1. Introducción
Muchos periodistas veteranos, pero no solo estos, seguramente notaron que de repente estamos siendo bombardeados nuevamente de todas partes con menciones de Watergate. Libros como 1984 de George Orwell se exhiben en las librerías y un aire de peligro para la libertad de expresión y la libertad de prensa se está extendiendo lentamente como una nube oscura sobre el hemisferio occidental, levantando viejos temores.
Cuando un presidente en funciones estadounidense acusa a un ex presidente de vigilancia; cuando impide el acceso de los medios de comunicación centrales de los Estados Unidos, hasta ahora siempre concedido y dado por sentado, a las conferencias de prensa que realiza; y cuando golpea y acusa incesantemente a los medios de ser el enemigo número uno del país, no sorprende que surjan más recuerdos del presidente Nixon con cada tweet autocompasivo sobre SNL, y que incluso los senadores republicanos como John McCain expresen temor. para el futuro de la democracia.
Y McCain no está solo. Muchos periodistas con los que he hablado recientemente expresaron preocupación por lo que se avecina por la libertad de prensa. En un momento en que es posible expresar la siguiente declaración: "Donald Trump controla la NSA", y no ser considerado mentiroso, todo es posible. Agregue eso al hecho de que las noticias recientes sobre la CIA nos enseñaron que casi todos los sistemas de cifrado pueden verse comprometidos, si alguien tiene la perseverancia de descifrarlos, y usted está en camino de imaginar un mundo completamente distópico, donde ni siquiera puede ponerse cómodo. en tu sofá, frente a tu propio televisor inteligente.
La buena noticia es que, sin embargo, es posible dificultar que cualquiera intente interceptar sus correos electrónicos, los mensajes de texto que envía o sus llamadas telefónicas. Puede tomar medidas para hacer que la vida de aquellos que quieran descubrir sus fuentes y la información que se les revela sea mucho más difícil. Por supuesto, el grado de esfuerzo que está dispuesto a realizar para proteger su privacidad, el anonimato de sus fuentes y la seguridad de sus datos, debe ser proporcional a la probabilidad de una amenaza real, ya sea piratería o espionaje.
"Las promesas anticuadas, no voy a revelar la identidad de mi fuente o renunciar a mis notas, están un poco vacías si no estás tomando medidas para proteger tu información digitalmente", dice Barton Gellman del Washington Post, cuyo fuente, el ex contratista de la NSA Edward Snowden, ayudó a descubrir el alcance de las operaciones de la NSA y la GCHQ británica, a su entrevistador Tony Loci. La misma Loci, que cubrió el sistema judicial estadounidense para AP, The Washington Post y USA Today, y fue despreciada por la corte por negarse a identificar fuentes, probablemente respaldaría eso.
[the_ad id = "11018 ″]Entonces, ¿qué se debe hacer para garantizar que las fuentes y los datos de un periodista estén seguros y bien? Grosso modo, los consejos se pueden describir dentro de las siguientes categorías:
- Asegurar las aplicaciones y funciones en el dispositivo Esto se conoce como reducir la "Superficie de ataque", es decir, limitar las aplicaciones instaladas al mínimo, instalar solo desde fuentes confiables, seleccionar aplicaciones que requieran derechos mínimos, mantener el sistema completamente parcheado y actualizado, y tener tantos controles de seguridad (basados en documentos técnicos recientes) dispositivo.
- Aislar sus dispositivos y / o su entorno- Por ejemplo, el aislamiento físico de una computadora con el fin de verificar archivos, o el uso de dispositivos móviles prepagos.
- Actuando con cautela tanto en el mundo digital como en el real Esto tiene mucho que ver con el sentido común y un poco menos que ver con el software: por ejemplo, nunca escriba el nombre de la fuente, ciertamente no en ninguna aplicación o documento almacenado en su computadora, y ciertamente no en Cualquier cosa almacenada en la nube.
2. Comunicarse con su fuente y
salvaguardar los datos confidenciales
Comencemos enumerando lo que puede hacer cuando se trata de comunicarse con una fuente y almacenando información confidencial obtenida de la misma:
- Cuidado con los grandes nombres: Suponga que los sistemas de encriptación de las grandes empresas y posiblemente incluso los sistemas operativos de renombre (software propietario) tienen puertas traseras a las que pueden acceder los servicios secretos en su país de origen (al menos en los Estados Unidos y el Reino Unido). Bruce Schneier, experto en seguridad, lo explica aquí.
