Entrevista con renor – Primera parte

Hoy voy a empezar a tratar un tema que nunca había tratado ni en este Blog ni en el anterior, y son las entrevistas.

Empezaremos con renor, al que conocí en la red social Mastodon hace algún tiempo y con el que me unen ideas similares en cuanto a seguridad y privacidad informática, aparte de compartir un canal de XMPP con él: fediverso@salas.suchat.org y estar siempre también en su canal XMPP: privacidad@chat.404.city

Antes de nada, agradecerle que haya contestado todas las preguntas amablemente y me haya dado permiso para publicarlas.

Así que empecemos con la entrevista. Al ser muy larga la he dividido en 2 partes. Aquí teneis la primera parte, y muy pronto publicaré la segunda parte.

1.– Hola renor. Cuentanos algo sobre ti, lo que consideres oportuno para que se te conozca un poco pero manteniendo por supuesto tu privacidad.

Difícil contar cosas sobre mí sin revelar datos personales, pero lo voy a intentar. Actualmente trabajo en el sector de la Ciberseguridad, llevo algunos años, aunque no muchos, ya que para sorpresa de algunos tengo que decir que soy bastante joven. Estoy graduado en Ingeniería Informática y tengo un máster en Ciberseguridad. Me apasionan (aunque me cuesta entenderlos a veces) los temas de Blockchain, encriptación, protocolos para enmascarar datos y metadatos y claro está: todo lo relacionado con Ciberseguridad.

2.– ¿Como empezaste a preocuparte por la privacidad y seguridad informática y qué sistemas operativos o de móviles has usado hasta ahora?

Pues no fue hasta mi segundo año en la universidad que empecé a tener una preocupación real por la privacidad. Yo he sido un usuario de Google, Xiaomi y demás empresas, a las cuales ahora les tengo tanto odio por el trato con sus usuarios. La primera vez que empecé a preocuparme fue cuando me enteré de quién era Edward Snowden y todo lo que reveló. Empecé a informarme, a leer políticas de privacidad, miré conferencias de Richard Stallman y me empecé a meter en comunidades con preocupaciones similares a las mías: Mastodon, Reddit, foros, canales de Matrix e IRC... Estos son algunos sitios donde soy bastante activo.

Siempre había sido un usuario orgulloso de Android, con todas las apps maliciosas de Google, las cuales encontraba indispensables por aquel entonces. Cuando me enteré de todo esto y decidí empezar a cambiar cosas era usuario de un Xiaomi Mi6, al cual le puse rápidamente LineageOS con MicroG, pues pensaba que no se podía vivir sin Google. A medida que iba leyendo e informándome, cada vez más me daba cuenta de la envergadura real del problema y cada vez me parecía más descarado, así que empecé a investigar e impregnarme con el movimiento del software libre y a ver la luz dónde pensaba que solo había oscuridad: ¡Se puede vivir perfectamente sin NADA de Google!

Más adelante di el paso a usar LineageOS sin MicroG y finalmente, este último año, descubrí GrapheneOS y aproveché que necesitaba cambiar el teléfono para comprar un Pixel 3a y usar este sistema, que a mi parecer es el mejor que existe ahora mismo en cuanto a seguridad y privacidad. No tiene rival.

3.– Actualmente, ¿qué smartphone usas, con qué sistema y por qué?. ¿Y qué sistema operativo usas asimismo en tu ordenador y por qué?

Actualmente uso un Google Pixel 3a (irónicamente es un teléfono de Google) con GrapheneOS. GrapheneOS es el nombre “comercial” de lo que empezó siendo el “Android Hardening Project” liderado por Daniel Micay: un gran investigador en Ciberseguridad que ha colaborado con el Kernel de Linux, OpenBSD, AOSP, etc. Este es su trabajo de investigación: fortificar Android para que nadie, ni con recursos infinitos, pueda penetrar en el teléfono ni física ni remotamente. Además, eso incluye una privacidad casi máxima del sistema; cosas como que las antenas se apaguen realmente cuando lo marcas o un nuevo sistema de asignación de datos en memoria aislando los espacios de memoria por aplicación, de manera que no haya forma de que una app maliciosa comprometa nada con algunos ataques complejos pero típicos. La razón de que solo se pueda usar en teléfonos Píxel es por el Hardware que llevan: un hardware sorprendentemente seguro con chips como el TitanM, siendo los únicos dispositivos del mercado con estas características.

Por otro lado Daniel Micay trabaja solo y no puede mantener un sistema para más de una familia de dispositivos.

En cuanto a mi ordenador: soy usuario de GNU/Linux, concretamente uso Arch Linux. Soy consciente de que Linux no es el sistema más seguro, ya que es fácilmente comprometible de maneras concretas (como por ejemplo si añades una clave de un repositorio malicioso por accidente), pero sí es el sistema más libre que existe. Es el sistema que más respeta a sus usuarios. Concretamente uso Arch Linux porque es un sistema que te permite controlar mucho de lo que lleva dentro tu ordenador, además de ser capaz de construirte tu interfaz de trabajo a medida.

