jal

Seguridad • Informática • Software libre

Buscando siempre alternativas libres, sin anuncios, cifradas y descentralizadas, un amigo de Mastodon me comentó sobre este programa: Jami, que anteriormente era conocido como Ring o SFLphone, así que empezamos a probarlo en modo texto.

La sencillez es asombrosa. Te registras rápidamente y puedes buscar otros contactos simplemente si te dan el nick o un código tipo ring:xxxxxxxxxxxx donde las x son caracteres y números. Ya recibes la petición de añadir el contacto y se puede empezar.

En texto va muy rápido y en su web podeis ver algunos gifs de como actúa el programa.

Está disponible para Windows, GNU/Linux, MacOS, iOS, Android y Android-TV.

Por defecto viene configurado para usarse únicamente en modo Wifi, pero se puede cambiar para usarlo también con datos móviles. Lógicamente usar el móvil en una videoconferencia gastaría muchos datos, pero puede usarse solo para llamadas también y funciona perfectamente. También pueden compartirse archivos entre contactos o hacer una videoconferencia múltiple.

Ahora vamos a algo más técnico:

Aunque es un programa prácticamente descentralizado: no necesita servidores intermedios para funcionar, Jami reconoce que usa algunos servidores en 5 casos específicos: en notificaciones push, en proxy OpenDHT, en el bootstrap, en el servidor de nombres y en TURN:

Los tres primeros casos en los que se puede utilizar un servidor para Jami están relacionados con OpenDHT, la tecnología que permite a los dispositivos Jami encontrarse entre sí en Internet sin necesidad de un servidor. Los ordenadores utilizan las direcciones IP para comunicarse entre sí en línea, pero por lo general es dinámico y por lo tanto cambia con el tiempo. OpenDHT proporciona una forma de identificar los dispositivos de la red con un ID único y recuperar su dirección IP sin saberlo de antemano, lo que les permite comunicarse de forma fiable incluso si cambia. Sin embargo, necesita ejecutarse continuamente en segundo plano para mantener las conexiones a la red abiertas y escuchar los cambios para alertar al usuario de una nueva llamada o mensaje.

Tanto Android como iOS tienen un mecanismo incorporado para enviar al móvil notificaciones push a través de los servidores de Google o Apple. Aunque no está alineado con el objetivo de Jami de hacerlo completamente distribuido, es la única manera de notificar a los usuarios móviles mientras la aplicación Jami no esté en primer plano. Es por eso que crearon el proxy OpenDHT, un servidor que escucha los cambios en la red de OpenDHT y envía notificaciones a los dispositivos Jami a través de los servidores de notificación push de Apple o Google. Ningún dato personal es enviado de esta manera, ni siquiera en forma cifrada. El proxy sólo alerta a sus dispositivos de que algo nuevo ha ocurrido y ellos hacen el resto recuperando la información a través de la red OpenDHT. También es posible utilizar el proxy sin notificación push. Sin embargo, es menos fiable porque tanto Android como iOS pueden detener la aplicación en cualquier momento.

El tercer caso en el que se utiliza un servidor es el bootstrap. Cada dispositivo que ejecuta Jami es un nodo en la red distribuida de OpenDHT. Sin embargo, para establecer la primera conexión con él, los dispositivos necesitan conocer al menos a otro peer de antemano. El servidor bootstrap es simplemente un nodo OpenDHT que mantienen en línea en todo momento. Jami está configurado para unirse a la red a través de él cuando te conectas por primera vez. Puedes ver este parámetro en la configuración avanzada de Jami. El valor por defecto es bootstrap.jami.net. Puedes ejecutar tu propio bootstrap siguiendo unas instrucciones para construir y ejecutar un nodo OpenDHT en un servidor:

https://github.com/savoirfairelinux/opendht/wiki/Build-the-library

https://github.com/savoirfairelinux/opendht/wiki/Running-a-node-with-dhtnode

El servidor de nombres se utiliza para resolver los nombres de usuario de Jami. Todas las cuentas de Jami tienen un ID único de cuarenta caracteres, pero como esto no es práctico para recordarlo, han creado una forma de asociarlo con un nombre de usuario. Los almacenan en una cadena de bloques para mantener Jami lo más distribuido posible (https://jami.net/the-jami-blockchain-switches-from-proof-of-work-to-proof-of-authority/), pero se necesita un servidor para acceder a ella a través de la aplicación Jami. Cuando buscas un nombre de usuario en Jami, la aplicación solicita al servidor de nombres el ID que está asociado a él. Puedes ver cómo funciona buscando cualquier nombre de usuario de Jami en el servidor de nombres directamente a través de su navegador en esta dirección: http://ns.jami.net/name/anyjamiusername

Jami puede trabajar sin esto si usas directamente las identificaciones de tus amigos para llegar a ellos, pero los nombres de usuario facilitan el proceso de añadir un nuevo contacto. También puedes configurar tu propio servidor de nombres e incluso ejecutar un nodo en la cadena de bloques Jami:

https://git.jami.net/savoirfairelinux/ring-project/wikis/technical/Name-Server-Protocol

https://git.jami.net/savoirfairelinux/ring-project/wikis/tutorials/Jami-distributed-network#running-a-jami-node

Y el último caso es el servidor TURN. Es utilizado por Jami sólo en situaciones en las que no se puede establecer una conexión peer-to-peer para transmitir datos entre usuarios. Jami se basa en una tecnología llamada ICE para conectar dispositivos cuando sus usuarios se comunican. Cuando uno o ambos usuarios están detrás de un cortafuegos, puede ser difícil establecer un enlace directo entre ellos, que es donde el servidor TURN entra en juego como relay. TURN es un estándar de Internet y Jami suministra uno que está configurado por defecto, pero puedes utilizar el tuyo propio si lo deseas, cambiando este parámetro en la configuración avanzada de Jami y siguiendo estas instrucciones:

https://git.jami.net/savoirfairelinux/ring-project/wikis/technical/3.6-Setup-your-own-TURN-server

Aunque hacen todo lo posible para liberar a Jami de los servidores, en algunos casos son inevitables. Sin embargo, al menos hacen todo lo posible para que sus usuarios no dependan de ellos para comunicarse.

