para importar, exportar, generar, ver detalles y firmar claves, puede hacer clic en el icono del portapapeles en la parte superior derecha de la pantalla y seleccione Administrar claves para abrir Seahorse, que proporciona estos mismas características.

tails12.jpg

Workflow

Para empezar a tener comunicaciones privadas con tus amigos y colegas con bastante seguridad de punto final, estos son los pasos que debes de tomar.

  • Encuentro con tus amigos cara a cara. Cada persona debe llevar su propio ordenador portátil y un USB.
  • Descargar y grabar un DVD Tails. Arrancas con Tails y lo instalas en cada USB.
  • Cuando todo el mundo tenga Tails instalado en el USB, deben de arrancarlo en su propio ordenador portátil y configurarlo de forma permanente en la memoria USB. Dado que el volumen se cifra, cada persona debe añadir su propia contraseña segura que tendrá que introducir cada vez que arranque con Tails. Todo el mundo debe reiniciar sus portátiles en Tails de nuevo y montar esta vez el USB.
  • Todos han de crear una nueva cuenta con seudónimo en Jabber. Una forma de hacerlo es ir a https://register.jabber.org/ en Iceweasel. Ya que Tails hace que todo el tráfico de Internet vaya a través de Tor, se está haciendo efectivamente una cuenta anónima de Jabber.
  • Cada uno ha de abrir Pidgin y configurarlo para utilizar su nueva cuenta Jabber y crear una nueva clave de OTR. Todos han de agregarse los unos a los otros en sus listas de amigos e iniciar sesiones de OTR. Dado que todo el mundo está en la misma habitación, es el momento oportuno para comparar las huellas dactilares y verificar la identidad de todas las partes de modo que todos puedan comunicarse de forma segura a través de Internet en el futuro.
  • Cada persona debe de crearse una nueva dirección de correo electrónico. Algunos proveedores de correo electrónico, como Gmail, hacen que sea muy difícil crear nuevas cuentas durante el uso de Tor y que permanezcan en el anonimato, lo mejor es buscar otro proveedor de correo electrónico para usar en su lugar. Asegúrate de que tu proveedor de correo electrónico sea compatible con IMAP (para que puedas utilizar un cliente de correo electrónico de escritorio) a través de SSL (por lo que tu cliente de correo electrónico utiliza el cifrado de las comunicaciones con el srever de correo electrónico). Si todos eligen el mismo proveedor de correo electrónico, el envío de correos entre las cuentas nunca abandonará el servidor de correo electrónico, con lo que se reducen los metadatos sobre el uso del correo electrónico disponible para cualquier persona que lleva a cabo la vigilancia de la red que barre Internet.
  • Cada persona debe generar una nueva clave PGP de su dirección de correo electrónico. Al igual que con el cifrado de disco, es importante elegir una contraseña sólida cuando se genera una clave PGP.
  • El cliente de correo electrónico PGP habilitado que viene con Tails se llama Claws Mail. Cada persona debe configurar Claws Mail para usar su nueva dirección de correo, y luego enviar por correo electrónico una copia de su clave pública a todas las otras personas en la habitación.
  • Cada persona debe importar la clave pública de todos los demás en sus llaveros, y debe verificar manualmente las huellas digitales PGP. No os salteis este paso. Al final, cada persona debe tener un anillo de claves que contiene las claves firmadas de todas las demás personas.

Si un atacante malicioso roba físicamente tu memoria USB Tails, lo modifica, y te lo devuelve, se puede poner en peligro toda la seguridad de Tails. Por esta razón, es importante mantener tu memoria USB contigo en todo momento.

El Director de la CIA y general de cuatro estrellas retirado David Petraeus y su biógrafa Paula Broadwell decidieron utilizar Tails, Tor, OTR y PGP, así su relación extramatrimonial debería de haberse mantenido secreta.

Una oportunidad para luchar

Proteger tu privacidad en la era de la vigilancia de la NSA es increíblemente compleja. Conseguir un conocimiento básico de los conceptos involucrados, más el uso del software necesario, tiene una curva de aprendizaje enorme.

