OTR ( Off-the-record ) es un protocolo que permite a los usuarios de mensajería instantánea o herramientas de chat tener conversaciones confidenciales. En esta guía, aprenderá a utilizar OTR con Pidgin, un cliente de mensajería instantánea de código abierto para PC con Windows.

OTR ( Off-the-record ) es un protocolo que permite a las personas tener conversaciones confidenciales utilizando las herramientas de mensajería con las que ya están familiarizados. OTR proporciona esta seguridad mediante:

Esto no debe confundirse con Google "Off the record", que simplemente desactiva el registro de chat, y no tiene capacidades de encriptación o verificación. Aunque hay varias maneras de utilizar OTR en Microsoft Windows, hemos encontrado la herramienta más consistente y fácil de usar para ser el cliente de chat Pidgin con el complemento pidgin-otr.

Cuando tengas una conversación por chat utilizando Google Hangouts o chat en Facebook en los sitios web de Google o Facebook, ese chat se cifra mediante HTTPS , lo que significa que el contenido de tu chat está protegido de los piratas informáticos y de terceros mientras está en tránsito. Está no obstante, protegido de Google o Facebook, que tiene las llaves de sus conversaciones y puede entregarlos a las autoridades o utilizarlos para fines de marketing.

Después de haber instalado Pidgin, puede iniciar sesión en él utilizando varias cuentas al mismo tiempo. Por ejemplo, puedes usar Google Hangouts, Facebook y XMPP simultáneamente. Pidgin también te permite chatear usando estas herramientas sin OTR. Dado que OTR sólo funciona si ambas personas lo están utilizando, esto significa que incluso si la otra persona no lo tiene instalado, todavía puede chatear con ellos utilizando Pidgin.

Pidgin también te permite realizar verificaciones fuera de banda para asegurarte de que estás hablando con la persona con la que piensas que estás hablando y no estás siendo objeto de un ataque MITM . Para cada conversación, hay una opción que le mostrará las huellas dactilares clave que tiene para usted y la persona con la que está charlando. Una " huella dactilar clave " es una cadena de caracteres como "342e 2309 bd20 0912 ff10 6c63 2192 1928", que se utiliza para verificar una clave pública más larga.Cambiar sus huellas dactilares a través de otro canal de comunicaciones, como Twitter DM o correo electrónico, para asegurarse de que Nadie está interfiriendo con su conversación.

Los tecnólogos tienen un término para describir cuando un programa o tecnología puede ser vulnerable a ataques externos : dicen que tiene una gran "superficie de ataque". Pidgin tiene una gran superficie de ataque. Es un programa complejo, que no ha sido escrito con la seguridad como una prioridad. Es casi seguro que tiene errores, algunos de los cuales podrían ser utilizados por los gobiernos o incluso grandes empresas para entrar en los equipos que lo están utilizando. El uso de Pidgin para cifrar tus conversaciones es una gran defensa contra el tipo de vigilancia no orientada que se utiliza para espiar las conversaciones de Internet de todos, pero si crees que será atacado personalmente por un atacante bien dotado de recursos (como un estado-nación) Debe tener en cuenta las precauciones más estrictas, como el correo electrónico encriptado por PGP .

Puede obtener Pidgin en Windows descargando el instalador desde la página de descarga de Pidgin.

Haga clic en la pestaña DESCARGAR púrpura. No haga clic en el botón Descargar ahora porque deseará elegir un archivo de instalación diferente. Te llevarán a la página de descarga.

No haga clic en el botón verde Descargar ahora porque queremos elegir un archivo de instalación diferente. El instalador predeterminado para Pidgin es pequeño porque no contiene toda la información y descarga los archivos para usted. Esto a veces falla para que tenga una mejor experiencia con el "instalador offline" que contiene todo el material de instalación necesario. Haga clic en el vínculo "Instalador sin conexión". Se le llevará a una nueva página titulada "Sourceforge" y después de unos segundos, un pequeño popup le preguntará si desea guardar un archivo.

 

Este riesgo provendría principalmente de alguien con acceso a la infraestructura local de Internet que intente llevar a cabo una vigilancia específica contra usted personalmente (por ejemplo, un proveedor de hot-spot malicioso) o un estado o gobierno que planea distribuir software comprometido a muchos usuarios. La extensión HTTPS Everywhere puede volver a escribir URL de descarga de Sourceforge a HTTPS, por lo que se recomienda instalar HTTPS Everywhere antes de descargar cualquier otro software. Además, en nuestra experiencia, Sourceforge a menudo tiene anuncios de página completa confusos en sus páginas de descarga que pueden engañar a la gente para que instalen algo que no quieran. Puede instalar un bloqueador de anuncios antes de cualquier otro software para evitar estos anuncios confusos.

