Consejos sobre seguridad digital que los editores necesitan saber

by Laure Nouraout
Oct 30, 2018 in Seguridad digital y física

La semana pasada, el Coloquio M100 Sansouci reunió a especialistas internacionales en torno al tema: “Libertad de medios en la era de los grandes datos”. Con las recientes revelaciones acerca de la vigilancia a escala global organizada por las agencias de inteligencia, se plantea la cuestión de cómo los periodistas pueden proteger sus datos y, lo que es aún más importante, sus fuentes. Durante el coloquio nos reunimos con Matthias Spielkamp, editor y fundador de iRights.info, y le preguntamos acerca de cuestiones de seguridad en el periodismo y en las comunicaciones.
 

¿Qué tan vulnerables son los periodistas?


Matthias Spielkamp: Siempre es necesario encontrar un equilibrio: si en un panel o en una entrevista digo que ya no hay esperanzas y que todo está siendo espiado, la gente termina pensando que no hay nada que se pueda hacer. Honestamente tengo la convicción de que eso no es cierto, pero tenemos que observar los distintos modelos de amenaza. Y el modelo de amenaza ahora es: las agencias te dejan en paz, pero intentan almacenar todo, tratan de saber todo acerca de tus comunicaciones. Existen maneras de protegerte contra eso.



Tomemos, por ejemplo, el cifrado de correos electrónicos. PGP es un mecanismo de cifrado que se supone será seguro por lo menos durante un par de décadas. Los mensajes que se almacenen ahora probablemente se podrán descifrar recién dentro de 30 años; en este momento es muy difícil, casi imposible descifrarlos. Así que si usas PGP estás haciendo que a las agencias de inteligencia les resulte mucho más complicado conocer el contenido de tus comunicaciones.



¿Qué hay de los metadatos?



M. S.: Ese es un problema específico que implica a los datos de tus comunicaciones. Al utilizar PGP, por ejemplo, no estás ocultando a quién diriges tus mensajes. Si te envío un correo cifrado con PGP, las agencias todavía sabrán que estamos intercambiando correos electrónicos. Hoy en día muchos expertos ven esto como un problema mayor. Es muy difícil evitar dejar estos trazos; puedes lograrlo utilizando Tor cuando navegas por la web. También puedes cifrar los datos que hay en tu disco rígido para protegerlos por si éste se te pierde o te lo roban.
 

No puedes asegurar por completo tus comunicaciones, pero puedes dificultar mucho el trabajo de las agencias de inteligencia y hacerles la tarea más costosa, lo que ya de por sí es muy significativo. Puedes asegurar la conexión que utilizas usando HTTPS: una conexión de Internet segura para intercambiar contraseñas y datos de acceso. Puedes hacer lo mismo con tu cuenta de correo electrónico para que tus datos no puedan ser transferidos. También puedes utilizar una red privada virtual.


¿Los editores en jefe de los medios saben lo que está en juego?



M.S.: Estoy bastante seguro, aunque no he hablado con él personalmente, de que Alan Rusbridger [jefe de edición del The Guardian] sabe todo acerca de la seguridad de las comunicaciones y de cómo proteger los datos que el medio tiene en su poder. Lo mismo digo para los editores de Der Spiegel, The Washington Post o The New York Times, que están trabajando con los archivos de [Eduard] Snowden. Pero por mi experiencia creo que los editores en jefe de periódicos, radios o emisoras de televisión en general saben muy poco acerca de cómo funcionan los asuntos de seguridad en la práctica. Una de las razones es que muchas de las personas que no se dedican al periodismo de investigación dicen que no tienen nada que ocultar. Pero en realidad tenemos todo para ocultarle al gobierno, en especial si estamos trabajando como periodistas. No es asunto del gobierno con quién estoy hablando ni qué le estoy diciendo. En todos los países democráticos el periodismo está legalmente protegido.



¿Cómo pueden los editores implementar soluciones básicas para esto?
 

M.S.: Mi sueño sería que los editores en jefe emplearan algo de su tiempo en convocar algún experto que durante media jornada les explicara cómo funciona la comunicación online, cómo puede ser espiada y qué ideas generales y herramientas pueden incorporarse para prevenir esto. Solo se necesita una pequeña cantidad de tiempo para comprender esta amenaza. He estado realizando capacitaciones y consultorías sobre el tema y he hablado con editores que me dijeron: “Está bien que sepamos cómo usar PGP, pero no podemos instalarlo en nuestro sistema porque el departamento de informática no nos lo permite”. ¡Esa es una situación muy común!


