guia denunciantes informantes whistleblowers tor tails gpg

Encaramos tiempos excepcionales, donde todo cuanto teníamos asegurado yace en un limbo a merced de un virus. La libertad de movimiento y de reunión, así como el derecho a manifestación, han sido arrancados en pos de la salud pública. El regreso a la normalidad se atisba lejano, pues está condicionado al desarrollo de una vacuna o un tratamiento eficaz que se demorará un tiempo.

Ante este panorama extraordinario, son muchos los que trabajan duramente para frenar al virus: fuerzas de seguridad, sanitarios, farmacéuticos, personal de supermercado, transportistas, y un largo etcétera, luchan cada día en un entorno extremadanamente difícil. No obstante, hallarnos en un marco social insólito no es sinónimo de que se produzcan irregularidades o ilegalidades que sobrepasen el cerco de lo comprensible. Es posible que algunas personas sean testigo de hechos injustos, pero no denuncien por miedo a sufrir represalias laborales, judiciales y/o de otro tipo.

El objetivo de esta guía es proporcionar a los denunciantes/informates/«whistleblowers» unas instrucciones claras sobre cómo revelar de forma segura y anónima información comprometida, utilizando la red de anonimato Tor y la criptografía asimétrica, eliminando metadatos de archivos multimedia, creando una cuenta de correo electrónico con la máxima privacidad posible, etc.

Primeramente, se debe aclarar que para comunicar/filtrar una información sensible no es necesario que se haga desde un ordenador público, como el de una biblioteca. De hecho, puede ser contraproducente, ya que puede tener instalado un «software» de gestión o control demoledor para el anonimato; asimismo, puede tener algún «malware», producto de su uso por parte del público en general. Del mismo modo, se debe evitar utilizar el ordenador del trabajo, pues también puede tener algún programa de control y/o tener ciertas funciones bloqueadas. Por tanto, la mejor opción es hacer uso del ordenador personal, siempre que se sigan las directrices de este artículo.

Por su parte, no es aconsejable conectarse a redes públicas o a redes del entorno (por ejemplo, la de un vecino). Podría pensarse que aumenta el anonimato, pero puede ser pernicioso, por cuanto no se sabe si hay algún «sniffer» activo —esto es, un programa que captura paquetes de datos—. Igualmente, se deben evitar las redes del trabajo. Como consecuencia, la red de mayor confianza es la de nuestro domicilio, pues, convenientemente segurizada, previene que terceras personas puedan obtener información comprometida. Asimismo, las herramientas que se van a explicar ocultan el origen de la conexión.

⚠️ En este artículo se asume que se parte de un ordenador con Windows 10 ⚠️

Índice

Verificación de «hardware» «keylogger»

Antes que nada, debe chequearse físicamente el ordenador desde el que se va a filtrar la información en busca de «keyloggers» por «hardware», que son artefactos capaces de registrar, almacenar y enviar a distancia las pulsaciones del teclado (ilustración 1). Normalmente, se conectan a una unidad USB, por lo que debe comprobarse que no hay ningún elemento extraño en ninguna de ellas.

Ilustración 1 | «Keylogger» USB disponible en Amazon (https://www.amazon.es/AirDrive-Forensic-Keylogger-Pro-Transferencia/dp/B07QHX8L88) | Fuente de la imagen: Amazon

Si se utiliza un ordenador portátil, se ha de tener presente que es posible instalar un «hardware» «keylogger» en el propio teclado del dispositivo. Aunque no es una tarea sencilla, ante cualquier sospecha de manipulación lo aconsejable es utilizar un teclado externo USB/«bluetooth» y/o el teclado en pantalla, que en Windows 10 se activa en «Inicio» ➤ «Configuración» ➤ «Accesibilidad» ➤ «Teclado» ➤ «Usar el teclado en pantalla».

Del mismo modo, se tienen que revisar las ranuras para tarjetas SD y, si hubiera alguna, extraerla, ya que pueden ser utilizadas para efectuar ataques, como se menciona en el artículo «On Hacking MicroSD Cards» (https://www.bunniestudios.com/blog/?p=3554).

Desactivación de la cámara web y el micrófono

Es primordial deshabilitar la cámara web y/o el micrófono del PC. Para ello, una vez iniciado Windows 10 hay que hacer clic derecho en el icono de «Inicio» ➤ «Administrador de dispositivos». Una vez se abra la ventana correspondiente, hay que desplegar «Cámaras» y «Entradas y salidas de audio», hacer clic derecho en la cámara y el micrófono correspondiente y pulsar sobre «Deshabilitar dispositivo» y «Sí» (ilustración 2). Para activarlos nuevamente, se deben seguir los mismos pasos, seleccionando «Habilitar dispositivo».

Ilustración 2 | Webcam y micrófono deshabilitado desde el Administrador de dispositivos | Fuente de la imagen: captura de pantalla propia

Adicionalmente, la cámara web debe cubrirse físicamente, utilizando para ello cinta aislante o algún elemento similar.

Desactivación de programas de inicio

Cuando el sistema operativo se inicia, determinados programas arrancan automáticamente y algunos pueden ser maliciosos o representar un riesgo para el anonimato. Por ello, cuanto menos «software» se inicie por sí solo, mejor. Para configurar este aspecto, debe hacerse clic derecho en «Inicio» ➤ «Administrador de tareas» y seleccionar la pestaña «Inicio». A continuación, se tiene que hacer clic derecho en los programas que se deseen desactivar y pulsar sobre «Deshabilitar» (ilustración 3). Puede haber «software» relacionado con el audio o los gráficos que no se quiera anular; no obstante, si se comete algún error este es fácilmente reversible: solo hay que realizar los mismos pasos, escogiendo «Habilitar» en vez de «Deshabilitar».

Ilustración 3 | Deshabilitación de «μTorrent Web» durante el inicio del sistema | Fuente de la imagen: captura de pantalla propia

Instalación de actualizaciones y búsqueda de amenazas

Es fundamental revisar si el sistema cuenta con las últimas actualizaciones para, en caso contrario, instalarlas. La importancia radica en que las versiones más actuales suelen arreglar vulnerabilidades y previenen ciertos ataques. Para ello, se debe clicar en «Inicio» ➤ «Configuración» —cuyo símbolo es una rueda dentada— ➤ «Actualización y seguridad» ➤ «Windows Update». A partir de ahí, hay varios escenarios posibles: que no sea necesario instalar nada o que el sistema muestre el botón «Buscar actualizaciones», «Descargar» o «Reiniciar ahora». Sea cual fuere, se deben seguir las indicaciones pertinentes.

Posteriormente, se debe revisar el ordenador en busca de «malware». Windows 10 incorpora un ecosistema de seguridad que, en principio, es suficiente. Para acceder a él, se ha de hacer clic en «Inicio» ➤ «Configuración» ➤ «Actualización y seguridad» ➤ «Seguridad de Windows» ➤ «Abrir Seguridad de Windows». Debe comprobarse que los módulos no presentan advertencias serias. Adicionalmente, si se desea una protección más completa, puede instalarse algún antivirus. Los hay gratuitos, como Kaspersky Security Cloud – Free (https://www.kaspersky.es/free-cloud-antivirus) o Avast Free Antivirus (https://www.avast.com/es-es/free-antivirus-download), aunque conviene leer sus políticas de privacidad para conocer qué datos se van a recopilar y cómo se van a procesar.

