Mensajería instantánea encriptada y privada: Jabber, OTR y Pidgin

Hoy vamos a hablar de como usar un software de mensajería instantánea encriptada y de manera privada. Y si estás pensando en Whatsapp o Telegram, ¡¡ OLVÍDALO !! No son seguras. La única app de  mensajería instantánea de las “conocidas” que podría recomendar  sería Signal, Edward Snowden (Wikileaks), llegó a recomendarla en algún momento.

 

Jabber / XMPP

XMPP (Protocolo extensible de mensajería y comunicación de presencia) anteriormente llamado Jabber, es un prótocolo abierto y extensible basado en XML, originalmente ideado para mensajería instantánea.

A diferencia de los protocolos propietarios de intercambio de mensajes como ICQ, Y! y Windows Live Messenger, se encuentra documentado y se insta a utilizarlo en cualquier proyecto. Existen servidores y clientes libres que pueden ser usados sin coste alguno.

XMPP se desarrolló originalmente en la comunidad de código abierto de Jabber para proporcionar una alternativa abierta, segura, libre de spam y descentralizada a los servicios de mensajería instantánea cerrados en ese momento.

 

Servidores XMPP

XMPP es un software descentralizado, lo que siginifica, que si quieres y tienes los conocimientos suficientes puedes crear tu propio servidor XMPP. Sino podemos crear una cuenta gratuita (ID de Jabber) en un servidor público de Jabber/XMPP como jabber.hot-chilli.net

Al crear una nueva cuenta de Jabber/XMPP, se nos proporciona un JID (Jabber IDentifier)  que ​​tendrá la forma de nombre de usuario @jabberserver , por ejemplo , johndoe@jabber.hot-chilli.net. Para crear dicha cuenta sólo se nos pide un nombre de usuario y una contraseña, con lo que dicha contraseña es irrecuperable

 

Clientes Jabber / XMPP

En este artículo vamos a explicar como trabajar con el cliente de Escritorio Pidgin.

Además de clientes de escritorio, también hay clientes para smartphones. Os dejo un listado:

Para el ordenador:

  • Gajim: Permite hacer videollamadas e incorpora funciones avanzadas.
  • Jitsi: Un cliente muy completo con el que puedes hacer videollamadas.
  • Psi: Cliente con funciones avanzadas y muy personalizable sin renunciar a la simplicidad.

Para Android:

  • Xabber: Recomendado. Soporte para grupos de charla y mensajes cifrados.
  • ChatSecure: Centrado en la mensajería cifrada.

Para iOS:

  • Monal IM
  • Boogie chat
  • ChatSecure

 

Pidgin

Pidgin es software libre, protegido por la GPL de GNU. Fue escrito originalmente por Mark Spencer para sistemas de tipo Unix, pero en la actualidad funciona sobre muchas plataformas, incluyendo Microsoft Windows, Linux,

Los mensajes pueden ser cifrados utilizando plugins: usando el protocolo Off the record messaging (OTR). Al plugin se le llama OTR-Plugin.

 

Configuración de Pidgin y OTR

Instalar Pidgin y OTR

A través de la terminal :

sudo apt-get install pidgin pidgin-otr

 

Añadir cuenta en Pidgin

Abrimos Pidgin y vamos al menú Cuentas -> Gestionar cuentas -> Añadir

anadir-cuenta-pidgin

En las opciones de conexión, completamos los siguientes campos:

  • Protocolo: tienen que ser XMPP
  • Nombre de usuario: si nuestra ID  de Jabber es : johndoe@jabber.hot-chilli.net, el nombre de usuario es johndoe
  • Dominio: jabber.hot-chilli.net
  • Apodo local: el peleas (culaquier alias que será visible para nuestros amigos).

 

Configurar OTR

Ahora hay que configurar el plugin OTR, que se encargará de cifrar la conversación y autenticar a los participantes.

Vamos al menú Herramientas -> Complementos y seleccionamos configurar el de “Mensajería Off-the-record”

configurar plugin OTR

En esta pantalla de configuración habría que dejarla tal cual. Pasos importantes:

  • Hay que crear una “Huella de validación”
  • Habilitar la mensajería privada
  • No registrar las conversaciones.

 

Comenzar una conversación cifrada y verificada

Para comenzar una conversación, podemos hacerlo en el menú Amigos -> Mensaje instantáneo nuevo Aparecerá una ventana que nos pedirá el nombre de usuario o apodo de la persona que queremos hablar

Ahora mismo la conversación no esta cifrada ni verificada, como nos indica la información que aparece en la esquina inferior derecha, que pone “No privado”. Para cambiar esto, podemos hacerlo pinchando sobre esa misma información o sobre la opción del menú superior que pone OTR

conversacion-privada

Después de esto la conversación ya está encriptada, sólo nos falta autenticar a la persona al otro lado de la conversación, es decir, que la otra persona es quien dice ser.

conversacion-sin-verificar

 

Autenticar persona con OTR

Donde antes aparecía “No privado”, ahora pondrá “No verificado” y al pulsar sobre esa información podremos acceder a la opción de “Autenticar tu compañero/ra”

autenticar

Nos saldrá una lista con varias opciones para Autenticar:

  • Pregunta y respuesta
  • Secreto compartido
  • Verificación manual de la huella digital

metodos-autenticacion

 

Pregunta y respuesta

La verificación por pregunta y respuesta es útil si conocemos a la otra persona participante en la conversación. La verificación se basa en algo que ambos conozcan, como un sitio, una persona, un evento,…

Ponemos la pregunta que queremso hacer. Un buen ejemplo de pregunta puede ser ¿Dónde tomamos café los Lunes?. Un ejemplo de mala pregunta es ¿Cuál es la capital de España?

autentificar-otr-pregunta

 

Secreto compartido

Un secreto compartido es algo que solo sabes tú y  la persona con quién quieres hablar. Lo mejor es compartir este secreto con la otra persona presencialmente, nunca compartirlo por canales inseguros como Google, Skype, Whatsapp, … Por lo que esta opción es útil, si hemos preparado presencialmente el tener posteriormente una conversación a través de Pidgin y OTR

autentificar-otr-secreto

 

Verificación manual de la huella digital

Para verificar la huella de la otra persona participante en la conversación, necesitamos comprobar que coincide dicha huella, formada por 5 bloques de 8 caracteres alfanúmericos cada uno. Para que la otra persona nos diga su huella lo debemos hacer a través de un canal autentificado, como el teléfono o el correo electrónico firmado con GPG

autentificar-otr-huella

 

Conversación encriptada y verificada

Una vez realizada la verificación y la activación de conversación privada, podemos ver que el texto que aparece en la esquina inferior derecha, pone “Privado”, con color verde.

OTR-privada-autentificada-final

 

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada.