Las mejores distribuciones GNU/Linux enfocadas en privacidad y seguridad

El impresionante sistema operativo GNU/Linux es software libre, lo que significa que posee infinitas posibilidades de crear programas y distros completamente transparentes para que el usuario trabaje con la tranquilidad de que miles de personas escrutan el código en busca de vulnerabilidades. Y en un mundo cibernético de tecnologías cada vez más avanzadas, los delincuentes, desde simples hackers como gobiernos y empresas llevan a cabo cribados profundos para, unas veces obtener información de tus movimientos de cara a enviarte spam, otras para minería, y espionaje del gobierno o entidades tan peligrosas como la NSA.

Pero los usuarios conscientes de lo necesario que es la seguridad estarán encantados de saber que también hay varias distribuciones de GNU/Linux diseñadas específicamente para la privacidad, y otras veces para detectar posibles vulnerabilidades. Estas distros pueden ayudar a mantener tus datos seguros a través de la encriptación o cifrado y operando en un modo ‘Live’ donde no se escriben datos en tu disco duro en uso.
Otras distribuciones se centran en las pruebas de penetración (pen-testing). Estas vienen con herramientas realmente utilizadas por los hackers que puedes utilizar para probar la seguridad de tu red. En este artículo, vamos a destacar un listado de las mejores ofertas cuando se trata de privacidad, prevención de vulnerabilidad y seguridad.

BlackArch Linux

Esta distribución de pen-testing está basada en Arch Linux, lo que puede ser una buena o mala noticia dependiendo de lo familiarizado que estés con tu sistema operativo madre. Aunque relativamente nuevo, este sistema operativo contiene más de 2.000 herramientas de hacking diferentes, lo que te ahorra la molestia de tener que descargar lo que necesitas cada vez.

La distribución se actualiza constantemente, con nuevas imágenes ISO que se publican trimestralmente. Estas son muy grandes en tamaño (actualmente 11GB) debido a la cantidad de programas preinstalados, pero ten en cuenta que también hay una versión mucho más pequeña de Netinstall que tiene sólo alrededor de 620MB.

BlackArch puede ejecutarse en vivo desde una memoria USB o CD, o instalarse en un ordenador o máquina virtual. Incluso se puede instalar en una Raspberry Pi para darte un dispositivo portátil de pruebas que puedes llevar a cualquier parte.

La categoría ‘anti-forense’ es particularmente digna de mención, ya que contiene herramientas para escanear la memoria en busca de contraseñas a dispositivos encriptados. Esto ayuda a proteger tu máquina de un ataque de ‘arranque en frío’.

Discreete Linux

Esta distribución intencionalmente mal escrita es la sucesora de la impresionante Remix de Ubuntu Privacy. El sistema operativo no es compatible con el hardware de red ni con los discos duros internos, por lo que todos los datos se almacenan sin conexión en la memoria RAM o en una memoria USB. Puede ejecutarse en modo Live, pero al arrancar desde un volumen también te permite almacenar algunas de tus configuraciones en un ‘Cryptobox’ cifrado.

Discreete Linux está comprometido principalmente con el desarrollo transparente y el software libre.

Otra característica inteligente es que los módulos del núcleo sólo se pueden instalar si han sido firmados digitalmente por el equipo de Discreete Linux. Esto evita que los hackers intenten introducir malware a escondidas. Ten en cuenta que este sistema operativo se encontraba hace dos años en estado beta pero actualmente parece un proyecto estable.

Heads

Algunas de las distribuciones de este listado es posible que hayan colado alguna herramienta que no sea software libre, pero con Heads podemos estar tranquilos porque sus aplicaciones y herramientas son 100% libres.

