Introducción
¶ 1 Leave a comment on paragraph 1 0 Imagina que abres tu bandeja de entrada y te encuentras con un email anónimo de alguien que te ofrece compartir documentos sensibles y de importancia internacional. La fuente, y la información, requieren el nivel más alto de protección. ¿Qué haces?
¶ 2 Leave a comment on paragraph 2 0 Este manual está diseñado para instruir a periodistas y organizaciones de medios de comunicación sobre cómo ejercer la seguridad de información en la era digital y proteger tu trabajo, tus fuentes y tus comunicaciones en una variedad de niveles de riesgo.
¶ 3
Leave a comment on paragraph 3 0
Seguridad de información o “InfoSec”, es la práctica de proteger la información de accesos no autorizados. La información en riesgo puede incluir un reportaje en el que trabajas y los archivos relacionados, la identidad de tu fuente(s), tu comunicación con ellas y, a veces, tu propia identidad.
No necesitas ser un experto en informática para practicar InfoSec (¡Aunque sin duda vas a aprender mucho mientras vayas avanzando!). Usando este manual podrás aprender en cuestión de días a enviar correos y documentos encriptados desde tu segurísimo ordenador portátil.
Las Amenazas: ¿Quién plantea una amenaza?
¶ 4
Leave a comment on paragraph 4 0
Amenazas específicamente dirigidas
Las revelaciones de Snowden revelaron la extraordinaria capacidad de algunas agencias gubernamentales de inteligencia de interceptar comunicaciones, y de lograr acceso no autorizado a datos en casi todos los ordenadores personales o aparatos electrónicos de comunicación en el mundo. Esto podría suponer un riesgo en la seguridad de la información para un periodista de investigación, que trabaja en reportajes centrados en algún interés de estos gobiernos, sus agencias y sus contratistas privados en materia de inteligencia.
¶ 5 Leave a comment on paragraph 5 0 Muchos estados carecen de estas tecnologías sofisticadas de vigilancia – pero todos los estados poseen capacidades de vigilancia, algunas de las cuales pueden ser usadas, como ha sucedido algunas veces, en contra de periodistas, con consecuencias potencialmente graves. Se piensa que Etiopía, un estado menos avanzado tecnológicamente, haya lanzado ataques remotos contra periodistas en oficinas dentro de los Estados Unidos.
¶ 6 Leave a comment on paragraph 6 0 En la era globalizada, algunas corporaciones transnacionales tienen más riqueza y poder que muchos estados soberanos. De la misma manera, algunas corporaciones transnacionales poseen mayores capacidades de ‘seguridad’ o de vigilancia que muchas naciones soberanas.
¶ 7 Leave a comment on paragraph 7 0 Y no solo las corporaciones; también se sabe que sofisticadas organizaciones criminales han usado tecnologías de vigilancia, y algunas organizaciones delictivas pueden superponerse con elementos criminales en el gobierno. El Ejército Mexicano gastó 350 millones de dólares en herramientas de vigilancia entre 2011-2012, y según informes ahora posee la tecnología para recoger mensajes de texto, llamadas telefónicas y correos; para activar de forma remota grabaciones de teléfonos móviles; y hasta para detectar movimientos a través de las paredes, usando tecnología radar. Asimismo, entre el 2011 y el 2012, nueve periodistas fueron asesinados en México por motivos relacionados con su trabajo.
¶ 8 Leave a comment on paragraph 8 0 El acceso no autorizado a tu información puede implicar su uso, divulgación, distorsión, modificación, inspección, grabación o destrucción. Tú y tu fuente podríais estar expuestos a riesgos jurídicos o físicos, y la información a la base de tu reportaje podría verse comprometida. En situaciones de alto riesgo, InfoSec puede tan importante como usar un chaleco antibalas y viajar con guardaespaldas; sin embargo, puesto que las amenazas digitales son invisibles, complejas y a menudo no detectables, es posible subestimarlas o pasarlas por alto.
¶ 9
Leave a comment on paragraph 9 0
Amenazas de emboscada
Puede que también quieras protegerte de los programas de vigilancia ‘por emboscada’, encabezados por la Agencia de Seguridad Nacional de EEUU (NSA) y el Cuartel General de Comunicaciones Gubernamentales del Reino Unido (GCHQ).
¶ 10 Leave a comment on paragraph 10 0 Se trata de programas que filtran y recogen en todo el mundo los datos de la red y las telecomunicaciones permitiendo, potencialmente, investigaciones retroactivas. Si, por ejemplo, por dar informaciones sobre actividades estatales secretas o controvertidas, te volvieras una persona de interés para el gobierno, sería posible recopilar un registro de tu actividad diaria yendo varios años atrás.