Los servidores de arranque, TURN y de nombres se pueden configurar en los parámetros avanzados de Jami y los usuarios pueden utilizar los suyos propios si lo desean. Además, los datos que los usuarios deciden compartir se transmiten siempre a través de conexiones totalmente peer-to-peer, excepto cuando se necesita un servidor TURN. Incluso entonces, está totalmente cifrado de principio a fin y nunca se almacena en otros lugares que no sean los dispositivos de los usuarios.

Bueno, tras todo lo técnico (espero que no os haya aburrido), deciros que el programa no está nada mal y hace su función perfectamente. Ya es decisión vuestra si usarlo para comunicaros por texto, voz y/o imágen o solo para algunas funciones.

Aquí podeis descargarlo para vuestro dispositivo, probarlo mirando sus ajustes y configurarlo a vuestro gusto:

https://jami.net/download/

Llevaba días analizando mis conexiones y aunque uso Netguard (cortafuegos para smartphones sin rootear del que he hablado en algunos artículos) y bloqueo conexiones a Google y otros servidores que suelen rastrearte, vi con el programa NetMonitor que nada más conectar a internet había conexiones a Google durante unos minutos con uid1000 y que Netguard no las recogía al mirar los logs en los procesos con uid1000, y lo peor es que dichas conexiones eran ESTABLISHED, lo que significa que ¡aún bloqueando a Google con el cortafuegos, se conectaba a Google y no lo registraba en ningún proceso con uid1000!

Si lo hacía desde el Wifi conectaba desde un puerto orígen de mi IP local: 192.168.1... y si lo hacía desde 4g lo hacía desde una IP reservada de IANA, lo que era más extraño aún.

Estuve probando de todo, incluso posteando en el foro de Netguard sobre esto y subí algunos pantallazos desde WIFI que os dejo aquí:

NetMonitor

NetMonitor2

NetMonitor3

Como veis es algo extraño y que me hizo pensar si mi smartphone tenía alguna conexión oculta hacia Google. Así que pedí ayuda a otros amigos cercanos y de Mastodon para probar con sus móviles, y me di cuenta que ¡incluso algunos usando LineageOS tenían el mismo problema!. Otros con un smartphone Huawei no lo tenían, había resultados de todo tipo en cada smartphone.

Pensé que igual era algo que conectaba desde Netguard hacia Google pero el desarrollador me dijo que no. Miré a fondo el código de Netguard y me di cuenta que sí que conectaba a Google para saber que el smartphone tenía conexión y me reconoció el desarrollador que había olvidado eso y sacó una nueva versión de la app con una nueva opción para ponerle cualquier web deseada con la que resolver esto. En mi caso le puse la web www.torproject.org.

Tras esto, probé de nuevo y nada: seguía todo igual, así que no era un problema de Netguard.

Finalmente di con lo que me tenía investigando durante 1 semana, si no más:

Hay smartphones que traen la opción para conectar con un servidor (que por supuesto es de Google) para saber si tu teléfono está conectado a Internet. Esto se requiere por ejemplo por algunos proveedores que ofrecen Wifis públicas o por otros. Pero el problema es que el teléfono accede automáticamente sin haber tomado tu ninguna acción para acceder a ese servicio, ocurre nada más conectarte a Internet y es ¡hacia Google!. Y por lo que parece, no es sólo una comprobación de conectividad, sino que también envía tu modelo de dispositivo. Así que Google conoce tu IP y tu modelo de dispositivo cada vez que te conectas a Internet. Imagino que de aquí sacan también las estadísticas de cuantos smartphones con Android hay...

Desactivarlo no da problemas, de hecho algunos smartphones no lo traen por defecto. Así que por supuesto procedí a desactivarlo. Si quereis saber más sobre este misterio podeis leer estos enlaces:

https://es.wikipedia.org/wiki/Portal_cautivo

O más extenso en inglés:

https://en.wikipedia.org/wiki/Captive_portal

Para desactivarlo (yo lo hice con GNU/Linux) tienes que instalar el programa adb, en mi caso con una distro basada en Debian:

sudo apt install adb

Conectar el smartphone al puerto USB con la opción Depuración USB activada y tras reconocerlo tu distro, ejecutar este comando:

sudo adb shell settings put global captive_portal_mode 0

o si no te da resultado el comando anterior, entonces usa este:

sudo adb shell settings put global captive_portal_detection_enabled 0

Si alguna vez encontraras algún problema siempre puedes volver a activarlo con:

sudo adb shell settings put global captive_portal_mode 1

sudo adb shell settings put global captive_portal_detection_enabled 1

O puedes ponerle una web de esta manera:

adb shell "settings put global captive_portal_http_url http://YOUR_URL";

adb shell "settings put global captive_portal_https_url https://YOUR_URL";

Pero a mi no me da ningún problema, y efectivamente: tras ejecutar esto y probar de nuevo en mi smarphone la conexión a los servidores de Google nada más conectarme a Internet, por fin habían desaparecido de Net Monitor estas conexiones.