Heads es una distribución de GNU/Linux Live dirigida a personas a las que les gusta el aspecto de controlar su privacidad y anonimato en Internet. Puede que hayas oído hablar de Tails como una distribución similar de GNU/Linux. Heads nació como una respuesta a Tails, ya que Tails utiliza systemd como sistema de inicio. Otra cosa importante es que Heads usa sólo software libre, mientras que Tails sigue usando algún software que no es explícitamente libre. El software no libre no puede ser auditado y como tal no puede garantizar su seguridad o anonimato. Por otro lado, con Heads sólo se utiliza software libre, lo que significa que se puede acceder a cualquier código fuente incluido en Heads, en cualquier momento.

Heads utiliza un núcleo de Linux reforzado y desbloqueado. Lo hace usando un núcleo de Linux parcheado con grsecurity. Como grsecurity ya no redistribuye su parche libremente, Heads usa los puertos de reenvío del último parche disponible públicamente. El desbloqueo del kernel se hace usando scripts del Kernel linux-libre.

IprediaOS

Este sistema operativo orientado a la privacidad está basado en Fedora y puede ejecutarse en modo Live o instalarse en un disco duro. Así como Tails, enruta todas tus conexiones a través de la red Tor para anonimizar tu conexión, Ipredia enruta todo tu tráfico de red a través de la red I2P anónima.
Esto se conoce como “enrutamiento garlic”, un proceso mediante el cual I2P establece túneles cifrados unidireccionales para proteger tus datos. Esto es teóricamente mucho más seguro que el “enrutamiento de cebolla” de Tor que transmite datos sobre ‘circuitos’ establecidos, lo que significa que pueden ser objeto de vigilancia.

Las características incluyen correo electrónico anónimo, cliente BitTorrent y la posibilidad de navegar por sitios web (dominios especiales con la extensión .i2p). A diferencia de Tor, I2P no actúa como una puerta de entrada a la Internet normal, por lo que Ipredia no puede acceder con seguridad a los sitios web regulares.

La ventaja de acceder únicamente a sitios web es que tu conexión es realmente imposible de rastrear. Como I2P está diseñado específicamente para servicios ‘ocultos’, las velocidades de conexión y descarga son generalmente mucho más rápidas que el enrutamiento a través de Tor como hace TAILS.

Por tanto, esta distribución es quizás para usuarios algo paranoicos o simplemente para aquellos celosos de su privacidad.

JonDo/Tor-Secure

JonDo Live-DVD es más o menos una solución de anonimato que funciona de manera similar a la de Tor, dado el hecho de que también enruta sus paquetes a través de “servidores mixtos” especificados – JonDonym – (nodos en el caso de Tor) que se vuelven a cifrar cada vez.

Es una alternativa viable a TAILS especialmente si estás buscando algo con una interfaz de usuario menos restrictiva (mientras aún es un sistema vivo) y una experiencia de usuario cercana a la media.

La distribución está basada en Debian y también incluye un surtido de herramientas de privacidad y otras aplicaciones de uso común.

JonDo Live-DVD es, sin embargo, un servicio premium (para uso comercial) lo que explica por qué está dirigido al espacio comercial, como empresas. Como Tails, no soporta ninguna forma nativa de guardar archivos y va un poco más allá al afirmar que ofrece a los usuarios una mejor velocidad de computación.

Kali

Nombrada en honor a la diosa hindú, Kali es una de las distribuciones de pruebas más antiguas y conocidas. La página de descarga de Kali ofrece ISOs que se actualizan semanalmente y que pueden ejecutarse en modo en vivo o instalarse en una unidad. Kali también funcionará felizmente en dispositivos ARM como Raspberry Pi.

La reputación de Kali es tan formidable que sus creadores ofrecen formación a través del Dojo de Kali Linux. Las lecciones incluyen la personalización de tu propio ISO de Kali Linux y el aprendizaje de los fundamentos de las pruebas con pen-testing. Para aquellos que no puedan asistir a la formación, todos los recursos educativos de las clases están disponibles en el sitio web de Kali de forma gratuita.

Cualquier persona interesada en una carrera en Seguridad de la Información también puede participar en los cursos de prueba de penetración pagados de Kali, que tienen lugar en línea y son autodidácticos. Hay un examen de certificación de 24 horas que, si se aprueba, te convertirá en un probador de penetración calificado.

