¿Qué es la mensajería extraoficial (OTR)?

[ware_item id=33][/ware_item]

Para los periodistas, la capacidad de proteger una fuente es vital para comunicarse con éxito con personas valiosas. Para las fuentes, lo que está en juego es aún mayor: su seguridad y libertad dependen de no ser identificadas como la fuente de una historia.


La mera revelación de que alguien dentro de una corporación u organización gubernamental habló con un periodista puede ser tan perjudicial como el contenido de la conversación misma..

Imagínese esto: después de recibir un aviso anónimo, una importante publicación de noticias cuenta una historia sobre una gran compañía petrolera que está encubriendo un accidente. El día después de la historia, la corporación se entera de que un empleado recientemente intercambió información encriptada con alguien de la compañía de noticias. La corporación dispara inmediatamente la fuga, termina su carrera y amenaza la fuga con una demanda grande y gorda.

Las comunicaciones extraoficiales ayudan a evitar que estos escenarios se desarrollen.

"Off-the-record" (OTR) como un término en periodismo se refiere a información de fuentes que oficialmente no existe, o conversaciones que "no ocurrieron". Esta información puede, pero no tiene que provenir de fuentes conocidas para el periodista, tomando la forma de cualquier cosa, desde un aviso anónimo hasta información de una fuente confiable.

Si bien muchas organizaciones noticiosas respetables tienen la política de no publicar información compartida, esta información aún puede desempeñar un papel fundamental para orientar a los periodistas en la dirección correcta o ayudar a los periodistas a encontrar fuentes citables con la misma información.

Echemos un vistazo a la mensajería OTR y cómo funciona.

OTR utiliza el secreto directo

Para comprender las características de OTR, echemos un vistazo a Pretty Good Privacy (PGP), que es anterior a OTR en más de 10 años. PGP es un software de cifrado en el que el remitente y el destinatario crean un par de claves de cifrado que utilizan para cifrar mensajes y datos. Es popular para correos electrónicos y transferencias de archivos y también permite a los usuarios firmar datos con una clave pública estática para demostrar su autenticidad. Esta clave a menudo se publicita en el sitio web del propietario o en los directorios, y su propietario puede usarla durante mucho tiempo.

Si bien el software de cifrado como PGP es efectivo para mantener en secreto el contenido de los datos comunicados, tiene algunos inconvenientes a la hora de mantenerse en contacto con sus fuentes. Si su clave de cifrado está expuesta, un atacante puede descifrar todas sus conversaciones anteriores si han interceptado y grabado los mensajes cifrados..

OTR protege sus mensajes de ser descifrados mediante la práctica de "secreto perfecto hacia adelante".

El secreto directo significa que tiene secreto hoy, incluso si su clave se ve comprometida en el futuro. OTR proporciona secreto hacia adelante mediante el uso de una clave diferente para cada sesión, que no se almacena una vez finalizada la sesión.

La desventaja de tener diferentes claves para cada sesión es que no puede recuperar su historial sin iniciar sesión en texto claro, lo que podría comprometerlo más adelante. Además, no hay forma de saber si la otra parte lo está registrando, pero no les habría revelado su identidad o información valiosa si no hubiera confiado en ellos, para empezar.?

OTR proporciona autenticación y cifrado denegables

Autenticación denegable

En PGP, puede usar la clave estática para firmar cualquier tipo de datos o texto. Esta firma lo autentica sin dudas y muestra que creó o aprueba ciertos mensajes. Pero como esta firma es visible para cualquier observador, puede revelar las identidades de las dos partes que se comunican.

Prácticas de OTR autenticación denegable. Esto significa que es imposible para un espía distinguir únicamente de los mensajes cifrados quién se está comunicando con quién. Solo los participantes obtienen información sobre las identidades de los demás en forma de huella digital..

Para verificar las identidades de cada uno y asegurarse de que nadie esté realizando un ataque de hombre en el medio, puede publicar sus huellas digitales o intercambiarlas a través de un canal alternativo, por ejemplo, en persona o en sus perfiles de redes sociales. Este intercambio de huellas digitales es una característica importante que hace que OTR sea significativamente más anónimo que PGP.

Cifrado denegable

De manera similar a la autenticación, PGP permite a un observador o espía ver qué clave privada desbloquea un archivo cifrado. Incluso si el atacante no puede obtener esta clave privada, sabe quién la posee y puede presionar a una víctima o sospechoso de un delito para descifrar el archivo.

En OTR, es imposible ver quién posee la clave de una conversación encriptada. Además, es posible que la clave se haya destruido inmediatamente después de la conversación. Se llama cifrado denegable.

Si bien la autenticación y el cifrado denegables pueden ser seguros o incluso importantes en algunos contextos, hay otras formas de vincular las claves de dos partes a sus identidades reales, como a través de los canales de chat, cuentas y direcciones IP utilizadas en una conversación.

