Entrevista a Bofh

Mastodon: @admin@masto.nogafam.es

Servicios nogafam

Empezamos de nuevo con las entrevistas, esta vez le toca a Bofh, admin de los servicios nogafam que amablemente ha accedido a responder mis preguntas para que lo conozcamos un poco mejor y poder servir de ayuda a otras personas.

1.– Hola Bofh. Cuentanos algo sobre ti, lo que consideres oportuno para que se te conozca un poco: trabajo, conocimientos, país o ciudad, etc.

Trabajo en una empresa que trabaja con Software Libre y con sistemas GNU Linux y es una suerte, la verdad.

Mis conocimientos son amplios en todos los aspectos de IT, pero actualmente trabajo en departamento de Sistemas (networking, instalacion, devops, mantenimiento).

También trabajé como desarrollador porque al final tengo esos estudios, los de sistemas Linux han sido todo auto-aprendizaje. Soy lo que se conoce como full-stack.

Vivo en Bilbao, Pais Vasco, donde también se alojan mis servidores y servicios.

2.– ¿Como empezaste a preocuparte por la privacidad y seguridad informática y qué sistemas operativos usas o has usado hasta ahora?, tengo entendido que no usas un smartphone.

No hace mucho, en realidad. Hay gente que lleva más tiempo preocupandose por eso... Concretamente fue hace algo más de un año y medio, pero la intensidad con la que he vivido el cambio ha sido tan grande y he aprendido tanto, técnica y humanamente, sobre la privacidad... Los movimientos justos y humanitarios siempre han sido mi preocupación, simplemente desconocía las consecuencias que tiene utilizar GAFAM. Aunque llevo usando GNU Linux mucho tiempo, yo mismo fuí una persona que usaba smartphone y tenía de todo de Google, YouTube, Twitter, Spotify, también jugaba en Windows, etc, etc.

El cambio ha sido abismal!, mi novia, la cual me acompaña desde hace ya muchos años, ha vivido (y sufrido) el cambio bastante, pero en el fondo sabe que es lo que me hace feliz.

Primeramente utilizaba Ubuntu, y he hecho un poco de distro-hopping hasta que instalé simplemente Debian.

Smartphone dejé de usar porque acceder a un portatil medianamente muchisimo más libre es más sencillo y asequible para las personas que un Smartphone. En ese momento no veía ninguna salida a utilizar un Smartphone, cuando veía que incluso las alternativas como Lineage OS no eran suficientes para mí. Incluso me planteé seriamente comprar un Smartphone viejo que permitiese instalar Postmarket OS (un sistema para móviles 100% GNU Linux), compré el smartphone por internet y nunca llegó...

Estuve sin móvil un mes entero y me dije: “estoy bien, si ni necesito smartphone...”. Y así es como finalmente decidí no tener smartphone nunca más.

Ahora existen alternativas buenas (y las conozco), pero sinceramente no tengo ni siquiera la necesidad de usar uno.

3.– Actualmente, ¿qué sistema operativo usas en tu ordenador y por qué?, ¿cuales has usado anteriormente?

Empecé usando Ubuntu, luego hice algunas pruebas de distros, pero generalmente cambiaba de Desktop más que de Distro..., finalmente me casé con Debian y con el escritorio de i3, un escritorio ultra eficiente (100MB aproximadamente sin nada más abierto) y para personas muy técnicas.

4.– ¿Qué opinas de los que intentan demonizar el uso de Tor Browser u otras redes privadas y cómo sueles usarlo tu?, ¿usas también el sistema Tails desde un pendrive usb o cualquier otro?

Solo digo que navegar sin JavaScript con la red Tor es lo más privado a lo que alguien podria acceder en un internet ultra-vigilado.

Lo bueno de Tor es que viaja por muchas fronteras y de esta forma se aprovecha de las diferencias geopoliticas que puedan tener compañias ISP o gobiernos, y así, te puede asegurar que en muchas ocasiones no va estar la misma entidad vigilando el trafico en el mismo punto de entrada y salida de la red. En este caso, hacer timing-attacks (ataques pasivos que consisten en analizar trafico y tiempos) se hace bastante más inviable.

