#1 Consigue las piezas

Esta guía usa software con licencia libre; es completamente transparente y cualquier persona puede copiarla o crear su propia versión. Esto hace que sea más seguro contra la vigilancia que el software privativo (como Windows o macOS). Aprende más sobre software libre en fsf.org.

La mayoría de los sistemas operativos GNU/Linux vienen con GnuPG ya instalado, por lo que si utilizas uno de estos sistemas, no es necesario que lo descargues. Si utilizas macOS o Windows, los pasos para descargar GnuPG están a continuación. Antes de configurar los ajustes de cifrado con esta guía, sin embargo, necesitarás tener instalado en tu computadora un programa para gestionar el correo electrónico. La mayoría de las distribuciones GNU/Linux tienen uno instalado, como puede ser Icedove, aunque puede encontrarse con un nombre alternativo como "Thunderbird". Los programas como estos son otra manera de acceder a las mismas cuentas de correo electrónico a las que accedes usando un navegador (como Gmail), pero proporcionan características adicionales.

Paso 1.A: Asistente de instalación

Paso 1.a Configura tu programa de correo electrónico con tu cuenta de correo

Abre el programa de correo electrónico y sigue el asistente (tutorial paso a paso) que configurará su cuenta de correo electrónico. Por lo general, comienza desde "Configuración de la cuenta" → "Agregar cuenta de correo". Deberías obtener la configuración para los ajustes del servidor de su administrador de sistemas o la sección de ayuda de su cuenta de correo electrónico.

Solución de problemas

El asistente no inicia
Puedes iniciar el asistente tu mismo, pero el menú de opciones para realizar esto puede tener diferentes nombres dependiendo del programa de correo que uses. El botón para iniciarlo estará en el menú principal del programa, y se llamará "Nuevo" o algo similar, bajo el título de "Añadir cuenta de correo" o "Nueva/existente cuenta de correo."
Mi programa de correo electrónico no puede encontrar mi cuenta, o no está descargando mi correo
Antes de buscar en la web, nosotros recomendamos que preguntes a otras personas que usen el mismo sistema de correo electrónico, para averiguar las configuraciones correctas.
No puedo encontrar el menú
En muchos programas nuevos de correo electrónico, el menú principal está representado por una imagen de tres barras horizontales apiladas.

Paso 1.b Instala GnuPG

Si estás utilizando un equipo con GNU/Linux, ya deberías tener instalado GnuPG y puedes saltar a la Sección 2.

Sin embargo, si está utilizando un equipo con macOS o Windows, primero debes instalar el programa GnuPG. Selecciona a continuación tu sistema operativo y sigue las instrucciones. Para el resto de esta guía, los pasos son los mismos para todos los sistemas operativos.

macOS

Utilice un administrador de paquetes de terceros para instalar GnuPG

El gestor de paquetes predeterminado de macOS hace difícil instalar GnuPG y otros programas de software libre (como Emacs, GIMP o Inkscape). Para hacer las cosas más sencillas, recomendamos configurar el gestor de paquetes de terceros "Homebrew" para instalar GnuPG. Para esto, utilizaremos un programa llamado "Terminal", que ya viene preinstalado en macOS.

# Copia el primer comando de la página principal de Homebrew haciendo clic sobre el icono del clip y pégalo en el Terminal. Pulsa "Enter" y espera a que finalice la instalación.

# Después instala GnuPG introduciendo el siguiente código en el Terminal:
brew install gnupg gnupg2

Windows

Obtén GnuPG descargando GPG4Win

GPG4Win es un software de cifrado de correo y archivos que incluye GnuPG. Descarga e instala la versión más reciente, eligiendo las opciones predeterminadas cuando se te pregunte. Una vez instalado, puedes cerrar las ventanas que haya creado.

GnuPG, OpenPGP, ¿Qué es esto?

En general, los términos GnuPG, GPG, GNU Privacy Guard, OpenPGP y PGP son usados de manera indistinta. Técnicamente, OpenPGP (Pretty Good Privacy) es el estándar de cifrado y GNU Privacy Guard (a menudo reducido a las siglas GPG o GnuPG) se refiere al programa que implementa dicho estándar. La mayoría de programas de correo electrónico ofrecen una interfaz para usar GnuPG. También hay una versión más reciente de GnuPG llamada GnuPG2.

#2 Crea tus claves

Un robot con una cabeza con forma de llave que sostiene una llave pública y una privada.

