Enigmail y OpenPGP para Thunderbird (Windows) – Correo electrónico seguro
Si necesitas enviar mensajes de correo electrónico seguros, te explicamos a continuación como hacerlo con unas herramientas de software libre que te permitiran encriptar tus correos electrónicos usando en gestor de correo Thunderbird. Se trata de las aplicaciones Enigmail y GPG para Thunderbird.
Enigmail es un complemento de Thunderbird que te permite acceder a las funciones de encriptación de GnuPG desde dentro de Thunderbird.
GNU Privacy Guard (GnuPG or GPG) es un software de encriptación libre y de código abierto elaborado por el Proyecto GNU. Cumple con el estándar OpenPGP y fue diseñado para interoperar con Pretty Good Privacy (PGP, o privacidad bastante buena), un equivalente comercial elaborado por Phil Zimmermann y está a cargo de Symantec.
GnuPG depende de una forma de criptografía de clave pública que requiere que cada usuario genere su propio par de claves. Este par de claves se puede usar para encriptar, desencriptar y firmar contenido digital como mensajes de correo electrónico.
Este par de claves consisten en una clave privada y una clave pública:
La clave privada es extremadamente sensible. Cualquiera que haya conseguido una copia de esta clave podrá leer contenido encriptado que estaba dirigido solamente a ti. También podría firmar mensajes para que parezca que vienen de ti. Tu clave privada está encriptada en sí misma con una contraseña que escogerás cuando generes tu par de claves. Debes escoger una contraseña fuerte y cuidar que nadie tenga acceso a tu clave privada. Usarás tu clave privada para desencriptar mensajes que te envíen quienes tengan una copia de tu clave pública.
La clave pública está diseñada para que la compartas con otros y no se puede usar para leer un mensaje encriptado ni para falsificar uno firmado. Una vez que tengas la clave pública de una persona, puedes empezar a enviarle mensajes encriptados. Esa persona es la única que podrá desencriptar y leer esos mensajes porque nadie más tiene acceso a la clave privada que encaja con la clave pública que estás usando para encriptarlos. De manera similar, para que alguien te envíe correo encriptado, debe obtener una copia de tu clave pública. Es importante verificar que la clave pública que estás usando para encriptar correo electrónico realmente pertenece a la persona con quien estás tratando de comunicarte. Si tú o tu la persona con quien te comunicas sois engañadas para encriptar correo electrónico con la clave pública equivocada, la conversación no será segura.
GnuPG y Enigmail también te permiten adjuntar firmas digitales a tus mensajes. Si firmas un mensaje usando tu clave privada, cualquier destinatario con una copia de tu clave pública puede verificar que fue enviada por ti y que su contenido no ha sido adulterado. De manera similar, si tienes una clave pública de la persona con quien te comunicas, puedes verificar sus firmas digitales.
1 Instalar GnuPG y Enigmail
En esta sección te guiamos para la instalación de GnuPG y Enigmail.
1.1 Instalar GnuPG
Para instalar GnuPG, sigue los pasos que te detallamos a continuación:
Paso 1. Ve a la página de descarga de Gpg4win en https://www.gpg4win.org/.
Paso 2. Haz clic en [Descargar Gpg4win].
Paso 3. Haz clic en [Gpg4win x.x.x], selecciona la publicación más reciente.
Paso 4. Haz clic en [Guardar archivo] para descargar Gpg4win.
Paso 5. Haz clic con el botón derecho en el archivo descargado de gpg4win y elige [Abrir].
Paso 6. Elige un idioma para la configuración de Gpg4win.
Paso 7. Haz clic en [Siguiente] para empezar el proceso de instalación de Gpg4win.
Paso 8. Lee el Acuerdo de licencia y haz clic en [Siguiente].
Paso 9. Elige qué funciones de Gpg4win quieres instalar. Las opciones por defecto están bien.
Paso 10. Elige la ubicación donde quieres instalar Gpg4win y elige [Siguiente].
Paso 11. Escoge una carpeta de menú de inicio para los accesos directos de Gpg4win, haz clic en [Siguiente] para empezar a instalar Gpg4win.
Paso 12. Haz clic en [Terminar] para completar el proceso de instalación de Gpg4win.
1.2 Instalar Enigmail
Para instalar Enigmail, sigue los pasos que te detallamos a continuación:
Paso 1. Inicia Thunderbird e inicia sesión en tu cuenta.
