App de autenticacion. Google Authenticator Vs Authy

Con cada hackeo, cada teléfono robado, cada teléfono perdido, cada teléfono roto, etc. tenemos el mismo pensamiento. “Espero que mis datos privados no se filtren y que pueda recuperarlos”. La seguridad online esta a la orden del día, y por desgracia tener una buena contraseña ya no es suficiente.

Y es que la verificación en dos pasos, a día de hoy, aun tiene un porcentaje de uso bajisimo. Es por eso que hoy te mostramos la lucha entre Google Authenticator Vs Authy, dos apps de autenticación.

En general, la 2FA (verificación en dos pasos) usa contraseñas enviadas por SMS, estos envíos no son muy seguros, de hecho, a veces pueden ser muy inseguros. Por lo que tiene sentido que analicemos alternativas en lo que respecta a la 2FA, y de esto vamos a hablar hoy.

Que es una App de autenticación

Empecemos por lo básico, ¿Que es una app de autenticación? una app de autenticacion es una aplicación de seguridad que genera códigos o tokens de seguridad para iniciar sesión cuando tenemos activada la verificación en dos pasos.

Estos tokens o códigos se sincronizan y renuevan cada 30 segundos, y se crean sobre la base de un algoritmo y una clave (que solo conoce tú app de autentificación y el servidor del servicio).

Tenemos varias opciones en apps de autenticación, pero destacan Google Authenticator y Authy. Las dos app de aunteticación 2FA mas populares, pero con grandes diferencias. Vamos a analizarlas.

Principales diferencias. Google Authenticator Vs Authy

Desde DeStreaming.es hemos usado ambos servicios, para ser concretos primero empezamos usando Google Authenticator. Hasta que en un podcast escuche hablar de las bondades de Authy, lo probé, y he creado a una legión a mi alrededor que ya usa Authy.

Google Authenticator, como Authy, genera un código de seis dígitos cada 30 segundos, llamado token, que debes introducir después del nombre de usuario y la contraseña. Pero hay notables diferencias.

Google Authenticator no tiene soporte para múltiples dispositivos

Una de las principales desventajas de Google Authenticator es que no tiene soporte para multiples dispositivos. Es decir no podemos usarlo en nuestro iPhone y iPad o en nuestro PC y nuestro iPhone.

Authy si tiene esta funcionalidad con múltiples dispositivos, los tokens 2FA que genera se sincronizan automáticamente con cualquier dispositivo nuevo que este autorizado. Y, si por ejemplo pierdes un dispositivo autorizado, puedes desautorizarlo desde cualquier dispositivo autorizado con la misma rapidez.

Desde luego generar tokens en múltiples dispositivos puede ser un riesgo, pero para eso esta la responsabilidad de cada uno. Y tener en cuenta que es bajo una contraseña maestra.

Google Authenticator no genera copias de seguridad cifradas. Authy si

Precisamente este punto fue el que me hizo lanzarme a probar Authy. Y es que Google Authenticator tiene un gran problema, si pierdes, rompes o te roban tu teléfono pierdes la verificación en dos pasos. Es muy complicado recuperar tus tokens, ya que no genera una copia de seguridad cifrada que puedas recuperar en un teléfono nuevo. Tan solo permite exportar e importar tus cuentas a otro Google Authenticator.

Por el contrario, Authy te permite hacer copias de seguridad cifradas con contraseña en la nube. Esto hace que si sucede cualquier catastrofe con tu smartphone, puedes recuperar tus tokens sin problemas en tu nuevo teléfono.

Y muchos diréis, ya pero puede ser inseguro guardar una copia de seguridad en la nube. En realidad no, ya que Authy encripta y desencripta desde tu telefono, por lo que Authy nunca tiene acceso a tu cuenta ni a tus datos. Ya que los datos se suben ya cifrados.

Y para hacer que las copias de seguridad sean compatibles en todos los dispositivos, todas las apps de Authy, tanto en iOS, Android y de escritorio utilizan el mismo método para el cifrado / descifrado. Y con la misma contraseña maestra.

Google Authenticator tiene una protección por contraseña muy limitada

Aquí la app de Google pierde por goleada respecto a Authy, ya que esta ultima tiene una protección triple. No solo tiene una contraseña maestra con la cifra y descifra, también tienes que establecer un pin de acceso y por supuesto la posibilidad de usar Touch ID o Face ID.

Como activar la verificación en dos pasos en Instagram

Es cierto que proteger nuestra cuenta con una buena contraseña es una buena práctica para evitar accesos indeseados o el robo de la cuenta, pero lo es todavía más activar la verificación en dos pasos en Instagram. Configurarlo es muy sencillo, da igual que lo hagas desde un teléfono Android o iOS. Te explicamos como activar la verificación en dos pasos en Instagram.

Aumenta la seguridad al activar la verificación en dos pasos en Instagram

Como ya sabéis, activar la verificación en dos pasos en Instagram nos va a dar mayor seguridad, ya que ademas de pedirnos nuestra contraseña, nos pedirá un segundo código que recibiremos en nuestro móvil. Podremos recibir este código de dos maneras: mediante un SMS gratuito o a través de una App de autenticacion. Authy por ejemplo.

