Si bien los periodistas siempre han tenido que enfrentarse a la amenaza de las escuchas y el espionaje, los ataques digitales los están obligando a cuidar sus espaldas del fisgoneo online.
En la web, la forma universal para acceder a la mayoría de los sitios, HTTP, no está cifrada (es decir, asegurada). Esto significa que acceder a la información a través de estos sitios hace que los usuarios se vuelvan vulnerables a una serie de potenciales amenazas. Como mínimo, los espías de los sitios HTTP pueden enterarse de ciertos detalles de comportamiento de un determinado usuario tales como las páginas que visita y el tiempo que le dedica a cada una de ellas.
En respuesta a esta situación, el New York Times está atravesando el difícil proceso de cambiar la totalidad de su sitio de HTTP a HTTPs, un protocolo de comunicaciones para la navegación segura en un determinado sistema (la “s” final quiere decir “seguro”), con el objeto de proteger a periodistas y a lectores. Hace poco, el jefe de tecnología del New York Times, Rajiv Pant, hizo un llamado en Twitter a todos los sitios de noticias para que hicieran que el HTTPs fuese la opción por defecto para acceder a ellos hacia fines de 2015.
Tom Lowenthal, miembro del equipo tecnológico del Comité para la Protección de los Periodistas (CPJ, por sus siglas en inglés), está de acuerdo en que ya es hora de que los periodistas y los medios de comunicación tomen medidas serias para minimizar los riesgos. En un post reciente, Lowenthal describió los tres tipos de adversarios a los que los periodistas pueden enfrentarse en el espacio online: espías pasivos, interceptores activos MiM (las siglas quieren decir “man-in-the-middle”, es decir, "hombre en el medio"), y amenazas persistentes avanzadas (APTs, por sus siglas en inglés). Toda esta jerga en realidad apunta a una idea simple: las amenazas tienen tres niveles principales de gravedad.
Las amenazas avanzadas, Lowenthal señaló, son "complejas pero poco frecuentes". El espionaje pasivo, en cambio, es un fenómeno generalizado. "La más de las veces incluso la Agencia Nacional de Seguridad (NSA, por sus siglas en inglés), como demostraron las revelaciones de Edward Snowden, actúa como un espía pasivo, capaz solamente de mirar metadatos y de leer el contenido de las comunicaciones no cifradas", dijo.
En este post, Lowenthal presenta algunos pasos útiles que los periodistas pueden tomar para protegerse y proteger a sus fuentes de las amenazas diarias del espionaje. Estos consejos no defenderán a los periodistas de todos los adversarios posibles (sino únicamente de los más básicos), pero Lowenthal cree que incluso prevenirse de los adversarios de nivel más bajo es un punto de partida importante.
Sitios web
"Cada conexión insegura que hace un lector es una oportunidad para atacar a ese usuario con software malicioso y tomar el control de su computadora”, escribe Lowenthal. Incluso es algo que resulta fácil y barato de hacer.
Lowenthal recomienda a los periodistas utilizar un complemento para navegadores llamado HTTPs-Everywhere, desarrollado por el grupo de derechos civiles tecnológicos Electronic Frontier Foundation. HTTPs-Everywhere cuenta con una lista de los sitios más populares que usan HTTPs. Una vez instalado, cualquier conexión que un usuario haga a uno de los sitios registrados se convertirá automáticamente en una conexión HTTPs, incluso si el usuario no ha escrito "https://" en la barra buscadora de direcciones.
"Los periodistas que trabajan para sitios de noticias que no están disponibles a través de HTTPs deberían preguntarle a sus colegas por qué no existe esta posibilidad”, les recomienda Lowenthal.
Correo electrónico
“El correo electrónico es un blanco jugoso para los espías”, escribe Lowenthal. “No solo se enteran de con quién está hablando un periodista, sino acerca de qué está hablando, qué reportajes está considerando y en cuáles fuentes confía más. Por suerte, cualquier cifrado obstaculizará a un espía pasivo".
El protocolo para los correos electrónicos es SMTP, que, al igual que HTTP, no está cifrado por defecto. Esto significa que los mensajes enviados entre proveedores están transitando una ruta insegura que los hace vulnerables a los espías. En este contexto, incluso un espía pasivo puede leer quién es el remitente y el destinatario del correo, así como su contenido, señala Lowenthal.
En muchos casos existen versiones mejoradas (actualizaciones) de servicios de correo electrónico que admiten cifrados. Para saber si tu proveedor proporciona esta posibilidad, visita starttls.info. Solo tienes que introducir el nombre del dominio de tu proveedor de correo electrónico y el sitio medirá si los mensajes entrantes admiten o no la posibilidad de que estén cifrados.
Para los periodistas que se dedican al trabajo de investigación o que podrían estar manejando información especialmente sensible, Lowenthal recomienda el software PGP ("Pretty Good Privacy", que quiere decir "Muy Buena Privacidad"), que ofrece “privacidad de cifrado y autenticación en la comunicación de datos”. Con esta herramienta, un mensaje se cifra en el ordenador del remitente y solo puede ser descifrado por el receptor. Pero ten en cuenta: herramientas como PGP solo funcionan cuando ambas partes saben cómo utilizarlas.
Otros
Otros canales de comunicación tales como mensajes de texto, mensajería instantánea y llamadas telefónicas también pueden ser asegurados. Lowenthal recomienda herramientas como TextSecure y RedPhone para Android, o Signal para iOS.
Vía Comité para la Protección de los Periodistas
Imagen principal con licencia Creative Commons en Flickr, vía Brook Ward.