28 Ene

Entrevista a Marie Gutbub

Entrevista a Marie Gutbub, del Center for Investigative Journalism

1. Para los lectores que no te conocen, ¿podrías presentarte brevemente?

Me llamo Marie Gutbub. Soy periodista e instructora en seguridad. He estado trabajando con CryptoParty a lo largo de los últimos años y difundiendo conocimientos en materia de seguridad digital. En la actualidad trabajo en el Center for Investigative Journalism, con el cual organizamos el Logan CIJ Symposium (logancij.com), una conferencia sobre periodismo de investigación, privacidad, vigilancia y censura.

2. ¿Cuándo empezaste a ser consciente de la importancia de proteger tu privacidad? ¿Hubo algún acontecimiento concreto que determinara tu forma de pensar actual?

Estudié periodismo cultural y no aprendí nada sobre temas de seguridad digital o incluso protección de fuentes. Pensé que con el tipo de periodismo que yo hacía, no tenía nada que esconder. Después de graduarme, por algún tipo de extraña coincidencia, coincidí con personas que estaban trabajando en periodismo de investigación y en temas relacionados con la privacidad. Hablando con ellas, entendí que a mi formación como periodista le faltaba una parte realmente importante. Es ahí, relacionándome con esas personas, que rápidamente pude ver cómo la privacidad importa.

3. ¿Quieres hablarnos de alguno de los proyectos relacionados con la seguridad o la privacidad (ya sean de carácter técnico, social o político) en los cuales estés involucrada actualmente?

Trabajo en distintos proyectos, todos ellos con una meta común: quiero que la gente entienda qué es la vigilancia, quiero difundir el uso de herramientas que garanticen la privacidad y quiero ayudar a que estas herramientas sean más fáciles de utilizar. Por ejemplo, estos días estoy impulsando una iniciativa llamada #letsonion, para preguntar a los usuarios del navegador Tor qué sitios web les gustaría que tuvieran una dirección .onion, y explicar a la gente que gestiona esas webs por qué deberían tener una.

4. ¿Qué prácticas realizas en tu día a día para proteger tu privacidad, tanto en el entorno digital como en la vida real?

No me gusta hablar detalladamente de mi configuración. Pero básicamente utilizo Debian como sistema operativo, y para comunicarme uso Tor, PGP, OTR y algunas otras cosas. En el mundo real, nunca pierdo de vista mi ordenador o los dispositivos asociados a él. Y, por supuesto, tengo cuidado de a quien le digo qué.

5. ¿Qué le dirías al usuario común de Internet, que cree “no tener nada que ocultar”, o que piensa que la privacidad es una cuestión que solamente debería preocupar a “los que hacen cosas malas”?

Le enseñaría este vídeo que hice para CryptoParty: https://www.youtube.com/watch?v=fDPpzG6u-as

6. Pensando en usuarios sin formación específicamente técnica, ¿qué herramientas, hábitos o prácticas les recomendarías para mejorar su privacidad?

Para la gente que utiliza smartphones, Signal es realmente fácil de utilizar. También recomendaría empezar a usar Tor, PGP, OTR y programas similares. Hay eventos para aprender a usarlos. O también está el libro Information Security for Journalists, escrito por Arjen Kamphuis y Silkie Carlo: http://www.tcij.org/resources/handbooks/infosec. Puede ser útil para cualquiera que quiera entender cómo utilizar estas herramientas, no solamente periodistas.

7. ¿Hasta qué punto piensas que la crítica de la vigilancia masiva supone la legitimación involuntaria de formas de vigilancia individualizadas que, no obstante, siguen vulnerando los derechos de las personas afectadas? (Ejemplo: caso #Spycops en Reino Unido)

No he seguido el caso #Spycops. Pero no creo que, en un plano general, criticar la vigilancia masiva deba ser visto como peligroso. Simplemente, no se debe olvidar la crítica de otras formas de violación de los derechos de la gente.

8. A día de hoy, ¿qué instituciones, actores u organismos piensas que suponen una amenaza para la libertad y la privacidad en Internet? ¿A quién corresponde defender estos derechos?