Muchos navegadores le pedirán que confirme si desea descargar este archivo. Internet Explorer 11 muestra una barra en la parte inferior de la ventana del navegador con un borde naranja.

Para cualquier navegador, lo mejor es guardar primero el archivo antes de continuar, así que haga clic en el botón "Guardar". De forma predeterminada, la mayoría de los navegadores guardan los archivos descargados en la carpeta Descargas.

Puede obtener pidgin-otr, el complemento OTR para Pidgin, descargando el instalador desde la página de descarga de OTR .

Haga clic en la pestaña "Descargas" para acceder a la sección "Descargas" de la página. Haga clic en el vínculo "Instalador de Win32 para pidgin".

Muchos navegadores le pedirán que confirme si desea descargar este archivo. Internet Explorer 11 muestra una barra en la parte inferior de la ventana del navegador con un borde naranja.

Para cualquier navegador, lo mejor es guardar primero el archivo antes de continuar, así que haga clic en el botón "Guardar". De forma predeterminada, la mayoría de los navegadores guardan los archivos descargados en la carpeta Descargas.

Después de descargar Pidgin y pidgin-otr deberías tener dos archivos nuevos en tu carpeta de descargas:

Mantenga abierta la ventana del Explorador de Windows y haga doble clic en pidgin-2.10.9-offline.exe. (El nombre de archivo utilizado en este módulo no necesariamente coincide con lo que ve en su propia computadora.) Se le preguntará si desea permitir la instalación de este programa. Haga clic en el botón "Sí".

Se abrirá una pequeña ventana pidiéndole que seleccione un idioma. Haga clic en el botón "Aceptar".

Se abrirá una ventana que le dará una visión general del proceso de instalación. Haga clic en el botón "Siguiente".

Ahora obtienes una descripción de la licencia. Haga clic en el botón "Siguiente".

Ahora puede ver qué componentes diferentes están instalados. No cambie la configuración. Haga clic en el botón "Siguiente".

Ahora puede ver dónde se instalará Pidgin. No cambie esta información. Haga clic en el botón "Siguiente".

Ahora verá una ventana con texto desplazable hasta que aparezca "Instalación completa". Haga clic en el botón "Siguiente".

Finalmente, verá la última ventana del instalador de Pidgin. Haga clic en el botón "Finalizar".

Vuelva a la ventana del Explorador de Windows y abra y haga doble clic en pidgin-otr-4.0.0-1.exe. Se le preguntará si desea permitir la instalación de este programa. Haga clic en el botón "Sí".

Se abrirá una ventana que le dará una visión general del proceso de instalación. Haga clic en el botón "Siguiente".

Ahora obtienes una descripción de la licencia. Haga clic en el botón "Acepto".

Verá dónde se instalará pidgin-otr. No cambie esta información. Haga clic en el botón "Instalar".

Por último, verá la última ventana del instalador pidgin-otr. Haga clic en el botón "Finalizar".

Vaya al menú Inicio, haga clic en el icono de Windows y seleccione Pidgin en el menú.

Cuando Pidgin se lance por primera vez, verá esta ventana de bienvenida que le dará una opción para agregar una cuenta. Puesto que todavía no tienes una cuenta configurada, haz clic en el botón "Agregar".

Ahora verá la ventana "Agregar cuenta". Pidgin es capaz de trabajar con muchos sistemas de chat, pero nos centraremos en XMPP , antes conocido como Jabber.

En la entrada Protocolo , seleccione la opción "XMPP".

En la entrada de nombre de usuario, ingrese su nombre de usuario XMPP.

En la entrada de dominio, ingrese el dominio de su cuenta XMPP.

En la entrada Contraseña, ingrese su contraseña XMPP.

Al marcar la casilla por la entrada "Recordar contraseña", el acceso a su cuenta será más fácil. Tenga en cuenta que al hacer clic en "Recordar contraseña", su contraseña se guardará en el equipo, haciéndola accesible a cualquier persona que pueda tener acceso a su computadora. Si esto es una preocupación, no marque esta casilla. A continuación, deberá introducir su contraseña de cuenta XMPP cada vez que inicie Pidgin.

Ahora querrás agregar a alguien con quien chatear. Haz clic en el menú "Amigos" y selecciona "Agregar amigo". Se abrirá una ventana "Añadir amigo".

En la ventana "Add Buddy", puede ingresar el nombre de usuario de la persona con la que desea chatear. Este otro usuario no tiene que ser del mismo servidor, pero tiene que utilizar el mismo protocolo , como XMPP .

En la entrada "Nombre de usuario de Buddy", ingrese el nombre de usuario de su amigo con el nombre de dominio . Esto se verá como una dirección de correo electrónico.

En la entrada "(opcional) Alias", puede introducir un nombre de su elección para su amigo. Esto es totalmente opcional, pero puede ayudar si la cuenta XMPP de la persona con la que está conversando es difícil de recordar.