Paso 2. Haz clic en .
Paso 3. Elige [Complementos] para abrir el Administrador de complementos.
Paso 4. Escribe [Enigmail] en el campo de búsqueda en la esquina superior derecha del Administrador de complementos y presiona Aceptar.
Paso 5. Haz clic en [Instalar] al lado de la línea de Enigmail para empezar a instalar el complemento. Cuando Thunderbird haya terminado de instalar el complemento, te lo dirá.
Paso 6. Haz clic en [Reiniciar ahora] para reiniciar Thunderbird y completar la instalación de Enigmail. Cuando Thunderbird se reinicie, se abrirá automáticamente el Asistente de configuración de Enigmail, a través del cual puedes generar claves de encrptación.
2 Generar las claves de encriptación y configurar Enigmail
2.1 Generar las claves de encriptación
Para generar un par de claves de GnuPG, debes hacer lo siguiente:
Paso 1. Haz clic en y elige [Enigmail > Asistente de configuración]. Esto abrirá el Asistente de configuración de GnuPG.
Paso 2. Elige [Iniciar configuración ahora] y haz clic en [Siguiente].
Paso 3. Elige [Prefiero una configuración estándar (recomendado para principiantes)] y haz clic en [Siguiente].
Paso 4. Escoge una contraseña fuerte y escríbela en los dos campos que te piden la contraseña:
Nota importante: Esta contraseña se usará para encriptar tu clave privada, que es lo que te permite firmar los correos electrónicos que envías y desencriptar los correos electrónicos que recibes. No debes compartirla con nadie. Por eso, es importante que escojas una contraseña fuerte y que no la olvides.
Paso 5. Haz clic en [Siguiente] para generar una par de claves de encriptación. Espera hasta que la generación de la clave se haya completado.
Cuando Enigmail haya terminado de generar tu par de claves de GnuPG, te lo dirá, y aparecerá un botón de Generar un certificado de revocación.
Debes generar un certificado de revocación para que puedas dar a conocer a otros cuando una clave en particular ya no sea válida. Eso puede pasar si:
- Dejas de usar un par de claves
- Pierdes una clave privada
- Olvidas la contraseña de una clave privada
- Sospechas que una clave privada ha dejado de ser segura o si se ha compartido con otros
- Es particularmente importante que generes un certificado de revocación si piensas cargar tu clave pública a un servidor de claves. No hay otra manera de «borrar» una clave una vez que la hayas cargado, y no es conveniente tener claves que hayan dejado de ser seguras dando vueltas en un servidor de claves generando confusión entre las personas.
Paso 6. Haz clic en [Crear Certificado de Revocación].
Paso 7. Escribe la contraseña que escogiste el crear tu par de claves de GnuPG.
Paso 8. Escoge un nombre y ubicación para el archivo de tu certificado de revocación.
Paso 9. Haz clic en [Guardar] para mostrar la advertencia de Enigmail sobre la importancia de mantener seguro tu certificado de revocación.
Paso 10. Haz clic en [OK] para regresar al Asistente de configuración.
Paso 11. Haz clic en [Siguiente] para completar el proceso de generación de clave.
Paso 12. Haz clic en [Terminar] para salir del Asistente de configuración y regresar a Thunderbird.
2.2 Configurar Enigmail para que funcione con tu cuenta de correo electrónico
Debes habilitar Enigmail para cada cuenta de correo electrónico que tengas en Thunderbird en la que quieras usarlo para enviar y recibir correo electrónico encriptado GnuPG. Para hacerlo, sigue los pasos a continuación.
Paso 1. Haz clic en y elige [Opciones > Configuraciones de cuenta].
Esto abrirá la pantalla de Configuraciones de cuenta.
Paso 2. Haz clic en [OpenPGP Security] debajo de la cuenta con la que quieres enviar y recibir correo electrónico encriptado.
Esta pantalla te permite configurar diversas preferencias de Enigmail relacionadas con la encriptación de correo electrónico. Si has generado tu par de claves de GnuPG siguiendo las instrucciones de la sección anterior – antes de agregar una sola cuenta a Thunderbird – esta cuenta ya debería estar configurada para funcionar con Enigmail. También debe estar enlazada con el par de claves que generaste. Si no es así, sigue con el Paso 3, de abajo. Si es así, puedes saltar hasta el Paso 6.
