Xenia Oliva, una periodista investigativa cuyo teléfono fue jaqueado siete veces, mientras trabaja en la sede de Gato Encerrado en San Salvador, El Salvador, el 11 de enero de 2022. (Reuters/Jéssica Orellana)

Seguridad digital: fuentes contrarias u hostiles

El trabajo periodístico puede implicar investigar y contactar a personas que representan una amenaza para usted o el medio informativo en el que trabaja. Utilizar dispositivos y cuentas personales para hacer esas actividades pudiera exponerlo al hostigamiento y el robo de identidad, puesto que utilizar su teléfono o la Internet puede revelar información sobre usted y su ubicación como, por ejemplo, su correo electrónico o dirección IP. Tome medidas para protegerse antes de comunicarse con ese tipo de fuentes.

Antes de comenzar las investigaciones

  • Busque información sobre la persona, para ver si tiene antecedentes de hostigar a periodistas que le han dado cobertura, y averigüe si los riesgos que representa son digitales, físicos o ambos.
  • Revise las prácticas seguras para buscar información en la Internet, las cuales se presentan más adelante, antes de visitar el sitio web de una persona y otras plataformas digitales como salas de chat o grupos de Facebook.
  • Hable sobre la historia y sus riesgos con su editor para conocer qué tipo de apoyo podrá recibir cuando investigue y publique el reportaje.
  • Haga una evaluación del riesgo, y revísela y actualícela periódicamente durante la investigación.
  • Sopese los riesgos y las recompensas de investigar la historia. ¿El riesgo es significativo?
  • Adquiera otro teléfono y otra tarjeta SIM o un teléfono virtual de un servicio como Google Voice para la historia. Revise la sección sobre comunicaciones seguras que se presenta más adelante. 
  • En el caso de historias muy delicadas, valore utilizar Tails, un sistema operativo seguro y portátil para cualquier computadora. Pida ayuda a un especialista en seguridad para instalarlo.
  • Imagine que alguien busca información sobre usted en la Internet que se pueda utilizar para hostigarlo, intimidarlo o desacreditarlo. Revise sus perfiles para ver qué datos sobre usted son de dominio público y elimine lo que pueda, como se describe más adelante.
  • Tenga en cuenta que es posible que las fuentes graben o guarden copias de las comunicaciones que han intercambiado con usted, como las llamadas telefónicas, y pudieran difundirlas, presentarlas fuera de contexto o manipularlas de otras maneras.
  • Refuerce las medidas de seguridad al entrar en contacto con las fuentes e inmediatamente después de publicar el reportaje, que es cuando más riesgo correrá.
Varias personas trabajan con sus computadoras durante un evento de Hackathon el fin de semana en San Francisco, California, Estados Unidos, el 16 de julio de 2016. (Reuters/Gabrielle Lurie)

Cómo buscar información en la Internet de manera segura

  • Utilice una VPN cuando haga búsquedas de información en la Internet y cuando descargue documentos, particularmente cuando esté mirando sitios web dirigidos por organizaciones que se sabe que hostigan a la prensa. Una VPN oculta su dirección IP, de manera tal que el propietario del sitio web no puede ver la ubicación del dispositivo desde el cual usted está visitando el sitio web.
  • Utilice el navegador Tor, la manera más segura de navegar por la Internet de manera anónima que esté disponible en la actualidad, para las investigaciones más delicadas. Si necesita ayuda, especialistas en seguridad digital pueden brindársela.
  • Confirme que los sitios web que usted visita están encriptados, lo cual se identifica con el ícono de candado en la barra de navegación de su navegador y una dirección web que comienza con “https”. Los sitios no encriptados no son seguros y hacen que su dispositivo sea vulnerable a los programas informáticos maliciosos o malware.
  • Utilice uBlock Origin para Chrome o para Firefox con el fin de protegerse de la publicidad que se puede utilizar para rastrearlo o instalar malware, y el plug-in uMatrix para Chrome o para Firefox con el propósito de controlar cómo su navegador se comunica con los sitios que usted visita.
  • Cree cuentas de redes sociales específicas para un fin y utilícelas en vez de las cuentas personales al unirse a organizaciones dirigidas por personas que quisieran hacerle daño. Utilice un servicio como Twilio o Google Voice en Estados Unidos para ocultar su verdadero número telefónico cuando las configure. Revelar su nombre y otros datos que permitan conocer su identidad, como la fecha de nacimiento, en esas cuentas aumenta el riesgo de hostigamiento. Muchos periodistas utilizan fotos genéricas apropiadas para la organización con la que se están comunicando, en lugar de sus propias fotos.
  • Utilice una dirección de correo electrónico desechable cuando se inscriba en sitios web que pudieran ponerlo en riesgo.
  • Cuando interactúe con otras personas, tenga mucho cuidado de no revelar información personal ni de hacer clic en enlaces que puedan estar comprometidos.

Cómo crear un correo electrónico desechable

Al escoger un nuevo correo electrónico para un único propósito como inscribirse con un sitio web o comunicarse con fuentes:

  • Utilice palabras o referencias que sean popular en esa comunidad. Conéctese con estas salas de chat por medio de una VPN antes de unirse, para ver cómo otras personas se hacen representar a sí mismas.
  • Solamente utilice el nuevo correo electrónico con el propósito de comunicarse con una comunidad de Internet en particular.
  • No añada nada personal, como el número telefónico, los correos electrónicos normales, la fecha de nacimiento, ni la ubicación al crear la cuenta de correo electrónico, ni la vincule a las cuentas de redes sociales suyas que muestran su verdadera identidad.
  • Borre toda la información y borre la cuenta cuando haya terminado de buscar información. Recuerde hacer una copia de respaldo de todas las comunicaciones que necesitará.

Cómo segurizar los datos de Internet

Mejores prácticas generales
  • Active la autenticación de dos factores (2FA) en todas las cuentas, inclusive en las cuentas financieras como las de los portales de compra.
  • Cree contraseñas largas y únicas para cada cuenta y guárdelas en un gestor de contraseñas seguro.
  • Dé prioridad a proteger los datos que se pueden utilizar para localizarlo, comunicarse con usted o robar su identidad, como su dirección particular, teléfono personal y número de pasaporte.
  • Cree recordatorios periódicos en el calendario para buscar información sobre usted en la Internet, y haga esto en diversos buscadores utilizando la modalidad de “privado” o “incógnito”. Tome nota de todos los datos que pudiera convertir en privados o eliminar.
  • Inscríbase en las alertas de Google para que lo notifiquen cuando otras personas utilicen su nombre en la Internet. Utilice formas con las que frecuentemente se escriba mal su nombre, su dirección y cualquier otro dato personal que piense que sería útil.
  • Si es posible, inscríbase en un servicio de monitoreo del crédito para que lo alerte si alguien está pidiendo algún crédito con su nombre.
Cómo eliminar datos
  • Haga que el contenido de sus sitios y cuentas sea privado.      
  • Pídales a familiares y amigos que retiren datos de los sitios y cuentas que controlan.
  • Tenga en cuenta que quizás no sea posible eliminar datos almacenados en sitios propiedad de terceros, como bases de datos públicas, y que los datos borrados pueden verse en capturas de pantalla o en archivos de Internet como Wayback Machine.
  • Pídale a Google Maps, Apple Maps y a otras empresas que desenfoquen o eliminen su vivienda u otra información que permita identificarlo en las búsquedas.
  • Pídale a Google Search que elimine enlaces de los resultados de las búsquedas públicos, los que pueden ser enlaces que indiquen en detalle datos personales, como su dirección particular. Esto no afectará los resultados de otros buscadores.
  • Comuníquese con el creador de la base de datos pública, por lo general un organismo gubernamental, para ver si su información puede eliminarse o hacerse privada. Las leyes al respecto varían según el país.
  • Existen servicios que lo ayudan a eliminar sus datos de sitios que comercializan datos para publicidad y otros fines, aunque esto pudiera demorarse un mes. Un ejemplo, el servicio DeleteMe, propiedad de la empresa Abine, funciona en Estados Unidos y otros países.
Cómo segurizar las cuentas de redes sociales
  • Cree distintas cuentas para usar en el trabajo y en su vida personal, pues ello lo ayudará a contener los problemas de seguridad en una parte de su vida.
  • Revise las opciones de privacidad periódicamente, pues están sujetas a cambios. Revise su propio perfil desde un navegador en la modalidad de “privado” o “incógnito” para saber qué datos suyos son públicos.
  • Elimine datos personales como su fecha de nacimiento o el nombre de la universidad en la que estudió, pues otros pudieran usarlos para hacerse pasar por usted o para investigarlo.
  • Desactive los datos sobre su ubicación y las funciones de geoetiquetado que muestran donde usted se encontraba al publicar mensajes específicos, si es que esa información pudiera ponerlo a usted o a otras personas en riesgo.
  • Verifique sus cuentas si es posible, por si existen cuentas falsas con su nombre.
  • Pase las conversaciones a las aplicaciones Signal o Whatsapp en vez de usar mensajes directos, y solamente utilice el teléfono y la tarjeta SIM específicos que compró para hacer su búsqueda de Internet.
  • Piense en lo que publica. No comparta fotos de su oficina, hotel o cualquier otra cosa que delate su ubicación.
  • Pídales a familiares y amigos que eviten publicar información y fotos de usted. Hable con ellos sobre lo que comparten en la Internet y si esa información pudiera ponerlo a usted o a otros en riesgo.
Imagen de la aplicación Twitter en un dispositivo digital el 25 de abril de 2022, en San Diego. (AP Photo/Gregory Bull)

Comunicaciones más seguras

  • Compre otro teléfono y otra tarjeta SIM para comunicarse con sus fuentes, y no utilice su teléfono personal ni el del trabajo. Ello protege su identidad y lo ayuda a separarlo de personas que pudieran estar implicadas en actividades ilícitas.
  • Oculte su número telefónico con un número virtual de Google Voice (en Estados Unidos) o Twilio, si no puede comprarse uno nuevo.
  • Únicamente utilice una dirección de correo desechable en el teléfono para evitar que la información que ha buscado se sincronice con las cuentas personales o de trabajo por medio de servidores en la nube, en particular si le pueden enviar algo que se pueda considerar ilegal.
  • Mantenga las fotos de usted mismo fuera de ese dispositivo.
  • Utilice aplicaciones de mensajería con encriptación de extremo a extremo, como Signal y WhatsApp, para comunicarse, puesto que las llamadas y los mensajes SMS que se intercambian por las redes telefónicas móviles no están encriptados y los Gobiernos y otros actores pueden tener acceso a esos datos. Tenga en cuenta que un Gobierno pudiera pedirle a WhatsApp que le dé acceso a los metadatos vinculados con cuentas específicas, como por ejemplo cuando se creó la cuenta y con qué otras cuentas usted habla; Signal almacena mucho menos datos.
  • Segurice las cuentas de Signal y WhatsApp con funciones de seguridad avanzadas si es necesario, como el bloqueo de pantalla, el bloqueo de inscripción mediante PIN, los mensajes que desaparecen, y las fotos y videos que sólo se pueden visualizar una vez.
  • Utilice Wire para comunicarse, siempre que sea posible, puesto que puede inscribirse sin necesidad de número telefónico.
  • Cree un plan para hacer una copia de respaldo del contenido almacenado en las aplicaciones y en el teléfono, y luego borrarlo. Si es necesario, consulte a un experto en seguridad digital.
  • Luego de la publicación del reportaje, haga copias de respaldo de todo lo que necesite, y entonces borre todo lo que está en las cuentas y luego las propias cuentas. Desconecte el número telefónico y haga una reinicialización de fábrica del teléfono.

Cómo recibir y gestionar documentos

  • Utilice DangerZone para escanear en busca de malware los archivos recibidos de una fuente; y para convertir archivos PDF, imágenes y otros documentos en potencia peligrosos en archivos PDF seguros.
  • Recuerde que prácticamente todo lo que usted hace en un dispositivo deja un rastro, y que los expertos en informática pueden recuperar el contenido borrado inclusive si usted ha utilizado programas especializados para limpiar digitalmente su computadora.
  • Envíe documentos menores de 100 MB por Signal o por otra aplicación con encriptación de extremo a extremo.
  • Envíe documentos mayores de 100 MB por medio de OnionShare.
  • Tenga en cuenta que los metadatos contenidos en documentos, archivos y aplicaciones de mensajería, como la hora y la fecha en que se envió un documento, no siempre están encriptados y pudieran ayudar a otra persona a descubrir la identidad de usted y de su fuente.

Recursos del CPJ

Kit de seguridad digital

Evaluación del riesgo