¶ 11 Leave a comment on paragraph 11 0 Practicar InfoSec
¶ 12 Leave a comment on paragraph 12 0 Como todo buen periodista, a lo largo de tu carrera vas a revolver algunos avisperos. Por lo tanto, una buena práctica de InfoSec equivale a normalizar varias estrategias de forma permanente, para que encajen fácilmente con tu trabajo diario. También quiere decir emplear diferentes estrategias de protección caso por caso, ya que cuando trabajes con casos sensibles y fuentes vulnerables tendrás que usar métodos de InfoSec más sólidos y que requieran más esfuerzos.
¶ 13 Leave a comment on paragraph 13 0 El primer paso hacia una buena práctica de InfoSec consiste en ser consciente de las amenazas; el segundo es ser consciente de la las vulnerabilidades de tu hardware y software. Entender cómo y por qué se verifica un acceso no autorizado es el primer paso para aprender a protegerte de él.
¶ 14
Leave a comment on paragraph 14 0
Cuestiones jurídicas
A pesar del hecho de que la continua vigilancia de ciudadanos respetuosos de la ley casi seguramente contraviene las leyes internacionales sobre los derechos humanos, el uso de algunos instrumentos para proteger la privacidad pueden ser ilegales.
¶ 15
Leave a comment on paragraph 15 0
Varios de los instrumentos de privacidad mencionados en este manual son instrumentos criptográficos. La criptografía puede ser ilegal o requerir una licencia en diversos países, entre ellos China, Cuba, Irán, Libia, Malasia, Corea del Norte, Singapur, Sudán y Siria, puede ser ilegal o requerir una licencia Cuando entres a algunos de estos países, puede ser que tengas que declarar cualquier tecnología de encriptación que lleves en tu laptop. Deberías tener en cuenta las consecuencias legales de usar criptografía y tomar decisiones informadas sobre dónde y cuándo es seguro usarla. Puedes averiguar más sobre las leyes de criptografía en cada país aquí: http://www.cryptolaw.org
Modelar las amenazas
En este manual hay mucha información sobre varios tipos de amenazas posibles y sobre las medidas que se pueden tomar para defenderse de ellas. Sin embargo, como las tecnologías de ataque están en constante cambio y buena parte de su uso es totalmente secreto, raramente podemos decir con confianza cuáles son las amenazas exactas; cuándo y dónde se producen y a quién afectan; o la eficacia de nuestras defensas.
¶ 16 Leave a comment on paragraph 16 0 Por lo tanto, es tu responsabilidad evaluar personalmente los riesgos y diseñar, en el transcurso de la lectura de este libro, una respuesta defensiva apropiada . Quizás quieras también considerar los factores prácticos – algunos usuarios pueden comprometer su InfoSec, conscientes del riesgo, por otras exigencias prácticas de su trabajo, al tiempo que otros usuarios usan niveles de InfoSec sofisticados y superiores a sus necesidades sencillamente porque lo encuentran prácticamente factible.
¶ 17 Leave a comment on paragraph 17 0 Algunas preguntas básicas que quizás quieras preguntarte cuando modelas tus estrategias de InfoSec:
- ¶ 18 Leave a comment on paragraph 18 0
- ¿Quiénes podrían ser tus adversarios o potenciales atacantes?
- ¿Qué herramientas pueden poseer tus atacantes?
- ¿Qué probabilidades hay de que tu atacante use las herramientas a su alcance en contra tuya?
- ¿Qué riesgos podrían surgir, para ti y para aquellos con los que te comunicas/trabajas, en el caso de un ataque dirigido?
- ¿Qué riesgos surgen de la vigilancia pasiva? ¿Hasta qué punto se extienden las herramientas usadas en la vigilancia pasiva?
- ¿Qué estrategias de defensa son prácticas, seguras y eficaces a la luz del riesgo que calculas puedas tener?
- ¿ Qué estrategias de defensa son prácticas, seguras y eficaces y pueden ser enseñadas a tus fuentes y a tus colegas, considerando el riesgo, evaluado u ocurrido, para ellos y para vuestras comunicaciones ?
¶ 19 Leave a comment on paragraph 19 0 Las amenazas cambiarán con el tiempo – pero también lo harán las tecnologías disponibles para proteger a los periodistas y a los ciudadanos. Así, es importante entender la teoría de InfoSec en la teoría, y estar siempre aprendiendo sobre su práctica.
[instrumentos de privacidad que se tratan en este manual]
Lo correcto sería “de los que se trata en este manual” o “mencionados en este manual”.
[Esta criptografía en varios países, entre ellos (…) o requerir una licencia]
Queda más claro si se reordena la frase: “La criptografía puede ser ilegal o requerir una licencia en diversos países, entre ellos (…)”
[Córea del Norte]
“Corea del Norte”, sin tilde.
[Deberías de tener en cuenta]
Sobra el “de”: “Deberías tener en cuenta”