El procedimiento es igual, tanto en Android como en iOS:

  1. Entramos en la app de Instagram y pulsamos en el muñequito de la parte inferior derecha.
  2. Pulsamos en las tres lineas de la parte superior derecha.
  3. Entramos en Configuración.
  4. A continuación en Seguridad.
  5. Y accedemos a Autenticación en dos pasos.
  6. Aquí ya podremos activar la verificación en dos pasos, simplemente debemos escoger como queremos realizarla. Mediante un SMS o mediante una app de autenticación.
  7. Escogemos la opción deseada y seguimos los pasos que nos indican. Si elegiste mediante SMS os pedirán un numero de teléfono donde enviar los códigos. Y si escogéis mediante una app de autenticacion, os dará una clave para activar la verificación en dos pasos en la app Authy por ejemplo. Y la app de autenticacion te dará un token que deberás introducir en Instagram. Y listo!

Cuando hayas terminado tendrás activa la verificación en dos pasos en Instagram. A partir de este momento, cuando Instagram detecte un inicio de sesión sospechoso o desde un dispositivo desconocido, te solicitara que introduzcas un código de autenticación. Para encontrarlo, simplemente tendrás que abrir los mensajes en tu movil o abrir la app de autenticacion que tengas (Google Authenticator, Authy, …) y escribir el código que te muestren.

Como activar la verificación en dos pasos en Fortnite

Ya os explicamos recientemente lo importante que es tener activada la verificación en dos pasos en nuestras cuentas. Pues bien, hoy vamos a ver como activar la verificación en dos pasos en Fortnite, y así evitar que nos roben la cuenta.

Ademas de proteger vuestra cuenta activando la autenticación en dos pasos. Epic como recompensa os dará el gesto Boogie Down para Fortnite, podréis participar en el modo competitivo y en Salvar el mundo:

  • 50 espacios de arsenal
  • 10 espacios de la mochila
  • Una llama de alijo de trol legendario

Verificación en dos pasos Fortnite

La verificación en dos pasos (2FA) puede utilizarse para proteger vuestra cuenta contra accesos no autorizados al solicitar un código adicional cuando iniciáis sesión. En estos momentos, la verificación en dos pasos de Fortnite permite el uso de una app de autenticación o de un método de autenticación por correo electrónico.

Cuando hayáis activado la verificación en dos pasos, tendréis que introducir un código. Este código lo obtendréis mediante el método de autenticación seleccionado, y después podréis acceder a vuestra cuenta.  

Tendréis que introducir el código la primera vez que iniciéis sesión tras activar la verificación en dos pasos, si utilizáis un nuevo dispositivo, si han pasado más de 30 días desde la última vez que iniciasteis sesión o si habéis borrado recientemente las cookies del ordenador.

Como activar la verificación en dos pasos de Fortnite

Como vais a poder ver activar la verificacion en dos pasos en vuestra cuenta de Fortnite es realmente sencillo.

  1. Recomendamos que lo hagas desde un ordenador. Abres el navegador de Internet e Inicias sesión en Epic Games.
  2. Pulsa sobre el icono de tu perfil, esquina superior derecha. Justo donde antes aparecía Iniciar sesión.
  3. Accede a CUENTA, haz clic en la pestaña CONTRASEÑA Y SEGURIDAD para ver los ajustes de seguridad.
  4. En la parte final de la pagina, veréis AUTENTICACIÓN EN DOS PASOS, haced clic en ACTIVAR LA APLICACIÓN DE AUTENTICACIÓN, ACTIVAR LA AUTENTICACIÓN POR SMS o ACTIVAR LA AUTENTICACIÓN POR CORREO ELECTRONICO, elegir un método.
  5. Seguir los pasos que os aparecen a continuación para completar el proceso, y listo!

Si necesitáis utilizar una app para la verificación en dos pasos, aquí tenéis algunas de las apps de autenticación más usadas, podréis encontrarlas en la tienda de vuestro dispositivo móvil:

  • Google Authenticator
  • LastPass Authenticator
  • Microsoft Authenticator
  • Authy (Muy recomendable y de código abierto)

Mantened vuestra cuenta a salvo y recordad, nunca compartáis vuestra contraseña ni la utilicéis en mas de un sitio.

Como activar la verificación en dos pasos en Google

Ya os explicamos lo importante que es tener activada la verificación en dos pasos en nuestras cuentas. Pues bien, activar la verificación en dos pasos en Google o Gmail es algo realmente sencillo, os explicamos como podéis activarlo. Como activar la verificación en dos pasos en Google:

  1. Ve a tu Cuenta de Google e inicia sesión.
  2. Administrar Cuenta de Google.
  3. En el panel de navegación, haz clic en Seguridad.
  4. En el panel Acceso a Google, haz clic en Verificación en dos pasos.
  5. Haz clic en Comenzar.
  6. Sigue los pasos que aparecen en pantalla.

Si eliges usar Mensajes de Google o mensajes SMS, deberás introducir tu número de teléfono para configurarlo y poder recibir los códigos en este número. Primero deberás confirmar que el número es tuyo. Esto se hace mediante un código que recibes, bien mediante mensaje de texto o bien con una llamada.

Como activar la verificación en dos pasos en Google con Authy

Como activar la 2FA de Google en Authy es muy sencillo. Es una app de autenticación muy segura. Lo primero por supuesto es tener instalado Authy.

  1. Cuando inicies sesión en tu cuenta de Google o Gmail, haz clic en el icono de tu cuenta en la parte superior derecha de la pantalla. Luego haga clic en “Administrar su cuenta de Google“.
  2. En la siguiente ventana entra en Seguridad, y posteriormente en Verificación en dos pasos.
  3. Dale a Comenzar
  4. Te solicitara la contraseña de tu cuenta de Google para confirmar que eres tu.
  5. Te solicitara un numero de teléfono para recibir un código vía SMS o llamada. Completalo.
  6. Ahora ya te aparecerán distintos métodos, escoge App de autentificacion.
  7. Te aparecerá en pantalla un código QR.

