Guía del anonimato en línea (por https://anonymousplanet.org/)

Utilícela bajo su propia responsabilidad. Por favor, no tome esta guía como una verdad definitiva para todo porque no lo es.
  • Introducción:
  • Entender algunos conceptos básicos de cómo cierta información puede conducir de nuevo a usted y cómo mitigar algunos:
    • Tu Red:
      • Tu dirección IP:
      • Sus solicitudes DNS e IP:
      • Sus dispositivos con RFID:
      • Los dispositivos Wi-Fis y Bluetooth que le rodean:
      • Los puntos de acceso Wi-Fi maliciosos/corruptos:
      • Su tráfico Tor/VPN anonimizado:
      • Algunos dispositivos pueden ser rastreados incluso cuando están desconectados:
    • Sus identificadores de hardware:
      • Su IMEI e IMSI (y por extensión, su número de teléfono):
      • Su dirección MAC Wi-Fi o Ethernet:
      • Su dirección MAC Bluetooth:
    • Tu CPU:
    • Tus Sistemas Operativos y servicios de telemetría de Apps:
    • Tus dispositivos Smart en general:
    • Tú mismo:
      • Tus Metadatos incluyendo tu Geolocalización:
      • Tu Huella Digital, Footprint y Comportamiento Online:
      • Tus Pistas sobre tu Vida Real y OSINT:
      • Tu cara, voz, biometría y fotos:
      • Phishing e ingeniería social:
    • Malware, exploits y virus:
      • Malware en tus archivos/documentos/correos electrónicos:
      • Malware y exploits en tus aplicaciones y servicios:
      • Dispositivos USB maliciosos:
      • Malware y backdoors en tu Firmware de Hardware y Sistema Operativo:
    • Tus archivos, documentos, imágenes y vídeos:
      • Propiedades y metadatos:
      • Marcas de agua:
      • Información pixelada o borrosa:
    • Tus transacciones de Criptomonedas:
    • Tus copias de seguridad/servicios de sincronización en la nube:
    • Las huellas de tu navegador y dispositivo:
    • Fugas de Datos Locales y Forenses:
    • Mala Criptografía:
    • Sin registro pero con políticas de registro de todos modos:
    • Algunas técnicas avanzadas:
    • Algunos recursos adicionales:
    • Notas:
  • Preparativos generales:
    • Elección de la ruta:
      • Limitaciones de tiempo:
      • Limitaciones de presupuesto/material:
      • Habilidades:
      • Adversarios (amenazas):
    • Pasos para todas las rutas:
      • Conseguir un número de teléfono anónimo:
      • Consigue una llave USB:
      • Encuentra lugares seguros con Wi-Fi público decente:
    • La ruta TAILS:
      • Negación plausible persistente usando Whonix dentro de TAILS:
    • Pasos para todas las demás rutas:
      • Consigue un portátil específico para tus actividades delicadas:
      • Algunas recomendaciones sobre portátiles:
      • Configuración Bios/UEFI/Firmware de su portátil:
      • Proteja físicamente su portátil:
    • La ruta Whonix:
      • Elección del sistema operativo anfitrión (el sistema operativo instalado en el portátil):
      • Linux Host OS:
      • MacOS Host OS:
      • Sistema operativo Windows:
      • Virtualbox en su SO anfitrión:
      • Elige tu método de conectividad:
      • Consigue una VPN/Proxy anónima:
      • Whonix:
      • Tor sobre VPN:
      • Whonix Máquinas Virtuales:
      • Elija su máquina virtual de estación de trabajo invitada:
      • Máquina Virtual Linux (Whonix o Linux):
      • Máquina Virtual Windows 10:
      • Máquina Virtual Android:
      • Máquina Virtual MacOS:
      • KeepassXC:
      • Instalación de cliente VPN (pago en efectivo/Monero):
      • (Opcional) permitiendo que sólo las VMs accedan a internet mientras se corta el SO Host para evitar cualquier fuga:
      • Paso final:
    • La Ruta Qubes:
      • Elige tu método de conectividad:
      • Consigue una VPN/Proxy anónima:
      • Instalación:
      • Comportamiento de cierre de la tapa:
      • Conectarse a una Wi-Fi pública:
      • Actualizar Qubes OS:
      • Hardening Qubes OS:
      • Configurar la VPN ProxyVM:
      • Configurar un Navegador seguro dentro de Qube OS (opcional pero recomendado):
      • Configurar una VM Android:
      • KeePassXC:
  • Creando tus identidades anónimas en línea:
    • Comprender los métodos utilizados para evitar el anonimato y verificar la identidad:
      • Captchas:
      • Verificación por teléfono:
      • Verificación por correo electrónico:
      • Verificación de datos de usuario:
      • Comprobación de la identidad:
      • Filtros IP:
      • Huellas digitales de navegadores y dispositivos:
      • Interacción humana:
      • Moderación de usuarios:
      • Análisis del comportamiento:
      • Transacciones financieras:
      • Inicio de sesión con alguna plataforma:
      • Reconocimiento facial en vivo y biometría (de nuevo):
      • Revisiones manuales:
    • Conectarse:
      • Creación de nuevas identidades:
      • El sistema de nombre real:
      • Acerca de los servicios de pago:
      • Visión general:
      • Cómo compartir archivos o chatear de forma anónima:
      • Redactar documentos/imágenes/vídeos/audio de forma segura:
      • Comunicación de información sensible a diversas organizaciones conocidas:
      • Tareas de mantenimiento:
  • Cómo hacer copias de seguridad seguras:
    • Copias de seguridad sin conexión:
      • Copias de seguridad de archivos seleccionados:
      • Copias de seguridad de todo el disco/sistema:
    • Copias de seguridad en línea:
      • Archivos:
      • Información:
    • Sincronizar tus archivos entre dispositivos Online:
  • Cubrir sus huellas:
    • HDD vs SSD:
      • Nivelación del desgaste.
      • Operaciones de recorte:
      • Recogida de basura:
      • Conclusión:
    • Cómo borrar de forma segura todo tu Portátil/Drives si quieres borrarlo todo:
      • Linux (todas las versiones incluyendo Qubes OS):
      • Windows:
      • MacOS:
    • Cómo borrar de forma segura archivos/carpetas/datos específicos en tu HDD/SSD y unidades Thumb:
      • Windows:
      • Linux (no Qubes OS):
      • Linux (Qubes OS):
      • MacOS:
    • Algunas medidas adicionales contra los forenses:
      • Eliminación de metadatos de archivos/documentos/imágenes:
      • TAILS:
      • Whonix:
      • MacOS:
      • Linux (Qubes OS):
      • Linux (no Qubes):
      • Windows:
    • Eliminación de algunos rastros de sus identidades en los motores de búsqueda y diversas plataformas:
      • Google:
      • Bing:
      • DuckDuckGo:
      • Yandex:
      • Qwant:
      • Yahoo Search:
      • Baidu:
      • Wikipedia:
      • Archive.today:
      • Internet Archive:
  • Algunos trucos de baja tecnología de la vieja escuela:
    • Comunicaciones ocultas a plena vista:
    • Cómo detectar si alguien ha estado registrando tus cosas:
  • Últimas reflexiones sobre OPSEC:
  • Si crees que te has quemado:
    • Si tienes tiempo:
    • Si no tiene tiempo:
  • Una pequeña nota editorial final
 
Last edited by a moderator:

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Limitaciones de presupuesto/material.


  • Sólo dispones de un portátil y no puedes permitirte otro. Utilizas este portátil para el trabajo, la familia o tus cosas personales (o para ambas cosas):
    • Tu mejor opción es optar por la ruta Tails.
  • Puedes permitirte un portátil de repuesto no supervisado/no monitorizado para tus actividades delicadas:
    • Pero es viejo, lento y tiene malas especificaciones (menos de 6 GB de RAM, menos de 250 GB de espacio en disco, CPU vieja/lenta):
      • Deberías optar por Tails.
    • No es tan viejo y tiene especificaciones decentes (al menos 6 GB de RAM, 250 GB de espacio en disco o más, CPU decente):
      • Podrías optar por las rutas Tails, Whonix.
    • Es nuevo y tiene grandes especificaciones (más de 8 GB de RAM, >250 GB de espacio en disco, CPU rápida reciente):
      • Podrías optar por cualquier ruta pero yo recomendaría Qubes OS si tu modelo de amenaza lo permite.
    • Si es un Mac M1 basado en ARM:
      • No es posible actualmente por estas razones:
        • La virtualización de imágenes x86 en Macs ARM M1 está todavía limitada a software comercial (Parallels) que no está soportado por Whonix todavía.
        • Virtualbox aún no está disponible para la arquitectura ARM.
        • Whonix aún no está soportado en arquitectura ARM.
        • Tails aún no está soportado en arquitectura ARM.
        • Qubes OS aún no es compatible con la arquitectura ARM.

Su única opción en Macs M1 es probablemente seguir con Tor Browses por ahora. Pero supongo que si puede permitirse un Mac M1 probablemente debería conseguir un portátil x86 dedicado para actividades más sensibles.
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Habilidades.


  • ¿No tiene conocimientos de informática y el contenido de esta guía le parece un idioma extraño?
    • Deberías seguir la ruta de Tails (excluyendo la sección de negación plausible persistente).
  • Tienes algunos conocimientos de informática y hasta ahora has entendido casi todo el contenido de esta guía.
    • Deberías optar por las rutas de Tails (incluida la sección de negación plausible persistente) o Whonix.
  • Tienes conocimientos informáticos de moderados a altos y ya estás familiarizado con parte del contenido de esta guía.
    • Puedes elegir lo que quieras, pero te recomiendo encarecidamente Qubes OS.
  • Eres un hacker l33T, "no hay cuchara", "el pastel es mentira", has estado usando "doas" durante años y "toda tu base nos pertenece", y tienes fuertes opiniones sobre systemd.
    • Esta guía no es realmente para ti y no te ayudará con tu HardenedBSD en tu portátil Libreboot endurecido ;-)

 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Adversarios (amenazas).


  • Si su principal preocupación es el examen forense de sus dispositivos:
    • Deberías optar por la ruta Tails (con negación plausible persistente opcional).
  • Si lo que más te preocupa son los adversarios remotos que podrían descubrir tu identidad en línea en varias plataformas:
    • Podrías ir con las rutas Whonix o Qubes OS.
    • También puedes optar por Tails (con negación plausible persistente opcional).
  • Si quieres una negación plausible en todo el sistema a pesar de los riesgos:
    • Podrías optar por la ruta Tails, incluyendo la sección de negación plausible persistente.
    • Podrías optar por la ruta Whonix (en el sistema operativo Windows sólo en el ámbito de esta guía).
  • Si estás en un entorno hostil donde el uso de Tor/VPN por sí solo es imposible/peligroso/sospechoso:
    • Podrías ir con la ruta Tails (sin usar Tor).
    • Podrías ir por la ruta Whonix o Qubes OS (sin usar Whonix).

En todos los casos, debería leer estas dos páginas de la documentación de Whonix que le darán una visión en profundidad de sus opciones:



Puede que te preguntes: "¿Cómo puedo saber si estoy en un entorno hostil en línea en el que se vigilan y bloquean activamente las actividades?".


 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Pasos para todas las rutas.


Acostúmbrese a utilizar mejores contraseñas.


Véase el Apéndice A2: Directrices para contraseñas y frases de contraseña.


Consigue un número de teléfono anónimo.


Omite este paso si no tienes intención de crear cuentas anónimas en la mayoría de las plataformas habituales, sino que sólo quieres una navegación anónima, o si las plataformas que vas a utilizar permiten el registro sin número de teléfono.


Teléfono físico y tarjeta SIM de prepago.


Consigue un teléfono desechable.


Esto es bastante fácil. Deja tu smartphone apagado o apágalo antes de salir. Coge algo de dinero y vete a un mercadillo cualquiera o a una tienda pequeña (a ser posible sin circuito cerrado de televisión dentro o fuera y evitando que te fotografíen o filmen) y compra el teléfono más barato que encuentres con dinero en efectivo y sin dar ninguna información personal. Sólo es necesario que funcione.


Personalmente, recomendaría conseguir un viejo "dumbphone" con una batería extraíble (viejo Nokia si sus redes móviles todavía permiten que ésos conecten pues algunos países retiraron progresivamente 1G-2G totalmente). Esto es para evitar el envío/recopilación automática de cualquier dato de telemetría/diagnóstico en el propio teléfono. Nunca debes conectar el teléfono a ninguna red Wi-Fi.


También será crucial no encender nunca ese teléfono desechable (ni siquiera sin la tarjeta SIM) en ninguna ubicación geográfica que pueda conducir a ti (en tu casa/trabajo por ejemplo) y nunca jamás en la misma ubicación que tu otro smartphone conocido (porque ese tiene un IMEI/IMSI que te conducirá fácilmente). Esto puede parecer una gran carga, pero no lo es, ya que estos teléfonos sólo se utilizan durante el proceso de configuración/firmación y para la verificación de vez en cuando.


Véase el Apéndice N: Advertencia sobre teléfonos inteligentes y dispositivos inteligentes


Debes comprobar que el teléfono funciona correctamente antes de pasar al siguiente paso. Pero me repetiré y volveré a afirmar que es importante dejar el smartphone en casa cuando vayas (o apagarlo antes de salir si debes conservarlo) y que pruebes el teléfono en un lugar aleatorio que no pueda ser rastreado hasta ti (y de nuevo, no lo hagas delante de un circuito cerrado de televisión, evita las cámaras, sé consciente de tu entorno). Tampoco es necesario que haya Wi-Fi en este lugar.


Cuando estés seguro de que el teléfono funciona correctamente, desactiva el Bluetooth, apágalo (quítale la batería si puedes) y vuelve a casa para reanudar tus actividades normales. Vaya al siguiente paso.


Consigue una tarjeta SIM de prepago anónima.


Esta es la parte más difícil de toda la guía. Se trata de un SPOF (Single Point of Failure). Los lugares donde todavía se pueden comprar tarjetas SIM de prepago sin registro de identidad son cada vez más limitados debido a diversas regulaciones de tipo KYC.


Así que aquí tienes una lista de lugares donde todavía puedes conseguirlas ahora: https://prepaid-data-sim-card.fandom.com/wiki/Registration_Policies_Per_Country [Archive.org]


Deberías ser capaz de encontrar un lugar que no esté "demasiado lejos" y simplemente ir allí físicamente para comprar algunas tarjetas prepago y vales de recarga con dinero en efectivo. Antes de ir, comprueba que no se haya aprobado ninguna ley que obligue a registrarse (en caso de que la wiki anterior no esté actualizada). Intenta evitar los circuitos cerrados de televisión y las cámaras y no olvides comprar un vale de recarga con la tarjeta SIM (si no es un paquete), ya que la mayoría de las tarjetas de prepago requieren una recarga antes de su uso.


