Reader

Ayer hablé en pasado de lo que había sido hasta entonces mi presente. Duele como mil puñales clavados, y las lágrimas caen solas sin ayuda de nadie. Es el dolor del recuerdo y, también, el dolor por una mala rutina que reinó con alevosía. No lo entiendo. Pero jamás podré decir que me arrepiento de nada. Los capítulos buenos también deben acabar.

Seguimos con la segunda parte de la entrevista a renor:

11.– ¿Eres seguidor de la filosofía del software libre o te conformas con el opensource o código abierto?

La filosofía del Software Libre es muy interesante y me parece que podría ser algo muy bueno si se siguiese. Por ahora, la mayoría de las veces me conformo con que una app sea de código abierto y me respete como usuario. Siempre intento encontrar apps libres, pero si no es posible tampoco me molesta en exceso. Por suerte, mucha de la comunidad open source usa licencias de software libre y cumplen con las cuatro libertades esenciales del software libre.

Para los que no sepan lo que es el software libre, es ese software que respeta las libertades del usuario y deja que sea el usuario quién controla el software y no el software quien le controla a él.

12.– ¿Qué tiendas usas para descargar las apps de tu smartphone?. ¿Usas también webs como Github y similares para descargar apps en formato .apk?, y en este caso ¿qué medidas tomas para evitar riesgos en dichas apps descargadas?

La unica tienda de Apps que tengo instalada es F-Droid (uso Aurora Droid que es más bonito). Debo decir que F-Droid es una tienda bastante “mala” en el sentido de la seguridad: actualizaciones que vienen tarde (hasta meses) y apps con códigos muy malos y vulnerables son muy comunes allí dentro.

Además, F-Droid solo agrupa una pequeña parte de apps (que los desarrolladores han decidido que estén allí). Pero existen muchas más apps de código abierto en sitios como Github, Gitlab e instancias propias de Git. Ejemplos como Session o Signal son apps que sus desarrolladores no han querido que se encuentren en F-Droid por los problemas de seguridad que podría significar.

Recomiendo, siempre que se pueda, descargar las apps del repositorio git oficial y actualizarlas siempre lo antes posible.

13.– ¿Qué medidas tomas al navegar por internet?. ¿Te proteges contra scripts como javascript y otros, contra la publicidad, el rastreo y el fingerprinting o evitar en lo posible tu huella digital?. ¿Qué navegadores usas en tu ordenador y en tu smartphone?, ¿usas extensiones en los mismos?

La verdad es que al navegar por internet no tomo muchas medidas. Solo un bloqueador de anuncios (uBlock Origin) con la configuración básica. Mi Pi-hole en casa me ayuda a bloquear algunas cosas extra. Pero intento que mi navegación no me comprometa a través del cómo navego. Evito a toda costa los sitios con rastreadores o JavaScript abusivo y con el tiempo he ido encontrando alternativas a todas esas páginas.

Con el tiempo he cambiado un poco a la filosofia de que es más dificil que te reconozcan entre una multitud de usuarios como tu, que no si lo bloqueas todo, tienes mil extensiones instaladas, configuraciones extrañas, bloqueas JavaScript, etc... Al final, eres más reconocible así que no de otra manera y es una falsa ilusión de “seguridad”. Con una navegación responsable, evitando al máximo rastreadores, creo que al final es lo mejor.

En mi smartphone utilizo Bromite en el día a día, un fork de Chromium que trae mucha configuración de seguridad y privacidad “out of the box”. Prácticamente no tienes que hacer nada y tienes toda la comodidad y seguridad de las últimas versiones de Chromium. No uso Firefox ya que con el tiempo ha demostrado ser más vulnerable que Chromium en cuanto a seguridad, y por otro lado hay muchos proyectos interesantes de Chromium que mejoran muchos aspectos de privacidad y seguridad y además eliminando todo lo de Google.

En mi ordenador siempre había usado Firefox con mucha configuración y mucho retoque en general. Pero hace poco cambié a Ungoogled Chromium (un proyecto que comparte muchas cosas con Bromite y Vanadium) con menos configuración en general.

En cuanto las extensiones, solo uso una para redirigir a Invidious/Nitter/Open street maps, uBlock Origin y otra que me borra los cookies automáticamente.

Anotar que también uso Tor en ambos dispositivos, para cosas puntuales y nunca para cosas que me puedan identificar.

14.– ¿Qué opinas de las GAFAM (Google, Apple, Facebook, Amazon y Microsoft)?

Opino que son las principales empresas causantes de la aceptación de la gente a la pérdida de sus libertades y derechos como personas. Son causantes de la mayor censura y manipulación de masas que se ha visto en la historia. Creo que la gente debería boicotear estas empresas y reducir su uso al mínimo posible, tanto individuos como instituciones y empresas, optando por software libre o de código abierto siempre y cuando éste respete la privacidad y libertades del usuario. Y sobre todo no criticar la Matrix desde dentro, como tantos youtubers/twitteros hacen sin después hacer nada para salir.

15.– ¿Tomas alguna medida de protección en cuanto a las DNS que usas en internet?, ¿alguna recomendación?

Mi medida de protección simplemente es no usar ni las DNS de Google (que vienen por defecto en la mayoría de dispositivos) ni las DNS de Cloudflare, ya que es una empresa horrorosa que se ha cargado la libertad de navegar por internet con su “anti DDoS”. Recomiendo DNS como las de dns.watch, snopyta o nixnet.

16.– ¿Qué app o apps recomiendas usar para mensajería hoy en día, cuando todo el mundo únicamente usa Whatsapp o Telegram?

La mensajería es un gran problema, es donde se centra muchas veces nuestra vida más privada y es algo que no podemos permitir que se vulnere. Whatsapp es una pesadilla para la privacidad, es propiedad de Facebook y más de una vez han entregado conversaciones enteras a gobiernos, además de que siempre colaboran activamente con ellos.