Pero incluso con acceso directo a todos los datos que viajan a la velocidad de la luz por cables de fibra óptica de la red troncal de Internet, incluso con la cooperación de los principales compañías tecnológicas de los Estados Unidos (que son extremadamente difíciles de boicotear para la gente), el más grande, poderoso y mejor financiado aparato de vigilancia que la humanidad ha visto no puede derrotar a las matemáticas.

El reto del nuevo movimiento cypherpunk es hacer un cifrado seguro y verificado de extremo a extremo accesible a todo el mundo, y activado de forma predeterminada.

licenciacc4

monsanto.png

4.-“Pretty Good Privacy (PGP) Cifrado de correo electrónico

Flag_of_Europe.png

En 1991, Phil Zimmermann desarrolló el software de cifrado de correo electrónico llamado Pretty Good Privacy o PGP, que había prometido a los activistas por la paz para utilizar mientras organizaban el movimiento antinuclear.

Hoy, PGP es una empresa que vende un programa de cifrado propietario con el mismo nombre. OpenPGP es el protocolo abierto que define cómo funciona el cifrado PGP, y GnuPG (GPG para abreviar) es software libre, y 100% compatible con la versión propietaria. GPG es mucho más popular que PGP hoy, porque es libre para todo el mundo la descarga, y los cypherpunks confian más en ella porque es de código abierto. A veces intercambian los términos PGP y GPG.

Lamentablemente, PGP es notoriamente difícil de usar, Greenwald usa cómo ejemplo que no podía hablar inicialmente con Edward Snowden porque era difícil de instalar.

egotuus
Las diez cosas que debieras saber sobre el franquismo

Pares de claves y llaveros

Como con OTR, cada persona que desea enviar o recibir correo electrónico cifrado necesita generar su propia clave PGP, llamada un par de claves. Los pares de claves PGP se dividen en dos partes, la clave pública y la clave secreta.

Si tienes la clave pública de alguien, puedes hacer dos cosas: cifrar mensajes que sólo pueden descifrarse con su clave secreta, y verificar las firmas que se han generado con su clave secreta. Es seguro dar tu clave pública a quien quiera. Lo peor que cualquiera puede hacer con ella es cifrar mensajes que sólo tu puedes descifrar.

Con tu clave secreta puedes hacer dos cosas: descifrar mensajes cifrados con tu la clave pública, y firmar digitalmente los mensajes. Es importante mantener en secreto tu clave secreta. Con ella un atacante podría descifrar los mensajes que te estuvieran destinados, y podría falsificar mensajes en tu nombre. Las claves secretas están cifradas generalmente con una contraseña, de modo que incluso si tu equipo se ve comprometido y te roban la clave secreta, el atacante tendría que obtener tu clave de acceso antes de que pudiera tener acceso. A diferencia de OTR, PGP no tiene clave avanzada. Si se compromete tu clave secreta PGP y el atacante tiene copias de mensajes de correos electrónicos históricos codificados que has recibido, puede retroceder y descifrar retrospectivamente todos ellos.

NuitDebout_15MYa que necesitas las claves públicas de otras personas y así cifrar los mensajes para ellos, el software PGP te permite gestionar un llavero con tu clave privada, la clave pública, y todas las claves públicas de las personas con las que te comunicas.

El uso de PGP para cifrado de correo puede ser muy incómodo. Por ejemplo, si configuras PGP en tu equipo pero has recibido un correo electrónico cifrado en tu teléfono, no serás capaz de descifrarlo para leerlo hasta llegar a tu equipo.

Como OTR, cada clave PGP tiene una huella digital única. Puedes encontrar una copia de mi clave pública en la web Freedom of the Press Foundation, y mi huella es 5C17 6163 61BD 9F92 422C08B4D2 5A1E 9999 9697. Si miras mi clave pública verá que es bastante larga y sería difíciles de leer en el teléfono. Una huella es una forma más corta y cómoda para representar de forma exclusiva una clave. Con mi clave pública puedes cifrar mensajes que sólo yo puedo descifrar, siempre que no haya sido comprometida mi clave secreta.