Véase el Apéndice N: Advertencia sobre smartphones y dispositivos inteligentes


Antes de ir, comprueba que los operadores de telefonía móvil que venden las tarjetas SIM de prepago aceptan la activación y recarga de la tarjeta SIM sin necesidad de registrar ningún tipo de identificación. Lo ideal es que acepten la activación y recarga de la tarjeta SIM desde el país en el que resides.


Personalmente, recomendaría GiffGaff en el Reino Unido, ya que son "asequibles", no requieren identificación para la activación y recarga e incluso te permitirán cambiar tu número hasta 2 veces desde su sitio web. Una tarjeta SIM de prepago de GiffGaff te permitirá, por tanto, utilizar 3 números según tus necesidades.


Apaga el teléfono después de la activación/recarga y antes de irte a casa. No vuelvas a encenderlo a menos que no estés en un lugar que pueda servir para revelar tu identidad y que tu smartphone esté apagado antes de ir a ese lugar "que no es tu casa".


Número de teléfono en línea (menos recomendado).


DESCARGO DE RESPONSABILIDAD: No intente esto hasta que haya terminado de configurar un entorno seguro de acuerdo con una de las rutas seleccionadas. Este paso requerirá acceso en línea y sólo debe hacerse desde una red anónima. No lo hagas desde ningún entorno conocido/inseguro. Omita este paso hasta que haya terminado una de las rutas.


Hay muchos servicios comerciales que ofrecen números para recibir mensajes SMS en línea, pero la mayoría de ellos básicamente no tienen anonimato/privacidad y no pueden ser de ayuda, ya que la mayoría de las plataformas de redes sociales ponen un límite a las veces que se puede utilizar un número de teléfono para registrarse.


Existen algunos foros y subreddits (como r/phoneverification/) en los que los usuarios ofrecen el servicio de recibir dichos mensajes SMS por un módico precio (mediante PayPal o alguna criptomoneda). Desafortunadamente, están llenos de estafadores y son muy arriesgados en términos de anonimato. No deberías usarlos bajo ninguna circunstancia.


Hasta la fecha, no conozco ningún servicio de confianza que ofrezca este servicio y acepte pagos en efectivo (por correo, por ejemplo) como algunos proveedores de VPN. Pero hay algunos servicios que ofrecen números de teléfono en línea y sí aceptan Monero, lo que podría ser razonablemente anónimo (aunque menos recomendable que la forma física del capítulo anterior) que podrías considerar:



Hay otras posibilidades aquí https://cryptwerk.com/companies/sms/xmr/ [Archive .org]. Utilízalo bajo tu propia responsabilidad.


DESCARGO DE RESPONSABILIDAD: No puedo responder por ninguno de estos proveedores y, por lo tanto, sigo recomendando que lo hagas tú mismo físicamente. En este caso tendrás que confiar en el anonimato de Monero y no deberías usar ningún servicio que requiera algún tipo de identificación usando tu identidad real. Por favor, lea este Monero Disclaimer.



Por lo tanto, en mi humilde opinión, es probablemente más conveniente, más barato y menos arriesgado simplemente obtener una tarjeta SIM de prepago de uno de los lugares físicos que todavía las venden por dinero en efectivo sin necesidad de registro de identidad. Pero al menos hay una alternativa si no tienes otra opción.


Consigue una llave USB.


Consigue al menos una o dos llaves USB genéricas de tamaño decente (al menos 16GB pero yo recomendaría 32GB).


Por favor, no compres ni utilices dispositivos de autocifrado como estos: https://syscall.eu/blog/2018/03/12/aigo_part1/ [Archive.org].


Algunos pueden ser muy eficaces, pero muchos son artilugios efectistas que no ofrecen protección real.


Encuentra lugares seguros con una Wi-Fi pública decente.


Tienes que encontrar lugares seguros en los que puedas realizar tus actividades confidenciales utilizando una red Wi-Fi de acceso público (sin necesidad de registrar una cuenta o un DNI, y evitando los circuitos cerrados de televisión).


Puede ser cualquier lugar que no esté vinculado a ti directamente (tu casa/trabajo) y donde puedas usar el Wi-Fi durante un rato sin que te molesten. Pero también, un lugar donde puedas hacerlo sin que nadie "se fije" en ti.


Si crees que Starbucks es una buena idea, puedes reconsiderarlo:


  • Probablemente tengan cámaras de seguridad en todas sus tiendas y conserven esas grabaciones durante un tiempo desconocido.
  • En la mayoría tendrás que comprar un café para obtener el código de acceso Wi-Fi. Si pagas este café con un método electrónico, podrán vincular tu acceso Wi-Fi con tu identidad.

La conciencia situacional es clave y debes estar constantemente atento a tu entorno y evitar los lugares turísticos como si estuvieran plagados de ébola. Debes evitar aparecer en cualquier foto/vídeo de alguien mientras se esté tomando un selfie, haciendo un vídeo de TikTok o colgando alguna foto de viaje en su Instagram. Si lo haces, recuerda que hay muchas posibilidades de que esas fotos acaben en Internet (de forma pública o privada) con todos los metadatos adjuntos (hora/fecha/geolocalización) y tu cara. Recuerda que pueden ser indexadas por Facebook/Google/Yandex/Apple y probablemente por las tres agencias de noticias.


Aunque esto aún no estará disponible para los agentes de policía locales, podría estarlo en un futuro próximo.


Lo ideal es que necesites un conjunto de 3-5 lugares diferentes como este para evitar utilizar el mismo lugar dos veces. Serán necesarios varios viajes a lo largo de las semanas para realizar los distintos pasos de esta guía.


También puedes considerar conectarte a estos lugares desde una distancia segura para mayor seguridad. Ver Apéndice Q: Uso de Antenas de Largo Alcance para conectarse a Wi-Fis Públicas desde una distancia segura.
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

La ruta de las colas.


Esta parte de la guía le ayudará a configurar Tails si se cumple una de las siguientes condiciones:


  • No puedes permitirte un portátil dedicado
  • Tu portátil dedicado es demasiado viejo y lento
  • Tienes muy pocos conocimientos informáticos
  • Te decides por Tails de todos modos

Tails son las siglas de Amnesic Incognito Live System. Es un Sistema Operativo Live arrancable que se ejecuta desde una llave USB que está diseñada para no dejar rastros y forzar todas las conexiones a través de la red Tor.


Prácticamente insertas la llave USB Tails en tu portátil, arrancas desde ella y tienes un sistema operativo completo ejecutándose con la privacidad y el anonimato en mente. En cuanto apagues el ordenador, todo habrá desaparecido a menos que lo hayas guardado en algún sitio.


Tails es una forma muy fácil de empezar a funcionar en poco tiempo con lo que tienes y sin mucho aprendizaje. Tiene una amplia documentación y tutoriales.


ADVERTENCIA: Tails no siempre está actualizado con su software incluido. Y no siempre está actualizado con las actualizaciones del Navegador Tor tampoco. Siempre debes asegurarte de que estás usando la última versión de Tails y debes tener extrema precaución cuando uses aplicaciones incluidas en Tails que podrían ser vulnerables a exploits y revelar tuubicación265.


Sin embargo, tiene algunos inconvenientes:


  • Tails utiliza Tor y por lo tanto estarás utilizando Tor para acceder a cualquier recurso en Internet. Esto por sí solo te hará sospechoso para la mayoría de las plataformas en las que quieras crear cuentas anónimas (esto se explicará con más detalle más adelante).
  • Tu ISP (ya sea el tuyo o alguna Wi-Fi pública) también verá que estás usando Tor y esto podría hacerte sospechoso en sí mismo.
  • Tails no incluye (nativamente) algunos de los programas que podrías querer usar más adelante, lo que complicará bastante las cosas si quieres ejecutar algunas cosas específicas (emuladores de Android, por ejemplo).
  • Tails utiliza el Navegador Tor que, aunque es muy seguro, también será detectado por la mayoría de las plataformas y te dificultará la creación de identidades anónimas en muchas plataformas.
  • Tails no te protegerá más de la llave inglesa de 5$8.
  • Tor en sí mismo podría no ser suficiente para protegerte de un adversario con suficientes recursos como se explicó anteriormente.

Nota Importante: Si tu portátil está monitorizado/supervisado y existen algunas restricciones locales, por favor lee el Apéndice U: Cómo saltarse (algunas) restricciones locales en ordenadores supervisados.


También deberías leer la Documentación de Tails, Advertencias y limitaciones, antes de seguir adelante https://tails.boum.org/doc/about/warnings/index.en.html [Archive.org]


Teniendo todo esto en cuenta y el hecho de que su documentación es estupenda, me limitaré a redirigirte hacia su bien hecho y bien mantenido tutorial:


https://tails.boum.org/install/index.en.html [Archive. org] , elija su sabor y proceda.


Cuando hayas terminado y tengas un Tails funcionando en tu laptop, ve al paso Creando tus identidades anónimas en línea mucho más adelante en esta guía.


Si tienes problemas para acceder a Tor debido a censura u otros problemas, puedes intentar usar Puentes Tor siguiendo este tutorial de Tails: https://tails.boum.org/doc/first_steps/welcome_screen/bridge_mode/index.en.html [ Archive.org] y encontrar más información sobre estos en Documentación Tor https://2019.www.torproject.org/docs/bridges [Archive.org]


Si cree que usar Tor solo es peligroso/sospechoso, vea Apéndice P: Acceder a internet de la forma más segura posible cuando Tor/VPN no es una opción
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Negación plausible persistente usando Whonix dentro de Tails.


Considera la posibilidad de consultar el proyecto https://github.com/aforensics/HiddenVM [Archive.org] para Tails.


Este proyecto es una idea inteligente de una solución VM autónoma de un solo clic que podrías almacenar en un disco encriptado usando negación plausible256 (ver La ruta Whonix: primeros capítulos y también para algunas explicaciones sobre negación plausible, así como la sección Cómo borrar de forma segura archivos/carpetas/datos específicos en tu HDD/SSD y unidades Thumb: al final de esta guía para una mayor comprensión).


Esto permitiría la creación de un sistema híbrido mezclando Tails con las opciones de Virtualización de la ruta Whonix de esta guía.
2021 08 04 17 12


Nota: Ver Elige tu método de conectividad en la Ruta Whonix para más explicaciones sobre el Aislamiento de Flujos.


Resumiendo:


  • Podrías ejecutar Tails no persistentes desde una llave USB (siguiendo sus recomendaciones)
  • Podrías almacenar VMs persistentes dentro de un contenido secundario que podría ser encriptado normalmente o usando la característica de negación plausible de Veracrypt (estas podrían ser VMs Whonix por ejemplo o cualquier otra).
  • Se beneficia de la característica añadida de Aislamiento de Flujo Tor (vea Tor sobre VPN para más información sobre aislamiento de flujo).

En ese caso, tal y como el proyecto lo describe, no debería haber rastros de ninguna de sus actividades en su ordenador y el trabajo sensible podría hacerse desde VMs almacenadas en un contenedor Oculto que no debería ser fácilmente descubrible por un adversario blando.


Esta opción es particularmente interesante para "viajar ligero" y para mitigar los ataques forenses mientras mantienes la persistencia en tu trabajo. Sólo necesitas 2 llaves USB (una con Tails y otra con un contenedor Veracrypt que contenga Whonix persistente). La primera llave USB parecerá contener sólo Tails y la segunda USB parecerá contener sólo basura aleatoria pero tendrá un volumen señuelo que puedes mostrar para una negación plausible.


También podrías preguntarte si esto resultará en una configuración "Tor sobre Tor" pero no será así. Las máquinas virtuales Whonix accederán a la red directamente a través de clearnet y no a través de Tails Onion Routing.


En el futuro, esto también podría ser soportado por el propio proyecto Whonix como se explica aquí: https://www.whonix.org/wiki/Whonix-Host [Archive.org] pero no se recomienda por ahora para los usuarios finales.


Recuerda que el cifrado con o sin negación plausible no es una bala de plata y será de poca utilidad en caso de tortura. De hecho, dependiendo de quién sea tu adversario (tu modelo de amenaza), podría ser prudente no utilizar Veracrypt (antes TrueCrypt) en absoluto, como se muestra en esta demostración: https://defuse.ca/truecrypt-plausible-deniability-useless-by-game-theory.htm [Archive.org].


Lanegación plausible sólo es efectiva contra adversarios legales blandos que no recurrirán a medios físicos.


Ver https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis
[Wikiless] [Archive.org]


PRECAUCIÓN: Consulte las secciones Apéndice K: Consideraciones sobre el uso de unidades SSD externas y Comprensión de HDD frente a SSD si está pensando en almacenar estas máquinas virtuales ocultas en una unidad SSD externa:


  • No utilice volúmenes ocultos en unidades SSD, ya que Veracrypt no lo admite ni lo recomienda.
  • Utilice contenedores de archivos en lugar de volúmenes encriptados.
  • Asegúrese de saber cómo limpiar los datos de una unidad SSD externa correctamente.

Aquí está mi guía sobre cómo lograrlo:


Primera ejecución.


  • Descarga la última versión de HiddenVM desde https://github.com/aforensics/HiddenVM/releases [Archive.org]
  • Descarga la última versión de Whonix XFCE de https://www.whonix.org/wiki/VirtualBox/XFCE [Archive.org]
  • Prepara una llave/unidad USB con Veracrypt
    • Crea un Volumen Oculto en el USB/Unidad Llave (yo recomendaría al menos 16GB para el volumen oculto)
    • En el Volumen Externo, coloca algunos archivos señuelo
    • En el Volumen Oculto, coloca el archivo HiddenVM appimage
    • En el Volumen Oculto, coloca el archivo Whonix XFCE ova
  • Arranca en Tails
  • Configura la distribución del teclado a tu gusto.
  • Selecciona Additional Settings y establece una contraseña de administrador (root) (necesaria para instalar HiddenVM)
  • Inicia Tails
  • Conéctate a una red wi-fi segura (este es un paso necesario para que el resto funcione)
  • Ve a Utilidades y Desbloquea tu Volumen Veracrypt (oculto) (no olvides marcar la casilla de volumen oculto)
  • Inicia la aplicación HiddenVM
  • Cuando se le pida que seleccione una carpeta, seleccione la raíz del volumen oculto (donde están los archivos OVA de Whonix y la imagen de la aplicación HiddenVM).
  • Deja que haga lo suyo (esto básicamente instalará Virtualbox dentro de Tails con un solo click)
  • Cuando termine, debería iniciar automáticamente Virtualbox Manager.
  • Importa los archivos OVA de Whonix (ver Máquinas Virtuales Whonix:)

Nota, si durante la importación tienes problemas como "NS_ERROR_INVALID_ARG (0x80070057)", probablemente se deba a que no hay suficiente espacio en disco en tu volumen oculto para Whonix. Whonix recomienda 32 GB de espacio libre, pero probablemente no sea necesario y 10 GB deberían ser suficientes para empezar. Puedes intentar solucionar este error renombrando el archivo *.OVA de Whonix a *.TAR y descomprimiéndolo dentro de Tails. Cuando termines con la descompresión, borra el archivo OVA e importa los otros archivos con el asistente de importación. Esta vez puede que funcione.