Telegram, por otro lado, es una app la cual sus clientes (apps) son de código abierto, pero sus servidores son de código cerrado. Es decir, la parte más importante: donde se procesa la información, no es abierta. Algo que a mi personalmente me hace perder confianza. Además, Telegram no encripta nada por defecto: solo las “conversaciones secretas”, las cuales poca gente usa. Telegram la veo como una buena app para los canales públicos de información o chateo en general o chats de soporte de empresas pero nunca la usaría para mis mensajes privados.

Yo personalmente soy usuario de Signal. Es 100% código abierto, sus compilaciones son reproducibles, tiene el protocolo de encriptación más potente que existe actualmente: el Double Ratchet Algorithm, las conversaciones no filtran prácticamente nada de metadatos y tiene todas las funciones que esperas: Texto, Audio, Foto/Vídeo, Archivos, Stickers, Llamadas y videollamadas, mensajes multimedia que solo se pueden ver una vez (estilo Snapchat), mensajes que se autodestruyen, grupos... La única pega que tiene es el hecho de ser centralizado, pero por otro lado permite reducir los metadatos a niveles dónde casi son inexistentes. Signal hace públicas las peticiones de gobiernos, aquí se puede ver una de estas: https://signal.org/bigbrother/eastern-virginia-grand-jury/ Con los datos que tenían solo pudieron entregar la fecha de creación de la cuenta de ese usuario.

También uso mucho XMPP ya que éste, a diferencia, es descentralizado, anónimo, usa una encriptación muy fuerte basada en la de Signal y aún siendo más sencillo permite hacer todo lo que esperas. Y estoy muy atento a servicios prometedores como Briar, Session, Status y Tox.

17.– ¿Usas servicios en la nube?, ¿cómo proteges la información y qué servicio/os usas?. ¿Usas algún servidor propio o algún proyecto de crearlo?

Uso servicios en la nube, pero una nube que está en mi casa. Para proteger la información uso mucho la herramienta Veracrypt para crear contenedores encriptados. Para gestionar mis contraseñas uso Keepass localmente, pero sincronizo la base de datos con mi móvil a través de Syncthing (ya que usa sincronización incremental y P2P) dónde tengo KeepassDX. De este modo tengo mis contraseñas siempre sincronizadas y a mi alcance, de manera 100% local.

Tengo mi propio servidor de Nextcloud donde sincronizo mis contactos, calendario y algunos archivos con un OnlyOffice que me permite hacer lo que haría con “Google Docs”. También tengo un servicio para emmascarar mi correo, básicamente una instancia de SimpleLogin y en ese mismo servidor también una instancia de Jitsi Meet para hablar con amigos y familiares.

18.– ¿Usas alguna protección en tus emails o los descartas por falta de seguridad y prefieres comunicarte mejor con mensajería libre y cifrada?

El email no lo uso nunca para comunicarme de forma frecuente con nadie. Tengo un correo de Riseup que uso para enviar correos de peticiones y demás a algunas organizaciones o individuos, pero para nada más. Tengo mi correo personal en Tutanota ya que es un servicio open source y bastante seguro, además de que usa energía renovable para sus servidores. Y para los registros u otras cosas emmascaro mi correo con mi instancia de SimpleLogin.

19.– ¿Qué app usas para videoconferencias desde tu ordenador o móvil normalmente?

Normalmente, si la conversación es entre yo y otra persona, uso Signal si ésta lo tiene. Si la videoconferencia debe ser grupal o la persona no tiene Signal uso Jitsi Meet, ya sea en mi instancia o en alguna otra. Otros servicios que me gustan y uso de vez en cuando son Zipcall y Peercalls (los dos son p2p).

20.– ¿Alguna opinión sobre las criptomonedas o alguna que recomiendes especialmente?

Soy muy fan de ellas. Les veo mucho futuro, sobre todo si se empieza a implementar el Proof Of Stake (ya no se necesitará potencia de computación y será un sistema más accesible para todos) juntamente con algo como Mimblewimble (privacidad y fungibilidad en las criptomonedas). Si esto ocurre la mejora será increíble. Este año claramente el Bitcoin está muy en auge debido al “Bitcoin Halving”, pero en mi opinión el bitcoin no tiene ninguna utilidad aparte de la especulación y refugio de valor; es como el oro digital.

Ethereum promete mucho este año con su versión 2.0, ya que implementarán el Proof Of Stake con su variante llamada Casper (que trae algunas ideas muy interesantes para evitar la centralización del valor) y muchas otras mejoras muy interesantes que permitirán que el uso de Ethereum sea mucho mejor.

Otras monedas como Litecoin (que implementará Mimblewimble en teoría) o Tezos (con su propuesta de autogobernanza de decisiones) me parecen muy interesantes y podrían ser consolidadas en una moneda. Otra moneda que me encanta por su tecnología y su enfoque a la privacidad es Monero.

Yo llevo bastante tiempo metido en las criptomonedas, pero no para especular sino porque creo en la tecnología y su futuro. Nunca las he cambiado por dinero, ni pretendo hacerlo.

21.– Cuéntanos un poco sobre algunas medidas de seguridad que uses y con qué programa o app: ¿2FA, gestor de contraseñas, configuración especial de tu router?, etc...

El 2FA es algo bastante indispensable para asegurar que no te roban las cuentas aunque tengan tu contraseña. Personalmente uso una llave U2F compatible con el estándar FIDO2 que se llama Solokeys (es la única que es Open Source al 100%). De momento no la puedo usar en muchos sitios, pero la uso en todos los que puedo.

En cuanto a contraseñas, como he comentado antes, uso KeePass y lo sincronizo con mi teléfono a través de Syncthing (que es P2P). Tener las contraseñas en la nube no me hace mucha gracia, aunque durante bastante tiempo usé Bitwarden.

