Crypto.cat, chat online, cifrado y software libre

Cryptocat es el programa de chat definitivo: funciona en el navegador (pero también tiene versiones para móvil, al menos para Android), usa cifrado AES-256 de un extremo a otro, tiene estética de 8-bits, un gatito con los ojos grandes hace de icono protagonista… y es software libre.

Dice Nadim Kobeissi (joven de 21 años que ha desarrollado el software, que descubrimos via Threat Level) que lo hizo para «aunar sus dos grandes pasiones: la criptografía y los gatos». Por sus gustos los conocerán y esto es, señores, un auténtico hijo de su tiempo, un nativo digital en toda regla :D

En una línea mucho menos divertida, sus aficiones (me temo que mucho más el cifrado que los gatos) le han llevado a formar parte de esa lista de personas que cada vez que entran en Estados Unidos son sometidos aún a más preguntas de las normales. Habiendo terminado de leer Little Brother de Cory Doctorow recientemente (un libro muy recomendable del que prometo hablar en otro momento) que todo lo que le haya caído a este joven sean interrogatorios casi parece poco (cualquier día lo meten en una no-fly list y le joden la vida, quiero decir), pero que existan personas capaces de hacer desarrollos como éste y liberarlos me devuelve el optimismo y me demuestra que que si ellos tienen todas las preguntas, nosotros tendremos todas las respuestas.

Doctor en Química laser especializado en desarrollo de hardware para análisis. Consultor y Project Manager. Autor de los libros publicados La sociedad de control y La neutralidad de la Red.

19 Comments

  1. pero diría que llega a ser insuficiente. No conozco nada comparable al viejo email con claves gpg de 2048 bits, o jabber con gajim todo lo más. Al mismo tiempo, si hay necesidad de proteger la comunicación, entiendo que es más cómodo que la comunicación sea asincrónica para revisar con más tranquilidad el historial

    Por otra parte, nos hemos hecho a unas redes que nos proporcionan las empresas, en vez de extender el uso de jabber y otros protocolos libres… yo soy el primero en apreciar la criptografía fuerte, sobre todo para cuando la comunicación es importante, pero diría que en estos tiempos de google y facebook es mucho más importante usar protocolos libres. Y no se consigue…

    • Yo creo en lo que tú dices, pero estamos en ese grupo (minoritario, mal que nos pese) que no se amedrenta si tiene que instalar un cliente de correo en local para poder hacer todo eso, o un cliente de jabber nativo para tu SO. Desde el punto de vista del activista la opción clara es la de usar un sistema plenamente autónomo, pero tener conversaciones en el navegador cifradas de extremo a extremo es algo utilísimo de cara a la privacidad de muchas personas.

      ¿Y no sería posible conseguir que más personas den el salto hacia esos sistemas que permiten usar cifrado potente? Pues sería deseable (yo uso gpg de 4096 bits, se me fue la mano la última vez que actualicé claves xD) pero la experiencia nos demuestra que no han dado el salto. Peor aún, el otro día hubo un colapso en Google Talk y yo, que uso un servidor de Jabber autónomo, me quedé con sólo 3 contactos online. T-r-e-s. Todos los demás contactos jabber que tengo usan Google Talk… y ése es un grupo de usuarios «casi» avanzado, nos da para tener una idea general de cómo va la cosa para el resto :(

    • Y aún hay más, no sólo es problema de los usuarios. Parece (no estaba al tanto) que se planea la sustitución de los sistemas de control de tráfico aéreo tradicionales (basados en tecnología radar) por un nuevo sistema que permite la comunicación mediante radiofrecuencia entre aviones, así como entre aviones y tierra (Automatic Dependen Surveillance-broadcast, o ADS-B). Sin embargo, parece que el sistema es inseguro:

      The problems with ADS-B are identical to many other types of critical infrastructure systems that lack encryption and authentication of communications. The communication that occurs between planes and ground systems is transmitted in cleartext and doesn’t require the source of a transmission to be authorized, thereby allowing an attacker on the ground to intercept, read and change messages being transmitted or to inject wholly fake messages into the communication stream that the system accepts as genuine.

      Toma facepalm, si ni siquiera los ingenieros de aeronaútica y telecomunicaciones tienen en cuenta la cuestión del cifrado de datos, estamos (como conjunto social) mucho más perdidos de lo que creíamos :(

  2. Nadie quiere verlo. No es que sea paranoico: es que es una molestia innecesaria.

    Es parte de un problema mayor: menos y menos población quiere entender cómo funcionan sus medios digitales. Sólo quieren usarlos como consumidores perfectos (aka no empoderados). Tu querida “tabletización” es un síntoma de un espantoso problema mayor.