Contraseñas

La seguridad del cifrado a menudo se basa en la seguridad de una contraseña. Dado que las contraseñas son fácilmente adivinadas por los ordenadores, los criptógrafos prefieren el término contraseña para alentar a los usuarios a poner contraseñas muy largas y seguras.

comic.jpg

Para tener sugerencias de cómo elegir buenas contraseñas, lee la sección contraseña de EFF defiende la privacidad en la frontera de los Estados Unidos: Una guía para los viajeros que llevan dispositivos digitales whitepaper, y también la Diceware Passphrase Home Page.

Además de proteger las claves secretas PGP, también necesita elegir buenas contraseñas para el cifrado de discos y protección de contraseña.

Software

Para instalar GPG, los usuarios de Windows pueden descargar Gpg4Win, y los usuarios de Mac OS X pueden descargar GPGTools. Si usas GNU/Linux ya debes de tener instalado GPG. GPG es un programa de línea de comandos, pero hay software que interactúa con clientes de correo electrónico que facilita mucho su uso.

Tendrás que descargar un cliente de correo electrónico para usar PGP correctamente. Un cliente de correo electrónico es un programa en tu pc que se abre para comprobar tu correo electrónico, en lugar de utilizar el navegador web. La instalación de PGP más popular es el cliente de correo electrónico Thunderbird con el añadido Enigmail. Thunderbird y Enigmail son software libre y se ejecutan en Windows, Mac y GNU/Linux.

PGP es muy difícil de utilizar de forma segura desde un navegador web. Si bien existen algunas extensiones de explorador que ayudan, recomiendo que te acostumbres a un cliente de correo electrónico de escritorio hasta que madure el uso en los navegadores. Es posible que utilices el cifrado PGP con Gmail, pero lo más fácil es configurar un cliente de correo como Thunderbird y ejecutar tu cuenta de Gmail a través de él.

Cifrado, descifrado y firma

Puedes enviar mensajes de correo electrónico codificados y firmar digitalmente utilizando la interfaz gráfica de usuario proporcionada por Thunderbird y Enigmail. He aquí un ejemplo de un correo electrónico cifrado que me estoy enviando a mí mismo. Cuando le digo enviar, mi software toma el cuerpo del mensaje y lo cifra usando mi clave pública, haciendo que el contenido ininteligible a los intrusos, y también a mi proveedor de correo electrónico.1y2

Cuando abrí este correo me pidió que escribiera mi contraseña de cifrado para descifrarlo. Ya que se cifró con la clave pública, la única manera de poder descifrar es con mi clave secreta. Ya está protegida con una contraseña, he necesitado escribir mi contraseña para descifrar temporalmente mi clave secreta y así utilizarla para descifrar el mensaje.

PGP no es sólo para el correo electrónico

Aunque PGP se suele usar para cifrar correo electrónico, nada impide que lo uses para cifrar cualquier cosa y publicarlo utilizando cualquier medio. Puedes enviar mensajes cifrados con PGP en blogs, redes sociales y foros.

Kevin Poulsen publicó un mensaje cifrado PGP en el sitio web de Wired destinado a Edward Snowden. Mientras Wired tiene una copia de la clave pública real de Snowden, sólo alguien en posesión de la clave secreta de Snowden puede descifrar este mensaje. No sabemos cómo Wired tiene una copia de la clave pública de Snowden.

He aquí un mensaje cifrado con la clave pública. Sin tener acceso a mi clave secreta asociada, la NSA no deberían ser capaces de romper el cifrado. (NSA, hágamelo saber si lo consigue).

—–BEGIN PGP mensaje—–

Versión: GnuPG v1.4.12 (GNU/Linux).

