Manual de reducción de riesgo digital y móvil para periodistas y blogueros

Jorge Luis Sierra

Los reporteros y editores de investigación necesitan incluir los planes de seguridad como parte ineludible de su quehacer. Al investigar temas que otros desean mantener ocultos, los periodistas enfrentan la agresión de fuentes de naturaleza muy diversa. Las formas de protección son distintas.

Mientras una amenaza potencial se enfrenta a través de medidas preventivas, las amenazas reales se enfrentan usualmente con medidas correctivas, de emergencia. Los periodistas deben desarrollar planes de reducción de riesgo a través de un fortalecimiento de sus capacidades profesionales, el ejercicio ético de su profesión y el seguimiento puntual de protocolos de seguridad.

Seguridad digital

Junto al hecho de que internet y los equipos digitales se han vuelto herramientas indispensables del periodista, la seguridad digital y móvil (celulares y tabletas) se han transformado también en un tema fundamental. Aquí te presentamos una serie de protocolos de auto protección a manera de guía de seguridad digital fuera y dentro de la redacción, así como en la comunicación entre reporteros y editores, reporteros y fuentes y el almacenamiento de información.

Medidas básicas de seguridad digital general:

  • Usa un programa antivirus que se actualice automáticamente.
  • Activa los firewalls o cortafuegos en tu computadora.
  • Actualiza permanentemente los sistemas operativos, programas y navegadores que tienen tus equipos.
  • Infórmate siempre de los nuevos virus y programas maliciosos.
  • Examina con cuidado la dirección electrónica de quien te envía un mensaje.
  • Nunca abras un archivo que no esperabas. Si decides abrirlo, examínalo antes con tu programa antivirus.
  • Nunca le des clic a vínculos activos que te envían fuentes desconocidas o de baja confianza.
  • Usa sólo contraseñas seguras (más de 15 caracteres, con mayúsculas, minúsculas, números y signos de puntuación).

Medidas básicas de seguridad digital en la redacción:

  • Cierra tu computadora cuando te alejes de ella o protege la pantalla con una contraseña fuerte.
  • Cierra tu navegador y desconecta tu equipo de internet si no navegas o si te alejas de tu equipo.
  • Respalda y organiza de manera permanente tu información.
  • Usa carpetas encriptadas para guardar información confidencial o encripta el disco duro entero.
  • Si usas un equipo de la empresa en tu trabajo, evita usarlo para fines personales, en los equipos y redes de la empresa nada es privado.
  • Si estás en la red de la empresa, sigue las instrucciones de seguridad del departamento de IT (Tecnologías de la Información).
  • Acuerda con los directivos de tu empresa los medios de comunicación segura con fuentes confidenciales.

Medidas básicas de seguridad digital fuera de la redacción:

  • Sólo lleva el equipo necesario.
  • Activa medidas de seguridad en tus dispositivos móviles en caso de pérdida.
  • Nunca lleves tus archivos completos en tu computadora mientras cumples una asignación o realizas una cobertura.
  • Lleva un dispositivo de memoria USB con el sistema de navegación Tor.
  • Si no es necesario, desactiva los sistemas GPS de tu teléfono celular o tableta.
  • Desactiva el Bluetooth de tu teléfono celular si no lo usas.
  • Lleva baterías adicionales para tu computadora, teléfono celular o tableta. Evita usar equipos en las salas de prensa.
  • De preferencia, evita cargar la batería de tus equipos en salas de prensa u otros lugares públicos porque otros pueden acceder a tus equipos por esa vía.
  • Evita acceder a redes inseguras de internet. De preferencia, accede a internet con un modem USB o con el recurso de Hotspot móvil de tu teléfono celular.
  • Si consultas a fuentes confidenciales o intercambias datos o información confidencial con tu editor, usa formas encriptadas de comunicación.

Protocolo de protección de celulares y tabletas:

  • Elaborar una política de contraseñas para el teléfono celular que incluya: PIN, patrón, contraseña para iniciar el equipo y acceder a la tarjeta de memoria.
  • Evitar el almacenamiento de la información de contacto de fuentes confidenciales y de información personal en el teléfono que pueda estar en riesgo de pérdida o robo.
  • Mantener asegurado el equipo móvil para reponer el aparato en caso de robo o extravío, así como borrar la información y bloquear el acceso a control remoto.
  • Usar programas antivirus y mantener actualizadas las aplicaciones.
  • Llevar consigo siempre baterías de repuesto y mantener siempre cargada la batería del dispositivo móvil.
  • Descargar las aplicaciones de navegación anónima en el móvil (Orbot y Orweb). Existen buenos tutoriales y se puede descargar Orbot y Orweb en la tienda Google Play.
  • Descargar la aplicación Ostel para encriptar el audio de las llamadas telefónicas.