Desactivación de «software» de copia de seguridad automática en la nube (Google Drive, Dropbox, iCloud…)

Las aplicaciones de escritorio de Google Drive, Dropbox, iCloud y similares pueden subir a la nube información sensible automáticamente. Para evitarlo, tiene que pausarse la sincronización o desactivarse por completo. En los siguientes enlaces se explica cómo hacerlo:

• Cómo pausar o desactivar la sincronización en Google Drive: https://support.google.com/drive/answer/2375081.

• Cómo pausar o desactivar la sincronización en Dropbox: https://help.dropbox.com/es-es/installs-integrations/sync-uploads/pause-resume.

• Cómo desactivar o desinstalar iCloud: https://support.apple.com/es-es/HT201391.

Para mayor protección, se debe revisar la cuenta asociada a estos servicios para garantizar que ningún archivo delicado se ha subido a la nube. Para ello, se ha de iniciar sesión a través del enlace pertinente: 

• Google Drive: https://www.google.com/drive/.

• Dropbox: https://www.dropbox.com/.

• iCloud: https://www.icloud.com/.

Instalación de Firefox para escritorio

Para los pasos siguientes es recomendable utilizar el navegador Firefox, debido a que la compañía que lo desarrolla —Mozilla— es un referente en lo que a privacidad respecta. Por tanto, hay que dirigirse a https://www.mozilla.org/, clicar en «Descargar Firefox», abrir el ejecutable y proceder a su instalación. Al iniciarse, preguntará si se quiere establecer como navegador predeterminado, a lo que se debe escoger lo que se considere oportuno.

Segurización de la red wifi

Antes de enviar información comprometida a través de internet es primordial segurizar la red doméstica, con el fin de disminuir las probabilidades de sufrir ataques «man-in-the-middle». En principio, se recomienda utilizar un cable ethernet conectado directamente del «router» al ordenador y no usar wifi, pues comprometer una conexión vía cable suele requerir una manipulación física y, por tanto, es más complicado. No obstante, se puede lograr un nivel de protección razonable en cuanto al wifi si:

• Se modifica el nombre de la red inalámbrica (SSID), pues el predeterminado puede revelar información útil para un atacante.

• Se cambia la contraseña.

• Se desactiva el estándar WPS.

A continuación, se expone un ejemplo de estos tres pasos usando para ello un «router» Smart wifi de Movistar.

⚠️ Téngase presente que las instrucciones varían dependiendo del «router», por lo que si no se sabe cómo proceder lo aconsejable es leer la documentación del modelo que se tenga. Asimismo, recuérdese que tras cambiar el SSID y la contraseña se deberán reconectar los dispositivos que estaban vinculados a la red inalámbrica, incluyendo ordenadores, tabletas, «smartphones», «smart TVs» y altavoces inteligentes ⚠️

Primeramente, se debe mirar la pegatina que, usualmente, hay debajo del «router», pues ahí se encuentran los datos de acceso a la configuración del mismo; esto es, una dirección IP —en este ejemplo, 192.168.1.1— y una contraseña. Una vez introducida la IP en la barra de direcciones del navegador aparecerá una pantalla (ilustración 4) donde se exige la contraseña correspondiente.

Ilustración 4 | Inicio de sesión a la configuración del «router» | Fuente de la imagen: captura de pantalla propia

Una vez introducidas las credenciales, se mostrará una página principal similar a la de la ilustración 5. Si Firefox pregunta si se quiere «guardar esta cuenta», es aconsejable responder que no.  

Ilustración 5 | Página principal del «router» de fibra óptica de Movistar | Fuente de la imagen: captura de pantalla propia

En este punto hay que ser cauteloso, pues pueden producirse engaños. Por ejemplo, atendiendo a la primera opción de la ilustración 5, aparentemente es posible cambiar el nombre del wifi. Sin embargo, es algo engañoso, ya que este «router» tiene dos bandas, 2.4 GHz y 5 GHz, y únicamente se modificaría el nombre de la primera. Por tanto, es necesario acceder a la configuración avanzada. No obstante, antes de pasar a este aspecto, nótese que se puede desactivar la red inalámbrica eligiendo «Desactivado» en «Estado Red Inalámbrica», lo cual es aconsejable si la conexión a internet es vía cable, pues de este modo se eliminan las vulnerabilidades propias del wifi.

Para entrar en las opciones avanzadas se debe clicar en «Menú» ➤ «Configuración avanzada» ➤ «Aceptar», aunque también se puede acceder por medio del enlace http://192.168.1.1/main.html. Independientemente del método escogido, aparecerá la ilustración 6.

Ilustración 6 | Configuración avanzada del «router» Smart wifi de Movistar | Fuente de la imagen: captura de pantalla propia

Para cambiar el SSID de la banda 2.4 GHz, en el menú de la izquierda se ha de pulsar en «Wireless» ➤ «Basic» (http://192.168.1.1/wlcfg.html), lo que llevará a la ilustración 7. Tras escoger un nombre neutral —evítese cualquier tipo de información personal o de localización, como el apellido de familia—, púlsese en «Apply/Save».

Ilustración 7 | Opción para cambiar el SSID de la banda 2.4 GHz | Fuente de la imagen: captura de pantalla propia

Posteriormente, se debe seleccionar «Wireless» ➤ «Security» (http://192.168.1.1/wlsecurity.html), donde es posible desactivar el estándar WPS escogiendo «Disabled» en «WPS Setup», así como modificar la contraseña del wifi desde «WPA/WAPI passphrase»(ilustración 8). Es sumamente importante elegir una compleja, que intercale letras mayúsculas y minúsculas, números y símbolos. Una vez escrita, se han de guardar los cambios pulsando en «Apply/Save». A continuación, es recomendable modificar de nuevo la contraseña, pues si había algún atacante conectado a la red podría haber interceptado el cambio y reconectarse; sin embargo, una nueva modificación disminuye este riesgo.  

Ilustración 8 | Desactivación de WPS y cambio de contraseña de la banda 2.4 GHz | Fuente de la imagen: captura de pantalla propia

Ahora, se ha de realizar lo mismo para la banda 5 GHz. Para ello, ha de seleccionarse «Wireless 5 GHz» ➤ «Basic» (http://192.168.1.1/wlextcfg.html) y cambiar el SSID, teniendo en cuenta que se debe establecer un nombre diferente al de la banda 2.4 GHz. Por su parte, desde «WPA/WAPI passphrase» se puede implementar una nueva contraseña; y, una vez establecida, volverla a cambiar para evitar que posibles atacantes puedan reconectarse (ilustración 9).

Ilustración 9 | Cambio de SSID y de contraseña de la banda 5 GHz| Fuente de la imagen: captura de pantalla propia

Luego, en «Wireless 5 GHz» ➤ «WPS» (http://192.168.1.1/wlextwps.html) se tiene que desactivar el estándar WPS, seleccionando «Disabled» en «WPS Setup».

Por último, se debe comprobar qué dispositivos están conectados a la red local para descartar la presencia de desconocidos. En principio, no debería haber ninguno sospechoso tras el cambio de la contraseña, pero es mejor asegurarse. El «router» Smart wifi de Movistar ofrece un mapa de la red local muy útil para este cometido. Con el fin de visualizarlo, hay que abandonar la configuración avanzada, mediante el botón «Logout» —situado arriba a la derecha—, volver a iniciar sesión y dirigirse a «Menú» ➤ «Red local» ➤ «Mapa de red local» (http://192.168.1.1/networkmap.html). En caso de apreciar algún elemento extraño, desconéctense los «gadgets» que pudieran estar enlazados y compruébese si la incógnita se ha resuelto. Cuando no haya nada excepcional significará que la red doméstica tiene una protección razonable.

Descarga y grabación de Tails en una memoria USB

No se recomienda el envío de información comprometida desde Windows 10 al no estar enfocado a la privacidad y el anonimato. Tails es la solución al respecto, pues es un sistema operativo configurado para no dejar trazas y, además, cuenta con diversas herramientas que garantizan la intimidad. Asimismo, es «live», lo que significa que arranca desde una memoria USB, por lo que no es necesario formatear el disco duro del ordenador donde se va a instalar.

Para descargar el archivo «.img», necesario para la ejecución de este sistema, hay que dirigirse al sitio web https://tails.boum.org/index.es.html, preferiblemente mediante el navegador Firefox Desktop con la función «navegación privada» activada («Menú» ➤ «Nueva ventana privada» o Control + Mayúscula + P). Es recomendable asegurarse de que el dominio que aparece en la barra de direcciones es el mismo que el citado; de esta manera, se reduce el riesgo de sufrir «phishing». Tras este chequeo, clíquese en «Instala Tail». La página preguntará desde qué sistema operativo se quiere realizar la instalación; en esta guía se hará desde Windows. Por último, se debe seleccionar «Instalar desde Windows» ➤ «¡Vamos!» ➤ «Descarga la imagen USB».

Cuando el «.img» se haya guardado, se ha de instalar la extensión «Tails Verification», la cual es importante porque asegura la integridad del archivo. Para ello, se debe pulsar el botón «Instala la extensión Tails Verification» (ilustración 10) y seguir las instrucciones pertinentes, teniendo en cuenta que una vez se haya añadido es preciso remarcar la casilla «Permitir que esta extensión se ejecute en ventanas privadas».

Ilustración 10 | Botón de instalación de «Tails Verification» | Fuente de la imagen: captura de pantalla propia

Posteriormente, se debe clicar en el botón «Verifica Tails X.X» —siendo «X.X» la versión del sistema operativo— y seleccionar el «.img» descargado. Tras un tiempo, la web debería devolver el mensaje «¡Verificación exitosa!» (ilustración 11).

Ilustración 11 | Verificación exitosa del «.img» de Tails | Fuente de la imagen: captura de pantalla propia

Posteriormente, hay que quemar el «.img» en una memoria USB (se recomienda que sea de, al menos, 8 GB). Lo ideal es que se trate de un pendrive virgen, recién comprado en un distribuidor de confianza. Asimismo, se ha de tener en cuenta que todo lo que haya en él será borrado.

Una vez se haya introducido el dispositivo en el puerto USB, hay que dirigirse a «Equipo», seleccionarlo con el botón derecho del ratón, escoger «Formatear…», elegir el sistema de archivos «FAT32», desactivar «Formato rápido» —ralentizará el proceso, pero se buscarán sectores defectuosos— y pulsar «Iniciar» y «Aceptar». Este paso tiene que realizarse incluso si el pendrive es virgen, ante el riesgo —bajo, pero no inexistente— de que contenga un malware de fábrica.

Cuando termine, hay que descargar la herramienta Etcher desde la web oficial (https://www.balena.io/etcher), mediante el botón «Download for Windows (x86|x64)», instalarla y ejecutarla. Entonces, se debe seleccionar el «.img» de Tails, el pendrive donde se quemará y clicar en «Flash!» (ilustración 12).

Ilustración 12 | Etcher permite grabar el «.img» en el pendrive | Fuente de la imagen: captura de pantalla propia

Durante el proceso, puede aparecer alguna ventana solicitando algún permiso, que se debe aceptar. Cuando finalice, se puede cerrar el programa. Sin extraer el pendrive, apáguese el ordenador y enciéndase de nuevo. Puede ocurrir que Tails se inicie o no se inicie; dependiendo de la situación, léase la sección correspondiente.

Arranque de Tails

Tails no se inicia; en su lugar se inicia Windows

Para solucionar esta cuestión se han de modificar las opciones de inicio de la BIOS, un «firmware» preinstalado en la placa base. Adicionalmente, quizás se deba cambiar el modo «UEFI» por «Legacy» para desactivar «Secure Boot», que, en ocasiones, impide el arranque de distribuciones basadas en Linux.

⚠️ Los pasos a seguir difieren en función de la placa madre. Con todo, son similares en bastantes casos, por lo que es posible que funcionen los expuestos en esta guía. Si no es así, búsquese información sobre el ordenador que se está utilizando, especialmente el modelo de la placa base y BIOS, para averiguar cómo acceder a ella ⚠️

Primeramente, hay que apagar el ordenador, encenderlo y determinar si en el monitor se indica alguna tecla para entrar en la BIOS, en cuyo caso debe pulsarse. En caso contrario, usualmente es preciso pulsar repetidamente la tecla «Suprimir», alguna de función («F1», «F2», «F3», etc.), «Eliminar»/«Delete» o «Escape». Pruébese hasta que se acceda a la BIOS, como muestra la ilustración 13.

Ilustración 13 | Pantalla de inicio de la BIOS. La apariencia puede variar significativamente | Fuente de la imagen: fotografía propia

Es común que en la parte superior haya un menú de navegación. En este caso, se debe seleccionar la pestaña «Boot» (arranque), como se aprecia en la ilustración 14.

Ilustración 14 | Pestaña «Boot» de la BIOS | Fuente de la imagen: captura de pantalla propia

Seguidamente, hay que cambiar el orden de prioridad de inicio, estableciendo las unidades USB como primeras en la lista. A continuación, se debe ir a la pestaña «Exit» y salir de la BIOS guardando los cambios. En caso de que se aparezca SYSLINUX (ilustración 15), escójase la opción «Tails» y aváncese a la sección «Configuración inicial de Tails».

Ilustración 15 | Gestor de arranque SYSLINUX | Fuente de la imagen: fotografía propia

Si no se ha conseguido iniciar el sistema, es necesario desactivar «Secure Boot». Para ello, se tiene que reiniciar el ordenador, volver a ingresar en la BIOS, seleccionar la opción «Boot», cambiar «UEFI» por «Legacy» y salir guardando los cambios (ilustración 16). Tras unos instantes, debería aparecer el gestor de arranque SYSLINUX, donde se escogerá la opción «Tails» (ilustración 15).

Ilustración 16 | BIOS con «Secure Boot» desactivado | Fuente de la imagen: captura de pantalla propia

Tails se inicia

Si tras apagar y encender el ordenador aparece SYSLINUX (ilustración 15), únicamente se tiene que seleccionar «Tails» y proseguir con el siguiente apartado de esta guía.

Configuración inicial de Tails

Cuando Tails se inicia, muestra una ventana con varias opciones titulada «Welcome to Tails!» (ilustración 17). Es recomendable no modificar los parámetros por defecto de «Language & Region», ya que puede generarse alguna traza que represente un potencial peligro para el anonimato.

