Seguridad digital para periodistas 101: cómo comenzar a proteger tu información en el ámbito digital

1.¿Qué es seguridad digital?

Al hablar de seguridad digital nos referimos a la combinación de protocolos y herramientas de protección aplicados a tus equipos y almacenamiento de información que prevén que estos fallen, se frustren o se violenten. Aunque ninguna recomendación puede garantizar la protección infalible de ataques, hay una serie de hábitos básicos que pueden adoptarse para mantenerte seguro a ti y a tus fuentes, como la evaluación de riesgos, el cifrado de comunicaciones y el reforzamiento de tus contraseñas.

2.     Cómo realizar una evaluación personal de tus riesgos

Para calcular las posibilidades de que una o varias amenazas contra tu seguridad digital puedan ser ejecutadas hay cinco preguntas claves que pueden ayudarte: qué es lo que quieres proteger, de quién lo quieres proteger, cuán probable es que necesites protegerlo, cuán destructivas pueden ser las consecuencias si fallas y cuáles son tus fortalezas y qué herramientas estás usando para disminuir tus vulnerabilidades. Contestarlas puede dejarte claro cuáles debes tomarte en serio y cuáles tienen menor índice de probabilidad.

Para saber qué quieres proteger, piensa en las  actividades digitales que sostienes y mediante las cuales realizas tu trabajo y haz una lista anotando dónde los guardas, quiénes tienen acceso a ellos y qué los protege de terceros. Aquí entran emails, llamadas, mensaje de texto, agenda de contactos, espacios de almacenamiento (como la nube o algún dispositivo físico), tu historial de navegación, tus redes sociales, el almacenamiento de tus claves y las herramientas y dispositivos con geolocalización que usas. Para mantener segura tu información, siempre utiliza un software de antivirus, claves fuertes y sé estricto en tus preferencias de privacidad. Esto protegerá el 90 % de lo que hagas en línea.

Para saber de quién lo quieres proteger, haz una lista de personas o instituciones que podrían tener interés en obtener tus datos. En tu labor de periodista, son muchas las posibles amenazas: una agencia del gobierno que quiera evitar que publiques información que denuncie una mala gestión o violencia policial, por ejemplo, o un cracker que quiera tener acceso a los datos de tus fuentes.

¿Cuán probable es que necesites protegerlo? Aquí lo importante es evaluar la capacidad de tus atacantes y los canales por los cuáles pueden hacerlo y adelantarse con un plan para evitarlos. Por ejemplo, tu proveedor de telefonía celular tiene acceso a todos tus registros móviles y la misma capacidad de utilizarlos en tu contra. Un cracker en una red abierta de wi- fi puede tener acceso a tus conversaciones no cifradas y es posible que tu gobierno tenga mayor capacidad e interés de hacerlo si, por ejemplo, estás trabajando en una investigación que denuncia mala gestión o violencia policial.

¿Cuán destructivas pueden ser las consecuencias si fallas? Este es el cuarto aspecto a tener en cuenta. Es importante determinar qué tan probable es que en tu contra sean materializadas por tus adversarios y qué significa eso. En un contexto militar sería mejor destruir la información que dársela al enemigo. En el caso de un periodista que está escribiendo un reportaje sobre infiltraciones del narco en el gobierno nacional, lo más riesgoso es proteger a sus fuentes y por ende, las consecuencias de que falle pueden ser fatales. De ahí que un análisis de riesgo consiste en calcular las posibilidades de que una amenaza pueda ser ejecutada para poder defenderte de ella y en caso de tener varias, decidir cuáles te tomas en serio.

¿Cuáles son tus fortalezas y qué herramientas estás usando para disminuir tus vulnerabilidades? Esta respuesta está ligada a la respuesta anterior. Las herramientas que necesites van a depender de la información que quieras proteger y por consiguiente, de cómo vayas a protegerla. Sin embargo hay algunos pasos básicos que puedes seguir para protegerte y proteger a tus fuentes:

  • Navegar por la web de manera anónima por medio de redes como Tor Browser Bundle.
  • Usa herramientas de encriptación para mantener a salvo la información de riesgo.
  • Borrar el historial de navegación y cookies cada vez que use la computadora.
  • No enchufes cables periféricos (adaptadores de potencia o de monitores, dispositivos USB), a menos que conozcas su procedencia.
  • Siempre cierra la sesión cuando no utilices tu máquina.
  • Protege tus equipos contra virus y malwares.
  • No revises tus cuentas personales usando un wifi de conexión abierta.
  • Protege sus datos personales en las cuentas de redes sociales.