Paso 3. Marca el recuadro al lado de [Habilitar OpenPGP para que opere con (Enigmail) para esta identidad].
Paso 4. Haz clic en [Elegir clave…] para abrir la ventana de Elige clave OpenPGP para encriptación.
Paso 5. Elige el par de claves que quieres usar para esta cuenta de correo electrónico.
Paso 6. Haz cilc en [Elegir claves…] para enlazar este par de claves con esta cuenta de correo electrónico y regresar a la pantalla de configuración de OpenPGP Security.
Paso 7. Marcar el recuadro [Usar PGP/MIME por defecto]. Con este recuadro marcado, Enigmail tiene mejor capacidad para encriptar adjuntos de correos electrónicos, incluidos los nombres de sus archivos.
Paso 8. Marca el recuadro [firmar mensajes encriptados]. Con este recuadro marcado, Enigmail firmará digitalmente todo correo electrónico encriptado enviado a través de esta cuenta a menos que indiques específicamente que no lo haga. Los mensajes sin encriptar quedarán sin firmar por defecto.
Paso 9. Haz clic en [OK] para regresar a Thunderbird.
2.3 VER Y ADMINISTRAR LAS PROPIEDADES DE TU CLAVE
Una vez que hayas generado tu par de claves de GnuPG y configurado tu cuenta de correo electrónico para que funcione con Enigmail, puedes ver y administrar las propiedades de tu par de claves siguiendo los pasos a continuación.
Paso 1. Haz clic en y elige [Enigmail > Administración de claves].
Esto activará tu pantalla de Administración de claves de Enigmail.
Paso 2. Haz doble clic en el nombre de tu par de claves para ver o editar sus propiedades.
La ventana de Propiedades de la clave muestra información importante tu par de claves de GnuPG:
- Identificación de clave: La identificación de clave que se muestra abajo para ekaterina@riseup.net es 0x89CD0FFB (esto corresponde a los ocho últimos dígitos de la huella digital de la clave completa de abajo).
- Huella digital de la clave: La huella digital de la clave para el mismo par de claves es 8614 C809 3DDF F5D3 756A 8308 F391 86F1 89CD 0FFB. Tu huella digital de la clave no es algo que debas mantener en secreto. En realidad, se debe compartir.
- Fecha de expiración: Este par de claves no funcionará después del 30 de mayo del 2021.
Antes de que otros puedan enviarte correo electrónico encriptado, deben tener una copia de tu clave pública. Puedes saber más sobre compartir claves en la Sección 3. La huella digital de tu clave es una parte importante de cómo otros pueden estar seguros de que la clave que tienen en realmente tuya. Analizamos la verificación de claves en la Sección 4.4.
(Opcional) Cambiar la fecha de expiración de un par de claves
Si necesitas cambiar la fecha de expiración de tu par de claves de GnuPG, sigue los pasos a continuación. Esto es más útil como una manera de extender una fecha de expiración, a medida que se acerca, si necesitas más tiempo para generar un nuevo par de claves e informar a las personas con quienes te comunicas usando correo electrónico encriptado.
Paso 1. Haz clic en [Cambiar] al lado de la fecha de expiración de tu par de claves.
Esto activará la pantalla de cambiar fecha de expiración que se muestra abajo.
Nota: El número de años que se muestra en la parte de abajo de la pantalla no necesariamente coincide con la fecha de expiración actual. Si haces clic en [OK] sin cambiar nada, puedes reducir temporalmente la duración de tu par de claves.
Paso 2. Escribe la cantidad de años, empezando desde hoy, que quisieras que este par de claves funcionara.
Paso 3. Haz clic en [OK] para escribir la contraseña de tu clave privada.
Paso 4. Escribe tu contraseña.
Paso 5. Haz clic en [OK] para cambiar la fecha de expiración de tu par de claves de GnuPG.
(Opcional) Cambiar la contrasenya de una clave privada
Recomendamos cambiar tu contraseña de vez en cuando, solamente en caso de que haya sido puesta en peligro sin tu conocimiento. Si quieres cambiar la contraseña que protege tu clave privada, sigue los pasos a continuación.
Paso 1. Haz clic en [Elige acción…] y elige [Cambiar contraseña].