En mi red interna tengo lo típico: un buen firewall y además tengo un Pi-Hole configurado para toda la red de mi casa que me bloquea rastreadores, anuncios y dominios de malware.

Pues solo me queda agradecerte que contestaras tan ampliamente a mis preguntas renor y encantado de haberte tenido en esta primera entrevista del Blog.

Espero que os haya gustado este nuevo apartado a mis lectores. Más adelante espero hacer algunas otras con diferentes personas del mundo de la informática y la privacidad.

Hoy voy a empezar a tratar un tema que nunca había tratado ni en este Blog ni en el anterior, y son las entrevistas.

Empezaremos con renor, al que conocí en la red social Mastodon hace algún tiempo y con el que me unen ideas similares en cuanto a seguridad y privacidad informática, aparte de compartir un canal de XMPP con él: fediverso@salas.suchat.org y estar siempre también en su canal XMPP: privacidad@chat.404.city

Antes de nada, agradecerle que haya contestado todas las preguntas amablemente y me haya dado permiso para publicarlas.

Así que empecemos con la entrevista. Al ser muy larga la he dividido en 2 partes. Aquí teneis la primera parte, y muy pronto publicaré la segunda parte.

1.– Hola renor. Cuentanos algo sobre ti, lo que consideres oportuno para que se te conozca un poco pero manteniendo por supuesto tu privacidad.

Difícil contar cosas sobre mí sin revelar datos personales, pero lo voy a intentar. Actualmente trabajo en el sector de la Ciberseguridad, llevo algunos años, aunque no muchos, ya que para sorpresa de algunos tengo que decir que soy bastante joven. Estoy graduado en Ingeniería Informática y tengo un máster en Ciberseguridad. Me apasionan (aunque me cuesta entenderlos a veces) los temas de Blockchain, encriptación, protocolos para enmascarar datos y metadatos y claro está: todo lo relacionado con Ciberseguridad.

2.– ¿Como empezaste a preocuparte por la privacidad y seguridad informática y qué sistemas operativos o de móviles has usado hasta ahora?

Pues no fue hasta mi segundo año en la universidad que empecé a tener una preocupación real por la privacidad. Yo he sido un usuario de Google, Xiaomi y demás empresas, a las cuales ahora les tengo tanto odio por el trato con sus usuarios. La primera vez que empecé a preocuparme fue cuando me enteré de quién era Edward Snowden y todo lo que reveló. Empecé a informarme, a leer políticas de privacidad, miré conferencias de Richard Stallman y me empecé a meter en comunidades con preocupaciones similares a las mías: Mastodon, Reddit, foros, canales de Matrix e IRC... Estos son algunos sitios donde soy bastante activo.

Siempre había sido un usuario orgulloso de Android, con todas las apps maliciosas de Google, las cuales encontraba indispensables por aquel entonces. Cuando me enteré de todo esto y decidí empezar a cambiar cosas era usuario de un Xiaomi Mi6, al cual le puse rápidamente LineageOS con MicroG, pues pensaba que no se podía vivir sin Google. A medida que iba leyendo e informándome, cada vez más me daba cuenta de la envergadura real del problema y cada vez me parecía más descarado, así que empecé a investigar e impregnarme con el movimiento del software libre y a ver la luz dónde pensaba que solo había oscuridad: ¡Se puede vivir perfectamente sin NADA de Google!

Más adelante di el paso a usar LineageOS sin MicroG y finalmente, este último año, descubrí GrapheneOS y aproveché que necesitaba cambiar el teléfono para comprar un Pixel 3a y usar este sistema, que a mi parecer es el mejor que existe ahora mismo en cuanto a seguridad y privacidad. No tiene rival.

3.– Actualmente, ¿qué smartphone usas, con qué sistema y por qué?. ¿Y qué sistema operativo usas asimismo en tu ordenador y por qué?

Actualmente uso un Google Pixel 3a (irónicamente es un teléfono de Google) con GrapheneOS. GrapheneOS es el nombre “comercial” de lo que empezó siendo el “Android Hardening Project” liderado por Daniel Micay: un gran investigador en Ciberseguridad que ha colaborado con el Kernel de Linux, OpenBSD, AOSP, etc. Este es su trabajo de investigación: fortificar Android para que nadie, ni con recursos infinitos, pueda penetrar en el teléfono ni física ni remotamente. Además, eso incluye una privacidad casi máxima del sistema; cosas como que las antenas se apaguen realmente cuando lo marcas o un nuevo sistema de asignación de datos en memoria aislando los espacios de memoria por aplicación, de manera que no haya forma de que una app maliciosa comprometa nada con algunos ataques complejos pero típicos. La razón de que solo se pueda usar en teléfonos Píxel es por el Hardware que llevan: un hardware sorprendentemente seguro con chips como el TitanM, siendo los únicos dispositivos del mercado con estas características.

Por otro lado Daniel Micay trabaja solo y no puede mantener un sistema para más de una familia de dispositivos.

En cuanto a mi ordenador: soy usuario de GNU/Linux, concretamente uso Arch Linux. Soy consciente de que Linux no es el sistema más seguro, ya que es fácilmente comprometible de maneras concretas (como por ejemplo si añades una clave de un repositorio malicioso por accidente), pero sí es el sistema más libre que existe. Es el sistema que más respeta a sus usuarios. Concretamente uso Arch Linux porque es un sistema que te permite controlar mucho de lo que lleva dentro tu ordenador, además de ser capaz de construirte tu interfaz de trabajo a medida.

Para los que no lo sepan, con Arch Linux se empieza con una terminal y un sistema prácticamente “limpio”. A partir de ahí vas instalando todo lo demás (drivers, librerías, gestores de ventanas, etc) para construir “tu sistema Arch”. Se podría decir que no hay dos Arch Linux iguales. Además es rolling release, lo que significa que siempre tienes las últimas actualizaciones en las aplicaciones instaladas, de modo que los parches de seguridad y demás están siempre actualizados (bueno, siempre que los desarrolladores mantengan el repositorio). En resumen: uso Arch Linux porque me gusta toquetear y se aprende mucho instalándolo. Lo recomiendo si se tiene tiempo para ello.