HQIMA86M3VXog5+ZAQ//WEP9ZiiCMSmLk/Pt54d2wQk07fjxI4c1rw+jfkKQAi4n

6HzrX9YIbgTukuv/0Bjl+yp3qcm22N6B/mk+P/3Cbxo+Pn3gsq5OLFNenQO3RMNM

I9RC+qJ82sgPXX6i9V/KszNxAyfegbMseoW9FcFwViD14giBQwA7NDw3ICm89PTj

Y+YBMA50iRqdErmACz0fHfA/Ed5yu5cOVVa8DD12/upTzx7i0mmkAxwsKiktEaKQ

Vg8i1gvzqeymWYnckGony08eCCIZFc78CeuhODy0+MXyrnBRP9p++fcQE7/GspKo

SbxVT3evwT2UkebezQT2+AL57NEnRsJzsgQM4R0sMgvZI7I6kfWKerhFMt3imSt1

QGphXmKZPRvKqib59U57GsZU1/2CMIlYBVMTZIpYKRh6NgE8ityaa4gehJDl16xa

PZ8z3DMNt3CRF8hqWmJNUfDwUvXBEk8d/8Lkh39/IFHbWqNJh6cgq3+CipXH5HjL

IVh7tzGPfB6yn+RETzcZjesZHtz4hFudOxTMV0YnTIv0FGtfxsfEQe7ZVmmfqGNG

GlxE0EfbXt0psLXngFMneZYBJqXGFsK3r5bHjRm6wpC9EDAzXp+Tb+jQgs8t5eWV

XiQdBpNZnjnGiIOASOxJrIRuzbTjo389683NfLvPRY8eX1er58ebjLvDhvDZ2jS

PwGuWuJ/8QNZou1RfU5QL0M0VE3ACm4wP5zfUGnW8O1vKY9rK5/9evIiA/DMAJ+

GF20Y6WzGg4llG9qCAnBkc3GgC7K1zkXU5N1VD50Y0qLoNsKy6eengXvmiL5EkFK

RnLtP45kD2rn6iZq3/Pnj1IfPonsdaNttb+2fhpFWa/r1sUyYadWeHs72vH83MgB

I6h3ae9fli5tYLs2m6u8rKFM8zZhixSh

=A8P.

—–Fin de mensaje PGP—–

Verificación de identidad

Como con OTR, es importante comprobar las claves PGP de las personas con las que te comunicas. En PGP puede hacer esto utilizando tu clave privada para firmar digitalmente la clave pública de alguien.

Desde Thunderbird puedes hacer clic en el menú OpenPGP y abrir la gestión de claves. Puedes comprobar la opción “Mostrar todas las claves por defecto” en la casilla de verificación para ver todas las claves en tu llavero. Desde aquí puede importar claves de archivos, desde el portapapeles o desde servidores de claves. También puedes generar nuevos pares de claves, y ver los detalles de todas las claves de tu llavero.

 

connombre

Como con las claves OTR, cada clave PGP tiene una huella digital única. Y cómo con OTR, necesitas leer toda la huella para estar seguro de que la clave pública que se está viendo pertenece realmente a la persona que crees que pertenece.

Puedes hacer clic con el botón derecho sobre una clave de la lista e ir a Ver Detalles para ver su huella. Aquí están los detalles de la clave PGP que el software de cifrado de disco TrueCrypt utiliza para firmar digitalmente las versiones de su software.

correo2.png

También como OTR, necesitas reunirte en persona, hablar por teléfono, o usar una sesión de OTR ya comprobada para comparar cada carácter de la huella.

Después de haber verificado que la clave pública pertenece a la persona que piensas que lo es, puedes hacer clic en “Seleccionar Acción” y elegir “Signo clave”.

correo3.png

En la captura de pantalla anterior he comprobado el apartado: “Local signature (cannot be exported)“. De esta manera, puedes firmar claves PGP, que son necesarias para Enigmail y otros software PGP para mostrar mensajes de seguridad que tienen sentido, pero no corras el riesgo de una publicación accidental de que te comuniques con un servidor de claves PGP.

Si recibes un correo electrónico cifrado de alguien que conoces, pero el correo electrónico no está firmado digitalmente, no puedes estar completamente seguro de que en realidad fuera escrito por la persona que crees. Es posible que pudiera ser alguien que falsificó o comprometió su dirección de correo electrónico.

