Si eres algo como yo, lo primero que haces por la mañana al levantarte es revisar tu correo electrónico. Y, tal vez como yo, te preguntas si alguien más podría haber leído tus conversaciones. Créeme, esto no tiene nada que ver con la paranoia. Si utilizas cuentas de correo electrónico gratuitas como Gmail u Outlook 365, la respuesta es obvia y preocupante.
Empresas Interceptan Correos Electrónicos
Aunque elimines un mensaje después de leerlo, no desaparece por completo; siempre queda alguna copia en algún lugar. Como el correo electrónico funciona en la nube, cualquier dispositivo con acceso a ella realiza copias de seguridad. Si usas, por ejemplo, Gmail, una copia de cada mensaje enviado o recibido se guarda en los servidores de Google distribuidos por todo el mundo. Otros proveedores de correo electrónico como (ex) Yahoo, Apple, AT&T, Comcast y Microsoft funcionan de manera similar.
Cada correo electrónico que envíes puede ser inspeccionado por la empresa de hosting. Si bien oficialmente esta monitorización sirve para proteger contra virus, en realidad la situación es diferente: terceros pueden acceder a tu correspondencia por motivos poco altruistas.
Un residente de Carolina del Norte, Stuart Diamond, experimentó esto de primera mano. Utilizando correo electrónico de Yahoo, en algún momento se dio cuenta de que los anuncios en la esquina superior derecha no eran aleatorios; estaban relacionados con el contenido de sus mensajes.
Imagina que en uno de tus correos mencionas a un amigo tu próximo viaje a Dubái; pronto aparecerán anuncios de aerolíneas, hoteles y lugares de interés en los Emiratos Árabes Unidos en tu bandeja de entrada. Este tipo de prácticas, aunque generalmente están descritas en los términos de uso del servicio, suelen ser aceptadas sin mucha lectura por parte de los usuarios.
Además, ¿por qué ver anuncios que no coinciden con nuestras preferencias individuales? Sin embargo, Stuart y otro residente de Carolina del Norte, David Sutton, notaron algo diferente: los anuncios en Yahoo podrían estar relacionados con información obtenida de usuarios de otros servicios. Esto demostró que la empresa analiza y revisa el contenido de todos los correos, no solo los enviados a través de sus servidores.
Basados en sus observaciones, ambos hombres presentaron una demanda en 2012 en nombre de 275 millones de usuarios de correo Yahoo, acusando a la compañía de violar la privacidad de manera tan condenable como la escucha telefónica ilegal.
Si entiendes que no hay escapatoria, al menos intenta dificultar la vigilancia de tu correo electrónico por parte de agencias gubernamentales y corporaciones.
Usa Claves de Cifrado para tu Correo Electrónico
La mayoría de los proveedores de servicios de correo electrónico cifran los mensajes que se envían entre servidores de correo. Sin embargo, esto no es estándar. Puede suceder que tu dirección de correo electrónico, transmitida de forma no cifrada, esté disponible para cualquiera.
Esto sucede, en particular, con el correo electrónico comercial, para que el jefe pueda revisarlo. Por lo tanto, si no quieres que alguien más que el destinatario vea tu correspondencia, debes cifrar tus mensajes.
¿En qué consiste el cifrado?
Después de esta operación, el mensaje público se vuelve incomprensible para terceros. Uno de los métodos de cifrado más simples es el cifrado César: cada letra del texto original se reemplaza por otra, separada por un número fijo de posiciones en el alfabeto. Por supuesto, hoy en día se utilizan sistemas mucho más complejos y seguros que el cifrado César.
El cifrado de mensajes de correo electrónico se basa en la llamada criptografía asimétrica. Implica la creación de dos claves: una privada, almacenada en tu dispositivo y conocida solo por ti, y una pública, publicada y ampliamente disponible en la red. Estas claves son diferentes pero están relacionadas por una construcción matemática común.
