Los enemigos del periodismo independiente utilizan hoy en día todo un arsenal electrónico para atacar sitios web de noticias. Puede tratarse de funcionarios de gobiernos autoritarios, compañías privadas corruptas o incluso organizaciones criminales. Su interés común es silenciar las voces independientes y suprimir cualquier intento de exponer casos de corrupción, negligencia o violaciones a los derechos humanos.
Estos ciberataques son costosos –a veces impagables– para las pequeñas redacciones digitales que carecen de recursos para contratar una firma de seguridad cibernética o consultores de informática. Sin soporte técnico, los sitios de noticias independientes son muy vulnerables a estos ataques.
Es difícil proteger tu sitio web de noticias con un mínimo de experiencia técnica. Lamentablemente, no muchos periodistas saben qué hacer cuando su sitio es atacado. Desarrolladores, ingenieros informáticos y hackers tienden a estar más familiarizados con la jerga tecnológica relacionada con la seguridad, pero no así los periodistas. Sería estupendo que las universidades de periodismo se comprometieran a incorporar la ciberseguridad en sus programas académicos pero, por ahora, tenemos que aceptar la realidad de que no estamos preparados para lidiar con los ciberataques.
Si tienes un sitio de noticias independiente que funciona con un presupuesto modesto y pocos recursos, necesitas aprender a configurar parámetros de seguridad tú mismo o encontrar a tecnólogos que puedan hacerlo pro-bono. La buena noticia es que hay unos cuantos especialistas en ciberseguridad dispuestos a ayudar a periodistas en peligro, y las redacciones pueden aprovechar sus habilidades.
Puedes pedir ayuda al Information Safety and Capacity Project, una organización sin fines de lucro de Washington D.C. que brinda apoyo técnico a sitios de noticias digitales. Redacciones que publican en árabe, ruso, español o inglés pueden postular para cursos de capacitación en ciberseguridad.
También puedes solicitar ayuda a una nueva organización llamada Security Without Borders, un grupo de hackers y especialistas en ciberseguridad que donan su tiempo para ayudar a periodistas y activistas de derechos humanos que necesitan una mejor seguridad online.
Hace varios años, la organización sin fines de lucro canadiense eQualit.ie lanzó la plataforma Deflect, que tiene como objetivo ayudar a los sitios de noticias y de derechos humanos a resolver ataques DDoS (de degeneración de servicio, por su sigla en inglés) distribuidos. Estos ataques abruman a los servidores de sitios web con solicitudes de acceso hasta que el sitio se colapsa y se vuelve inaccesible. La suscripción a Deflect es gratuita, y ofrece servicios en varios idiomas, incluyendo español, árabe, persa y ruso. Deflect también ofrece hosting gratuito y certificados de seguridad para sitios creados con WordPress.
También puedes solicitar ayuda de Google a través de su proyecto Google Shield, cuyo objetivo es proteger a sitios web de periodismo y a periodistas de ataques DDoS. El soporte es gratuito para quienes trabajan en medios independientes e incluye análisis en tiempo real y certificados de seguridad. Puedes registrar varios sitios en una sola cuenta.
Además del apoyo de esas organizaciones, los periodistas también deben aprender qué pasos deben tomarse para prevenir ataques cibernéticos. Probablemente no vayas a convertirte en desarrollador de la noche a la mañana, pero vale la pena hacer un esfuerzo por aprender lo básico y así estar mejor preparado para solicitar ayuda técnica cuando enfrentes un ataque DDoS. Algunas medidas fundamentales de ciberseguridad para los sitios web de periodismo son las siguientes:
- Aloja tu sitio web en un servidor dedicado en lugar de un servidor compartido. Esto te protegerá de los hackers que pueden usar vulnerabilidades de un sitio web para atacar a otro sitio alojado en el mismo servidor.
- Consigue un certificado de seguridad y una dirección IP exclusiva (puedes obtenerlos de forma gratuita con Deflect o con Google Shield). Los certificados de seguridad cifran la información que transita entre los navegadores que utilizas y tu servidor, mientras que una dirección IP única le da a tu sitio una mayor estabilidad.
- Instala firewalls de aplicaciones web en todos los equipos de tu redacción. Utiliza un antivirus fuerte para cada dispositivo.
- Usa contraseñas fuertes. Puedes usar herramientas como esta para generarlas.
- Actualiza cada software que tu sitio utiliza.
- Si construiste tu sitio web con WordPress, asegúrate de ocultar tu página de inicio de sesión a los visitantes del sitio. Otros pasos clave para asegurar un WordPress incluyen eliminar el generador de metatags, personalizar tu dirección de inicio de sesión y eliminar cualquier información respecto de qué versión de WordPress empleas.
- Es recomendable usar solo URLs cortas en el contenido de tu sitio. Los hackers tienden a usar URLs largas para acceder al directorio de archivos del sitio web, lo que les permite desfigurar la página principal, destruir información o inyectar código.
- Evita hacer públicos los archivos del sitio web, en particular archivos como readme.html, readme.txt, wp-config.php, wp-includes y .htaccess. Con este sencillo paso puedes ahorrarte muchos ataques comunes.
- Haz una copia de seguridad diaria de tu sitio web. Si un ataque cibernético tiene éxito e infecta la base de datos de tu sitio, puedes cargar una copia limpia mientras contraatacas la infección.
- No uses una red de WiFi insegura para entrar a tu sitio.
Jorge Luis Sierra es un premiado periodista de investigación mexicano y editor y experto en seguridad digital. Conoce más sobre su trabajo como becario ICFJ Knight entrando aquí.
Imagen con licencia Creative Commons en Flickr, vía Nathan Meijer.