Si tu contacto te dice en este mensaje de correo electrónico que ha generado una nueva clave, debes reunirte en persona o hablar con ella por teléfono y leer sus huellas antes de que puedas estar seguro de que no estás bajo un ataque.

Los ataques

Si no compruebas las identidades no tienes forma de saber si eres o no eres víctima de un ataque MITM.

El periodista del Washington Post Barton Gellman, al que Edward Snowden confió información sobre el programa Prism de la NSA, escribió sobre su experiencia usando PGP.

  • El jueves, antes de que el Post publicara la primera historia, me puse en contacto en un nuevo canal. Él no me esperaba allí y me respondió alarmado.
  • ¿Nos conocemos?”, escribió.
  • Le envié una nota en otro canal para verificar mi “huella digital”, una precaución que habíamos estado utilizando durante algún tiempo. Cansado, le envíe el equivocado. “Esta no es la huella correcta“, escribió, listo para contar. “Estás obteniendo MITM”. Estaba hablando sobre un ataque “hombre en el Oriente”, una norma técnica de la NSA para omitir el cifrado. Rápidamente corregí mi error.

Snowden tenía motivos para ser cauteloso e insistir en que se comprobara la nueva huella PGP. PGP, si se utiliza correctamente, proporciona las herramientas necesarias para evitar ataques MITM. Pero estas herramientas sólo funcionan si los usuarios están atentos a la verificación de identidad.

licenciacc4

ambos.png

3.- Cómo mantener el anonimato con Tor

Informe-financiacion-iglesia-2016.jpg

Tor es un paquete de software que te permite utilizar Internet mientras ocultas tu dirección IP, que es, en general, una representación bastante precisa de tu ubicación. La red Tor se compone de más de 3.600 servidores voluntarios llamados nodos. Cuando alguien utiliza la red Tor para visitar un sitio web su conexión rebota a través de tres de estos nodos (lo que se denomina un circuito) antes de salir finalmente a la superficie de Internet. Cualquiera que controle el tráfico va a creer que tu ubicación es el nodo final del que sales.

Es importante recordar que aunque la conexión a Internet sea anónima no tiene porque, de forma mágica, ser segura. La EFF (Electronic Frontier Fundation) ha hecho una excelente visualización de cómo Tor y HTTPS pueden trabajar juntos para proteger nuestra privacidad.

Como todos los buenos programas de criptografía, Tor es Software Libre, completo, con seguimiento de errores abierto, lista de correos y código fuente.

La documentación para Tails, la distribución GNU/Linux live que obliga a todo el tráfico de red del usuario a ir a través de la red Tor, dice esto sobre los adversarios globales:

  • Un adversario pasivo global sería una persona o entidad capaz de controlar al mismo tiempo el tráfico entre todos los equipos de una red. Estudiando, por ejemplo, la distribución y los patrones de volumen de las diferentes comunicaciones a través de la red, sería estadísticamente posible identificar los circuitos Tor y así emparejar a los usuarios de Tor y los servidores de destino.

Aún no sabemos si la NSA o el GCHQ cuentan como un adversario global o todo lo contrario, pero sí sabemos que controlan una gran parte de Internet. Es demasiado pronto para saber con certeza sí estas agencias de espionaje pueden romper el anonimato de la red Tor.

Aunque puedan, el uso de Tor aún nos da muchas ventajas. Dificulta su trabajo, y dejamos mucho menos datos de identificación en los servidores donde nos conectamos a través de la red Tor. Resulta mucho más difícil ser víctima de un ataque MITM en nuestra red local o a través de nuestro proveedor de servicios de Internet (ISP). E incluso si alguno de los circuitos de Tor pudiera ser derrotado por un adversario global, si hay bastante gente navegando, enrutando su tráfico al mismo tiempo, a través de los mismos nodos de Tor, resultaría difícil para el adversario distinguir qué tráfico pertenece a qué circuitos.

La forma más fácil de comenzar a usar Tor es descargar e instalar el navegador Tor.

tor1.png

Cuando Snowden estaba respondiendo a preguntas en la web de “The Guardian” desde una “conexión segura a Internet”, probablemente enrutaba su tráfico a través de la red Tor. También puede que utilizara un puente para conectarse a la red Tor y conseguir que resultara menos evidente, para los intrusos, el uso de Tor desde su dirección IP.

Chat Off the Record (OTR)

Off the Record (OTR) es una capa de cifrado que puede añadirse a cualquiera de los sistemas de chat de mensajería instantánea existentes, siempre que puedas conectarte a ese sistema de chat con un cliente de chat que soporte OTR, como Pidgin o Adium. Con OTR es posible estar seguro, de las conversaciones cifradas de extremo a extremo a través de servicios como Google Talk y el chat de Facebook sin que Google o Facebook pueda tener acceso jamás al contenido de las conversaciones. (Nota: esto es diferente a la opción “off the record” de Google, que no es segura. Y recuerda: si bien las conexiones HTTPS de Google y Facebook son valiosas para proteger tus mensajes mientras están en tránsito, ellos tienen las llaves de tus conversaciones, de modo que pueden entregarlas a las autoridades o a quien pague).

OTR se utiliza para dos cosas: Cifrar el contenido de las conversaciones de mensajes instantáneos en tiempo real y verificar la identidad de las personas con las que charlas. La verificación de la identidad es muy importante y es algo que muchos usuarios de OTR descuidan. Mientras OTR es mucho más amigable para el usuario que otras formas de cifrado de clave pública, si deseas utilizarla de forma segura todavía necesitas entender cómo funciona y qué ataques son posibles.

Proveedores de servicio y Jabber.

Usando solo OTR se cifra el contenido de las conversaciones de chat, pero no los metadatos relacionados. Estos metadatos incluyen con quién hablas y cuándo y con qué frecuencia. Por esta razón, se recomienda el uso de un servicio que no esté llamado a colaborar con los organismos de espionaje. Aunque no protejan necesariamente tus metadatos, al menos tienes alguna oportunidad de mantener tu privacidad.

También se recomienda usar un servicio XMPP (también conocido como Jabber). Como correo electrónico, Jabber es un protocolo abierto federado. Los usuarios del servicio Jabber riseup.net pueden chatear con usuarios del servicio jabber.de así como del servicio jabber.org.

Clientes OTR

Para utilizar OTR necesitarás descargar software. Si utilizas Windows, puedes descargar e instalar Pidgin y por separado el plugin OTR. Si usas GNU/Linux puedes instalar los paquetes pidgin y pidgin-otr. Puedes leer en la documentación cómo configurar tus cuentas de Pidgin con OTR. Si utilizas Mac OS X, puedes descargar e instalar Adium, que es un cliente de chat de Software Libre que incluye apoyo para OTR. Puedes leer la documentación oficial de cómo establecer el cifrado OTR con Adium.

También hay Jabber y clientes OTR disponibles para Android, se llama Gibberbot y para iOS, se llama ChatSecure.

Tu clave

Cuando empieces a usar OTR, tu cliente chat genera una clave cifrada y la almacena en un archivo en la carpeta de inicio del usuario en el disco duro. Si te roban, pierdes o se infecta con malware tu ordenador o smartphone, es posible que tu clabe OTR se encuentre en peligro. Si sucede esto, sería posible para un atacante controlar tu servidor Jabber y poder montarte un ataque MITM, mientras estás charlando con personas de las que previamente has comprobado su identidad.letsencrypt

Sesiones

Si deseas utilizar OTR para hablar en privado con tus amigos, estos también han de utilizárlo. Una sesión cifrada entre dos personas requiere dos claves de cifrado. Por ejemplo, si tu y tu amigo estáis conectados en el chat de Facebook con Adium o Pidgin y tenéis ambos configurados OTR, podéis conversar en privado. Sin embargo, si has iniciado sesión en Mensajería instantánea con Adium o Pidgin, pero tu amigo está chateando directamente desde facebook.com en un explorador web, no se puede tener una conversación cifrada.