Para explicar mejor el mecanismo de este tipo de cifrado, veamos un ejemplo. Supongamos que Bob quiere enviar un correo electrónico cifrado a Alice. Para ello, busca en la red su clave pública (también puede obtenerla directamente de ella) y, con ella, cifra el mensaje destinado a ella. El mensaje estará cifrado hasta que Alice (y solo ella) use la clave privada para poder leerlo.
¿Cómo cifrar el contenido de los correos electrónicos?
El protocolo PGP (Pretty Good Privacy) es la herramienta más popular para el cifrado. Es un producto comercial de Symantec Corporation, pero su creador, Phil Zimmermann, también desarrolló una versión de código abierto llamada OpenPGP.
También está disponible una tercera opción: la utilidad gratuita GPG (GNU Privacy Guard) creada por Werner Koch. Es reconfortante que sean compatibles: independientemente de la versión de PGP que uses, las funciones principales son las mismas.
Por cierto, Esgeeks escribió un artículo sobre ello para usuarios de Linux: Cómo cifrar y descifrar archivos con GPG en Linux.
Utiliza el Cifrado Completo
Como se mencionó anteriormente, el objetivo del cifrado es proteger el cuerpo del mensaje para que solo esté disponible para personas con la clave válida para leerlo. Su efectividad, es decir, cuán difícil es de romper ese cifrado sin la clave, depende de su complejidad computacional y tamaño.
Los algoritmos de cifrado utilizados actualmente son públicos y abiertos, los cuales recomiendo utilizar. No se recomienda utilizar algoritmos limitados y cerrados.
La ventaja de los algoritmos abiertos es que han sido rigurosamente examinados en busca de vulnerabilidades. En otras palabras, muchos profesionales han intentado descifrarlos. Cada vez que se encuentra una vulnerabilidad, se corrige y el algoritmo se vuelve más seguro.
A diferencia de los algoritmos, las claves de cifrado están, en cierto grado, bajo nuestro control. Por lo tanto, es importante manejarlas con cuidado. Si creas tu propia clave, asegúrate de guardarla y almacenarla en tu dispositivo, y solo tú debes tener acceso a ella.
En el caso del cifrado proporcionado por un proveedor de servicios de correo electrónico, como en la nube, tienen acceso a la clave de cifrado creada para ti. El problema es que, por decisión judicial, pueden verse obligados a proporcionarla a las autoridades o servicios gubernamentales, incluso sin una orden judicial. Por lo tanto, siempre debes revisar la política de privacidad del servicio que utilizas para el cifrado de correos electrónicos y conocer quién es el propietario de las claves.
Cuando cifras tus mensajes, ya sean correos electrónicos, mensajes de texto (SMS) o llamadas telefónicas, debes usar el cifrado completo (end-to-end). Esto garantiza que el mensaje cifrado permanezca ilegible durante la transmisión y solo se descifre cuando el destinatario lo recibe en su dispositivo.
En este modo, solo tú y el destinatario tienen las claves para descifrarlo; ni el operador, ni el proveedor ni el propietario de la aplicación, es decir, terceros, pueden ser obligados por las autoridades a proporcionar las claves.
¿Cómo saber si un servicio de cifrado funciona en modo end-to-end?
Puedes encontrar esa información en Google. Si descubres que no opera de esta manera, busca otra alternativa. Sé que puede parecer complicado.
Afortunadamente, existen complementos para los navegadores Chrome y Firefox que simplifican el proceso de cifrado. Uno de ellos es Mailvelope. Solo necesitas ingresar tu propia contraseña para crear claves públicas y privadas PGP. Luego seleccionas al destinatario específico y, si su clave pública está disponible, puedes enviarle un mensaje cifrado.
Oculta los Metadatos
Incluso si cifras un correo electrónico usando PGP, sus elementos que contienen información importante siguen siendo legibles para casi todos. Estos son los metadatos.
El gobierno de los Estados Unidos, al defenderse de acusaciones después del escándalo de Snowden, ha enfatizado repetidamente que no tenía acceso al contenido de los mensajes cifrados, sino que solo recopilaba metadatos.
¿Qué son los metadatos?
Son los datos sobre los datos. Incluyen las direcciones del remitente y del destinatario, las direcciones IP de los servidores a través de los cuales pasa el mensaje antes de llegar al destinatario, así como el asunto, a veces conteniendo información importante relacionada con el contenido cifrado.
Los metadatos son un vestigio de los tiempos en que Internet estaba dando sus “primeros pasos”, pero aún están presentes en la mayoría de los correos electrónicos.
El servicio PGP, independientemente de la versión que uses, no cifra los metadatos del correo electrónico, es decir, los campos Para, De, Asunto y Fecha. Estos permanecen visibles (aunque no siempre) y pueden estar disponibles para otros.
A primera vista, la recopilación de metadatos puede parecer inofensiva, ya que el contenido del mensaje sigue siendo inaccesible. Es posible que no te interesen las fechas y la información técnica sobre la ruta que toman tus correos electrónicos en la red (las direcciones IP de los servidores). Sin embargo, te sorprendería saber cuánta información se puede obtener de estos datos y la frecuencia con la que se utilizan esas rutas.
Entre los metadatos se pueden encontrar direcciones IP de servidores de diferentes partes del mundo, a través de los cuales los correos deben pasar antes de llegar al destinatario. Cada uno de estos servidores, al igual que cualquier dispositivo conectado a Internet, tiene su propia dirección IP única, que se asigna según tu ubicación y proveedor de servicios de Internet. Está compuesta por una secuencia de números que identifican países, proveedores y tipos de conexiones: módems, conexiones cableadas o inalámbricas. Una dirección IP fija también está vinculada a una cuenta de suscriptor y dirección residencial.
Por ejemplo, si el remitente de un correo tiene la dirección IP 28.126.148.104, sabrás que está escribiendo desde el estado de Sídney en Australia. Pero supongamos que recibes un mensaje de un usuario con la dirección IP 175.45.176, asociada con Corea del Norte. En este caso, tu cuenta podría ser seleccionada para ser investigada por seguridad. Alguien podría interesarse en por qué estás recibiendo correos de este país, incluso si el asunto del correo dice “¡Feliz cumpleaños!“.
La información sobre las direcciones de los servidores puede ser engañosa, pero la frecuencia de los contactos revela mucho más. Permite identificar al remitente y al destinatario, así como determinar su ubicación y sacar conclusiones sobre las relaciones que los conectan.
Tomemos por ejemplo los metadatos de las llamadas telefónicas: la duración de las llamadas, el momento del día en que se realizan, y otros datos similares. Sería fácil determinar el estado emocional de una persona que llama a las diez de la noche a una línea de ayuda para víctimas de violencia doméstica y tiene una conversación de diez minutos, o que llama a una línea de apoyo para suicidas a medianoche desde algún puente.
No Reveles tu Dirección IP
Como ya sabes, cada vez que te conectas a Internet, utilizas una dirección IP asignada a esa conexión. Esto es un gran problema para quienes intentan permanecer invisibles en la red.
Incluso si proporcionas un nombre ficticio y otros datos, la dirección IP puede revelar fácilmente tu ubicación y proveedor de Internet, y por lo tanto, la identidad de la persona que paga por la conexión a Internet (tú o alguien relacionado contigo).
Por supuesto, las direcciones IP en los correos electrónicos se pueden falsificar. Una forma es usar servidores proxy, es decir, intermediarios. Estos permiten usar una dirección IP ajena, creando la impresión de que el correo electrónico se envía desde otro lugar. De esta manera, un remitente de Corea del Norte podría ocultar su identidad utilizando un servidor proxy de China o Alemania.
