Hoy vamos a hablar de como usar un software de mensajería instantánea encriptada y de manera privada. Y si estás pensando en Whatsapp o Telegram, ¡¡ OLVÍDALO !! No son seguras. La única app de mensajería instantánea de las “conocidas” que podría recomendar sería Signal, Edward Snowden (Wikileaks), llegó a recomendarla en algún momento.
Tabla de contenidos
Jabber / XMPP
XMPP (Protocolo extensible de mensajería y comunicación de presencia) anteriormente llamado Jabber, es un prótocolo abierto y extensible basado en XML, originalmente ideado para mensajería instantánea.
A diferencia de los protocolos propietarios de intercambio de mensajes como ICQ, Y! y Windows Live Messenger, se encuentra documentado y se insta a utilizarlo en cualquier proyecto. Existen servidores y clientes libres que pueden ser usados sin coste alguno.
XMPP se desarrolló originalmente en la comunidad de código abierto de Jabber para proporcionar una alternativa abierta, segura, libre de spam y descentralizada a los servicios de mensajería instantánea cerrados en ese momento.
Servidores XMPP
XMPP es un software descentralizado, lo que siginifica, que si quieres y tienes los conocimientos suficientes puedes crear tu propio servidor XMPP. Sino podemos crear una cuenta gratuita (ID de Jabber) en un servidor público de Jabber/XMPP como jabber.hot-chilli.net
Al crear una nueva cuenta de Jabber/XMPP, se nos proporciona un JID (Jabber IDentifier) que tendrá la forma de nombre de usuario @jabberserver , por ejemplo , johndoe@jabber.hot-chilli.net. Para crear dicha cuenta sólo se nos pide un nombre de usuario y una contraseña, con lo que dicha contraseña es irrecuperable
Clientes Jabber / XMPP
En este artículo vamos a explicar como trabajar con el cliente de Escritorio Pidgin.
Además de clientes de escritorio, también hay clientes para smartphones. Os dejo un listado:
Para el ordenador:
- Gajim: Permite hacer videollamadas e incorpora funciones avanzadas.
- Jitsi: Un cliente muy completo con el que puedes hacer videollamadas.
- Psi: Cliente con funciones avanzadas y muy personalizable sin renunciar a la simplicidad.
Para Android:
- Xabber: Recomendado. Soporte para grupos de charla y mensajes cifrados.
- ChatSecure: Centrado en la mensajería cifrada.
Para iOS:
- Monal IM
- Boogie chat
- ChatSecure
Pidgin
Pidgin es software libre, protegido por la GPL de GNU. Fue escrito originalmente por Mark Spencer para sistemas de tipo Unix, pero en la actualidad funciona sobre muchas plataformas, incluyendo Microsoft Windows, Linux,
Los mensajes pueden ser cifrados utilizando plugins: usando el protocolo Off the record messaging (OTR). Al plugin se le llama OTR-Plugin.
Configuración de Pidgin y OTR
Instalar Pidgin y OTR
A través de la terminal :
sudo apt-get install pidgin pidgin-otr
Añadir cuenta en Pidgin
Abrimos Pidgin y vamos al menú Cuentas -> Gestionar cuentas -> Añadir
En las opciones de conexión, completamos los siguientes campos:
- Protocolo: tienen que ser XMPP
- Nombre de usuario: si nuestra ID de Jabber es : johndoe@jabber.hot-chilli.net, el nombre de usuario es johndoe
- Dominio: jabber.hot-chilli.net
- Apodo local: el peleas (culaquier alias que será visible para nuestros amigos).
Configurar OTR
Ahora hay que configurar el plugin OTR, que se encargará de cifrar la conversación y autenticar a los participantes.
Vamos al menú Herramientas -> Complementos y seleccionamos configurar el de “Mensajería Off-the-record”
En esta pantalla de configuración habría que dejarla tal cual. Pasos importantes:
- Hay que crear una “Huella de validación”
- Habilitar la mensajería privada
- No registrar las conversaciones.
Comenzar una conversación cifrada y verificada
Para comenzar una conversación, podemos hacerlo en el menú Amigos -> Mensaje instantáneo nuevo Aparecerá una ventana que nos pedirá el nombre de usuario o apodo de la persona que queremos hablar
Ahora mismo la conversación no esta cifrada ni verificada, como nos indica la información que aparece en la esquina inferior derecha, que pone “No privado”. Para cambiar esto, podemos hacerlo pinchando sobre esa misma información o sobre la opción del menú superior que pone OTR
Después de esto la conversación ya está encriptada, sólo nos falta autenticar a la persona al otro lado de la conversación, es decir, que la otra persona es quien dice ser.
Autenticar persona con OTR
Donde antes aparecía “No privado”, ahora pondrá “No verificado” y al pulsar sobre esa información podremos acceder a la opción de “Autenticar tu compañero/ra”
Nos saldrá una lista con varias opciones para Autenticar:
- Pregunta y respuesta
- Secreto compartido
- Verificación manual de la huella digital
Pregunta y respuesta
La verificación por pregunta y respuesta es útil si conocemos a la otra persona participante en la conversación. La verificación se basa en algo que ambos conozcan, como un sitio, una persona, un evento,…
Ponemos la pregunta que queremso hacer. Un buen ejemplo de pregunta puede ser ¿Dónde tomamos café los Lunes?. Un ejemplo de mala pregunta es ¿Cuál es la capital de España?
Secreto compartido
Un secreto compartido es algo que solo sabes tú y la persona con quién quieres hablar. Lo mejor es compartir este secreto con la otra persona presencialmente, nunca compartirlo por canales inseguros como Google, Skype, Whatsapp, … Por lo que esta opción es útil, si hemos preparado presencialmente el tener posteriormente una conversación a través de Pidgin y OTR
Verificación manual de la huella digital
Para verificar la huella de la otra persona participante en la conversación, necesitamos comprobar que coincide dicha huella, formada por 5 bloques de 8 caracteres alfanúmericos cada uno. Para que la otra persona nos diga su huella lo debemos hacer a través de un canal autentificado, como el teléfono o el correo electrónico firmado con GPG
Conversación encriptada y verificada
Una vez realizada la verificación y la activación de conversación privada, podemos ver que el texto que aparece en la esquina inferior derecha, pone “Privado”, con color verde.