3. Navegar por la red de manera anónima

Internet ha hecho que la comunicación sea más fácil y rápida, así mismo atraviesa el punto más débil en cuanto a escuchas ilegales y expiación en la historia de la humanidad. La manera más segura de comunicarte con tus fuentes es encontrándote con ellas en persona sin involucrar celulares o computadoras. ¿Pero qué pasa cuando es el periodista Como esto no siempre es posible, tu mejor defensa como periodista es estar al tanto de los riesgos y vulnerabilidades a las que te expones a la hora de usar Internet como herramienta de comunicación e investigación.

En el caso de los periódicos y medios de comunicación, el IP de la computadora que usas puede estar sujeto a datos empresariales. Sin embargo, al igual que al trabajar desde tu computadora personal, es imprescindible que tomes medidas de seguridad extras, pues tu IP puede ser una agenda abierta de tus datos personales y cualquier llamada, mensaje, correo, mensaje instantáneo o publicación en una red social es vulnerable a la escucha secreta por parte de terceros.

¿Qué puedes hacer para estar seguro mientras investigas, públicas en internet y te comunicas con tus fuentes? La mejor herramienta actualmente es Tor, una red de comunicaciones que no revela tu dirección IP ni la de tus fuentes o contactos y mediante la cual puedes navegar de manera anónima por internet, abrir cuentas de correo, usar tus redes sociales y consultar archivos sin la posibilidad de rastreo. Para bajar el programa visita https://www.torproject.org/ y descarga la versión que mejor se ajuste a tu sistema operativo.

Como complemento de Tor, tienes la herramienta Https Everywhere, una colaboración entre Tor y Electronic Frontier Foundation para lograr que, de manera automática, todas los sitios web que visites utilicen la conexión https, diseñada para la transferencia segura de hipertexto y la versión segura de http.

Existen también otras medidas básicas para proteger tu navegación en internet, sobre todo en países como Venezuela, cuya red más popular (ABA) es manejada por el Estado, lo que acarrea total acceso a tu información y, como ha ocurrido en el pasado, bloqueo de dominios sin aviso ni justificación oficial. Para protegerte de ello puedes usar servicios sencillos como Hola.org, una Red Privada Virtual (VPN por sus siglas en inglés) que te permite cambiar tu dirección de navegación a un país distinto al que te encuentras y así acceder enmascarado a cualquier portal, incluso si se encuentra bloqueado en tu territorio.

Parecido a Hola.org es Soptflux, un VPN gratuito que no tiene límite de banda para los usuarios que no usen la versión paga. Está disponible para Windows, iOS y Android. Solo tienes que instalarla y la aplicación misma se configura para cifrar y proteger  tu tráfico.

Como medida de precaución se recomienda eliminar de manera constante tu historial de navegación y las cookies de tu equipo, así estés navegando desde Tor. Puedes usar CCleaner como herramienta para hacerlo de manera general o puedes hacerlo de manera manual desde la opción de ‘Propiedades’ de tu buscador.

4. Comunicarte de manera segura con tus fuentes

  • Correo electrónico

Primera regla: nunca accedas a tu correo electrónico sin Tor de por medio. Aunque Yahoo y Hotmail son los servicios de correo electrónico más populares y proporcionan un acceso seguro a su buzón, mandan correo abiertamente por configuración, por lo que pueden ser interceptados en la ruta en cualquier momento. Gmail por su parte ofrece conexión segura si se accede a la cuenta por https://mail.google.com (cosa que no pasa si se ingresa por http://mail.google.com , sin la ‘s’), pero Google graba el contenido de los mensajes de sus usuarios y ha cedido ante las presiones de gobiernos en el pasado para restringir el acceso a internet, por lo que es mejor no depender completamente de ellos.

En cambio existe RiseUp, un email alternativo creado por activistas de Seattle en 1999 que ha rechazado en varias oportunidades peticiones por parte del gobierno de Estados Unidos para acceder a sus archivos de servicio porque precisamente ese es su razón de ser: luchar contra la vigilancia masiva de las comunicaciones digitales. Para crear una cuenta son necesarias dos invitaciones por parte de usuarios registrados o, en su defecto, esperar un par de semanas a que el equipo de RiseUp apruebe la petición. Tampoco sobra que abras tus cuentas de correo electrónico desde Tor para asegurarte que todo lo que abras con ellos (blogs, redes sociales) lo hagas de manera anónima y solo accedas a ellas usando Tor.