En un antiguo smartphone Sony que tengo ni siquiera estaba activado el captive portal y no me salían estas conexiones con Net Monitor, y tampoco daba problemas de ningún tipo. Y como dije anteriormente, en algunos smartphones Huawei que probé tampoco salían estas conexiones.

Creo que esto no debería venir por defecto en ningún smartphone y muchos desconocen que incluso usando otra ROM aún pueden estar conectando a Google dando su IP y modelo cada vez que conectan a Internet.

Así que finalmente: ¡misterio resuelto y solucionado!. Espero que os sirva.

Este mes estuve testeando algunas cosillas interesantes, pero a pesar de todo finalmente tuve que desistir de usarlas. Y esto se está convirtiendo en algo ya casi normal, al estar la mayoría de la masa adoctrinada y engolosinada a la falta de privacidad y a usar siempre lo mismo.

Por un lado, me encantó Bitmessage:

https://www.bitmessage.org/wiki/Main_Page

Un buen lugar, anónimo y privado, por p2p y cifrado, con grupos o chans totalmente anónimos que ni se sabe quien entra ni quien contesta al grupo. Y usado también de forma parecida a un email, pero siendo totalmente privado.

Por otro lado probé también el programa de mensajería (para GNU/Linux en mi caso) Tox, a través del cliente por defecto qTox:

https://tox.chat/download.html

Funciona muy bien, y también de forma totalmente privada y anónima, sin servidores intermedios, totalmente descentralizada. La versión para móvil no está aún muy pulida y le queda camino por delante, pero si avanza puede ser una gran aplicación para los amantes de la privacidad.

Aunque muy desfasado en su diseño pero totalmente funcional, también probé Ricochet:

https://ricochet.im/

También una forma descentralizada, muy privada y anónima de comunicarse, con el añadido de ir a través de Tor sin necesidad de instalar Tor aparte, ya trae incluida la opción para hacerlo por sí mismo. Me gustó mucho, aunque como digo es muy simple y de diseño de otros tiempos, pero lo importante es que sirve para lo que uno busca y lo hace muy bien.

Y por último también estuve usando Retroshare:

https://retroshare.cc/

aunque no pude probarlo a fondo por no encontrar con quien hacerlo. De diseño mucho más moderno que Bitmessage o Ricochet, con chats incluidos y todo lo necesario en mensajería.

A lo que iba: ¿de qué sirve tener opciones tan maravillosas, sin servidores intermedios, totalmente descentralizadas y libres, si luego no encuentras a nadie que quiera usarlas?. La mayoría se conforma con Whatsapp, algunos de esta mayoría pasa también casi de milagro a Telegram y ahí se quedan.

Los más frikis (me incluyo) encontraron XMPP (que es maravilloso) y ahí se quedaron y no desean nada más. En parte lo entiendo, pero XMPP necesita de un servidor que puede ser intervenido para recolectar metadatos y averigüar quien eres y las salas no están cifradas. Aún así funciona muy bien y es una opción muy válida, no lo niego, y de hecho lo uso y creé hasta una sala o canal para charlar con amig@s del Fediverso:

fediverso@salas.suchat.org

Es cierto que las salas o canales de XMPP suelen usarse poco pero al menos tenemos ahí un lugar donde sacar un tema y opinar sobre el mismo. El problema es que cifrar las salas sería muy latoso, por lo que se usan sin cifrar y se tratan temas que no comprometan la privacidad de cada miembro. Para mayor privacidad siempre es mejor optar por mensajes individuales con cifrado Omemo.

Otros optan por Matrix, pero se demostró que entregaba demasiados datos personales a los servidores. Aún así están mejorándolo y seguro que será una alternativa más segura y privada próximamente.

Bueno, no quiero extenderme sobre las preferencias y gustos de la mayoría de la gente y la escasa preocupación por su seguridad y privacidad informática, creo que es evidente en este mundo que vivimos. Pero al menos quería comentar que existen mejores alternativas para quien así lo desee, pero si no se ponen de acuerdo una gran cantidad de personas en usar algo de esto nunca podrá salir adelante y terminarás por dejarlo: así hice yo al final.

Hoy os quería dejar con algunos ejemplos de conexiones capturadas con Netguard desde apps que uso en mi smartphone, solo disponible usando sus opciones de pago. Espero que os resulte curioso donde conectan algunos servicios y lo importante que es llevar un control de las conexiones de tus apps para una mayor privacidad.

La app de mensajería Conversations usando el servidor suchat.org (se ve también el servidor DNS que uso en mi smartphone):

Conversations

La tienda de F-droid usando el servidor normal y el de Guardian Project:

F-droid

El cliente de email K9 usando una cuenta de correo de Fastmail:

K9

Tusky usando mi cuenta de Mastodon:

Tusky

Correo electrónico de Tutanota a través de su app:

Tutanota

Cuenta de Twitter que únicamente uso como solo lectura a través de la app Twitlatte:

Twitter

La tienda Aurora Store que enlaza con la Play Store de Google:

Aurora

Con los navegadores ya es diferente, porque depende de dónde navegas para ver las conexiones. En este ejemplo, usando el Navegador Privado de Stoutner para ver vídeos de Youtube en una instancia de Invidious (y bloqueo anterior de algunas conexiones de Google de mi parte):

Navegador Privado

Ahora un ejemplo con el navegador Fennec (Firefox) navegando a un repositorio de Github (fijaros por curiosidad en las conexiones que hace Firefox o Fennec a servidores de Mozilla e incluso intento al router o dirección local 192.168.1.1):

Fennec

La app de la Junta de Andalucía Salud Responde, con servidores de Google bloqueados:

Salud Responde

Y por último os dejo con el demonio DNS o DNS daemon de Android, donde uso el servidor gratuito y público de Mullvad:

DNS daemon

De esta manera controlais las conexiones de cada app por si trae algún rastreador extraño, por si no va bien la conexión y es debido a algún servidor bloqueado, si una app es de fiar o no, si puedes tener malware, etc.