Ilustración 17 | Ventana «Welcome to Tails!» | Fuente de la imagen: captura de pantalla propia

Por su parte, se debe hacer clic en «+» para abrir el menú «Additional Settings» (ilustración 18) y comprobar que «MAC Address Spoofing» está en «On (default)», pues de esta forma el sistema encubre la dirección MAC del dispositivo, aumentando el anonimato.

Ilustración 18 | Menú «Additional Settings» | Fuente de la imagen: captura de pantalla propia

Posteriormente, se ha de clicar en «Start Tails». Una vez cargue el escritorio, si la conexión a internet es vía wifi debe seleccionarse la red correspondiente e introducir su contraseña. Para ello, hay que pulsar en la flecha situada en la parte superior derecha («⯆») ➤ «Wi-Fi Not Connected» ➤ «Select Network». Finalmente, hay esperar un cierto tiempo, hasta que aparezca el mensaje «Tor is ready. You can now Access the Internet» (ilustración 19).

Ilustración 19 | Mensaje «Tor is ready. You can now Access the Internet» | Fuente de la imagen: captura de pantalla propia

Tor es una red de anonimato compuesta por miles de nodos ubicados en múltiples países alrededor de mundo. Tor Browser, por su parte, es el navegador recomendado para «surcar» esta red. Su funcionamiento es complejo, pero se resume en que las conexiones de los clientes «rebotan» a través de los nodos, lo que asegura el anonimato. Para abrir Tor Browser hay que hacer clic en «Applications» ➤ «Internet» ➤ «Tor Browser», teniendo presente que es mejor no cambiar el tamaño de la ventana —maximizándola, por ejemplo—, pues puede generar huellas dañinas para la privacidad.

Una vez se abra Tor Browser y se cargue la web de Tails, se tiene que clicar en «Tor check» (ilustración 20), que debería mostrar el mensaje «Congratulations. This browser is configured to use Tor» (ilustración 21).

Ilustración 20 | Web de Tails con el botón «Tor check» | Fuente de la imagen: captura de pantalla propia
Ilustración 21 | Verificación satisfactoria del funcionamiento de Tor | Fuente de la imagen: captura de pantalla propia

A partir de este momento, Tails está operativo y listo para funcionar. Con todo, si se quiere utilizar el teclado en pantalla puede activarse desde el «menú de acceso universal», localizado en la parte superior derecha, ➤ «Screen Keyboard» (ilustración 22). El teclado aparecerá automáticamente cuando el sistema detecte un «software» de escritura o un cuadro de texto.

Ilustración 22 | Activación del teclado en pantalla en Tails | Fuente de la imagen: captura de pantalla propia

Dependiendo de la información que se quiera enviar se deben utilizar unas herramientas u otras, según se explica en los siguientes apartados.

Envío de texto anónimamente sin desear una respuesta

Si el objetivo es enviar un correo electrónico anónimo explicando cierta información, y no se desea recibir una respuesta por parte del destinatario, los pasos a seguir son los siguientes:

Redacción del texto.

Lo más seguro es redactarlo en la aplicación «Text Editor», disponible en «Applications» ➤ «Accessories». No se deben utilizar acentos ni caracteres no latinos, pues el cifrado puede hacer que no se muestren correctamente.  

Encriptado del texto mediante criptografía asimétrica

Importación de la clave pública del destinatario

El cifrado asimétrico logra que el texto que se ha escrito sea ilegible para todo aquel que no tenga una determinada clave privada —en este caso, el poseedor de la misma es el destinatario—. Primeramente, hay que conseguir la clave públicade aquel a quien se le desea enviar la información sensible. Generalmente, puede encontrarse en un servidor de claves, como https://keyserver.ubuntu.com/. Tras acceder a él con Tor Browser, hay que buscar términos como el nombre del destinatario, su apellido, su pseudónimo… Por ejemplo, suponiendo que Ramón Alarcón Sánchez sea el receptor deseado, hay que escribir su nombre y pulsar en «Search Key». Como resultado, aparecerán varias claves, relacionadas con distintos correos electrónicos (ilustración 23).

Ilustración 23 | Claves públicas vinculadas a Ramón Alarcón Sánchez | Fuente de la imagen: captura de pantalla propia

Esto significa que el destinatario admite recibir información en diferentes correos y, en función de a cuál se envíe, se ha de escoger una clave y otra. En esta guía se tomará de ejemplo la asociada al correo ramonalarconsanchez@periodismoactual.com. Una vez se haya seleccionado, aparecerá una página con el bloque de la clave (ilustración 24).

Ilustración 24 | Bloque de la clave pública vinculada al correo electrónico ramonalarconsanchez@periodismoactual.com | Fuente de la imagen: captura de pantalla propia

Ahora bien, ¿cómo se sabe si la clave corresponde a quien dice pertenecer? Realmente, cualquiera puede crear un par de claves público/privada y hacerse pasar por otra persona. Por ello, es aconsejable revisar las redes sociales del sujeto a quien se quiere contactar, así como su web personal —si la tuviera—, y ver si hace referencia a alguna clave pública, para comprobar su relación. Por ejemplo, en este caso, Ramón Alarcón Sánchez tiene un perfil de Twitter personal que hace referencia a un sitio web (ilustración 25).

Ilustración 25 | Perfil de Twitter de Ramón Alarcón Sánchez | Fuente de la imagen: captura de pantalla propia

Si se accede a la sección «Contacto» de este sitio web (https://periodismoactual.com/contacto), se muestran varios correos asociados a distintas claves públicas (ilustración 26), y si se compara la que se ha conseguido en el servidor de claves con la anunciada en la web, se aprecia que es la misma. Consecuentemente, hay una relación entre la clave pública y la persona a quien dice pertenecer.

Ilustración 26 | Canales de contacto anunciados en https://periodismoactual.com/contacto | Fuente de la imagen: captura de pantalla propia

Tras esta verificación de la identidad, debe copiarse todo el bloque de la clave, incluyendo «—–BEGIN PGP PUBLIC KEY BLOCK—–» y «—–END PGP PUBLIC KEY BLOCK—–». A continuación, hay que cerrar Tor Browser y abrir un nuevo documento de Text Editor, pegar en él la clave recién copiada y guardarla con extensión «.asc» (ilustración 27).

Ilustración 27 | Guardado de la clave pública del destinatario | Fuente de la imagen: captura de pantalla propia

Ahora, hay que pulsar con el botón derecho del ratón sobre este archivo recién guardado y elegir «Open». Seguidamente, el sistema indicará que la clave se ha importado (ilustración 28).

Ilustración 28 | Importación de la clave pública del destinatario | Fuente de la imagen: captura de pantalla propia
Cifrado del texto con «OpenPGP Applet»

Debe copiarse el texto para enviar, redactado previamente en Text Editor, pulsar sobre el icono del portapapeles, ubicado en la parte superior derecha de la pantalla y cuyo nombre oficial es «OpenPGP Applet», escoger «Sign/Encrypt Clipboard with Public Keys», elegir la que se acaba de importar, activar la casilla «Hide recipients» —pues aumenta la privacidad— y clicar sobre «OK» (ilustraciones 29 y 30).

