[Tutorial Gpg4win] La herramienta con la que podrás enviar archivos de forma segura

Te hago una pregunta:

¿Cuántas veces has enviado o recibido material sensible para tus investigaciones (por email, por una app de mensajería, etc.)?

Seguro que muchísimas.

Pero, entre tú y yo, ¿has tomado siempre las debidas medidas de seguridad?

Porque como ya sabrás, ninguno de nosotros estamos exentos de que intercepten nuestras comunicaciones. Y si ocurriera, imagínate el problema en que te podrías meter…

Por eso te aconsejo que, si no lo estás haciendo ya, empieces a cifrar desde hoy mismo tus comunicaciones. Y para hacer justo eso tenemos herramientas como la protagonista de este post: Gpg4win.

Así que quédate conmigo y sigue leyendo, porque te voy a contar:

• Qué es Gpg4win y cómo funciona.
• Cómo encriptar y desencriptar un archivo o mensaje con esta herramienta.
• Cómo firmar un documento y verificar una firma de otra persona (para que nadie pueda suplantar tu identidad).

Después de aplicar este tutorial, tus mensajes no volverán a estar desprotegidos.

¡Empecemos! 😉

👉 Qué es Gpg4win y cómo «blinda» tus archivos

Antes de nada, veamos en qué consiste exactamente esta herramienta.

Gpg4win es un software de código abierto y gratuito que te permite enviar e-mails y archivos de forma segura con la ayuda de la encriptación y las firmas digitales. 

Esto puede sonar muy técnico de entrada y no decirnos mucho.

Así que te aclaro los conceptos básicos para que entiendas mejor cómo funciona:

• La encriptación: cifra un mensaje y protege su contenido para que nadie (que tú no desees) pueda leerlos. En otras palabras, garantiza la confidencialidad.
• La firma digital: con esto te aseguras de que el contenido que recibas realmente pertenece a la persona que te lo envía, y no a un tercero. Es decir, te permite verificar que el mensaje es auténtico.

Para conseguir esto, Gpg4win funciona con la criptografía de clave pública, también conocida como criptografía asimétrica o criptografía de dos claves.

Y aunque te dije que el tutorial iba a ser meramente práctico, conviene que comprendas esto para que te resulte más fácil usar la herramienta.

Vamos a verlo.

 

👉 Cómo funciona Gpg4win: la criptografía de clave pública

Veamos de forma sencilla cuál es la base del funcionamiento de esta herramienta.

 

✅ 1. Cifrar y descifrar un mensaje: cómo funciona la encriptación asimétrica

Nada más empezar a usar este programa generamos dos claves: una pública y otra privada. Estas claves (también llamadas «llaves») son las que nos permiten encriptar y desencriptar los mensajes.

Te explico con un ejemplo cómo se lleva esto a la práctica.

Supongamos que quieres enviarme un mensaje con información confidencial que no puede quedar expuesta.

¿Cómo lo harías con Gpg4win?

• Utilizas mi clave pública para cifrar el mensaje.
• Me lo envías y yo descifro ese mensaje usando mi clave privada.

Así es muy difícil que cualquier persona excepto yo pueda acceder al contenido del mensaje.

Para entender mejor esto se suele usar la analogía del buzón.

Si alguien conoce la dirección de tu casa (tu clave pública), puede introducir una carta en tu buzón. Una vez meta esa carta en el buzón ni él ni nadie podrá sacarla.

Serás tú, con la llave de tu buzón (tu clave privada) el único que podrá sacar la carta.

Dicho así suena mucho más sencillo, ¿verdad? 😉

 

✅  2. En qué consiste la firma digital con clave asimétrica

Ahora veamos de qué va eso de la firma digital con otro caso práctico.

Supongamos que, además de cifrar el mensaje, quiero hacerlo mucho más seguro y que la persona que lo reciba pueda comprobar que realmente el mensaje es mío.

En ese caso, lo que hago es firmarlo de forma digital y, para hacer eso, el programa usa mi clave privada.

Cuando recibes mi mensaje, para cerciorarte de que efectivamente yo soy quien lo envía, puedes comprobarlo usando mi clave pública.