Ejecuciones posteriores.


  • Arrancar en Tails
  • Conectarse a Wi-Fi
  • Desbloquea tu Volumen Oculto
  • Inicia la aplicación HiddenVM
  • Esto debería abrir automáticamente el gestor de VirtualBox y mostrar tus máquinas virtuales anteriores desde la primera ejecución.
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Pasos para el resto de vías.


Consigue un portátil dedicado para tus actividades delicadas.


Lo ideal es que consigas un portátil dedicado que no esté vinculado a ti de ninguna manera fácil (idealmente pagado con dinero en efectivo de forma anónima y tomando las mismas precauciones que se han mencionado anteriormente para el teléfono y la tarjeta SIM). Es recomendable, pero no obligatorio, porque esta guía te ayudará a endurecer tu portátil todo lo posible para evitar fugas de datos por diversos medios. Habrá varias líneas de defensa que se interpondrán entre tus identidades en línea y tú mismo que deberían impedir que la mayoría de los adversarios te desanonimicen, aparte de los actores estatales/globales con recursos considerables.


Lo ideal sería que este portátil estuviera recién instalado (con Windows, Linux o MacOS), limpio de tus actividades cotidianas y sin conexión (nunca conectado a la red). En el caso de un portátil con Windows, y si lo has utilizado antes de dicha instalación limpia, tampoco debería estar activado (reinstalado sin clave de producto). Específicamente en el caso de los MacBooks, nunca antes debería haber estado vinculado a tu identidad por ningún medio. Por lo tanto, comprar de segunda mano con dinero en efectivo de un desconocido que no conoce su identidad.


Esto es para mitigar algunos problemas futuros en caso de filtraciones online (incluyendo telemetría de tu SO o Apps) que podrían comprometer cualquier identificador único del portátil mientras lo usas (Dirección MAC, Dirección Bluetooth, y Clave de producto...). Pero también, para evitar ser rastreado si necesitas deshacerte del portátil.


Si has utilizado este portátil antes para diferentes propósitos (como tus actividades diarias), todos sus identificadores de hardware son probablemente conocidos y registrados por Microsoft o Apple. Si más tarde alguno de esos identificadores se ve comprometido (por malware, telemetría, exploits, errores humanos...) podrían conducirte de vuelta a ti.


El portátil debe tener al menos 250GB de espacio en disco , al menos 6GB (idealmente 8GB o 16GB) de RAM y debe ser capaz de ejecutar un par de máquinas virtuales al mismo tiempo. Debe tener una batería que dure varias horas.


Este portátil puede tener un disco duro (7200rpm) o una unidad SSD/NVMe. Ambas posibilidades tienen sus ventajas y problemas que se detallarán más adelante.


Todos los futuros pasos en línea realizados con este portátil deberían hacerse idealmente desde una red segura como una Wi-Fi pública en un lugar seguro (ver Encontrar algunos lugares seguros con Wi-Fi públicas decentes). Pero primero habrá que realizar varios pasos sin conexión.
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Algunas recomendaciones sobre portátiles.


Si te lo puedes permitir, puedes considerar la posibilidad de adquirir un portátil Purism Librem(https://puri.sm [Archive.org]) o System76(https://system76.com/ [Archive.org]) mientras usas Coreboot (donde Intel IME viene desactivado de fábrica).


En otros casos, yo recomendaría encarecidamente conseguir portátiles de grado Business (es decir, no portátiles de consumo/para juegos) si puedes. Por ejemplo, algún ThinkPad de Lenovo (mi favorito personal). Aquí hay listas de portátiles que actualmente soportan Libreboot y otros en los que puedes flashear Coreboot tú mismo (que te permitirá deshabilitar Intel IME o AMD PSP):



Esto se debe a que esos portátiles de empresa suelen ofrecer mejores y más personalizables características de seguridad (especialmente en la configuración de la BIOS/UEFI) con un soporte más largo que la mayoría de portátiles de consumo (Asus, MSI, Gigabyte, Acer...). Las características interesantes a buscar son IMHO:


  • Mejor configuración personalizada de Secure Boot (donde puedes gestionar selectivamente todas las claves y no sólo usar las estándar)
  • Contraseñas HDD/SSD además de sólo contraseñas BIOS/UEFI.
  • Los portátiles AMD podrían ser más interesantes, ya que algunos ofrecen la posibilidad de desactivar AMD PSP (el equivalente AMD de Intel IME) desde la configuración BIOS/UEFI por defecto. Y, porque AFAIK, AMD PSP fue auditado y al contrario que IME no se encontró que tuviera ninguna funcionalidad "maligna". Sin embargo, si usted va para la ruta Qubes OS considerar Intel, ya que no apoyan AMD con su sistema anti-malvado.
  • Herramientas de borrado seguro desde la BIOS (especialmente útil para unidades SSD/NVMe, ver Apéndice M: Opciones BIOS/UEFI para borrar discos en varias Marcas).
  • Mejor control sobre la desactivación/activación de determinados periféricos (puertos USB, Wi-Fis, Bluetooth, Cámara, Micrófono...).
  • Mejores características de seguridad con Virtualización.
  • Protecciones nativas anti-manipulación.
  • Mayor soporte con actualizaciones BIOS/UEFI (y posteriores actualizaciones de seguridad BIOS/UEFI).
  • Algunos son soportados por Libreboot
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Configuración de Bios/UEFI/Firmware de tu portátil.


PC.


Se puede acceder a estos ajustes a través del menú de arranque del portátil. Aquí tienes un buen tutorial de HP que explica todas las formas de acceder a la BIOS en varios ordenadores: https://store.hp.com/us/en/tech-takes/how-to-enter-bios-setup-windows-pcs [Archive.org]


Normalmente la forma de acceder a ella es pulsando una tecla específica (F1, F2 o Supr) en el arranque (antes de tu SO).


Una vez dentro, tendrás que aplicar algunos ajustes recomendados:


  • Desactiva Bluetooth completamente si puedes.
  • Desactiva los biométricos (escáneres de huellas dactilares) si tienes alguno, si puedes. Sin embargo, podrías añadir una comprobación biométrica adicional sólo para el arranque (pre-arranque) pero no para acceder a la configuración de la BIOS/UEFI.
  • Desactiva la Webcam y el Micrófono si puedes.
  • Habilite la contraseña BIOS/UEFI y utilice una frase de contraseña larga en lugar de una contraseña (si puede) y asegúrese de que esta contraseña es necesaria para:
    • Acceder a la propia configuración de la BIOS/UEFI
    • Cambiar el orden de arranque
    • Arranque/Encendido del dispositivo
  • Habilite la contraseña de HDD/SSD si la función está disponible. Esta característica añadirá otra contraseña en el propio HDD/SSD (no en la BIOS/UEFI firmware) que impedirá que este HDD/SSD sea usado en un ordenador diferente sin la contraseña. Tenga en cuenta que esta característica también es específica de algunos fabricantes y podría requerir un software específico para desbloquear este disco desde un ordenador completamente diferente.
  • Evite acceder a las opciones de arranque (el orden de arranque) sin proporcionar la contraseña de la BIOS/UEFI si puede.
  • Desactiva USB/HDMI o cualquier otro puerto (Ethernet, Firewire, tarjeta SD...) si puedes.
  • Desactiva Intel ME si puedes.
  • Deshabilite AMD PSP si puede (el equivalente de AMD a IME, vea Su CPU)
  • Desactiva Secure Boot si pretendes usar QubesOS, ya que no lo soportan de fábrica. Mantenlo activado si pretendes usar Linux/Windows.
  • Comprueba si la BIOS de tu portátil tiene una opción de borrado seguro para tu HDD/SSD que podría ser conveniente en caso de necesidad.

Actívalos sólo cuando sea "necesario" y desactívalos de nuevo después de usarlos. Esto puede ayudar a mitigar algunos ataques en caso de que se apoderen de tu portátil mientras está bloqueado pero aún encendido O si tuviste que apagarlo rápidamente y alguien se apoderó de él (este tema se explicará más adelante en esta guía).


Acerca del arranque seguro.


Entonces, ¿qué es el Arranque Seguro? En pocas palabras, es una característica de seguridad UEFI diseñada para evitar que tu computadora arranque un sistema operativo cuyo cargador de arranque no fue firmado por claves específicas almacenadas en el firmware UEFI de tu laptop.


Básicamente, cuando el Sistema Operativo (o el Gestor de Arranque) lo soporta, puedes almacenar las claves de tu gestor de arranque en tu firmware UEFI y esto evitará arrancar cualquier Sistema Operativo no autorizado (como un USB live OS o algo similar).


La configuración de Secure Boot está protegida por la contraseña que configures para acceder a la configuración de la BIOS/UEFI. Si tienes esa contraseña, puedes desactivar Secure Boot y permitir que sistemas operativos no firmados arranquen en tu sistema. Esto puede ayudar a mitigar algunos ataques Evil-Maid (explicados más adelante en esta guía).


En la mayoría de los casos, Secure Boot está desactivado por defecto o está activado pero en modo "configuración", lo que permitirá arrancar cualquier sistema. Para que el Arranque Seguro funcione, tu Sistema Operativo tendrá que soportarlo y luego firmar su cargador de arranque y enviar esas claves de firma a tu firmware UEFI. Después de eso, tendrás que ir a la configuración de tu BIOS/UEFI y guardar las claves enviadas desde tu sistema operativo y cambiar el Secure Boot de modo de configuración a modo de usuario (o modo personalizado en algunos casos).


Después de hacer ese paso, sólo podrán arrancar los Sistemas Operativos desde los que tu firmware UEFI pueda verificar la integridad del cargador de arranque.


La mayoría de los portátiles tendrán algunas claves por defecto ya almacenadas en la configuración de arranque seguro. Suelen ser las del propio fabricante o las de algunas empresas como Microsoft. Esto significa que, por defecto, siempre será posible arrancar algunos discos USB incluso con arranque seguro. Estos incluyen Windows, Fedora, Ubuntu, Mint, Debian, CentOS, OpenSUSE, Tails, Clonezilla y muchos otros. Sin embargo, Secure Boot no está soportado en absoluto por QubesOS en este momento.


En algunos portátiles, puedes gestionar esas claves y eliminar las que no quieras con un "modo personalizado" para autorizar sólo tu propio gestor de arranque que podrías firmar tú mismo si realmente quieres.


Entonces, ¿de qué te protege Secure Boot? Protegerá tu portátil de arrancar cargadores de arranque no firmados (por el proveedor del SO) con, por ejemplo, malware inyectado.


¿De qué no te protege Secure Boot?


  • Secure Boot no cifra el disco, por lo que un adversario puede extraer el disco del portátil y extraer los datos desde otra máquina. Por lo tanto, Secure Boot es inútil sin un cifrado completo del disco.
  • Secure Boot no te protege de un gestor de arranque firmado que podría estar comprometido y firmado por el propio fabricante (Microsoft, por ejemplo, en el caso de Windows). La mayoría de las distribuciones de Linux están firmadas hoy en día y arrancan con Secure Boot activado.
  • Secure Boot puede tener fallos y exploits como cualquier otro sistema. Si utilizas un portátil antiguo que no se beneficia de las nuevas actualizaciones de BIOS/UEFI, pueden quedar sin corregir.

Además, hay una serie de ataques que podrían ser posibles contra Secure Boot como se explica (en profundidad) en estos videos técnicos:



Por lo tanto, puede ser útil como medida adicional contra algunos adversarios, pero no contra todos. Secure Boot en sí mismo no cifra tu disco duro. Es una capa añadida, pero eso es todo.


Sigo recomendando que lo mantengas activado si puedes.



Mac.


Tómese un momento para establecer una contraseña de firmware de acuerdo con el tutorial aquí: https://support.apple.com/en-au/HT204455 [Archive.org]


También deberías activar la protección de restablecimiento de contraseña de firmware (disponible en Catalina) de acuerdo con la documentación aquí: https: //support.apple.com/en-gb/guide/security/sec28382c9ca/web [ Archive.org]


Esta característica mitigará la posibilidad de que algunos adversarios utilicen hacks de hardware para deshabilitar/eludir tu contraseña de firmware. Tenga en cuenta que esto también evitará que la propia Apple acceda al firmware en caso de reparación.
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Proteja físicamente su portátil.


En algún momento, inevitablemente, dejarás el portátil solo en algún sitio. No dormirá con él ni se lo llevará a todas partes cada día. Deberías hacer que sea lo más difícil posible para cualquiera manipularlo sin que te des cuenta. Esto es útil sobre todo contra algunos adversarios limitados que no utilizarán una llave inglesa de 5$ contra ti.


Es importante saber que es trivialmente fácil para algunos especialistas instalar un key logger en tu portátil, o simplemente hacer una copia clonada de tu disco duro que más tarde podría permitirles detectar la presencia de datos encriptados en él usando técnicas forenses (más sobre esto más adelante).


Aquí tienes un buen método barato para hacer que tu portátil sea a prueba de manipulaciones utilizando esmalte de uñas (con purpurina) https://mullvad.net/en/help/how-tamper-protect-laptop/ [Archive.org] (con imágenes).


Aunque este es un buen método barato, también podría levantar sospechas ya que es bastante "notable" y podría revelar que "tienes algo que esconder". Por eso, hay formas más sutiles de conseguir el mismo resultado. Por ejemplo, podrías hacer una macrofotografía de cerca de los tornillos traseros de tu portátil o simplemente utilizar una pequeña cantidad de cera de vela en uno de los tornillos que podría parecer suciedad normal. A continuación, puede comprobar si hay manipulación comparando las fotografías de los tornillos con los nuevos. Su orientación podría haber cambiado un poco si tu adversario no fue lo suficientemente cuidadoso (apretándolos exactamente igual que antes). O puede que la cera de la parte inferior de la cabeza del tornillo esté más dañada que antes.
2021 08 05 07 49

Las mismas técnicas se pueden utilizar con los puertos USB, en los que basta con poner una pequeña cantidad de cera de vela dentro del enchufe que se dañaría al insertar una llave USB en él.


En entornos de mayor riesgo, compruebe si su portátil ha sido manipulado antes de utilizarlo de forma habitual.
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

La ruta Whonix.


Elección del sistema operativo anfitrión (el sistema operativo instalado en el portátil).