Instituciones estatales como la NSA, el GCHQ o el BND, entre muchas otras, son la amenaza más fácilmente identificable en lo que concierne a la libertad y a la privacidad. También empresas como Google o Facebook por ejemplo, y cualquier otra empresa que nos espíe (en ocasiones trabajando con el propio Estado, tal como nos revelaron los documentos de Snowden) suponen una gran amenaza para la libertad y privacidad en la red. Irónicamente, los gobiernos son los que deberían protegernos, y somos nosotros los que deberíamos tener la opción de demandar judicialmente a las empresas que nos espían. Pero, ¿cómo lo podemos hacer cuando las instituciones estatales colaboran en este espionaje?

Esta es la razón por la cual los ciudadanos se deben proteger a si mismos, para reclamar un derecho a la privacidad que no está siendo respetado en la situación actual. Debemos construir herramientas, nos debemos enseñar los unos a los otros cómo actuar, y todos nosotros debemos utilizar cifrado robusto para proteger nuestra privacidad. Nos corresponde rechazar la intromisión gubernamental y empresarial.

9. ¿Crees que existen diferencias notables entre el activismo político “tradicional” y el activismo centrado en la defensa de los derechos en Internet o el “hacktivismo”? Lo cierto es que desde Críptica observamos una “brecha” (generacional, técnica, de género…) entre ambas formas de intervención política.

La mayoría de las comunicaciones se realizan en línea, seamos ciberactivistas o activistas políticos tradicionales. La diferencia es que los ciberactivistas conocen las amenazas y saben cómo protegerse. Corresponde a los ciberactivistas compartir y difundir sus conocimientos, y corresponde por otro lado a los activistas políticos tradicionales las tareas de entender cómo se pueden beneficiar de su experiencia y comprender que ellos mismos necesitarán, tarde o temprano (si es que no lo necesitan ya) tener acceso a esta capa de protección.

10. Finalmente, ¿cuáles deberían ser, según tu opinión, los aspectos que como movimiento político (desde el conjunto de las organizaciones defensoras de los “derechos digitales”) tendríamos que mejorar?

Hacer que la gente entienda qué es la vigilancia, y por qué está mal. Mucha gente tiene una idea falsa de lo que es la vigilancia. Educar tanto como podamos. Y cuando la gente quiera aprender, enseñarles cómo proteger su privacidad. Necesitamos que mucha gente use tecnologías de cifrado, necesitamos que todo el mundo las utilice.

27 Ene

Inauguramos el ciclo de entrevistas “Transparencia forzada”

¡Hola de nuevo! Disculpad la ausencia de las últimas semanas: hemos estado preparando un proyecto que esperamos que os guste, al que hemos decidido llamar “Transparencia forzada”. A grandes rasgos, se trata de un cuestionario surgido de una serie de inquietudes y dudas que nos han ido apareciendo internamente a lo largo de estos primeros meses de andadura política, y que hemos decidido hacer públicas en forma de preguntas. Hemos enviado este cuestionario a un cierto número de personas que consideramos relevantes en nuestro ámbito político, es decir, el de la defensa de los Derechos Humanos en Internet. Pensamos que sus respuestas pueden resultar orientativas en lo que respecta tanto a su lectura de la situación actual como en la forma que tienen de afrontar la amenaza que suponen el rastreo indeseado y la vigilancia masiva. Conforme recibamos sus respuestas, las iremos traduciendo y publicando en este mismo blog, de modo que estad al tanto… ¡os aseguramos que valdrá la pena leerlas!

11 Ene

195 expertos, compañías y organizaciones de 42 países piden a los líderes mundiales que apoyen el cifrado robusto

CYc3iJ8UQAAzAFt.jpg:large

Washington D. C. (11 de enero, 2016) – Hoy, Críptica se ha sumado a la
larga lista de 194 expertos, compañías y organizaciones de más de 35
países, pidiendo a los líderes mundiales que apoyen el cifrado y
rechacen frontalmente cualquier tipo de ley, política, iniciativa o
mandato que pudiera debilitar la seguridad digital. La carta es de
acceso público y se encuentra disponible en
https://www.SecureTheInternet.org.