Para usar el sistema GnuPG, necesitarás una clave pública y una clave privada (a las que se hace referencia como par de claves). Cada una de ellas es una larga cadena de números y letras generada de manera aleatoria y única para ti. Tus claves pública y privada están enlazadas entre sí mediante una función matemática especial.

Tu clave pública no es como una llave física, ya que se almacena en abierto en una guía en línea llamada servidor de claves. Las personas la descargan y la usan junto con GnuPG para cifrar los correos electrónicos que te envían. Puedes imaginarte el servidor de claves como una guía telefónica en la que las personas que quieren enviarte correo electrónico cifrado pueden buscar tu clave pública.

Tu clave privada es más parecida a una llave física, ya que la guardas solo para ti (en tu computadora). Usas GnuPG y tu clave privada juntas para descifrar los correos electrónicos cifrados que otras personas te envían. Nunca deberías compartir tu clave privada con nadie, bajo ninguna circunstancia.

Además del cifrado y descifrado, también puedes utilizar estas llaves para firmar mensajes y comprobar la autenticidad de las firmas de otras personas. Hablaremos más sobre esto en la próxima sección.

Paso 2.A: Crea tu par de claves

Paso 2.A: Establece tu frase de paso

Paso 2.a Crea un par de claves

Crea tu par de claves

Utilizaremos la línea de comandos en una terminal para crear un par de claves utilizando el programa GnuPG.

Ya sea en GNU/Linux, macOS o Windows, puedes lanzar la aplicación de tu terminal ("Terminal" en macOS, "PowerShell" en Windows" desde el menú de Aplicaciones (en algunos sistemas GNU/Linux también se utiliza el atajo de teclado Ctrl + Alt + T).

# Escribe gpg --full-generate-key para comenzar el proceso.

# Para responder qué tipo de clave te gustaría crear, selecciona la opción predeterminada: 1 RSA y RSA.

# Introduce la siguiente longitud de clave: 4096 para que sea una clave robusta.

# Escoge la fecha de expiración, sugerimos 2y (2 años).

Sigue las indicaciones para continuar con la configuración de tus datos personales.

Dependiendo de tu versión de GPG, es posible que debas usar --gen-key en vez de --full-generate-key.

Establece tu frase de paso

En la pantalla titulada "Passphrase" (o frase de paso) ¡escoge una frase de paso segura! Puedes hacerlo de manera manual, o puedes utilizar el método Diceware. Haciéndolo de forma manual es más rápido pero no tan seguro. Utilizar Diceware lleva más tiempo y necesitas unos dados, pero crea una frase de paso que es mucho más difícil de descifrar para los atacantes. Para utilizarla, lee la sección "Crear una frase de paso segura con Diceware" en este artículo en inglés de Micah Lee.

Si quieres escoger una frase de paso de forma manual, escoge algo que puedas recordar con al menos doce caracteres de longitud, e incluye al menos una letra minúscula y mayúscula y al menos un número o símbolo de puntuación. Nunca escojas una frase de paso que hayas utilizado en otro sitio. No utilices patrones reconocibles, como cumpleaños, números de teléfono, nombres de mascotas, letras de canciones, citas de libros y cosas similares.

Solución de problemas

GnuPG no está instalado
Puedes comprobar si este es el caso con el comando gpg --version. Si GnuPG no está instalado, se mostrará el siguiente resultado en la mayoría de sistemas operativos GNU/Linux, o algo similar a ello: Command 'gpg' not found, but can be installed with: sudo apt install gnupg. Ejecuta ese comando e instala el programa.
gpg --full-generate-key el comando no funciona
Algunas distribuciones utilizan una versión diferente de GPG. Cuando se muestra un código de error similar a esto: gpg: Opción inválida "--full-generate-key", puedes intentar los siguientes comandos:
sudo apt update
sudo apt install gnupg2
gpg2 --full-generate-key
Si esto resolvió el problema, se debe continuar usando el identificador gpg2en lugar de gpg a lo largo de los siguientes pasos de la guía.

Dependiendo de tu versión de GPG, es posible que debas usar --gen-key en vez de --full-generate-key.

Tardé demasiado en crear mi frase de paso
Esta bien. Es importante pensar tu frase de paso. Cuando estés listo, simplemente sigue los pasos nuevamente desde el principio para crear tu clave.
¿Cómo puedo ver mi clave?
Utiliza el siguiente comando para ver todas las claves gpg --list-keys. La tuya debería estar en la lista, y más tarde también lo estará la de Edward (Sección 3).
Si solo quieres ver tu clave, puedes utilizar gpg --list-key [tu@correo].
También puedes utilizar gpg --list-secret-key para ver tu propia clave privada.
Más recursos
Para más información sobre este proceso, puedes seguir la documentación en inglés, de The GNU Privacy Handbook. Asegúrate de comprender "RSA y RSA" (el valor predeterminado), porque es más novedoso, y más seguro que los algoritmos que recomienda la documentación. También asegúrate que tu par de claves tienen al menos 4096 bits si quieres tener más seguridad.

