Informativos Telecinco.com - Internet - Cómo crear un blog y mantener el anonimato

Informativos Telecinco > Internet


	Cómo crear un blog y mantener el anonimato

ETHAN ZUCKERMAN
15 de noviembre de 2005

Sarah trabaja en una oficina del gobierno como contable. Se percató de que su jefe, un ministro, estaba robando grandes cantidades de dinero de las cuentas del gobierno. Ella quiere que todo el mundo sepa que está pasando algo ilegal, pero está preocupada porque podría perder su trabajo.

pie de la foto Si informa de lo que está haciendo el ministro, podría ser despedida. Entonces decide llamar a un reportero de una gaceta local, pero éste le dice que él no puede publicar una historia sin tener más información y documentos que prueben sus alegaciones.

Así que Sarah decide crear un blog para explicarle a todo el mundo lo que está ocurriendo en el ministerio. Para protegerse, quiere estar segura de que nadie podrá averiguar quién es investigando sus posts. Necesita mantener su blog de manera anónima.

Hay dos formas principales de identificarla intentando bloggear de forma anónima. Uno, que ella revele su identidad en alguno de los contenidos que publique, por ejemplo, si ella dice: ”Soy la secretaria de cuentas del ministro de minas”, hay muchas probabilidades de que alguien que lea su blog descubra quién es rápidamente.

La otra manera por la que podría ser descubierta es que alguien pudiera determinar su identidad gracias a la información que contienen su buscador de Internet o sus cuentas de correo. Todo ordenador conectado a Internet tiene, o comparte, una dirección llamada IP que se compone de un código de cuatro cifras con números que van del 0 al 255, separados por puntos. (por ejemplo, 213.24.124.38). cuando Sarah utilice su explorador para añadir un comentario en su blog, la dirección IP que esté utilizando, será incluida en su comentario.

Con un poco de trabajo, los informáticos del ministro serán capaces de rastrear la IP de Sarah. Si Sarah está utilizando el ordenador en su casa, y está conectada a un servidor de Internet, la ISP registra qué dirección IP estaba asignada a cada número de teléfono en un momento determinado. En algunos países, el ministro necesitaría una autorización para conseguir estos datos; en otras (especialmente en los que la ISP es propiedad del gobierno), la ISP da esta información fácilmente, y Sarah se vería envuelta en un lío.

Pero hay algunas maneras de que Sarah pueda esconder su identidad utilizando Internet. Como regla general, cuanto más seguro se quiere estar, más trabajo le costará esconder su identidad. Como podrán ver, algunas estrategias para proteger la identidad en Internet requiere grandes conocimientos informáticos.

Paso uno: Utilizar seudónimos

Una manera fácil de que Sarah pueda esconder su identidad es utilizando una cuenta gratuita de e-mail y blog extranjeros. Utilizar una cuenta de pago para ambos es una mala idea, ya que el pago quedará vinculado a un número de tarjeta de crédito o una chequera, que serán fácilmente relacionadas con Sarah. Puede crear una nueva identidad, un seudónimo, cuando dé de alta estas cuentas, y cuando el ministro encuentre su blog, descubrirá que pertenece a, por ejemplo “A. N. Ymous”, cuya dirección de correo electrónico es anonymous.whistleblower@hotmail.com.

Aquí está el problema que encierra esta estrategia. Cuando Sarah abra una cuenta de correo o un blog, el servidor que esté utilizando, registrará su dirección IP. Si esa cuenta de correo (si estuviera utilizando el ordenador de su casa) o la compañía del blog se vieran obligados a revelar esta información, (si por ejemplo, se trata de Hotmail y ésta tuviera que revelar la dirección IP con la que Sarah accede a su cuenta), el ministro necesitaría también una orden, probablemente cooperando con la Agencia Estadounidense de Endurecimiento de la Ley. Pero Sarah no querría correr el riesgo de ser localizada si su gobierno puede persuadir a sus proveedores de correo electrónico y blog para revelar su identidad.