Tor Browser es más privado que navegar sin más, por tanto ¿por qué no usarlo?

5.– Sé que intentas concienciar a otras personas de la importancia de la privacidad y que ofreces muchos servicios gratuitos para ello, ¿crees que hoy en día las personas están abiertas a aumentar su privacidad o que sin embargo ya se han rendido a cambio de disponer de los últimos juguetes tecnológicos?. Puedes comentar sobre los servicios que ofreces aquí también si quieres.

Hay de todo.

Los hay que, como el cambio climatico, creen que no va con ellos y que su móvil es lo mejor del mundo. Generalmente se dan estos comportamientos en personas con faltas de afecto y apoyo, donde su móvil suele suplir ese confort y “objeto” que está ahí cuando el resto no lo está. También porque permite comunicarse con sus seres queridos.

Si a esas personas les dices que su móvil le espía en todo lo que hace y que compañías monopolísticas están haciendo millones a costa de muchisimos usuarios incluido él/ella, suelen tomarlo con bastante rechazo y no les sienta nada bien, ya que su único “objeto” en el que confían es su “compañero de vida”, ¿Verdad?.

Es un problema de psicología, yo no soy psicólogo pero puedo ver patrones de que la gente que ha rechazado la idea de la vigilancia de sus teléfonos/sistemas normalmente están faltos de afecto y de personas que los apoyen en su día a día.

He tratado con personas que les preocupa la privacidad, pero tienen una visión de preocupación por la privacidad muy del año 2000. Solo les preocupa que no se sepa su nombre y apellidos, DNI o número de cuenta, y no se dan cuenta que esa información es tan privada que la ley les obliga a protegerla muy bien y no venderla.

Sin embargo, no existe ley que proteja de la recolecta de datos de uso de aplicaciones y otros datos con sensores y hardware de los dispositivos móviles, tales como el GPS, cámara, micrófono.

Hay mucha gente que les preocupa lo del GPS solo, otros solo la cámara y otros solo el micrófono, etc...

Todos estos comportamientos demuestran que la privacidad es importantísima pero estas personas no tienen a alguien que les guíe de forma adecuada para conseguirla.

También he tratado con personas que les preocupa mucho su privacidad en todo, y siempre estoy dispuesto a ofrecer mis conocimientos y ayuda a esas personas para que puedan, no solo paliar sus preocupaciones, sino tambien darles mayor privacidad de verdad. Eso sí, muchos/as no quieren prescindir de cosas como Facebook, WhatsApp, Instagram... que si te fijas bien, son cosas sólo de Facebook. Ahí es cuando te das cuenta lo cancerígeno hongo oportunista que es Facebook para el mundo.

Normalmente, no ponen muchas pegas a dejar de usar Google Drive o servicios de ese tipo sustituyéndolos por nubes privadas como Nextcloud, pero otra cosa que no suelen querer dejar de usar es YouTube y el buscador de Google. Ahí vemos también en qué campos se mueve Google pisando a la competencia.

6.– ¿Ves posible evitar el rastreo por parte de las diferentes agencias de seguridad o tu enfoque sobre la seguridad y la privacidad va más orientado contra empresas privadas, de publicidad, spammers y otros especimenes?

Evitar el rastreo de agencias de seguridad nacional es una cosa política y legal. Podemos luchar para intentar influir en nuestros políticos y que cambien cosas al respeto, pero lo dicho... siempre hay que tener muy claro cual es tu amenaza (thread model) y tomar respectivas medidas en cada caso.

Mi intención es evitar el Capitalismo de Vigilancia, el cual es gran razón por la que los gobiernos y servicios de seguridad nacional lo tienen más fácil para espiar a todo el mundo, es una pescadilla que se muerde la cola.

Se debe eliminar o disminuir el capitalismo de vigilancia, ya que generalmente cualquier tipo de capitalismo proliferado acaba en monopolio, es nuestra responsabilidad ser conscientes para intentar eliminar esta nueva cepa de un virus que sin embargo, lleva existiendo mucho tiempo.

