Por qué la encriptación no tiene que ser un obstáculo para los periodistas

por Jorge Luis Sierra
Feb 8, 2016 en Miscellaneous

En mis años de impartir capacitación a periodistas, he visto que la mayoría está de acuerdo con la necesidad de utilizar la encriptación (o el cifrado) para proteger su información, pero solo unos pocos incorporan realmente la tecnología. Al principio, pensé que era un problema de toma de conciencia, pero me he dado cuenta de que la complejidad de la tecnología también juega su papel.

A menudo, los periodistas no protegen su información porque los sistemas de encriptación son complicados y no muy amigables para usuarios que no saben de tecnología. La mayoría de los periodistas tiene mucho que hacer, poco tiempo y conocimientos técnicos limitados. A veces prefieren aceptar los riesgos a pasar por la molestia de tener que aprender a usar herramientas difíciles.

Incluso periodistas experimentados que lidian con fuentes confidenciales, trabajan en historias de alto riesgo y se mueven en lugares peligrosos asumen el riesgo de utilizar el email común y enviar mensajes de texto en lugar de enredarse con herramientas de encriptación que creen complicadas.

Las consecuencias de este problema pueden ser desastrosas: conozco casos de periodistas que perdieron años de investigaciones, fuentes cuya identidad se vieron comprometidas y reporteros que fueron atacados físicamente porque su adversario interceptó sus comunicaciones y descubrió a quiénes estaba investigando.

Hoy, con traficantes de drogas, terroristas despiadados y funcionarios corruptos tratando de interceptar y leer los emails de los periodistas de investigación, es más importante que nunca encriptar la información y ser capaces de enviarla de forma segura a través del email.

A continuación presento algunas opciones sencillas para asegurar tu email, con sus pros y contras. También me gustaría darte un consejo: si estás en peligro extremo y necesitas privacidad, no envíes, de ninguna manera, ningún tipo de información por email. Sino, por favor tómate el tiempo para adoptar alguna de las siguientes herramientas.

OpenPGP

Pros: Esta herramienta se basa en la clásica tecnología de encriptación asimétrica  Pretty Good Privacy (PGP). Prácticamente no hay manera de que un adversario pueda entrar y leer un mensaje cuidadosamente encriptado con OpenPGP. Una vez instalado, es muy sencillo de usar. También puedes encriptar archivos con esta tecnología.

Contras: Instalar correctamente OpenPGP no es del todo fácil. Necesitas seguir cuidadosamente varias instrucciones para instalar el software. Tendrás dos claves: una privada y otra pública. Cualquier persona puede tener la pública pero solo tú debes tener acceso a tu llave privada.

Tutoriales:

RiseUp

Pros: Se trata de un servicio de email seguro y gratuito, apoyado por una red de defensores de la privacidad en Internet. Permite el uso de las funciones más importantes de seguridad, como https, y opera solo sobre el Secure Socket Layer (SSL). Puedes abrir una cuenta sin proporcionar tu información personal.

Contras: Debido a que RiseUp se identifica con derechos humanos y activistas de la privacidad, contar con una cuenta de RiseUp puede atraer la atención de adversarios. Necesitas obtener dos códigos de dos usuarios ya existentes de RiseUp para abrir una cuenta propia.

Tutorial:

ProtonMail

Pros: Es una herramienta gratuita con servidores altamente asegurados en Suiza. Los emails están asegurados con el cifrado end-to-end (o de extremo a extremo). Puedes abrir una cuenta de manera anónima sin poner tu información personal. No hay necesidad de descargar software. ProtonMail no tiene acceso a las claves de desencriptado de los usuarios. Utiliza una encriptación estándar PGP de código abierto. Es fácil de usar.

Contras: Debes esperar algunas semanas para obtener una cuenta en ProtonMail.

Tutorial:

Mailvelope

Pros: Se trata de una extensión de navegador que permite a los usuarios intercambiar emails encriptados siguiendo el estándar de OpenPGP. Es una herramienta gratuita de código abierto. La encriptación es fuerte. Tendrás que crear un par de claves, una privada y una pública. Puedes compartir tu clave pública con tus contactos y guardar en secreto la privada. Se recomienda utilizar una contraseña fuerte para desencriptar los mensajes.

Contras: Si tu computadora o navegador son hackeados, tus oponentes podrán acceder a tu clave privada, intentar penetrar en tu contraseña y desencriptar tus emails. Tu contraseña es tu última línea de defensa y necesitas almacenarla de manera segura. Tus claves de Mailvelope no son utilizables para cifrar y descifrar archivos.

Tutorial:

Hushmail

Pros: Se trata de una herramienta de código cerrado con una opción gratuita. Utiliza tanto el cifrado asimétrico como el simétrico y es fácil de usar.

Contras: Debes proporcionar una cuenta de email regular y no puedes ocultar tu IP original para abrir una cuenta en Hushmail. Tu contraseña se almacenará en los servidores de Hushmail. Con una orden judicial, un gobierno puede solicitar acceso a tus datos de usuario. El asunto del email, los encabezados y metadatos no están encriptados. Si deseas enviar un mensaje cifrado a alguien que no use Hushmail, debes compartir la clave a través de otros medios. Hushmail obliga a los usuarios a iniciar sesión al menos una vez cada tres semanas para mantener la cuenta activa.

Tutorial:

Peerio

Pros: Peerio es un software de código abierto fácil de utilizar que ofrece un sistema de encriptación de alto nivel. Peerio crea un par de claves, una pública y otra privada, y las usa automáticamente para que el usuario envíe o lea mensajes cifrados. Los usuarios también pueden cifrar archivos y enviarlos a través de Peerio. La plataforma se puede utilizar como un repositorio de archivos encriptados. Los archivos no se cifran solamente para que viajen con seguridad de extremo a extremo, sino que también se encriptan específicamente a la clave pública del receptor. Así, nadie más que el destinatario podrá desencriptarlo y leerlo.

Peerio tiene otras características que pueden ser atractivas para los periodistas. Produce un avatar único para cada usuario, así que puedes reconocer si la persona que desea intercambiar mensajes es o no quien dice ser. Peerio produce contraseñas muy difíciles de hackear. Además, para mejorar la privacidad del usuario, no las almacena, lo que constituye una diferencia importante respecto de los servicios populares de email, donde la empresa conoce y guarda el nombre de usuario y su contraseña. Peerio también permite una autenticación de dos factores, emparejando el dispositivo móvil del usuario a la cuenta para proporcionar más seguridad.

Contras: Peerio todavía está en fase beta. Si deseas enviar documentos o mensajes muy sensibles en este momento, OpenPGP puede ser una buena opción.

Tutorial:

Imagen con licencia Creative Commons en Flickr, vía Chris Glass.