- ENTRADA 048 -
Mensajería segura con GPG
El Sr. Penkovsky nos ha enviado un mensaje ilegible, traigan al experto en cifrado.
--- Fecha: sab 14 jun 2025 21:38:26 CET ---
A veces buscamos alta privacidad en aplicaciones de mensajería instantánea que no están diseñadas para eso. Sí, Signal tiene un cifrado bueno, SimpleX mola mucho, etc, pero al final has de confiar en esos servicios y jamás estarás seguro/a/e de que no exista fuga de datos por vulnerabilidades en los programas o servidores que los alojan, o sobre todo, que las autoridades no les pidan judicialmente los datos de tus comunicaciones,
Protonmail cede datos a la policía
En 1991 Phil Zimmermann creó el denominado como "el sistema de cifrado más robusto de la historia", que se convirtió en un estándar en internet hasta día de hoy: PGP
- Los detractores te dirán que es difícil de usar.
No es cierto. Los programas como Kleopatra o GPA ponen las cosas facilísimas a la hora de gestionar PGP y te guían a la hora de crear tus claves.
- También te dirán que si alguien captura tu clave podrán descifrar todas tus comunicaciones.
Si así fuese, aun le quedaría saber cual es la contraseña de dicha clave privada. Si es fuerte, no les va a ser nada fácil.
Pero ¿qué posibilidades hay de que "alguien" pueda entrar en tu casa y encuentre el código QR que tienes guardado en la pagina 183 del libro Moby Dick que tienes en la estantería?, porque es el medio más seguro de asegurar tu clave privada y así lo recomienda la propia gpg.org
Si no quieres ser tan paranoias, ¿crees posible que alguien entre en tu ordenador o smartphone, averigüe donde guardas tu clave privada, se la descargue y la llegue a usar, petando por fuerza bruta la contraseña, (suponiendo que no la tengas cifrada a su vez o guardada en un zip con contraseña)?
Además, puedes configurar tus contraseñas para que caduquen cuando tu quieras.
No, es más probable que con la Ley de Servicios Digitales de la UE, Whatsapp, Signal, Protonmail o Tutanota tengan que entregar tus datos bajo orden judicial.
PGP puede ser complejo si quieres sacarle el máximo provecho posible, pero puedes usarlo "solo" para cifrar mensajes de texto y enviarlos por cualquier canal.
NOTA: Doy por hecho que ya sabes cómo funciona PGP o GPG. Si no es así, busca por internet porque hay muchísima información
Puedes saber más sobre cifrado PGP/GPG aquí:
Creación del par de llaves
En Windows puedes usar Gpg4win, disponible en su web:
Al iniciarlo podrás crear tu par de claves siguiendo las instrucciones de pantalla, o importarlas si ya las tienes.
NOTA: De obligado cumplimiento es marcar la opción de proteger clave con contraseña al generar el par de claves.
Ahora en el menú "Archivo" puedes exportar la clave pública a un archivo con extensión .asc y enviarlo a todos tus colegas, y en el mismo menú, seleccionar "Copia de respaldo de las claves secretas" para tener una copia de la clave privada, que es importantísima porque es la que usas para descifrar. Puedes generar un código QR para ella, imprimirla y guardarla donde creas conveniente.
Cifrar y descifrar en Kleopatra
Seguiremos en Kleopatra, que también está para Linux o GNU/Linux.
En el menú "Importar" importaremos la clave pública de aquellas personas que queramos, que o bien te las envían o bien las puedes copiar si la tienen disponible en algún lugar público.
En los menús de "Cifrar" y "Descifrar" podremos actuar, o también desde el menú "Herramientas" y Portapapeles, que es la mejor opción porque no deja rastro.
Para cifrar habrá que darle a la opción "Añadir destinatario" y elegir la clave pública de la persona a la que va dirigido el mensaje.
Para descifrar es lo mismo pero a la inversa. Copias toda la ristra de números del mensaje cifrado que alguien te envía, y en el menú "Herramientas" la opción Portapapeles y "descifrar", introduces la contraseña y listo, lo habrá descifrado también en el portapapeles.
Cifrar y descifrar en GPA
Es muy similar, aunque su interfaz es diferente.
Cuando lo inicias, estás en modo portapapeles, porque como dije, se suele trabajar desde ahí porque es más seguro al no dejar rastro.
Tecleas el texto, pulsas en el icono de cifrar, seleccionas la clave de la persona a la que va dirigido el mensaje, y ya aparece el texto cifrado.
En el menú "Windows" tienes las opciones de gestión, entre las que tienes la opción de cifrar archivos, por si quieres cifrar un archivo de texto.
Cifrar en Android
Para android, lo más cómodo es usar OpenKeychain, disponible también en F-droid
Nada más abrirlo aparece la opción de claves, y verás abajo a la derecha un iconito con el signo más (+) y si lo pulsas podrás añadir claves, importandolas, leyendo un código QR o descargándola desde un servidor, pero lo más cómodo es importarla.
Lo **primerísimo** que has de hacer es importar TUS claves desde los archivos que hiciste de copias de seguridad, y estas las marcará como "por defecto". También puedes importarla desde el código QR ese que tienes en el libro de Moby Dick.
NOTA: Has de importar ambas, la pública y la privada.
Ahora podrás importar tantas claves públicas como personas quieras.
Una vez tengas las claves importadas, si vas a las opciones, arriba a la izquierda (las 3 rayitas), podrás seleccionar la opción de cifrado/descifrado, y podrás seleccionar tanto un archivo como usar el portapapeles, al igual que anteriormente.
Cuando das a la opción de cifrar, has de elegir la clave pública de la persona a enviarle el mensaje, abajo tecleas lo que quieras y ahora tienes 2 opciones, darle al primer iconito de arriba a la derecha para copiar o darle al segundo para compartir. Tras introducir la contraseña, quedará cifrado en portapapeles o abrirá el menú para elegir app para compartir.
Cuando quieras descifrar un mensaje que alguien te envíe, harás a la inversa, seleccionando "descifrar", pegarás desde el portapapeles o desde el archivo el mensaje que te han enviado y aparecerá descifrado.
Sea como sea el método que uses, podrás intercambiar estos mensajes por email, mensajería instantanea, por nube, servicios de envío autodestructivo, o lo que más te guste, sabiendo que no hay terceros implicados, solo tú y tu destinatario estáis detrás de las comunicaciones, y usa Signal para tu día a día, no te la juegues.
Tags #gpg #pgp #gpa #kleopatra
/blog/