Por Ed Snowden sabemos que los Estados Unidos pueden vigilar a quien quieran, rastrear sus llamadas telefónicas, ver lo que hace en Internet, revisar incluso su correo electrónico, amén de grabar sus conversaciones privadas. Vamos que desde las declaraciones del ahora asilado político de Rusia, nadie parece estar a salvo de ser espiado. Para colmo, hay ya noticias de que México también ayudó a los norteamericanos en sus labores de espionaje. ¿Qué se puede hacer? ¿Cómo protegerse?

Mucha gente cree, por ejemplo, que las contraseñas de Gmail son seguras, pero con las revelaciones de que la National Security Agency (NSA) puede pedir ver cualquier cuenta de correo, cobra importancia usar algún método de encriptación. Apenas hace un par de semanas, dos sitios, Lavabit y Secret Circle, cerraron voluntariamente por no cumplir con las peticiones de la NSA. Lavabit dijo que su creador no puede “compartir legalmente” la información de sus asociados y ante las demandas del gobierno, prefirió cerrar su sitio y borrar todos los datos que éste contenía. Secret Circle hizo lo mismo aunque estuvo mucho menos presionado por la NSA, pero aún así, decidió cerrar.

Lo que puede hacerse, para evitar que nos espíen, es usar encripción en el correo. Por definición, el email no es seguro. Cualquier administrador de un servidor de correos puede ver la carpeta de correos (inbox) de cualquier usuario en el sistema y no deja rastro alguno de esto. Se puede, sin embargo, protegerse usando servicios gratuitos y de paga, pero cuidado, porque la NSA puso una gran presión sobre el servidor de correos de Ed Snowden (que usó por cinco años), Lavabit, que los obligó a cerrar. Así que si usted es un verdadero paranoico, he aquí las opciones:

Mensajería instantánea: se refieren a esta en los temas de seguridad como “comunicación síncrona”, pues las partes que se comunican lo hacen sincrónicamente, en el mismo tiempo. Este tipo de comunicación es mucho más segura que el correo electrónico. Existen opciones para hacer un OTR (Off The Record messaging), el cual hace que se impida tener información de los datos que se generan y además, cada mensaje es altamente encriptado usando una llave AES, lo cual significa que para poder desencriptar estos datos, se requiere de un buen grupo de hackers aunque eso no es garantía de nada. OTR puede instalarse en clientes de chat como Adium, Pidgin e IM+ (a un costo extar en este último caso).

Pero en lo que se refiere, en la comunicación asíncrona (como la del email, donde el receptor no tiene porqué estar presente cuando alguien le manda un mensaje), puede usarse OpenPGP y encripción pública (como Pretty Good Privacy), la cual no es trivial de decodificar. De hecho, en términos reales es un esfuerzo inútil querer desencriptar datos con estas técnicas de encripción. Algunos servidores de correo (normalmente fuera de Estados Unidos) ofrecen este servicio a un costo nominal.

La encripción por llave pública es probablemente una de las maneras más seguras de mandar mensajes digitales. Cada usuario tiene dos llaves, una pública y una privada. Ambas están relacionadas matemáticamente, aunque es esencialmente imposible poder hallar la llave privada teniendo solamente la llave pública. Imagine pues que usted tiene una caja. Solamente usted tiene la llave para abrirla. Pero se puede mandar a esta caja los mensajes desde cualquier lugar, de manera que ésa es la llave pública y los mensajes llegan encriptados. Solamente con la llave privada pueden leerse.

OpenPGP es un programa que usa encripción de llaves públicas y es libre de ser usado, en una gran variedad de plataforma. Maneja la creación y autentificación de las llaves, entre muchas otras cosas. Es el estándar más usado en criptografía en el mundo.

GnuPG es una implementación libre y gratuita de OpenPGP. Y se puede usar GPG en una variedad de sistemas como plug-in para así encriptar los correos, desde Apple Mail hasta OutLook, pasando por Gmail. Se requiere de definir algunas cosas y hay servicios de paga, por ejemplo, direcciones IP ocultas, destrucción de archivos en un período de tiempo yalmaenamiento en sitios amigables en países distintos a donde uno vive.

Más de uno quizás entienda que todos estos sistemas de protección tienen que ser instalados y a veces eso no es un asunto trivial. Hay para aquellos que no les gusta “ensuciarse las manos” con estos trabajos, las siguientes opciones:

  • Countermail: es un servicio de paaga con servidores en Suecia. usa OpenPGP pero tiene opciones avanzadas como llaves USB por hardware, lo que significa que nadie puede iniciar un proceso de correo sin insertar una unidad USB en la computadora. Countermail no usa discos duros, sino CDs, por lo que no hay oportunidades para guardar la dirección IP. No es barato, pero se puede comprar en paquetes. El más económico es de 24 meses de este servicio por unos 100 dólares.
  • BitMessage: es un nuevo servicio, al mejor estilo de Bitcoin. Usa encripción de llaves públicas, pero cuando se envía un mensaje de correo, se mezcla con otros mensajes de correo enviados, lo cual hace imposible saber desde qué correo se envió cada mensaje. No se tiene tampoco información del receptor del mensaje, por lo que cada mensaje individual contiene los datos para cada mensaje que pasa por BitMessaging. La llave del receptor, sin embargo, solamente puede recuperar el mensaje que fue enviado al inbox. Los mensajes no son archivados y se borran después de dos días. Es un sistema descentralizado, por lo que quienes tienen miedo del gobierno y sus acciones, pues no tienen de qué preocuparse, pues ¡no hay nadie a cargo! (es algo así como los sitios P2P (peer to peer), en donde el sistema solamente sabe quién tiene un programa o contenido específico, pero el sitio no tiene ni un solo byte de los archivos que supuestaente guarda).
  • NeoMailBox: Un sistema suizo de paga, como Countermail, que también usa OpenPGP. Puede elegirse un dominio propio y parece ser más fácil de usar. Se liga a través de un plug in con servicios como Thunderbird, Outlook e incluso algunas apps para Android. Dependiendo de cuánto espacio necesite de almacenamiento, NeoMailBox cobra desde 50 dólares (1 GB) por año hasta 110 dólares (10 GB).
  • Hushmail: es tal vez la alternativa más conocida a Lavabit o Secret Circle. Es gratuita (al menos en su funcionamiento básico). Se puede entonces tener encripción OpenPGP, 25 MB de almacenamiento, cualquier dominio que se deseé y un servicio web de correo muy amigable. Sin embargo, Hushmail ha sido controvertido. Su sede está en Vancouver, Canadá y ya ha tenido peticiones del gobierno canadiense para que dé información. Hushmail ha dicho no a esas peticiones, pero por ello quizás, por si las dudas, sería bueno buscar alguna otra opción.
  • Otra posibilidad es Pond, un servicio de comunicación asíncrona en donde los mensajes expiran a la semana después de que fueron abiertos, sin excepciones. No está listo aún pero su creador dice: “Querido Dios, por favor, no use Pond para nada real aún”. Suena prometedor, pero habrá que ver.

Referencias:

Popular Science