Introducción ¾En qué confío? ¾Cómo me identi�co? ¾Qué digo? ¾Qué divulgo? ¾Con quién hablo? ¾Y en mi disco? Conclusión
Herramientas de privacidad en la red
Gunnar Wolf
Instituto de Investigaciones Económicas UNAM
Desarrollador del proyecto Debian
OS UPIITA, 17 de agosto, 2012
Introducción ¾En qué confío? ¾Cómo me identi�co? ¾Qué digo? ¾Qué divulgo? ¾Con quién hablo? ¾Y en mi disco? Conclusión
Índice
1
Introducción
2 ¾En qué confío?
3 ¾Cómo me identi�co?
4 ¾Qué digo?
5 ¾Qué divulgo?
6 ¾Con quién hablo?
7 ¾Y en mi disco?
8 Conclusión
Introducción ¾En qué confío? ¾Cómo me identi�co? ¾Qué digo? ¾Qué divulgo? ¾Con quién hablo? ¾Y en mi disco? Conclusión
Más de lo que cabe en una presentación
A lo largo de esta presentación mencionaré varias
herramientas, incluyendo desde dónde descargarlas.
Más información respecto a ellas, incluyendo tutoriales y
explicaciones detalladas:
http://www.cuidatuinfo.org/
(Repito esta liga al �nal de la presentación)
Introducción ¾En qué confío? ¾Cómo me identi�co? ¾Qué digo? ¾Qué divulgo? ¾Con quién hablo? ¾Y en mi disco? Conclusión
Trabajo especí�co a un ámbito
Esta presentación va orientada al uso de programas y
tecnologías para proteger un poco nuestra información
personal en el uso cotidiano de la red
Enfocado al uso que hacemos desde una computadora
tradicional
No vamos a abordar áreas muy amplias, como:
Redes sociales Un medio, no una tecnología. Y un medio
en el que estamos sujetos a lo que cada
empresa indique.
Telefonía celular La rastreabilidad es inherente al
dispositivo. Son plataformas su�cientemente
complejas para merecer una presentación
completa para sí.
Introducción ¾En qué confío? ¾Cómo me identi�co? ¾Qué digo? ¾Qué divulgo? ¾Con quién hablo? ¾Y en mi disco? Conclusión
¾Por qué nos preocupa la privacidad en la red?
Porque no existe
Porque por diseño no está ahí
Nota: Donde digo privacidad digo en general seguridad de la
información
Introducción ¾En qué confío? ¾Cómo me identi�co? ¾Qué digo? ¾Qué divulgo? ¾Con quién hablo? ¾Y en mi disco? Conclusión
¾A qué me re�ero con herramientas de privacidad?
A programas (y a formas de trabajo) orientadas a que:
La comunicación provenga del remitente aparente
Los datos (en tránsito o almacenados) no hayan sido
alterados
Los datos no se divulguen más allá de los destinatarios
Terceros no se enteren de la naturaleza de mis
comunicaciones
Evitar que mi equipo corra programas no deseados
Evitar dejar huella rastreable de mi actividad
Ayudarme a mantener mecanismos seguros de
autenticación
Introducción ¾En qué confío? ¾Cómo me identi�co? ¾Qué digo? ¾Qué divulgo? ¾Con quién hablo? ¾Y en mi disco? Conclusión
. . . Y aterrizando en el mundo real
Muchos de nosotros queremos o preferimos poder con�ar en
nuestras comunicaciones.
Algunos lo requieren.
El verdadero público que espero que pueda bene�ciarse de
esto:
Organizaciones de derechos humanos
Periodistas
Migrantes
Gente para la cual la privacidad y la seguridad de la
información no es meramente una postura ideológica
Introducción ¾En qué confío? ¾Cómo me identi�co? ¾Qué digo? ¾Qué divulgo? ¾Con quién hablo? ¾Y en mi disco? Conclusión
Índice
1
Introducción
2 ¾En qué confío?
3 ¾Cómo me identi�co?
4 ¾Qué digo?
5 ¾Qué divulgo?
6 ¾Con quién hablo?
7 ¾Y en mi disco?