7.– ¿Usas actualmente redes libres y/o propietarias?, ¿algún consejo a los que nos leen sobre qué redes libres podrían usar?

Solo utilizo redes libres, dejé todas las redes propietarias como resultado de mi cambio. Actualmente existen opciones:

– Mastodon reemplaza a Twitter sin lugar a dudas, y es totalmente viable para la gente que quiere tener una red para estar informado/a de cosas, es el referente de las redes libres y el fediverso (federated universe).

– Pixelfed (en lugar de Instagram) promete, pero actualmente no está considerado preparado al 100% para uso en producción y uso para usuarios. Además hay apps en desarrollo pero todavía les queda.

– Friendica es del fediverso también y es como Facebook. Tengo pendiente instalar una instancia y probarla, pero tengo entendido que funciona bastante bien también!

– PeerTube para reemplazar YouTube no se puede aún, pero sí para aportar cosas nuevas y diferentes a la gente. No es que se debiera dejar de usar una cosa para usar otra, pero sí que se debería dar oportunidad y apoyo a PeerTube, es una red de vídeos que además federa con las otras como Mastodon, lo que significa que puedes seguir los vídeos de alguien desde tu red libre favorita, sea la que sea. Para creadores de contenido es una herramienta fantástica y las versiones más nuevas ya permiten hacer Streaming (con OBS, por ejemplo), con lo cual es una opción genial para todo eso! Solo recordar que es gratis y libre, pero no es gratis para los/as administradores/as que dan el servicio, por tanto, aportar de la manera que podais es importantísimo.

8.– ¿Sueles usar alguna VPN, solo Tor, o ambas según para qué razón?, ¿alguna otra red?

Uso VPN para conectarme a mi red de servidores desde fuera, que es para lo que se diseñó una VPN (Virtual Private Network).

Privacidad con VPN es una mera ilusión, me parece en general bastante absurdo, para eso estan redes como Tor o I2P.

En mi caso, para navegar la world wide web en general, uso Tor única y exclusivamente.

9.– ¿Crees importante la donación a proyectos de seguridad, privacidad y software libre?, ¿sueles recibir tu mismo muchas donaciones?

¡Es muy importante!

Aunque en mi caso, tengo trabajo y no vivo de mis servicios sino al revés, mis servicios viven de mi.

El equipamiento ya lo tenía antes de ofrecer mis servicios, pero sí es verdad que no hay que pagar tanto los recursos sino la tarea de mantenimiento y moderación que supone tener estos servicios. En el mantenimiento se incluye actualizar el software libre de los servicios para mantener la seguridad, hacer copias de seguridad (backups), atender a necesidades de los/as usuarios/as, añadir nuevos servicios, etc...

Recibí unas donaciones agradecidas el día que anuncié que tenía PayPal disponible y LiberaPay. Desde entonces, muy pocas, pero anunciado está en mi perfil, por lo tanto ya es decisión de las personas donar si creen que mis servicios les son importantes y/o imprescindibles en su vida.

Generalmente no diría que donen a las personas que simplemente están probando estos servicios, ya que aparte de libres son gratis para que puedan hacer el cambio y competir con el capitalismo de vigilancia (GAFAM). Una vez que lo usen mucho, sí que pediría que sea cual sea el servicio que usan, donen de vez en cuando, cada 2/3 meses lo que consideren ellos/as, al final, GAFAM hace mucho dinero de los

datos de la gente y nosotros hacemos dinero única y exclusivamente de las donaciones (o pagos por servicios privados, si se ofrecen).

10.– ¿Eres seguidor de la filosofía del software libre o te conformas con el opensource o código abierto?

Totalmente seguidor de la filosofía, a mí no me vale open source que no respeta las libertades de sus usuarios/as. Aunque, he de decir que generalmente, el software open source sí respeta estas libertades, ya que el software libre también es Open Source.

11.– ¿Qué medidas tomas al navegar por internet?. ¿Te proteges contra scripts como javascript y otros, contra la publicidad, el rastreo y el fingerprinting o evitar en lo posible tu huella digital?. ¿Qué navegadores usas en tu ordenador?, ¿usas extensiones en los mismos?