Kali tiene una enorme cantidad de herramientas y muchas son para especialistas, por lo que se convierte en una distribución enfocada especialmente para ellos.

Kodachi

Linux Kodachi es una distribución basada en Debian que puede ejecutarse desde un DVD o USB. Filtra todo el tráfico de la red a través de una VPN y la red Tor, ensombreciendo la ubicación de red del usuario. La distribución intenta borrar sus propias huellas removiendo rastros del uso del ordenador.

Todas las conexiones a Internet están obligadas a pasar por la red VPN y luego por la red Tor con cifrado DNS.

No dejas ningún rastro en el ordenador que estés usando a menos que lo pidas explícitamente. Utiliza las herramientas criptográficas y de privacidad más avanzadas para cifrar tus archivos, correos electrónicos y mensajería instantánea.

Kodachi está basado en el sólido Debian con XFCE personalizado, esto hace que Kodachi sea estable, seguro, y con una vista única.

Parrot Security OS

Esta distribución de pruebas nos llega del equipo italiano Frozenbox. Al igual que Kali y BlackArch, clasifica las herramientas para facilitar el acceso e incluso tiene una sección para las que se utilizan con más frecuencia.

Parrot se basa en Debian Testing, la rama de pruebas de este sistema operativo, por lo que puede que tenga problemas de estabilidad. Sin embargo, ten en cuenta que la rama Testing de Debian no suele ser dar muchas sorpresas negativas. Con un entorno de escritorio vistoso y colorido, sus requisitos de hardware son bastante más exigentes que los de otras distribuciones de pruebas como Kali.

Se recomienda un mínimo de 4 GB de RAM. Si no tienes la RAM que necesita, puedes ir con la edición ‘Lite’ de Parrot Security OS y elegir instalar y ejecutar sólo los programas que necesites.

Para aquellos con recursos mínimos, Parrot Cloud es una versión especial de la distribución diseñada específicamente para ejecutarse en un servidor. No tiene gráficos, pero contiene una serie de herramientas de red y forenses que permiten realizar pruebas de forma remota. Para los que tienen un presupuesto muy ajustado, hay incluso una versión experimental disponible para Raspberry Pi.

Qubes OS

Qube OS es una distribución extremadamente segura, pero sólo para usuarios avanzados. El sistema utiliza sandboxing para proteger los componentes del sistema

Aunque definitivamente no es para usuarios principiantes, Qubes es una de las distribuciones más respetuosas con la privacidad. El instalador gráfico debe ser usado para instalar el sistema operativo en tu disco duro, el cual será cifrado.

Qubes OS utiliza el Hipervisor Xen para ejecutar una serie de máquinas virtuales, dividiendo tu vida en “personal”, “trabajo”, “Internet”, etc., por motivos de seguridad. Esto significa que si, por ejemplo, descargas accidentalmente malware en tu equipo de trabajo, tus archivos personales no se verán comprometidos.

El escritorio principal utiliza ventanas con códigos de colores para mostrar las diferentes máquinas virtuales, lo que te permite distinguirlas fácilmente.

Subgraph OS

El sistema operativo Subgraph está basado en Debian GNU/Linux y está diseñado para ofrecer una seguridad ultra estricta. El kernel ha sido endurecido con una serie de mejoras de seguridad, y Subgraph también crea ‘sandboxes’ virtuales alrededor de aplicaciones de riesgo como navegadores web.

Un firewall especializado también enruta todas las conexiones salientes a través de la red anónima de Tor. Cada aplicación tiene que ser aprobada manualmente por el usuario para conectarse a la red, y para acceder a los sandboxings de otras aplicaciones.

En abril de 2017, Joanna Rutkowska, la creadora de Qubes, junto con el investigador de seguridad Micah Lee, fueron capaces de eludir la seguridad de Subgraph ejecutando una aplicación maliciosa en el gestor de archivos del Nautilus, que no está protegida por un sandboxing.

Este ataque también funcionaría en otras distribuciones orientadas a la privacidad como Tails. El equipo de Subgraph todavía tiene que desarrollar un parche para esta hazaña, pero ha señalado que el sistema operativo está todavía en la etapa alfa de desarrollo.

Esta distribución está diseñada para ser instalada en un disco duro. El cifrado de su sistema de archivos es obligatorio, lo que significa que no hay peligro de escribir datos no cifrados en ningún sitio. Como ya se ha mencionado, Subgraph está todavía en fase de prueba, por lo que no confíes en él para proteger ningún dato realmente sensible (y como siempre, mantén copias de seguridad periódicas).

Subgraph OS es la distribución que usaba Eduard Snowden antes de ser detenido y encarcelado por la mafia internacional.

Tails

Tails (que significa ‘The Amnesiac Incognito Live System’) es probablemente la distribución centrada en la privacidad más conocida. Puede ejecutarse desde un DVD en modo Live, por lo que se carga completamente en la RAM del sistema y no deja rastro de tu actividad. El sistema operativo también se puede utilizar en modo “persistente”, en el que la configuración se puede almacenar en una memoria USB cifrada. Todas las conexiones se enrutan a través de la red Tor, que oculta tu ubicación. Las aplicaciones de Tails también han sido cuidadosamente seleccionadas para mejorar tu privacidad – por ejemplo, está el gestor de contraseñas KeePassX y Paperkey, una herramienta de línea de comandos utilizada para exportar claves secretas OpenPGP e imprimirlas en papel, aunque se echan en falta más herramientas. También hay un pequeño número de aplicaciones de productividad como Mozilla Thunderbird y la poderosa suite LibreOffice.

Puedes instalar más aplicaciones desde los repositorios de Debian a través de la línea de órdenes, pero tardarán algún tiempo en descargarse a medida que pasen por la red Tor.

Ten en cuenta que las vulnerabilidades se descubren constantemente con Tails, así que asegúrate de buscar actualizaciones (como deberías hacer con cualquier sistema operativo, por supuesto).

TENS

Nuestra próxima oferta es TENS (Trusted End Node Security). Anteriormente conocida como LPS (Lightweight Portable Security), esta distribución de GNU/Linux ha sido diseñada por la Fuerza Aérea de los Estados Unidos y cuenta con la aprobación de la NSA.

La versión pública de TENS está específicamente diseñada para ejecutarse en modo Live, lo que significa que cualquier malware se elimina al reiniciar/apagar el PC. Incluye un conjunto mínimo de aplicaciones, pero también hay una versión ‘Public Deluxe’ que viene con aplicaciones extras, algunas de ellas privativas por lo que no os aconsejo esa versión. Todas las versiones incluyen un cortafuegos personalizable, y también vale la pena tener en cuenta que este sistema operativo es compatible con el inicio de sesión mediante tarjeta inteligente.

Whonix

Arrancar un sistema operativo Live es una molestia, ya que tienes que reiniciar tu máquina, mientras que instalarlo en un disco duro significa que existe el riesgo de que te veas comprometido. Whonix ofrece un elegante compromiso al estar diseñado para funcionar como una máquina virtual dentro del programa Virtualbox.

Whonix se divide en dos partes. La primera, ‘Gateway’, enruta todas las conexiones a la red Tor para la segunda parte, ‘Workstation’. Esto reduce enormemente la posibilidad de que se produzcan fugas de DNS que pueden utilizarse para controlar los sitios web que visitas.
El sistema operativo tiene una serie de características que tienen en cuenta la privacidad. Estas incluyen aplicaciones incluidas como el Navegador Tor y Tox instant messenger.

Como funciona en una máquina virtual, Whonix es compatible con todos los sistemas operativos que pueden ejecutar Virtualbox. Las máquinas virtuales sólo pueden utilizar una parte de los recursos de tu sistema real, por lo que Whonix no funcionará tan rápido como un sistema operativo que se hayas instalado en un disco duro local.

Fuente: maslinux