Esta ruta hará un uso extensivo de las Máquinas Virtuales, que requerirán un SO anfitrión para ejecutar el software de Virtualización. Tienes 3 opciones recomendadas en esta parte de la guía:


  • Tu distribución Linux de elección (excluyendo Qubes OS)
  • Windows 10 (preferiblemente Home edition debido a la ausencia de Bitlocker)
  • MacOS (Catalina o superior)

Además, hay muchas posibilidades de que su Mac esté o haya estado vinculado a una cuenta de Apple (en el momento de la compra o después de iniciar sesión) y, por lo tanto, sus identificadores de hardware únicos podrían llevarle hasta usted en caso de fuga de identificadores de hardware.


Linux tampoco es necesariamente la mejor opción para el anonimato dependiendo de tu modelo de amenazas. Esto se debe a que el uso de Windows nos permitirá utilizar cómodamente la Denegación Plausible (también conocida como Cifrado Denegable) fácilmente a nivel de sistema operativo. Desafortunadamente, Windows es al mismo tiempo una pesadilla para la privacidad, pero es la única opción (conveniente) para utilizar la negación plausible en todo el sistema operativo. La telemetría y el bloqueo de telemetría de Windows también están ampliamente documentados, lo que debería mitigar muchos problemas.


Entonces, ¿qué es la negación plausible? Es la capacidad de cooperar con un adversario que solicita acceso a tu dispositivo/datos sin revelar tu verdadero secreto. Todo ello utilizando el Cifrado Denegable.


Un adversario legítimo podría pedirte la contraseña encriptada de tu portátil. Al principio podrías negarte a dar ninguna contraseña (haciendo uso de tu "derecho a permanecer en silencio", "derecho a no incriminarte") pero algunos países están implementando leyes para eximir esto de tales derechos (porque los terroristas y "piensa en los niños"). En ese caso, puede que tengas que revelar la contraseña o quizás enfrentarte a penas de cárcel por desacato al tribunal. Aquí es donde entra en juego la negación plausible.


Podrías revelar una contraseña, pero esa contraseña sólo daría acceso a "datos plausibles" (un sistema operativo señuelo). Los forenses sabrán que es posible que hayas ocultado datos, pero no deberían poder demostrarlo (si lo haces bien). Habrás cooperado y los investigadores tendrán acceso a algo, pero no a lo que realmente quieres ocultar. Como la carga de la prueba debería estar de su lado, no tendrán más opciones que creerte a menos que tengan una prueba de que tienes datos ocultos.


Esta característica se puede utilizar a nivel de SO (un SO plausible y un SO oculto) o a nivel de archivos, donde tendrás un contenedor de archivos encriptados (similar a un archivo zip) donde se mostrarán diferentes archivos dependiendo de la contraseña de encriptación que utilices.


Esto también significa que podrías configurar tu propia configuración avanzada de "negación plausible" usando cualquier SO Host almacenando, por ejemplo, Máquinas Virtuales en un contenedor de volumen oculto Veracrypt (ten cuidado con los rastros en el SO Host que necesitarían ser limpiados si el SO host es persistente, mira la sección Algunas medidas adicionales contra forenses más adelante). Hay un proyecto para conseguir esto dentro de Tails(https://github.com/aforensics/HiddenVM [Archive.org]) que haría que tu sistema operativo anfitrión no fuera persistente y utilizaría la negación plausible dentro de Tails.


En el caso de Windows, la negación plausible es también la razón por la que idealmente deberías tener Windows 10 Home (y no Pro). Esto se debe a que Windows 10 Pro ofrece de forma nativa un sistema de cifrado de disco completo (Bitlocker), mientras que Windows 10 Home no ofrece cifrado de disco completo en absoluto. Más adelante utilizaremos un software de código abierto de terceros para el cifrado que permitirá el cifrado de disco completo en Windows 10 Home. Esto te dará una buena excusa (plausible) para usar este software. Mientras que usar este software en Windows 10 Pro sería sospechoso.


Nota sobre Linux: Entonces, ¿qué pasa con Linux y la negación plausible? Sí, es posible lograr una negación plausible con Linux también. Pero es complicado de configurar y en mi opinión requiere un nivel de habilidad lo suficientemente alto como para que probablemente no necesites esta guía para ayudarte a intentarlo.


Desgraciadamente, la encriptación no es magia y conlleva algunos riesgos:


Amenazas con encriptación.


La llave inglesa de 5$.


Recuerda que el cifrado con o sin negación plausible no es una bala de plata y será de poca utilidad en caso de tortura. De hecho, dependiendo de quién sea tu adversario (tu modelo de amenaza), podría ser prudente no utilizar Veracrypt (antes TrueCrypt) en absoluto, como se muestra en esta demostración: https://defuse.ca/truecrypt-plausible-deniability-useless-by-game-theory.htm [Archive.org].


La negación plausible sólo es efectiva contra adversarios legales blandos que no recurrirán a medios físicos. Evite, si es posible, el uso de software capaz de negación plausible (como Veracrypt) si su modelo de amenaza incluye adversarios duros. En ese caso, los usuarios de Windows deberían instalar Windows Pro como sistema operativo anfitrión y utilizar Bitlocker en su lugar.


Véase https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [Archive.org]


Ataque Evil-Maid.


Los Ataques de Criada Malvada se llevan a cabo cuando alguien manipula tu portátil mientras estás fuera. Para instalarse clonan tu disco duro, instalan malware o un registrador de teclas. Si pueden clonar tu disco duro, pueden comparar una imagen de tu disco duro en el momento en que lo cogieron mientras estabas fuera con el disco duro cuando te lo confiscan. Si entre medias volviste a utilizar el portátil, los forenses podrían demostrar la existencia de los datos ocultos observando las variaciones entre las dos imágenes en lo que debería ser un espacio vacío/no utilizado. Esto podría dar lugar a pruebas sólidas de la existencia de datos ocultos. Si instalan un key logger o malware dentro de tu portátil (software o hardware), podrán simplemente sacarte la contraseña para utilizarla posteriormente cuando te lo incauten. Este tipo de ataques pueden producirse en tu casa, en tu hotel, en un paso fronterizo o en cualquier lugar donde dejes tus dispositivos desatendidos.


Puedes mitigar este ataque haciendo lo siguiente (como se recomendó anteriormente):


  • Disponer de una protección antimanipulación básica (como se ha explicado anteriormente) para impedir el acceso físico a las partes internas del portátil sin que lo sepas. Esto evitará que clonen tus discos e instalen un key logger físico sin tu conocimiento.
  • Desactiva todos los puertos USB (como se explicó anteriormente) dentro de una BIOS/UEFI protegida por contraseña. De nuevo, no podrán encenderlos (sin acceder físicamente a la placa base para restablecer la BIOS) para arrancar un dispositivo USB que podría clonar tu disco duro o instalar un malware basado en software que podría actuar como registrador de claves.
  • Configura contraseñas de BIOS/UEFI/Firmware para evitar cualquier arranque no autorizado de un dispositivo no autorizado.
  • Algunos SO y software de encriptación tienen protección anti-EvilMaid que puede ser activada. Este es el caso de Windows/Veracrypt y QubeOS.

Ataque de arranque en frío.


Los ataques de arranque en frío son más complicados que el ataque Evil Maid, pero pueden formar parte de un ataque Evil Maid, ya que requieren que un adversario entre en posesión de tu portátil mientras estás utilizando activamente tu dispositivo o poco después.


La idea es bastante simple, como se muestra en este vídeo, un adversario podría teóricamente arrancar rápidamente tu dispositivo con una llave USB especial que copiaría el contenido de la RAM (la memoria) del dispositivo después de que lo apagues. Si los puertos USB están desactivados o si creen que necesitan más tiempo, podrían abrirlo y "enfriar" la memoria utilizando un spray u otros productos químicos (nitrógeno líquido, por ejemplo) para evitar que la memoria se descomponga. Entonces podrían copiar su contenido para analizarlo. Este volcado de memoria podría contener la clave para desencriptar el dispositivo. Más adelante aplicaremos algunos principios para mitigarlos.


En el caso de la Negación Plausible, ha habido algunos estudios forenses sobre probar técnicamente la presencia de los datos ocultos con un simple examen forense (sin un Ataque Cold Boot/Evil Maid) pero estos han sido refutados por otros estudios y por el mantenedor de Veracrypt así que yo no me preocuparía demasiado por ellos todavía.


Las mismas medidas utilizadas para mitigar los ataques Evil Maid deberían estar en vigor para los ataques Cold Boot con algunas añadidas:


  • Si tu sistema operativo o software de encriptación lo permite, deberías considerar encriptar las claves dentro de la RAM también (esto es posible con Windows/Veracrypt y se explicará más adelante).
  • Deberías limitar el uso del modo de espera y en su lugar utilizar Apagar o Hibernar para evitar que las claves de encriptación permanezcan en la RAM cuando tu ordenador entre en reposo. Esto se debe a que la suspensión mantendrá la energía en tu memoria para reanudar tu actividad más rápidamente. Sólo la hibernación y el apagado borrarán realmente la clave de la memoria.

Véase también https://www.whonix.org/wiki/Cold_Boot_Attack_Defense [Archive. org] y https://www.whonix.org/wiki/Protection_Against_Physical_Attacks [Archive.org].


Aquí también hay algunas herramientas interesantes a tener en cuenta para los usuarios de Linux para defenderse de estos:



Sobre Sleep, Hibernation y Shutdown.


Si quieres mayor seguridad, deberías apagar completamente tu portátil cada vez que lo dejes desatendido o cierres la tapa. Esto debería limpiar y/o liberar la RAM y proporcionar mitigaciones contra ataques de arranque en frío. Sin embargo, esto puede ser un poco incómodo, ya que tendrás que reiniciar por completo y escribir un montón de contraseñas en varias aplicaciones. Reiniciar varias VMs y otras apps. Así que en su lugar, también podrías usar la hibernación (no soportada en Qubes OS). Dado que todo el disco está encriptado, la hibernación en sí misma no debería suponer un gran riesgo para la seguridad, pero aún así apagará tu portátil y borrará la memoria mientras te permite reanudar cómodamente tu trabajo después. Lo que nunca debes hacer es utilizar la función de suspensión estándar, que mantendrá tu ordenador encendido y la memoria alimentada. Este es un vector de ataque contra los ataques evil-maid y cold-boot comentados anteriormente. Esto se debe a que tu memoria encendida contiene las claves de encriptación de tu disco (encriptado o no) y podría ser accedida por un adversario habilidoso.


Esta guía proporcionará orientación más adelante sobre cómo habilitar la hibernación en varios sistemas operativos anfitriones (excepto Qubes OS) si no quieres apagar cada vez.


Fugas de datos locales (trazas) y examen forense.


Como se mencionó brevemente anteriormente, se trata de fugas de datos y rastros de su sistema operativo y aplicaciones cuando se realiza cualquier actividad en el equipo. Esto se aplica principalmente a los contenedores de archivos cifrados (con o sin negación plausible) que al cifrado de todo el sistema operativo. Estas filtraciones son menos "importantes" si todo tu sistema operativo está cifrado (si no estás obligado a revelar la contraseña).


Digamos, por ejemplo, que tienes una llave USB encriptada con Veracrypt con negación plausible activada. Dependiendo de la contraseña que utilices al montar la llave USB, se abrirá una carpeta señuelo o la carpeta sensible. Dentro de esas carpetas, tendrás documentos/datos señuelo dentro de la carpeta señuelo y documentos/datos sensibles dentro de la carpeta sensible.


En todos los casos, lo más probable es que abras estas carpetas con el Explorador de Windows, el Finder de MacOS o cualquier otra utilidad y hagas lo que tengas pensado hacer. Puede que edite un documento dentro de la carpeta sensible. Tal vez busque un documento dentro de la carpeta. Tal vez usted va a eliminar uno o ver un video sensible utilizando VLC.


Pues bien, todas esas aplicaciones y su sistema operativo pueden guardar registros y rastros de ese uso. Esto podría incluir la ruta completa de la carpeta/archivos/unidades, el tiempo de acceso, cachés temporales de esos archivos, las listas de "recientes" en cada aplicación, el sistema de indexación de archivos que podría indexar la unidad e incluso miniaturas que podrían ser generadas.


He aquí algunos ejemplos de estas filtraciones:


Windows.


  • Windows ShellBags que se almacenan dentro del Registro de Windows almacenando silenciosamente varios historiales de volúmenes/archivos/carpetas accedidos.
  • Indexación de Windows que guarda rastros de los archivos presentes en su carpeta de usuario por defecto.
  • Listas recientes (también conocidas como Jump Lists) en Windows y varias aplicaciones que guardan rastros de los documentos a los que se ha accedido recientemente.
  • Muchos más rastros en varios registros, por favor vea este interesante póster para más información: https://www.sans.org/security-resources/posters/windows-forensic-analysis/170/download [Archive.org]

MacOS.


  • Gatekeeper290 y XProtect mantienen un registro de tu historial de descargas en una base de datos local y de los atributos de los archivos.
  • Indexación Spotlight
  • Listas recientes en varias aplicaciones que guardan los documentos a los que se ha accedido recientemente.
  • Carpetas temporales que guardan varios rastros del uso de aplicaciones y documentos.
  • Registros MacOS
  • ...

Linux.


  • Indexación de Rastreadores
  • Historial Bash
  • Registros USB
  • Listas recientes en varias aplicaciones que guardan rastros de los documentos a los que se ha accedido recientemente.
  • Registros Linux
  • ...

Los forenses podrían utilizar todas esas fugas (ver Fugas de Datos Locales y Forenses) para probar la existencia de datos ocultos y derrotar tus intentos de utilizar una negación plausible y descubrir tus diversas actividades sensibles.


Por lo tanto, será importante aplicar varios pasos para evitar que los forenses hagan esto previniendo y limpiando estas fugas/huellas y, lo que es más importante, utilizando el cifrado de todo el disco, la virtualización y la compartimentación.


Los forenses no pueden extraer fugas de datos locales de un sistema operativo al que no pueden acceder. Y podrás limpiar la mayoría de esos rastros borrando la unidad o borrando de forma segura tus máquinas virtuales (lo que no es tan fácil como crees en unidades SSD).


No obstante, algunas técnicas de limpieza se tratarán al final de esta guía, en la parte "Cubre tus huellas".


Filtraciones de datos en línea.


Tanto si utilizas un cifrado simple como un cifrado de negación plausible. Aunque hayas cubierto tus huellas en el propio ordenador. Todavía existe el riesgo de fugas de datos en línea que podrían revelar la presencia de datos ocultos.


La telemetría es tu enemigo. Como se explicó anteriormente en esta guía, la telemetría de los sistemas operativos, pero también de las aplicaciones, puede enviar cantidades asombrosas de información privada en línea.