4.– ¿Qué tipo de apps usas en tu smartphone y qué recomiendas a los que nos leen sobre las apps que deberían usar para aumentar su privacidad?

A mi parecer, una app de código cerrado te obliga a confiar en la palabra de esa empresa o servicio, no tienes forma de comprobar que lo que dicen que hacen es verdadero. Además pueden hacer un cambio malicioso sin que nadie se entere. Una app de código abierto te da más confianza ya que cualquiera puede revisar el código, comprobar que se está haciendo realmente lo que se dice y, además, puede ser auditada por personas independientes.

Por otro lado, es cierto que el hecho que una app sea de código libre no es la panacea: puede estar llena de vulnerabilidades y que nadie nunca lo compruebe (como ha pasado alguna vez) pero sí que es más probable que, si tiene una buena base de usuarios y lleva cierto tiempo en el mercado, una app de código libre haya tenido mucha más revisión publica y la confianza por tanto es mucho mayor. Además tienes la libertad de hacer un “build” del código por ti mismo si no te fias de la versión que ellos dan. Y aún mejor si las apps son “reproducibles”, es decir, que puedes comprobar que la app que te dan es realmente la misma que sale de compilar el código. Eso es posible con muchas apps, sobre todo destinadas a seguridad/privacidad. El ejemplo que me viene a la cabeza es Signal, la app de mensajería: lo tiene tanto para apps como para sus servidores.

Mi recomendación siempre es saber qué datos obtiene esa app sobre ti, qué hace con esos datos. Analizar las apps con herramientas como ClassyShark3xodus para ver si hay rastreadores. Saber si encripta las conexiones (si es necesario) y sobretodo dar mucha prioridad a las apps de código abierto y buscar alternativas a las privativas (porque casi siempre las hay) y no dejarse engañar por un diseño bonito y cuatro palabras de vendedor de humo. Básicamente: investigar sobre el servicio que se va a usar antes de nada.

5.– ¿Qué opinas de los que intentan demonizar el uso de Tor Browser u otras redes privadas y cómo sueles usarlo tu?, ¿usas también el sistema Tails desde un pendrive usb o cualquier otro?

Tor es maravilloso, he donado varias veces al proyecto y durante un tiempo (no mucho) tuve un Guard Relay que acabé cerrando. Es un proyecto que ha ayudado a muchas personas que tienen restringido su uso de internet y les ha permitido escapar de regímenes dictatoriales dónde eran perseguidos, han conseguido denunciar grandes injusticias sociales, han permitido a familias poder contactar entre ellas para comunicarse que están bien, ha permitido saltarse la censura en los paises dónde ésta es la base de internet, básicamente ha hecho que internet sea libre y democrático para todos otra vez.

Cuanta más gente lo use más seguro y robusto se vuelve Tor, así que es importante usarlo. Por otro lado no es recomendable su uso para tareas en la red que te puedan identificar, ya que primero estás dando datos de que usas Tor y segundo estás vinculando una ruta Tor con tu persona y tu IP real (ya que tendrás conexiones antiguas sin Tor).

Mi uso actual de Tor es bastante esporádico, hasta hace poco tenía todo el tráfico de mi teléfono a través de Tor con Netguard (gracias a tu artículo sobre esto), pero decidí dejar de usarlo ya que era muy lento y realmente mi teléfono, después de estudiarlo, no hace ninguna conexión que necesite ser enmascarada por Tor. Eso sí, uso una VPN para no dejar mi IP a la vista tan fácilmente.

En cuanto a Tails, tengo un USB con el sistema instalado y lo uso muy esporádicamente. No soy un activista al que le persigue un gobierno ni estoy intentando revelar datos muy sensibles sobre nada. Lo tengo más para jugar y sentirme como un 'Snowden' más que nada.

6.– Sé que intentas concienciar a otras personas de la importancia de la privacidad y que estás trabajando en una web destinada a ello, en la que ya has completado varios apartados. ¿Crees que hoy en día las personas están abiertas a aumentar su privacidad o que sin embargo ya se han rendido a cambio de disponer de los últimos juguetes tecnológicos?. Puedes comentar sobre tu web aquí también si quieres.

El problema es que mucha gente no entiende la envergadura real del problema. El típico “Yo no tengo nada que esconder” o “A mi no me afecta eso”. Me viene a la cabeza la frase de “Solo te das cuenta de lo que tenías cuando ya no lo tienes” y es algo que va a pasar. La privacidad está siendo constantemente bombardeada por las empresas privadas y los gobiernos y la gente se deja vulnerar un derecho tan esencial como la privacidad, el cual va ligado a la libertad de expresión, de asociación, de pensamiento, etc.

La gente debe ver hacia dónde nos dirigimos para querer tomar acción sobre las cosas, y muchas veces debe experimentar el daño del problema para abrir los ojos. Mi página web, https://tuprivacidad.org/, está destinada a intentar abrir los ojos a las personas sobre este tema y educar en materia de privacidad tanto a las que no saben nada como a las que ya son más o menos conscientes.

7.– ¿Ves posible evitar el rastreo por parte de las diferentes agencias de seguridad o tu enfoque sobre la seguridad y la privacidad va más orientado contra empresas privadas, de publicidad, spammers y otros especimenes?

Yo voy en contra de cualquier cosa que vulnere el derecho a la privacidad de una persona. La privacidad nos permite ser libres, pensar por nosotros mismos, evita la censura, la manipulación y nos permite poder ser críticos sin necesidad de tener miedo. Cualquier entidad que actúe en contra de la privacidad debería ser boicoteada y tachada como maliciosa y eso es en parte lo que tratamos de hacer un poco nosotros, dar a conocer quién está actuando en contra de estos derechos: tanto empresas privadas como gobiernos.