Hace tiempo escribí sobre como instalar el programa de esta VPN, que para mi es la más fiable de todas las que he probado, en este artículo:

https://write.privacytools.io/jal/crear-una-cuenta-vpn-con-mullvad-en-linux

Aunque el artículo estaba enfocado a su instalación en GNU/Linux, en el caso de Windows (soporta desde Windows 7 en adelante) os será muy sencillo y no hace falta mucha explicación.

Aunque desde aquí debo decirte y recomendarte seriamente no usar Windows si buscas privacidad: instala GNU/Linux, al menos para tu uso exclusivo con Internet. Hoy en día es muy sencillo y te dará menos dolores de cabeza que Windows, te recomiendo para empezar Linux Mint.

Mullvad ha hecho últimamente todo más sencillo y ha añadido en el mismo programa ciertas características que anteriormente eran más complicadas de usar y era necesario echar mano de programas externos, como el uso de Shadowsocks para hacer de puente entre servidores y añadir el protocolo Wireguard en el mismo programa (esto último solo para GNU/Linux).

Aquí vamos a tratar el tema de Shadowsocks y por qué debes usarlo siempre con tu VPN. En un principio para evitar que tu ISP sepa el servidor de salida hacia Internet. Tu ISP siempre sabrá que te conectaste a un servidor de una VPN y que estás conectado mucho tiempo a él (en este caso sería el primero, el servidor puente o Shadowsocks).

Pero si usas Shadowsocks activado por defecto en el programa, primero la conexión va como siempre a tu ISP, luego el programa de Mullvad se conectará a este servidor puente de Shadowsocks y, desde él, hacia el servidor VPN que será visible para todo internet y con el que podrás navegar o usar cualquier servicio en la red.

La utilidad es obvia: si alguien rastrea lo que haces en internet hasta tu ISP y no usas Shadowsocks, alguna empresa puede pedir información de quien se conectó al servidor de esta VPN y cuanto tiempo, y si tu ISP da esta información (cosa que últimamente parece pasar mucho) pues sabrán fácilmente quien eres. Pero si todo lo que haces en internet lo haces desde el salto al segundo servidor (del que tu ISP no tiene conocimiento que te conectaste) entonces tu ISP y el que pidió esa información nunca sabrán que fuiste tu. Ellos saben que te conectaste al primer servidor y a partir de ahí todo fue encriptado hacia donde te conectaras, por lo tanto no saben de tu conexión al segundo servidor. Y Mullvad no guarda registros ni da información a nadie sin una orden judicial. E incluso si recibiera una orden judicial dirá que no guardó registros y la información que tiene es 0.

En su web detallan la configuración de los servidores Openvpn:

verb 0 log-append /dev/null

Para ello, sigue los pasos del artículo o enlace que te puse anteriormente más arriba si usas GNU/Linux, y en la misma web de Mullvad tienes información de como crearte una cuenta con un simple número pagando 5€ mensuales para luego descargar e instalar el programa en Windows (algún enlace está en inglés pero te será sencillo):

https://mullvad.net/es/account/

https://mullvad.net/es/guides/install-mullvad-app-windows/

Puedes usar tu cuenta en 5 dispositivos diferentes.

Ahora hablaremos de lo nuevo que Mullvad ha incluido en el programa.

Si en el menú del programa, elegimos la opción de Configuración Avanzadas, veremos que existe una opción llamada Modo puente o Bridge mode. Por defecto viene configurada en Automático, pero si queremos usar siempre este modo puente (que usa Shadowsocks) necesitamos cambiarle la opción a Activado. También es necesario que corteis toda comunicación si se cayera el servidor de la VPN momentáneamente, lo que suele llamarse un kill switch, por lo que debeis dejar esta opción activada: Bloquear cuando esté desconectado.

Os dejo un pantallazo de la app para que veais más clara la opción puente o con Shadowsocks y el resultado que te mostrará en pantalla:

Modo puente

Modo puente2

Como veis, entra primero a un servidor (Shadowsocks) y luego desde éste conecta a un servidor en Luxemburgo. A partir de ahí, cualquier web o servicio que useis recibirá la IP del servidor de Luxemburgo, nunca la IP del servidor Shadowsocks. Y vuestro ISP únicamente sabrá de la IP de Shadowsocks, por lo que no pueden investigar lo que hicisteis con la IP de Luxemburgo.

Aunque ya de por sí el programa trae la opción de cortar toda comunicación con internet en el caso de que se caiga la conexión con el servidor de la VPN (kill switch), no está de más que os asegureis aún más añadiendo la opción de Socks5 en vuestros programas. Es muy importante hacerlo en vuestro navegador (usa siempre Firefox para esto) y en vuestro programa qbittorrent (el que te recomiendo y del que hablaremos).