Resumiendo:

• Para firmar un mensaje: usas tu clave privada.
• Para verificar el remitente de un mensaje: usas la clave pública de la persona que te lo envía.

Siguiendo con la analogía de la carta: si pones un sello personal en esa carta, la persona que lo reciba sabrá a ciencia cierta que eres tú quien la ha escrito.

 

👉 Tutorial paso a paso: Cómo instalar y usar Gpg4win para cifrar un archivo

Dejamos de lado la teoría y pasamos a la práctica: vamos a ver cómo usar todas las funcionalidades que te he explicado de Gpg4win.

Coge aire que empezamos.

 

✅ 1. Cómo descargar Gpg4win y ejecutarlo

Para descargarlo solo tienes que ir a su página oficial y hacer clic en el botón de descarga.

 

Te llevará a otra página donde te pide un donativo. Puedes elegir entre donar o simplemente hacer clic sobre “0$” y descargarte el software de forma gratuita.

Para instalarlo solo tienes que ir haciendo clic en «Siguiente». No tiene mayor complejidad.

En uno de estos pasos, te aparecerá una pantalla donde debes seleccionar los componentes de Gpg4win que quieres instalar.

 

✅ 2. Selecciona los componentes que quieres instalar

 

Te resumo brevemente para qué sirve cada uno:

• GnuPG: el software de encriptación y, por tanto, el corazón de Gpg4win, sin el cual no podría funcionar.
• Kleopatra: es la interfaz gráfica del software central, que nos permite usarlo de manera sencilla.
• GPA: un programa alternativo a Kleopatra que también nos sirve para gestionar los certificados.
• GpgEX: es una extensión que te permite firmar y cifrar (y verificar y descifrar) directamente haciendo clic derecho sobre el archivo, sin tener que subirlo a Kleopatra. Te recomiendo que la instales también porque facilita mucho el proceso.
• GpgOL: te permite firmar los e-mails directamente desde Outlook.
• Browser integration: una extensión más reciente que el resto que permite integrar Gpg4win con el navegador.

Aunque tanto GPA como Kleopatra te sirven para gestionar los certificados, en este tutorial voy a centrarme en Kleopatra (junto con GpgEX), ya que su interfaz es más intuitiva y «amigable» que GPA (el resto de componentes puedes instalarlos si quieres, pero no son imprescindibles para seguir el tutorial).

Una vez hayas seleccionado los componentes, haz clic en “Terminar” y ya tendrás Gpg4win instalado.

 

✅ 3. Cómo usar Gpg4win para cifrar y firmar tus mensajes

Ya tenemos Gpg4win en nuestro ordenador.

¿Y ahora?

Simplemente iniciamos Kleopatra y comenzamos.

 

➡️ A. Crear el par de claves (generar un certificado)

Al acceder a Kleopatra te aparecerá una interfaz como esta. 👇👇

 

Aquí es donde vamos a crear nuestras claves pública y privada (que son las que nos permitirán cifrar y descifrar los correos).

Para eso nos vamos a: Archivo > Nuevo par de claves > Crear un par de claves personales OpenPGP.

 

Introducimos nuestros datos y le damos a «Crear».

 

Para terminar de crear el par de llaves necesitas introducir una contraseña personal.

Un consejo: no uses la misma contraseña que utilizas para otras cuentas, y procura que sea larga y difícil de descifrar. Lo ideal es que incluya letras y números.

Para no olvidarte de ella, guárdala en un gestor de contraseñas como, por ejemplo, KeePassXC.

Una vez la tengas, haz clic en «Ok» y ya tendrás tu par de llaves creado.

 

Es interesante que antes de finalizar hagas una copia de respaldo de tus claves para tenerlas guardadas en tu equipo.

Le damos a finalizar y ya tendríamos nuestro certificado creado.

 

➡️ B. Exportar tu clave pública

Ahora nos metemos de lleno en faena, y para que te resulte más ameno y fácil de entender voy a usar un caso práctico con dos archiconocidos personajes ficticios.

Supongamos que Sherlock Holmes y el doctor Watson hubieran vivido en la época actual.

En este escenario, es muy probable que se hubieran comunicado usando Gpg4win para encriptar sus mensajes.

