La privacidad y la seguridad son preocupaciones apremiantes para todos nosotros en estos días – no pasa un día en el que no seamos bombardeados con titulares de noticias de seguridad sobre hacks, brechas y el aumento del almacenamiento y la vigilancia de la información personal sensible por parte de los gobiernos y las empresas.
Por suerte, en lo que respecta a la seguridad, los usuarios de Linux están mejor que sus homólogos que utilizan Windows o Mac. Linux ofrece ventajas de seguridad inherentes sobre los sistemas operativos propietarios debido a la transparencia de su código fuente abierto y a la revisión constante y exhaustiva a la que se somete este código por parte de una vibrante comunidad mundial. Aunque la transparencia del código fuente puede parecer al principio una pesadilla para la privacidad, en realidad es todo lo contrario. Como resultado de los «muchos ojos» que Linux tiene sobre su código en todo momento, las vulnerabilidades de seguridad se identifican y remedian muy rápidamente. Por el contrario, en los sistemas operativos propietarios como Windows o MacOS, el código fuente está oculto a los forasteros, es decir, los usuarios dependen de Microsoft o Apple para encontrar, corregir y divulgar las vulnerabilidades. Además, Linux es un objetivo relativamente impopular para los piratas informáticos debido a su reducida base de usuarios.
Aunque todas las «distros» de Linux -o versiones distribuidas del software de Linux- son seguras por diseño, algunas distros van más allá cuando se trata de proteger la privacidad y la seguridad de los usuarios. Hemos elaborado una lista de nuestras distribuciones de Linux excepcionalmente seguras y hemos hablado con algunos de sus principales desarrolladores para averiguar de primera mano qué es lo que hace que estas distribuciones sean tan buenas. Este artículo tiene como objetivo ayudarle a evaluar sus opciones y seleccionar la distribución que mejor se adapte a sus necesidades individuales.
¿Por qué elegir una distribución Linux segura especializada?
Aunque pasar de un sistema operativo propietario a una distribución Linux normal como Ubuntu, Fedora o Debian puede aumentar significativamente su privacidad en línea, también hay una amplia selección de distribuciones Linux especializadas disponibles para los usuarios con serias necesidades de privacidad, como los pentesters y los hackers éticos cuyo trabajo requiere que oculten su identidad en línea. Todas estas «distros Linux seguras» tienen un intenso enfoque en proporcionar a los usuarios la máxima seguridad, privacidad y anonimato en línea, y muchas de ellas incorporan tecnologías Tor y ofrecen una impresionante selección de herramientas de hacking, pentesting y forense digital. Como se puede imaginar, estas características y recursos tienen un valor incalculable a la hora de evaluar la infraestructura de seguridad de una organización o de realizar una auditoría de seguridad.
Cada distribución ofrece un conjunto único de características y beneficios diseñados para satisfacer las diferentes necesidades y prioridades de los usuarios. Sin embargo, estos beneficios vienen con algunas compensaciones. Los sistemas operativos y programas más populares suelen tener las protecciones de privacidad más débiles, pero también son compatibles con la mayoría de los sitios web y ofrecen el mayor soporte. Mientras que algunas distribuciones seguras de Linux son relativamente comunes y fáciles de usar, otras tienen una curva de aprendizaje empinada, especialmente para los usuarios menos conocedores de la tecnología.
Nuestras 7 mejores distribuciones de Linux para la seguridad, la privacidad y el anonimato
Qubes OS
Qubes OS es una opción ideal para los usuarios que buscan mitigar el riesgo mediante la compartimentación de su vida digital. Una característica clave de este sistema operativo es el confinamiento de las aplicaciones de alto riesgo en máquinas virtuales separadas. Se utilizan múltiples máquinas virtuales -o «Qubes»- para organizar y separar los sistemas en torno a «trabajo», «personal», «Internet», etc. Estos Qubes, que están convenientemente codificados por colores para ayudar a los usuarios a diferenciarlos, son altamente seguros y pueden ofrecer tranquilidad a los defensores de la privacidad en un entorno digital cada vez más invasivo. Como resultado de esta compartimentación, si usted descarga un malware en su máquina de trabajo, sus archivos personales no se verán afectados y viceversa.
La integración de varios Qubes es proporcionada por el Visor de Aplicaciones, que crea una ilusión para el usuario de que todas las aplicaciones del sistema se ejecutan de forma nativa en el escritorio – cuando en realidad están alojadas de forma aislada en Qubes separados. El gestor de dominio Dom0, que gestiona los discos virtuales de todas las demás máquinas virtuales, está aislado de la red para evitar ataques originados en una máquina virtual infectada.