Para internet uso Tor Browser con nivel de seguridad al máximo (sin nada de JavaScript), si lo merece y/o puedo confiar y es necesario, habilito JavaScript para X o Y página. Uso Mozilla Firefox con las extensiones que también incluye Tor Browser, las cuales son imprescindibles para navegar con seguridad y/o privacidad en la World Wide Web. Estos son: NoScript y HTTPSEverywhere.

12.– Quizás no debería preguntarte sobre esto porque está clara la respuesta por tu mismo dominio, pero cuentanos algo más:

¿Qué opinas de las GAFAM (Google, Apple, Facebook, Amazon y Microsoft)?, ¿no crees que debes dejar que cada persona use lo que desee?

Te mentiría si te digo que no pasa nada por utilizar GAFAM, no es así, por supuesto que la gente debería de dejar de utilizar completamente cualquier cosa propietaria y/o que vulnere sus derechos.

Pero, debe haber transición y como en prácticamente todo en la vida, la gente tiene que querer hacerlo, y para ello solo se puede concienciar. El problema es que es una cepa nueva de capitalismo, y hay que intentar minimizarla, porque erradicarla al 100% no creo que se pueda. La vacuna para este virus que se hace más fuerte cuanto más gente sucumbe, es la voluntad de querer cambiar tus hábitos de uso tecnológico. Aparte de erradicar el capitalismo de vigilancia, usar Software Libre generalmente te dota de un uso más responsable de la tecnología.

Y esto debe aplicar a TODOS los campos, tu trabajo, tu uso personal, el uso en escuelas... En todo debe usarse Software Libre, pero no olvidar que lo hacen y sustentan personas que también tienen que comer :)

Tengo que añadir, que GAFAM (las compañias que forman las siglas) son los nombres detrás de este problema, pero no se puede cambiar nada solo demonizando estas compañías.

Para cambiar algo, se debe en cierta medida demonizar los nombres que están contribuyendo grandemente al mal del capitalismo de vigilancia, pero también se debe esforzar mucho por ayudar y ofrecer alternativas y no solo como un reemplazo, sino para una oportunidad de utilizar algo diferente que también sea “guay”. Nuestras energias para cambiar esto deben estar centradas en lo positivo que es utilizar estas herramientas/servicios/redes libres, y nunca olvidar que aunque respeto a la gente que utiliza GAFAM (generalmente porque ignora que existe otra cosa, lo cual es normal) deben tener claro que no es bueno.

13.– ¿Tomas alguna medida de protección en cuanto a las DNS que usas en internet?, ¿alguna recomendación?

No, uso el DNS de mis ISP. Cuanto más “forward” se haga de una petición DNS, más privacidad tendrás. Si haces las peticiones DNS a los servidores más usados como 8.8.8.8 (Google) o 1.1.1.1 (CloudFlare) directamente, no hay saltos y tu petición es directamente desde la IP de quien te ofrece el servicio de Internet. Al final, el DNS es tráfico en texto plano y no forma parte del problema de capitalismo de vigilancia, es otro tipo de problema de privacidad.

Generalmente, el problema de los hábitos de navegación es el navegador que utilices. Google Chrome es todo software propietario y no puedes asegurar que no almacene las direcciones que accedes y las envía cuando entras a utilizarlo. Además, Google Chrome para Android solo deja utilizar Google como buscador y no es posible mejorar la privacidad con extensiones como en Mozilla Firefox para Android, por ejemplo.

Recuerda, que Google generalmente pone por encima en los resultados de búsqueda las páginas que contienen sus trackers con JavaScript, por mucho que uses otro DNS no te va salvar de ese rastreo. Y no todo son trackers, sino scripts “legítimos” como fuentes de google fonts o videos de YouTube embedidos que utilizan muchas Webs sin pensar que cuando un usuario visita su web, le está diciendo a Google quién (por cookies), desde dónde, cuándo, ha visitado X página.