Avanzado

Avanzado par de claves
Cuando GnuPG crea un nuevo par de claves, se compartimenta la función de cifrado de la función de firma mediante "subkey". Si utilizas "subkeys" con cuidado, puedes mantener tu identidad GnuPG más segura y recuperar de manera más rápida una clave comprometida. Alex Cabal y la wiki de Debian ofrecen unas buenas guías (en inglés) para ajustar una configuración de "subkeys" segura.

Paso 2.B: Enviar al servidor y generar un certificado

Paso 2.b Algunos pasos importantes a seguir después de la creación

Sube tu clave a un servidor de claves

Vamos a subir tu clave a un servidor de claves, así si alguien quiere mandarte un mensaje cifrado puede descargar tu clave pública de Internet. Existen múltiples servidores de claves que puedes seleccionar en el menú cuando subes tu clave, pero en su mayoría son copias unos de otros. Cualquier servidor funcionará, pero es bueno recordar en cuál cargaste tu clave originalmente. También ten en cuenta, que a veces tardan varias horas en sincronizarse cuando se sube una nueva clave.

# Copia tu keyID (identificador de clave): gnupg --list-key [tu@correo] mostrará información de tu clave pública ("pub"), incluyendo tu identificador de clave (keyID), que es una lista única de números y letras. Copia este identificador, para poder utilizarlo en el siguiente comando.

# Sube tu clave a un servidor: gpg --send-key [keyID]

Exporta tu clave a un archivo

Utiliza el siguiente comando para exportar tu clave secreta para así poder importarla en tu programa de correo electrónico en el siguiente paso. Para evitar que tu clave pueda ser comprometida, almacena el archivo en un sitio seguro y asegúrate que si es transferida, se hace de una manera confiable. Para exportar tus claves se puede hacer con los siguiente comandos:

$ gpg --export-secret-keys -a [keyID] > mi_clave_secreta.asc
$ gpg --export -a [keyID] > mi_clave_pública.asc

Genera un certificado de revocación

En el caso de que pierdas tu clave o si es comprometida, querrás generar un certificado y escoger guardarlo en un lugar seguro de momento en tu computadora (por favor consulte el Paso 6.C para consultar cómo guardar de manera segura tu certificado de revocación). Este paso es esencial para tu autodefensa, y también aprenderás más en la Sección 5.

# Copia tu keyID (identificador de clave): gnupg --list-key [tu@correo] mostrará información de tu clave pública ("pub"), incluyendo tu identificador de clave (keyID), que es una lista única de números y letras. Copia este identificador, para poder utilizarlo en el siguiente comando.

# Genera un certificado de revocación: gpg --gen-revoke --output revoke.asc [keyID]

# Te pedirá que des una razón para la revocación, te recomendamos utilizar 1 = la clave ha sido comprometida.

# No es necesario rellenar un motivo, pero puedes hacerlo, luego pulsa "Enter" para añadir una línea vacía y confirma tu selección.

Solución de problemas

Enviar mi llave al servidor de llaves no funciona
En lugar de usar el comando general para cargar tu clave en el servidor de claves, puedes usar un comando más específico y agregar el servidor de claves a tu comandogpg --keyserver keys.openpgp.org --send-key [keyID].
Mi llave no parece funcionar u obtengo un mensaje "permiso denegado".

Como cualquier otro archivo o carpeta, las claves gpg están sujetas a permisos. Si estos no están configurados correctamente, es posible que tu sistema no acepte tus claves. Puedes seguir los pasos siguientes para verificar y actualizar a los permisos correctos.

# Comprueba tus permisos: ls -l ~/.gnupg/*

# Establece los permisos para leer, escribir y ejecutar solo para ti, no para otros. Estos son los permisos recomendados para tu carpeta.
Puedes utilizar el comando: chmod 700 ~/.gnupg

# Establece los permisos para leer y escribir solo para ti, no para otros. Estos son los permiso recomendados para las claves dentro de tu carpeta.
Puedes utilizar el código: chmod 600 ~/.gnupg/*

Si has creado (por cualquier razón) tus propias carpetas dentro de ~/.gnupg, deberás también aplicar permisos de ejecución a esa carpeta. Las carpetas requieren privilegios de ejecución para ser abiertas. Para más información sobre los permisos, puedes consultar esta detallada guía de información (en inglés).