Las áreas de informática no se centran en este tipo de seguridad; se ocupan de tener la última protección disponible contra el malware, ya que necesitan proteger el sistema contra virus y troyanos. Antes no estabas en la mira de la Agencia de Seguridad Nacional (NSA, por sus siglas en inglés); el tuyo era un periódico normal y no tenías ninguna razón para pensar que la NSA te estaba vigilando. Pero este ya no es el caso: están espiando a todos, a cada pieza comunicacional. Y el cambio tiene que ocurrir de arriba hacia abajo: si el jefe de redacción, o incluso el CEO, no entiende lo que está pasando, estas cosas no van a cambiar. Todo esto se gestiona de manera centralizada, por lo que si solamente eres un simple editor no vas a poder cambiar la situación. Los editores en jefe o los directores son los que necesitan comprender lo que está ocurriendo para poder impulsar ese cambio.



¿Los medios están quedándose atrás?



M.S.: He intentado convencer a los medios de que modifiquen sus prácticas. En primer lugar, puedes aplicar de forma sistemática cambios de base: que hagan que por defecto las personas naveguen de manera anónima. También puedes capacitar a tu personal para que sepan cómo intercambiar mensajes de correo electrónico cifrados y establecer como obligatorio el cifrado de datos en los discos rígidos.


El problema es que esto es fastidioso. La tecnología es un asunto complicado y la mayoría de los ejecutivos no tienen grandes conocimientos sobre ella. Si hablan con el jefe del área de informática, básicamente tienen que creer en todo lo que este les dice. Y es probable que el personal de informática responda: “necesitamos verificar que los sistemas funcionen correctamente y con eso basta”. Pero ahora tienes que tener en cuenta el nuevo modelo de amenaza al que nos enfrentamos. Diría que es casi irresponsable que alguien que dirige un medio no cambie la política de seguridad.



Todo el mundo sabe que si quieres modificar el sistema informático de tu empresa tendrás que enfrentar una oposición. Las empresas tienen menos dinero que antes, menos recursos, y en este contexto muchos no quieren saber nada con aplicar cambios. Pero yo les diría a estas personas que si no toman medidas terminarán pagando igual más tarde. 


¿Qué sugieres como primeros pasos a tomar?



M.S.: En primer lugar, si estás en un puesto de toma de decisiones, infórmate y aprende. Así comprenderás mejor qué es preciso cambiar y qué es necesario hablar con el área de informática. Los cambios pueden aplicarse de manera gradual. 


Los editores en jefe también deben ofrecerle a informantes, denunciantes y fuentes una forma segura de comunicación con el medio. [Chelsea] Manning intentó, sin éxito, ponerse en contacto con The New York Times, The Washington Post y (probablemente) con Politico antes de recurrir a WikiLeaks. Zeit Online de Alemania ofrece un lugar seguro en su página web para que la gente suba archivos de manera anónima. 



Al mismo tiempo, capacita a tu personal porque todas las acciones deben llevarse a cabo a la vez. No se trata solamente de saber usar PGP o Tor; también se trata de comprender y evaluar el modelo de amenaza: “¿De qué manera mis comunicaciones están realmente amenazadas y qué necesito hacer al respecto?” No todo el mundo tiene que hacer lo que Glenn Greenwald y sus colegas están haciendo porque la NSA está detrás de ellos. La NSA no está persiguiéndonos ni a ti ni a mí, pero solo en el sentido de que no están tratando de acceder concretamente a nuestras computadoras. Sin embargo, la NSA nos persigue a todos nosotros cuando se trata de la comunicación en general. En eso consiste la vigilancia masiva.



Este post fue publicado originalmente en la página web de la Global Editors Network y es reproducido en IJNet con permiso. La Global Editors Network es una comunidad de múltiples plataformas comprometidas con el periodismo sostenible y de alta calidad, que apoya a medios a través de variados programas diseñados para inspirar, conectar y compartir.



Laure Nouraout es la gerente de redes sociales de la Global Editors Network. Síguela en Twitter: @LaureNouraout



Imagen de Tactical Technology Collective con licencia de Creative Commons, vía Flickr.