- Siempre encripte todo: Los expertos en seguridad usan matemáticas simples para exponer su punto: a medida que aumenta el costo de descifrar sus archivos (por ejemplo, para agencias de inteligencia como la NSA), aumenta automáticamente el grado de esfuerzo dedicado a seguirlo. Si no eres Chelsea Manning, Julian Assange o Edward Snowden y si no estuviste involucrado en la vigilancia activa alrededor de los apartamentos Trump Tower, pueden renunciar al esfuerzo incluso si tus comunicaciones encriptadas fueron almacenadas. Y si alguien decide rastrearlo a pesar de sus esfuerzos, será más doloroso si utiliza un cifrado seguro como AES (Advanced Encryption Standard) y herramientas como PGP o openVPN, que son los métodos de cifrado más potentes disponibles (los VPN son utilizados por el propio gobierno de los EE. UU.). Pero si desea seguridad a prueba de balas, necesitará más que el método de cifrado AES. PD: si desea descubrir el año en que su información cayó en manos de la NSA, solo eche un vistazo aquí.
- Realizar cifrado de disco completo: Esto se hace por si alguien pone sus manos en su computadora o teléfono. El cifrado completo del disco se puede hacer usando FileVault, VeraCryptor BitLocker. Poner una computadora en "Suspensión" (en lugar de Apagar o Hibernar) puede permitir que un atacante evite esta defensa. Aquí, Mika Lee da una guía completa para encriptar su computadora portátil.
- Evite chatear con fuentes por teléfono: Todas las compañías telefónicas almacenan datos relacionados con la persona que llama y los números del receptor, así como la ubicación de los dispositivos en el momento en que se realizaron las llamadas. En los EE. UU. Y en varios otros países, la ley les exige que divulguen información sobre las llamadas registradas en su poder. ¿Qué se puede hacer? Debe utilizar un servicio de llamadas seguras, como el que posee la aplicación Signal, cuya seguridad se probó repetidamente. Aunque esto puede significar que tanto la fuente como el editor también deben descargar la aplicación, el proceso toma solo unos minutos. Aquí hay un guía sobre cómo usarlo. Solo por el truco, mira cuántos de tus amigos no periodistas están pasando el rato. Sin embargo, si eliges comunicarte con tu fuente, no lleves tu teléfono móvil a reuniones confidenciales. Compre un dispositivo desechable y encuentre una forma de transmitir su número a la fuente de antemano. La fuente también debe tener un dispositivo desechable seguro. Las autoridades pueden rastrear su movimiento a través de las señales de la red celular y se recomienda hacer que sea más difícil ubicarlo retroactivamente en el mismo café donde estaba la fuente. Si no cumple con esta regla, todo lo que las autoridades locales deberán hacer es pedir (cortés y legalmente) el video filmado por la cámara de seguridad del café al momento de su reunión.
- Elija mensajeros seguros: sus llamadas (celulares y a través de líneas fijas) pueden ser monitoreadas por las fuerzas del orden y cada SMS es como una postal: todo el texto es completamente visible para quienes puedan interceptarlo. Por lo tanto, use Mensajeros que permitan una señal segura de un extremo a otro, que ya se mencionó anteriormente, y Telegram se considera que es el más seguro (aunque Telegram y las aplicaciones web de WhatsApp se comprometieron una vez y luego se corrigieron). Según algunos expertos, también se puede considerar el uso de SMSSecure, Threema e incluso Whatsapp. El protocolo de señal se ha implementado en realidad en Whatsapp, Facebook Messenger y google Allo, haciendo conversaciones usándolas encriptadas. Sin embargo, a diferencia de Signal y WhatsApp, Google Allo y Facebook Messenger no cifran de manera predeterminada, ni notifican a los usuarios que las conversaciones no están cifradas, sino que ofrecen cifrado de extremo a extremo en un modo opcional. También debe tener en cuenta que Facebook Messenger y WhatsApp son propiedad de Facebook. Meridium y Pidgin son los clientes de mensajería instantánea Mac y Windows más populares que admiten el protocolo de cifrado OTR (Off the Record) y Tor, el mejor navegador cifrado de la web, que veremos en detalle más adelante (vea cómo habilitar Tor en Adium aquí y en Pidgin aquí) Naturalmente, también podría usar el Tor Messenger, que es probablemente el más seguro de todos. Dos notas finales sobre mensajes de texto: un experto en seguridad cibernética con el que he discutido esto dice que también debería tener una hipótesis de trabajo de que el texto está cifrado pero el hecho de que estas dos personas específicas están hablando, en este momento, puede pasar desapercibido. La segunda nota es que también debe recordar eliminar los mensajes en su teléfono (aunque esto puede no ser suficiente para resistir una verificación forense), solo en caso de que su dispositivo caiga en las manos equivocadas, a evitar exponer de ellas.
- No use chats organizacionales: Slack, Campfire, Skype y Google Hangouts no deben usarse para conversaciones privadas. Son fáciles de ingresar y están expuestos a solicitudes de divulgación para uso de los tribunales, para resolver problemas legales en el lugar de trabajo. Por lo tanto, es mejor evitarlos, no solo cuando se trata de conversaciones con fuentes, sino también conversaciones entre colegas, editores, etc., cuando necesita pasar información recibida de su fuente, cuya identidad debe mantenerse oculta. Muchos servicios populares de VoIP como Jitsi tienen funciones de chat incorporadas, y varios de ellos están diseñados para ofrecer la mayoría de las funciones de Skype, lo que los convierte en un excelente reemplazo.