Avanzado

Más sobre los servidores de claves
Puedes encontrar más información sobre los servidores de claves en este manual (en inglés). También puedes exportar directamente tu clave como un archivo en tu computadora.
Transfiriendo tus claves

Utiliza los siguientes comandos para transferir tus claves. Para evitar que tu clave sea comprometida, guárdala en un lugar seguro y asegúrate de que si se transfiere, se hace de manera fiable. Importar y exportar una clave se puede hacer con los siguientes comandos:

$ gpg --export-secret-keys -a [keyID] > mi_clave_privada.asc
$ gpg --export -a [keyID] > my_clave_pública.asc
$ gpg --import mi_clave_privada.asc
$ gpg --import mi_clave_pública.asc

Asegúrate de que el identificador de clave (keyID) mostrado sea el correcto y, si es así, continúa y añade la máxima confianza para ello:

$ gpg --edit-key [tu@correo]

Ya que es tu clave, deberías escoger la máxima confianza. No deberías confiar en la máxima confianza en la clave de nadie más.

Consulta la solución de problemas en el Paso 2.B para obtener más información sobre permisos. Al transferir claves, tus permisos se pueden mezclar, y pueden aparecer errores. Estos se evitan fácilmente cuando las carpetas y los archivos tienen los permisos adecuados

#3 Configura el cifrado del correo electrónico

El programa Icedove (o Thunderbird) tienen la funcionalidad PGP integrada, lo que hace muy sencillo trabajar con ella. Te guiaremos a través de los pasos para integrar y utilizar tus claves en estos clientes de correo electrónico.

Paso 3.A: Menú del correo electrónico

Paso 3.A: Importar de un archivo

Paso 3.A: Éxito

Paso 3.A: Solucionar problemas

Paso 3.a Configura tu correo electrónico con cifrado

Cuando hayas configurado tu correo electrónico con cifrado, podrás comenzar a contribuir con el tráfico cifrado en internet. Primero haremos que el cliente de correo electrónico importe tu clave secreta y también aprenderemos cómo obtener las claves públicas de otras personas de servidores para poder enviar y recibir correos electrónicos cifrados.

# Abre tu cliente de correo electrónico y usa "Herramientas" → Administrador de claves OpenPGP

# En "Archivo" → Importar clave(s) secreta(s) desde archivo

# Selecciona el archivo que guardaste con el nombre [mi_clave_secreta.asc] en el paso Paso 2.B cuando exportaste tu clave

# Desbloquea con tu frase de paso

# Verás que se muestra una ventana de confirmación con éxito "Clave OpenPGP importada con éxito"

# Ve a "Configuración de cuenta" → "Cifrado extremo a extremo" y asegúrate de que tu clave está importada y selecciona Tratar esta clave como clave personal.

Solución de problemas

No estoy seguro si la importación funcionó correctamente
Busca en "Configuración de la cuenta" → "Cifrado extremo a extremo". Aquí puedes ver si tu clave personal asociada con este correo electrónico es encontrada. Si no lo está, puedes intentarlo de nuevo mediante la opción Añadir clave. Asegúrate de tener el archivo de la clave secreta activa correcto.

#4 ¡Pruébalo!

Ilustración de una persona y un gato en una casa conectados a un servidor

Ahora intercambiarás mensajes de prueba con un programa informático de la FSF llamado Edward que sabe cómo usar el cifrado. Salvo que se indique otra cosa, son los mismos pasos que seguirías en una correspondencia con una persona real.

Paso 4.A Envía tu clave a Edward.

Paso 4.a Envía a Edward tu clave pública

Este es un paso especial que no deberás realizar cuando estés manteniendo correspondencia con una persona real. En el menú de tu programa de correo electrónico, ve a "Herramientas" → "Administrador de claves OpenPGP". Deberías ver tu clave en la lista que aparece. Haz clic con el botón derecho sobre tu clave y selecciona Enviar clave(s) pública(s) por correo electrónico. Esto creará un nuevo borrador de mensaje, como si hubieras hecho clic en el botón "Redactar", pero en el adjunto encontrarás el archivo de tu clave pública.

Dirige el mensaje a edward-es@fsf.org. Escribe por lo menos una palabra (la que quieras) en el asunto y en el cuerpo del correo. No lo envíes todavía.

Queremos que Edward sea capaz de abrir el correo electrónico con el archivo de tu clave, así que queremos que este primer correo esté sin cifrar. Asegúrate de que la opción de cifrado está apagada utilizando el menú desplegable "Seguridad" y seleccionando No cifrar. Cuando el cifrado esté inhabilitado, pulsa en "Enviar".

Puede que Edward tarde dos o tres minutos en responder. Mientras tanto, quizás quieras seguir adelante y revisar la sección Úsalo bien de esta guía. Una vez que hayas recibido la respuesta, avanza al siguiente paso. De aquí en adelante, estarás haciendo lo mismo que cuando mantengas correspondencia con una persona real.

Cuando abres la respuesta de Edward, GnuPG te pide que introduzcas la frase de paso antes de utilizar tu clave privada para descifrarlo.

Paso 4.B Opción 1. Verificar la clave

Paso 4.B Opción 2. Importar la clave

Paso 4.b Envía un correo cifrado de prueba

Obtén la clave de Edward

Para cifrar un correo para Edward, necesitas su clave pública, así que tendrás que descargarla desde un servidor de claves. Puedes hacer esto de dos maneras diferentes:

Opción 1. En el correo de respuesta que has recibido de Edward después de tu primer correo, se incluía la clave pública de Edward. En la parte derecha del correo, justo encima del área de introducción del texto, encontrarás un botón "OpenPGP" que tiene un candado y una pequeña rueda junto a él. Haz clic ahí y selecciona Descubrir junto al texto: "Este mensaje fue firmado con una clave que todavía no tienes." Seguido de un mensaje emergente con los detalles de la clave Edward.

Opción 2. Abre tu gestor OpenPGP y en la opción "Servidor de clave" escoge Descubrir claves en línea. Aquí, rellena el campo con la dirección de correo electrónico de Edward e importa la clave de Edward.

La opción Aceptada (sin verificar) añadirá esta clave a tu gestor de claves y ahora puede ser utilizada para enviar correos cifrados y para verificar las firmas digitales de Edward.

En la ventana emergente de confirmación de que quieres importar la clave de Edward, verás muchos correos diferentes que están asociados con su clave. Esto es correcto, puedes importar con seguridad la clave.

Como has cifrado este correo con la clave pública de Edward, se necesita la clave privada de Edward para descifrarlo. Edward es el único que posee su clave privada, nadie excepto Edward, puede descifrarlo.

Envía a Edward un correo cifrado

Escribe un nuevo correo electrónico en tu programa de correo electrónico, dirigido a edward-es@fsf.org. Pon como asunto "Prueba de cifrado" o algo similar y escribe algo en el cuerpo.

Esta vez, asegúrate de que el cifrado está activado utilizando el menú desplegable "Seguridad" y selecciona Requerir cifrado. Cuando el cifrado esté activo, pulsa en Enviar.

Solución de problemas

"Los destinatarios no son válidos, no se confía en ellos o no se encuentran"
Podría recibir el mensaje de error anterior o algo parecido a esto: "No se puede enviar este mensaje con cifrado de extremo a extremo, porque hay problemas con las claves de los siguientes destinatarios: ... " En estos casos, quizás has intentado enviar un correo electrónico cifrado a alguien de quien no tienes todavía su clave pública. Asegúrate de seguir los pasos anteriores para importar la clave en tu gestor de claves. Abre el gestor de claves OpenPGP para asegurarte que el receptor aparece en el listado.
Imposible enviar el mensaje
Podrías obtener el siguiente mensaje cuando tratas de enviar tu correo cifrado: "Imposible enviar este mensaje con cifrado de extremo a extremo, porque hay problemas con las claves de los siguientes destinatarios: edward-es@fsf.org." Esto normalmente significa que importaste la clave con la opción "no aceptado (indeciso)". Ve a "Propiedades de clave" de esta clave haciendo clic con el botón derecho en esta clave desde tu gestor de claves OpenPGP y selecciona la opción Sí, pero no he verificado que sea la clave correcta en las opciones que se presentan en la parte inferior de esta ventana. Vuelve a enviar el correo electrónico.
No puedo encontrar la clave de Edward
Cierra las ventanas emergentes que han aparecido desde que hiciste clic en Enviar. Asegúrate de que estás conectado a Internet y vuelve a intentarlo. Si eso no funciona, puedes descargar la clave manualmente desde el servidor de claves e importarla utilizando la opción Importar clave(s) pública(s) desde archivo en el gestor de claves OpenPGP.
Correos descifrados en la carpeta de Enviados
Aunque creas que no puedes descifrar mensajes cifrados por la clave de otra persona, tu programa de correo electrónico guardará automáticamente una copia cifrada con tu clave pública, que serás capaz de ver desde la carpeta de Enviados como un mensaje normal. Esto es normal, y no significa que tus correos no sean enviados cifrados.

Avanzado

Cifra tus mensajes desde la línea de comandos
También puedes cifrar y descifrar tus mensajes y archivos desde la línea de comandos, si esa es tu preferencia. La opción --armor hace que la salida cifrada aparezca como un juego de caracteres normales.

Importante: Consejos de seguridad

Incluso si cifras tu correo electrónico, la línea Asunto no se cifra, así que no pongas información privada en ese apartado. Las direcciones de envío y recepción tampoco son cifradas, así que un sistema de vigilancia todavía puede averiguar con quien te estás comunicando. También, los agentes de vigilancia sabrán que estás utilizando GnuPG, incluso aunque no puedan adivinar qué estás diciendo. Cuando envías un adjunto, puedes escoger la opción de cifrarlo o no, de manera independiente al correo actual.

Para una mayor seguridad contra potenciales ataques, puedes inhabilitar HTML. En su lugar, puedes reproducir el cuerpo del correo como texto plano. Para hacer esto en Icedove o Thunderbird, ve al menú: "Ver" → "Cuerpo del mensaje como → texto sin formato.

Paso 4.C La respuesta de Edward

Paso 4.c Recibir una respuesta

Cuando Edward reciba tu correo electrónico, usará su clave privada para descifrarlo, luego te responderá.

Puede que Edward tarde dos o tres minutos en responder. Mientras tanto, quizás quieras seguir adelante y revisar la sección Úsalo bien de esta guía.

Edward te enviará un correo electrónico cifrado de vuelta contestándote que tu correo electrónico fue recibido y descifrado. Tu cliente de correo electrónico automáticamente descifrará el mensaje de Edward.

El botón OpenPGP en el correo mostrará una pequeña marca verde de aprobación sobre el símbolo del candado para mostrar que el mensaje es cifrado y un pequeño símbolo de atención naranja que significa que has aceptado la clave, pero no está verificada. Cuando aún no has aceptado la clave , verás una pequeña interrogación en ese lugar. Haciendo clic en ese botón te llevará también hasta las propiedades de la clave.

Paso 4.d Enviar un correo firmado de prueba

GnuPG incluye una forma de firmar mensajes y archivos, verificando que provienen de ti y que no fueron manipulados por el camino. Estas firmas son más robustas que las análogas hechas a mano en un papel, estas son imposibles de falsificar, porque son imposibles de crear sin tu clave privada (otra razón para mantener tu clave privada a salvo).

Puedes firmar mensajes a cualquiera, ya que es una gran forma de poner al tanto a la gente de que utilizas GnuPG y que pueden comunicarse contigo de manera segura. Si no utilizan GnuPG, serán capaces de leer tu mensaje y ver tu firma. Si ellos tienen GnuPG, serán capaces de verificar que tu firma es auténtica.

Para firmar un correo a Edward, redacta cualquier mensaje para esa dirección de correo y haz clic sobre el icono del lápiz, al lado del icono del candado, que se pondrá de color dorado. Si firmas un mensaje, GnuPG te preguntará por tu frase de paso antes de enviarlo, porque necesita desbloquear tu clave privada para firmarlo.

En "Configuración de cuenta" → "Cifrado de extremo a extremo" puedes escoger Añadir mi firma digital de forma predeterminada.

Paso 4.e Recibir una respuesta

Cuando Edward recibe tu correo, él usará tu clave pública (que le has enviado en el Paso 3.A) para verificar que tu envío no ha sido manipulado y para cifrar su respuesta para ti.

Puede que Edward tarde dos o tres minutos en responder. Mientras tanto, quizás quieras seguir adelante y revisar la sección Úsalo bien de esta guía.

La respuesta de Edward llegará cifrada, porque él prefiere usar el cifrado siempre que sea posible. Si todo ha ido de acuerdo al plan, debería decir "Tu firma fue verificada." Si tu prueba de firma de correo también fue cifrada, él mencionará eso primero.

Cuando recibas el correo electrónico de Edward y lo abras, tu cliente de correo electrónico detectará automáticamente que está cifrado con tu clave pública, y usará tu clave privada para descifrarlo.

#5 Aprende sobre el anillo de confianza

Ilustración de llaves interconectadas con una red de líneas

El cifrado de correo electrónico es una tecnología poderosa, pero tiene sus debilidades: requiere una manera de verificar que la clave pública de una persona es realmente suya. De otra forma, no habría modo de impedir que un atacante cree una dirección de correo electrónico con el nombre de tu amigo, cree claves con esa dirección y suplante a tu amigo. Es por eso que los programadores de software libre que desarrollaron el cifrado de correo electrónico crearon la firma de las claves y el Anillo de Confianza.

Cuando firmas la clave de alguien, estás diciendo públicamente que verificas que pertenece a esa persona y no a un impostor.

Firmar claves y firmar mensajes utiliza el mismo tipo de operación matemática, pero estas tienen diferentes implicaciones. Es una buena práctica firmar generalmente tu correo, pero si por casualidad firmas claves de otra gente, puedes accidentalmente garantizar la identidad de un impostor.

Las personas que usan tu clave pública pueden ver quien las ha firmado. Una vez que hayas usado GnuPG durante mucho tiempo, tus claves pueden tener cientos de firmas. Se puede considerar una clave como de más digna de confianza si tiene muchas firmas de personas en quien tu confías. El Anillo de Confianza es la constelación de usuarios de GnuPG, conectados entre sí mediante las cadenas de confianza expresadas a través de las firmas.

Sección 5: confiando en una clave

Paso 5.a Firma una clave

En el menú de tu programa de correo electrónico, ve a Administrador de claves OpenPGP y selecciona Propiedades de la clave haciendo clic con el botón derecho en la clave de Edward.

Bajo "Aceptación", puedes seleccionar Sí, he verificado en persona que esta clave tiene la huella digital correcta.

De hecho acabas de decir "Confío en que la clave pública de Edward realmente pertenece a Edward". Esto no significa mucho debido a que Edward no es una persona real, pero es una buena práctica y cuando se trata de personas reales es importante. Puedes leer más sobre el firmado de claves de personas en la sección comprobar la identidad (ID) antes de firmar.

Identificando claves: Huellas digitales e identificadores de claves (ID)

Las claves públicas de las personas se identifican habitualmente por su huella digital, que es una cadena de dígitos como F357AA1A5B1FA42CFD9FE52A9FF2194CC09A61E8 (para la clave de Edward). Puedes ver la huella digital de tu clave pública, y de otras claves públicas que han sido guardadas en tu computadora, yendo a Administrador de claves OpenPGP en el menú de tu programa de correo electrónico, haciendo luego clic con el botón derecho en la clave y seleccionando Propiedades de la clave. Es una buena práctica compartir tu huella digital cada vez que compartas tu dirección de correo electrónico, así otras personas podrán verificar que tienen la clave pública correcta cuando descarguen tu clave desde un servidor de claves.

También puedes ver claves públicas referidas con un identificador ID reducido. Esta clave ID es visible directamente desde la ventana de Gestión de Claves. Estos ocho caracteres de la clave ID fueron previamente utilizados como identificación, lo que solía ser seguro, pero ya no es confiable. Necesitas comprobar la huella (fingerprint) completa como parte de la verificación de que tienes la clave correcta de una persona con la que estás intentando contactar. La falsificación, en la que alguien intencionadamente genera una clave con una huella (fingerprint) cuyos ocho caracteres finales son iguales que otra, es desafortunadamente muy común.

Importante: Qué tener en cuenta cuando firmas claves

Antes de firmar la clave de una persona, necesitas tener confianza de que realmente le pertenecen, y que es quién dice ser. Lo ideal, esta confidencia proviene de tener interacciones y conversaciones con ellos durante un tiempo, y siendo testigo de interacciones entre ellos y otras personas. Siempre que firmes una clave, pregúntale que muestre la huella pública completa, y no solo el identificador de clave. Si sientes que es importante firmar la clave de alguien que acabas de conocer, también pide que te enseñen la tarjeta de identificación, y asegúrate de que el nombre del identificador corresponde con el nombre que aparece en la clave pública.

Avanzado

Dominar el anillo de confianza
Desafortunadamente, la confianza no se difunde entre los usuarios de la manera en que mucha gente cree. Una de las mejores maneras de fortalecer la comunidad de GnuPG es comprender de manera profunda el anillo de confianza y firmar con cuidado las claves de la gente en las que las circunstancias lo permitan.

#6 Úsalo bien

Cada persona usa GnuPG de una manera un poco diferente, pero es importante seguir algunas prácticas básicas para mantener tu correo electrónico seguro. Si no las sigues, pones en peligro la privacidad de las personas con las que te comunicas, como también la tuya, y dañas el Anillo de Confianza.