Si deseas utilizar los servicios de Google o Facebook para chatear con tus amigos, se recomienda deshabilitar el chat dentro de la interfaz web de estos servicios y sólo usar Adium y Pidgin para conectarse, y anima a todos tus amigos a hacer lo mismo.

Cuando inicias una sesión cifrada de OTR, el software de cliente te dirá algo parecido a esto:

Intentando iniciar una conversación privada con username@jabberservice…

Iniciada la conversación no verificada con username@jabberservice/ChatClient.

Si ya has comprobado la huella OTR de la persona con la que estás hablando (ampliaremos esto más adelante) la sesión tendrá este aspecto:

Intentando iniciar una conversación privada con username@jabberservice…

Iniciada conversación privada con username@jabberservice/ChatClient.

Cuando se inicia una nueva sesión de OTR, tu software OTR y el de tu amigo enviarán una serie de mensajes de ida y vuelta para acordar una nueva clave de sesión. Esta clave de cifrado temporal, que sólo es conocido por sus clientes de IM y nunca se envía a través de Internet, se utiliza para cifrar y descifrar mensajes. Cuando se finaliza la sesión ambos clientes olvidan la clave. Si vuelves a hablar con la misma persona más adelante, los clientes generan una nueva clave de sesión.

De esta manera, incluso si un espía está registrando todos las conversaciones OTR cifradas – que la NSA crea que está legalmente autorizado a hacerlo, incluso si eres un ciudadano estadounidense y no tienen una orden o motivo razonable – y posteriormente puedan comprometer tu clave OTR, no serán capaces de usarla para intentar descifrar tus conversaciones antiguas.

Esta propiedad se llama secreto previo, y es una característica que tiene OTR y PGP no. Si tu clave secreta PGP (más sobre esto más adelante) se ve comprometida, y si el atacante tiene acceso a todos los mensajes cifrados que has recibido, este puede retroceder y descifrar todos ellos. Lee más sobre cómo funciona el secreto previo, y por qué todas las grandes empresas de Internet deberían de adoptarlo para sus sitios web. La buena noticia es que Google ha adoptado ya el secreto previo y Facebook lo implementará pronto.

Verificación de la huella OTR

Cuando inicias una nueva sesión de OTR con alguien, tu software de mensajería instantánea recibe la huella digital de su clave de cifrado, y tu software OTR recuerda esta huella. Mientras alguien utiliza la misma clave de cifrado cuando habla contigo, presumiblemente porque siempre usa el mismo dispositivo, tendrá la misma huella. Si su huella digital cambia entonces está utilizando otra clave de OTR o ambos sois blanco de un ataque MITM.

Sin verificar las claves no tienes forma de saber si has sido o no víctima de un ataque MITM con éxito y no lo has detectado.

Aunque la persona que está hablando sea realmente tu amigo, sabe cosas que sólo ella puede saber, y estás utilizando cifrado OTR, un atacante podría estar leyendo tu conversación. Ya que puedes realmente tener una conversación cifrada OTR con el atacante, que está teniendo una conversación cifrada OTR independiente con tu amigo real y justo reenvía los mensajes hacia uno y otro lado. En lugar de la huella digital de tu amigo, tu cliente vería las huellas del atacante. Todos vosotros, como usuarios, podéis ver que la conversación es “no verificada”.