En el caso de Windows, estos datos podrían utilizarse, por ejemplo, para demostrar la existencia de un SO/volumen oculto en un ordenador y estarían fácilmente disponibles en Microsoft. Por lo tanto, es de vital importancia que deshabilite y bloquee la telemetría con todos los medios a su alcance. No importa qué sistema operativo esté utilizando.


Conclusión.


Nunca debes realizar actividades sensibles desde un sistema no cifrado. E incluso si está cifrado, probablemente nunca deberías llevar a cabo actividades sensibles desde el propio SO anfitrión. En su lugar, deberías utilizar una VM para poder aislar y compartimentar eficientemente tus actividades y prevenir fugas de datos locales.


Si tienes poco o ningún conocimiento de Linux o si quieres usar una negación plausible en todo el SO, te recomendaría ir a Windows (o volver a la ruta Tails) por conveniencia. Esta guía te ayudará a endurecerlo tanto como sea posible para evitar fugas. Esta guía también te ayudará a reforzar MacOS y Linux tanto como sea posible para evitar filtraciones similares.


Si no tienes interés en una negación plausible en todo el sistema operativo y quieres aprender a usar Linux, te recomiendo encarecidamente que optes por Linux o por la ruta Qubes si tu hardware lo permite.


En todos los casos, el sistema operativo anfitrión nunca debe ser utilizado para llevar a cabo actividades sensibles directamente. El sistema operativo host sólo se utilizará para conectarse a un punto de acceso Wi-Fi público. Se dejará sin usar mientras realizas actividades sensibles e idealmente no debería usarse para ninguna de tus actividades cotidianas.


Lea también https://www.whonix.org/wiki/Full_Disk_Encryption#Encrypting_Whonix_VMs [Archive.org]
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Sistema operativo Linux.


Como ya he mencionado, no recomiendo utilizar el portátil de uso diario para actividades muy delicadas. O, al menos, no recomiendo utilizar tu SO de siempre para éstas. Hacerlo podría dar lugar a fugas de datos no deseadas que podrían utilizarse para desanonimizarte. Si tienes un portátil dedicado a esto, deberías reinstalar un sistema operativo limpio y nuevo. Si no quieres borrar tu portátil y empezar de nuevo, deberías considerar la ruta de Tails o proceder bajo tu propio riesgo.


También te recomiendo que hagas la instalación inicial completamente offline para evitar cualquier fuga de datos.


Siempre debes recordar que, a pesar de su reputación, las distribuciones principales de Linux (Ubuntu por ejemplo) no son necesariamente mejores en seguridad que otros sistemas como MacOS y Windows. Consulta esta referencia para entender por qué https://madaidans-insecurities.github.io/linux.html [Archive.org].


Encriptación completa del disco.


Aquí hay dos posibilidades con Ubuntu:



Para otras distros, tendrás que documentarte pero probablemente será similar. Cifrar durante la instalación es mucho más fácil en el contexto de esta guía.


Rechaza/desactiva cualquier telemetría.



Desactiva todo lo innecesario.



Hibernación.


Como se explicó anteriormente, no debe utilizar las funciones de suspensión, sino apagar o hibernar su portátil para mitigar algunos ataques de evil-maid y cold-boot. Desafortunadamente, esta función está desactivada por defecto en muchas distribuciones de Linux, incluyendo Ubuntu. Es posible habilitarla pero puede que no funcione como se espera. Siga esta información bajo su propia responsabilidad. Si no desea hacer esto, nunca debe utilizar la función de suspensión y apagar en su lugar (y probablemente establecer el comportamiento de cierre de la tapa para apagar en lugar de dormir).


Siga uno de estos tutoriales para activar Hibernate:



Después de habilitar Hibernate, cambie el comportamiento para que su portátil hiberne cuando cierre la tapa siguiendo este tutorial para Ubuntu 20.04 http://ubuntuhandbook.org/index.php/2020/05/lid-close-behavior-ubuntu-20-04/ [Archive . org] y este tutorial para Ubuntu 18.04 https://tipsonubuntu.com/2018/04/28/change-lid-close-action-ubuntu-18-04-lts/ [Archive.org]


Desafortunadamente, esto no limpiará la clave de la memoria directamente de la memoria al hibernar. Para evitar esto a costa de algo de rendimiento, puedes considerar cifrar el archivo de intercambio siguiendo este tutorial: https://help.ubuntu.com/community/EnableHibernateWithEncryptedSwap [Archive .org]


Estos ajustes deberían mitigar los ataques de arranque en frío si puedes hibernar lo suficientemente rápido.


Activa la aleatorización de direcciones MAC.



Endurecimiento de Linux.


Como una introducción ligera para los nuevos usuarios de Linux, considere
[Invidious]


Para opciones más profundas y avanzadas, consulte:



Configurar un Navegador seguro.


Ver Apéndice G: Navegador seguro en el SO anfitrión
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Sistema operativo MacOS Host.


Nota: En este momento, esta guía no es compatible con MacBooks ARM M1 (todavía). Debido a que Virtualbox aún no soporta esta arquitectura. Sin embargo, podría ser posible si utilizas herramientas comerciales como VMWare o Parallels, pero no están cubiertas en esta guía.


Como mencioné antes, no recomiendo usar tu laptop de uso diario para actividades muy sensibles. O, al menos, no recomiendo usar tu sistema operativo para estas actividades. Hacerlo podría dar lugar a fugas de datos no deseadas que podrían utilizarse para desanonimizarte. Si tienes un portátil dedicado a esto, deberías reinstalar un sistema operativo limpio y nuevo. Si no quieres borrar tu portátil y empezar de nuevo, deberías considerar la ruta de Tails o proceder bajo tu propio riesgo.


También te recomiendo que hagas la instalación inicial completamente offline para evitar cualquier fuga de datos.


No vuelvas a iniciar sesión con tu cuenta de Apple usando ese Mac.


Durante la instalación.


  • Permanezca sin conexión
  • Desactive todas las solicitudes de intercambio de datos cuando se le solicite, incluidos los servicios de localización.
  • No inicie sesión con Apple
  • No active Siri

Endurecimiento de macOS.


Como una introducción ligera para los nuevos usuarios de macOS, considere
[Invidious]


Ahora para ir más a fondo en la seguridad y el endurecimiento de su MacOS, recomiendo la lectura de esta guía de GitHub que debe cubrir muchas de las cuestiones: https://github.com/drduh/macOS-Security-and-Privacy-Guide [Archive.org]


Aquí están los pasos básicos que debe tomar después de su instalación fuera de línea:


Habilitar la contraseña del firmware con la opción "disable-reset-capability".


Primero deberías configurar una contraseña de firmware siguiendo esta guía de Apple: https://support.apple.com/en-us/HT204455 [Archive .org]


Desafortunadamente, algunos ataques todavía son posibles y un adversario podría desactivar esta contraseña por lo que también debe seguir esta guía para evitar la desactivación de la contraseña del firmware de cualquier persona, incluyendo Apple: https://support.apple.com/en-gb/guide/security/sec28382c9ca/web [Archive.org]


Habilite la Hibernación en lugar de la suspensión.


Una vez más, esto es para evitar algunos ataques de arranque en frío y evil-maid apagando tu RAM y limpiando la clave de cifrado cuando cierras la tapa. Siempre deberías o hibernar o apagar. En MacOS, la función de hibernación tiene incluso una opción especial para borrar específicamente la clave de cifrado de la memoria al hibernar (mientras que en otros sistemas operativos tendrás que esperar a que la memoria decaiga). Una vez más, no hay opciones fáciles para hacer esto dentro de la configuración, por lo que en su lugar, tendremos que hacerlo mediante la ejecución de algunos comandos para habilitar la hibernación:


  • Abra una Terminal
  • Ejecute: sudo pmset -a destroyfvkeyonstandby 1
    • Este comando indicará a MacOS que destruya la clave de Filevault en Standby (hibernación)
  • Ejecute: sudo pmset -a hibernatemode 25
    • Este comando indicará a MacOS que apague la memoria durante el reposo en lugar de realizar un hibernado híbrido que mantenga la memoria encendida. Resultará en despertares más lentos pero aumentará la vida de la batería.

Ahora, cuando cierre la tapa de su MacBook, debería hibernar en lugar de dormir y mitigar los intentos de realizar ataques de arranque en frío.


Además, también deberías configurar un reposo automático (Ajustes > Energía) para que tu MacBook hiberne automáticamente si lo dejas desatendido.


Desactive los servicios innecesarios.


Desactiva algunos servicios innecesarios dentro de los ajustes:


  • Desactivar Bluetooth
  • Desactivar la cámara y el micrófono
  • Desactivar los servicios de localización
  • Desactivar Airdrop
  • Desactivar la indexación

Evitar las llamadas OCSP de Apple.


Estas son las infames llamadas de "telemetría desbloqueable" de MacOS Big Sur reveladas aquí: https://sneak.berlin/20201112/your-computer-isnt-yours/ [Archive.org]


Puede bloquear los informes OCSP ejecutando el siguiente comando en Terminal:


  • sudo sh -c 'echo "127.0.0.1 ocsp.apple.com" >> /etc/hosts'

Pero probablemente deberías documentarte sobre el problema real antes de actuar. Esta página es un buen lugar para empezar: https://blog.jacopo.io/en/post/apple-ocsp/ [Archive.org]


Depende de ti. Yo lo bloquearía porque no quiero ningún tipo de telemetría de mi sistema operativo a la nave nodriza sin mi consentimiento específico. Ninguno.


Habilita el cifrado de disco completo (Filevault).


Deberías habilitar la encriptación de disco completo en tu Mac usando Filevault de acuerdo con esta parte de la guía: https://github.com/drduh/macOS-Security-and-Privacy-Guide#full-disk-encryption [Archive.org]


Tenga cuidado al activarlo. No almacene la clave de recuperación en Apple si se le pide (no debería ser un problema ya que debería estar desconectado en esta etapa). Usted no quiere que un tercero tenga su clave de recuperación, obviamente.


Aleatorización de la dirección MAC.


Desafortunadamente, MacOS no ofrece una forma nativa conveniente de aleatorizar su dirección MAC, por lo que tendrá que hacerlo manualmente. Esto se restablecerá en cada reinicio y usted tendrá que volver a hacerlo cada vez para asegurarse de que usted no utiliza su dirección MAC real cuando se conecta a varios Wi-Fis


Puedes hacerlo emitiendo los siguientes comandos en terminal (sin los paréntesis):


  • (Apagar el Wi-Fi) networksetup -setairportpower en0 off
  • (Cambiar la dirección MAC) sudo ifconfig en0 ether 88:63:11:11:11:11
  • (Vuelva a encender el Wi-Fi) networksetup -setairportpower en0 on

Configurar un Navegador seguro.


Ver Apéndice G: Navegador seguro en el SO anfitrión


Sistema Operativo Windows.


Como mencioné antes, no recomiendo usar su laptop de uso diario para actividades muy sensibles. O, al menos, no recomiendo usar tu SO local para estas. Hacerlo podría dar lugar a fugas de datos no deseadas que podrían utilizarse para desanonimizarte. Si tienes un portátil dedicado a esto, deberías reinstalar un sistema operativo nuevo y limpio. Si no quieres borrar tu portátil y empezar de nuevo, deberías considerar la ruta de Tails o proceder bajo tu propio riesgo.


También te recomiendo que hagas la instalación inicial completamente offline para evitar cualquier fuga de datos.


Instalación.


Deberías seguir el Apéndice A: Instalación de Windows


Como una introducción ligera, considera ver
[Invidious]


Activar la aleatorización de direcciones MAC.


Deberías aleatorizar tu dirección MAC como se ha explicado anteriormente en esta guía:


Entra en Configuración > Red e Internet > Wi-Fi > Activar direcciones de hardware aleatorias.


Alternativamente, puedes utilizar este software gratuito: https://technitium.com/tmac/ [Archive.org]


Configurar un Navegador seguro.


Consulte el Apéndice G: Navegador seguro en el sistema operativo anfitrión.


Habilitar algunas opciones adicionales de privacidad en su SO anfitrión.


Consulte el Apéndice B: Configuración adicional de privacidad de Windows


Cifrado del SO anfitrión Windows.


Si tiene intención de utilizar la negación plausible en todo el sistema.


Veracrypt es el software que recomendaré para el cifrado completo del disco, el cifrado del archivo y la negación plausible. Es una bifurcación del bien conocido pero obsoleto y sin mantenimiento TrueCrypt. Se puede utilizar para


  • Encriptación simple de Disco Completo (tu disco duro es encriptado con una contraseña).
  • Encriptación de Disco Completo con negación plausible (esto significa que dependiendo de la contraseña introducida en el arranque, arrancará un SO señuelo o un SO oculto).
  • Encriptación simple de contenedor de archivos (es un archivo grande que podrá montar dentro de Veracrypt como si fuera una unidad externa para almacenar archivos encriptados dentro).
  • Contenedor de archivos con negación plausible (es el mismo archivo grande pero dependiendo de la frase de contraseña que uses al montarlo, montarás un "volumen oculto" o el "volumen señuelo").

Hasta donde yo sé, es el único software de cifrado gratuito, de código abierto y auditado abiertamente (conveniente y utilizable por cualquiera) que también proporciona una negación plausible para uso general y funciona con Windows Home Edition.


Descargue e instale Veracrypt desde: https://www.veracrypt.fr/en/Downloads.html [Archive.org].


Después de la instalación, tómese un momento para revisar las siguientes opciones que le ayudarán a mitigar algunos ataques:


  • Cifrar la memoria con una opción de Veracrypt (ajustes > rendimiento/opciones del controlador > cifrar RAM) a un coste del 5-15% del rendimiento. Esta configuración también desactivará la hibernación (que no borra activamente la clave al hibernar) y, en su lugar, cifrará la memoria por completo para mitigar algunos ataques de arranque en frío.
  • Activa la opción Veracrypt para borrar las claves de la memoria si se inserta un nuevo dispositivo (sistema > configuración > seguridad > borrar claves de la memoria si se inserta un nuevo dispositivo). Esto podría ayudar en caso de que tu sistema sea secuestrado mientras sigue encendido (pero bloqueado).
  • Habilita la opción Veracrypt para montar volúmenes como volúmenes extraíbles (Configuración > Preferencias > Montar volumen como medio extraíble). Esto evitará que Windows escriba algunos registros sobre tus montajes en los Registros de eventos y evitará algunas fugas de datos locales.
  • Ten cuidado y sé consciente de la situación si percibes algo extraño. Apaga tu portátil lo más rápido posible.
  • Aunque las nuevas versiones de Veracrypt soportan Secure Boot, yo recomendaría deshabilitarlo desde la BIOS ya que prefiero el sistema Anti-Evil Maid de Veracrypt sobre Secure Boot.

