Según publica Kriptopolis, recogiendo una noticia aparecida en Cryptome, la NSA se ha lanzado al control directo de los servicios Web de correo cifrado y de programas cortafuegos para Windows.
La información proviene de un "topo" denominado "A" por Cryptome y los servicios comprometidos (se copia aquí el texto aparecido en Kriptopolis) serían los siguientes:
"Hushmail: Ahora totalmente en manos de una entidad privada afiliada a la NSA. Ha mantenido relaciones informales con la NSA durante años, que en la práctica permitieron a la agencia acceso en tiempo real a los servidores de alojamiento de Hushmail.
Safe-mail.net: Empresa israelí, irónicamente elogiada por la NSA en privado por su implementación de Sendmail con un interfaz gráfico web con SSL. Ahora proporciona a la NSA de información del servidor de correo en tiempo real.
Guardster.com (proxy SSH/SSL): Contratistas de la NSA han "comprado" derechos de acceso total a los servidores de Guardster hace unos días.
Pero aún más preocupantes resultan las afirmaciones de "A" sobre cierto software de seguridad para Windows...
En la misma línea esbozada por Cryptome hace casi dos meses, "A" asegura que ZoneAlarm, Symantec y MacAfee (sic) facilitan a la NSA la administración por acceso remoto de sus productos, a través de los puertos TCP 1024 a 1030.
Según "A", se desconoce sin embargo si el enrutamiento port forward de esos mismos productos impide o no el acceso de la NSA".
La veracidad de esta noticia puede ser tan discutible como se quiera. Que resulte coherente con la política de control universal de la información por parte de los Estados, no la convierte en real. Puede tratarse de una mera intoxicación o de una guerra comercial, pero lo cierto es que es posible y que, tanto la NSA, como cualesquiera otras instituciones públicas de seguridad estarán muy interesadas en conseguir este objetivo.
También puede tratarse de una mera maniobra de diversión, de forma que, arrojando sospechas sobre determinados productos o servicios, se provoque la huída de sus usuarios hacia otros realmente comprometidos.
En cualquier caso debemos recordar que Hushmail ya se apresuró a revelar datos que, supuestamente y según sus propias declaraciones, no podía conocer, ante el requerimiento de un tribunal canadiense. Tanto es así, que esas afirmaciones tajantes ya han sido modificadas: "Hushmail explicita por fin que su sometimiento a las leyes de Canadá le puede obligar a revelar cuanto formalmente se le exija..."
A partir de ahí, ya da lo mismo que exista o no un acuerdo con la NSA. No es posible confiar en la seguridad ofrecida por ningún servicio externo a la propia máquina.
El uso sencillo del cifrado de correos electrónicos necesita la instalación de los siguientes programas:
Gnupg. Es el programa que realizará el cifrado de los documentos. Para la versión Windows, el programa puede bajarse desde esta página. Aquí se encuentran tanto los códigos fuente como los binarios ejecutables. Como se trata de facilitar las cosas a quien necesite la herramienta pero no quiera o no tenga tiempo de “fabricarla”, lo aconsejable es descargar el archivo ejecutable. Esto se hace pinchando sobre el enlace marcado con una B: · GnuPG 1.4.8 compilado para Microsoft Windows. B FTP
Para poder automatizar, de la manera más sencilla posible, el trabajo de creación de claves, cifrado y envío, lo más recomendable es el uso del programa de correo Tunderbird. La versión Windows se descarga, gratuitamente también, de esta página.
Finalmente, será necesario instalar la extensión para Thunderbird llamada “enigmail” que se descargará desde aquí.
Instalación en Windows.
La instalación de estos tres programas en Windows no representa ninguna dificultad. En primer lugar, una vez descargado Gnupg encontraremos en la carpeta en la que se haya guardado la descarga el icono del programa. Basta pulsarle con el ratón para que el instalador se ponga en funcionamiento. A partir de ahí, irán apareciendo sucesivas ventanas en las que únicamente habrá que pulsar sobre el botón “aceptar” cada vez que el programa lo solicite.
Acabada la instalación, nada parecerá haber cambiado en la máquina. Gnupg no es un programa gráfico. Desde ese momento puede utilizarse, pero mediante línea de comandos y en la consola de Windows. Esto, desde luego, no resulta muy práctico para los usuarios de Windows, pero la dificultad es irrelevante, porque el funcionamiento a través de un entorno gráfico se logrará mediante el programa de correo Thunderbird y su extensión Enigmail. Lo único que debemos tener claro, en este momento, es que Gnupg ya está instalado en nuestra máquina y preparado para funcionar.