Ilustración 29 | Opción «Sign/Encrypt Clipboard with Public Keys» | Fuente de la imagen: captura de pantalla propia
Ilustración 30 | Para encriptar el texto hay que elegir la clave pública del destinatario, previamente importada, activar «Hide recipients» y clicar en «OK» | Fuente de la imagen: captura de pantalla propia

El sistema preguntará si se confía en dicha clave pública, a lo que se debe responder «Yes» —pues anteriormente se ha realizado un ejercicio de verificación, revisando el perfil de Twitter y la web vinculada al receptor—. Por fin, ya se habría cifrado el texto con criptografía de clave pública. Con todo, aún queda enviarlo, y para ello se tiene que utilizar un proveedor de correo enfocado a la privacidad, como ProtonMail.

Creación de una cuenta en ProtonMail

ProtonMail fue fundado por un equipo vinculado al Centro Europeo para la Investigación Nuclear (CERN), y es uno de los proveedores de correo más confiables, siempre que se combine con Tails, Tor y la criptografía asimétrica. Para utilizarlo, hay que acceder a https://protonirockerxow.onion/ mediante Tor Browser, clicar en «SIGN UP FOR FREE», escoger la opción «FREE» y rellenar el formulario mostrado, con las siguientes recomendaciones:

«Username and domain» (Nombre de usuario y dominio). Nunca se ha de revelar ningún dato potencialmente rastreable en el nombre de usuario; incluso es recomendable que, de escribir alguna palabra, se opte por el inglés —«lingua franca»— en vez del español. Por su parte, el dominio tiene que ser «protonmail.ch» en vez de «protonmail.com», pues en un caso extremo, pero posible, las autoridades estadounidenses podrían confiscar el dominio protonmail.com, como se advierte en https://protonmail.com/support/knowledge-base/what-is-the-difference-between-protonmail-com-and-protonmail-ch/.

«Password» (Contraseña). Cuanto más compleja, mejor. Por tanto, utilícense letras mayúsculas y minúsculas, números y símbolos.

«Recovery email (optional)» [Correo electrónico de recuperación (opcional)]. Es aconsejable no precisar ninguno para evitar dejar trazas. El inconveniente es que no se podrá recuperar la contraseña en caso de olvidarla o sufrir un robot de la cuenta, de ahí que se tenga que optar por una muy robusta, pero al mismo tiempo recordable.

El resultado final debe ser algo así (ilustración 31):

Ilustración 31 | Formulario de creación de una cuenta en ProtonMail | Fuente de la imagen: captura de pantalla propia

Tras pulsar en «CREATE ACCOUNT», ProtonMail preguntará si se está seguro de no establecer un correo electrónico de recuperación, a lo que se debe responder «CONFIRM». En este punto puede surgir un grave problema: que la página requiera un SMS o una donación como método «antispam» (ilustración 32), pero ambas opciones destruirían el anonimato.

Ilustración 32 | ProtonMail puede exigir una verificación por SMS o donación | Fuente de la imagen: captura de pantalla propia

En este caso, no queda más remedio que comenzar desde el principio, hasta conseguir que no se requiera ningún dato —lo cual es improbable— o la página permita hacer la verificación mediante un correo electrónico (ilustración 33). Para ello, se ha de pulsar el botón de menú de Tor Browser, situado en la parte superior derecha («☰»), y escoger «New Tor Circuit for this Site», o utilizar la combinación de teclas Control + Mayúscula + L. Se volverá a la pantalla «CREATE YOUR ACCOUNT», donde se tiene que reescribir el nombre de usuario (es recomendable elegir uno diferente al anterior), la contraseña (es aconsejable que también sea distinta) y pulsar de nuevo en «CREATE ACCOUNT».

Ilustración 33 | El formulario de creación de la cuenta debe rellenarse tantas veces sea necesario como para que la página permita verificar la cuenta mediante un correo electrónico | Fuente de la imagen: captura de pantalla propia

Una vez aparezca la verificación por «Email», se debe abrir una nueva ventana de Tor Browser, en «☰» ➤ «New Window», y dirigirse a Guerrilla Mail on Tor (grrmailb3fxpjbwm.onion), un proveedor de correo temporal. Nada más acceder, Guerrilla Mail on Tor proporciona un correo electrónico (por ejemplo, «dtycopht@sharklasers.com»). Sin embargo, es preciso modificar el ID (lo que antecede a «@sharklasers.com»), puesto que, al ser una cuenta sin contraseña, si un usuario escribiera el mismo ID podría ver los mensajes recibidos. Por tanto, hay que establecer uno compuesto por múltiples caracteres aleatorios (ilustración 34).

Ilustración 34 | Correo electrónico temporal de Guerrilla Mail on Tor compuesto por numerosos caracteres aleatorios | Fuente de la imagen: captura de pantalla propia

Seguidamente, hay que copiar la dirección de la casilla «Scrambled Address», ya que así se evita revelar el ID original, y pegarla en el recuadro «Email verification» de ProtonMail, que responderá diciendo que el código de verificación ha sido enviado (ilustración 35). Si aparece una advertencia manifestando que el dominio está bloqueado, se ha de regresar a Guerrilla Mail on Tor, cambiar «@sharklasers.com» por otra alternativa y probar hasta que dé resultado.

Ilustración 35 | Tras introducir el correo electrónico temporal de Guerrilla Mail on Tor, ProtonMail debería mostrar este mensaje, indicando que el código de verificación ha sido enviado | Fuente de la imagen: captura de pantalla propia

Tras regresar a la bandeja de entrada de Guerrilla Mail on Tor, hay que esperar un tiempo hasta que se reciba el mensaje con el código (ilustración 36), que hay que copiar y pegar en la casilla «Verification code» de ProtonMail.

Ilustración 36 | Código de verificación de ProtonMail recibido en Guerrilla Mail on Tor | Fuente de la imagen: captura de pantalla propia

Una vez pegado dicho código, se tiene que clicar en «COMPLETE SETUP» y, si todo ha ido bien, ProtonMail creará la cuenta. A continuación, mostrará una ventana, titulada «Welcome to ProntonMail» donde preguntará qué «display name» utilizar, que será el que verá el destinatario cuando le llegue el mensaje. Por defecto, se usa el nombre de usuario estipulado previamente, pero puede modificarse.

Posteriormente, hay que regresar a Guerrilla Mail on Tor, seleccionar el mensaje del código de verificación de ProtonMail y eliminarlo. Una vez hecho esto, hay que pulsar el botón «Forget Me» (ilustración 37) y cerrar la ventana de Tor Browser.

Ilustración 37 | Tras pulsar sobre «Forget Me», Guerrilla Mail on Tor informa de que la dirección de correo ha sido «olvidada» | Fuente de la imagen: captura de pantalla propia

Finalmente, ya se tiene una cuenta de correo en ProtonMail con un anonimato notable. Para mandar el mensaje deseado, se ha de clicar en «COMPOSE», borrar la firma «Sent with ProtonMail Secure Mail» y pegar el texto cifrado. En «Recipients» se debe establecer el correo del destinatario (recuérdese que, debido a la configuración del teclado, «@» se escribe con Mayúscula + 2); asimismo, puede agregarse un «Asunto» en «Subject». Sin embargo, nunca hay que poner ningún elemento rastreable. En suma, se tendrá algo similar a la ilustración 38, por lo que solo queda pulsar en «SEND».