8. Capturalo con la App Authy de tu smartphone. Dale a siguiente y ya tendrías listo la autentificacion desde Authy.

A partir de este momento cada vez que accedas a tu cuenta de Google, te solicitara un segundo codigo. Ese codigo lo podras ver en la App Authy. Este codigo se renueva cada 30 segundos automaticamente.

Te recomiendo activar en Authy el acceso mediante contraseña, Face ID o touch ID para aumentar la seguridad.

Activar la verificación en dos pasos para aumentar tu seguridad

La verificación en dos pasos, también conocida como 2FA en muchos casos, es un sistema que lleva ya bastante tiempo entre nosotros. Aunque, es un sistema poco conocido. Activar la verificación en dos pasos es una de las recomendaciones más frecuentes cuando queremos proteger o mejorar la seguridad de nuestras cuentas.

Muchos servicios web populares, o Apps, ofrecen ya algún tipo de verificación en dos pasos, este factor 2FA nos puede ayudar a proteger nuestras cuentas cuando son robadas. Si eres una de esas personas que dicen ¿quien va a querer mi cuenta? Ojo, porque mas de uno ha lamentado hacer ese tipo de comentarios. Y es que las personas que no aprovechan la activación de la verificación en dos pasos, les va a ser prácticamente imposible recuperar el acceso a su cuenta.

Los “ladrones” actuales después de “piratear” una cuenta habilitan la verificación en dos pasos en sus dispositivos, para que te sea imposible recuperar la cuenta. 

Que es la verificación en dos pasos

La verificación en dos pasos, también conocida como doble factor de autenticación (2FA), es una medida de seguridad adicional con la que hacemos más difícil que alguien sin autorización acceda a nuestra cuenta personal de aquel servicio que cuente con esta funcionalidad.

Cuando activamos este tipo de verificación 2FA en un servicio web, además de utilizar la contraseña para acceder al servicio. También será necesario facilitar otro código único para concluir el acceso.

¿Por que habilitar la verificación en dos pasos?

No habilitar la verificación en dos pasos cuando se ofrece es un riesgo. Sobre todo para las personas que tienen la costumbre de reutilizar o reciclar contraseñas en múltiples sitios. Hay que tener siempre presente que cualquier servicio al que confíe información confidencial puede ser pirateado. Y habilitar la verificación en dos pasos es una protección mas para evitar que nuestra información sea robada.

Además, tener en cuenta que la mayoría de sitios y servicios en línea que tienen verificación en dos pasos son completamente automáticos. Es extremadamente difícil obtener ayuda cuando se producen casos de robos de cuentas. Y esto se multiplica si no tenemos activada la verificación en dos pasos. Los atacantes pueden modificar y / o eliminar la dirección de correo electrónico original asociada con la cuenta.

Te voy a contar la historia de un incidente de seguridad que sufrió uno de mis clientes.

Si no activamos la verificación en dos pasos jugamos con nuestra información

Mi cliente es una persona con amplios conocimientos en privacidad digital, llamemosle Paco para mantener su anonimato. Es un gran amante de los videojuegos, y en su casa cuentan con una Xbox que usan tanto él como sus hijos. Al hijo menor, al cumplir los 18 años se le dio el control total de su cuenta de Microsoft-Xbox. Y Paco le indico una serie de pautas: no uses la contraseña de Xbox en mas sitios y activa la verificación en dos pasos en tu iPhone.

Un sabado Paco viene de tomar un cafe con sus amigos, y su hijo le dice que la Xbox no le deja acceder y que por lo tanto no puede jugar. Paco le pregunta a su hijo menor, y este le confiesa que ha usado la contraseña de Xbox en mas sitios y que tampoco activo la verificacion en dos pasos.

Cuando los dos se sentaron a analizar la situación e intentar restablecer su contraseña. Se encontraron con que la Xbox mostraba en pantalla un aviso que decía que había una nueva dirección de Gmail vinculada a su cuenta Xbox. Cuando fueron a activar la verificación en dos pasos para el perfil de Xbox de su hijo, que estaba vinculado a una dirección de correo electrónico que no era de Microsoft. El servicio de Xbox dijo que enviaría una notificación del cambio a la cuenta de Gmail no autorizada en su perfil.

Ante la gravedad del asunto, y el dinero que estaba en juego, ya que los metodos de pago estaban habilitados. Paco decide abrir un ticket con Microsoft para que bloqueen la cuenta, pero no les deja abrir el ticket porque no tiene acceso a su cuenta, y ademas descubre que el ladron ha activado la verificacion en dos pasos. Paco se comunica con Microsoft a traves de su propia cuenta y explica la situacion. Microsoft le responde con un cuestionario con bastantes preguntas para comprobar que de verdad eres el dueño de esa cuenta.

No solo era cuestión de jugar a la consola

Mientras tanto Paco descubre que su tarjeta de crédito esta sufriendo movimientos, compras masivas de juegos de Xbox. Decide llamar al banco, explicar la situación y anular la tarjeta.

Cual es la sorpresa de Paco cuando a pesar de responder todas esas preguntas que le formulo Microsoft con éxito, Microsoft se negó a permitirles restablecer la contraseña, ya que no podían corroborar al 100% que fueran los dueños de la cuenta. OJO esto no solo sucede con Microsoft, Google por ejemplo usa el mismo método.

