La versión 0.4 de CoyIM está lista para su lanzamiento, y estamos preparando todo para que esto ocurra. Aunque estamos muy contentos con esta versión de CoyIM, también vale la pena recordar que CoyIM por sí mismo no necesariamente puede protegerte contra todo. Hacemos lo mejor que podemos, pero siempre hay límites. En este artículo vamos a hablar de algunas herramientas complementarias y técnicas que puedes adoptar para incrementar tu seguridad en general, y específicamente, hacer aún más seguro el uso de CoyIM. Por lo general cuando hablamos de este tipo de medidas hacemos referencia a higiene de seguridad - cosas que la mayoría de la gente simplemente debería hacer, porque independiente de cuál sea tu situación, estos consejos incrementarán significativamente tu seguridad, teniendo un costo muy bajo en términos de tiempo y complejidad. Básicamente, así como deberías usar jabón al lavarte las manos y cepillar tus dientes todos los días, deberían aplicarse estos consejos en tu día a día. Si te encuentras en un grupo de alto riesgo, estos consejos establecerán la línea base a partir de la cual puedes comenzar a adoptar medidas de seguridad aún más fuertes. Incluso si aplicas dos o tres de estas ideas, ya tendrás mejor seguridad que casi todos en el planeta.
Vamos a empezar con Tor. En general, CoyIM usará Tor automáticamente si éste se encuentra instalado, y en caso de que no lo esté, brindará instrucciones acerca de cómo instalarlo. Adicional a esto, es posible deshabilitar esta característica y usar CoyIM sin Tor, lo cuál es altamente NO recomendado. Básicamente, Tor mejora significativamente la seguridad de CoyIM. Y lo hace de diferentes formas. Primero, recuerda que con XMPP tendrás una o muchas cuentas en un servidor - o diferentes servidores. Cuando te conectas con CoyIM, éste se conectará con cada uno de los servidores de las diferentes cuentas. Toda tu comunicación se dirigirá a través de estos servidores a los que pertenecen tus cuentas. Pero no queremos que estos servidores conozcan más que lo necesario acerca de nosotros. Así que usamos cifrado de punto-a-punto con OTR para asegurar que el servidor no pueda leer nada del contenido de los mensajes que enviamos.
Pero, ¿qué pasa con nuestra información? Dado que la cuenta está definida en un servidor, no es posible ocultar el nombre de usuario. Por esta razón, es una buena idea no revelar ninguna información personal en tu nombre de usuario. El servidor además puede ver tu dirección IP cuando estableces conexión, lo que significa que podrían establecer una relación entre tu nombre de usuario y tu ubicación física en el mundo. Esto no está nada bien. Pero si sólo usas Tor para conectarte al servidor, éste realmente nunca verá tu dirección IP real. Si chateas usando cifrado de punto-a-punto únicamente y las personas con quien te comunicas son igual de cuidadosas, el servidor realmente no será capaz de encontrar nada útil. Tor básicamente ayuda a proteger tu anonimato. Esto es importante no sólo por tu privacidad. Si no tienes anonimato, se vuelve más fácil para algún adversario identificarte para realizar ataques dirigidos. Y aquí es donde entra el otro beneficio de Tor.
Fundamentalmente, cuando te conectas a un servidor, la comunicación siempre estará cifrada con TLS. Pero Tor agrega muchas otras capas de cifrado a la conexión. Si también estás usando un servicio cebolla (onion service), éste cifrará la conexion desde tu máquina hacia el servidor. El cifrado es importante para evitar que alguien sea capaz de leer tu comunicación, y también para proteger la integridad de tus mensajes, lo que significa que nadie podrá modificarlos. Una de las principales formas en que atacantes pueden ejecutar un ataque es interviniendo en las comunicaciones, por lo que es importante proteger su integridad en varias capas. Por supuesto, todos estos beneficios pueden ser útiles con otras aplicaciones, así que si decides usar Tor, configura tu computador tanto como sea posible para usarlo. Así, reduces el riesgo de que alguien ataque otras partes de tu computador.
Si quieres usar Tor para otras cosas, probablemente una de las más importantes sea la navegación. La mayoría de nosotros pasamos gran parte del tiempo navegando, y este comportamiento también significa que nos estamos conectando a muchos diferentes servicios en Internet. Aquí es donde Tor brinda una ayuda adicional. Pero dado que estamos hablando de un propósito particular, el proyecto Tor provee de un navegador específicamente configurado para funcionar bien con Tor. Es conocido como Tor Browser Bundle, y es una buena idea usarlo para navegar. No sólo usa Tor para todas las conexiones, también contiene un gran número de otras protecciones que contribuyen a tu seguridad.
Una de las más importantes medidas de seguridad que cualquiera puede llevar a cabo es encriptar sus dispositivos de almacenamiento. Hoy en día, gran cantidad de dispositivos de telefonía celular vienen con esta protección habilitada por defecto, pero en computadoras, éste no es el caso. Si alguien roba tu computador, tendrán acceso a todo el contenido del mismo simplemente conectando tu disco duro a otro computador, o iniciándolo desde algún dispositivo extraíble. Es posible que creas que tu computador está protegido porque éste solicita un usuario y contraseña antes de iniciar sesión. Pero la verdad es que este proceso es práctimente inútil a menos que también encriptes el contenido de tu disco duro. Este es un tipo de protección que simplemente puedes habilitar y olvidar. La única diferencia será que necesitarás una contraseña al encender el computador - y tendrás que ser extremadamente cuidadoso de nunca olvidar esta contraseña, ya que es lo que te permitirá acceder a tu computador. Con esta protección, toda tu información está segura - no sólo el archivo de configuración de CoyIM. Este es un gran complemento de seguridad que CoyIM te brinda, ya que reduce el riesgo de ataques en muchas formas.
Ya que estamos hablando de contraseñas, pasemos a la siguiente herramienta que deberías integrar en tu vida. La verdad es que, casi todo el mundo usa terribles contraseñas y tienen incluso peores prácticas para su manejo. Gran cantidad de personas usan la misma contraseña en todo sitio, o utilizan pequeñas variaciones entre diferentes servicios. Pero mucha gente sabe también que este comportamiento no es seguro. Investigaciones muestran que éste sigue siendo uno de los más grandes riesgos que existen. Y lo que es peor, cuando alguien logra descifrar tu contraseña, a menudo no sabrás inmediatamente el resultado - o lo notarás mucho después de ocurrido el evento, por lo que no tendrás información real acerca de cuán peligrosa es esta práctica. En CoyIM, usarás contraseñas para conectarte a tus diferentes cuentas, y también necesitarás una contraseña para el archivo de configuración si decides cifrarlo (lo que es altamente recomendado). Puedes elegir guardar las contraseñas de tus diferentes cuentas en el archivo de configuración, si deseas - así solo necesitarás recordar una contraseña principal para el archivo de configuración. Pero incluso eso podría ser un poco molesto. Una contraseña más que añadir a tu vida. Y deberías acostumbrarte a usar buenas contraseñas en todo lugar. Si no lo haces, estarías limitando la seguridad que puedes obtener de todas las demás herramientas y técnicas a tu alrededor.
La buena noticia es que este problema puedes solucionar fácilmente. Existen herramientas gratuitas disponibles conocidas como gestores de contraseñas, que simplemente recuerdan contraseñas por ti. En lugar de recordar todas tus contraseñas, las pondrás todas en este programa, y puedes olvidarte de ellas. O mejor aún, cuando necesites una contraseña nueva, por ejemplo para configurar CoyIM por primera vez, puedes solicitar a tu gestor de contraseñas que genere una nueva por ti. Entonces, simplemente puedes copiarla en CoyIM. El gestor de contraseñas la almacenará, y ni siquiera necesitarás conocerla. La única contraseña que estrictamente necesitas conocer es la de tu gestor de contraseñas como tal. Todas las demás contraseñas puedes almacenarlas aquí. Al usar este enfoque, puedes dejar de ver a las contraseñas como un problema. Puedes tener diferentes claves para todo en un solo lugar. Puedes tener contraseñas robustas en cualquier lugar, ya que no tienes que recordarlas. Es realmente una herramienta fantástica que reduce drásticamente tu exposición. Y existen muchas herramientas disponibles. Nosotros recomendaríamos empezar por una versión de código abierto tal como KeePassXC. Pero muchas otras son igual de buenas. Nuestra única advertencia es que debes evitar aquellas que, de una u otra manera, almacenan tus contraseñas de forma centralizada. Es significativamente más seguro que almacenes tus contraseñas localmente.
Si has llegado tan lejos, haz tenido un gran comienzo. En nuestra opinión, Tor, cifrado de discos duros y un gestor de contraseñas son las herramientas y técnicas complementarias a CoyIM más importantes. Pero puedes ir más allá si gustas. Por ejemplo, si estás usando un cliente de chat encriptado, ¿no tendría sentido también usar correo electrónico encriptado? En general, un correo electrónico encriptado no es necesariamente tan seguro como un chat encriptado, pero sigue siendo un gran paso. Y de la misma forma como protegemos la confidencialidad, el cifrado de correos electrónicos también puede ser importante para proteger la integridad de éstos. Y en esta época en donde virus son generalmente distribuidos a través de adjuntos en correos electrónicos, asegurar la integridad de los archivos adjuntos a través del cifrado de correos electrónicos no es una mala idea.
Y, ¿qué tal si nos encontramos en una situación que requiera mayor nivel de seguridad? ¿Qué tal si queremos asegurar todo lo que hacemos a través de Tor? ¿Qué tal si queremos simplificar la configuración de todas esas cosas? Un espacio para eso sería el sistema operativo Tails. Puedes ponerlo en un dispositivo USB e iniciarlo desde ahí. Esto asegurará que todo lo que hagas vaya a través de Tor, y éste ya viene con un gran número de diferentes configuraciones de seguridad. Y CoyIM va genial en Tails. De hecho, uno de los autores de este artículo usa CoyIM sobre Tails en el día a día.
Finalmente, cuando hablamos acerca de buenas prácticas de seguridad, ahora que tienes CoyIM para ayudar con la seguridad de tus comunicaciones, deberías tener cuidado al usar otros métodos de mensajería. Y esto es especialmente enfocado en teléfonos. Por la forma en que los teléfonos móviles funcionan, existen algunos riesgos ante los cuales los que clientes de mensajería móviles simplemente no pueden protegernos. Este es el motivo por el que CoyIM fue diseñado para computadoras exclusivamente. Así que sé más cuidadoso con clientes de mensajería móviles en el futuro.
Como puedes ver, CoyIM es parte de un ecosistema de herramientas y técnicas. Y aunque usar CoyIM por sí solo ya es una buena mejora de seguridad, combinado con otras herramientas, tienes la posibilidad de incrementar radicalmente tu seguridad con muy poco esfuerzo. La nueva versión 0.4 de CoyIM será otro paso hacia la seguridad. ¡Aprovecha la oportunidad de probar estas herramientas mientras pruebas la nueva versión de CoyIM!