El gran problema de la privacidad es que se debe solucionar colectivamente. Que yo individualmente me proteja no sirve de mucho si luego mis amigos, familiares y demás no lo hacen. Si suben mis fotos a Google Photos, si hablan sobre mi en sus redes maliciosas, etc. O si el colectivo en el que me muevo no lo hace: imagínate que eres de una minoría perseguida en un país; por mucho que tu te protejas individualmente, si el resto del colectivo no lo hace te perjudica a ti también, ya que te mueves como ellos, piensas parecido, compartes muchos aspectos. Así que la respuesta a la pregunta es: SÍ, lo veo posible, pero debemos hacerlo todos juntos.

8.– ¿Usas actualmente redes libres y/o propietarias?, ¿algún consejo a los que nos leen sobre qué redes libres podrían usar?

Actualmente solo me queda una red propietaria de la que soy usuario y es Spotify. Me encanta la música y la escucho a todas horas, y tengo toda mi librería de música allí. Actualmente me estoy montando un servidor de Airsonic para poder (intentar) abandonar este servicio. De todos modos, lo uso siempre en el modo “Sin conexión” y bloqueado con Netguard, solo cuando quiero nueva música lo “libero”. Además le tengo bloqueados varios dominios de rastreadores.

Para el resto, todo lo que uso es libre, tanto en el PC como en el teléfono. No tengo ninguna app de Google, Facebook ni parecidos en mi dispositivo (tengo un segundo dispositivo que siempre está en casa conectado con Wifi y Netguard con Whatsapp instalado para aquellas personas que no dan el paso o no tengo tanta relación).

Otro servicio privativo que uso es la interfaz web de mi banco, la cual no puedo dejar ya que todos estamos ligados a algo así. Por suerte no tienen ni mi número de teléfono ni tengo la app instalada. Espero que este problema se solucione con las criptomonedas. Recomiendo investigar protocolos como Mimblewimble, o monedas como Monero, que podrían ser la solución a la pesadilla de los pagos digitales.

9.– ¿Sueles usar alguna VPN, solo Tor, o ambas según para qué razón?

Suelo usar una VPN más que Tor, la VPN de Mullvad, y muchas veces uso ShadowSocks (para no usar el servicio VPN y poder seguir usando Netguard por ejemplo). Usar Tor y VPN a la vez yo no lo recomendaría, ya que estás vulnerando Tor creando un nodo de entrada/salida permanente: tu VPN. Si usas Tor debes pensar que está diseñado para que no se le meta nada ni se configure nada más allá de lo que el propio navegador te permite en sus ajustes. La gracia es que todos los usuarios de Tor sean iguales en la red.

Tor lo uso de forma más esporádica, aunque prácticamente cada dia lo abro para algo.

10.– ¿Crees importante la donación a proyectos de seguridad, privacidad y software libre?

¡Claro!, donar y apoyar a estos proyectos ya sea con dinero, colaborando en el desarrollo, traduciendo, o ayudando a que su base de usuarios crezca. Debemos pensar que muchas veces las personas que hay detrás de estos proyectos son voluntarios que regalan su trabajo, tiempo y esfuerzo a la comunidad sin esperar nada a cambio: ni tan solo tus datos. Entonces es necesario que nosotros, los usuarios y usuarias, hagamos donaciones (aunque sean pequeñas) para mostrar nuestro apoyo.

Segunda y última parte

La claridad de la luz que emitía la pequeña lampara de su escritorio era lo más sincero que había visto en mucho tiempo.

Miró el hocico del perro, luego sus ojos. Eran negros, redondos como una bola de billar. Frunció el ceño y dejó ir un susurro lleno de desprecio por aquella bestia. Siempre los había odiado.

Seres de segunda... – decía

Conforme iban pasando los días, con esfuerzo, consiguió acostumbrarse a mostrar cierta tolerancia por aquella cosa. No obstante, le repugnaba la idea de acariciar algo así. Finalmente, la repugnancia se convirtió en cansancio. No quiso mirarlo más, y arrojó el espejo al suelo.

Today Zoom acquired Keybase. It came as a shock to me at first; but, it shouldn't surprise us.

Zoom has been having a rough time with the security and privacy community. There have been countless articles on Zooms many problems. They have had 2 Windows Zero Day vulnerabilities, along with a Mac exploit that could allow hackers to take over a Zoom user’s Mac. To make matters worse, they use the worst form of AES encryption which allows the original image still to be partially visible. Zoom has a problem that requires a hefty solution.

The simple answer is to acquire a company that can improve your encryption for you. Google has been doing similar things for years. Keybase is unlikely to grow because crypto is a niche market; the only users they have don't pay for the product. It is logical for this to have happened. With all the new money Zoom has now that we're all in lockdown, why not use it to improve your biggest flaw?

For Zoom users, this is could be a major advancement. If Keybase implements everything correctly then the security of Zoom calls will hugely increase.

For Keybase users, this should have been expected. A centralised platform that relies on closed source servers was bound to have problems. Additionally, the team behind Keybase aren't exactly known for privacy. This was their first venture into the area, and it was mainly because they saw a gap in the market.

The debate on centralised versus decentralised still continues. Some may have used Keybase as their centralised messaging platform, potentially because of concerns with Signal. If you're looking, I'm currently helping out with the development of BitPost a, lightweight private messaging platform (not yet in release), so feel free to check it out .

Keybase initially started as encryption key management tool, what should we use now? Keybase proofs were a simple way to prove an identity, it will be interesting to see if something similar gets made. Already, a former Keybase developer has made his own platform keys.pub.

The world won't end because of this. It's still unclear as to how Keybase will change because of this. Even so, there are plenty of alternatives including federated options like Riot, who today announced end-to-end encryption by default.