Ilustración 38 | Antes de enviar un correo mediante ProtonMail se debe tener algo parecido a lo que muestra esta captura | Fuente de la imagen: captura de pantalla propia

Para mayor seguridad, es preciso eliminar el mensaje enviado. Para ello, en el menú de la izquierda púlsese en «Sent», selecciónese el mensaje y escójase la opción del cubo de basura («Move to trash»). A continuación, hágase clic en «Trash», selecciónese el mensaje, clíquese en «More», «Empty trash» y «CONFIRM». Del mismo modo, revísese de nuevo la bandeja de entrada («Inbox») por si se ha recibido algún mensaje automático con trazas rastreables y, de darse el caso, elimínese.

Adicionalmente, para lograr una privacidad superior, se puede borrar la cuenta de correo haciendo clic en «Settings», bajando hasta el final de la página y pulsando sobre «DELETE YOUR ACCOUNT» y «DELETE» (ilustración 39).

Ilustración 39 | Ventana que aparece antes de eliminar una cuenta de ProtonMail | Fuente de la imagen: captura de pantalla propia

Envío de archivos multimedia (audio, imágenes, vídeos) anónimamente sin desear una respuesta

Transferir archivos desde un soporte a Tails

Primeramente, hay que pasar los archivos del soporte donde se encuentren a Tails, recordando que este sistema operativo, por defecto, los elimina cuando se apaga o reinicia (a no ser que configure para que no lo haga, como se explica en el apartado «Activación del volumen persistente cifrado de Tails»). Dependiendo del soporte, se han de seguir estas instrucciones:

iPhone

Antes que nada, es recomendable tapar tanto la cámara trasera como la delantera. Seguidamente, hay que desactivar el wifi y los datos móviles y habilitar el modo avión. A continuación, se debe enchufar el «smartphone» al ordenador mediante el cable USB correspondiente; al instante, el iPhone preguntará si se confía en el PC, a lo que hay que responder afirmativamente e introducir la contraseña pertinente. Posteriormente, en Tails se debe clicar en «Aplications» ➤ «Accesories» ➤ «Files». En la parte izquierda debería aparecer el símbolo de un móvil acompañado de «Documents on iPhone», el cual debe pulsarse (ilustración 40).

Ilustración 40 | Símbolo de un móvil acompañado de «Documents on iPhone» | Fuente de la imagen: captura de pantalla propia

A continuación, se tiene que clicar en «Other Locations» y en la sección «Networks» debería aparecer el iPhone (ilustración 41).

Ilustración 41 | iPhone en «Networks» | Fuente de la imagen: captura de pantalla propia

Si se hace doble clic sobre dicha opción, deberían aparecer varios iconos de aplicaciones —que en realidad son carpetas—, como en la ilustración 42.

Ilustración 42 | Carpetas de aplicaciones del iPhone | Fuente de la imagen: captura de pantalla propia

Ahora, desde el iPhone se tiene que copiar el archivo que se quiere transmitir a una de estas carpetas para poder pasarlo al ordenador. Suponiendo que se trata de una imagen, se ha de entrar en «Fotos», pulsar sobre la fotografía en cuestión hasta que aparezca un menú, elegir «Compartir» ➤ «Guardar en Archivos» ➤ «En mi iPhone» y escoger una de estas carpetas, como por ejemplo «iMovie». Por último, se ha de pulsar en «Guardar». Una vez hecho esto, si se abre la carpeta «iMovie» en Tails debería aparecer la imagen (ilustración 43). Por último, se ha de cortar y pegar en «Desktop» o en cualquier otra ubicación.

Ilustración 43 | Archivo «.png» en la carpeta «iMovie» | Fuente de la imagen: captura de pantalla propia
Ocultar una foto o vídeo en el iPhone

Tras mover la imagen o el vídeo al ordenador, es recomendable borrarlo del iPhone. Sin embargo, si se desea mantener en el dispositivo puede ocultarse de la galería general. Para ello, hay que entrar en «Fotos», pulsar sobre el archivo en cuestión y escoger «Compartir» ➤ «Ocultar» ➤ «Ocultar foto» u «Ocultar vídeo». Para acceder a él, se ha de abrir «Fotos», pulsar en «Álbumes», desplazarse hasta «Otros álbumes» y entrar en «Oculto». No obstante, podría ser contraproducente, pues un tercero que conozca esta característica podría examinar directamente el álbum oculto en busca de material confidencial.

iPad

Es posible que para mover un archivo del iPad al ordenador las instrucciones a seguir sean las mismas que las del iPhone. No obstante, pueden variar en función del dispositivo y la versión de iOS. Verbigracia, para la elaboración de esta guía se conectó un iPad 2 con iOS 9.3.5 al ordenador —previamente se habían tapado las cámaras, desactivado el wifi y los datos móviles y habilitado el modo avión—; tras otorgar la confianza necesaria, Tails mostró dos elementos: un directorio llamado «iPad», desde donde se tenía acceso a las fotos y vídeos del dispositivo, y otro directorio, denominado «Documents», que estaba vacío (ilustraciones 44 y 45).

Ilustración 44 | Directorio «iPad» | Fuente de la imagen: captura de pantalla propia
Ilustración 45 | Directorio «Documents» | Fuente de la imagen: captura de pantalla propia

Android

En primer lugar, es preciso tapar las cámaras del dispositivo Android —si las hubiera—, desactivar el wifi y los datos móviles y habilitar el modo avión. Tras conectarlo al ordenador vía cable USB, hay que dirigirse a «Ajustes», «Dispositivos conectados», «USB» y seleccionar «Transferir archivos» (ilustración 46).

Ilustración 46 | Menú «Utilizar USB para» de Android | Fuente de la imagen: captura de pantalla propia

Posteriormente, en Tails hay que abrir «Files» (en «Aplications» ➤ «Accesories»), pulsar en el icono del dispositivo Android, que debería aparecer en el panel de navegación izquierdo, y buscar en el «almacenamiento interno compartido» el archivo que se quiere mover al ordenador (ilustración 47).

Ilustración 47 | Almacenamiento del dispositivo Android | Fuente de la imagen: captura de pantalla propia

Memoria USB

En principio, cuando se introduce un pendrive en el ordenador Tails lo reconoce al momento, apariendo en el menú izquierdo de «Files» (en «Aplications» ➤ «Accesories»), como muestra la ilustración 48.

Ilustración 48 | Acceso a la memoria USB desde el panel de navegación de «Files» | Fuente de la imagen: captura de pantalla propia

Simplemente hay que pulsar en este acceso para visualizar el contenido y traspasarlo a «Desktop» u otra ubicación del sistema, copiándolo o cortándolo.

Adicionalmente, se puede cifrar la unidad USB, de tal manera que sea necesario introducir una contraseña antes de entrar al contenido. Sin embargo, hay algunos aspectos a tener en cuenta. El primero es que se requiere formatear el dispositivo, por lo que todo cuanto haya en él debe traspasarse a Tails para, posteriormente, retransferirlo (en caso contrario, se perderá). Asimismo, la herramienta a utilizar, llamada LUKS, solo es compatible con Linux —por lo que podría decirse que el pendrive queda «inhabilitado» para otros sistemas operativos—. Por último, el proceso puede dar lugar a errores. Si se desea seguir adelante con el cifrado de la unidad, véase «Cómo cifrar un pendrive mediante LUKS».

Una vez en el ordenador, los archivos de audio pueden editarse con Audacity («Applications», «Sound & Video», «Audacity») para, por ejemplo, distorsionar una o varias voces, mientras que las imágenes pueden editarse con GIMP («Applications», «Graphics», «GNU Image Manipulation Program»). En el caso de los vídeos, hay una aplicación para visionarlos («Applications», «Graphic & Video», «Videos»), pero es muy simple. Si se desea algo un poco más avanzado, puede instalarse VLC media player. Para ello, véase la sección «Cómo instalar VLC media player».

Borrado de metadatos con MAT

Una vez se haya editado el archivo a enviar (lo cual no es necesario; depende del criterio del denunciante/informante/«whistleblower»), el siguiente paso es eliminar los metadatos, ya que pueden revelar información dañina para el anonimato. Para ello, se utilizará MAT, una aplicación que funciona en la línea de comandos y que es compatible con los siguientes formatos (ilustración 49):

Ilustración 49 | Formatos soportados por MAT | Fuente de la imagen: captura de pantalla propia

En primer lugar, se debe clicar en «Applications» ➤ «System Tools» ➤ «Terminal». Ahora, hay que «dirigir» a la Terminal hasta el directorio donde se encuentra el archivo pertinente, usando el comando «cd» («cambiar directorio»). Suponiendo que el archivo esté en «Desktop», se debe escribir «cd ./Desktop» y pulsar «intro». Al momento, la Terminal debería mostrar algo como «amnesia@amnesia:~/Desktop$». Entonces, se ha de escribir el siguiente comando: «mat2 [nombre del archivo del que se quiere eliminar los metadatos]»; por ejemplo, «mat2 IMG_0600.PNG», y pulsar «intro». Poco tiempo después, debería aparecer una copia del archivo sin metadatos. En este caso, con el nombre «IMG_0600.cleaned.PNG» (ilustración 50).

Ilustración 50 | MAT crea una copia del archivo original, pero sin metadatos | Fuente de la imagen: captura de pantalla propia

Por seguridad, se debe cambiar el nombre del archivo, pues quien conozca MAT sabrá por «cleaned» que los metadatos han sido borrados con esta aplicación y, aunque no es un grave problema para el anonimato, cuantas menos cosas se revelen, mejor.

Cifrado de un archivo con criptografía asimétrica

En primer lugar, es necesario importar la clave pública del destinatario, como se explica en «Importación de la clave pública del destinatario». Posteriormente, se tiene que abrir la Terminal («Applications» ➤ «System Tools» ➤ «Terminal»), dirigirse mediante el comando «cd» al directorio donde esté el archivo y escribir lo siguiente:

gpg –encrypt –recipient [correo electrónico vinculado a la clave pública] [nombre del archivo]

Ejemplo:

gpg –encrypt –recipient ramonalarconsanchez@periodismoactual.com imagen1.png

Tras pulsar «intro, la Terminal advertirá de que es posible que la clave pública no tenga relación con la persona a la que dice pertenecer (ilustración 51); en caso de que haya hecho el ejercicio de verificación que se explica en «Importación de la clave pública del destinatario», se debe escribir «y» y pulsar «intro». Debería aparecer un archivo con extensión «.gpg», que es el que se tiene que enviar al destinatario.

Ilustración 51 | Cifrado de un archivo mediante criptografía asimétrica | Fuente de la imagen: captura de pantalla propia

Por último, se debe crear una cuenta en ProtonMail, como se describe en «Creación de una cuenta en ProtonMail», y adjuntar el archivo «.gpg» recién creado.

Envío de texto y archivos multimedia (audio, imágenes, vídeos) anónimamente sin desear una respuesta

Si en un mismo mensaje se quiere enviar texto y uno o varios archivos multimedia, se deben seguir los pasos combinados especificados en «Envío de texto anónimamente sin desear una respuesta» y «Envío de archivos multimedia (audio, imágenes, vídeos) anónimamente sin desear una respuesta».

Envío de texto/multimedia anónimamente deseando una respuesta

La diferencia fundamental con respecto a no desear una repuesta radica en que es necesario generar un par de claves público/privada propias y comunicar al destinatario la clave pública. De lo contrario, la contestación viajará sin cifrar asimétricamente, lo que representa una vulnerabilidad en el secreto de las comunicaciones e, incluso, es posible que el receptor no responda al no poder cifrar lo que desea transmitir.

Además, tiene que crearse un volumen persistente cifrado para que Tails no borre las claves creadas —especialmente la clave privada—, pues en ese caso no sería posible descifrar la respuesta recibida.

Activación del volumen persistente cifrado de Tails

Se ha de hacer clic en «Applications» ➤ «Tails» ➤ «Configure persistent volumen». Se abrirá una ventana donde se exige una contraseña y, una vez establecida, se tiene que pulsar en «Create». Tails creará el volumen persistente y preguntará qué tipo de archivos debe guardar entre sesiones. En este ejemplo solo se quieren guardar claves de criptografía asimétrica, por lo que únicamente se ha de marcar la opción «GnuPG» (ilustración 52). Adicionalmente, si se quieren salvar archivos personales se tiene que escoger la opción «Personal Data», que hace que los elementos del directorio «Persistent» (ubicado en «Places» ➤ «Persistent») no se borren.

Ilustración 52 | Proceso de creación del volumen persistente cifrado | Fuente de la imagen: captura de pantalla propia

Tras pulsar «Save», se tiene que reiniciar el sistema. En la ventana de bienvenida al mismo aparecerá una nueva opción, «Encrypted Persistent Storage», donde se ha de escribir la contraseña y clicar sobre «Unlock» cada vez que se quiera acceder al contenido de este volumen (ilustración 53).

Ilustración 53 | Ventana de inicio al sistema «Welcome to Tails!» mostrando la opción «Encrypted Persistent Storage» | Fuente de la imagen: fotografía propia

Generar unas claves de criptografía asimétrica propias

Para generar el par de claves público/privada, se ha de clicar en el símbolo del portapapeles, ubicado en la parte superior derecha de la pantalla, ➤ «Manage keys». Luego, se tiene que pulsar en «+» ➤ «PGP Key» ➤ «Continue». Aparecerá una ventana titulada «New PGP Key», en la que se ha de especificar un nombre (por supuesto, no debe ser el real, sino un pseudónimo), la dirección de correo de ProtonMail (véase «Creación de una cuenta en ProtonMail»), el tipo de encriptado, que debe ser «RSA», y la longitud de la clave, que tiene que ser «4096». Por su parte, «Expiration Date» hace referencia a la fecha de caducidad de la clave. Para mantener una privacidad extrema la clave debería renovarse cada cierto tiempo; sin embargo, esto puede resultar pesado y crear inconvenientes. En este ejemplo se ha optado por no establecer una fecha de expiración (ilustración 54).

Ilustración 54 | Creación del par de claves público/privada | Fuente de la imagen: captura de pantalla propia

Posteriormente, se pedirá una contraseña, que será necesaria para descifrar los mensajes encriptados con la clave pública. Una vez escrita, se ha de pulsar «OK» y, por fin, se generarán las claves.