En Firefox es muy sencillo: en las Preferencias vas a la primera pestaña o General, y abajo del todo tendrás la Configuración de red. Pinchas en Configuración, señalas Configuración manual del proxy y ponemos el servidor socks5 de la VPN y su puerto (10.8.0.1 y 1080) donde dice Host SOCKS y señalamos también SOCKS v5. Y más abajo en esa ventana, señala también la opción DNS proxy usando SOCKS v5 (NO actives la pestaña que dice Activar DNS sobre HTTPS) y terminas con Aceptar.

Asimismo debes eliminar de tu navegador (Firefox) WebRTC. Para ello, pon en tu navegador about:config, dale a Aceptar para hacer cambios, y escribe en la ventana de arriba lo siguiente: media.peerconnection.enabled (sin espacios o no lo encontrará), y cambia su valor a False. Listo, ya quitaste la opción WebRTC de tu navegador. Esto hará que no se filtre tu IP real cuando usas tu navegador con javascript en ciertos sitios.

Para el programa qbittorrent ya hice un artículo explicando como usarlo y la opción que puedes añadir si usas una VPN. Echadle un vistazo en este enlace:

https://write.privacytools.io/jal/vpn-y-evitar-fugas-descargando-torrents

Pero en el caso que nos ocupa (cambiar también las otras opciones que puse en ese artículo, son importantes para tu privacidad), debeis buscar en las opciones del programa el Activar modo anónimo (normalmente dentro de la opción BitTorrent) y señalarlo, y asimismo configurar la IP y puerto socks5 (con el mismo de antes: 10.8.0.1 y 1080) dentro del apartado Conexión – Servidor proxy. Asimismo, en la pestaña Avanzado del programa, debes buscar tu adaptador de red y ponerlo en la opción Interfaz de red (es necesario reiniciar), que si usas Windows normalmente será el Adaptador TAP... que corresponda, y en el caso de GNU/Linux normalmente será tun0. Si no sabes cual es en Windows, mira en el Panel de Control y el apartado de Redes, ahí te saldrá el nombre del Adaptador TAP, que coincidirá con alguno de los que te ofrece qbittorrent.

De esta manera, al usar Mullvad su servidor Socks5 ÚNICAMENTE DENTRO DE LA VPN, si se cae la conexión del servidor VPN pues no enviará ni Firefox ni qbittorrent ninguna información, porque el servidor Socks5 tampoco funcionará. Y aparte, ya el mismo programa de Mullvad bloqueará internet, pero como en todo programa siempre puede haber algún bug, es mucho mejor hacerlo con doble seguridad.

Si aún usas Windows XP, no deberías arriesgarte a usar una VPN cuando todo el sistema está ya obsoleto y sin actualizaciones. Pero si aún así quieres hacerlo hay una solución algo más manual y hay que hacerlo sin el programa de Mullvad, únicamente con el programa original de Openvpn llamado Openvpn-gui. Si necesitas hacerlo así y aceptas el riesgo contacta conmigo y te diré como hacerlo, aunque no tendrás toda la seguridad anterior, únicamente la que te ofrece usar Socks5 en los programas, pero no podrás usar la opción Shadowsocks o servidor puente.

Espero que os sirva esta información y si teneis alguna pregunta ya sabeis donde contactarme.

Cada persona tiene unas opciones diferentes de privacidad. Hay personas que tienen que vivir en un régimen totalitario o que son perseguidos por sus ideas, que necesitan una herramienta de privacidad que pueda protegerles.

Y la mayoría de las personas, aunque pocas le dan importancia, necesitan tener cierta privacidad en su vida. Al igual que no van entregando sus contraseñas a cualquiera, ni permiten un micrófono o una cámara de vigilancia en su hogar, deberían informarse de la tecnología de hoy en día y lo que puede llegar a suponer para su privacidad. Están exponiendo sus vidas sin tener conocimiento de lo que les rodea, porque a cambio les están ofreciendo (léase: enganchando con) los juguetes más atrayentes e interesantes, y todo un mundo de comunicación y diversión.

Las herramientas más usadas hoy en día para obtener seguridad y/o privacidad son una VPN o el navegador Tor (Tor Browser). Y existen grandes diferencias entre ellas que intentaré exponer lo más sencillamente posible, porque cada una tiene su uso y sentido.

Cuando te conectas a internet lo haces a través de un operador, al cual pagas una cuota mensual (ej: Movistar, Vodafone, etc). Al conectarte te dan un código que te identificará por ellos y también en internet, una IP. Puedes leer algo más de lo que es una IP en este artículo sencillo:

https://write.privacytools.io/jal/explicaciones-sencillas-ip

Si contratas un servicio de VPN con una determinada empresa, lo que consigues es que desde tu IP, es decir, desde la conexión a tu proveedor (o también llamado ISP) vas a entrar a otro servidor diferente que te ofrece esa compañía y alojados estos servidores en muchos países diferentes, todo a través de un túnel cifrado, y podrás así conectarte y navegar con otra identificación diferente o dicho de otra manera: con otra IP.

Esto te será útil por ejemplo si necesitas conectarte para ver alguna web o servicio que solo se ofrece en un determinado país. Hoy en día empiezan a abundar servicios restringidos por países. Seguro que incluso en Youtube te habrás encontrado alguna vez dicha notificación diciendo que no está disponible el vídeo en tu país.

También te puede ser útil para burlar cierta censura y para que tu proveedor no sepa a qué webs o servicios te estás conectando. Es decir, tu ISP o proveedor sabrá que te has conectado a la IP de ese servicio VPN, pero no sabrá nada más a partir de lo que haces desde ahí. En este caso asegurate que el servicio VPN que contratas disponga de un servidor de nombres o DNS propio dentro del túnel cifrado de la VPN y que no tienes activado WebRTC en tu navegador.