Otra forma de ocultar la dirección IP es usar un remitente anónimo. Este término oculta un servidor al que envías un mensaje con instrucciones sobre dónde debe ser enviado. De esta manera, el destinatario no ve tu dirección real, pero aún puede responder, también a través de un remitente anónimo.
Usa la Red TOR
Otra forma de ocultar tu dirección IP es usar la red de computadoras virtual TOR.
¿Cómo funciona Tor?
Su característica distintiva es la conexión poco convencional a Internet. Por lo general, después de ingresar a la red, abres un navegador y escribes la dirección del sitio que deseas visitar. El navegador envía una solicitud al operador de ese sitio y en fracciones de segundo, recibes una respuesta en forma de su código.
Basándose en tu dirección IP, el software del sitio web también recibe información sobre tu proveedor y ubicación física.
Cuando usas Tor, antes de llegar a la página de destino, tu solicitud pasa por varios nodos distribuidos (proxis web). Además, cada diez segundos se elige una nueva trayectoria aleatoria de nodos. Estos nodos se superponen como capas de una cebolla (de ahí el nombre TOR, que proviene del término inglés “The Onion Router” – enrutador cebolla).
En otras palabras, no es posible rastrear e identificar a un usuario de Tor, ya que la ruta de conexión cambia constantemente. Siempre y cuando el nodo de salida y el nodo de entrada no estén relacionados, el usuario puede moverse por la red de manera completamente anónima.
Tor se puede configurar para usar nodos de salida en un país específico, e incluso en una ciudad. El uso de Tor requiere una versión modificada del navegador Firefox. Puedes descargarlo desde el sitio web torproject.org. Utiliza solo el navegador original destinado para tu sistema operativo, que se encuentra en el sitio web del Proyecto Tor.
Resumiendo, es importante señalar que el uso de Tor tiene las siguientes desventajas: los usuarios no tienen control sobre la selección de nodos de salida, existe el riesgo de que caigan en manos de entidades gubernamentales o de aplicación de la ley; hay riesgo de que alguien descubra tu perfil y establezca tu identidad; Tor funciona muy lentamente.
Si a pesar de estas molestias aún planeas usar Tor, no lo ejecutes en el equipo que usas todos los días. En otras palabras, aparte de tu computadora portátil regular, obtén un dispositivo separado exclusivamente para su uso anónimo.
Siempre Sé Cauteloso
Por supuesto, existen servicios de correo electrónico anónimo (como emailnow.one) sin necesidad de autenticación. Además, si no tienes nada que ocultar y no temes a las autoridades, puedes crear una cuenta en Gmail u otro sitio popular y usar un número de Skype para hacer llamadas.
Sin embargo, supongamos que has tomado todas las precauciones disponibles: has utilizado Tor para ocultar tu dirección IP, has abierto una cuenta en Gmail no vinculada de ninguna manera al número de teléfono que usas todos los días.
Pero aún así, la anonimidad solo se mantendrá si tu dirección de correo electrónico no está de ninguna manera relacionada con tu identidad. En general, usa una cuenta de correo electrónico anónima solo a través de Tor, que oculta la dirección IP. Nunca visites sitios web mientras estás en tu correo electrónico anónimo, ya que inconscientemente puedes dejar rastros que te identifiquen fácilmente.
Mantener y garantizar el anonimato en línea requiere una gran disciplina y atención constante, pero vale la pena esforzarse si queremos seguir siendo “invisibles”.
Recuerda: al implementar las medidas de seguridad descritas anteriormente de manera selectiva, corres el riesgo de ser descubierto. Pero incluso cuando las apliques todas absolutamente, debes estar en guardia.
Estos consejos fueron compartidos por Kevin Mitnick, uno de los hackers más famosos del mundo. Fue arrestado por el FBI y pasó cinco años en prisión. Actualmente dirige su propia empresa de seguridad en línea y afirma que puede robar la identidad de cualquier usuario en tres minutos.