I'll be using Riot until I know a little more about the plans Zoom has. But, it will be intriguing to see the developments that happen in the coming weeks.

I’m publishing this as part of 100 Days To Offload. You can join in yourself by visiting https://100daystooffload.com

#100DaysToOffload – Day 13/100

If you've been following the news recently then you've probably heard someone tout “the new normal”. It suggests that this new lifestyle is now normal and may continue to be normal even once the pandemic is over.

Many advancements have been made during this period of lockdown. Jobs, that were previously thought impossible to do at home, are being done. Venice's famous canals have never been cleaner, according to many reports. Countries might even meet their (unrealistic) lower carbon emission goals on time. The environment in general has had a break from our constant torment of pollution. A lot of good has come out of this crisis and could stay with us afterwards.

While there are positive connotations, there are also bad implications for our liberties. It allows for temporary measures put in place to fight the pandemic to stay in place well after because they are considered normal. Unfortunately, it's happening all over the world right now.

Prime Minister Benjamin Netanyahu of Israel recently authorised the Israel Security Agency to deploy surveillance technology normally reserved for battling terrorists to track coronavirus patients. When the relevant parliamentary subcommittee refused to authorise the measure, Netanyahu rammed it through with an “emergency decree”.

(Source: Yuval Noah Harari: the world after coronavirus)

Countries implementing contact tracing apps have received a backlash from the privacy community. Concerns about the usage of the data has lead some not to install the apps. In my last article I talked about Covid Tracer, the kind of product that this pandemic needs. It goes to show how we can combat the virus without invasive technologies. Laws can stay in place long after their use: for example, the right to drive sheep and cattle over London Bridge requires Freedom of the city. This ancient law is useless as no-one does this anymore, yet it is still implemented.

Historically, it has been proven that Governments tend to maintain surveillance methods in pandemics long after the crisis is over. When the Patriot act was passed after 9/11 it was set out to “deter and punish terrorist acts” as well as “enhancing law enforcement investigatory tools”. It had good intentions, but it is now used for many other reasons.

PATRIOT gives sweeping search and surveillance to domestic law enforcement and foreign intelligence agencies and eliminates checks and balances that previously gave courts the opportunity to ensure that those powers were not abused.

(Source: EFF)

At the time, it seemed like a great idea. Ed Snowden himself says that he joined the army after 9/11 to serve his country in his book Permanent Record.

We can all be mislead in times of crisis. Hindsight is only an option when the problem has already happened.

This is why we must continue to watch our governments. We must keep a keen eye on what they do to help stop the spread of the virus. We must adapt to the constant changes, and ensure that steps in the right direction are kept.

Equally as important, we must make sure that the surveillance they are doing now is continued, much like how it has been before.

I’m publishing this as part of 100 Days To Offload. You can join in yourself by visiting https://100daystooffload.com

#100DaysToOffload Day 7/100

Sé que en el artículo anterior os dije que hablaría de servicios con Tor y sin javascript, pero como me pidieron escribir sobre esto que os pongo en el título pues aquí estamos. No es un artículo solo mio, me ayudaron los usuarios gabriel y sl1200 desde los canales de mensajería XMPP.

En un principio debeis saber que desde RSS se pueden traer los servicios que lo soportan para leerlos luego con tranquilidad y sin publicidad ni rastreo, ya sean articulos de periódicos, vídeos, etc... En otro artículo os puse otro programa: Feeder para poder ver los vídeos de Youtube desde una instancia de Invidious fácilmente.

Pero en este caso vamos a usarlo con Mastodon y con Twitter, pero no directamente desde Twitter para que nos rastree esta red social, sino desde Nitter, que es su equivalente libre donde podemos siempre leer cosas de Twitter. Y todo eso sin tener que hacer login en ninguna web.

¿EL problema?: que las cuentas protegidas no podras leerlas, algo lógico. Si alguien en Mastodon tiene su candado o cuenta protegida, o en Twitter, significará que solo quien él admita o añada podrá leer lo que publica. Así que no tendremos acceso al contenido.

Pero bueno, como la mayoría usa cuentas abiertas públicas, pues vamos a poder leer lo que se publica desde ellas.

Primeramente te recomiendo el servicio RSS Tiny Tiny RSS, y yo particularmente uso el que provee Nixnet en esta dirección: https://tt-rss.nixnet.services/

Nixnet, de Amolith, es un sitio donde se ofrecen alternativas muy buenas y gratuitas que respetan la privacidad. Es un tio muy agradable y siempre buscando los mejores servicios gratuitos para aumentar la privacidad, que los paga él, aunque siempre es bueno donarle algo.

También ofrece cuenta de email (¡hasta con un cliente para email que puedes usar en el navegador sin javascript!), guardar tus favoritos o marcadores en Wallabag y muchos otros servicios, los puedes ver aquí: https://nixnet.services

Bueno, pues vamos a https://tt-rss.nixnet.services/ y nos registramos una cuenta. Una vez hecho esto pues entramos en ella y ahora podremos añadir suscripciones, que en el caso que nos ocupa sería ir añadiendo usuarios de Mastodon para empezar.

Aquí un ejemplo de mi cuenta en el programa leyendo Mastodon...

Si ya tienes cuenta de Mastodon, pues mira las cuentas de esos usuarios una a una y apúntalas (trabajo tedioso) o bájate una copia desde las preferencias de tu perfil, donde hay opciones para exportar los usuarios que estás siguiendo en un formato que luego podrás leer en un editor de textos.

Ahora, para añadir cada cuenta en el programa TTRSS (lo pondré mejor así pero ya sabes que me refiero a Tiny Tiny RSS), verás arriba del todo, a la derecha del programa unas líneas, al pulsarlas saldrán opciones, y una de ellas es: Suscribirse a una fuente, al darle te saldrá una ventana donde debes copiar la dirección del usuario de Mastodon y ponerlo de esta manera.