    No tiene solución a gran escala. Lo único que veo razonable es apostar con tu entorno cercano a un “back to the roots”, especialmente con niños. Que tengan la experiencia del control, la elección, la creación, la actitud activa.

    Yo hace tiempo que tiré la toalla con GPG. No se usa ni con información muy sensible. Es libre, es gratis, es sencillo de manejar. Da igual, porque es “una cosa más”: algo nuevo que aprender de un recurso que se desprecia porque “es aburrido”, porque lo tiene todo el mundo, porque me obligan a usarlo en el curro.

    El personal quiere ver series o usar giliapps. No acepta que la ley del mínimo esfuerzo fortalece sus cadenas y su debilidad. En los tiempos que vamos a vivir, jodidos y de represión creciente, ni siquiera buena parte de los políticamente activados son conscientes de lo que podrían hacer con medios adecuados (libres y gratuitos) y de lo que les pueden hacer por no controlarlos. La encriptación debería ser entendida como un derecho ciudadano tan esencial como el resto del secreto de las comunicaciones, pero es algo de frikis. Pero cuando les vengan a buscar a los que se han descuidado en el 15M y no protegido su identidad, se les aplicará el poema de Niemeyer y listos.

    En estas condiciones, ser optimista es luchar victoriosamente con la realidad. Una asombrosa panoplia de herramientas se queda en nada porque, ni aún cuando vamos cuesta abajo y sin frenos, hay conciencia de su importancia y necesidad

  3. Excelente herramienta, y es muy sencilla de usar. Además no pide que creemos un usuario, eligiendo en qué momento queremos mantenernos anónimos sin que nadie registre nuestra actividad online a cambio de darnos una identidad. Sigue siendo necesario!

    • Como tal, es una herramienta imperfecta: vive en el navegador, pide sincronización (como todo chat, alguien debe estar leyendo al otro lado en tiempo real) y pide que seamos capaces de demostrar quiénes somos, todo ello es mejor y más fácil usando herramientas tradicionales de escritorio. Pero como prueba de concepto, como medio para llevar la privacidad un punto más allá, intentando ganar un poquito de espacio en un terreno tan hostil (por lo mastodóntico, diverso y complejo) como un navegador en el que hacemos prácticamente de todo, es una herramienta buenísima :)

      • Exacto! Por eso último que decís es que me gustó mucho. Entiendo que la herramienta no es perfecta, pero en definitiva está buenísimo que alguien se plantee el problema de llevar la privacidad hasta al entorno que estamos usando cada vez más.

  4. Que es lo siguiente: yo soy de esos con una especie de mala conciencia; o mejor dicho, que creo que acá en Uruguay para lo que estoy usando mis comunicaciones digitales en este momento aún no debo preocuparme por el Estado. De repente me puedo preocupar un poco más por terceros, pero me considero ‘insignificante’ digamos como para que se ponga alguien a interceptar mis comunicaciones.
    Ahora, dicho esto, sin embargo le comentaba a Versvs que en el futuro cercanísimo por razones concretas que no vienen al caso cifraré muchísimas de mis comunicaciones.

    Pero a lo que quiero llegar es a lo siguiente: que la concientización de lo saludable del “cifrado” trae aparejada la necesidad de inversión de tiempo en ‘aprender’. Y, ya sabemos que somos partidarios de la etica hacker y todo eso, pero que el grueso de los usuarios no-avanzados no tienen ni idea de lo que es “hacker” y eso plantea una dificultad y un hueco en el aprendizaje. Porque esto no se enseña en la escuela ni en la UNI

    No voy a justificar el analfabetismo digital en personas que tienen todos los medios materiales para no serlo, ni en que se queden esperando a un maestro para dar el paso. Pero de todos modos quiero remarcar que hay una brecha enorme entre la forma de enseñar y aprender tradicional, y la forma de aprender que implica este tipo de cosas. Que es una forma autodidacta muchas veces, como sabemos. Esto no quiere ser una toma de partido por el analfabetismo voluntario, ni nada por el estilo. Sino un llamado de atención digamos, sobre las dificultades que es necesario sortear para aprender sobre soft libre, redes distribuidas, cifrado, etc.

    No en vano Cory Doctorow decía que era importante “enseñar a hacer trampas” cierto?.
    Llegados a este punto creo que queda seguir reconociendonos como parte de una minoría, y como dice Juan integrarnos con nuestro entorno cercano (eso si, sin encerrarnos!!!) y enseñar a las nuevas generaciones.

    • Me gustó la forma en que Juan Luis ha expresado lo que el otro día buscábamos y que (por no encontrarlo) generó más polémica de la cuenta: «el problema es la ley del mínimo esfuerzo». Creo que encaja perfectamente con tu descripción:

      >> hay una brecha enorme entre la forma de enseñar y aprender tradicional, y la forma de aprender que implica este tipo de cosas

      La educación tradicional anima a resolver las cosas mediante el mínimo esfuerzo (por eso surgieron hace ya más de una década sitios como «El rincón del vago»), en lugar de inculcar ese espíritu curioso y/o explorador que tanta falta hace para el aprendizaje de todo lo que nos ha traido lo digital.