Así que vamos a ponernos, por unos instantes, en la piel de ese Sherlock Holmes del siglo XXI.

Queremos comunicarnos con Watson, pero para poder enviarle mensajes cifrados (y que él nos los envíe a nosotros) necesitaremos compartir nuestras respectivas claves públicas.

¿Cómo lo hacemos?

Fácil, haciendo clic derecho sobre el certificado previamente creado (aunque habíamos creado un certificado a nombre de Julián, para este ejemplo he creado un nuevo par de claves a nombre de Sherlock Holmes).

Hacemos clic en «Exportar».

 

Obtendremos un archivo como este.

Esa es nuestra llave pública, la cual deberemos enviar a Watson.

 

➡️ C. Importar la clave secreta de otra persona

Watson nos ha enviado a su vez su clave pública por correo electrónico.

La descargamos y hacemos doble clic sobre el archivo. Se nos abrirá una ventana como esta en Kleopatra.

 

 

Para confirmar que efectivamente se trata del certificado de Watson, le preguntaremos cuál es su huella digital (y así nos aseguramos de que no se nos ha infiltrado ningún hacker contratado por Moriarty haciéndose pasar por nuestro colega).

Al ver que coinciden le damos a «Certificado».

Ya tenemos la clave pública de Watson en nuestra pantalla de Kleopatra.

 

Como ves, en negrita aparecerán nuestros certificados, mientras que los certificados de otras personas que hayamos importado aparecen sin resaltar.

 

➡️ D. Firmar y cifrar un documento propio para enviarlo a alguien

El siguiente paso es cifrar un documento que hemos escrito en Word (con información confidencial y de vital importancia) que debemos enviar a Watson.

Para ello hacemos clic derecho sobre el archivo y hacemos clic en «Firmar y cifrar».

Nos dirigirá a una ventana como esta.

 

Escogemos firmar como Sherlock Holmes y lo ciframos para «Dr. Watson», que es a quien va dirigido y el único que queremos que vea el mensaje.

Hacemos clic en «Firmar y cifrar» y ya lo tendríamos. Nos aparecerá un archivo como este.

 

 

 

 

 

 

 

 

Ya se lo podemos mandar con total tranquilidad.

 

➡️ E. Desencriptar y verificar un archivo

Ahora Watson nos responde enviándonos otro archivo encriptado (el cual habrá cifrado siguiendo el mismo procedimiento que te he explicado antes).

¿Que queremos ver qué contiene?

Hacemos clic derecho en él, luego en «Descifrar y verificar» y esto es lo que obtenemos.

 

Ya que Watson firmó el archivo, el programa nos verifica que se trata de él. Cuando le demos al botón de «Save all«, tendremos el documento desencriptado en nuestro ordenador.

Listo para leerlo y a salvo de las garras de Moriarti y sus secuaces. 😉

👉 Empieza a usar Gpg4win y asegura tus mensajes

En este tutorial te he enseñado cómo utilizar las funciones básicas (y a mi parecer las más útiles) de este programa. Pero más allá de eso, te recomiendo que pruebes todas sus opciones por tu cuenta y experimentes con esta herramienta.

Tranquilo, que no te estoy dejando solo ante el peligro.

Algo que me gusta de Gpg4win, y especialmente de Kleopatra, es que es muy intuitivo, y una vez que le coges el truco es realmente fácil de usar.

Además, cuenta con un Compendium completísimo de 182 páginas donde se explica con detalle todas las funcionalidades de la herramienta (puedes encontrarlo en los recursos que te dejo al final de este post).

Por último, si tienes alguna duda o quieres aportar algo te animo a que uses el formulario que encontrarás más abajo para dejar tus comentarios.

Espero que esta información te haya resultado interesante.

Y recuerda que aquí en Ciberpatrulla puedes encontrar mucho más, como por ejemplo:

• Artículos sobre herramientas para la ciberseguridad y la investigación online.
• MASTERCLASS GRATUITA en la que aprenderás a extraer y verificar información de Internet.

Como decía Sherlock Holmes: ya conoces mis métodos, ahora aplícalos. 😉

 

Referencias:

• The Gpg4win Compendium.
• Gpg4win.org