- En casos extremos, considere usar un blackphone: Este teléfono, que se esfuerza por proporcionar una protección perfecta para la navegación web, llamadas, mensajes de texto y correos electrónicos, es probablemente el mejor sustituto de un teléfono normal si está a punto de derrocar a su gobierno o prepararse para publicar archivos militares secretos. Un chaleco antibalas también puede ser útil. Alternativamente, intente prescindir de un teléfono celular, u opte por una bolsa de bloqueo de señal RFID de teléfono celular. Siempre existe la opción de que incluso el Blackphone se pueda rastrear usando su IMEI (la identificación del teléfono móvil).
- Protección de datos en su computadora: Es muy fácil romper las contraseñas normales, pero puede llevar años romper las frases de contraseña, es decir, combinaciones aleatorias de palabras. Recomendamos probar herramientas seguras de administración de contraseñas como: LastPass y 1Password y KeePassX. Deberá recordar solo una contraseña, en comparación con demasiadas contraseñas. Y aún así, cuando maneje servicios importantes como su correo electrónico, no confíe en los administradores de contraseñas: solo asegúrese de recordar la contraseña. entrevista a Alastair Reid en journalism.co.uk, Arjen Kamphuis, un experto en seguridad de la información, recomendó que para discos duros cifrados, correo electrónico seguro y desbloqueo de computadoras portátiles, se debe elegir una contraseña de más de 20 caracteres. Por supuesto, cuanto más larga sea la contraseña, más difícil será descifrarla, pero también será más difícil recordarla. Es por eso que recomienda el uso de una frase de contraseña. "Puede ser cualquier cosa, como una línea de tu poesía favorita", dice Kamphuis, "tal vez una línea de algo que escribiste cuando tenías nueve años que nadie más sabrá". Reid informa este cálculo que provoca reflexión, usando el Calculadora de seguridad de contraseña de Gibson Research Corporation: Una contraseña como "F53r2GZlYT97uWB0DDQGZn3j2e", de un generador de contraseñas aleatorias, parece muy fuerte, y de hecho lo es, tomar 1.29 cien mil millones de billones de siglos para agotar todas las combinaciones incluso cuando el software está haciendo cien billones de conjeturas por segundo.
- Autenticación de dos factores también es una muy buena idea. En una autenticación regular de dos etapas, usted inicia sesión con su contraseña y recibe un segundo código, a menudo a través de un mensaje de texto a su teléfono inteligente. Puede usar Yubikey, así como tokens de hardware para proteger aún más los archivos confidenciales en su computadora. Para obtener más información, lea el Reglas de oro de 7 para seguridad de contraseña.
- Asigne una computadora para inspeccionar archivos / archivos adjuntos sospechosos: La forma más fácil de distribuir malware y spyware es mediante la instalación a través de USB o mediante archivos adjuntos y enlaces de correo electrónico. Por lo tanto, se recomienda utilizar una computadora con espacio de aire para examinar estas amenazas en cuarentena. Con esta computadora, puede usar libremente un USB y descargar archivos de Internet, pero no transfiera los archivos a su computadora normal ni reutilice ese USB.
- Cómo comprar su propia computadora segura: El experto en seguridad Arjen Kamphuis de CFP. comprar un IBM ThinkPad X2009 o X60 anterior a 61. Estas son las únicas computadoras portátiles suficientemente modernas con sistemas de software modernos, que permiten reemplazar el software de bajo nivel. Otro punto a tener en cuenta es que no debe comprar su computadora en línea, ya que puede ser interceptada durante la entrega. Kamphuis recomienda comprarlo en una tienda de segunda mano por dinero en efectivo. También señala que debe abolir toda conectividad: eliminar todas las capacidades de Ethernet, módem, Wi-Fi o Bluetooth. Personalmente, conozco expertos en seguridad que no confiarían en una computadora así.
Puede ver la versión en PDF del libro electrónico de esta guía aquí.
¿Estás bromeando? ¿Quién tiene el tiempo, el dinero y la energía para gastar "encriptando" cada sílaba que escribes o hablas? Cuando la vida se vuelve tan compleja, ¿quién quiere participar más? Las computadoras ya no son dispositivos útiles, sino una fuente de miseria que absorbe el tiempo y la mente. Todos nos vemos obligados a usarlos porque ninguna empresa, ninguna organización, está dispuesta a brindar un servicio si el cliente no está dispuesto a usarlos. La tecnología prometió mucho y ha proporcionado poco más que una trampa moral y mental. ¡Una plaga en todas sus casas!