Imagina que un usuario de Mastodon tiene esta dirección: mastodon.social/@pepito

Pues añades esa dirección copiando y pegando siempre con https:// al principio, y al final le añades: .rss (punto rss) y aceptas dando a Suscribir. Si no te deja escribir en la casilla copia eso en otro lado y luego haz copiar y pegar abriendo de nuevo la ventana de Suscribirse a una fuente. Suele pasar...

Si es de Mastodon no tendrás problemas. El problema es que ese usuario sea de otra red social como Pleroma o cualquier otra, entonces la sintaxis es diferente. Me preguntas si tienes dudas, pero por ahora vamos únicamente a los usuarios de la red Mastodon.

Pues así vas añadiendo uno a uno, poniendo tras el enlace completo .rss y dándole a Suscribir.

Cuando ya los tengas todos podrás leer lo que van escribiendo. Todos estarán dentro de una categoría o apartado.

Ahora toca en Nitter, que es un servicio gratuito que te muestra lo que hay en Twitter pero sin rastreo, lo haremos de la forma siguiente:

Primero hay que separar lo que es Mastodon de Twitter, así que vamos a crear una Categoría nueva llamada Nitter o Twitter, como prefieras.

Para ellos vamos arriba a la derecha del programa, donde están las 3 líneas y pulsando elegimos Preferencias, la primera opción. Luego en la ventana que aparece elegimos la pestaña Fuentes y en Categorías le damos a Añadir categoría. Le pones el nombre de Twitter o Nitter y listo. Ya puedes darle arriba a la derecha a Salir de las preferencias.

Ahora, irás añadiendo los contactos que tengas en Twitter pero esta vez, cada vez que vayas a añadirlos, debes elegir en la ventana la Categoría Twitter o Nitter, NO LO OLVIDES, está en la ventana que sale cuando debes escribir un enlace para suscribirte. Pones el enlace que te diré y eliges esa categoría, para separar la lista de Mastodon de esta.

¿Cómo añades los usuarios de Twitter?, con esta sintaxis:

https://nitter.nixnet.services/usuario/rss (el usuario aquí se escribe sin la @ que sale en Twitter). Si quieres no hace falta ni añadir /rss, poniendo únicamente: https://nitter.nixnet.services/usuario te lo añadirá automáticamente TTRSS, pero si te fallara mejor lo pones. Ya lo pruebas.

Y lo mismo: añades cada contacto de Twitter hasta terminar.

Y ya tienes en el programa 2 categorías, una para leer lo que publican los usuarios de Mastodon y otra los de Twitter.

Este programa te da una opción muy buena: un enlace secreto. Es mejor usar el programa porque si usas el navegador con el enlace secreto, a veces no te da opción a ir muy atrás en lo que se haya publicado. Creo que en Mastodon no hay problema, pero en Twitter no deja.

Para conocer el enlace secreto, pues pinchamos en la página principal del programa en la categoría que quieras, y luego arriba del programa, donde está el icono de RSS y pone al lado el nombre de la categoría, pincha en el icono del RSS y verás el enlace secreto. Aquí debes pinchar:

Te saldrá una ventana nueva con un enlace. Copialo y guardalo en Marcadores o Favoritos de tu navegador. Así podrás ir leyendo lo que se va publicando sin necesidad de hacer login en el programa TTRSS, mucho más sencillo pero también más limitado y menos vistoso. Pero como verás, no usa ningún rastreador y es todo mucho más rápido y con menos recursos.

Ejemplo de como se ve, aquí siguiendo Mastodon:

Busca en las opciones de Preferencias del programa TTRS que hay opciones interesantes, como por ejemplo el tiempo atrás que quieres que salgan los RSS: 24 horas, etc. Esto ya te lo dejo a ti.

Primera parte de este artículo donde trataré el tema de usar servicios sin javascript: normalmente o a través de Tor.

Para los que no lo sepan: usar javascript y servicios que lo necesitan trae consigo varias consecuencias negativas en la internet de hoy en día:

• Un mayor consumo de recursos de memoria Ram y procesador.
• Un mayor rastreo de quien eres, el ordenador que usas, tu resolución de pantalla, fuentes o letras y un largo etcétera.
• No puedes evitar mucha publicidad, a menos que instales alguna extensión para bloquearla.
• Estás exponiendo tu ordenador a que ejecute algún código externo sin saber si éste pudiera ser dañino o aprovechar alguna vulnerabilidad de tu mismo navegador o sistema.

En fin, hay más consecuencias pero quería enumerar éstas como las principales. Si quieres saber más escribí sobre ello aquí: https://write.privacytools.io/jal/fingerprinting-o-tu-huella-digital-online

Usar servicios sin javascript hará que tu ordenador vaya mucho más rápido. ¿Cual es el problema?: que hoy en día muchas webs te obligan a usar javascript si deseas que funcionen, pero puedes optar por permitir javascript únicamente en estas webs. No es como la internet en sus comienzos, donde todo era mucho más sencillo y artesano. Pero aún así, una gran mayoría de webs y servicios pueden aún usarse sin necesidad de javascript, incluso a través del navegador Tor Browser, por si deseas dar aún menos información de lo que haces.

Vamos a enumerar algunos de estos servicios que puedes usar sin javascript en lugar de los oficiales o más conocidos.