  5. Sin embargo, herramientas como ésta, que son bien sencillas de usar y no requieren aprender casi nada, demuestran que no es tanto un tema de competencias digitales, sino de consciencia. Esto depende de si uno se siente o no “insignificante” o poco interesante de espiar. Cuando usamos Internet para la comunicación cotidiana no percibimos la necesidad de encriptar las comunicaciones, pero alguien que realmente está en movidas importantes en Internet, como un ciberactivsta, seguro que va a notar enseguida esa necesidad.

    Por eso digo que no se trata tanto a estas alturas de lo avanzado que pueda ser un usuario (esta herramienta, pongamos por caso, es de lo más sencilla y hasta se puede usar en teléfonos móviles o invitar a amigos de Facebook), sino de cómo está viviendo sus relaciones con Internet. Estoy segura de que ni bien uno está metido en acciones mínimante públicas y conocidas en la red (y no se necesita mucho para eso), va a vivir más temprando que tarde algún incidente (por ejemplo, recibir alguna amenaza o ser víctima de alguna filtración) que le llevarán a considerar la necesidad de proteger mejor sus comunicaciones y su identidad.

  6. “que son bien sencillas de usar y no requieren aprender casi nada”. Esa es la trampa en la que sin darnos cuenta podemos caer!!

    A ver yo no le voy a dar para atrás a una herramienta como esta. Está buena eh, lo reconozco, pero justamente ese entrecomillado es el quid de la cuestión: instalar una herramienta sin saber casi nada es prácticamente equivalente a ser una analfabeto digital. Como decía el post de versvs, sin educación y conocimiento no hay ni habrá libertad.

    En ese sentido un activista (o cualquier persona vamos) que se quede con una solucion de este tipo y no vea el resto de la foto está frito. Blindar la identidad de uno necesita de otras cosas para las que es necesario aprender y que no vienen de fábrica (como tampoco la consciencia, de hecho las personas somos conscientes de nosotros mismos luego de 2 o 3 años de aprendizaje y vida. Momento en el cual un niño deja de referise a si mismo como “el nene” o sea en tercera persona, y empieza a hablar desde el “mi”)
    Pero decía, blindar y proteger la identidad de verdad es como mínimo: usar un nick de guerra, contratar una VPN en EEUU y alojar los contenidos en un servidor instalado en uno de esos países un poco relajados con las leyes. Además de, por supuesto, cifrar el
    correo a un nivel superior.

    Para el resto de las cosas, yo soy plenamente consciente de que el valor que le puedo aportar a un tercero si intercepta mis comunicaciones es insignificante. Y de hecho los datos más valiosos para mi el Estado y alguna corporación ya los tienen, porque:
    1 – No hubo más remedio que dárselos
    2 – Entiendo lo que estoy dando y sin embargo que el costo/beneficio de la relación es aceptable. (Cualquiera que tenga cualquier tipo de tarjeta de crédito o débito o que use algún tipo de servicio bancario, ya ha dejado más de lo que “en general” se imagina. Y lo que resta por ver y de lo que no podremos escapar! jo! demosle un par de años nomás para que avance la bancarización y las transacciones digitales)

    Ahora en el sentido del punto 2, lejos de que uno se ‘sienta” insignificante, la clave es no comerse en lugar de la pastilla roja, una pastilla fluorescente. T por lo menos para mi caso, sé que información es sensible y debo cuidar, y cuál verdaderamente es insignificante. O en otras palabras, en que circunstancias me tengo que callar la boca y serenar mis dedos sobre el teclado.
    “a conspiración real no suele girar en torno a nosotros; en la mayoría de los casos somos piezas minúsculas en planes más grandes decía Win Pollard. Un sano aviso contra la apofenia :)

  7. La sencillez en estos casos ayuda. Por ejemplo, esta herramienta, me sirve para convencer a mi partner de chat de que rápidamente podemos ir a conversar a un lugar más privado.

    Y el sólo hecho de saber que existe la herramienta y decirle a otros que está disponible es parte de ese aprendizaje en competencias digitales. Porque no se trata solamente de aprender lo técnico en sí y lograr sortear la dificultad que eso entraña. Aprendemos también cambiando los protocolos sociales, difundiendo la netiqueta, haciendo ingeniería social. Hay tanto esfuerzo que hacer en este sentido, que sinceramente prefiero que las herramientas lo faciliten y no lo dificulten.