En el caso de las videollamadas, ni Skype ni Google Hangout ofrecen comunicaciones completamente seguras.  El primero lo anuncia en sus cláusulas de privacidad, donde especifica que realiza un escaneo automático de los mensajes enviados para evitar fraudes como el spam. Esto quiere decir que a pesar de que Skype  dice ofrecer servicios de cifrado que en realidad no ofrece y por tanto cualquier mensaje podría ser interceptado por el mismo proveedor del servicio (en este caso Skype), cosa que de hecho están obligados a hacer si, por ejemplo, el gobierno se los exige. Además Microsoft puede interceptar o extraer contenidos de nuestras conversaciones sin que sepamos cuándo lo hace. Con Google ya vimos lo que ocurre.

Por suerte existe la comunicación bajo sistemas de cifrado de mensajes en los que  los usuarios deben verificar que la llave para descifrar el código del mensaje pertenezca a quien ellos creen que pertenece.  ¿Pero cómo puede el destinatario conocer la llave para hacerlo sin que esta sea igualmente espiada? Y en caso de que haya una manera, ¿por qué no enviar todo el mensaje por esa misma vía? La solución es sencilla: cada participante de una conversación puede crear dos llaves, una pública que se le entrega a cualquier persona que se quiera comunicar con ellos -colocándola en su página web, por ejemplo-,  y una privada que no debe compartir con nadie. Así, si alguien quiere enviarle un mensaje, descarga la clave, cifra el mensaje y lo envía al usuario 1, que podrá descifrarlo usando su clave privada. Para saber cómo cifrar tus correos electrónicos, hay una guía paso a paso de la EFF.

  • Teléfono celular

La manera más segura de comunicarte por teléfono celular es a través del cifrado punto-a-punto mediante el sistema VoIP (voz sobre protocolo de internet). Debes tomar en cuenta que la mayoría de proveedores más populares de VoIP como Google Hangouts y Skype ofrecen información cifrada para que terceros no puedan oírla, pero mantienen la capacidad de escuchar ellos mismos.

Ostel y Signal para iPod y Android  son algunos de los servicios que ofrecen llamadas encriptadas con el método punto a punto, solo recuerda que para que pueda funcionar ambas partes deben usar la misma aplicación.  De hecho, Signal no solo cifra llamadas de voz, sino que permite cifrar mensajes de texto, imagen, sonido y video con encriptación end-to-end (de extremo a extremo). Como esta aplicación utiliza datos para funcionar, es necesario que todas las partes tengan conexión a internet, tanto para llamadas como para el resto de funciones.

Es importante que tengas en cuenta que el cifrado punto-a-punto solo protege el contenido de tus comunicaciones, más no la metadata de las mismas . Es decir, quienes te vigilan pueden saber que llamaste a un servicio de sexo teléfonico a las 2 y 30 de la tarde y la llamada duró una hora y media, pero no pueden saber qué dijiste durante ese tiempo. Si bien la metadata es menos reveladora, también puede contener información sensible que no quieres dejar al desprotegida. Para esto es importante que uses el servicio de VoIP y Tor al mismo tiempo.

Si usualmente usas un teléfono inteligente, puedes considerar también adquirir un teléfono barato que puedas desechar después de ciertas llamadas. A estos se les conoce como burner phone y sería ventajoso en viajes o comunicaciones específicas porque su línea no queda atada a tus datos personales.

5. Guardar información de manera segura

Hay cinco pasos fundamentales a seguir para mantener tu información de manera segura, tanto dentro de tus equipos como fuera de ellos.