Paso dos: Ordenadores públicos

Otro paso que Sarah podría dar para ocultar su identidad sería empezar a utilizar ordenadores públicos para añadir posts al blog. Mejor que configurar sus cuentas de correo y blog desde casa, Sarah podría hacerlo desde un cybercafé, la biblioteca o una universidad. Cuando el ministro localice la IP utilizada para añadir un artículo, se encontrará con que el post ha sido realizado desde un cybercafé, donde un gran número de personas habrá estado utilizando los ordenadores.

Los ordenadores públicos son una alternativa poco segura

Pero también hay pequeñas imperfecciones en esta estrategia. Si el cybercafé o el ordenador de la universidad deja pistas de quién está utilizando el ordenador en cada momento, la identidad de Sarah se vería comprometida. No debería intentar escribir a horas de la noche en las que sea la única persona utilizando el ordenador ya que el tipo que trabaja durante ese turno seguro que puede recordarla. También debería cambiar de cybercafés frecuentemente. Si el ministro descubre que todos los artículos de ‘whistleblower’ se hacen desde ‘Joe’s beer and bits’ en Main Street, debería poner a alguien que vigile el cybercafé y vea quién está escribiendo en blogs, esperando encontrar a Sarah.

Paso tres: Proxies anónimos

Sarah se está cansando de ir hasta ‘Joe’s Beer and Bits’ cada vez que quiere escribir algo en su blog. Entonces, puede hacer que su ordenador acceda a Internet a través de un proxy anónimo. Ahora, cuando ella utilice su cuenta de correo y su blog, dejará entre medias la dirección IP del servidor proxy, no la dirección de su ordenador, lo que hará que el ministro lo tenga muy complicado para encontrarle.

Primero, tiene que encontrar una lista de servidores proxy buscando por ‘proxy servers’ en Google. Después seleccionará un proxy de la lista de publicproxyservers.com en el que ponga “alto anonimato”. Finalmente, escribirá la dirección IP del proxy y el puerto que aparece en la lista.

Algunos usuarios de la red podrían están utilizando proxies para acceder a páginas bloqueadas por el gobierno

Después tiene que abrir la pestaña de ‘herramientas’ de su navegador. En opciones de Internet/conexiones o seguridad, encontrará una opción para configurar el acceso a Internet a través de un proxy. A continuación selecciona ‘configuración manual de proxy’, escribe la dirección IP y el puerto del servidor proxy que ha seleccionado en los campos de HTTP proxy y SSL proxy y guarda los cambios. Reinicia el navegador y podrá empezar a navegar.

Se dará cuenta de que su conexión a Internet es un poco lenta. Eso es porque cada página a la que intenta acceder a través del servidor se desvía. En vez de conectarse directamente a hotmail.com, primero se conecta al proxy, y después llegará a Hotmail. Cuando Hotmail le envíe la respuesta, primero pasará por el proxy antes de llegarle. Pero al menos, su IP no puede ser registrada por su proveedor de blogs.

Un experimento divertido con los proxies

Visitamos noreply.org. La página te dará la bienvenida diciéndote qué IP estás utilizando: “Hola pool-151-203-182-212.wma.east.verizon.net 151.203.182.212, encantado de conocerte”.

Ahora vayamos a anonymizer.com, una web con un servicio que te permite visitar algunas páginas a través de un proxy anónimo. En la caja superior derecha metemos la URL de noreply.org, (o tan sólo pincha en [http://anon.free.anonymizer.com/http://www.noreply.org]). Te darás cuenta de que noreply.org piensa que ahora vienes de vortex.anonymizer.com. (anonymizer es un buen modo de probar proxies sin necesidad de cambiar las configuraciones de Internet, pero no funcionará con los sevicios más sofisticados, como blogs o cuentas de correo.

Finalmente, sigue las instrucciones anteriores para configurar tu explorador para utilizar un proxy anónimo y conéctate a noreply.org para ver de dónde creen que vienes. No todos los proxies son perfectos. Si el país de Sarah tiene leyes muy restrictivas de Internet, algunos usuarios de la red podrían están utilizando proxies para acceder a páginas bloqueadas por el gobierno. El gobierno, a su vez, podría responder con el bloqueo de alguno de estos proxies. Los usuarios buscarán nuevos proxies, que a su vez serán bloqueados por el gobierno. De esta manera, el círculo continúa. Así que todo esto puede convertirse en una pérdida de tiempo.

Además, Sarah tendrá otro problema si ella es una de la pocas personas que utilizan servidores proxy gratuitos. Si los post de su blog pueden ser localizados desde un proxy en concreto, y si el ministro puede acceder a las claves de todas las ISP independientemente del país, será capaz de descubrir que el ordenador de Sarah era uno de los pocos que utilizaban ese servidor proxy específico para escribir en su blog.

pie de la foto

Él no puede demostrar que Sarah utilizó el proxy para escribir en el blog, pero llegará a la conclusión de que el hecho de que el proxy fuera utilizado para escribir en un blog y, de que ella fuera una de las pocas personas en el país que utilizaron ese proxy, constituye una evidencia de que ella hizo el post. Sarah haría mejor en utilizar proxies locales y alternar frecuentemente.

Paso cuatro: Esta vez, algo personal

Sarah empieza a sopesar lo que pasaría si el proxy que utiliza se ve comprometido. ¿Qué pasaría si el ministro convence al operador que proporciona el proxy (por métodos legales o sobornos) de que registre quién está utilizando ese proxy en el país y qué páginas visita? Ella está confiando en que el administrador del proxy le protege y ni siquiera sabe quién es. Aunque el administrador del proxy no debería saber que ella está utilizando uno, los proxies pueden quedarse abiertos por accidente.

Sarah tiene amigos en Canadá, un país menos propenso a censurar Internet que el de Sarah, que le ayudarían a mantener su blog protegiendo su identidad. Sarah llama a su amigo y le pide que configure ‘Circumventor’ en su sistema. Circumventor es uno de los proxies gracias a los cuales un usuario puede permitir a la gente que utilice su ordenador como un proxy.

Jim, el amigo de Sarah descarga Circumventor desde Peacefire.org y lo instala en su sistema. La instalación no es nada fácil (necesita instalar Perl en su sistema, después instalar OpenSA y después Circumventor). Y tendrá que dejar su ordenador conectado a Internet permanentemente. De esta manera, Sarah podrá utilizarlo como proxy sin preguntarle antes a él. Jim consigue el software de configuración, llama a Sarah por teléfono y le proporciona la URL con la que puede conectarse a Internet a través de su proxy, o escribir en su blog. Esto es muy conveniente, porque Sarah puede utilizar el proxy desde casa o desde un cybercafé, y no necesita realizar ningún cambio en la configuración de su sistema.

Aunque Sarah está muy contenta de la ayuda de su amigo Jim, hay un problema más grande en este método. El ordenador de Jim (que utiliza Windows) se reinicia frecuentemente. Cada vez que lo hace, su ISP asigna una nueva dirección IP al ordenador. Cada vez que esto pasa, el proxy deja de funcionarle a Sarah. Jim necesita contactar con Sarah otra vez y darle la nueva IP a la que el Circumventor se ha asociado. Esto se convierte en poco tiempo en algo muy caro y frustrante. Sarah también teme que, si ella utiliza cada IP por mucho tiempo, su ISP sucumba a la presión del gobierno y éste empiece a bloquearlo.

Paso cinco: onion routing a través de Tor

Jim le sugiere a Sarah que pruebe con Tor Tor, un sistema relativamente novedoso que proporciona un alto grado de anonimato para navegar. Los routers ‘onion’ toman la idea de los servidores proxy (un ordenador que actúa en tu nombre) hasta llevarlo a un nuevo nivel de complejidad. Cada petición hecha desde un onion router se dirige hacia un número de ordenadores que va de 2 a 20, haciendo muy difícil el rastreo de la demanda original.

Cada paso del onion router está encriptado, haciendo mucho más difícil que el gobierno de Sarah localice sus posts. Además, cada ordenador de la cadena sólo conoce los ordenadores más cercanos. En otras palabras, el router B sabe que tuvo una solicitud del router A, y se supone que pasará esa petición a un router C. Pero la petición en sí está encriptada, el router B no sabe qué página está pidiendo Sarah o qué router demandará la página al servidor Web.

Dada la complejidad de la tecnología, Sarah está gratamente sorprendida de haber descubierto lo fácil que es instalar Tor, un sistema ‘onion’. Se descarga un programa de instalación que le instalará Tor en su sistema, después instala Privoxy, un proxy que funciona con Tor y tiene la característica de desinstalar la mayoría de los anuncios provenientes de las páginas que Sarah visita.

Después de instalar el software y reiniciar su ordenador, Sarah se conecta a noreply.org y descubre que ha sido satisfactoriamente encubierta por el sistema Tor: noreply.org cree que se está conectando desde la universidad de Harvard. Lo vuelve a intentar y ahora noreply.org cree que se conecta desde Alemania. Por todo esto, Sarah concluye que Tor está cambiando su identidad cada página que intenta visitar ayudándole a preservar su privacidad.

Esto tiene algunas consecuencias curiosas. Cuando utiliza Google mediante Tor, cada vez ve la página en un idioma distinto. Una búsqueda es en inglés, otra en japonés, después alemán, danés y holandés, todo en cuestión de unos pocos minutos. Sarah agradece la oportunidad de aprender nuevos idiomas, pero es consciente de otras consecuencias. Sarah intenta contribuir con Wikipedia, pero descubre que Wikipedia bloquea sus intentos de editar artículos cuando está utilizando Tor.

Tor parece tener algunos de los mismos problemas que Sarah tenía con otros servidores. Su conexión es un poquito más lenta que cuando no utiliza un proxy (al final sólo utiliza Tor cuando quiere acceder a contenido sensible o quiere escribir en su blog) y está, una vez más, atada al ordenador de su casa, ya que no puede instalar Tor fácilmente en un ordenador público.

Más preocupante es, sin embargo, descubrir que Tor no funciona algunas veces. Evidentemente su ISP empieza a bloquear algunos de los routers de Tor. Cuando Tor intenta utilizar un router bloqueado puede estar esperando varios minutos sin conseguir acceder a la página que quería.

Paso seis: Mixmaster, invisiblog y GPG

Seguro que hay una solución para bloggear sin problemas que no suponga conectarse a un proxy, incluso una solución igual de sofisticada que Tor.

Sarah explora una nueva opción: Invisiblog. Funciona mediante un grupo anónimo australiano llamado vigilant.tv, es una página diseñada por y para verdaderos paranoicos. No puedes escribir en invisiblog como lo haces en otros servidores de blogs. Escribes utilizando un e-mail especialmente formateado, enviado a través del sistema remailer de Mixmaster, firmado criptográficamente.

A Sarah le llevó un rato entender esto último. De manera eventual, configuró GPG, la implementación GNU de Pretty Good Privacy , un sistema público de encriptación. En dos palabras: este sistema de encriptación es una técnica que le permite enviar mensajes a otra persona de manera que sólo esa persona pueda leerlas, sin necesidad de que ella comparta una clave contigo que te permitiera leer mensajes que otras personas le hayan enviado. También permite a la gente firmar documentos con una firma digital que es casi imposible de descubrir.