8 Conclusión
Introducción ¾En qué confío? ¾Cómo me identi�co? ¾Qué digo? ¾Qué divulgo? ¾Con quién hablo? ¾Y en mi disco? Conclusión
¾De qué me estoy cuidando?
Cuando protejo mis datos, los protejo de alguna amenaza. ¾En
quién estoy dispuesto a con�ar?
Otros usuarios de la misma computadora
Usuarios de la misma red en la que trabajo
Que me construyan un per�l mercadológico
Atacantes externos
¾Cuál es la naturaleza del ataque? ¾Por qué les puede
importar mi información? ¾Cuál es el nivel de riesgo que
corro?
Un gobierno nacional
Una vez de�niendo los niveles adecuados. . .
Introducción ¾En qué confío? ¾Cómo me identi�co? ¾Qué digo? ¾Qué divulgo? ¾Con quién hablo? ¾Y en mi disco? Conclusión
El software libre y la con�anza
Si quieres con�ar en tu computadora, ½usa sólo software
libre!
Aunque tú no programes, hay gente que ha auditado los
principales componentes del sistema sin intereses ocultos
Muchos integrantes de la comunidad desarrolladora son
fuertes activistas de la privacidad de la información
Introducción ¾En qué confío? ¾Cómo me identi�co? ¾Qué digo? ¾Qué divulgo? ¾Con quién hablo? ¾Y en mi disco? Conclusión
Con�ar en la con�anza misma
La con�anza absoluta no existe. Ni con software libre.
El que tengas acceso al código fuente no signi�ca que
estés ejecutando ese código fuente
El que tú hayas compilado (incluso escrito) un programa
no garantiza que el compilador no esté trucado (Ken
Thompson, 1984)
Sin embargo, tienes mucha mayor probabilidad de que así
sea.
¾Es su�ciente para tí?
Introducción ¾En qué confío? ¾Cómo me identi�co? ¾Qué digo? ¾Qué divulgo? ¾Con quién hablo? ¾Y en mi disco? Conclusión
Con�ar en la con�anza misma
La con�anza absoluta no existe. Ni con software libre.
El que tengas acceso al código fuente no signi�ca que
estés ejecutando ese código fuente
El que tú hayas compilado (incluso escrito) un programa
no garantiza que el compilador no esté trucado (Ken
Thompson, 1984)
Sin embargo, tienes mucha mayor probabilidad de que así
sea.
¾Es su�ciente para tí?
Introducción ¾En qué confío? ¾Cómo me identi�co? ¾Qué digo? ¾Qué divulgo? ¾Con quién hablo? ¾Y en mi disco? Conclusión
Índice
1
Introducción
2 ¾En qué confío?
3 ¾Cómo me identi�co?
4 ¾Qué digo?
5 ¾Qué divulgo?
6 ¾Con quién hablo?
7 ¾Y en mi disco?
8 Conclusión
Introducción ¾En qué confío? ¾Cómo me identi�co? ¾Qué digo? ¾Qué divulgo? ¾Con quién hablo? ¾Y en mi disco? Conclusión
El esquema usuario/contraseña
¾Has analizado al esquema usuario/contraseña?
¾Quién usa contraseñas de forma segura?
Una diferente para cada sitio
Cambiándolas frecuentemente
Nunca escribirlas
¾Quién usa contraseñas seguras?
Buena longitud (más de 10-15 caracteres)
No pronunciables
No sólo alfanuméricas
Si sí. . . No eres humano.
Introducción ¾En qué confío? ¾Cómo me identi�co? ¾Qué digo? ¾Qué divulgo? ¾Con quién hablo? ¾Y en mi disco? Conclusión
El esquema usuario/contraseña
¾Has analizado al esquema usuario/contraseña?
¾Quién usa contraseñas de forma segura?
Una diferente para cada sitio
Cambiándolas frecuentemente
Nunca escribirlas
¾Quién usa contraseñas seguras?
Buena longitud (más de 10-15 caracteres)
No pronunciables
No sólo alfanuméricas
Si sí. . . No eres humano.
Introducción ¾En qué confío? ¾Cómo me identi�co? ¾Qué digo? ¾Qué divulgo? ¾Con quién hablo? ¾Y en mi disco? Conclusión
Que la computadora haga lo que sabe hacer
KeePassX
http://www.keepassx.org
Base de datos de contraseñas
Con generador con diferentes características de
aleatoreidad
La base misma puede (debe) guardarse cifrada por una
contraseña maestra
O mejor aún, un archivo llave
Introducción ¾En qué confío? ¾Cómo me identi�co? ¾Qué digo? ¾Qué divulgo? ¾Con quién hablo? ¾Y en mi disco? Conclusión
Viviendo con KeePassX
KeePassX
http://www.keepassx.org
Centraliza el manejo de las contraseñas �
Facilita mantener una contraseña por sitio �
Fácil de usar para usuarios no-técnicos �
Base de datos cifrada con AES o Two�sh �
½Hay que considerar el riesgo de que un archivo único
resulte comprometido! �
Sin embargo. . . ½Mucho mejor que pedir al navegador
que recuerde contraseñas!
Introducción ¾En qué confío? ¾Cómo me identi�co? ¾Qué digo? ¾Qué divulgo? ¾Con quién hablo? ¾Y en mi disco? Conclusión
Índice
1
Introducción
2 ¾En qué confío?
3 ¾Cómo me identi�co?
4 ¾Qué digo?
5 ¾Qué divulgo?
6 ¾Con quién hablo?
7 ¾Y en mi disco?
8 Conclusión
Introducción ¾En qué confío? ¾Cómo me identi�co? ¾Qué digo? ¾Qué divulgo? ¾Con quién hablo? ¾Y en mi disco? Conclusión
½Mi correo! ½Mi mensajería!
Lo primero en lo que pensamos al hablar de este tema es
en cifrar nuestra comunicación interpersonal directa: El
correo
Pero la comunicación asíncrona ha crecido a otras
tecnologías también: Hablemos de la mensajería
instantánea.
Además, ¾qué hay de todos nuestros documentos? ¾Qué
acaso no son información personal?
Hoy en día hay cifrado seguro al alcance de todos �
. . . Pero requerimos que todos los involucrados estén de
acuerdo en usarlo, lo conozcan, y usen tecnología
compatible �
Y la mayor parte de las implementaciones son muy poco
amigables a usuarios no-expertos
Introducción ¾En qué confío? ¾Cómo me identi�co? ¾Qué digo? ¾Qué divulgo? ¾Con quién hablo? ¾Y en mi disco? Conclusión
La otra cara de la moneda: Firmar nuestras
palabras
¾Firmar? ¾Por qué lo menciono aquí? ¾No hablábamos justo
de lo contrario, de ocultar mi información?
La criptografía de llave pública nos permite ambas cosas
Resulta tanto o más importante que nadie vea una
conversación privada en tránsito como tener la certeza de
que hablamos con quien creemos hablar
O que un documento estático viene de quien dice venir
Introducción ¾En qué confío? ¾Cómo me identi�co? ¾Qué digo? ¾Qué divulgo? ¾Con quién hablo? ¾Y en mi disco? Conclusión
Algunas características de PGP/GnuPG
http://www.gnupg.org
Funciona en base a criptografía de llave pública, en base a
identidades, no a un secreto compartido
Maneja un llavero de identidades conocidas
Servidores de llaves funcionan como directorio global �
Permite con�ar en la identidad de alguien sin siquiera
conocerlo si se confía en quien lo certi�ca �
Se cifra un documento para un conjunto de identidades
No se usa contraseña por documento �
Se �rma un documento para certi�car su origen �
. . . Pero es muy poco amigable al usuario novato �
Introducción ¾En qué confío? ¾Cómo me identi�co? ¾Qué digo? ¾Qué divulgo? ¾Con quién hablo? ¾Y en mi disco? Conclusión
Poniéndole cara humana
Thunderbird+Enigmail
http://www.enigmail.net
Enigmail es una extensión para el cliente de correo
Thunderbird de Mozilla
Brinda acceso simple a toda la funcionalidad de GnuPG �
Requiere aún algo de tutor
Crear cuenta
Comentarios de: Herramientas de privacidad en la red (0)
No hay comentarios