Protocolo de protección de contraseñas:

  • Elaborar una política de contraseñas seguras de arranque, pantalla protectora, así como las cuentas de administrador y usuario de las computadoras en riesgo.
  • Las contraseñas deben ser mayores de 15 caracteres y combinar letras mayúsculas, minúsculas, números y signos.
  • Usar una contraseña distinta para cada cuenta de correo electrónico, redes sociales y sitios web.
  • Cambiar las contraseñas frecuentemente.
  • Guardar en un programa de almacenamiento protegido (como Keepass) las contraseñas anotadas en papeles, libretas, o archivos sin encriptación en la computadora. Las computadoras MacBook tienen el sistema de “Acceso de Llaveros” con la que puedes administrar las contraseñas y guardarlas en forma encriptada.
  • Crear passphrases en lugar de Passwords. Las passphrases son conjuntos de cuatro o cinco palabras o contraseñas que funcionan juntas para abrir documentos, aplicaciones, programas o redes sociales.
  • Medir la fortaleza de las contraseñas en sitios de Internet. (Passwordmeter)
  • Usar el programa Truecrypt para usar una contraseña en el arranque de la computadora y encriptar el disco duro interno.
  • Revisar un tutorial para la protección de equipos.

Protocolo de almacenamiento seguro

Los periodistas suelen almacenar grandes cantidades de archivos electrónicos sin separar los archivos con información confidencial de los que no tienen datos que requieran protección especial. Ese almacenamiento desorganizado de los archivos puede ser un factor de riesgo si perdemos el control de la computadora o del equipo móvil.

Quizá uno de los ejemplos más extremos de esa situación es el secuestro de dos periodistas en Reynosa, Tamaulipas, que cubrían el enfrentamiento entre los carteles del Golfo y de los Zetas en la primavera de 2010. Uno de los reporteros llevaba en su computadora fotografías tomadas en una ceremonia militar que había ocurrido días atrás en la ciudad de México. Al revisar las computadoras de los periodistas secuestrados, los secuestradores interpretaron esas fotografías como una muestra de que los reporteros trabajaban para los Zetas, el grupo criminal que fue integrado por ex miembros del ejército mexicano. De alguna forma, el reportero pudo demostrar su condición profesional y con eso evitar el asesinato de él y su compañero.

El ejemplo nos ofrece varias enseñanzas que los periodistas que cubren situaciones de alto riesgo tienen que recuperar. La primera es que hay que separar los archivos con información sensible de los que no la tienen. La información sensible puede abarcar desde archivos de Word con nombres, teléfonos o correos electrónicos de fuentes de información hasta notas escritas con datos acerca de la corrupción de funcionarios públicos.

Los documentos que el periodista considere confidenciales deben guardarse en carpetas encriptadas con Truecrypt, un programa gratuito disponible en internet que permite la creación de drives encriptados que sólo pueden abrirse con una contraseña. Truecrypt permite la creación de carpetas encriptadas ocultas en otro documento como una fotografía, un documento de Power Point o un documento de Word.

Los periodistas deben viajar con computadoras y celulares “limpios” de información. En caso de pérdida, robo o confiscación, el periodista puede asegurar que ningún dato confidencial está en riesgo. Eso significa que antes de salir a realizar la cobertura, los periodistas deben mover las carpetas encriptadas a otras computadoras seguras y viajar con computadoras vacías.

Si crean archivos sensibles durante una cobertura, éstos deben ser almacenados en carpetas creadas con Truecrypt y ocultar en una fotografía u otro archivo similar.

Los periodistas también pueden crear carpetas con Truecrypt y almacenarlas en Dropbox o Google Drive. De esta manera, los archivos siempre estarán disponibles y protegidos con una encriptación doble.

Protocolo de protección de documentos

En el contexto de situaciones de alto riesgo, se ha vuelto indispensable que los periodistas desarrollen habilidades para proteger su información, sobre todo aquella que incluye datos sensibles o confidenciales.

Una de las formas de protección de nuestros documentos es la codificación o encriptación, que implica la conversión de un documento legible a uno ilegible para quien no tiene la contraseña para decodificarlo. Si por alguna razón perdemos la memoria USB donde teníamos nuestro documento, o si perdemos la computadora, el teléfono o la tableta con ese documento, las personas no podrán leer el documento si no tienen la contraseña de decodificación.

Navegación anónima en internet

La navegación anónima consiste en disfrazar el código IP (Internet Protocol) que el proveedor de servicios de internet asigna cuando un navegador (browser) se conecta con un servidor de internet. Este número único está asociado con los datos de identificación del cliente del proveedor de servicios de internet.

En el caso de los IP que son asignados a la navegación en una sala de redacción, el código está asociado a los datos de la empresa. Sin embargo, cuando el periodista navega desde su casa o desde su móvil o tableta, es posible que el IP esté entonces asociado con sus datos personales, por lo que cualquier persona interesada podría conocer la identidad de los periodistas a través del rastreo del IP. El IP también puede ser revelado en los encabezados (headers) de correos electrónicos inseguros.

Una de las herramientas disponibles para proteger la identidad es el navegador de Tor. La plataforma Tor utiliza una red de servidores proxy que prestan su IP para enmascarar el IP original del usuario de internet. Cuando el periodista o reportero ciudadano está conectado a la red Tor y abre un nuevo sitio de internet, el servidor proxy usa su propio IP, en lugar del IP de la computadora del usuario, para pedir los datos de un nuevo sitio a otro servidor. De esta manera, la identidad del usuario queda protegida.

En teléfonos celulares con sistema operativo Android, la plataforma Tor puede ser usada a través de las aplicaciones Orbot y Orweb. Conviene enrutar el teléfono celular para aprovechar todas las ventajas de Tor en celulares, entre ellas, el uso anónimo de todas las aplicaciones que conectan al celular con internet.

La protección de la privacidad incluye también el uso del prefijo HTTPS en todos los sitios donde haya que escribir una contraseña y el cuidado para no abrir sitios web con contraseña en redes inalámbricas abiertas, sin contraseña de acceso.

Protocolos de navegación anónima:

  • Utilizar sitios de internet que tengan el prefijo HTTPS. Ese prefijo encripta la interacción entre el navegador de internet y el servidor.
  • Usar herramientas como https everywhere y Anonymox (Firefox) en el navegador web.
  • Usar la plataforma Tor cada vez que estemos haciendo una investigación en línea sobre temas complicados.
  • Usar Redes Privadas Virtuales (VPN por sus siglas en inglés) para navegar en internet. Las VPN se utilizan como un túnel para proteger la privacidad de la navegación en internet.
  • Utilizar sólo el acceso encriptado a internet inalámbrico.
  • No abrir cuentas que requieran contraseñas en redes de acceso inalámbrico abierto (sin encriptar) a internet.
  • Usar el ambiente TOR con Orbot y Orweb en la navegación de internet en celulares y tabletas.

Protocolo de comunicación segura en correos electrónicos:

  • Usar herramientas de codificación en la transmisión de mensajes vía correos electrónicos. El servicio de Hushmail encripta el contenido de los mensajes. Hushmail tiene la ventaja de que no pide datos personales para abrir una cuenta. Sin embargo, la compañía sí tiene acceso a nuestra contraseña.
  • Otra forma de proteger el contenido de los correos electrónicos es el uso de una herramienta gratuita y sencilla de usar en internet: Infoencrypt. Esta herramienta nos permite copiar y pegar un texto previamente escrito y encriptarlo mediante una contraseña. El texto encriptado puede a su vez copiarse y pegarse en el cuerpo del mensaje electrónico. El reto es enviar la contraseña al destinatario. Infoencrypt recomienda siempre enviar las contraseñas por una vía distinta.
  • Existen otras alternativas accesibles y sin costo para proteger la comunicación entre el periodista, sus fuentes o sus editores. El servicio de Riseup encripta el mensaje electrónico en el tránsito desde el remitente hasta el destinatario. Riseup no incluye el IP en sus encabezados ni guarda las contraseñas elegidas por los usuarios.
  • Utilizar cuentas de correo electrónico obtenidas desde la plataforma de Tor para abrir blogs anónimos o cuentas de redes sociales también anónimas.
  • Utilizar sólo cuentas de correo electrónico que ocultan el IP de los usuarios de internet en los encabezados del mensaje.
  • Utilizar un procedimiento de doble autenticación (contraseña más código enviado al móvil) para abrir las cuentas de correo electrónico, mensajería instantánea o redes sociales.

Protocolo de seguridad del chat

Los periodistas y reporteros ciudadanos han descubierto que la mensajería instantánea es una de las formas más rápidas y accesibles para comunicarse con las fuentes, colegas o editores.

Hay herramientas que nos ayudan a encriptar las plataformas de chateo o mensajería instantánea. Esas herramientas como Pidgin en sistemas operativos Linux y Windows o Adium en iOS, usan un recurso llamado OTR (Off The Record) para encriptar servicios de mensajería instantánea como Google Chat, Facebook Chat, Yahoo Messenger o Microsoft Messenger (MSN Messenger).

Usa una combinación de chats inseguros y seguros: puedes usar por ejemplo Whatsapp y Google Talk encriptado para reducir la atención de espías potenciales a tus conversaciones electrónicas.

Seguridad en mensajes de texto

Una manera accesible de encriptar los mensajes de texto es TextSecure, una aplicación para encriptar los mensajes de texto en dispositivos móviles con Android. Es gratuita y puedes bajarla en la tienda de Google Play.

Encriptación de llamadas telefónicas

Guardian Project tiene una herramienta llamada Ostel para encriptar las comunicaciones telefónicas. Funciona Android, iPhone, Blackberry, Nokia, PC, Mac y Linux.

Jorge Luis Sierra (@latinointx)

Periodista mexicano especializado en temas de seguridad y defensa, y desarrollador de herramientas digitales para investigar el crimen y la corrupción. Es Director de los Knight International Journalism Fellowships y actual coordinador del proyecto de Seguridad Digital y Móvil para Blogueros y Periodistas, apoyado por las organizaciones Freedom House, el Centro Internacional para Periodistas (ICFJ) y la Fundación Knight. Sierra ha escrito varios libros y capítulos sobre seguridad y defensa, entre los que se destaca: El Enemigo Interno: Fuerzas Armadas y Contrainsurgencia en México.

Un proyecto de               Gracias al apoyo de