Para los que no lo sepan, con Arch Linux se empieza con una terminal y un sistema prácticamente “limpio”. A partir de ahí vas instalando todo lo demás (drivers, librerías, gestores de ventanas, etc) para construir “tu sistema Arch”. Se podría decir que no hay dos Arch Linux iguales. Además es rolling release, lo que significa que siempre tienes las últimas actualizaciones en las aplicaciones instaladas, de modo que los parches de seguridad y demás están siempre actualizados (bueno, siempre que los desarrolladores mantengan el repositorio). En resumen: uso Arch Linux porque me gusta toquetear y se aprende mucho instalándolo. Lo recomiendo si se tiene tiempo para ello.

4.– ¿Qué tipo de apps usas en tu smartphone y qué recomiendas a los que nos leen sobre las apps que deberían usar para aumentar su privacidad?

A mi parecer, una app de código cerrado te obliga a confiar en la palabra de esa empresa o servicio, no tienes forma de comprobar que lo que dicen que hacen es verdadero. Además pueden hacer un cambio malicioso sin que nadie se entere. Una app de código abierto te da más confianza ya que cualquiera puede revisar el código, comprobar que se está haciendo realmente lo que se dice y, además, puede ser auditada por personas independientes.

Por otro lado, es cierto que el hecho que una app sea de código libre no es la panacea: puede estar llena de vulnerabilidades y que nadie nunca lo compruebe (como ha pasado alguna vez) pero sí que es más probable que, si tiene una buena base de usuarios y lleva cierto tiempo en el mercado, una app de código libre haya tenido mucha más revisión publica y la confianza por tanto es mucho mayor. Además tienes la libertad de hacer un “build” del código por ti mismo si no te fias de la versión que ellos dan. Y aún mejor si las apps son “reproducibles”, es decir, que puedes comprobar que la app que te dan es realmente la misma que sale de compilar el código. Eso es posible con muchas apps, sobre todo destinadas a seguridad/privacidad. El ejemplo que me viene a la cabeza es Signal, la app de mensajería: lo tiene tanto para apps como para sus servidores.

Mi recomendación siempre es saber qué datos obtiene esa app sobre ti, qué hace con esos datos. Analizar las apps con herramientas como ClassyShark3xodus para ver si hay rastreadores. Saber si encripta las conexiones (si es necesario) y sobretodo dar mucha prioridad a las apps de código abierto y buscar alternativas a las privativas (porque casi siempre las hay) y no dejarse engañar por un diseño bonito y cuatro palabras de vendedor de humo. Básicamente: investigar sobre el servicio que se va a usar antes de nada.

5.– ¿Qué opinas de los que intentan demonizar el uso de Tor Browser u otras redes privadas y cómo sueles usarlo tu?, ¿usas también el sistema Tails desde un pendrive usb o cualquier otro?

Tor es maravilloso, he donado varias veces al proyecto y durante un tiempo (no mucho) tuve un Guard Relay que acabé cerrando. Es un proyecto que ha ayudado a muchas personas que tienen restringido su uso de internet y les ha permitido escapar de regímenes dictatoriales dónde eran perseguidos, han conseguido denunciar grandes injusticias sociales, han permitido a familias poder contactar entre ellas para comunicarse que están bien, ha permitido saltarse la censura en los paises dónde ésta es la base de internet, básicamente ha hecho que internet sea libre y democrático para todos otra vez.

Cuanta más gente lo use más seguro y robusto se vuelve Tor, así que es importante usarlo. Por otro lado no es recomendable su uso para tareas en la red que te puedan identificar, ya que primero estás dando datos de que usas Tor y segundo estás vinculando una ruta Tor con tu persona y tu IP real (ya que tendrás conexiones antiguas sin Tor).

Mi uso actual de Tor es bastante esporádico, hasta hace poco tenía todo el tráfico de mi teléfono a través de Tor con Netguard (gracias a tu artículo sobre esto), pero decidí dejar de usarlo ya que era muy lento y realmente mi teléfono, después de estudiarlo, no hace ninguna conexión que necesite ser enmascarada por Tor. Eso sí, uso una VPN para no dejar mi IP a la vista tan fácilmente.

En cuanto a Tails, tengo un USB con el sistema instalado y lo uso muy esporádicamente. No soy un activista al que le persigue un gobierno ni estoy intentando revelar datos muy sensibles sobre nada. Lo tengo más para jugar y sentirme como un 'Snowden' más que nada.

6.– Sé que intentas concienciar a otras personas de la importancia de la privacidad y que estás trabajando en una web destinada a ello, en la que ya has completado varios apartados. ¿Crees que hoy en día las personas están abiertas a aumentar su privacidad o que sin embargo ya se han rendido a cambio de disponer de los últimos juguetes tecnológicos?. Puedes comentar sobre tu web aquí también si quieres.