¿Qué ocurre a cambio?: que tu ISP no sabrá a qué webs vas desde que te has conectado a la VPN pero la empresa que te ofrece el servicio VPN sí. Has cambiado la confianza de tu proveedor de internet por una compañía privada. En estos casos debes asegurarte de que dicha empresa sea de confianza, que colabore en proyectos de seguridad y privacidad y que luche por estos principios, que no guarde registros de lo que haces y que disponga de las herramientas suficientes para garantizarte un buen servicio VPN en diferentes circunstancias y una velocidad suficiente en internet.

Lo negativo: al saber tu proveedor de internet a qué IP te has conectado, fácilmente podrá saber que es una empresa VPN, y verá que pasas conectado ahí mucho tiempo. Por lo que si alguien rastrea lo que haces hasta ahí y pide a tu ISP que les diga qué clientes se han conectado a esa IP pues tu serás uno de ellos, y ahí acaba tu privacidad. En estos casos, algunos servicios o empresas VPN ofrecen lo llamado MultiHop, que es poder saltar de un servidor a otro y de ahí a internet. De esta manera, si ocurre lo dicho anteriormente, tu ISP podrá decir que te conectaste al primer servidor, pero nunca sabrá que luego te conectaste al segundo, y precisamente desde el segundo es desde donde lo estás haciendo todo en internet, por lo que te da una capa extra de protección.

Aún así, opino que debes mirar una VPN más como un servicio que te puede ofrecer seguridad, ya que navegas por internet con una identidad que no es la tuya real, por lo que será difícil a un ciberdelincuente conocer tu IP o identificación real para intentar atacar tu router u ordenador. Y también como un servicio que puedes usar para saltar algunas protecciones, como un firewall o proxy estricto en algunas empresas o instituciones, filtro por paises, etc.

Ten en cuenta que incluso si usas una VPN para navegar, lo que va diciendo mucho de ti en realidad es tu navegador, más de lo que crees, e internet se ha convertido hoy en día en un servicio para rastrearte todo lo posible. Te recomiendo leer este artículo anterior:

https://write.privacytools.io/jal/fingerprinting-o-tu-huella-digital-online

Pero si buscas más privacidad entonces debes usar el navegador Tor o Tor Browser. La respuesta es sencilla: todos los usuarios que usan este navegador dan la misma huella digital por internet, tal como leíste en el enlace anterior. Y, aparte de pasar por 3 servidores diferentes antes de conectarte a una web, estos servidores también van cambiando cada cierto tiempo y en algunas pestañas diferentes.

Como podrás suponer, si usas Tor Browser sin poner tu usuario y contraseña en ningún sitio y haces una navegación no usual cada día, pues será difícil conocer quien eres, ya que tu orígen es desde la IP o identificación de un país diferente y cambiante, y tu navegador no da pistas únicas para que puedan rastrearte. Para esto mejor usar Tor Browser en el modo más seguro o safest.

Si encuentras alguna web que no se puede ver bien o te da problemas, usa la extensión que viene en Tor Browser: Noscript para dar permiso a los dominios que impiden que dicha web pueda verse en condiciones, así uno a uno hasta que finalmente pueda verse (en este caso asegurate qué tipo de web es y si te merece la pena o confianza hacerlo). Así navegarás con más seguridad y privacidad.

Ten también en cuenta que Tor Browser usa el navegador Firefox con algunas modificaciones, por lo que puede haber muchas agencias (y quien sabe más) que tengan en su poder alguna vulnerabilidad contra Firefox y por lo tanto puedan funcionar contra Tor Browser también, y más aún si lo usas en un modo de seguridad normal o mínimo, permitiendo javascript.

Resumiendo: para un uso de seguridad usa la VPN, también te dará algo de privacidad. Para una privacidad más real usa Tor Browser sin introducir usuario y contraseña en ningún lugar, y con el modo más seguro activado.

Si quieres que tu ISP no sepa que te conectas a la red Tor usa primero la opción que te da Tor Browser de estar Tor censurado en tu país y prueba los puentes que ya trae incorporados para hacer conexión, y si éstos no te van bien entonces solicita un bridge o servidor puente, que puedes conseguir en esta dirección: https://bridges.torproject.org/ o de cualquier otr@ amig@ que pueda dartelo. Si usas los emails de riseup o gmail puedes solicitarlo también por email, como te comenta el enlace que te puse.

Ya denuncié en este Blog anteriormente que un servicio ciudadano de Salud de la Junta de Andalucía permitiera que su app tuviera dentro de sí un rastreador de Google que afecta a todos los andaluces en este artículo:

https://write.privacytools.io/jal/el-horror-de-la-app-del-servicio-andaluz-de-salud-salud-responde

También comenté una forma de evitarlo, pero sé que no está al alcance de la mayoría, y seguramente de muy poca gente, en este otro artículo:

https://write.privacytools.io/jal/analizando-y-bloqueando-conexiones-con-netguard

Pues este día 22 de Agosto salió una nueva actualización y tuve la esperanza de que hubieran modificado lo que hicieron, pero no ha cambiado nada: ni en el número de permisos ni en el mismo Firebase Analytics, que muchos defienden como inofensivo pero que se suele usar para ver las estadísticas de uso de una aplicación, que como dije en ese artículo anterior es algo que no se debería hacer en la administración pública ya que Google mete las narices en ello.