En una conversación con los editores de LinuxSecurity, el director de la comunidad de Qubes OS, Andrew David Wong, explicó: «En lugar de intentar arreglar todos los fallos de seguridad del software, Qubes asume que todo el software tiene fallos y lo compartimenta en consecuencia, de modo que cuando los fallos son inevitablemente explotados, el daño es contenido y los datos más valiosos del usuario están protegidos.» Su enfoque de «Seguridad por Aislamiento» utilizando contenedores – alias «Qubes» – elimina la preocupación de los programas comprometidos.
Lo que hace que Qubes OS sea tan bueno:
- Su enfoque de «Seguridad por Aislamiento» utilizando contenedores – alias «Qubes» – elimina la preocupación de los programas comprometidos.
- Todos estos Qubes están integrados en un entorno de escritorio común y codificados por colores para ayudar a los usuarios a mantenerse organizados.
- Sandboxing protege los componentes del sistema.
- Qubes OS ofrece cifrado de disco completo para una máxima protección de los archivos.
Tails
Tails utiliza la red Tor, una red anunciada por sus beneficios de privacidad y anonimato, para mantener a los usuarios seguros en línea. Todas las conexiones se realizan a través de esta red, ocultando la ubicación de los usuarios y otra información privada. Tails viene con un navegador seguro, un cliente de correo electrónico seguro y otras herramientas de Internet seguras. Tails es la distro más conocida centrada en la privacidad, y una opción popular entre los entusiastas de la seguridad menos conocedores de la tecnología.
Un colaborador del Proyecto Tails explica: «Con Tails, cualquiera puede convertir cualquier ordenador en un entorno seguro libre de malware y capaz de eludir la censura».
Además de las propiedades de privacidad y anticensura de Tor, Tails empodera a los usuarios de todo el mundo desarrollando y distribuyendo un sistema operativo integrado y seguro que protege a los usuarios de la mayoría de las amenazas de vigilancia y censura por defecto. La distro proporciona un nivel de seguridad que las aplicaciones individuales son incapaces de alcanzar porque, en última instancia, dependen de la seguridad del sistema operativo subyacente.
El Proyecto Tails depende en gran medida de las donaciones y asociaciones para mantener su independencia y continuar sirviendo a la comunidad Linux.
Lo que hace que Tails sea tan bueno:
- Su estrecha integración con la red Tor garantiza el anonimato en línea.
- El navegador web incluido está preconfigurado para una máxima seguridad e incluye complementos como NoScript, Ublock Origin y HTTPS Everywhere.
- Los usuarios obtienen acceso a Onion Circuits, una valiosa herramienta que les permite ver cómo su PC atraviesa la red Tor.
- Tails viene con la herramienta de auditoría de redes inalámbricas Aircrack-NG.
- El SO está encriptado y diseñado para ejecutarse con total funcionalidad en una unidad USB.
- La distro cuenta con un monedero Bitcoin incorporado ideal para los usuarios que buscan hacer transacciones seguras de criptomonedas.
Kali Linux
Kali Linux es una distro de pentesting estándar de la industria. Es una de las distribuciones más populares entre los pentesters, los hackers éticos y los investigadores de seguridad de todo el mundo y contiene cientos de herramientas.
Un colaborador de Kali Linux ofrece algunos datos sobre la historia de la distribución y las ventajas que ofrece a los usuarios: «Nombrada en honor a una diosa hindú, Kali ha existido durante mucho tiempo – pero todavía se actualiza semanalmente, puede ejecutarse en modo vivo o instalarse en una unidad, y también se puede utilizar en dispositivos ARM como Raspberry Pi.»
¿Qué hace que Kali Linux sea tan genial?
- Kali Linux utiliza el cifrado de disco completo LUKS para proteger los datos sensibles de pentesting de la pérdida, la manipulación y el robo.
- Esta distro flexible ofrece una personalización completa con live-build.
- Los usuarios pueden automatizar y personalizar sus instalaciones de Kali Linux en la red.
- El modo «Forensics» hace que esta distro sea perfecta para el trabajo forense.
- Hay una suite de formación de Kaili Linux disponible llamada Kali Linux Dojo, donde los usuarios pueden aprender a personalizar su propia ISO de Kali y aprender los fundamentos del pentesting. Todos estos recursos están disponibles en el sitio web de Kali, de forma gratuita. Kali Linux también cuenta con un curso de pentesting de pago que puede realizarse en línea, con un examen de certificación de 24 horas. Una vez que apruebe este examen, será un pentester cualificado.