La instalación de Thunderbird es idéntica. Se pulsa sobre el icono que aparece en la carpeta en la que se realizó la descarga y se pulsa “aceptar” cada vez que el programa lo solicite. Una vez instalado, naturalmente, habrá que enganchar una cuenta de correo activa. Esto puede representar algún quebradero de cabeza para alguien que jamás haya utilizado un programa de correo electrónico, pero esta posibilidad, en estos tiempos, es realmente remota. La obviamos y, en todo caso, basta seguir el asistente de instalación de cuentas para que el problema desaparezca. No obstante, quizás sí sea conveniente advertir que toda cuenta de correo tendrá un “servidor de entrada”. Así por ejemplo en Gmail, el servicio de cuentas de correo de Google, este será. pop.gmail.com; en Yahoo España, será pop.correo.yahoo.es; etc.
También es necesario indicar a Thunderbird un “servidor de salida”. Según los ejemplos anteriores, para Google sería: smtp.gmail.com y para Yahoo: smtp.correo.yahoo.es
Para el servidor de entrada habrá que indicar algún protocolo de conexión setura. En los ejemplos utilizados será SSL, y lo mismo para el servidor de salida, también SSL, con la salvedad que aquí habrá que tener cuidado de que en la opción puerto, se escriba el número de puerto 465.
Estos son ejemplos y otros servicios de correo podrán tener otras configuraciones. Tales configuraciones estarán correctamente explicadas en la “ayuda” de la página Web de esas cuentas y bastará seguir sus indicaciones.
Así, dando por hecho que tanto Gnupg como Thunderbird están instalados y funcionado, sólo queda la instalación de Enigmail. Para ello, bien desde la opción del menú de Thunderbird “Herramientas – Extensiones” se llega a la página de descarga de extensiones para Thunderbird. Una vez allí, basta escribir en la casilla de búsqueda “Enigmail” y se llegará a la página de descarga de esta extensión. Otra manera más directa es utilizar este enlace.
En la página encontraremos un botón verde con la leyenda “instalar”. Lo que inmediatamente pensará un usuario no avisado es que debe pulsar ese botón para que el nuevo programa se instale automáticamente. De hecho así es como funciona la instalación de extensiones en el navegador Firefox. Sin embargo, en este caso la cosa es algo distinta.
No se debe pulsar el botón de instalación y esperar que todo funcione. Por el contrario, las extensiones de Thunderbird tienen un sistema de instalación algo peregrino. Primero es necesario descargar la extensión a nuestra máquina. Esto se hará pulsando con el botón derecho del ratón sobre el citado botón verde. En el menú desplegable que se abre, siempre que estemos utilizando el navegador Firefox, cosa muy aconsejable, aparece la opción “guadar enlace como”. En la ventana siguiente, sin cambiar nada más, se pulsa sobre el botón “guardar”. Cuando la descarga termine, encontraremos el correspondiente icono en la carpeta en la que ésta se haya realizado.
Lo siguiente es la instalación propiamente dicha. Para ello se abre Thunderbird y se pulsa la opción “extensiones” que aparece en el menú “Herramientas”. Esto abre una nueva ventana en cuya parte inferior aparece un botón con la leyenda “instalar”. Se pulsa y, con ello se abre una nueva ventana en la que podremos navegar por las carpetas del sistema hasta aquella en la que se guardó la extensión Enigmail cuando se descargo. Llegados a dicha carpeta, veremos el icono de la extensión. Se hace doble click sobre él y la instalación comenzará y terminará automáticamente. Para que todo quede en funcionamiento bastará cerrar y abrir Thunderbird. En este momento, ya solo falta crear un par de claves asociada a nuestra cuenta de correo.
Instalación en Linux.
Contrariamente a lo que se pudiera esperar, aquí la instalación es muchísimo más fácil que en Windows. Tanto Firefox, como Thunderbird, Gnupg y la extensión Enigmail, o están instaladas por defecto en las distribuciones, o están preparadas en los repositorios. Así, por ejemplo, en Ubuntu, bastará abrir el menú “Aplicaciones”, pulsar la opción “Instalar, quitar software” y, en la ventana que se abre, buscar “Enigmail”. Instalando directamente la extensión, Thunderbird y los demás programas que puedan ser necesarios (dependencias) Se instalarán automáticamente y todo estará preparado para comenzar a crear las claves asociadas a la cuenta de correo oportuna.
Creación del par de claves.
Cualquier buscador Web está lleno de manuales donde se explica perfectamente y con imágenes de las distintas pantallas del programa, como crear y utilizar el cifrado de correo en Thunderbird. Esta, o esta otra, posiblemente, sean unas de las más detalladas, pero hay otras:
Una última recomendación. Enigmail da la posibilidad de crear claves de distinta fortaleza. Por defecto, la clave será de 2048 bits. Esto se debe a una elección meramente práctica pensada para máquinas poco potentes. En la actualidad es difícil encontrar ordenadores a los que les cueste demasiado tiempo crear una clave de 4096 bits y, mucho menos, trabajar con ella, por lo tanto, pudiendo lo más, no hay ninguna razón para conformarse con lo menos. Aquí no presumimos que el enemigo a las puertas sea un mero fisgón con medios limitados, sino alguien realmente serio. Facilitarle las cosas optando por claves más débiles, cuando podemos hacerlo por otras más fuertes, no es nuestro propósito.