Si no quieres usar memoria encriptada (porque el rendimiento podría ser un problema), al menos deberías habilitar la hibernación en lugar de la suspensión. Esto no borrará las claves de la memoria (seguirás siendo vulnerable a los ataques de arranque en frío) pero al menos debería mitigarlos un poco si tu memoria tiene suficiente tiempo para decaer.


Más detalles más adelante en Ruta A y B: Cifrado simple usando Veracrypt (tutorial de Windows).


Si no tiene intención de utilizar la negación plausible en todo el sistema.


Para este caso, voy a recomendar el uso de BitLocker en lugar de Veracrypt para el cifrado de disco completo. El razonamiento es que BitLocker no ofrece una posibilidad de negación plausible contraria a Veracrypt. Un adversario duro no tiene entonces ningún incentivo en proseguir su interrogatorio "mejorado" si usted revela la frase de contraseña.


Normalmente, debería haber instalado Windows Pro en este caso y la configuración de BitLocker es bastante sencilla.


Básicamente puedes seguir las instrucciones aquí: https://support.microsoft.com/en-us...cryption-0c453637-bc88-5f74-5105-741561aae838 [Archive.org]


Pero aquí están los pasos:


  • Haz clic en el menú de Windows
  • Escriba "Bitlocker
  • Haga clic en "Administrar Bitlocker".
  • Haga clic en "Activar Bitlocker" en su unidad de sistema
  • Siga las instrucciones
    • No guarde la clave de recuperación en una cuenta Microsoft si se le solicita.
    • Guarde la clave de recuperación únicamente en una unidad cifrada externa. Para evitar esto, imprima la clave de recuperación utilizando la impresora Microsoft Print to PDF y guarde la clave en la carpeta Documentos.
    • Cifre toda la unidad (no cifre sólo el espacio de disco utilizado).
    • Utilice el "Nuevo modo de cifrado".
    • Ejecute la comprobación de BitLocker
    • Reinicie
  • El cifrado debería haberse iniciado en segundo plano (puede comprobarlo haciendo clic en el icono de Bitlocker en la parte inferior derecha de la barra de tareas).

Habilite la Hibernación (opcional).


De nuevo, como se ha explicado anteriormente. Nunca debe utilizar la función de hibernación para mitigar algunos ataques de arranque en frío y malvados. En su lugar, deberías apagar o hibernar. Por lo tanto, deberías cambiar tu portátil de dormir a hibernar cuando cierres la tapa o cuando tu portátil se vaya a dormir.


(Ten en cuenta que no puedes activar la hibernación si previamente has activado el cifrado de RAM en Veracrypt)


La razón es que la Hibernación apagará tu portátil completamente y limpiará la memoria. La suspensión, por otro lado, dejará la memoria encendida (incluyendo tu clave de descifrado) y podría dejar tu portátil vulnerable a ataques de arranque en frío.


Por defecto, Windows 10 podría no ofrecerte esta posibilidad, así que deberías activarla siguiendo este tutorial de Microsoft: https://docs.microsoft.com/en-us/tr.../deployment/disable-and-re-enable-hibernation [Archive.org]


  • Abre un símbolo del sistema de administrador (haz clic con el botón derecho en Símbolo del sistema y "Ejecutar como administrador")
  • Ejecute: powercfg.exe /hibernate on
  • Ahora ejecute el comando adicional **powercfg /h /type full**
    • Este comando se asegurará de que su modo de hibernación está completo y limpiará completamente la memoria (no de forma segura).

Despues de esto deberias ir a la configuracion de energia:


  • Abra el Panel de Control
  • Abrir Sistema y Seguridad
  • Abra Opciones de energía
  • Abre "Elegir qué hace el botón de encendido".
  • Cambie todo de suspensión a hibernación o apagado
  • Vuelva a las Opciones de energía
  • Seleccione Cambiar configuración del plan
  • Seleccione Configuración avanzada de energía
  • Cambie todos los valores de suspensión de cada plan de energía a 0 (Nunca).
  • Asegúrese de que la suspensión híbrida está desactivada para cada plan de energía.
  • Habilite Hibernar después del tiempo que desee.
  • Desactive todos los temporizadores de activación

Decidir qué sub-ruta va a tomar.


Ahora tendrá que elegir su próximo paso entre dos opciones:


  • Ruta A: Encriptación simple de su sistema operativo actual
    • Ventajas:
      • No es necesario borrar el portátil
      • No hay problemas de fuga de datos locales
      • Funciona bien con una unidad SSD
      • Funciona con cualquier sistema operativo
      • Sencillo
    • Contras:
      • Podría verse obligado por un adversario a revelar su contraseña y todos sus secretos y no tendrá ninguna negación plausible.
      • Peligro de filtración de datos en línea
  • Ruta B: Cifrado simple de su sistema operativo actual con uso posterior de negación plausible en los propios archivos:
    • Ventajas:
      • No es necesario borrar el portátil.
      • Funciona bien con una unidad SSD
      • Funciona con cualquier sistema operativo
      • Posible negación plausible con adversarios "blandos
    • Contras:
      • Peligro de fugas de datos en línea
      • Peligro de fugas de datos locales (que conllevarán más trabajo para limpiar esas fugas)
  • Ruta C: Negación plausible Cifrado de tu sistema operativo (tendrás un "sistema operativo oculto" y un "sistema operativo señuelo" ejecutándose en el portátil):
    • Pros:
      • No hay problemas de fuga de datos locales
      • Posible negación plausible con adversarios "blandos".
    • Contras:
      • Requiere Windows (esta función no es "fácilmente" compatible con Linux).
      • Peligro de fuga de datos en línea
      • Requiere un borrado completo del portátil
      • No se puede utilizar con una unidad SSD debido a la necesidad de desactivar las operaciones de recorte. Esto degradará severamente el rendimiento/salud de su unidad SSD con el tiempo.

Como puedes ver, la Ruta C sólo ofrece dos ventajas de privacidad sobre las otras y sólo será de utilidad contra un adversario legal blando. Recuerda https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [Archive.org].


Decidir qué ruta tomarás depende de ti. La ruta A es la mínima.


Asegúrate siempre de buscar nuevas versiones de Veracrypt con frecuencia para asegurarte de que te beneficias de los últimos parches. Especialmente compruebe esto antes de aplicar grandes actualizaciones de Windows que podrían romper el gestor de arranque Veracrypt y enviarle a un bucle de arranque.


TENGA EN CUENTA QUE POR DEFECTO VERACRYPT SIEMPRE PROPONDRÁ UNA CONTRASEÑA DEL SISTEMA EN QWERTY (muestra la contraseña como prueba). Esto puede causar problemas si su entrada de arranque utiliza el teclado de su portátil (AZERTY por ejemplo) ya que habrá configurado su contraseña en QWERTY y la introducirá en el momento del arranque en AZERTY. Por lo tanto, asegúrate de comprobar qué distribución de teclado utiliza tu BIOS cuando realices la prueba de arranque. Podrías fallar en el inicio de sesión sólo por la confusión QWERTY/AZERTY. Si su BIOS arranca usando AZERTY, necesitará teclear la contraseña en QWERTY dentro de Veracrypt.



Ruta A y B: Encriptación simple usando Veracrypt (tutorial Windows)


Omita este paso si antes utilizó BitLocker en su lugar.


No necesitas tener un HDD para este método y no necesitas deshabilitar Trim en esta ruta. Las fugas de Trim sólo serán útiles para los forenses en la detección de la presencia de un Volumen Oculto, pero no serán de mucha utilidad de otra manera.


Esta ruta es bastante sencilla y sólo cifrará tu Sistema Operativo actual en su lugar sin perder ningún dato. Asegúrate de leer todos los textos que Veracrypt te muestra para que entiendas completamente lo que está pasando.


  • Inicia VeraCrypt
  • Ve a Configuración:
    • Configuración > Opciones de rendimiento/driver > Cifrar RAM
    • Sistema > Configuración > Seguridad > Borrar claves de la memoria si se inserta un nuevo dispositivo
    • Sistema > Configuración > Windows > Activar escritorio seguro
  • Seleccione Sistema
  • Seleccione Cifrar partición/unidad del sistema
  • Seleccione Normal (Simple)
  • Seleccione Arranque único
  • Seleccione AES como Algoritmo de cifrado (haga clic en el botón de prueba si desea comparar las velocidades)
  • Seleccione SHA-512 como Algoritmo hash (porque por qué no)
  • Introduce una frase de contraseña segura (cuanto más larga mejor, recuerda el Apéndice A2: Directrices para contraseñas y frases de contraseña)
  • Recoge algo de entropía moviendo aleatoriamente el cursor hasta que la barra esté llena.
  • Haga clic en Siguiente en la pantalla Claves generadas
  • Rescatar disco o no rescatar disco, bueno eso depende de ti. Yo recomiendo hacer uno (por si acaso), sólo asegúrese de almacenarlo fuera de su unidad cifrada (llave USB por ejemplo, o espere y vea el final de esta guía para obtener orientación sobre copias de seguridad seguras). Este disco de rescate no almacenará tu frase de contraseña y aún la necesitarás para usarlo.
  • Modo borrado:
    • Si aún no tiene datos confidenciales en este portátil, seleccione Ninguno.
    • Si tiene datos confidenciales en un SSD, Trim por sí solo debería encargarse de ello, pero yo recomendaría 1 pasada (datos aleatorios) sólo para estar seguro.
    • Si tiene datos confidenciales en un disco duro, no hay Recorte y recomendaría al menos 1 pasada.
  • Pruebe su configuración. Veracrypt reiniciará tu sistema para probar el gestor de arranque antes del cifrado. Esta prueba debe pasar para que la encriptación siga adelante.
  • Después de que su ordenador se reinicie y la prueba se pasa. Veracrypt te pedirá que inicies el proceso de encriptación.
  • Inicia la encriptación y espera a que se complete.
  • Ya has terminado, salta la Ruta B y sigue los siguientes pasos.

Habrá otra sección sobre la creación de contenedores de archivos encriptados con Denegación Plausible en Windows.


Ruta B: Cifrado de Denegación Plausible con un SO Oculto (sólo Windows)


Esto sólo es compatible con Windows.


Esto sólo se recomienda en una unidad HDD. Esto no se recomienda en una unidad SSD.


Su SO Oculto no debe ser activado (con una clave de producto MS). Por lo tanto, esta ruta le recomendará y guiará a través de una instalación limpia completa que borrará todo en su computadora portátil.



Lea la documentación de Veracrypt https://www.veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive. org ] (Proceso de creación de la parte del sistema operativo oculto) y https://www.veracrypt.fr/en/Security Requirements for Hidden Volumes.html [Archive.org] (Requisitos de seguridad y precauciones relativas a los volúmenes ocultos).


Este es el aspecto que tendrá su sistema una vez finalizado este proceso:
2021 08 05 08 01


(Ilustración de la documentación de Veracrypt, https://veracrypt.fr/en/VeraCrypt Hidden Operating System. html [Archive.org])


Como puedes ver este proceso requiere que tengas dos particiones en tu disco duro desde el principio.


Este proceso hará lo siguiente:


  • Cifrar tu segunda partición (el volumen externo) que se verá como un disco vacío sin formatear del SO señuelo.
  • Te dará la oportunidad de copiar algún contenido del señuelo dentro del volumen externo.
    • Aquí es donde copiarás tu colección señuelo de Anime/Porno desde algún disco duro externo al volumen externo.
  • Crea un volumen oculto dentro del volumen externo de la segunda partición. Aquí es donde residirá el sistema operativo oculto.
  • Clona tu instalación actual de Windows 10 en el volumen oculto.
  • Borre su Windows 10 actual.
  • Esto significa que su Windows 10 actual se convertirá en el Windows 10 oculto y que tendrá que volver a instalar un nuevo sistema operativo Windows 10 señuelo.

Obligatorio si usted tiene una unidad SSD y todavía quiere hacer esto en contra de la recomendación: Deshabilitar SSD Trim en Windows (de nuevo esto NO es recomendable en absoluto ya que deshabilitar Trim en sí mismo es altamente sospechoso).También como se mencionó anteriormente, deshabilitar Trim reducirá la vida útil de su unidad SSD y afectará significativamente su rendimiento con el tiempo (su portátil se volverá más y más lento durante varios meses de uso hasta que se vuelva casi inutilizable, entonces tendrá que limpiar la unidad y volver a instalar todo). Pero debes hacerlo para evitar fugas de datos que podrían permitir a los forenses derrotar tu negación plausible. La única forma de evitarlo por el momento es tener un portátil con una unidad de disco duro clásica.
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Paso 1: Crear una llave USB de instalación de Windows 10


Consulte el Apéndice C: Creación de medios de instalación de Windows y opte por la vía de la llave USB.


Paso 2: Arranque la llave USB e inicie el proceso de instalación de Windows 10 (SO oculto)



Paso 3: Configuración de privacidad (SO oculto)


Ver Apéndice B: Configuración de privacidad adicional de Windows


Paso 4: Instalación de Veracrypt e inicio del proceso de cifrado (SO Oculto)


Recuerda leer https://www.veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org]


No conecte este SO a su Wi-Fi conocido. Debes descargar el instalador de Veracrypt desde otro ordenador y copiar el instalador aquí utilizando una llave USB.