Parrot OS
Parrot OS puede considerarse un laboratorio totalmente portátil para una amplia gama de operaciones de ciberseguridad, desde el pentesting hasta la ingeniería inversa y el análisis forense digital, pero esta distribución basada en Debian también incluye todo lo que necesita para proteger sus datos y desarrollar su propio software.
Parrot OS se actualiza con frecuencia y ofrece a los usuarios una amplia selección de opciones de hardening y sandboxing. Las herramientas de la distro están diseñadas para ser compatibles con la mayoría de los dispositivos a través de tecnologías de contenerización como Docker o Podman. Parrot OS es muy ligero y se ejecuta sorprendentemente rápido en todas las máquinas – por lo que es una gran opción para los sistemas con hardware antiguo o recursos limitados.
¿Qué hace que Parrot OS sea tan bueno?
- La distro ofrece a los pentesters y expertos en forense digital lo mejor de ambos mundos – un «laboratorio» de última generación con un conjunto completo de herramientas acompañado de características de privacidad y seguridad estándar.
- Las aplicaciones que se ejecutan en Parrot OS están totalmente aisladas y protegidas.
- Parrot OS es rápido, ligero y compatible con la mayoría de los dispositivos.
BlackArch Linux
Esta popular distro de pentesting proviene de Arch Linux, y contiene más de 2.000 herramientas de hacking diferentes – lo que le permite utilizar lo que necesita sin tener que descargar nuevas herramientas. BlackArch Linux ofrece actualizaciones frecuentes y puede ejecutarse desde una memoria USB o un CD o instalarse en el ordenador.
BlackArch Linux es similar a Kali Linux y Parrot OS en el sentido de que puede grabarse en una ISO y ejecutarse como un sistema vivo, pero es única en el sentido de que no proporciona un entorno de escritorio. Sin embargo, esta prometedora distro ofrece una gran selección de gestores de ventanas preconfigurados.
¿Qué hace que BlackArch Linux sea tan bueno?
- BlackArch Linux ofrece una gran selección de herramientas de hacking y gestores de ventanas preconfigurados.
- La distro proporciona un instalador con la capacidad de construir desde el código fuente.
- Los usuarios pueden instalar herramientas de forma individual o en grupos con la característica de paquete modular.
Whonix
A veces el uso de un SO en vivo puede ser inconveniente – tienes que reiniciar tu máquina cada vez que quieres usarlo, lo cual es tedioso y consume tiempo. Sin embargo, al instalar un SO en tu disco duro, corres el riesgo de que el SO se vea comprometido. Whonix ofrece una solución a este predicamento – es una máquina virtual que funciona dentro del programa gratuito Virtualbox y tiene como objetivo proporcionar seguridad, privacidad y anonimato en Internet.
Esta distro basada en Debian opera en dos partes – la primera parte, conocida como el Gateway, enruta todas las conexiones a la red Tor. La segunda parte, conocida como la Estación de Trabajo, ejecuta las aplicaciones del usuario y puede comunicarse directamente sólo con la Puerta de Enlace. La VM de la Estación de Trabajo sólo puede «ver» direcciones IP en la LAN Interna, que son idénticas en cada instalación de Whonix. Por lo tanto, las aplicaciones de usuario no tienen conocimiento de la dirección IP real del usuario, ni tienen acceso a ninguna información sobre el hardware físico de la máquina en la que se está ejecutando el SO. Este diseño dividido permite al usuario permanecer completamente anónimo y mitiga el riesgo de fugas de DNS, que revelan información privada como su historial de navegación web.
Whonix ha añadido recientemente un modo amnésico en vivo que «olvida» las actividades del usuario, sin dejar rastros en el disco. La distro está trabajando actualmente para crear una experiencia de escritorio unificada. El desarrollador de Whonix, Patrick Schleizer, explica: «Nuestro próximo Whonix-Host extiende muchas de nuestras características de usabilidad y endurecimiento a todo el escritorio»
Whonix anima a los usuarios a proporcionar comentarios sobre su experiencia, y agradece sinceramente las donaciones y contribuciones para apoyar los esfuerzos en curso del proyecto.
¿Qué hace que Whonix sea tan bueno?
- Whonix viene con el Navegador Tor y la aplicación de mensajería instantánea Tox privacy – garantizando una navegación web y una mensajería instantánea totalmente anónimas.
- El SO emplea un innovador diseño de Anfitrión/Invitado para ocultar la identidad de los usuarios detrás del proxy anónimo y evitar las fugas de IP y DNS.
- La distro cuenta con correo electrónico PGP preconfigurado de Mozilla Thunderbird.