El problema es que mucha gente no entiende la envergadura real del problema. El típico “Yo no tengo nada que esconder” o “A mi no me afecta eso”. Me viene a la cabeza la frase de “Solo te das cuenta de lo que tenías cuando ya no lo tienes” y es algo que va a pasar. La privacidad está siendo constantemente bombardeada por las empresas privadas y los gobiernos y la gente se deja vulnerar un derecho tan esencial como la privacidad, el cual va ligado a la libertad de expresión, de asociación, de pensamiento, etc.

La gente debe ver hacia dónde nos dirigimos para querer tomar acción sobre las cosas, y muchas veces debe experimentar el daño del problema para abrir los ojos. Mi página web, https://tuprivacidad.org/, está destinada a intentar abrir los ojos a las personas sobre este tema y educar en materia de privacidad tanto a las que no saben nada como a las que ya son más o menos conscientes.

7.– ¿Ves posible evitar el rastreo por parte de las diferentes agencias de seguridad o tu enfoque sobre la seguridad y la privacidad va más orientado contra empresas privadas, de publicidad, spammers y otros especimenes?

Yo voy en contra de cualquier cosa que vulnere el derecho a la privacidad de una persona. La privacidad nos permite ser libres, pensar por nosotros mismos, evita la censura, la manipulación y nos permite poder ser críticos sin necesidad de tener miedo. Cualquier entidad que actúe en contra de la privacidad debería ser boicoteada y tachada como maliciosa y eso es en parte lo que tratamos de hacer un poco nosotros, dar a conocer quién está actuando en contra de estos derechos: tanto empresas privadas como gobiernos.

El gran problema de la privacidad es que se debe solucionar colectivamente. Que yo individualmente me proteja no sirve de mucho si luego mis amigos, familiares y demás no lo hacen. Si suben mis fotos a Google Photos, si hablan sobre mi en sus redes maliciosas, etc. O si el colectivo en el que me muevo no lo hace: imagínate que eres de una minoría perseguida en un país; por mucho que tu te protejas individualmente, si el resto del colectivo no lo hace te perjudica a ti también, ya que te mueves como ellos, piensas parecido, compartes muchos aspectos. Así que la respuesta a la pregunta es: SÍ, lo veo posible, pero debemos hacerlo todos juntos.

8.– ¿Usas actualmente redes libres y/o propietarias?, ¿algún consejo a los que nos leen sobre qué redes libres podrían usar?

Actualmente solo me queda una red propietaria de la que soy usuario y es Spotify. Me encanta la música y la escucho a todas horas, y tengo toda mi librería de música allí. Actualmente me estoy montando un servidor de Airsonic para poder (intentar) abandonar este servicio. De todos modos, lo uso siempre en el modo “Sin conexión” y bloqueado con Netguard, solo cuando quiero nueva música lo “libero”. Además le tengo bloqueados varios dominios de rastreadores.

Para el resto, todo lo que uso es libre, tanto en el PC como en el teléfono. No tengo ninguna app de Google, Facebook ni parecidos en mi dispositivo (tengo un segundo dispositivo que siempre está en casa conectado con Wifi y Netguard con Whatsapp instalado para aquellas personas que no dan el paso o no tengo tanta relación).

Otro servicio privativo que uso es la interfaz web de mi banco, la cual no puedo dejar ya que todos estamos ligados a algo así. Por suerte no tienen ni mi número de teléfono ni tengo la app instalada. Espero que este problema se solucione con las criptomonedas. Recomiendo investigar protocolos como Mimblewimble, o monedas como Monero, que podrían ser la solución a la pesadilla de los pagos digitales.

9.– ¿Sueles usar alguna VPN, solo Tor, o ambas según para qué razón?

Suelo usar una VPN más que Tor, la VPN de Mullvad, y muchas veces uso ShadowSocks (para no usar el servicio VPN y poder seguir usando Netguard por ejemplo). Usar Tor y VPN a la vez yo no lo recomendaría, ya que estás vulnerando Tor creando un nodo de entrada/salida permanente: tu VPN. Si usas Tor debes pensar que está diseñado para que no se le meta nada ni se configure nada más allá de lo que el propio navegador te permite en sus ajustes. La gracia es que todos los usuarios de Tor sean iguales en la red.

Tor lo uso de forma más esporádica, aunque prácticamente cada dia lo abro para algo.

10.– ¿Crees importante la donación a proyectos de seguridad, privacidad y software libre?

¡Claro!, donar y apoyar a estos proyectos ya sea con dinero, colaborando en el desarrollo, traduciendo, o ayudando a que su base de usuarios crezca. Debemos pensar que muchas veces las personas que hay detrás de estos proyectos son voluntarios que regalan su trabajo, tiempo y esfuerzo a la comunidad sin esperar nada a cambio: ni tan solo tus datos. Entonces es necesario que nosotros, los usuarios y usuarias, hagamos donaciones (aunque sean pequeñas) para mostrar nuestro apoyo.

Segunda y última parte