• Si buscas un Email sin javascript, simplista y gratuito puedes usar el de Nixnet, lo encontrarás en esta dirección: https://simple.nixnet.email Pero para registrar tu cuenta necesitas escribirle un email al administrador Amolith a esta dirección: postmaster@nixnet.email y decirle el nombre de usuario que deseas y el dominio que también deseas de entre estos: https://nixnet.email/#domains Si lo quisieras usar en algún momento con javascript también puedes hacerlo a través de su cliente Roundcube aquí: https://webmail.nixnet.email/

• Si eres usuario de la red social Mastodon, puedes usar el servicio Brutaldon, que puedes montartelo tu mismo o usar el que ya está público en esta dirección: https://brutaldon.online Eso sí: muy artesano, tendrás que ir pulsando para actualizar contenidos, notificaciones, etc. Hace tiempo escribí sobre él aquí: https://write.privacytools.io/jal/brutaldon-usando-mastodon-sin-javascript

• Si necesitas usar Twitter puedes usar la versión móvil antigua desde aquí: https://mobile.twitter.com Si no te funciona bien sin javascript te recomiendo que bloquees Javascript con alguna extensión del navegador como Noscript o alguna simple de activar/desactivar javascript. También puedes consultar de forma anónima cualquier cuenta de Twitter sin registrarte usando Nitter, hay muchas instancias, te dejo por ejemplo con una de ellas, la de Nixnet: https://nitter.nixnet.services/

• Si usas una cuenta XMPP para charlar en salas/canales, te recomiendo usar (si es que usas GNU/Linux) el programa Profanity, que se usa desde el mismo Terminal o Consola y no es complicado. Tan solo escribes en el Terminal profanity y luego conectas tu cuenta con el comando /connect xxx@xxx.xxx poniendo ahí tu cuenta XMPP, y al pedirte la contraseña la escribes y ya estarás dentro. Luego te mueves por los canales pulsando las teclas Alt + número, o a izquierda y derecha con las teclas Alt + izq. o Alt + der. Si quieres ver los comandos a usar puedes poner en la ventana principal de notificación: /help commands y te dirá todas las opciones que podrás usar de ayuda. Para subir o bajar la pantalla de conversaciones puedes usar las teclas Page up o Page down. No te costará mucho tiempo ir aprendiendo su manejo.

• Si quieres ver vídeos de Youtube puedes usar alguna instancia de Invidious, tal como puse en artículos de mi antiguo Blog. A veces pueden fallar, pero al menos es una ventaja cuando quieres ahorrar recursos. Incluso puedes registrar fácilmente una cuenta y no se enviará información a Youtube de ello ni se sabrá quien eres, no te hace falta email. Te recomiendo la instancia de Snopyta: https://invidious.snopyta.org/

También hay otra manera, tal como escribí en el artículo anterior de este Blog, usando Feeder desde el móvil. O puedes instalar Freetube en tu PC: https://freetubeapp.io/

Incluso si usas GNU/Linux y tienes los reproductores VLC y Mpv, desde la consola puedes poner el enlace de Youtube y previamente a ello el comando, como por ejemplo: vlc enlaceyoutube mpv enlaceyoutube

• Otra opción para usar tu Email es hacerlo a través de un cliente, ya sea para PC o Android. En el caso del PC puedes usar Thunderbird y en el caso de Android puedes usar K-9 o FairEmail. Configuras los servidores de entrada y salida de tu proveedor de internet, tu usuario y contraseña, tus identidades (si procede) y listo.

• En el tema de Navegadores para PC,s te recomiendo usar Firefox, Palemoon o directamente Tor Browser. En los dos primeros puedes instalar alguna extensión para bloquear javascript o desbloquearlo en alguna web determinada. Y en Tor Browser puedes poner el nivel de seguridad al máximo o medio para bloquear scripts e ir aceptando dominios a través de la extensión Noscript. También, a través de la consola o terminal de GNU/Linux puedes usar el navegador links para visitar muchas webs que no necesitan javascript ni donde te sea necesario ver imagenes. Tan solo es poner en el Terminal links paginaweb y empezar a navegar con las teclas de izquierda, derecha, abajo y arriba. Para salir das a la letra q y te sale el menu para terminar.

• También podeis usar buscadores sin necesidad de javascript. Por ejemplo Duckduckgo en su versión Lite: https://duckduckgo.com/lite/

Por lo pronto podeis probar por vosotros mismos el gasto de recursos, la cantidad de publicidad y otras basuras que teneis que aguantar cuando navegais en alguna web con javascript y luego lo que ocurre si lo haces sin javascript.

Si teneis algún medidor de recursos en vuestro PC (en el caso de GNU/Linux podeis usar el Monitor del sistema) comprobareis que a veces compramos un ordenador potente por culpa de lo que nos explotan a través de Internet con lo que comentaba antes, cuando con un ordenador mucho menos potente y barato tendríamos suficiente si no nos hicieran gastar tantos recursos para explotarnos, sacarnos información y rastrearnos con todo tipo de artimañas, aparte de ganar dinero a través de nosotros con la publicidad.

Dejaremos para un próximo artículo qué servicios pueden usarse también de esta manera pero a través de la red Tor, usando el navegador Tor Browser.

En construcción...

No, no voy a criticar a esta red social. Tan solo deciros que llevo tiempo pensando si seguir en ella o no. A veces hay tanto que hacer, que esta red social engancha y uno va dejando mucho atrás. Ya lo intenté anteriormente pero Mastodon me pudo más, hasta que finalmente lo haga cualquier día.

Lo digo porque si algún día no me veis más en Mastodon y algun@ quisiera contactar conmigo pues estaré en mis 2 canales XMPP o en mi email.

Aquí os dejé una guía sencilla de como abrirse una cuenta XMPP y empezar a chatear en canales o individualmente. En la guía os puse mis 2 canales: uno sobre Fediverso e Informática en general, y otro de Amistades. Como vereis, entrar a XMPP es algo tremendamente rápido y simple:

https://write.privacytools.io/c3po/xmpp-para-principiantes

También seguiría escribiendo en este Blog si dejara Mastodon, mucho más de lo normal, si es que os interesa lo que escribo.

En fin, solo eso. Si algún día no me veis es porque me fui, y si me voy será sin avisar.

Much@s me echarán de menos y otr@s ni se darán cuenta de mi ausencia, ley de vida...