Tras escanearlo con la app ClassyShark3xodus y ver que todo seguía igual, volví a subir el enlace de esta nueva actualización (como ya hice con las otras anteriores) a la web de Exodus para que quede ahí registrada, y aquí os dejo el informe:

https://reports.exodus-privacy.eu.org/en/reports/91290/

Bueno, al menos que valga esto para seguir denunciando lo mismo, y que haya esperanza en que cambie algún día esta mala praxis por parte de un servicio público, y esperando que esto no se extienda a otras comunidades (si es que ya no se hace).

Ya tenemos la versión 0.70 del programa FreeTube y tal como dije en un artículo anterior, esta vez añadió la opción Proxy de Invidious, por lo que ya no se enviaría ningún tipo de información a Google al ver los vídeos de Youtube.

Recordad que el programa, al estar hecho en Electron, está disponible para varios sistemas operativos: Windows, GNU/Linux, Mac OS...

https://freetube.writeas.com/freetube-release-0-7-0-beta-local-profiles-new-channel-view-invidious-proxy

https://freetubeapp.io/#download

Al arrancar el programa verás varias opciones, que son las habituales que suelen aparecer en Youtube. Pero lo importante está en las Preferencias o Settings. Así que vamos a ello.

Opciones laterales

Entramos en Settings y cambiamos algunas cosas. En primer lugar querrás importar tus suscripciones, ya sea de Youtube, de Invidious (si estabas registrado en alguna instancia y con suscripciones), de la app para Android NewPipe o de un programa anterior del mismo FreeTube. Así que vamos al menú interno de Subscription Settings.

Suscripciones

En el caso de suscripciones que tuvieras en Youtube, deberás ir dentro de Youtube al Gestor de suscripciones y al final de la página darle al botón de Exportar a OPML. Lo mismo en Invidious, una vez logueado, en las Preferencias hay una opción abajo de esta página para Importar/Exportar Datos y dentro de este apartado verás la opción Exportar suscripciones como OPML (para NewPipe y FreeTube), pinchas ahí y ya tienes tu archivo para importar a FreeTube con tus suscripciones.

En el caso de NewPipe en Android, en la pestaña de la página principal de Suscripciones verás la opción Importar/Exportar y dándole a la pestaña para abrir las opciones veremos Exportar a – Archivo, pinchamos ahí y guardamos ese archivo y luego lo importamos a FreeTube.

Por supuesto verás también una opción en FreeTube para Exportar en cualquier momento tus suscripciones que tengas en FreeTube, eligiendo el modo de hacerlo en una lista a elegir (FreeTube, NewPipe u OPML), lo que no es mala idea por lo que pueda pasar en cualquier momento. Ten en cuenta que aún el programa está en beta.

Bueno, ya con tus suscripciones importadas vamos a otros Ajustes o Preferencias.

Lo más importante es la instancia de Invidious que quieres usar, ya que algunas instancias van más rápidas que otras, tienes un listado de instancias en este artículo de mi Blog (abajo del todo):

https://write.privacytools.io/jal/youtube-sin-google

Abajo casi del todo del menu de Ajustes o Preferencias de Freetube, verás la opción Current Invidious Instance (Defaults to https://invidio.us) y una zona donde poner el enlace de la instancia que prefieras. Siempre puedes cambiarla cuando desees. Yo por ejemplo usé esta (me va rápido): https://vid.wxzm.sx

Instancia

Mi consejo es, si quieres evitar a Google por completo y que los vídeos se puedan ver bien, que en el menu de Player Settings actives la opción Proxy Videos Through Invidious. Si quieres que no guarde un historial de lo que ves desactiva la pestaña Remember History. Si quieres ver subtítulos por defecto en cada vídeo señala la opción Turn on Subtitles by Default.

En las opciones generales o General Settings a mi personalmente me gusta el modo oscuro, por lo que señalé la pestaña de Use Dark Theme.

General

También puedes elegir la resolución de los vídeos, teniendo en cuenta que algunos vídeos no pueden estar en una determinada resolución. Creo que la opción por defecto de 720p está muy bien, aunque si quieres más rapidez puedes probar eligiendo una menor resolución, o lo contrario si quieres más calidad de vídeo.

Trae también una opción Proxy por si quieres que tus conexiones vayan por Tor: Use Tor / Proxy for API calls y puedes probar si va bien (teniendo Tor conectado en tu sistema) pulsando en TEST PROXY.

Abajo del todo de los Ajustes, tienes también para limpiar tu historial, tus vídeos favoritos o tus suscripciones.

Creo que el resto de opciones son bastante sencillas y cada cual tendrá sus gustos en esto. Te animo a echar un vistazo al programa y a probarlo a fondo.

Para terminar este artículo comentar que aunque el programa está hecho en Electron, el desarrollador se defiende de esta manera, lo cual al menos para mi es comprensible:

Creo que la privacidad debería ser accesible al mayor número posible de personas, independientemente de dónde se encuentren en el espectro de la privacidad. Para lograr esto con FreeTube, esto significa que tiene que ser una plataforma cruzada. Trabajo en FreeTube en mi tiempo libre, y soy la única persona que trabaja en esto. Para este proyecto, Electron es la única solución realista para que una sola persona pueda atender al mayor número de personas posible.

Mirando la cantidad de gente que descarga FreeTube, esto me demuestra que he hecho la elección correcta. Los usuarios de Windows representan aproximadamente el 50% de todas las descargas de FreeTube. Puedo decir fácilmente que una solución nativa terminaría siendo de Linux solamente y que terminaría eliminando el soporte para la mitad de mis usuarios.