En Francia, la India, Reino Unido, China, Estados Unidos y otros muchos
países, los gobiernos están planteándose aplicar políticas que
comportarían el debilitamiento del cifrado. No obstante, la seguridad y
la privacidad en línea dependen precisamente de herramientas y
tecnologías seguras. Esta carta representa la voz colectiva de expertos
en tecnología, compañías y organizaciones que utilizan el cifrado.

“Internet pertenece a los ciudadanos de alrededor del mundo, no a sus
gobernantes. Rechazamos que este precioso recurso sea nacionalizado o
quebrado por ningún país. Esta carta pretende unificar las voces de los
usuarios globales de Internet exigiendo la protección de las
herramientas necesarias para expresar nuestros Derechos Humanos en
línea”, dijo Brett Solomon, director ejecutivo de Access Now.

La carta, impulsada por Access Now junto con docenas de organizaciones
incluyendo Críptica y la Electronic Frontier Foundation, permite que las
organizaciones e individuos declaren su apoyo al cifrado. La carta será
enviada a los líderes mundiales que, según la prensa, están planteándose
medidas políticas que atentan contra el cifrado.

“El cifrado y el anonimato, y los conceptos de seguridad que hay detrás
de ellos, proveen de la privacidad y la seguridad necesarios para el
ejercicio del derecho a la libertad de opinión y de expresión en la era
digital”, dijo David Kaye, Relator de Naciones Unidas por la Libertad de
Opinión y Expresión.

Diferentes países están considerando propuestas que requerirían a las
compañías proveer de acceso excepcional a material cifrado. Esto crearía
una “puerta trasera” para permitir el acceso a cualquier tipo de
documento cifrado, incluyendo conversaciones personales, historial
médico y datos bancarios.

“Todas las comunicaciones han sido y son por naturaleza confidenciales
entre las partes que entienden el lenguaje mediante el cual se
comunican: el código. ¿Desde cuándo hemos decidido que todas las
conversaciones deberían poder ser escuchadas o leídas por terceros? ¿Por
qué no obligar entonces a que todas las conversaciones orales se
desarrollen por encima de determinados decibelios?” – Profesor KS Park,
Open Net.

“Un estudio del CIHR para la World Wide Web Foundation, que será
publicado próximamente, comprobó que Estados de todo el mundo, de todos
los tipos, han adoptado o están adoptando leyes que obligan a introducir
“puertas traseras” secretas dentro del Internet global y de la
infraestructura digital de las comunicaciones. Estados Unidos y otros
países occidentales empezaron esta “carrera armamentística” para acabar
con la seguridad. Ellos podrían haber encendido la mecha que supondría
el fin del Internet libre. Debemos reforzar la ley internacional y la
gobernabilidad de Internet para parar esta ofensiva – más que apoyar la
pérdida de la seguridad digital global”, dijo Douwe Korff, profesor
emérito de Derecho Internacional de la London Metropolitan University.

“Las leyes para debilitar el cifrado no detendrán a los terroristas o a
otros criminales a la hora de usar criptografía; lo que sí que harán es
que el resto del mundo esté menos seguro en Internet. La seguridad, la
privacidad y el anonimato son los componentes esenciales de la libertad
de expresión para todo el mundo, indistintamente de su lugar de
residencia o nacimiento, y la tecnología que permite es nuestra llave
para un futuro digital seguro. El cifrado no es un arma; es un escudo
que protege nuestra economía, nuestras infraestructuras críticas y
nuestra sociedad”, dijo Katie Moussouris de HackerOne.

“El cifrado es lo que hace que Internet funcione – es la razón por la
cual podemos comprar, hacer transacciones financieras y compartir
contenido en línea con unas personas y no con otras. Es así de simple.
Debilitar el cifrado es la amenaza a la seguridad nacional por
excelencia, al exponer nuestra infraestructura crítica, mercados
financieros, propiedad intelectual y datos personales a atacantes de
todo el mundo. Es obligatorio que mantengamos la integridad del cifrado,
y no permitir que tertulianos mal informados y políticos oportunistas
nos lleven a un desastre en materia de seguridad”, dijo Meredith
Whittaker, fundadora de Simply Secure.