    Este chico de 21 años puso a disposición sus conocimientos de criptografía, que no todos tenemos, para que mucha gente pueda aprovecharlos a través de una herramienta poco complicada. Es bueno no tener que saber lo mismo que él sabe para poder usarla! A partir de ahí empieza otro trabajo, que se suele llamar de “empoderamiento digital” que también es complejo, que es más social que tecnológico y que lo podemos afrontar más eficazmente porque tenemos solucionado el tema de la herramienta.

  8. Una es si la herramienta sirve para ayudar a expandir la netiqueta o no. Y qué es más importante: si cambiar los protocolos y hacer ingeniería social o (hablando a lo bruto) si que las personas aprendan a programar ponele.

    Y otra cosa es remarcar la brecha que existe entre el que tiene una formación o una actitud (que yo no llamaría técnica además, sino hacker), respecto del que no, y las dificultades a sortear para que tenga exito. Que es de lo que estoy hablando desde mi primer comentario. La netiqueta y el empoderamiento digital pueden ser pasos previos y necesarios para dicho exito, pero sin saber tipear una línea de código y sin entender que “lo barato sale caro” (https://www.versvs.net/comment/111061#comment-111061). El riesgo de quedarse en lo que “viene ya dado” o hecho por los otros por ser “fácil”, es demasiado elevado para mi gusto.

    Desde la práctica nomás, y sin ser programador ni nada por el estilo, saber escribir una línea de código o tener que lidiar con un hosting pésimo (ya que estamos traigo algo reciente y personal) son saltos cualitativos que permiten ver más allá del monitor y vislumbrar la carretera de fierros y soft sobre el que uno va transitando. Y eso, francamente, para mi no tiene comparación con todo lo que he leído de netiqueta o de redes y demás en todos estos años. Y que ha sido bastante

    Si a ese punto se llegamos con herramientas como estas y con prédica, o con otras cosas, casi que me da lo mismo siempre y cuando se llegue :)

  9. A picar un poco de código entonces, porque estoy de acuerdo con vos en que no se compara la sensación de aprendizaje y empoderamiento. Doy un curso de WordPress, por ejemplo, y me cuesta un montón a la gente empujar a que se instalen su propio WP en vez de usar WordPress.com (lo que hacen casi todos). Y es que sin dudas los que más aprenden en el curso son los que lidiaron con la instalación y con eso ganan mucha más libertad.

    Saludos!

    • Me ha gustado la conversación que tenéis. Yo creo que el problema de usar herramientas es no comprender cómo funcionan, la lógica subyacente. Porque si no las entendemos, estamos a expensas de lo que quienes sí las entienden decidan. Unas nociones básicas (saber que es fácil instalar GPG en tu ordenador y enviar e-mail de verdad privado, aunque siempre se sepa a quién lo has enviado) ayudan muchísimo cuando decidimos usar una herramienta que nos facilita la labor de hablar de forma privada. Es posible adquirir esa misma consciencia, ese mismo control sobre la propia privacidad recorriendo el camino del revés: primero descubrir que hay una herramienta fácil que nos ayuda, y luego que nos pique la curiosidad y sigamos aprendiendo. Creo, no obstante, que en esta ruta es más fácil quedar acomodado en esa primera etapa: qué bien funciona mi herramienta y, en consecuencia, qué pereza me da eso de aprender a hacerlo por mí mismo.

      Lo hemos visto con Jabber: hubo una época en que todas las mensajerías instantáneas eran incompatibles (lo siguen siendo, en gran parte, ej. skype, facebook chat), entonces Jabber ganó mucha fama por permitirte usar tu propio servidor para conectar con otros: tenía arquitectura en la que no había un servidor central. Y sin embargo, el 99% de los usuarios actuales de jabber usan el servicio de Google, y cuando éste tiene un problema técnico maldicen… pero lo cierto es que no tienen su propio servidor, ni sabrían instalarlo la gran mayoría. Google se lo dio hecho, y no sintieron la necesidad de ir más allá :)

      PD. ¿Probaste Codecademy? Es FANTÁSTICO.

  10. Pues a mi me ha divertido mucho que haya conseguido un dominio .cat, que sólo es posible para contenidos en catalán. Lo tiene, de hecho. Y otra en euskera. Y en todas las lenguas fuertes occidentales salvo… castellano. Todo por un gato.

    • Sí, a mí me divirtió (por eso lo puse en el título del post xD). Creo que en el fondo tiene su gracia, chat en inglés, chat en frances, cat en inglés, punt cat. Y ponemos la web en catalán para no dar excusas a quienes dicen que no estamos dedicados a la defensa del catalán en la red, y el vasco para distraer, y no ponemos español para que se vea que realmente el catalán sale muy bien parado…

      Un hacker tiene que saber hackear algo más cacharros, también va de burlar las normas cuando son un poco tontas :P

Submit a comment