Siga leyendo para descubrir cómo salvaguardar su anonimato cuando usa la comunicación OTR.

Requisitos básicos para OTR

En teoría, el uso de OTR es similar a PGP, pero no tiene que preocuparse por crear, publicar y compartir claves manualmente, ni preocuparse por sus fechas de vencimiento. Estos son los pasos básicos para usar OTR.

  1. Instale el software OTR. Como OTR está restringido a chats, viene con una variedad de software de chat, especialmente Pidgin (Windows, Linux), Adium (Mac OS X), Chat Secure (iOS, Android) y Tor Messenger (multiplataforma, aún en beta).
  2. Configure una cuenta de chat compatible con estos clientes de mensajería. La cuenta debe al menos admitir protocolos como jabber / xmpp, un sistema abierto y descentralizado que funciona de manera similar al correo electrónico. La mayoría de las cuentas de Gmail o Google Apps también funcionan como cuentas de jabber, sin costo adicional. También hay muchos servicios que le permiten registrar una cuenta jabber de forma libre y anónima..
  3. Agregue sus contactos como "amigos" para chatear con ellos. Ingrese su dirección de jabber, que es similar o idéntica a su dirección de correo electrónico.
  4. Para iniciar un mensaje OTR, haga clic en "iniciar conversación privada" o haga clic en el símbolo de un candado, según el software que esté utilizando.
  5. Para verificar la identidad de su amigo, comparta su huella digital entre sí. Puede ver su huella digital haciendo clic en "verificación manual" en su ventana de chat. Si ya ha establecido un canal encriptado verificado, puede verificar entre sí a través de eso. También puede incluir su huella digital en su sitio web o redes sociales.

Cómo mantener el anonimato en OTR

Si bien el protocolo OTR en sí mismo es bastante sorprendente para proteger su privacidad y anonimato, es menos poderoso si usa un canal que se puede vincular a su identidad real. Tener una negación criptográfica es excelente en teoría, pero anula el propósito si se está comunicando a través de su cuenta de Google Apps de trabajo, donde su empleador, Google y, presumiblemente, el gobierno pueden ver a quién está enviando mensajes. A menudo eso es suficiente para que saquen conclusiones sobre las identidades de su fuente y colaboradores.

Aquí le mostramos cómo permanecer anónimo cuando usa OTR.

Paso 1: usa varias cuentas

El primer paso para mejorar su privacidad es utilizar varias cuentas y ser consciente de a quién agrega en cada cuenta. Puede ir tan lejos como crear una nueva cuenta para cada uno de sus contactos. Para evadir el análisis de correlación de cuándo y dónde inicia sesión, puede registrar estas cuentas en varios servidores y servicios.

Paso 2: conéctate a OTR a través de VPN o Tor

El segundo paso es conectarse siempre a estas cuentas de chat a través de una VPN o incluso Tor, especialmente cuando se está registrando. Iniciar sesión solo una vez desde la dirección IP de su hogar o trabajo es suficiente para comprometerlo.

Paso 3: verificar la identidad del destinatario

El último paso es el más agotador: verificar la identidad del destinatario. Esto es especialmente importante para garantizar que ningún tercero intercepte el intercambio en el medio, sustituyendo las claves OTR de su contacto por las suyas. Su conexión se verá segura y cifrada para usted, pero en realidad puede no serlo hasta que verifique las claves.

Para verificar la identidad de su destinatario de manera confiable, una buena práctica es transmitir su huella digital a través de un canal confiable como su tarjeta de visita, sitio web o cuenta de redes sociales. (Puede encontrar su huella digital en "configuración" o "verificar manualmente").

Cómo permanecer anónimo al compartir archivos

Si bien el protocolo jabber y muchos clientes teóricamente permiten compartir archivos o archivos adjuntos, rara vez funciona y no utiliza cifrado.

Para compartir archivos, ExpressVPN recomienda Onionshare, un servicio de intercambio de archivos P2P creado a través de Tor. De esa manera, ninguna de las partes puede identificar a la otra fácilmente a través de su dirección IP, y el archivo se cifra en tránsito.

Al igual que con cualquier descarga, tenga en cuenta que los archivos pueden contener código malicioso que podría desanonimizarlo. Su mejor opción es desconectarse de Internet antes de abrir los archivos, o abrir los archivos dentro de una máquina virtual.

Tenga cuidado de hacer clic en cualquier tipo de enlaces, especialmente los abreviados, ya que pueden contener códigos de seguimiento que lo hacen identificable para la otra parte. Si debe abrir enlaces sospechosos, solo ábralos dentro del navegador Tor.

Haga clic aquí para aprender cómo configurar una cuenta anónima de Jabber con cifrado OTR.

Imagen destacada: Scott Griessel / Dollar Photo Club

¿Qué es la mensajería extraoficial (OTR)?
admin Author
Sorry! The Author has not filled his profile.