Sección 6: Úsalo bien (1)

¿Cuándo debería cifrar?¿Cuando debería firmar?

Mientras más mensajes cifres, mejor. Si solo cifras tus mensajes ocasionalmente, cada mensaje cifrado podría activar un marcador de mensaje importante en los sistemas de vigilancia. Si todo tu correo electrónico, o la mayor parte, está cifrado, las personas encargadas de vigilar no sabrán por dónde empezar. No estamos diciendo que cifrar solo algunos correos electrónicos no sea útil: es un gran comienzo y dificulta la vigilancia masiva.

A menos que no quieras revelar tu propia identidad (lo que requiere de otras medidas protectoras), no existe una razón para no firmar cada mensaje, independientemente de que este o no cifrado. Además de permitir a aquellos con GnuPG verificar que los mensajes provienen de ti, firmar es una manera no intrusiva de recordar a todo el mundo que utilizas GnuPG y muestras apoyo por las comunicaciones seguras. Si a menudo mandas mensajes firmados a gente que no está familiarizado con GnuPG, también está bien incluir un enlace a esta guía en la firma estándar de tu correo (la firma en texto plano, no en la firma criptográfica).

Sección 6: Úsalo bien (2)

No te fíes de las claves sin validez

GnuPG hace que el correo electrónico sea más seguro, pero sigue siendo importante estar alerta ante las claves sin validez, que podrían haber caído en las manos equivocadas. El correo electrónico cifrado con claves sin validez podría ser leído por los programas de vigilancia.

En tu programa de correo electrónico, ve al primer correo electrónico que Edward te envió. Debido a que Edward lo cifró con tu clave pública, tendrá una marca verde de aprobación en el botón "OpenPGP".

Cuando uses GnuPG, acostúmbrate a mirar ese botón. El programa te avisará si recibes un correo electrónico firmado con una clave en la que no se pueda confiar.

Copia tu certificado de revocación a un sitio seguro

¿Recuerdas cuando creaste tus claves y guardaste el certificado de revocación que hizo GnuPG? Es hora de copiar ese certificado en el almacenamiento más seguro que tengas: una unidad flash, un disco o un disco duro guardado en un lugar seguro en tu casa podría funcionar, no en un dispositivo que lleves contigo normalmente. La forma más segura que conocemos es imprimir el certificado de revocación y almacenarlo en un lugar seguro.

Si tus claves privadas se pierden o son robadas en algún momento, necesitarás este archivo con el certificado para que los demás sepan que ya no estás utilizando este par de claves.

IMPORTANTE: ACTÚA CON RAPIDEZ si alguien consigue tu clave privada

Si pierdes tu clave privada u otra persona se hace con ella (robándola o entrando en tu computadora), es importante que la revoques inmediatamente antes de que otra persona la utilice para leer tu correo electrónico cifrado. Esta guía no cubre cómo revocar una clave, pero puedes seguir las instrucciones (en inglés). Una vez hayas realizado la revocación, envíale un correo electrónico a todas las personas con las que habitualmente utilizas tu clave para asegurarte de que lo sepan, incluyendo una copia de tu nueva clave pública.

"Webmail" y GnuPG

Cuando utilizas un navegador web para acceder a tu correo, estás utilizando "webmail", un programa de correo electrónico almacenado en un sitio web lejano. A diferencia con el "webmail", tu programa de correo electrónico de tu equipo se ejecuta en tu propio ordenador. Aunque "webmail" no puede descifrar correos cifrados, todavía te lo mostrará de forma cifrada. Si de manera principal utilizas el "webmail", sabrás cómo abrir tu cliente de correo cuando recibas un correo cifrado.

Haz que tus claves públicas sean parte de tu identidad en línea

Primero añade la huella digital de tu clave pública a tu firma de correo electrónico, luego redacta un correo electrónico a al menos cinco de tus amigos, diciéndoles que acabas de configurar GnuPG y mencionando la huella digital de tu clave pública. Añade un enlace a esta guía y pide que se unan a ti. No olvides que también hay una gran infografía para compartir.

Comienza a escribir la huella de tu clave pública en cualquier sitio en el que normalmente muestres tu dirección de correo electrónico: tus perfiles en redes sociales, blog, sitios web o tarjetas de empresa. En la Free Software Foundation, nosotros ponemos las nuestras en nuestra página de personal. Necesitamos llevar nuestra cultura al punto de que sintamos que algo falta cuando vemos una dirección de correo sin una huella digital de una clave pública.

¡Buen trabajo! Mira cuáles son los siguientes pasos.