Esta clave privada genera una clave pública que utilizará para escribir en el blog. Firmando cada post con su clave privada, el servidor del blog será capaz de utilizar su clave pública para comprobar que un post proviene de ella y, entonces, lo añade al blog.

pie de la foto

Ella configura entonces Mixmaster, un sistema de correo diseñado para ocultar el origen de un email. Mixmaster utiliza una cadena de reenvío anónima, programas de ordenador que desmontan toda la información de un email y lo envían a su destino, para enviar el email con un alto nivel de anonimato.

Utilizando una cadena de 2 a 20 reenvíos, el mensaje resulta muy complicado de seguir, incluso si uno o varios de los reenvíos están comprometidos y está registrando la información del emisor. Sarah tiene que construir Mixmaster compilando su código fuente, algo que requiere un gran contrato de asistencia geek.

Ella envía un primer mensaje Mixmaster a invisiblog que incluye su clave pública. Invisiblog utiliza esto para configurar un blog nuevo con el pegadizo nombre de “invisiblog.com/ac4589d7001ac238”, la larga tira de números son los últimos 16 bytes de su clave GPG. Entonces enviará los futuros post a invisiblog, escribiendo un mensaje de texto, firmando con su clave publica y enviándolo via Mixmaster.

No es tan rápido como su antiguo estilo de bloggear. La misdirección del correo de Mixmaster implica que un post tarda de 2 horas a 2 días en llegar a su servidor. Además, tiene que tener mucho cuidado cuando entra en su blog. Si entra muy a menudo, su dirección IP aparecerá en los conectados frecuentemente al blog, señalando que probablemente ella es la autora del blog. Pero le tranquiliza el hecho de que los dueños de Invisiblog no tengan ni idea de quién es.

El principal problema con el sistema Invisiblog es que resulta increíblemente difícil de usar para algunas personas. La mayor parte de la gente cree que configurar GPG supone un reto y tiene dificultades para comprende las complejidades de las claves pública y privada. Muchas aplicaciones de encriptación pueden ser instaladas para ayudar a los más torpes de nosotros, pero incluso esas herramientas, pueden ser complicadas de utilizar. Como resultado, muy poca gente, incluyendo a esos que lo necesitan verdaderamente, utilizan el encriptado en sus email.

Mixmaster es un verdadero reto tecnológico para la mayoría de los usuarios. Los usuarios de Windows pueden emplear una versión más simple en DOS descargándolo de esta dirección. Yo lo bajé y lo probé y no parece funcionar, o quizás mi email está todavía siendo enviado y reenviado. Cualquiera que quiera utilizar la nueva versión, o quiera utilizar la versión en Linux o Mac, necesita ser capaz de compilar todos los programas por ellos mismos, una ardua tarea para usuarios inexpertos. Es posible que Invisiblog se convierta en algo más simple si aceptara mensajes de remailers accesibles en la Web como riot.eu.org, pero, por ahora, no puedo verlo como una herramienta particularmente útil para la gente que lo necesita.

Hay otros problemas con el encriptado en países represivos. Si el ordenador de Sarah es incautado por el gobierno y encuentran su clave privada, esto constituirá una clara evidencia de que Sarah ha autorizado los controvertidos posts. Y, en países, donde el encriptado no se utiliza normalmente, el simple envío de mensajes con Mixmaster será suficiente para que la actividad de Sarah sea seguida más de cerca.

¿Cuánto anonimato es suficiente?, ¿Cuánto lío es demasiado?, ¿Es la solución de Sarah, aprendiendo lo bastante sobre encriptación y el software para utilizar Mixmaster, tu solución? No hay una respuesta sencilla. Cualquier camino hacia el anonimato necesita considerar las condiciones locales, tus propias competencias técnicas y tu nivel de paranoia. Si estás preocupado por que lo que estás escribiendo te puede poner en peligro y eres capaz de instalarlo, escribir en un blog mediante Tor es una buena idea.

Por cierto, ¡recuerda no firmar tus posts con tu nombre real!

Artículo de Ethan Zuckerman traducido del ‘Manual para bloggers y ciberdisidentes’, con el permiso de Reporteros sin Fronteras (Francia).