  • Instalar Veracrypt
  • Inicie Veracrypt
  • Entra en Configuración:
    • Configuración > Opciones de rendimiento/driver > Cifrar RAM(ten en cuenta que esta opción no es compatible con la hibernación de tu portátil y significa que tendrás que apagarlo completamente)
    • Sistema > Configuración > Seguridad > Borrar claves de la memoria si se inserta un nuevo dispositivo
    • Sistema > Configuración > Windows > Habilitar Escritorio Seguro
  • Entra en Sistema y selecciona Crear sistema operativo oculto
  • Lea atentamente todas las instrucciones
  • Seleccione Single-Boot si se le pide
  • Cree el volumen externo utilizando AES y SHA-512.
  • Utiliza todo el espacio disponible en la segunda partición para el Volumen Exterior
  • Utiliza una frase de contraseña segura (recuerda el Apéndice A2: Directrices para contraseñas y frases de contraseña)
  • Selecciona Sí a los Archivos Grandes
  • Crea algo de Entropía moviendo el ratón hasta que la barra esté llena y selecciona NTFS (no selecciones exFAT ya que queremos que este volumen externo se vea "normal" y NTFS es normal).
  • Formatea el Volumen Externo
  • Abre el Volumen Externo:
    • En esta etapa, debes copiar los datos señuelo en el volumen externo. Por lo tanto, deberías tener algunos archivos/carpetas sensibles pero no tan sensibles para copiar allí. En caso de que necesites revelar una contraseña para este Volumen. Este es un buen lugar para tu colección de Anime/Mp3/Películas/Porno.
    • Te recomiendo que no llenes demasiado o muy poco el volumen exterior (alrededor del 40%). Recuerda que debes dejar suficiente espacio para el SO Oculto (que será del mismo tamaño que la primera partición que creaste durante la instalación).
  • Utiliza una contraseña fuerte para el Volumen Oculto (obviamente una diferente a la del Volumen Externo).
  • Ahora crearás el Volumen Oculto, selecciona AES y SHA-512
  • Llena la barra de entropía hasta el final con movimientos aleatorios del ratón
  • Formatea el Volumen Oculto
  • Procede con la Clonación
  • Veracrypt ahora reiniciará y Clonará el Windows donde iniciaste este proceso en el Volumen Oculto. Este Windows se convertirá en tu Sistema Operativo Oculto.
  • Cuando la clonación esté completa, Veracrypt se reiniciará dentro del Sistema Oculto
  • Veracrypt te informará que el Sistema Oculto está ahora instalado y luego te pedirá que borres el Sistema Operativo Original (el que instalaste previamente con la llave USB).
  • Use 1-Pass Wipe y proceda.
  • Ahora su Sistema Oculto estará instalado, proceda al siguiente paso

Paso 5: Reinicie y arranque la llave USB e inicie el proceso de instalación de Windows 10 de nuevo (SO Oculto)


Ahora que el SO Oculto está completamente instalado, necesitará instalar un SO Señuelo.



Paso 6: Configuración de privacidad (SO Decoy)


Ver Apéndice B: Configuración adicional de privacidad de Windows


Paso 7: Instalación de Veracrypt e inicio del proceso de cifrado (Decoy OS)


Ahora cifraremos el SO Decoy:


  • Instalar Veracrypt
  • Inicia VeraCrypt
  • Selecciona Sistema
  • Selecciona Encriptar Partición/Disco del Sistema
  • Selecciona Normal (Simple)
  • Selecciona Single-Boot
  • Selecciona AES como Algoritmo de encriptación (haz clic en el botón de prueba si quieres comparar las velocidades)
  • Seleccione SHA-512 como Algoritmo hash (porque por qué no)
  • Introduce una contraseña corta y débil (sí, esto es serio, hazlo, se explicará más adelante).
  • Recoge algo de entropía moviendo aleatoriamente el cursor hasta que la barra esté llena.
  • Haga clic en Siguiente en la pantalla Claves generadas
  • Rescatar disco o no rescatar disco, bueno eso depende de ti. Yo recomiendo hacer uno (por si acaso), sólo asegúrese de almacenarlo fuera de su unidad cifrada (llave USB por ejemplo, o espere y vea el final de esta guía para obtener orientación sobre copias de seguridad seguras). Este disco de rescate no almacenará tu frase de contraseña y aún la necesitarás para usarlo.
  • Modo de borrado: Seleccione 1-Pass sólo para estar seguro
  • Pruebe su configuración. Veracrypt reiniciará su sistema para probar el gestor de arranque antes del cifrado. Esta prueba debe pasar para que la encriptación siga adelante.
  • Una vez reiniciado el ordenador y superada la prueba. Veracrypt te pedirá que inicies el proceso de encriptación.
  • Inicia la encriptación y espera a que se complete.
  • Tu sistema operativo Decoy está ahora listo para su uso.

Paso 8: Pruebe su configuración (Arranque en ambos)


Es hora de probar tu configuración.


  • Reinicie e introduzca su contraseña del SO Oculto, debería arrancar en el SO Oculto.
  • Reinicia e introduce tu contraseña del SO Decoy, deberías arrancar en el SO Decoy.
  • Ejecute Veracrypt en el SO señuelo y monte la segunda partición usando la contraseña del volumen externo (móntelo como sólo lectura, yendo a Opciones de montaje y seleccionando Sólo lectura) y debería montar la segunda partición como sólo lectura mostrando sus datos señuelo (su colección de anime/porno). La está montando como sólo lectura ahora porque si escribiera datos en ella, podría anular el contenido de su SO Oculto.

Paso 9: Cambiando los datos señuelo en tu Volumen Externo de forma segura


Antes de ir al siguiente paso, debes aprender la manera de montar tu Volumen Externo de forma segura para escribir contenido en él. Esto también se explica en la documentación oficial de Veracrypt https://www.veracrypt.fr/en/Protection of Hidden Volumes.html [Archive.org].


Debes hacer esto desde un lugar seguro y confiable.


Básicamente, vas a montar tu Volumen Externo mientras proporcionas la contraseña del Volumen Oculto dentro de las Opciones de Montaje para proteger el Volumen Oculto de ser sobreescrito. Veracrypt te permitirá entonces escribir datos en el Volumen Externo sin correr el riesgo de sobreescribir cualquier dato en el Volumen Oculto.


Esta operación no montará realmente el Volumen Oculto y debería prevenir la creación de cualquier evidencia forense que pudiera conducir al descubrimiento del SO Oculto. Sin embargo, mientras realizas esta operación, ambas contraseñas serán almacenadas en tu memoria RAM y por lo tanto aún podrías ser susceptible a un Ataque de Arranque en Frío. Para mitigar esto, asegúrate de tener la opción de encriptar tu RAM también.


  • Abra Veracrypt
  • Seleccione su Segunda Partición
  • Haga clic en Montar
  • Haga clic en Opciones de montaje
  • Marque la opción "Proteger el volumen oculto..." Opción
  • Introduzca la contraseña del SO Oculto
  • Haga clic en OK
  • Introduzca la contraseña del Volumen Externo
  • Haz click en OK
  • Ahora deberías poder abrir y escribir en tu Volumen Externo para cambiar el contenido (copiar/mover/borrar/editar...)

Paso 10: Deja alguna evidencia forense de tu Volumen externo (con los Datos señuelo) dentro de tu SO Señuelo


Debemos hacer que el SO señuelo sea lo más verosímil posible. También queremos que tu adversario piense que no eres tan listo.


Por lo tanto, es importante dejar voluntariamente alguna evidencia forense de tu Contenido señuelo dentro de tu SO señuelo. Esta evidencia permitirá a los examinadores forenses ver que montaste tu Volumen Externo frecuentemente para acceder a su contenido.


Aquí tienes algunos consejos para dejar alguna evidencia forense:


  • Reproduce el contenido del Volumen Externo desde tu SO Señuelo (utilizando VLC, por ejemplo). Asegúrate de guardar un historial de los mismos.
  • Edita Documentos y trabaja en ellos.
  • Activa de nuevo la Indexación de Archivos en el SO Decoy e incluye el Volumen Externo Montado.
  • Desmóntalo y móntalo frecuentemente para ver algún Contenido.
  • Copia algún Contenido de tu Volumen Externo a tu SO Decoy y luego bórralo de forma insegura (simplemente ponlo en la Papelera de Reciclaje).
  • Ten un cliente Torrent instalado en el SO Decoy y úsalo de vez en cuando para descargar cosas similares que dejarás en el SO Decoy.
  • Podrías tener un cliente VPN instalado en el SO Decoy con una VPN conocida tuya (no de pago).

No pongas nada sospechoso en el Decoy OS como:


  • Esta guía
  • Cualquier enlace a esta guía
  • Cualquier software de anonimato sospechoso como Tor Browser

Notas.


Recuerda que necesitarás excusas válidas para que este escenario de negación plausible funcione:


Tómate un tiempo para leer de nuevo las "Posibles Explicaciones para la Existencia de Dos Particiones Veracrypt en un Solo Disco" de la documentación de Veracrypt aquí https://www.veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org]


  • Usted está usando Veracrypt porque está usando Windows 10 Home que no cuenta con Bitlocker pero aún quería Privacidad.
  • Tienes dos Particiones porque querías separar el Sistema y los Datos para facilitar la organización y porque algún amigo Geek te dijo que esto era mejor para el rendimiento.
  • Has usado una contraseña débil para facilitar el arranque en el Sistema y una frase de contraseña larga y fuerte en el Volumen Externo porque eras demasiado perezoso para escribir una frase de contraseña fuerte en cada arranque.
  • Encriptaste la segunda Partición con una contraseña diferente a la del Sistema porque no quieres que nadie de tu entorno vea tus cosas. Y por tanto, no querías que esos datos estuvieran disponibles para nadie.

Ten cuidado:


  • Nunca debes montar el Volumen Oculto desde el SO Señuelo (NUNCA JAMÁS). Si lo haces,se crearán pruebas forenses del Volumen Oculto dentro del SO Señuelo que podrían poner en peligro tu intento de negación plausible. Si de todas formas lo hiciste (intencionadamente o por error) desde el SO Señuelo, hay formas de borrar las pruebas forenses que se explicarán más adelante al final de esta guía.
  • Nunca jamás Utilices el SO Señuelo desde la misma red (Wi-Fi pública) que el SO Oculto.
  • Cuando montes el Volumen Externo desde el SO Señuelo, no escribas ningún Dato dentro del Volumen Externo ya que esto podría anular lo que parece Espacio Vacío pero que en realidad es tu SO Oculto. Siempre debes montarlo como de solo lectura.
  • Si quieres cambiar el contenido Decoy del Volumen Externo, debes utilizar una Llave USB Live OS que ejecute Veracrypt.
  • Ten en cuenta que no utilizarás el SO Oculto para realizar actividades sensibles, esto se hará más tarde desde una VM dentro del SO Oculto. El SO Oculto sólo pretende protegerle de un adversario blando que pudiera acceder a su portátil y obligarle a revelar su contraseña.
  • Ten cuidado con cualquier manipulación de tu portátil. Los Ataques Malignos pueden revelar tu SO Oculto.
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Virtualbox en su SO Host.


Recuerde el Apéndice W: Virtualización.


Este paso y los siguientes deben realizarse desde el SO Host. Este puede ser tu SO Anfitrión con encriptación simple (Windows/Linux/MacOS) o tu SO Oculto con negación plausible (sólo Windows).


En esta ruta, haremos un uso extensivo del software gratuito Oracle Virtualbox. Este es un software de virtualización en el que puedes crear Máquinas Virtuales que emulan un ordenador ejecutando un SO específico (si quieres usar algo más como Xen, Qemu, KVM o VMWARE, siéntete libre de hacerlo pero esta parte de la guía cubre Virtualbox sólo por conveniencia).


Por lo tanto, debes tener en cuenta que Virtualbox no es el software de virtualización con el mejor historial en términos de seguridad y algunos de los problemas reportados no han sido completamente solucionados hasta la fecha y si estás usando Linux con un poco más de conocimientos técnicos, deberías considerar el uso de KVM en su lugar siguiendo la guía disponible en Whonix aquí https://www.whonix.org/wiki/KVM [Archive.org] y aquí https://www.whonix.org/wiki/KVM#Why_Use_KVM_Over_VirtualBox.3F [Archive.org].


En todos los casos deben tomarse algunas medidas:


Todas tus actividades sensibles se harán desde dentro de una Máquina Virtual invitada que ejecute Windows 10 Pro (no Home esta vez), Linux o MacOS.


Esto tiene algunas ventajas que te ayudarán enormemente a permanecer en el anonimato:


  • Debería evitar que el SO de la VM invitada (Windows/Linux/MacOS), las Apps y cualquier telemetría dentro de las VMs accedan directamente a tu hardware. Incluso si tu VM se ve comprometida por malware, este malware no debería ser capaz de acceder a la VM y comprometer tu portátil real.
  • Nos permitirá forzar todo el tráfico de red desde su VM cliente para que se ejecute a través de otra VM Gateway que dirigirá (torificará) todo el tráfico hacia la Red Tor. Esto es un "interruptor de corte" de red. Su máquina virtual perderá completamente su conectividad de red y se desconectará si la otra máquina virtual pierde su conexión a la Red Tor.
  • La propia máquina virtual que sólo tiene conectividad a Internet a través de una puerta de enlace de la Red Tor se conectará a su servicio VPN de pago a través de Tor.
  • Las Fugas DNS serán imposibles porque la VM está en una red aislada que debe pasar por Tor pase lo que pase.
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Elija su método de conectividad.


Existen 7 posibilidades dentro de esta ruta:


  • Recomendada y Preferida:
    • Usar Tor solo (Usuario > Tor > Internet)
    • Usar VPN sobre Tor (Usuario > Tor > VPN > Internet) en casos específicos
  • Posible si lo requiere el contexto:
    • Usar VPN sobre Tor sobre VPN (Usuario > VPN > Tor > VPN > Internet)
    • Usar Tor sobre VPN (Usuario > VPN > Tor > Internet)
  • No recomendado y arriesgado:
    • Usar sólo VPN (Usuario > VPN > Internet)
    • Usar VPN sobre VPN (Usuario > VPN > VPN > Internet)
  • No recomendado y muy arriesgado (pero posible)
    • Sin VPN y sin Tor (Usuario > Internet)
2021 08 05 08 06

Sólo Tor.


Esta es la solución preferida y más recomendada.
2021 08 05 08 06 1

Con esta solución, toda tu red pasa a través de Tor y debería ser suficiente para garantizar tu anonimato en la mayoría de los casos.


Sin embargo, hay un inconveniente principal: Algunos servicios bloquean/prohiben los nodos Tor Exit directamente y no permitirán la creación de cuentas desde ellos.


Para mitigar esto, puede que tengas que considerar la siguiente opción: VPN sobre Tor, pero tenga en cuenta algunos riesgos asociados que se explican en la siguiente sección.


VPN/Proxy sobre Tor.


Esta solución puede aportar algunos beneficios en algunos casos específicos frente al uso de Tor sólo cuando acceder al servicio de destino sería imposible desde un nodo de Salida Tor. Esto se debe a que muchos servicios simplemente prohibirán, obstaculizarán o bloquearán Tor (ver https://gitlab.torproject.org/legacy/trac/-/wikis/org/doc/ListOfServicesBlockingTor [Archive.org]).


Como puede ver en esta ilustración, si su VPN/Proxy pagada con dinero (preferido)/Monero es comprometida por un adversario (a pesar de su declaración de privacidad y políticas de no-logging), sólo encontrarán una cuenta VPN/Proxy anónima pagada con dinero/Monero conectándose a sus servicios desde un nodo Tor Exit.
2021 08 05 08 07

Si un adversario de alguna manera se las arregla para comprometer la red Tor también, sólo revelará la IP de una Wi-Fi pública aleatoria que no está vinculada a su identidad.


Si un adversario de alguna manera compromete su VM OS (con un malware o exploit por ejemplo), estarán atrapados dentro de la red interna de Whonix y no podrán revelar la IP de la Wi-Fi pública.


Esta solución sin embargo tiene un inconveniente principal a considerar: Interferencia con el Aislamiento de Flujo Tor.


