Las nuevas redacciones digitales que dependen casi por completo de Internet para trabajar necesitan blindar no solo sus artículos sino su sistema de información en su totalidad, incluyendo cómo esta se almacena, se procesa y se intercambia.
Los ataques tecnológicos contra sitios web, servidores editoriales y cuentas personales de periodistas de investigación han aumentado. Gobiernos, empresas corruptas y grupos criminales intentan aprovecharse de cualquier vulnerabilidad que tenga un medio de comunicación para obstruir sus investigaciones y, en lo posible, para destruir la información sensible que manejan. En algunos casos, un ciberataque es el primer eslabón de una cadena de agresiones que pueden culminar en ataques serios contra la integridad física de los periodistas. Esto se ha visto varias veces en México, uno de los países más peligrosos para ejercer el periodismo independiente.
Desde que las redacciones digitales están más involucradas en el periodismo de datos y de investigación, más adversarios tecnológicamente alfabetizados pueden bloquear averiguaciones, demorar publicaciones e incluso destruir información antes de que sea publicada.
Lo que ocurrió con Connectas Hub es un ejemplo de esta tendencia. Esta plataforma periodística latinoamericana estaba coordinando la publicación de varias historias sobre casos de abuso y corrupción del gobierno mexicano cuando experimentó un gran ataque de denegación de servicio (DDoS). Un tiempo antes, Connectas había detectado intentos de contaminar sus computadoras con un virus maligno después de difundir información sobre la corrupción en la aduana nicaragüense y la construcción del Canal de Nicaragua, un proyecto respaldado por compañías chinas.
El sitio de Connectas estuvo caído durante días hasta que recibió la protección de Deflect, un servicio gratuito que ayuda a los medios independientes y otras organizaciones a protegerse de ataques DDoS.
En ese momento, Connectas era una de las 100 redacciones de 80 países que habían ayudado a difundir los Panama Papers, una filtración de millones de archivos sobre las finanzas ocultas de las elites globales.
No hubo una investigación forense digital y Connectas no pudo confirmar quién estaba detrás del ataque. De cualquier modo, el caso subraya la necesidad de mejorar la capacidad de las redacciones para protegerse de ciberataques de gran envergadura.
A continuación brindamos 12 consejos que los medios pueden adoptar inmediatamente para blindar sus sistemas digitales.
1. Diseñar una estrategia de seguridad informática. Esto supone que las redacciones deben comprender las vulnerabilidades y capacidades de sus potenciales enemigos, así como su propio nivel de riesgo. Puedes usar el Manual de Seguridad Digital y Móvil que escribí como becario ICFJ Knight para diseñar una estrategia de seguridad propia. También puedes revisar esta lista de consejos.
2. Obtén protección extra contra los ataques DDoS. Recomiendo solicitar ayuda a Deflect, manejada por una organización canadiense liderada por Dmitri Vasiliev, un pionero en seguridad digital para activistas de derechos humanos. Las redacciones también pueden solicitar la ayuda del servicio de protección ofrecido por Google a través de la iniciativa Project Shield, que utiliza la infraestructura de seguridad de Google para proteger los sitios de noticias.
3. Contrata a alguien para que ataque la seguridad digital de tu redacción y encuentre sus vulnerabilidades. En la jerga tecnológica, a esta persona se la llama “pentester” (de “penetration tester”: en español “examen de penetración”). Si bien hay pocos pentesters que trabajen gratis, puedes solicitar ayuda al Information Safety and Capacity Project (ISC Project), una organización sin fines de lucro de Washington, D.C. Además, algunas compañías privadas brindan este servicio a bajo precio, como Pakal Security Labs de Guatemala.
4. Consulta con la empresa que mantiene el hosting de tu sitio. Tal vez ofrezca servicios que puedan ayudar a monitorear tu redacción y bloquear posibles ataques.
5. Asegúrate de que tu redacción digital siga principios de programación segura. Puedes usar la lista de riesgos online incluida en la Open Web Application Security Project (OWASP) como guía.
6. Asegúrate de que tus técnicos informáticos mantengan el servidor actualizado y corregido. Esto ayudará a proteger de virus a todas las computadoras que se encuentren en red.
7. Si estás involucrado en proyectos de crowdsourcing o trabajas con informantes, asegúrate de que tu sitio tenga un certificado SSL para cifrar el tráfico. Los medios pueden comprar certificados SSL a bajo costo a través de sus proveedores de hosting.
8. Usa la aplicación Salama para que los miembros de tu redacción puedan evaluar riesgos. Esta app, que creé durante mi beca ICFJ Knight, brinda a los periodistas una guía para comprender los riesgos a los que se enfrentan y consejos personalizados para reducirlos.
9. Asegúrate de que tu organización cumpla con los estándares básicos de manejo seguro de la información. Como punto de referencia puedes fijarte en los estándares establecidos por la Organización Internacional de Normalización (ISO).
10. Asegúrate de que tanto periodistas como editores usen sistemas de cifrado y herramientas digitales de seguridad cuando trabajen en reportajes sensibles. Puedes usar la Biblioteca de seguridad de Salama para encontrar consejos sobre cómo blindar el proceso editorial.
11. También puedes recurrir al maletín de herramientas de seguridad digital para periodistas de investigación que estoy curando con el apoyo del ISC Project. Este recurso incluye herramientas creadas y curadas por el Guardian Project, la Electronic Frontier Foundation, Tactical Tech y otras organizaciones.
12. Capacita tanto a los empleados que trabajen en procesos editoriales como a los que no lo hacen para reconocer ataques de ingeniería social y de suplantación de identidad.
Imagen con licencia Creative Commons en Flickr, vía Defence Images.