Como podéis observar esto nos puede pasar a cualquiera en nuestras casas, y pueden ser nuestros hijos con sus cuentas de instagram o nosotros con nuestras cuentas de Twitter, cualquier cuenta. Por este motivo es importante activar la verificación en dos pasos.

Ventajas que nos ofrece la verificación en dos pasos

La principal ventaja de utilizar la verificación en dos pasos es el punto extra de seguridad que damos a nuestra cuenta personal, ya que será más seguro que utilizar únicamente un usuario y contraseña.

Puede darse el caso que alguien se haga con nuestra contraseña personal. En este caso, si no tenemos habilitada la verificación en dos pasos, un ciberdelincuente podría acceder a nuestra cuenta y realizar cualquier acción que podría repercutirnos negativamente, ya que a los ojos del resto del mundo lo habríamos hecho nosotros.

Por el contrario, si tenemos habilitada la verificación en dos pasos, el ciberdelincuente no podrá acceder a nuestra cuenta. Ya que aunque esté en posesión de la contraseña, no tendría el código necesario para concluir el proceso de acceso.

Inconvenientes de la verificación en dos pasos

Solo uno. Que pierdas o no tengas en ese momento el dispositivo con el que recibimos el código de verificación, en ese caso cada servicio cuenta con unos mecanismos de recuperación propios.

Actualización: Apps como Authy ya ofrecen la posibilidad de sincronizacion entre distintos dispositivos, a través de bóvedas cifradas con contraseña.

Como recibes ese segundo código de verificacion

Cómo recibes ese código adicional puede variar. Durante muchos años, la forma de hacerlo era mediante mensajes SMS, pero no es la opción mas segura debido al Sim Swapping. Alguien con suficiente conocimientos, experiencia y motivación podría lograr duplicar tu tarjeta SIM, convenciendo a tu operadora para que le envíen una SIM. No es fácil, pero es posible. Ahora te explicamos los métodos principales.

Que métodos de verificación en dos pasos se pueden activar

En casi todos los escenarios hay dos métodos. Las opciones de autenticación con códigos de una sola vez enviados por correo electrónico, llamadas telefónicas o SMS, o mediante el uso de una aplicación móvil de autenticación que nos genere un token(codigo) de entrada cada x segundos. Recomiendo la segunda opción como método 2FA. En nuestro equipo usamos Twilio Authy, es una App de código abierto muy utilizada, segura y fiable.

Tener en cuenta que el riesgo 0% nunca va a existir en el mundo digital. Por ejemplo el correo electrónico, los SMS y los códigos únicos basados ​​en apps pueden ser inseguros también. Si establecemos dos posibles escenarios de incidentes de seguridad: nos podría pasar desde el robo de nuestra SIM mediante SIM Swapping, hasta un malware en tu dispositivo que de acceso a la App que genere los tokens de acceso.

Pero ten en cuenta una cosa, si las únicas opciones de autenticación agregadas son la de SMS, o llamadas telefónicas o App de autentificación. Estos métodos son mejores que simplemente confiar en una contraseña para proteger nuestra cuenta.

Desde esta página web, y aunque está en inglés, podréis comprobar que servicios y organizaciones cuentan con la posibilidad de activar la verificación en dos pasos.

https://twofactorauth.org/

Por que recomendamos Authy como App de autentificacion

Existen mas apps como por ejemplo Google Authenticator. Pero Authy tiene más funciones de seguridad, permite la sincronización de múltiples dispositivos, copias de seguridad cifradas en la nube y una recuperación de cuenta más fácil en caso de que cambies o pierdas tu teléfono o dispositivo. Y ademas es de código abierto.

Listado de sitios donde puedes activar la verificacion en dos pasos y como hacerlo

Iremos actualizando el listado en nuestra web:

Como activar la verificación en dos pasos en Twitter

Ya os explicamos lo importante que es tener activada la verificación en dos pasos en nuestras cuentas. Pues bien, activar la verificación en dos pasos en Twitter es algo realmente sencillo, os explicamos como podéis activarlo. Importante hacerlo vía web oficial de Twitter o desde la App oficial de Twitter. Como activar la verificación en dos pasos en Twitter:

  • Da igual que estemos desde la versión web de Twitter o la aplicación oficial. Pero no os va a dejar activar la verificación en dos pasos desde un cliente de terceros, utilizar las vías oficiales.
  • Iremos al apartado mas opciones(al perfil si estamos en la App) >> pulsaremos en Configuración (Configuración y privacidad si estamos en la App) >> Cuenta >> y buscaremos la opción Seguridad >> Autentificación en dos fases.
  • Una vez dentro podremos activar distintas opciones: Mensaje de texto, Aplicación de Autentificación o llave de seguridad. Confirmamos la opción deseada para la verificación en 2 pasos y listo.

Si usáis una App de autentificacion como Authy simplemente activáis la opción, escaneáis el código QR que os aparece en pantalla con la App, le dais a siguiente en Twitter y ya lo tendréis activado.

Dependiendo del método que escojáis para la verificación en dos pasos es posible que Twitter os facilite algún código de respaldo que se generó durante el registro, esto se hace por si en algún momento nos quedamos sin conexión Wi-Fi, perdemos el smartphone o simplemente no podemos verlo, podremos acceder a nuestra cuenta.

Que es la red Tor y cómo funciona

Hoy queremos explicarte qué es la red TOR y cómo funciona, si es segura y cómo puedes usarla para entrar en la Deep web o Dark Web. Empezaremos explicándote qué es la red TOR.