El Aislamiento de Flujo es una técnica de mitigación usada para prevenir algunos ataques de correlación teniendo diferentes Circuitos Tor para cada aplicación. Aquí hay una ilustración para mostrar lo que es el aislamiento de flujo:
2021 08 05 08 08

(Ilustración de Marcelo Martins, https://stakey.club/en/decred-via-tor-network/ [Archive.org])


VPN/Proxy sobre Tor cae en el lado derecho, lo que significa que usar una VPN/Proxy sobre Tor fuerza a Tor a usar un circuito para todas las actividades en lugar de múltiples circuitos para cada una. Esto significa que usar una VPN/Proxy sobre Tor puede reducir algo la efectividad de Tor en algunos casos y por tanto debería usarse sólo para algunos casos específicos:


  • Cuando su servicio de destino no permite nodos de Salida Tor.
  • Cuando no le importe usar un circuito Tor compartido para varios servicios. Como por ejemplo para usar varios servicios autenticados.

Sin embargo, debería considerar no usar este método cuando su objetivo es sólo navegar aleatoriamente por varios sitios web no autenticados, ya que no se beneficiará del Aislamiento de Flujo y esto podría hacer ataques de correlación más fáciles con el tiempo para un adversario entre cada una de sus sesiones (vea Su tráfico Tor/VPN Anonimizado). Sin embargo, si su objetivo es usar la misma identidad en cada sesión en los mismos servicios autenticados, el valor del Aislamiento de Flujo disminuye ya que puede ser correlacionado a través de otros medios.


También debe saber que Stream Isolation no está necesariamente configurado por defecto en Whonix Workstation. Sólo está preconfigurado para algunas aplicaciones (incluyendo el Navegador Tor).


También tenga en cuenta que el Aislamiento de Flujo no cambia necesariamente todos los nodos en su circuito Tor. A veces sólo puede cambiar uno o dos. En muchos casos, el Aislamiento de Flujo (por ejemplo dentro del Navegador Tor) sólo cambiará el nodo de retransmisión (medio) y el nodo de salida manteniendo el mismo nodo de guardia (entrada).


Más información en:



Tor sobre VPN.


Te estarás preguntando: Bueno, ¿qué tal usar Tor sobre VPN en lugar de VPN sobre Tor? Bueno, yo no lo haría necesariamente:


  • Desventajas
    • Tu proveedor de VPN no es más que otro ISP que conocerá tu IP de origen y podrá desanonimizarte si es necesario. No nos fiamos de ellos. Prefiero una situación en la que tu proveedor de VPN no sepa quién eres. No añade mucho en términos de anonimato.
    • Esto resultaría en que te conectes a varios servicios usando la IP de un Nodo de Salida Tor que están prohibidos/marcados en muchos lugares. No ayuda en términos de conveniencia.
  • Ventajas:
    • La principal ventaja realmente es que si estás en un ambiente hostil donde el acceso Tor es imposible/peligroso/sospechoso pero VPN está bien.
    • Este método tampoco rompe el aislamiento de Tor Stream.

Nota, si está teniendo problemas para acceder a la Red Tor debido a bloqueo/censura, podría intentar usar Puentes Tor. Ver Apéndice X: Usar Puentes Tor en entornos hostiles.


También es posible considerar VPN sobre Tor sobre VPN (Usuario > VPN > Tor > VPN > Internet) usando en su lugar dos VPNs pagadas en efectivo/Monero. Esto significa que conectará el SO Anfitrión a una primera VPN desde su Wi-Fi Pública, luego Whonix se conectará a Tor y finalmente su VM se conectará a una segunda VPN sobre Tor sobre VPN (ver https://www.whonix.org/wiki/Tunnels/Connecting_to_a_VPN_before_Tor [Archive.org]).


Esto, por supuesto, tendrá un impacto significativo en el rendimiento y podría ser bastante lento, pero creo que Tor es necesario en algún lugar para lograr un anonimato razonable.


Lograr esto técnicamente es fácil dentro de esta ruta, necesitas dos cuentas VPN anónimas separadas y debes conectarte a la primera VPN desde el SO Host y seguir la ruta.


Conclusión: Sólo haz esto si crees que usar Tor solo es arriesgado/imposible pero las VPN están bien. O simplemente porque puedes y por qué no.
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Sólo VPN.


Esta vía no se explicará ni se recomendará.


Si puedes usar VPNs, entonces deberías poder añadir una capa Tor sobre ella. Y si puedes usar Tor, entonces puedes añadir una VPN anónima sobre Tor para obtener la solución preferida.


Solo usar una VPN o incluso una VPN sobre VPN no tiene sentido ya que pueden rastrearte con el tiempo. Uno de los proveedores de VPN sabrá tu IP de origen real (incluso si es en un espacio público seguro) e incluso si añades una sobre ella, la segunda seguirá sabiendo que estabas usando ese otro primer servicio VPN. Esto sólo retrasará ligeramente tu desanonimización. Sí, es una capa añadida... pero es una capa añadida centralizada persistente y puedes ser desanonimizado con el tiempo. Esto es sólo encadenar 3 ISPs que están todos sujetos a peticiones legales.


Para más información, consulte las siguientes referencias:



En el contexto de esta guía, Tor es necesario en algún lugar para conseguir un anonimato razonable y seguro y deberías usarlo si puedes.


Sin VPN/Tor.


Si no puedes usar VPN ni Tor donde estás, probablemente estás en un entorno muy hostil donde la vigilancia y el control son muy altos.


Simplemente no lo hagas, no vale la pena y es demasiado arriesgado IMHO. Usted puede ser desanonimizado casi instantáneamente por cualquier adversario motivado que podría llegar a su ubicación física en cuestión de minutos.


No olvides volver a consultar Adversarios (amenazas) y Apéndice S: Comprueba tu red en busca de vigilancia/censura usando OONI.


Si no tiene absolutamente ninguna otra opción y todavía quiere hacer algo, vea el Apéndice P: Acceder a internet de la forma más segura posible cuando Tor/VPN no es una opción (bajo su propio riesgo) y considere la ruta The Tails en su lugar.


Conclusión.

2021 08 05 08 11

Desafortunadamente, usar Tor por sí solo levantará las sospechas de las plataformas de muchos destinos. Te enfrentarás a muchos obstáculos (captchas, errores, dificultades para registrarte) si sólo usas Tor. Además, usar Tor donde estás podría meterte en problemas sólo por eso. Pero Tor sigue siendo la mejor solución para el anonimato y debe estar en algún lugar para el anonimato.


  • Si tu intención es crear identidades compartidas y autenticadas persistentes en varios servicios donde el acceso desde Tor es difícil, recomiendo la opción VPN sobre Tor (o VPN sobre Tor sobre VPN si es necesario). Puede ser un poco menos seguro contra ataques de correlación debido a la ruptura del aislamiento del Tor Stream, pero proporciona mucha más comodidad para acceder a recursos en línea que sólo usar Tor. Es un intercambio "aceptable" IMHP si eres lo suficientemente cuidadoso con tu identidad.
  • Sin embargo, si tu intención es sólo navegar por servicios aleatorios de forma anónima sin crear identidades compartidas específicas, usando servicios Tor amigables; o si no quieres aceptar la compensación de la opción anterior. Entonces recomiendo usar la ruta Sólo Tor para mantener todos los beneficios del Aislamiento del Flujo (o Tor sobre VPN si lo necesita).
  • Si el coste es un problema, recomiendo la opción Sólo Tor si es posible.
  • Si tanto el acceso Tor como VPN son imposibles o peligrosos, entonces no tienes otra opción que confiar en wi-fis públicas de forma segura. Ver Apéndice P: Acceder a Internet de la forma más segura posible cuando Tor y VPN no son una opción.

Para más información, también puedes ver las discusiones aquí que podrían ayudarte a decidirte:


 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Consigue una VPN/Proxy anónima.


Omita este paso si sólo desea utilizar Tor.


Ver Apéndice O: Obtener una VPN/Proxy anónima


Whonix.


Omita este paso si no puede utilizar Tor.


Esta ruta utilizará Virtualización y Whonix309 como parte del proceso de anonimización. Whonix es una distribución Linux compuesta por dos Máquinas Virtuales:


  • La Estación de Trabajo Whonix (esta es una VM donde puedes realizar actividades sensibles)
  • La Whonix Gateway (esta VM establecerá una conexión con la red Tor y enrutará todo el tráfico de red desde la Estación de Trabajo a través de la red Tor).

Esta guía propondrá por tanto 2 sabores de esta ruta:


  • La ruta sólo Whonix donde todo el tráfico se enruta a través de la Red Tor (Sólo Tor o Tor sobre VPN).
2021 08 05 08 13

Una ruta híbrida Whonix donde todo el tráfico se enruta a través de una VPN pagada en efectivo (preferido)/Monero sobre la Red Tor (VPN sobre Tor o VPN sobre Tor sobre VPN).

2021 08 05 08 13 1

Usted será capaz de decidir qué sabor a utilizar en base a mis recomendaciones. Recomiendo el segundo como he explicado antes.


Whonix está bien mantenido y tiene una documentación extensa e increíblemente detallada.


Una nota sobre Virtualbox Snapshots.


Más adelante, crearás y ejecutarás varias Máquinas Virtuales dentro de Virtualbox para tus actividades sensibles. Virtualbox proporciona una característica llamada "Snapshots" que permite guardar el estado de una VM en cualquier momento. Si por alguna razón más tarde quieres volver a ese estado, puedes restaurar esa instantánea en cualquier momento.


Le recomiendo encarecidamente que haga uso de esta función creando una instantánea después de la instalación / actualización inicial de cada máquina virtual. Esta instantánea debe hacerse antes de su uso para cualquier actividad sensible / anónima.


Esto te permitirá convertir tus máquinas virtuales en una especie de "Sistemas Operativos Vivos" desechables (como Tails discutido anteriormente). Esto significa que podrás borrar todos los rastros de tus actividades dentro de una máquina virtual restaurando una instantánea a un estado anterior. Por supuesto, esto no será "tan bueno" como Tails (donde todo se almacena en la memoria) ya que pueden quedar rastros de esta actividad en tu disco duro. Los estudios forenses han demostrado la capacidad de recuperar datos de una máquina virtual revertida. Afortunadamente, habrá formas de eliminar esos rastros después de borrar o revertir a una instantánea anterior. Tales técnicas serán discutidas en la sección Algunas medidas adicionales contra los forenses de esta guía.


Descarga las utilidades de Virtualbox y Whonix.


Deberías descargar algunas cosas dentro del SO anfitrión.



Con esto concluyen los preparativos y ya deberías estar listo para empezar a configurar el entorno final que protegerá tu anonimato en línea.


Recomendaciones para el endurecimiento de Virtualbox.


Para una seguridad ideal, deberías seguir las recomendaciones proporcionadas aquí para cada máquina virtual Virtualbox https://www.whonix.org/wiki/Virtualization_Platform_Security#VirtualBox_Hardening [Archive.org]:


  • Desactivar Audio.
  • No habilitar Carpetas Compartidas.
  • No habilitar la aceleración 2D. Esto se hace ejecutando el siguiente comando VBoxManage modifyvm "vm-id" --accelerate2dvideo on|off
  • No habilite la aceleración 3D.
  • No habilitar el puerto serie.
  • Quitar la disquetera.
  • Quite la unidad de CD/DVD.
  • No active el servidor de visualización remota.
  • Active PAE/NX (NX es una función de seguridad).
  • Desactivar la Interfaz Avanzada de Configuración y Energía (ACPI). Esto se hace ejecutando el siguiente comando VBoxManage modifyvm "vm-id" --acpi on|off
  • No conecte dispositivos USB.
  • Desactive el controlador USB que está activado por defecto. Configure el Dispositivo señalador como "Ratón PS/2" o los cambios se revertirán.

Por último, siga también esta recomendación para desincronizar el reloj de su máquina virtual en comparación con el del sistema operativo anfitrión https://www.whonix.org/wiki/Network...oof_the_Initial_Virtual_Hardware_Clock_Offset [Archive.org].


Este desfase debe estar dentro de un rango de 60000 milisegundos y debe ser diferente para cada VM y aquí hay algunos ejemplos (que luego se pueden aplicar a cualquier VM):


  • VBoxManage modifyvm "Whonix-Gateway-XFCE" --biossystemtimeoffset -35017
  • VBoxManage modifyvm "Whonix-Gateway-XFCE" --biossystemtimeoffset +27931
  • VBoxManage modifyvm "Whonix-Workstation-XFCE" --biossystemtimeoffset -35017
  • VBoxManage modifyvm "Whonix-Workstation-XFCE" --biossystemtimeoffset +27931

También considere aplicar estas mitigaciones desde VirtualBox para mitigar las vulnerabilidades Spectre/Meltdown ejecutando este comando desde el Directorio de Programas de VirtualBox. Todos estos se describen aquí: https://www.whonix.org/wiki/Spectre_Meltdown [Archive.org] (tenga en cuenta que estos pueden afectar gravemente el rendimiento de sus máquinas virtuales, pero se debe hacer para la mejor seguridad).


Finalmente considera los consejos de seguridad de Virtualbox aquí https://www.virtualbox.org/manual/ch13.html [Archive.org]
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Tor sobre VPN.


Omita este paso si no tiene intención de utilizar Tor sobre VPN y sólo tiene intención de utilizar Tor o no puede.


Si tiene intención de utilizar Tor sobre VPN por cualquier razón. Primero debe configurar un servicio VPN en su SO anfitrión.


Recuerde que en este caso, recomiendo tener dos cuentas VPN. Ambas pagadas con dinero/Monero (ver Apéndice O: Conseguir una VPN/Proxy anónima). Una se utilizará en el SO anfitrión para la primera conexión VPN. La otra podría usarse en la VM para conseguir VPN sobre Tor sobre VPN (Usuario > VPN > Tor > VPN).


Si sólo pretende utilizar Tor sobre VPN, sólo necesita una cuenta VPN.


Ver Apéndice R: Instalar una VPN en su VM o SO anfitrión para instrucciones.
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Máquinas Virtuales Whonix.


Omita este paso si no puede utilizar Tor.



Recuerde en este paso que si tiene problemas para conectarse a Tor debido a censura o bloqueo, debería considerar conectarse usando Puentes como se explica en este tutorial https://www.whonix.org/wiki/Bridges [Archive.org].



Nota Importante: También deberías leer estas muy buenas recomendaciones en https://www.whonix.org/wiki/DoNot [Archive.org] ya que la mayoría de esos principios también se aplicarán a esta guía. También deberías leer su documentación general aquí https://www.whonix.org/wiki/Documentation [Archive. org] que también proporcionará toneladas de consejos como esta guía.
 
Top