Cómo proporcionar al destinatario la clave pública necesaria para que cifre su respuesta

Se tiene que hacer clic en el símbolo del portapapeles, ubicado en la parte superior derecha de la pantalla, ➤ «Manage Keys» ➤ «GnuPG keys», seleccionar la clave pertinente y pulsar en «Edit» ➤ «Copy». A continuación, hay que clicar en «Applications» ➤ «Accesories» ➤ «Text Editor», pegar el bloque de la clave pública y guardarlo pulsando en «Save», estableciendo como extensión de archivo «.asc» (así, el nombre del mismo debería ser algo como «my_pgp_public_key_block.asc»).

Cuando se envíe al destinatario el mensaje que se le desea transmitir a través de ProtonMail, no se debe olvidar adjuntar este archivo.

Descifrar un mensaje de texto recibido encriptado con la clave pública

De recibir una respuesta por parte del destinatario, esta debería estar encriptada mediante la clave pública. La contestación se tratará, pues, de un bloque de texto que ha de copiarse entero, desde «—–BEGIN PGP MESSAGE—–» hasta «—–END PGP MESSAGE—–». Posteriormente, ha de pulsarse en el icono del portapapeles y clicar en «Decrypt/Verify Cipboard». Seguidamente, se requerirá la contraseña de la clave privada. Tras introducirla y pulsar «OK», debería aparecer el texto descifrado, como en la ilustración 55.  

Ilustración 55 | Texto desencriptado con la clave privada | Fuente de la imagen: captura de pantalla propia

Descifrar un archivo multimedia encriptado con la clave pública

Si el destinatario ha adjuntado un archivo con extensión «.pgp», habrá que descifrarlo para poder abrirlo. Con este fin, ha de abrirse la Terminal («Applications» ➤ «System Tools» ➤ «Terminal»), dirigirse con el comando «cd» al directorio donde se haya descargado el archivo «.pgp» (como, por ejemplo, «cd ./Desktop»)  e introducir lo siguiente:

gpg –decrypt [nombre del archivo.gpg]

Por ejemplo:

gpg –decrypt archivo1.gpg

El sistema pedirá la contraseña de la clave privada (ilustración 56).

Ilustración 56 | Descifrado de un archivo multimedia | Fuente de la imagen: captura de pantalla propia

Una vez introducida, debe clicarse en «OK» y se procederá al desencriptado. Aparentemente, puede no ocurrir ningún cambio; por ello, es importante hacer doble clic al archivo «.gpg», pues al momento aparecerá su versión desencriptada (ilustración 57).

Ilustración 57 | Descifrado de un archivo multimedia | Fuente de la imagen: captura de pantalla propia

Con lo explicado hasta el momento, se puede enviar y recibir información sensible de una de las formas más anónimas y seguras que puede haber, gracias al uso conjunto de Tails, Tor, ProtonMail y la criptografía asimétrica; sin olvidar los pasos iniciales de revisión física del dispositivo en busca de «keyloggers» y de segurización de la red doméstica. Con todo, hay que tener presente la siguiente advertencia: la solución perfecta no existe y, de la misma manera que Tails no protege contra ataques avanzados, como los que implican a la BIOS, hay que tener en cuenta qué se filtra y a quién. Imagínese que una persona quiere enviar un vídeo que ha grabado a un periodista para que este último lo distribuya. Con el fin de protegerse, lo envía sin metadatos y encriptado mediante criptografía asimétrica. Sin embargo, habría que responder la siguiente pregunta: cuando se grabó, ¿se comprobó que no hubiera cámaras de seguridad? En caso contrario, en cuanto la grabación se hiciera pública podría ser muy sencillo identificar al filtrador. Por tanto, no solo hay que tener en cuenta lo expuesto en esta guía, sino también otro tipo de cuestiones, algunas de sentido común.

Anexo

Cómo cifrar un pendrive mediante LUKS

Hay que hacer clic derecho en el acceso del panel de navegación de «Files» (en «Aplications» ➤ «Accesories») y seleccionar «Format…» (ilustración 58).

Ilustración 58 | Remarque de la opción «Format…» | Fuente de la imagen: captura de pantalla propia

Debe establecerse un nombre para el volumen —por ejemplo, «USB»—, activar «Erase» y, en «Type», seleccionar «Internal disk for use with Linux systems only (Ext4)» y «Pasword protect volumen (LUKS)», como se aprecia en la ilustración 59.

Ilustración 59 | Opciones del formateo, con LUKS activado | Fuente de la imagen: captura de pantalla propia

Tras pulsar «Next», se pedirá una contraseña, necesaria para desbloquear la unidad cada vez que se introduzca en un sistema operativo Linux. Posteriormente, se mostrará un resumen de las opciones, y solo quedará pulsar en «Format». El acceso al pendrive desaparecerá durante unos instantes del panel de navegación. Cuando reaparezca, se ha de clicar en él y, al momento, Tails debería solicitar una contraseña (ilustración 60).

Ilustración 60 | Solicitud de la contraseña para desbloquear el pendrive | Fuente de la imagen: captura de pantalla propia

El proceso habría finalizado. Solamente quedaría, si así se desea, volver a traspasar a la unidad los archivos que previamente se habían movido a Tails.

Cómo establecer una contraseña de administrador en Tails

La contraseña de administrador está desactivada por seguridad. No obstante, es necesaria para realizar algunas acciones avanzadas, como instalar «software» adicional. Para ello, en la ventana que aparece nada más iniciar el sistema operativo —«Welcome to Tails!»—, se debe hacer clic en «+», para abrir «Additional Settings», pulsar en «Administration Password» y escribir la contraseña deseada (ilustración 61). Posteriormente, se debe clicar en «Add» y «Start Tails».

Ilustración 61 | Configuración de la contraseña de administrador al inicio de Tails | Fuente de la imagen: captura de pantalla propia

Cómo instalar VLC media player

Como norma general, es mejor no instalar «software» adicional en Tails, pues el que trae por defecto ha sido testado y, por tanto, se garantiza su idoneidad. No obstante, en ocasiones puede ser útil agregar programas complementarios para, por ejemplo, recortar parte de un vídeo. En este caso, VLC media player cumple esta función.

Para instalarlo, se ha de reiniciar Tails —si está encendido— y, en la ventana inicial, establecer una contraseña de usuario (como se explica en «Cómo establecer una contraseña de administrador en Tails»). Posteriormente, una vez se tenga acceso a internet y Tor esté listo, hay que seguir estos pasos:

Pulsar en «Applications» ➤ «System Tools» ➤ «Synaptic Package Manager», escribir la contraseña de usuario y clicar en «Authenticate».

Esperar a que termine el proceso «Downloading Package Information».

Seleccionar «Edit» ➤ «Search…», escribir «vlc», clicar en «Search», hacer clic derecho en «vlc», pulsar en «Mark for Installation» (ilustración 62) y «Mark».

Ilustración 62 | Menú donde aparece «Mark for Installation» | Fuente de la imagen: captura de pantalla propia

Finalmente, en la parte superior se debe pulsar en «Apply» y de nuevo en «Apply». Cuando termine el proceso, se tiene que clicar en «Close». VLC media player estará disponible en «Applications» ➤ «Sound & Video» ➤ «VLC media player» (ilustración 63).

Ilustración 63 | Acceso a VLC media player desde «Applications» ➤ «Sound & Video» | Fuente de la imagen: captura de pantalla propia

Dejar respuesta

Please enter your comment!
Please enter your name here