A pesar de esto, todavía es algo que quiero investigar algún día. Mi plan es poner FreeTube en un estado completo de funciones en el que sólo tenga que hacer un mantenimiento sencillo. Esto probablemente tomará un año o dos, pero cuando llegue a ese punto, entonces consideraré una reescritura en una aplicación nativa.

Hoy os hablaré de usar Mastodon en vuestro navegador de PC o smartphone de forma más privada, dando menos información al evitar por completo Javascript. Se puede usar con Javascript, pero en este caso vendría mejor la web original de vuestra instancia.

El proyecto, llamado Brutaldon se puede instalar (si conoceis algo de Python) de forma local en vuestro ordenador y luego enlazando desde el navegador a https://localhost:8000, o se puede instalar directamente en un servidor.

Aquí teneis el enlace al código:

https://git.carcosa.net/jmcbray/brutaldon

El desarrollador, Jason McBrayer, también ofrece ya una web por si quieres usarla, que va bastante bien, en el siguiente enlace:

https://brutaldon.online/

Por sencillez, vamos a hablar de esta web.

Siempre lleva cierto peligro confiar en un desconocido porque deberás dar permiso en tu instancia de Mastodon a usar este programa. Pero siempre es recomendable usar doble autenticación y el propietario no sabrá tu contraseña o código 2FA, únicamente podría tener permiso para leer y escribir en tu cuenta y no va a hacerlo. Lo que también suele ocurrir si usas una determinada app para Mastodon en tu smartphone.

Esto es así ya que, al dar permiso, el auth token queda almacenado en su servidor, pero siempre puedes revocar desde tu instancia de Mastodon este token dentro de las Preferencias. Y el desarrollador sé que es bastante respetuoso.

Así que si necesitas usar Mastodon en un ordenador con pocos recursos o de forma más privada sin javascript en tu navegador, es una buena opción.

Vamos a explicar los pasos en un navegador al que se le ha deshabilitado javascript.

Al ir a la web verás su pantalla principal y el botón para hacer Login:

Principal

Pulsamos en Login y entramos para escribir nuestra instancia de Mastodon, en el ejemplo puse mastodon.social:

Instancia

Seguidamente tu navegador enlazará con tu instancia para hacer login allí en la misma:

Usuario

Y si usas 2FA o doble autenticación te la pedirá ahora, en caso contrario pasará al paso siguiente:

2FA

Te ofrecerá, ahora sí, la opción para autorizar o no la aplicación Brutaldon:

Autorizar

Autorizamos y ya estaremos dentro.

Entramos

En este caso veis un Tema que suelo usar: Default Dark pero teneis unos cuantos temas para usar y que podeis ver pulsando en Settings, así como otras opciones:

Opciones1

Opciones2

Echadle un vistazo a las opciones porque son interesantes e importantes, como por ejemplo el deshabilitar javascript y el tiempo de comprobar si hay alguna notificación (sí, aún sin javascript te pondrá ese aviso en el apartado de Notificaciones). Aquí la pantalla general de las Opciones o Settings:

Opciones3

Configurais las Opciones y guardais pulsando abajo en Save y ya estareis en la pantalla principal con sus menus, aquí un ejemplo de la pantalla de Timeline y de Notificaciones:

Pantalla Timeline

Pantalla notificaciones

Hay 2 opciones para enviar un Toot, la forma simple y la forma con contenido media. En este último caso hay un icono para ello, que al pulsarlo te dirigirá a esta pantalla, más completa que la simple de Tootear:

Tootear media

Ahí podeis elegir el o los adjunto/s, escribir lo que querais y entonces darle ya al botón Toot.

El resto de opciones ya las conoceis si usais Mastodon, pero podeis verlas por vosotros mismos. Jugad con los diferentes Temas y recordad que al no usar javascript será todo mucho más rústico de usar, pinchando cada cierto tiempo a cada menu para actualizar el contenido y tal, pero a cambio consumirá menos recursos y enviará menos información de tu dispositivo desde el navegador.

Os dejo con una imágen de otro Tema, parecido a un Terminal de GNU/Linux: vt240 green

vt240green

¡Buenas noticias!

El desarrollador de la app FreeTube, que usa en su interior Invidious (leer artículo anterior) y que está disponible para casi todos los sistemas operativos, me ha comentado tras lo que le comenté un par de veces en Mastodon sobre añadir la opción de PROXY de Invidious en la app, que dicha opción ya está empujada en el repositorio para la próxima versión de la app.

Esto significa que con la próxima versión de esta app no hará falta usar la web de Invidious para liberarse de Youtube, bastará con la misma app y configurarla como uno quiera en sus opciones, señalando por supuesto la opción de Proxy.

El problema que tiene señalar esta opción es que consume mucho ancho de banda del servidor de la instancia, y cuanto más usuarios será peor. Pero si uno quiere ver vídeos de Youtube sin que vaya información a Google no hay otro remedio.

Esta app trae muchas opciones, hasta una extensión para Firefox y Google Chrome (aunque mejor nunca usar este último navegador) y os animo a probarla en su próxima versión y echarle un ojo en su web y repositorio, también podeis seguir su Blog:

https://freetubeapp.io/

https://github.com/FreeTubeApp/FreeTube

https://freetube.writeas.com/

En cuanto salga os informaré y asimismo tendré que retocar algunos artículos anteriores donde hacía mención a que esta app no traía dicha opción.