Paso 2. Escribe la contraseña actual para tu clave privada.
Paso 3. Haz clic en [OK].
Paso 4. Escribe tu nueva contraseña y haz clic en [OK].
Paso 5. Vuelve a escribir tu nueva contraseña y haz clic en [OK].
Ya has cambiado la contraseña para tu clave privada.
3 INTERCAMBIAR CLAVES PÚBLICAS
Antes de que puedas empezar a enviar correos electrónicos encriptados a otras personas, tú y la personas con quienes te escribes debéis intercambiar claves públicas. También debes confirmar la validez de cualquier clave que hayas recibido y confirmar que realmente pertenece a la persona que crees que la envió.
3.1 Enviar tu clave pública como adjunto de correo electrónico
Para enviar una clave pública usando Enigmail, tú y la persona con quien te escribes deberéis llevar a cabo los siguientes pasos:
Paso 1. Abre Thunderbird y haz clic en [Escribir] para escribir un correo electrónico.
Paso 2. Elige [Enigmail > Adjuntar clave pública…]. (Alternativamente, haz clic en el botón de [Adjuntar mi clave pública] encima de tu dirección de correo electrónico, omite los pasos siguientes y ve directamente al paso 4.)
Paso 3. Elige la clave que quieras enviar (por lo general, la que está asociada con la cuenta de correo electrónico que estás usando actualmente).
Paso 4. Haz clic en [Enviar]. Tu clave no aparecerá como adjunto hasta justo antes de que se envíe el correo electrónico.
Paso 5. Escribe tu contraseña de GnuPG y presiona Aceptar si así se indica.
3.2 Importar una clave pública adjunta a un correo electrónico
Tú y la persona con quien te escribes debéis seguir los pasos a continuación para importar las claves públicas del otro.
Una clave pública adjunta debe estar visible en la esquina inferior izquierda del correo electrónico en el que se envió:
Paso 1. Haz clic derecho en el adjunto y elige [Importar clave de OpenPGP] para importar la clave pública de la persona con quien te escribes.
Paso 2. Haz clic en [Sí] para importar la clave pública de la persona con quien te escribes.
Paso 3. Haz clic en [OK] para cerrar la ventana que dice que la(s) clave(s) se importaron satisfactoriamente.
Paso 4. Haz clic en y elige [Enigmail > Administración de claves].
Ahora debes poder ver la clave pública de la persona con quien te escribes:
4 Validar y firmar claves públicas
Ahora debes verificar que la clave que has importado realmente pertenece a la persona que crees que te la envió. Este es un proceso que tú (y las personas con quienes te escribes) debéis completar para cada clave pública que recibáis. Cuando verifiques la clave, la firmarás para que GnuPG sepa que es válida.
4.1 Validar la clave pública de otra persona
Para validar la clave pública de la persona con quien te escribes, contácta con ella usando un medio de comunicación que te permita estar absolutamente seguro de que estás hablando con la persona correcta. Las reuniones en persona son mejores, pero las conferencias de voz y video son aceptables si confías en reconocer la voz o el aspecto de la otra persona. Esta conversación no tiene que ser confidencial, en tanto te abstengas de discutir temas delicados. Vas a intercambiar huellas digitales de claves públicas que no necesitan mantenerse en secreto.
Tú y la persona con quien te escribes debéis verificar las huellas digitales de las claves públicas que os habéis intercambiado. Una huella digital es una serie única de números y letras que identifica un par de claves de GnuPG. Puedes usar la pantalla de Administración de claves de Enigmail para ver la huella digital de los pares de claves que has generado y de las claves públicas que has importado.
Para ver la huella digital de un par de claves particular, sigue los pasos a continuación.
Paso 1. Haz clic en y elige [Enigmail > Administración de claves].
Paso 2. Haz doble clic en un par de claves para abrir la ventana de Propiedades de claves de Enigmail.
En la ventana Propiedades de claves, podrás ver la huella digital del par de claves. elegido. Por ejemplo. la huella digital de ekaterina@riseup.net es 8614 C809 3DDF F5D3 756A 8303 F391 86F1 89CD 0FFB.