- Linux Kernel Runtime Guard (LKRG), un módulo del kernel que realiza una comprobación de la integridad en tiempo de ejecución del kernel de Linux para detectar vulnerabilidades y exploits de seguridad, se puede instalar fácilmente en Whonix.
Openwall GNU/*/Linux (Owl)
Openwall GNU/*/Linux (o Owl para abreviar) es una pequeña distro mejorada en seguridad para servidores con software Linux y GNU en su núcleo, actualmente utilizada sólo como modelo de investigación para lo que debería ser la base de una distribución segura. Owl forma parte del proyecto Openwall, que actualmente ofrece una selección de proyectos y servicios activos. Openwall fue efectivamente fundado en 1996 (pero bajo su nombre actual en 1999) por el renombrado desarrollador de seguridad ruso Alexander Peslyak, más conocido como Solar Designer, quien es famoso por sus investigaciones y publicaciones sobre técnicas de explotación y protección de la seguridad informática.
Para garantizar la máxima seguridad, Owl combina varios enfoques para reducir el número y/o el impacto de las vulnerabilidades en sus componentes de software y el impacto de los fallos en el software de terceros que un usuario pueda instalar. El enfoque principal es la revisión proactiva y exhaustiva del código fuente en busca de múltiples clases de vulnerabilidades de seguridad. Otros enfoques clave son la aplicación coherente del principio de mínimo privilegio y la introducción de la separación de privilegios. Owl también utilizó criptografía fuerte dentro de sus componentes principales, a diferencia de muchas otras distros en ese momento, e incluye la aplicación de políticas de seguridad a través de la comprobación proactiva de contraseñas, el control de acceso basado en la dirección de red y la comprobación de la integridad, entre otras valiosas capacidades.
Una característica distintiva de Owl es que la distro no tiene binarios SUID accesibles para el usuario, y sin embargo es totalmente funcional. Owl fue también una de las primeras distribuciones en ofrecer virtualización de contenedores fuera de la caja, utilizando OpenVZ.
Hemos incluido Owl en este artículo a pesar de que la distro está actualmente en pausa debido al importante papel que Owl ha jugado en la comunidad de seguridad de código abierto desde su inicio. Dicho esto, los nuevos usuarios deben ser cautelosos al seleccionar Owl y otras distros que ya no están siendo desarrolladas, a menos que lo vean como una oportunidad educativa o tengan la intención de tomar prestado el código y/o las ideas del proyecto.
Creemos que todavía hay espacio en la comunidad de seguridad para otra distro como Owl que puede ser usada como base para construir sistemas seguros usando herramientas originadas en el Proyecto Openwall incluyendo John the Ripper, Linux Kernel Runtime Guard, y varias técnicas de hashing de contraseñas.
¿Qué hace a Owl tan grande?
- Owl proporcionaba compatibilidad con la mayoría de las distros Linux/GNU de la época, y podía ser vista como una base sólida para construir un sistema.
- La distro proporcionaba un entorno de construcción completo capaz de reconstruir un sistema entero con sólo un simple comando – «make buildworld».
- La revisión proactiva del código fuente defiende contra múltiples clases de vulnerabilidades de seguridad.
- La distro aplica consistentemente el principio de mínimo privilegio y la separación de privilegios.
- Los componentes centrales de Owl están protegidos con criptografía fuerte.
- Las políticas de seguridad se aplican con la comprobación proactiva de contraseñas, el control de acceso basado en direcciones de red, la comprobación de la integridad y otras capacidades.
- Owl ofrece virtualización de contenedores fuera de la caja.
- La distro es completamente funcional, a pesar de no tener binarios SUID accesibles para el usuario.
Lea más sobre los conceptos detrás de Openwall.
Gracias a Solar Designer por corregir varios problemas clave con la sección Openwall GNU/*/Linux (Owl) de una versión anterior de este artículo.
El resultado final
Es evidente que Linux ofrece una amplia variedad de opciones de distro para pentesters, desarrolladores de software, investigadores de seguridad y usuarios con una mayor preocupación por su seguridad y privacidad en línea. Elegir la mejor distro de Linux para sus propias necesidades de privacidad es un acto de equilibrio – cada disto ofrece un balance diferente de privacidad vs. conveniencia.
En función de sus necesidades y preocupaciones específicas, es probable que una (o muchas) de las distribuciones descritas anteriormente puedan ser una gran opción para usted – ofreciendo las herramientas y capacidades que está buscando en una distribución, así como la tranquilidad de que su sistema es seguro y su privacidad está protegida en este panorama de amenazas digitales modernas en rápida evolución.