Las siguientes capturas de pantalla muestran las indicaciones visuales en Pidgin de la verificación de la huella dactilar. Si has verificado las huellas OTR, tu conversación es privada y, si no, la conversación está cifrada pero puede estar siendo atacada. No se puede saber con certeza sin comprobarlo.

tor2y3

Si haces clic en el enlace No verificado (en Adium es un icono de bloqueo) puedes elegir “Autenticar amigo”. El protocolo OTR admite tres tipos de verificaciones: el protocolo millonario socialista, un secreto compartido, y el de verificación de la huella digital manual. Todos los clientes OTR soportan la verificación de huella manual, pero no todos los clientes admiten otros tipos de verificaciones. En caso de duda, elije la verificación de huella manual.tor4

En esta captura de pantalla, se puede ver la huella OTR de los dos usuarios para el período de sesiones. La otra persona debe de ver exactamente el mismo tipo de huella. A fin de estar seguro de que ambas partes están viendo la huella correcta, necesitáis veros en persona, o hablar por teléfono si puedes reconocer su voz, o encontrar algún otro método seguro fuera de onda para verificar las huellas digitales, tales como el envío de un correo electrónico firmado y cifrado PGP.

Las huellas OTR son 40 caracteres hexadecimales. Es estadísticamente imposible generar dos claves OTR que tengan la misma huella, lo que se denomina una colisión. Sin embargo, es posible generar una clave OTR que no esté en colisión, pero en una inspección rápida lo parezca. Por ejemplo, los primeros caracteres y últimos caracteres podrían ser la misma con diferentes caracteres en el centro. Por esta razón, es importante comparar cada uno de los 40 caracteres para asegurarse de que tienes la correcta clave OTR.

Ya que configuras, generalmente, una nueva clave OTR cada vez que configuras un nuevo dispositivo (por ejemplo, si deseas utilizar la misma cuenta Jabber para chatear desde tu teléfono Android con Gibberbot tal como utilizas en tu PC el Pidgin), a menudo terminas con varias claves y, por lo tanto, varias huellas. Es importante repetir el paso de verificación en cada dispositivo con cada contacto con el que desees hablar.

Es aún mucho más práctico utilizar OTR sin comprobar la huella que no usar OTR para nada. Un atacante que intente un ataque MITM contra una sesión OTR corre el riesgo, muy real, de ser atrapado, lo probable es que este ataque sólo se use con cautela.

Registros

He aquí algunos extractos de los registros de chat, publicada por Wired, de una conversación entre Bradley Manning y Adrian Lamo, que entregaron a las autoridades:

(1:40:51 PM) bradass87 aún no ha sido autenticado. Debes autenticar a este amigo.

(1:40:51 PM) comienza la conversación no verificada con bradass87.

(1:41:12 PM) bradass87: Hola

(1:44:04 PM) bradass87: ¿cómo estás?

(1:47:01 PM) bradass87: Soy un analista de inteligencia del ejército, desplegado en el este de Bagdad, en espera de la licencia por “trastorno de adaptación” en lugar de “trastorno de identidad de género”

(1:56:24 PM) bradass87: Estoy seguro de que estás muy ocupado…

(1:58:31 PM) bradass87: Si tuvieras un acceso no oficial a las redes clasificadas 14 horas al día, 7 días a la semana durante 8 meses, ¿qué harías?

(1:58:31 PM) Info@adrianlamo.com : Cansado de estar cansado

(2:17:29 PM) bradass87: ¿?

(6:07:29 PM) Info@adrianlamo.com: ¿Cual es tu MOS?

Como se puede ver desde “comienza la conversación no verificada con bradass87”, estaban utilizando OTR para cifrar su conversación, pero aún así acabaron siendo publicados en el sitio web Wired y utilizado como prueba contra Bradley Manning. Aunque es posible que su conversación sufriera ataque MITM, aunque poco probable. En su lugar tanto los OTR clientes de Bradley Manning y Adrian Lamo registraron una copia de la conversación en sus unidades de disco duro, sin cifrar.

Aunque a veces puede ser útil guardar copias de las conversaciones, también compromete tu privacidad. Si Pidgin y Adium no guardan las conversaciones OTR por defecto, es por que estos registros de chat nunca han entrado a formar parte del expediente público.

Con el lanzamiento de OTR 4.0 en septiembre de 2012, Pidgin paró el registro de las conversaciones OTR por defecto. Adium todavía registra las conversaciones OTR por defecto así que debes apagar manualmente la grabación por ti mismo, que es un bug en Adium.

7 - 11 mayor-bedyca.png

licenciacc4