La web no es un lugar seguro si no te proteges, generalmente frente a scripts y recursos de terceros, donde suelen estar Google, Facebook, Ads de Amazon, y muchos otros compradores/vendedores desconocidos de datos que trafican con los GAFAM.

14.– ¿Crees que el email ha cumplido ya su función y que hoy en día es más necesario algo sencillo y seguro como apps de mensajería, o lo usas y proteges tu conexión de alguna forma?

El email es algo que tiene todo el mundo, y sin duda es para mí una opción para comunicarme con personas que no tienen cuentas en herramientas libres como Matrix o XMPP. Por supuesto, siempre digo que es mejor utilizar herramientas más modernas como la comunicación instantánea de Matrix o XMPP en lugar de email, pero siempre es una vía de inicio o alternativa cuando no existe otra.

Sin embargo, cuando quiero enviar un email, hago una “query” DNS al dominio para obtener un registro que se llama MX, el cual contiene el/los dominio/s de internet que manejan los correos electrónicos para ese dominio. Siempre miro a quien pertenecen esos servicios para saber qué nivel de privacidad tienen mis mensajes y adecuar la información a este nivel de privacidad o quizás decidir si mandar o no un e-mail.

¿Por qué lo hago? bueno, hay gente que utiliza directamente @gmail.com y eso está claro que es Google. Pero hay otras personas que utilizan GSuite y su dominio propio, que también es de Google pero no termina en @gmail.com.

En este caso los correos sigue leyéndolos Google, que es lo que importa. Lo mismo Google que Outlook (Microsoft) o cualquier bicho oportunista de GAFAM.

15.– ¿Usas solo tus propios servicios desde tu ordenador o usas algún otro online, ¿cómo proteges la información y qué servicio/os usas normalmente?. ¿No ves peligroso que puedan hackear tus servicios en casa cuando hoy en día salen vulnerabilidades nuevas o 0-days casi diarios?

Solo uso un email de Protonmail para cosas que no puedo utilizar mi dominio @nogafam.es, usando email propio tienes bastante privacidad pero también hay que asegurarse que el (dominio) destinatario de tus mensajes también sea de confianza.

Tengo mi propio servidor de email por la soberania de datos de mis emails, y también para utilizarlo para los registros en servicios para usuarios/as en nogafam.es

Mis servidores están en una red protegida por otro enrutador antes que los servidores de mis servicios. Esto hace que añadiendo un dispositivo delante y creando otra red, no le afecten muchisimas vulnerabilidades que puedan desempeñarse en la capa 2 de comunicaciones TCP/IP, ya que al filtrarse estos, la capa mínima es la 3. En ese caso las vulnerabilidades 0-days no me preocupan en exceso, un virus en mi router no es un virus en mi red o mis servidores. Todo el cifrado HTTPS de los servicios web de nogafam.es se desempeña en el servidor core, que está bastante decentemente protegido bajo la configuración que he comentado.

Ataques de denegación a mis servicios imagino que es posible que se puedan hacer, nunca me ha hecho nadie ninguno. También es posible que mi router del ISP tenga funciones para evitar los ataques de denegación más típicos. Si lo hace alguien algun día, aparte de ser muy

muy triste, quedarán registros en mis servidores y siempre se puede analizar el ataque y determinar una posible fuente. Lo bueno de no ganar dinero con tus servicios (más allá de donaciones) es que no eres el enemigo de nadie. Además, mis usuarios/as saben que si los servicios no funcionan determinados minutos/horas, no va ser el fin del mundo para ellos/as tampoco... Es el “riesgo” que conlleva la soberania de datos, no soy Google, no me preocupa en exceso.

16.– ¿Qué programa usas para realizar videoconferencias desde tu ordenador?

Jitsi Meet, mi instancia jitsi.nogafam.es con el navegador Mozilla Firefox.

En ocasiones he llegado hasta a convencer a compañeros de trabajo de que no es necesaría mi participación en reuniones de trabajo con tal de no utilizar por ejemplo, Microsoft Teams.

Oponeos a utilizar herramientas que no respeten la privacidad como Zoom, Google Meet, Microsoft Teams siempre que podais.