  • Lo primero y más básico es proteger con contraseñas tus equipos. Por más que hagas lo contrario por pereza o certeza de que tus equipos no salen nunca de tu casa, no dejes de protegerlos con una contraseña segura, ya que en caso de robo o extravío esto te da margen de tiempo hasta que puedas rastrearlo. Usa contraseñas distintas para cada cuenta que tengas, por ejemplo, correo, twitter o facebook.
  • Si como periodista estás tratando temas delicados con fuentes que por la información que suministran sean blanco fácil de atacantes, una estrategia a considerar es que la información que manejes la almacenes en una computadora aparte únicamente para eso, preferiblemente que guardes bajo llave o algún sistema de seguridad que avise en caso de ser vulnerado. No tiene que ser una computadora necesariamente nueva ni grande; una computadora segura puede ser aquella que está bajo llave y funciona solo para manejar tus datos. Lo único a tomar en cuenta en este caso es no concentrar toda la información en un solo equipo, pues lo convierte en blanco fácil para tus atacantes.  También se recomienda que para viajes o desplazamientos físicos, lleves una computadora pequeña que contenga la información necesaria y básica, así en caso de pérdida del equipo, el daño sea mínimo.
  • Nunca descargues archivos adjuntos en la oficina o en una red de wifi abierta, a menos que uses un sistema operativo y abierto como Tails (The Amnesic Incognito Live System) que te permite redactar emails y mensajes de chat de manera segura. Mantenerse desconectado de internet también es una forma de protegerse mediante el llamado air gap o vacío de aire que queda entre la computadora y el resto del mundo.
  • Crea cuentas de correo electrónico y almacenamiento en nube distintas para tus computadoras de seguridad y úsala siempre con Tor de por medio para mantener tu dirección IP escondida, ya que si un atacante quiere hacerte hackearte o interceptar tus comunicaciones, separar tus cuentas y usar Tor te ayuda a romper el enlace entre tu identidad y este equipo en particular. Adicional, usa contraseñas distintas para cada cuenta de correo que manejes, así como para tus redes sociales y equipos en general.
  • Por último, elige un buen sistema de respaldo. El más común es el del hardware, ya sea un disco duro, pent drive o memoria USB para guardar la información que tienes en tu computadora. pero si el volumen es muy grande y ninguna de estas opciones es suficiente (o si simplemente prefieres tener un respaldo a prueba de pérdida, incendios o desaparición total de las computadoras tal y como las conocemos), lo ideal es tener un flujo de respaldo constante que implique tener la información en tres lugares:
    • El disco duro de tu equipo.
    • Un sistema de respaldo automático de hardware que tengas en tu casa u oficina.
    • Un sistema de respaldo automático en la nube.

Para el disco duro, puedes usar entre otros, un Drobo que te permite fácilmente hacer un respaldo de tres, cuatro y hasta cinco discos duros. Otra opción es la Time Capsule de Apple, de costo medio y fácil uso aunque solo funciona en Mac. Por último una solución media es Crashplan, que te permite almacenar archivos tanto offline como online en Mac, PC y Linux.

Para el almacenamiento en nube como respaldo digital,  también hay opciones diversas:

  • Dropbox: es el más popular y entre sus ventajas, tiene la sincronización es automática, te permite acceder a ellos desde tu teléfono, tablet o cualquier dispositivo móvil y además guarda copia de tus archivos por un mes, así que puedes revertir los cambios o recuperar archivos que hayas eliminado. La versión gratuita ofrece solo 3 gb de espacio, pero hay una versión paga que ofrece más espacio con  las mismas ventajas.
  • SugarSync: es el competidor director de Dropbox, pues ofrece casi los mismos servicios, con las desventajas de que las velocidades de sincronización y transferencias son más lentas y las opciones para compartir carpetas no son tan obvias como las presenta Dropbox.
  • Google Docs: este servicio de Google no es precisamente para almacenar información, pero nunca está de más tener información que puedas almacenar y trabajar al mismo tiempo en línea. Puedes acceder a ella igualmente desde cualquier dispositivo en el que puedas abrir tus cuentas de Google.

6. Cómo crear contraseñas seguras

Hay varias recomendaciones claves para no pecar de inocentes a la hora de crear contraseñas para proteger nuestros datos: no uses palabras de diccionario, no uses la palabra ‘contraseña’ o ‘password’, tampoco  los nombres de tus padres, hijos, parejas o mascotas,, ninguna fecha de nacimiento ni números en serie (12345, 67890, 123).

Si alguno de tus argumentos para usar estas contraseñas comunes es la mala memoria, intenta esto: usa una palabra que consideres fácil de recordar. En este caso, usaremos ‘maracaibo’. Reemplaza las vocales por número, m4r4c41b0. Por la primera letra en mayúscula, M4r4c41b0, y si quieres reforzarla, agrégale algún carácter especial al principio y al final, -M4r4c41b0*. Así tienes una contraseña de once caracteres fácil de recordar, pero difícil de crackear.

Si tienes un perfil de alto riesgo, este truco no será suficiente: necesitas una frase contraseña. Uno de los métodos más seguros para crear una buena frase contraseña es el método Diceware.

No olvides cambiar tus contraseñas cada tres o seis meses y nunca usar la misma para dos cuentas o servicios distintos, ya que si por algún motivo esta contraseña logra ser violada, el atacante tendría un acceso masivo a tus datos.

————

Fuentes: