Ciberseguridad y periodismo

En los últimos días todos hemos sido conscientes del bombazo mediático que ha supuesto la filtración informativa de 2,6 terabytes de documentos confidenciales de la firma de abogados Mossack Fonseca por parte de una fuente anónima al periódico alemán Süddeutsche Zeitung, que posteriormente compartió con el Consorcio Internacional de Periodistas de investigación, que revelaban el ocultamiento de propiedades de empresas, activos y evasión de impuestos de personalidades de distinta índole, desde jefes de Estado, líderes políticos, deportistas, etc. a través de compañías offshore.

Fuente y trabajo periodístico

La fuente anónima, tomó contacto directo con el periódico alemán y  tan solo pidió a cambio de la información, que se tomaran ciertas medidas que garantizaran su anonimato y seguridad, como por ejemplo exigir que todas las comunicaciones establecidas se realizarán de forma cifrada y no permitir encuentros personales.

Los más de 11,5 millones de documentos filtrados han estado siendo analizados por más de 400 periodistas de todo el mundo desde hace un año, y aunque ya han liberado las primeras conclusiones, se prevé que continúen filtrando información en las próximas semanas/meses.

Desde el punto de vista de la ciberseguridad, tanto la fuente como los periodistas involucrados durante todo este año en las investigación de la filtración parecen haber tomado las suficientes medidas de protección ya que la fuente continúa en el anonimato, y durante todo este año no se ha filtrado nada de lo que estos periodistas estaban investigando.

Es evidente que para un periodista/informante/bloguero el uso de las tecnologías en ciertas situaciones, como puede ser durante el manejo de información comprometedora en zonas de conflicto o bajo regímenes dictatoriales o represivos, supone correr ciertos riesgos de seguridad: las comunicaciones pueden ser interceptadas, las fuentes pueden verse comprometidas, los metadatos de sus comunicaciones le pueden geolocalizar, etc. Con lo que es crítico extremar las medidas de protección en cuanto a seguridad digital ya que los periodistas están en el punto de mira y son susceptibles de ser objetivos en ataques dirigidos.

Desde Reporteros Sin Fronteras (RSF) es algo que tienen en cuenta, y en el manual de seguridad para periodistas (una lectura recomendable) que puede descargarse desde su Web, contemplan un apartado íntegro para aconsejar cómo se ha de proceder en cuanto a la seguridad digital. Plantean tres situaciones fundamentales a tener en cuenta desde el punto de vista de la ciberseguridad con una serie de reglas -las cuales he ampliado un poco- para cada uno de ellos:

LIMPIEZA GENERAL ANTES DE SALIR

1. Viaja con una identidad digital lo más “virgen” posible:

  • Si te secuestran o detienen todo lo que aparezca en Internet sobre ti puede ser utilizado en tu contra poniendo en peligro no solo tu integridad sino la también la de tus allegados, así que se recomienda revisar tu perfil digital y limpiar todo aquello que pudiera dar información sobre ti que pudiera ser usada en tu contra, sobre todo en las redes sociales: fotos, comentarios religiosos, políticos etc. Revisa también la visibilidad que tienen tus perfiles en redes sociales para minimizarla al máximo. Contempla la posibilidad también de crear identidades digitales falsas; un perfil demasiado “limpio” quizá puede ser sospechoso.
  • De igual forma, toda la información que se encuentre en tus dispositivos electrónicos (Sea PC, tablet, smartphone, cámara, USB…) debe ser eliminada de forma segura antes de salir. Es decir, cómo mínimo un formateo/restablecimiento de fábrica de todo. Un ejemplo de como hacer borrados seguros en móviles podemos encontrarlo esta guía. Y aunque hay multitud de herramientas para hacer un borrado seguro, éstas son algunas recomendaciones para los distintos sistemas:
    1. GNU/Linux: Shred.
    2. MS Windows: Eraser.
    3. MacOS: Srm.
    4. Android: Secure Delete.

2. Instala las herramientas de seguridad que necesites: una vez hecho el paso anterior se recomienda instalar las herramientas que te ayudarán a protegerte desde el punto de vista digital:

  • Actualizar el sistema operativo y todos los elementos software (navegador, complementos de navegación, antivirus, etcétera) de los dispositivos de que dispongamos, tanto PC como smartphones o tablets.
  • Cifrar el disco duro: para ello se puede hacer uso de herramientas como:
    1. FileVault (MAC OS)
    2. BitLocker Drive Encryption (Windows)
    3. Veracrypt (basada en la descontinuada TrueCrypt), otras

    Hay que tener en cuenta que algunas herramientas pueden configurarse para que las contraseñas estén en un pendrive o tarjeta inteligente y que algunas soluciones también tienen la opción de mostrar una partición falsa “pública” (y ocultar la “buena”), de modo que si te obligan a dar una clave que se vea algo inocuo.

    En modo ‘paranoico’ podríamos pensar en trabajar en vez de desde un disco duro, desde un pendrive o desde un pendrive/lector de tarjetas microsd ya que éstas últimas se pueden esconder en cualquier sitio.

  • Utilizar contraseñas seguras y una diferente para cada servicio. Se puede hacer uso de gestores de contraseñas cuyo funcionamiento y ejemplos se pueden consultar en este informe.
  • Instalar una VPN (RSF proporciona su propio servidor del que puede hacer uso cualquier periodista que lo solicite, aunque, sin haber mirado los detalles de ésta, está claro que si la usas es que eres un periodista). Aquí un listado de proveedores de servicios de VPN más comerciales.
  • Navegar a través de Tor Browser.
  • Utilizar herramientas o servicios de cifrado en las comunicaciones:
    1. Correo electrónico: Thunderbird + Enigmail
    2. Mensajería instantánea: Pidgin/Adium + OTR, CryptoCat
    3. Telefonía: Silent Circle, Signal, Redphone, Cryptophone, Zfone Project
    4. Otras: Privnote, Zerobin, Jitsi

    Otra opción es no llamar la atención usando “software comprometedor”, por ejemplo usar Bitlocker y WhatsApp (ahora que ya va cifrado extremo a extremo) es quizá menos sospechoso que llevar VeraCrypt y OTR. Habría que valorarlo.

    También hay que tener en cuenta que tener un teléfono cifrado o satélite es delito o tiene ciertas restricciones en algunos países; se han dado casos en India , Birmania, Cuba ,Corea del Norte o Rusia en la que si eres extranjero estás obligado al entrar en el país a dar los datos de tu SIM.

3. Detecta los riesgos y trabaja por bloques separados: en ocasiones se hace muy difícil bastionar todos y cada uno de los dispositivos, servicios y comunicaciones de la manera más óptima y precisa. Por eso, se sugiere trabajar por bloques separados dependiendo de la información que quieres proteger y cómo la quieres proteger. Para detectar esos riesgos y el tipo de información con el que trataremos se recomienda responder a las siguientes preguntas:

  1. ¿Cuáles son los datos más críticos que quiero proteger?
  2. ¿Quién y por qué los querría?
  3. ¿Qué puedo hacer para protegerlos?
  4. ¿Qué consecuencias tendría que salieran a la luz estos datos críticos?
  5. En el peor de los casos…¿cómo podría eliminar estos datos o limitar el daño?

Una vez identificados los riesgos/información según su naturaleza es posible por ejemplo separar tus actividades según sean por ejemplo profesionales, personales, o críticas (manejo de información altamente sensible) en varios dispositivos, números de teléfono (Ejemplo: usar una SIM de prepago que no te vincule para contactar con fuentes comprometedoras), cuentas de correo, etc para limitar posibles accesos.

SOBRE EL TERRENO: DISCRECIÓN MÁXIMA

1. Ojo con las miradas indiscretas

      • No trabajar de espaldas a ventanas o puertas de cristal y hacer uso en tu pantalla de un “filtro de privacidad” que restrinja la visión lateral.

2. Smartphones y sus peligros

      • Sobre operaciones en el terrero se sugiere hacer uso de un móvil lo más básico posible con una SIM local de prepago y el mínimo de contactos e información. Si es necesario grabar contactos es recomendable hacerlo en la SIM y no en el teléfono ya que aquella es más fácil de destruir si llegara una situación complicada. Y siempre que sea posible, eliminar SMS y registros de llamadas.
      • En la agenda intenta guardar tus contactos con apodos o incluso create alguna regla mnemotécnica que solo sepas tú para guardar los números cómo invertir siempre la última cifra, o suma +1 al último número, omite números, etc. De esta forma aunque se hagan con tus contactos no serían los correctos.
      • Evita al viajar activar la Wifi, Bluetooth, y todas aquellas funciones que pudieran hacer uso de funciones de geolocalización. Hay que tener en cuenta que dispositivos como cámaras de fotos o video que llevan GPS y Wifi, o navegadores GPS también pueden ser utilizados para localizarte u obtener información sobre ti.
      • Para acudir a una cita “comprometedora” lo recomendable es no llevar el ningún dispositivo electrónico encima, y si se lleva quitarle la batería y SIM -si la lleva- antes de salir.

3. Como comunicarte de forma segura con tu redacción:

      • Evalúa los riesgos. Piensa si es mejor salir de una zona de alto riesgo para enviar la información, o quizá sea mejor exfiltrar rápidamente la información y eliminarla de tus dispositivos cuanto antes.
      • Se recomienda ser muy breve en las llamadas y conexiones a Internet para evitar posibles localizaciones. Además se recomienda no llamar varias veces desde el mismo sitio y apagar y quitar la batería del dispositivo entre usos del mismo.
      • Si dispones de teléfono por satélite úsalo con auricular y evita mostrarlo ya que es fácilmente identificable y característico de los periodistas de guerra. Se recomienda encenderlo solo en entornos en los que se pueda evacuar con facilidad.
      • Por supuesto cifra tus correos, chats, etc y cuida de limpiar los metadatos.

4. Como comunicarte de forma segura con tus fuentes:

  • Un ‘viejo truco’ que recomiendan es hacer uso de único buzón con una contraseña que compartas con tu fuente y que os comuniquéis a través de borradores de emails que no se llegan a enviar.
  • Es posible hacer uso de gestores de correo anónimos o direcciones de correo temporales. Aquí os dejo algunos servicios de éstos últimos:
    1. 10 minute mail
    2. Yop Mail
    3. Mailinator

Puntualizar en este caso que este tipo de correos irán por SMTP en claro así que no se considera seguro en caso de querer transmitir información sensible. Se recomendaría complementarlos con anonimizadores y remailers

  • Y de nuevo: cifra, cifra y cifra.

CONDICIONES EXTREMAS

1. Aprende a vivir sin tecnología: Si algo emite, puede ser detectado y en última instancia localizado. Opta por las citas personales y acude a ellas sin dispositivos tecnológicos o con móviles a los que puedas retirarles la batería.

2. Protege tus datos y a ti mismo:

      • Si tu prioridad es sacar la información puedes grabarla y hacer retransmisiones en directo y no conservar nada por si te detienen o secuestran. Plataformas como Youtube, Periscope o Bambuser son muy utilizadas.
      • Si tu prioridad es garantizar tu propia seguridad, guarda copias de seguridad de la información en diferentes dispositivos y ocúltalos o distribúyelos a terceros de confianza.
      • En caso de amenaza inminente destruye la SIM y los datos sensibles de tu PC y dispositivos. Por ejemplo Amnistía Internacional ha desarrollado para Android el “botón del pánico”: se trata de una app para alertar de forma secreta a tus contactos clave ante determinadas situaciones (por ejemplo detención) y que puedan geolocalizarte y hacer ciertas acciones acorde a tu plan de emergencia como puede ser borrar datos sensibles, o cambiar contraseñas, enviar correos, etc.

3. Crea espacios ultra seguros para tus actividades más comprometedoras

      • Por ejemplo para ciertas comunicaciones es posible usar Tails, que te ofrece bastantes garantías de anonimato y es posible usarlo a través de un medio extraíble. Las comunicaciones van cifradas y vía Tor y además por defecto es un sistema “amnésico”, no registra nada en las sesiones en las que se utilice.

Por último comentar que desde RSF se organizan periódicamente sesiones formativas en seguridad digital y se ofrecen tutoriales que pueden ser descargados desde wiki.rsf.org y http://slides.rsf.org. También disponen de un recopilatorio de herramientas útiles accesibles desde http://slides.rsf.org/en/digitaltoolbox/ y lo que denominan como Kit de Supervivencia Digital que explica desde cómo usar una VPN, usar Tails o eliminar metadatos, entre otro tipo de acciones.

Otros recursos que os dejo y que podrían ser útiles serían los siguientes:

¿Qué os parecen estas medidas? ¿Se os ocurren más?

Comments

  1. Un articulo muy completo y muy interesante que refleja la necesidad de inculcar unas nociones básicas sobre seguridad a ciertas profesiones que lo necesitan cada vez más.

    Se lo recomendaré a una amiga periodista.

    Un saludo.

  2. Muchas gracias !