17.– ¿Estás metido en el mundo de las criptomonedas?. Si es así, ¿cual sueles usar o tradear?

Metido solo para las donaciones (las que me puedan hacer y las que pueda hacer yo), uso BTC (Bitcoin) y LTC (LiteCoin), tengo planes de ampliar el uso a más para permitir más opciones de donaciones, pero por ahora no más que esas.

18.– Cuéntanos un poco sobre algunas medidas de seguridad que uses y con qué programa: ¿2FA, gestor de contraseñas, configuración especial de tu router?, etc...

2FA la verdad que no, uso contraseñas aleatorias largas que protejo muy bien con un gestor de contraseñas libre, y por terminal (comandos).

Mis medidas de seguridad en los equipos son mantener el minimo software y dependencias posibles instalados en mi sistema, y si algo se puede ejecutar en docker, lo hago en docker por la mayor isolación del sistema original que provee. Estas medidas son muy técnicas y requiere de alto nivel de conocimiento, no las recomiendo a nadie que tenga nivel de usuario.

Existen alternativas muy buenas de gestor de contraseñas libres que no son para terminal, pero, ya saben que los frikis hacemos todo por consola. Solo un consejo: haced copias de vuestro almacenamiento de contraseñas!

A la gente que sea usuaria, mi única recomendación es siempre actualizar los sistemas, pensar en limitar la cantidad de programas/apps que utilicen, y sobre todo intentar con sus mayores fuerzas que no sean programas/apps privativas, incluso si usan Windows, también hay software libre para Windows por increible o contradictorio que pudiera parecer.

Un ejemplo claro de software libre bueno para Windows, es LibreOffice. LibreOffice hizo y hace un gran trabajo para parecerse a MS Office y que no cueste nada cambiar a utilizarlo.

No recomiendo usar Windows, pero respeto que la gente pueda querer usarlo. Solo tener en cuenta que desde Windows 10 (incluído), los sistemas ya incluyen telemetría y que la propía naturaleza privativa de Windows es la que es.

Lo bueno de usar Software Libre, incluso en Windows, es que si en algún momento deseas pasar a usar GNU Linux, vas a tener los mismos programas, prácticamente.

19.– Por último, ¿vas a continuar ofreciendo tus servicios por mucho tiempo?. ¿Vas a ampliar tu hardware o equipos para ello?

Sí, en principio todavía no ando escaso de recursos y ya voy limitando un poquito lo que puedo de mis servicios, de cara a ofrecer cosas buenas para intentar no morir de éxito de ninguna forma y darle una muy larga vida a mis servicios.

Estoy pensando en añadir un nodo más a mi red, para posiblemente albergar más servicios, o incluso servicios privados de gente que quiera pagarme para alojar sus servicios (como Nextcloud privado o Matrix, XMPP, lo que sea), por supuesto siempre teniendo en cuenta que mi conexion ISP es buena pero no a prueba de balas e “infalible” como parecen los servicios de GAFAM.

20.– Gracias por ofrecerte para esta entrevista Bofh, y espero que mis lectores puedan conocerte un poco mejor. ¿Quieres añadir algo más?

Quiero añadir que el capitalismo de vigilancia se lucha con la voluntad de las personas, el capitalismo consciente no necesariamente tiene que ser malo, saber en qué invertir tu dinero (o ahora, tus datos), ha sido siempre el referente para una sociedad algo más justa.

Comercio local, pagar a técnicos IT para privacidad, son cosas que debemos ir normalizando.

Y no, no es lo mismo pagar a GAFAM con tus datos que pagar a una humilde persona para que mejore tu privacidad.

Seguramente incluso siendo así, acabes pagando muchisimo menos que con tus datos.

Por un mundo tecnológico más justo, sumérgete en el mundo del software y las redes libres! :) Es maravilloso.

Proxied content from gemini://c3po.aljadra.xyz/bofh.gmi

Gemini request details:

Original URL
gemini://c3po.aljadra.xyz/bofh.gmi
Status code
Success
Meta
text/gemini;lang=es-ES
Proxied by
kineto

Be advised that no attempt was made to verify the remote SSL certificate.