Haga clic en el botón "Agregar".

Una vez que haya hecho clic en el botón "Añadir", Boris recibirá un mensaje preguntando si él da la autorización para que usted lo agregue. Una vez que Boris lo haga, agregará su cuenta y obtendrá la misma solicitud. Haga clic en el botón "Autorizar".

Ahora configurará el complemento OTR para que pueda chatear de forma segura. Haga clic en el menú "Herramientas" y seleccione la opción "Plugins".

Desplácese hasta la opción " Off-the-Record Messaging" y marque la casilla. Haga clic en la entrada "Off-the-Record Messaging" y haga clic en el botón "Configure Plugin".

Ahora verá la ventana de configuración "Off-the-Record Messaging". Observe que se dice "Ninguna clave presente". Haga clic en el botón "Generar".

Ahora una pequeña ventana se abrirá y generará una clave. Cuando haya terminado, haga clic en el botón "Aceptar".

Verá nueva información: una cadena de texto de 40 caracteres dividida en 5 grupos de ocho caracteres. Esta es tu huella dactilar OTR . Haga clic en el botón "Cerrar".

Ahora haga clic en el botón "Cerrar" de la ventana Plugins.

Ahora puedes chatear con Boris. Los dos pueden enviar mensajes de ida y vuelta. Sin embargo, todavía no estamos charlando de forma segura. Incluso si se está conectando al servidor XMPP , es posible que la conexión entre usted y Boris no sea segura. Si miras la ventana de chat, observa que dice "No privado" en rojo en la parte inferior derecha. Haga clic en el botón "No privado".

Se abrirá un menú, seleccione "Authenticate buddy".

Se abrirá una ventana. Se le pregunta: "¿Cómo le gustaría autenticar a su amigo?"

El menú desplegable tiene tres opciones:

Un secreto compartido es una línea de texto que usted y la persona con la que desea chatear han acordado usarlo con antelación. Deberías haber compartido esto en persona y nunca haberlo intercambiado en canales inseguros como correo electrónico o Skype.

Usted y su compañero deben ingresar este texto juntos. Haga clic en el botón "Autenticar".

La verificación secreta compartida es útil si usted y su amigo ya han hecho arreglos para chatear en el futuro pero aún no han creado huellas dactilares OTR en el equipo que está utilizando. Esto sólo funciona si ambos están utilizando Pidgin.

La verificación manual de huellas dactilares es útil si ya recibiste la huella dactilar de tu compañero y ahora se está conectando con Pidgin. Esto no será útil si su amigo cambió de computadora o tuvo que crear nuevas huellas dactilares.

Si la huella dactilar que recibió y la huella dactilar en la pantalla coinciden, seleccione "Tengo" y haga clic en el botón "Autenticar".

La verificación de preguntas y respuestas es útil si conoce a su amigo pero no ha establecido un secreto compartido ni ha tenido la oportunidad de compartir huellas dactilares. Este método es útil para establecer la verificación basada en algo que ambos saben, como un evento compartido o memoria. Esto sólo funciona si ambos están utilizando Pidgin.

Ingrese la pregunta que desea hacer. No lo hagas tan simple que alguien pueda adivinarlo fácilmente, pero no lo hagas imposible. Un ejemplo de una buena pregunta sería "¿Dónde fuimos a cenar en Minneapolis?" Y el ejemplo de una mala pregunta sería "¿Puedes comprar manzanas en Tokio?"

 

Introduzca la pregunta y la respuesta y, a continuación, haga clic en el botón "Autenticar".

Su amigo tendrá una ventana abierta con la pregunta mostrada pidiendo la respuesta. Tendrán que responder y hacer clic en el botón "Autenticar". A continuación, recibirá un mensaje que les permitirá saber si la autenticación ha tenido éxito.

Una vez que su amigo ha completado el procedimiento de autenticación, obtendrá una ventana que le permite saber la autenticación tuvo éxito.

Su amigo también debe verificar su cuenta para que ambos puedan estar seguros de que la comunicación es segura. Esto es lo que le gustaría para Akiko y Boris. Observe los iconos verdes "Privados" en la parte inferior derecha de la ventana de chat.

Los mecanismos para verificar la autenticidad deben funcionar entre diferentes programas de chat como Jitsi, Pidgin, Adium y Kopete. No es necesario que utilices el mismo software de chat para usar la conversación en XMPP y OTR, pero a veces hay errores en el software. Adium, un software de chat para OS X, tiene un error al recibir la verificación de preguntas y respuestas. Si descubre que la verificación de otros está fallando para usted cuando está utilizando la verificación de preguntas y respuestas, compruebe si están utilizando Adium y compruebe si puede utilizar otro método de verificación.