La persona con quien te escribes debe realizar también estos pasos. Entonces, para verificar huellas digitales:
- Lee la huella digital de tu par de claves a la persona con quien te escribes
- Haz que verifique que las huellas digitales que tiene para tu clave pública coincidan con las que acabas de darle
- Haz que la persona con quien te escribes te lea su huella digital para su par de claves
- Verifica que la huella digital que tú tienes para su clave pública coincida con la que te acaba de dar
- Si las huellas digitales no coinciden, intercambiad claves públicas de nuevo y repetid el proceso.
Nota: Como las propias huellas digitales de la claves no son sensibles, fácilmente puedes escribir la huella digital que te lea la persona con quien te escribes. Después, cuando tengas más tiempo, puedes verificar que coincida con la huella digital que tú tienes para su clave pública usando la pantalla de Administración de claves de Enigmail (también es por eso que algunas personas imprimen sus huellas digitales GnuPG en sus tarjetas de presentación).
4.2 Firmar la clave pública de otra persona
Una vez que hayas verificado la clave de alguien con quien te escribes, debes firmarla. Esto le dirá a Enigmail que recuerde que consideras válida esta clave.
Importante: Si firmas la clave pública de otra persona y haces que la copia firmada de su clave esté disponible públicamente, se puede dar a conocer fácilmente que intercambias información delicada con esa persona. Para evitar que eso ocurra por accidente, marca siempre el recuadro Firma local cuando firmes la clave pública de una persona con quien te escribas.
Puedes firmar una clave pública validada sigiuendo los pasos a continuación.
Paso 1. Haz clic en y elige [Enigmail > Administración de claves].
Paso 2. Haz clic derecho en la clave pública que quieres firmar y elige [Firmar clave].
Paso 3. Asegúrate de que tu par de claves esté seleccionado al lado de Clave para firmar.
Paso 4. Haz clic en [He hecho una revisión muy cuidadosa].
Nota: Otras opciones (como No he revisado para nada) pueden no permitirte enviar mensajes encriptados al dueño de esta clave. Y, debido a un fallo en Enigmail, puede ser difícil cambiar esta configuración después. Por tanto, recomendamos que siempre elijas He hecho una revisión muy cuidadosa al firmar en la clave pública de la persona con quien te escribes.
Paso 5. Marca el recuadro [Firma local (no puede ser exportada)].
Importante: A menos que confíes mucho en GnuPG – y sepas con certeza que el dueño de esta clave pública quiere que su firma sea pública – debes marcar este recuadro.
Paso 6. Haz clic en [OK].
Paso 7. Escribe la contraseña de tu clave privada.
Paso 8. Haz clic en [OK] para firmar esta clave pública. Esto le dirá a Enigmail que has verificado la identidad de su propietario, lo que te permitirá enviarle correo electrónico encriptado.
5 Encriptar y desencriptar mensajes de correo electrónico
GnuPG solamente protege el contenido de correo electrónico y adjuntos que encriptes. La siguiente información nunca está encriptada:
- La línea de Asunto
- La dirección de correo electrónico del remitente
- Las direcciones de correo electrónico de los destinatarios
- Todo nombre real que se pueda asociar con remitentes y destinatarios (Elena S. Katerina <ekaterina@riseup.net>, por ejemplo)
- Además, si configuras Enigmail para usar Inline PGP en lugar de PGP/MIME, los nombres de archivos de los adjuntos que envíes quedarán sin encriptar.
Por lo tanto, es importante escoger con cuidado las líneas del asunto, evalúa crear una clave de GnuPG al menos para una cuenta de correo electrónico que no incluya tu nombre real y usa siempre PGP/MIME.
Finalmente, cuando envíes correo electrónico encriptado, una copia — encriptada a tu clave pública — se colocará en tu carpeta Correo enviado.
5.1 Enviar correo electrónico encriptado
Una vez que tú y la persona con quien te escribes hayáis importado, validado y firmado satisfactoriamente las claves públicas del otro, podéis empezar a intercambiar mensajes encriptados.
Puedes encriptar el contenido de tu mensajes de correo electrónico siguiendo los pasos a continuación:
Paso 1. En Thunderbird, haz clic en [Escribir] y redacta un correo electrónico a un destinatario para quien hayas firmado una clave publica.