“Una amenaza a los derechos digitales en cualquier sitio es una amenaza
para los derechos digitales en todos lados. Esto se está haciendo más
evidente desde el momento en que contemplamos iniciativas legislativas
en un determinado número de países que debilitarían los estándares de
seguridad para personas de todo el mundo”, dijo Birgitta Jónsdóttir,
miembro del Parlamento Islandés.

“El cifrado es una de las herramientas más fuertes que tenemos para
proteger a los usuarios en un mundo cada vez más digitalizado. No existe
una panacea para eliminar el crimen en línea, pero debilitar la
seguridad de los usuarios es claramente un paso en la dirección
opuesta”, dijo Rebecca MacKinnon, directora de Ranking Digital Rights.

“Recientemente, se encontró una puerta trasera en Juniper – un producto
utilizado por el gobierno estadounidense para proveer de acceso remoto a
los ordenadores de sus empleados. Una vez la brecha fue anunciada, fue
descubierta por hackers al cabo de siete horas. Forzar a las compañías a
construir puertas traseras en sus productos coloca dianas en las
espaldas tanto de las compañías como de sus usuarios”, dijo Bruce
Schneier, experto en seguridad.

“El cifrado es esencial para la protección de la privacidad, y la
privacidad es una condición básica para que pueda existir el derecho a
la libertad de expresión. No podemos pretender la protección de la
seguridad nacional abandonando nuestros principios democráticos, porque
entonces perderemos ambas, seguridad y democracia”, dijo Frank La Rue,
antiguo Relator de Naciones Unidas para la Promoción del Derecho a la
Libertad de Opinión y de Expresión.

07 Ene

Nuestro servidor ahora usa Let’s Encrypt

Hasta ahora nuestro servidor inno.criptica.org usaba un certificado SSL emitido por StartSSL, una empresa privada que ofrece certificaciones SSL en varias modalidades, una de ellas gratuitas. La modalidad gratuita tiene unas cuantas restricciones, como la necesidad de renovación cada año de forma manual mediante el formulario web; o la imposibilitad de usar wildcards por lo que requiere registrar manualmente un certificado para cada subdominio.

En noviembre de 2014 fue anunciado un proyecto llamado Let’s Encrypt fundado por Electronic Frontier Foundation, Mozilla Foundation y University of Michigan con la finalidad de hacer llegar el cifrado para webs a todo el mundo, eliminando las barreras económicas, las dificultades de configuración y las validaciones manuales por e-mail.

El 3 de diciembre de 2015 (después de que la Autoridad Certificadora de Let’s Encrypt fuera firmada por una Autoridad Certificadora ya existente en los navegadores web) el servicio entró en beta para que todo el mundo pueda usarlo.

Así pues hemos configurado nuestro servidor para que haga uso de los certificados de Let’s Encrypt como podréis comprobar: https://inno.criptica.org/.

Además tenemos el servidor web configurado con unos cuantos cambios para mejorar su seguridad: redirección de http a https, uso del HSTS, soporte de solo TLSv1 TLSv1.1 y TLSv2 (adiós SSLv3), bloqueo de algoritmos no seguros (DES, MD5, RC4), uso de parámetros personalizados para Diffie Hellman de 2048 bits (adiós Logjam). Podéis ver un análisis completo en el servicio SSL Server Test de Qualys SSL Labs. Desafortunadamente el protocolo TLS es muy complejo y requiere varios cambios de configuración en los servidores web para hacerlo más robusto.

Con la actual configuración usamos certificados que caducan a los 3 meses y se renuevan automáticamente cada 2 meses. La configuración del sistema ha sido muy fácil: nosotros hemos usado un tutorial de Vincent Composieux: Install, configure and automatically renew Let’s Encrypt SSL certificate (English).

Animamos a todos aquellos que administráis algún servidor web a que le pongáis un certificado de Let’s Encrypt! Ahora ya no hay excusa para no ofrecer páginas cifradas.