Que es la red Tor

Para explicar que es la red Tor empecemos por su nombre, el significado de TOR son las siglas de The Onion Router, el router Cebolla en español, y es actualmente la principal y más conocida Darknet de Internet. Tor usa la técnica Onion Routing (enrutado en cebolla), que fue diseñada por la Marina de los Estados Unidos para proteger sus comunicaciones.

Actualmente el proyecto Tor está gestionado por The Tor Project, una ONG, organización sin ánimo de lucro orientada a la educación e investigación. El objetivo principal del proyecto Tor es la de crear una red de comunicaciones superpuesta al Internet tradicional y de código abierto, promoviendo la libertad, anonimato y privacidad mientras navegamos.

Cuales son las diferencias entre la Surface Web, Deep Web y la Dark Web

Para diferenciar la Surface webDeep web y Dark web se suele utilizar el esquema con una foto de Iceberg, en el cual la punta que sobresale en la superficie se llama Surface web y la parte que esta debajo del agua la suelen llamar Deep Web. Seguro que esta imagen la habéis visto en multiples ocasiones, pues bien, mejor la desecháis porque no es real. A nosotros nos gusta esquematizarlo de esta manera:

Os resumimos que es la surface Web, la Deep Web y la Dark Web:

  • Surface Web. Es todo el contenido accesible y que esta indexado en los principales buscadores, como Google, Bing, Yahoo, DuckDuckGo, …
  • Deep Web. Es todo el contenido accesible pero que no esta indexado en los buscadores. Tambien forman la Deep Web:
    • Sitios no linkeados.
    • Sitios privados (usuario y contraseña)
    • Documentos con formatos no indexables.
    • Sitios con nombres de dominio no controlados por IANA.
  • Dark Web. Es el contenido no accesible, esta restringida, y no indexado en los buscadores. Para acceder a este contenido necesitamos de determinados clientes, por ejemplo Tor.

Como funciona la red Tor

Intentare no usar muchos tecnicismos para explicar cómo funciona la red Tor, aunque es casi imposible. Tor es una red que implementa el famoso enrutado cebolla (onion routing). El objetivo de esta red es cambiar el modo de enrutado tradicional, el que todos solemos utilizar, con el fin de mantener el anonimato y la privacidad en la red.

Enrutado cebolla

Cuando un internauta navega por internet tiene asignada una dirección IP pública única que identifica su conexión, de tal forma que al acceder a una web, servicio o servidor, es posible saber quién se ha conectado, desde dónde y cuánto tiempo.


En la navegación tradicional usamos un enrutado directo. Con enrutado directo quiero decir que si visitas una web, esta información va desde tu ordenador a tu router, de tu router a los enrutadores de tu proveedor de Internet (ISP) y finalmente a los servidores de la web. Es el camino mas directo. Cual es el problema? Que cualquiera que este entre tu ordenador y el servidor de la web sabra todo de ti, entre otras cosas tu direccion IP y la IP del servidor de la web. Con este enrutado nunca tendremos anonimato ni privacidad.

Tor usa un enrutamiento indirecto, es decir, cada vez que accedemos a una web, esta información va de tu ordenador a tu router, pero ahora esa información se manda a través de varios nodos de forma aleatoria y encriptada. Os dejo una imagen para que lo entendáis mejor:

Imaginemos que Alice quiere enviar un mensaje a Bob a través de Tor, Tor Browser (estará en el equipo de Alice y Bob) se conectará a un nodo aleatorio a través de una conexión encriptada. Este nodo escogerá otro nodo aleatorio con otra conexión encriptada y, así hasta llegar al ultimo nodo anterior a Bob. Este nodo hará una conexión no cifrada con Bob y entregara el mensaje. Todos los nodos Tor son aleatorios y ningún nodo puede ser utilizado dos veces.

Ahora vamos con el enrutamiento cebolla, la parte mas técnica. Como hemos visto se basa en un cifrado asimétrico, el Tor Browser de Alice cifra el mensaje por capas (por esto el nombre de cebolla). Lo primero que hace es cifrar el mensaje con la clave pública del último nodo de la lista, para que sólo él lo pueda descifrar. Este paquete se cifra de nuevo añadiéndole las instrucciones para llegar al último nodo de la lista, se repite el proceso con el siguiente nodo con el fin de que sólo el ultimo nodo pueda descifrar el paquete y que acabe llegando a Bob.

Para evitar una automatizacion extraña que pueda analizar nuestras comunicaciones, la red Tor cambia los nodos cada 10 minutos, escogiendo nuevos nodos. Estos nodos son públicos, y son de tres tipos:

  • Nodos de entrada. Se comunican con los clientes Tor, y conectan a los usuarios con el resto de la red Tor. Generalmente llevan un gran tiempo siendo utilizados y tienen anchos de banda generosos.
  • Nodos medios. Se comunican solo con otros nodos, por lo que su tráfico nunca sale de la red Tor y representa la opción más cómoda, rápida y segura para configurar nuestro propio nodo.
  • Nodos de salida. Son el punto final dentro de la red Tor. Toman las solicitudes, las envían a sus destinatarios, reciben sus respuestas y las envían de vuelta a la red para que lleguen a quien hizo la solicitud originalmente. Suelen ser mantenidos por instituciones y otros actores con capacidad para enfrentar las posibles consecuencias legales del uso que den los usuarios cuyas conexiones salen por estos nodos.

La red Tor es tanto OutProxy como InProxy

La red Tor es OutProxy porque nos permite salir a la Surface Web mediante el nodo de salida. Y es Inproxy porque nos permite navegar en los servicios ocultos, dentro de la propia red.

Arriba red outproxy. Debajo Inproxy.

En Tor dentro del modo inproxy, podemos acceder a la web profunda de dicha red, esos servicios ocultos dentro de la propia red. De hecho cualquier usuario puede crear un servicio oculto.

Las paginas web en la red profunda o Deep Web de Tor no son resolubles por medio de DNS, sino que reciben el nombre de direcciones onion. Están formadas por 16 caracteres, números del 2 al 7 y letras de la a a la z, y con su terminación en “.onion”. Así: 3g2upl4pq6kufc4m.onion

¿La red Tor es tan segura como dicen?

Partamos de una maxima de la seguridad informática, el riesgo cero no existe. Eso si, es cierto que navegar con Tor Browser es mas difícil de rastrear, es mas anónimo, y por lo tanto respeta mas nuestra privacidad con respecto a otros navegadores como Edge, Chrome, Firefox, … Con Tor Browser, serás mucho más anónimo en la red.

En España para cada línea con conexión a internet hay asociado un titular. La legislación actual obliga a ello a través de la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones (al igual que los registros de llamadas). Esto implica que el ISP (Proveedor de Servicios de Internet) conoce al titular de cada línea. Y por lo tanto guarda un registro que almacena quién accede (IP), cuándo, y a qué servicio (página web, email, etc.), cuanto tiempo, etc.

Pero no me quiero centrar es si es mas anónimo que el resto de navegadores o como tratan esos datos las ISP, sino si realmente garantiza el completo anonimato en la red, tal y como se escucha por muchos usuarios. La respuesta es No. La seguridad total no se garantiza, en principio la red Tor, tal y como nos la venden debería ser casi imposible de interceptar, pero esto no es así. Existen vulnerabilidades, que se van parcheando poco a poco cuando van surgiendo.

Es por esto que surge la pregunta, es realmente seguro Tor?, si usuarios y autoridades han podido explotar vulnerabilidades de la red Tor significa que no es 100% seguro? La respuesta es Si, es mucho más seguro y anónimo que cualquiera de los grandes navegadores, pero no al 100%.

Como puedo usar la red Tor

No todos saben que no es necesario usar Tor Browser para usar la red Tor, pero ¿que es Tor Browser? No es más que un navegador web que usa la red Tor, y es la mejor opción a día de hoy para proteger tu privacidad y anonimato. Como ya os hemos mencionado, usar la red Tor tiene dos particularidades:

  • Tu proveedor de servicios de Internet (ISP), y otros que estén observando tu conexión localmente, no podrán rastrear tu actividad en Internet, incluyendo los nombres y direcciones de los sitios web que visites.
  • Los operadores de los sitios web y servicios que uses, y cualquiera que te esté observando, verán una conexión proveniente de la red Tor en lugar de tu dirección de Internet (IP) real, y no sabrán quién eres a menos que te identifiques.

Descargar Tor Browser

La forma más fácil y simple de descargar Tor Browser es desde el sitio web oficial del Proyecto Tor en https://www.torproject.org/es/download

Como instalar Tor Browser

Instalar Tor Browser es muy sencillo:

En Windows:

  1. Ve a la página de descarga de Tor Browser.
  2. Descarga el archivo .exe de Windows
  3. (Recomendado pero no obligatorio) Verifica la firma del archivo.
  4. Cuando se haya completado la descarga, haz doble click en el archivo .exe. Completa el proceso del asistente de instalación.

En macOS:

  1. Ve a la página de descarga del Navegador Tor.
  2. Descarga el archivo .dmg de macOS
  3. (Recomendado pero no obligatorio) Verifica la firma del archivo.
  4. Cuando se haya completado la descarga, haz doble click en el archivo .dmg. Completa el proceso del asistente de instalación.

En GNU/Linux:

  1. Ve a la página de descarga del Navegador Tor.
  2. Descarga el archivo .tar.xz de GNU/Linux
  3. (Recomendado pero no obligatorio) Verifica la firma del archivo.
  4. Cuando se haya completado la descarga, extrae el archivo con el comando tar -xf [TB archive] o usando un administrador de archivos.
  5. Necesitarás decirle a tu GNU/Linux que quieres tener la capacidad de ejecutar scripts de shell desde la interfaz gráfica. Navega hasta el directorio recién extraído del Navegador Tor. Haz clic con el botón derecho en start-tor-browser.desktop, abre Propiedades o Preferencias y cambia el permiso para permitir la ejecución del archivo como programa. Doble clic en el icono para iniciar el Navegador Tor por primera vez.
  6. Alternativamente, dentro del directorio del Navegador Tor, puedes ejecutar Tor escribiendo el comando:./start-tor-browser

Cuales son las desventajas de la red Tor

La principal desventaja de la red Tor es la lentitud, ya que tiene que pasar por diferentes nodos y por consecuencia por varios cifrados, esto ralentiza la red Tor. En defensa de Tor diré que hace unos años era muchísimo más lento, había menor número de nodos y eso se notaba considerablemente.

Esto se resume fácilmente, si quieres aumentar tu privacidad y anonimato en la red tienes que penalizar la velocidad de navegación.

Que es Tor Project y su historia

El Proyecto Tor Inc. o Tor Project se convirtió en una ONG sin ánimo de lucro en 2006, pero la idea del “enrutamiento de cebolla” comenzó a mediados de los años noventa.

En la década de los 90, la falta de seguridad en Internet, y la capacidad para el seguimiento y la vigilancia del usuario se hicieron evidentes, y en 1995, David Goldschlag, Mike Reed y Paul Syverson, de la Marina de los Estados Unidos se preguntaron si había alguna forma de crear conexiones a Internet que no revelaran quién estaba hablando con quién, cuánto tiempo había estado hablando, etc. Su respuesta fue crear y desplegar los primeros diseños, investigación y prototipos del enrutamiento de cebolla.

A principios de la década de 2000, Roger Dingledine, un recién graduado en el instituto de tecnología de Massachussets (MIT), comenzó a trabajar en un proyecto de enrutamiento de cebolla junto a Paul Syverson. Para diferenciar este trabajo original en NRL de otros esfuerzos de enrutamiento de cebolla que comenzaban a aparecer en otros lugares, Roger llamó al proyecto Tor, cuyas siglas venían de The Onion Routing. Poco después se unió al proyecto Nick Mathewson, un compañero de clase de Roger en el MIT.

Desde su inicio en los noventa, se concibió el enrutamiento basándose en una red descentralizada. La red debería ser operada por entidades con intereses diversos y confianza supuesta, y el software debería ser libre y abierto para maximizar la transparencia y la separación. Es por eso que en octubre de 2002, cuando se implementó inicialmente la red Tor, se publicó su código bajo una licencia de software libre y abierta. A fines del 2003, la red tenía aproximadamente una docena de nodos voluntarios, principalmente en los EE. UU., además de uno en Alemania.

Reconociendo el beneficio de Tor para los derechos digitales, la Electronic Frontier Foundation (EFF) comenzó a financiar el trabajo de Roger y Nick en Tor en 2004. En 2006 se fundó Tor Project, Inc., una organización sin ánimo de lucro, para mantener el desarrollo de Tor.

Tor tan solo era un proxy, pero comenzó a ganar popularidad entre los activistas y los usuarios expertos en tecnología interesados ​​en la privacidad. Pero aún así, era complicado para las personas con menos conocimientos técnicos, por lo que en 2005 comenzó el desarrollo de herramientas más allá del proxy de Tor. El desarrollo del navegador Tor Browser comenzó en 2008.

Cuidado con cargar tu móvil sin condón

¿Por qué debes tener mucho cuidado al recargar tu teléfono móvil en puertos USB públicos?

Somos tan esclavos de la tecnología, que cuando la batería de nuestro móvil se esta agotando nos dejamos la vida por cargar el dispositivo de alguna manera. Pero, siento informarte, deberías pensártelo dos veces antes de usar ese cargador o estación de carga del aeropuerto, tren, hotel, … los ciberdelincuentes podrían estar detrás. Tranquil@, ahora te explico que es un condón USB xD.

Piensate dos veces lo de enchufar tu teléfono móvil en el conector USB de los aeropuertos o en las estaciones de carga: puedes terminar con una suplantación de identidad o con tu cuenta bancaria vacía.

¿Los puntos de carga públicos son una buena idea?

En teoría, estos puntos de carga públicos son una excelente idea, permitiéndote que cuando la batería se agota poder recargar el dispositivo móvil, para volver a usarlo normalmente.

El problema reside en que esos puntos de carga públicos están accesibles para todo el mundo. Y el hecho de que cualquiera pueda acceder a ellos, permite que cibercriminales puedan aprovecharlo para modificarlos y convertirlos en lanzadores de malware mientras cargamos nuestro móvil.

Ciberataque de carga

En EEUU esta a la orden del día este ciberataque, lo denominan “ataque de carga” o juice jacking. Usan los cargadores públicos y estaciones de carga publicas para poder acceder a nuestro dispositivo móvil.

La estafa se ha visto en aeropuertos de EEUU, cuando los usuarios conectan los dispositivos via USB.

Luke Sisak – Oficina del Fiscal del distrito de los Angeles

¿Que es el “ciberataque de carga“o juice jacking en inglés? Sucede cuando conectamos nuestros dispositivos móviles a puertos USB o cables USB, que previamente han sido cargados con un software malicioso. Infectando nuestro dispositivo y generando una brecha de seguridad.

Los ciberdelincuentes obtienen acceso a nuestro móvil, y pueden leer y modificar nuestra información, incluyendo, por ejemplo, tus contraseñas.

Como evitar el ciberataque de carga

El “ataque de carga” se aprovecha de nuestra propia necesidad por tener carga en nuestra batería. El método para evitar ciberataques con cargadores es:

  • Evitar el uso de cargadores públicos o dispositivos electrónicos ajenos a nosotros.
  • Llevar siempre nuestro propio cargador o nuestra batería portátil.
  • No usar cables que nos encontremos tirados o conectados al cargador que vamos a usar.
  • No usar ni cargadores ni cables que nos regalan como obsequios publicitarios.
  • Si por tu trabajo vas a tener que usar cargadores públicos, te recomendamos usar un condón USB.

Que es un condón USB

Soy consciente que la expresión “condón USB” es bastante radical, pero es que, en esencia es lo que hace este pequeño dispositivo tecnológico. También conocido como “bloqueador de datos USB“. ¿Que es un condón USB y para que sirve? Se usa como método de protección, entre nuestro dispositivo y la estación de carga, evitando que se transmitan datos y tan solo entre corriente eléctrica.

Su funcionamiento es sencillo, elimina del conector los contactos que se usan para la transferencia de datos y deja únicamente los de carga. Este es el aspecto que tiene un bloqueador de datos USB o condon USB.

Existen versiones transparentes que permiten ver que no hay ningún tipo de electrónica en su interior, para paranoicos como nosotros, y no pensemos que lo han podido reprogramar. El precio de estos dispositivos esta entre los 7€ y los 30€.

¿ Siri, Alexa o Google Assistant atentan contra nuestra privacidad ?

En las ultimas semanas se ha hablado mucho de las escuchas por parte de Apple de las conversaciones que tenemos con Siri, atentando contra la privacidad de las personas. Pero no es la única que lo hace, todos los asistentes virtuales escuchan, según ellos para mejorar su producto.

Escuchan nuestras conversaciones privadas

Recientemente el medio holandes VTR Nws se hizo esta misma pregunta, Pueden escuchar nuestras conversaciones? Y la respuesta que obtuvieron no les dejo indiferentes.

Hay que recordar que estamos hablando de asistentes virtuales que usan millones de personas, y no lo solo en sus móviles, también en sus hogares.

VTR NWS utilizo para la prueba un Google Home que utiliza el asistente Google Assistant. Tras analizar mas de mil extractos grabados por el Google Home los periodistas se quedaron en shock:

En estas grabaciones, podíamos escuchar claramente las direcciones y otra información confidencial. 

VTR NWS

Los periodistas pudieron comprobar como la mayoría de ellas eran peticiones de información al asistente de Google por parte de los usuarios, con el comando “Ok, Google”. Sin embargo, también comprobaron que 153 conversaciones grabadas no deberían haberlo sido, ya que no se oía la petición para activar al asistente. Es más, estas conversaciones eran de ámbito privado y en algunas de ellas se mencionaban datos especialmente delicados.

El problema se agrava cuando en la investigación contactan con tres fuentes que les confirman que un pequeño porcentaje de esas conversaciones las escuchan empleados de Google, concretamente empresas subcontratadas, para mejorar su producto.

Tenemos privacidad con Siri, Alexa o Assistant

Google es la única? no, tanto Siri (Apple) como Alexa (Amazon) usan el mismo método para mejorar sus productos, escuchan un porcentaje determinado de conversaciones para, según ellos, mejorar su sistema de reconocimiento de voz.

El análisis de nuestras voces por parte de Google es perfectamente aceptable, pero no escuchar nuestros momentos más íntimos sin nuestro conocimiento.

Tim Verheyden

Tanto Apple, Amazon y Google aseguran que esas conversaciones escuchadas nunca las relacionan con el nombre de un cliente, si no que se le aplica un numero para mantener su privacidad.

Pero los periodistas de VTR NWS confirmaron que en algunas de las conversaciones grabadas se mencionaban datos personales con los que se puede dar identidad a una persona.

Desde la aparición de los asistentes virtuales no fueron pocos los que advirtieron de la perdida de privacidad que tendríamos con ellos. Hoy, con investigaciones como esta queda demostrado.

Mi opinión

Este post no es una alegoría en pro de una vida sin tecnología, pero si creo que debería haber mucha más claridad sobre cómo nos observan y escuchan todos los días sin nuestro conocimiento. Y leyes que nos protejan ante estos hechos.

¿Que información tiene Facebook sobre mi?

Tras los muchos escándalos de filtrados de información por parte de Facebook, no llegamos a ser conscientes de la cantidad de información que maneja Facebook sobre nosotros, información con la que mercadea.

Por eso, te propongo un juego con el que podrás cuantificar de forma objetiva y real lo que sabe Facebook sobre ti, tus gustos e intereses personales.

Comprobar la información maneja Facebook sobre nosotros

  • Entra en la configuración de Facebook (engranaje o flecha hacia abajo) y pulsa Tu información de Facebook.
  • Ahora accede al menú Descargar tu Información y comienza a preocuparte.
  • Para agilizar todo, vamos a centrarnos solo en una parte de la información que maneja Facebook, la opción: Anuncios y empresas que encontrarás casi al final de las opciones.
  • Una vez seleccionado lo que quieres descargar, vuelve arriba y selecciona: Calidad del contenido multimedia Alta y pulsa en el botón azul Crear Archivo.
  • Tras un par de minutos, tendrás listo un enlace de descarga, que te permitirá descargar un fichero tipo ZIP con la información que has solicitado.

Para abrir este fichero ZIP podremos usar cualquier software para comprimir archivos, tipo WinRar, WinZip, …

Una vez abierto, vamos a centrarnos en ads and businesses (Anuncios y empresa) y mas concretamente en los interés en base a tu actividad. Básicamente se refiere a todo lo que haces dentro de Facebook, nada de lo que preocuparte… o si? … ¿Cuantas lineas de palabras clave te aparecen?

Si seguimos buceando por toda la información que nos aparece, hay un apartado especialmente llamativo. Tu actividad fuera de Facebook si, si, se refiere a lo que haces fuera de Facebook, nada de que preocuparnos, verdad? En mi caso, que apenas uso Facebook, tiene información sobre Instagram, Wallapop, Linkedin, y alguna que otra web.

Pero hay no queda la cosa, por cada uno de esos sitios visitados, podéis ver todos los eventos recogidos, asustado? no quiero que te asustes, simplemente quiero que comprendas hasta donde puede llegar la recopilación masiva de datos que hacen las redes sociales con nuestros datos, y evidentemente todos estos datos en malas manos no puede ser nada bueno.