Importante: El botón del candado (que indica que tu mensaje estará encriptado) y el botón del lápiz (que indica que tu mensaje estará firmado) se deben encender en cuanto hayas escrito una dirección de correo electrónico para el que tengas una clave pública válida y firmada. También debes ver «Este mensaje estará firmado y encriptado» hacia la esquina superior derecha de la ventana. Esto es porque:
- Por defecto, Enigmail encripta automáticamente el correo electrónico para personas con quienes te escribas para quienes tengas una clave pública válida
- Hemos activado firmar mensajes encriptados, debajo de [Configuraciones de cuenta > Seguridad de OpenPGP] en una sección anterior.
Puedes elegir no encriptar ni firmar un mensaje inhabilitando los botones del candado o el lápiz antes de hacer clic en [Enviar] (también puedes configurar Thunderbird para enviar correo electrónico no encriptado por defecto. Esta opción está debajo de las Configuraciones manuales de encriptación en la pestaña de Enviar del menú de preferencias de Enigmail).
Paso 2. Haz clic en Enigmail en la barra de menú de la ventana Redactar.
Paso 3. Marca el recuadro de Encriptar mensaje.
Paso 4. Marca el recuadro Firmar mensaje.
Cuando hayas escrito una dirección en Para: para quien tienes una clave pública verificada, deberá aparecer el siguiente mensaje en la ventana superior derecha de la ventana:
Paso 5. Haz clic en [Enviar].
Paso 6. Escribe la contraseña de tu clave privada.
Paso 7. Haz clic en [OK] para enviar tu mensaje (encriptado y firmado).
5.2 Desencriptar un correo electrónico de otra persona
Cuando haces clic en un mensaje encriptado, Enigmail te pedirá la contraseña de tu clave privada para que puedas desencriptar el mensaje. Escribe tu contraseña y haz clic en [Abrir].
Enigmail mostrará algo de información en la parte de arriba del mensaje. En la figura de arriba, por ejemplo, «Mensaje desencriptado; Firma buena de Mansour» te dice:
El mensaje fue encriptado usando tu clave pública (lo que puede hacer cualquiera)
- Lo has desencriptado satisfactoriamente
- Lo firmó alguien con la clave privada que corresponde a la clave pública de mansour@riseup.net que has importado
- Has firmado esa clave pública de mansour@riseup.net, ojalá despues de haber verificado que pertenece al verdadero Mansour.
Preguntas frecuentes
P: ¿Qué pasa si solamente instalo Enigmail y no GnuPG?
R: Eso es simple, realmente. Enigmail no va a funcionar. Después de todo, es el software de GnuPG el que brinda el motor de encriptación que usa Enigmail.
P: ¿Cuántas cuentas de correo electrónico puedo configurar en Thunderbird?
R: ¡Tantas como quieras! Thunderbird es un administrador de correo electrónico, ¡y puede administrar fácilmente 20 o más cuentas de correo electrónico!
P: Mi amigo tiene una cuenta de Gmail. ¿Debo convencerlo de instalar Thunderbird, Enigmail y GnuPG?
R: Sería lo ideal. Solamente asegúrate de que configure todas estos ajustes de seguridad en la misma manera exacta que has hecho tú. ¡Entonces los dos tendrán una forma extremadamente efectiva de comunicarse con privacidad y seguridad!
P: Recuérdame otra vez, ¿qué partes de un mensaje de correo electrónico encripta Enigmail?
R: Enigmail solamente encripta el contenido de los mensajes. Las líneas de Asunto no estarán encriptadas, ni las direcciones de correo electrónico de remitente y destinatario (ni los nombres asociados con esas direcciones). Así que escoge tus líneas de Asunto con cuidado y evalúa crear una clave GnuPG pára al menos una cuenta de correo electrónico que no incluya tu nombre real.
P: Sigo sin entender el objetivo de firmar digitalmente mis mensajes.
R: Una firma digital prueba que eres el verdadero remitente de un mensaje particular y que el mensaje no ha sido adulterado en su camino al destinatario previsto. Considéralo como el equivalente electrónico del sello de un sobre que contiene una carta muy importante.
*** Este texto es una adaptación del trabajo de «Security in a Box» «Thunderbird, Enigmail y OpenPGP para Windows – Correo electrónico seguro» publicado bajo licencia Creative Commons Attribution-Share Alike 3.0 Unported License y se distribuye bajo la misma licencia [Pangea.org].
Security-in-a-Box es un proyecto de Tactical Technology Collective y Front Line Defenders (https://securityinabox.org/en/) ***