Xenia Oliva, repórter investigativa que teve seu telefone hackeado sete vezes, trabalha no escritório do Gato Encerrado em San Salvador, El Salvador, em 11 de janeiro de 2022. (Reuters/Jessica Orellana)
Dicas De Segurança

Segurança digital: Fontes adversárias ou hostis

Uma reportagem pode envolver a pesquisa e o contato com pessoas que representam uma ameaça a você ou ao veículo de mídia para o qual você trabalha. O uso de dispositivos e contas pessoais para fazer isso pode expor você a assédio e roubo de identidade, uma vez que o uso do telefone ou da Internet pode revelar informações sobre você e sua localização, como seu e-mail ou endereço de IP. Tome medidas para se proteger antes de entrar em contato.

Antes de iniciar sua pesquisa

  • Pesquise informações para ver se a pessoa tem um histórico de assédio a jornalistas que fazem reportagens sobre ele/a e se os riscos são digitais, físicos ou ambos.
  • Analise as práticas seguras de pesquisa on-line abaixo antes de visitar o site de uma pessoa ou outra plataforma digital, como salas de bate-papo ou grupos do Facebook.
  • Discuta a reportagem e os riscos com o seu editor para saber que tipo de apoio estará disponível enquanto você investiga e publica a reportagem.
  • Faça uma avaliação de risco e revise-a e atualize-a regularmente durante a investigação.
  • Pese o risco de investigar a história em relação à recompensa. O risco é significativo?
  • Adquira um telefone e um cartão SIM separados ou um número de telefone virtual de um serviço como o Google Voice para a reportagem. Revise a seção sobre comunicações mais seguras abaixo.
  • Para matérias muito sensíveis, considere o uso do Tails, um sistema operacional portátil e seguro para qualquer computador. Peça a ajuda de um especialista em segurança para configurá-lo.
  • Imagine alguém pesquisando on-line dados que possam ser usados para assediá-lo/a, intimidá-lo/a ou desacreditá-lo/a. Revise seus perfis para ver o que é de domínio público e remova o que puder, conforme detalhado abaixo.
  • Esteja ciente de que as fontes podem manter ou gravar comunicações com você, inclusive chamadas telefônicas, e podem torná-las públicas, apresentá-las fora de contexto ou manipulá-las de outra forma.
  • Reforce as medidas de segurança ao contatar as fontes e logo após a publicação, quando você enfrentará maior risco.
Pessoas trabalham em seus computadores durante um Hackathon de fim de semana em São Francisco, Califórnia, EUA, em 16 de julho de 2016. (Reuters/Gabrielle Lurie)

Realização de pesquisas on-line mais seguras

  • Use uma VPN ao realizar pesquisas on-line e fazer download de documentos, especialmente ao acessar sites administrados por grupos conhecidos por hostilizar a imprensa. Uma VPN oculta seu endereço IP para que o proprietário do site não possa ver onde está localizado o dispositivo que você está acessando.
  • Use o navegador Tor, a maneira mais segura de navegar anonimamente na Internet disponível no momento, para suas pesquisas mais sensíveis. Especialistas em segurança digital podem assiti-lo/a, caso precise.
  • Confirme se os sites que você visita são criptografados, o que é mostrado por um ícone de cadeado na barra de navegação do seu navegador e um endereço da Web que começa com https. Sites não criptografados não são seguros e deixam seu dispositivo vulnerável a programas maliciosos, como malware.
  • Use o uBlock Origin para Chrome ou Firefox para se proteger de anúncios que podem ser usados para rastreá-lo ou instalar malware, e o plug-in uMatrix para Chrome ou Firefox para controlar como o navegador se comunica com os sites que você visita.
  • Crie contas específicas nas redes sociais e use-as no lugar de contas pessoais ao participar de grupos administrados por pessoas que possam lhe causar danos. Use um serviço como o Twilio ou o Google Voice nos EUA para mascarar seu número de telefone real ao configurá-los. Revelar seu nome ou outros dados de identificação, como sua data de nascimento, nessas contas aumenta o risco de assédio, e muitos jornalistas usam fotos genéricas apropriadas para o grupo com o qual estão se conectando em vez de suas próprias fotos.
  • Use um endereço de e-mail descartável ao se registrar em sites que possam colocá-lo em risco.
  • Ao interagir, tenha cuidado para não fornecer informações pessoais ou clicar em links que possam estar comprometidos.

Criação de um e-mail descartável

Ao escolher um novo e-mail para uma única finalidade, como registrar-se em um site ou entrar em contato com fontes:

  • Use palavras ou referências que sejam populares na comunidade. Conecte-se a salas de bate-papo por meio de uma VPN antes de entrar para ver como os outros se apresentam.
  • Use o novo endereço de e-mail somente para entrar em contato com uma determinada comunidade on-line.
  • Não inclua nada pessoal, como seu número de telefone, endereços de e-mail comuns, data de nascimento ou local, ao criar a conta de e-mail, nem a vincule a contas de redes sociais que mostrem sua identidade real.
  • Apague todas as informações e exclua a conta quando terminar a pesquisa. Lembre-se de fazer backup de todas as comunicações de que precisará.

Proteja seus dados on-line

Práticas gerais recomendadas

  • Ative a autenticação de dois fatores (2FA) para todas as contas, inclusive as financeiras, em sites de compras.
  • Crie senhas longas e exclusivas para cada conta e armazene-as em um gerenciador de senhas seguro.
  • Priorize a proteção de dados que possam ser usados para localizá-lo, contatá-lo ou roubar sua identidade, como endereço residencial, número de telefone pessoal e número do passaporte.
  • Defina lembretes regulares no calendário para pesquisar sobre si mesmo on-line e faça isso em vários mecanismos de pesquisa usando o modo privado ou anônimo. Observe tudo o que você pode tornar privado ou remover.
  • Inscreva-se nos alertas do Google para ser notificado quando outras pessoas usarem seu nome on-line. Inclua erros ortográficos comuns de seu nome, seu endereço e qualquer outra informação pessoal que considere útil.
  • Se possível, inscreva-se em um serviço de monitoramento de crédito para alertá-lo se alguém estiver buscando crédito em seu nome.

Remoção de dados

  • Torne o conteúdo privado em sites e contas de sua propriedade.
  • Peça a familiares e amigos que removam informações de sites e contas que eles controlam.
  • Esteja ciente de que talvez não seja possível remover dados armazenados em sites de propriedade de terceiros, como bancos de dados públicos, e que os dados excluídos podem permanecer em capturas de tela ou em sites de arquivos da Internet, como o Wayback Machine.
  • Peça ao Google Maps, ao Apple Maps e a outras empresas para borrar ou remover sua residência ou outras informações de identificação.
  • Peça ao Google Search para remover links dos resultados de pesquisa públicos, que podem incluir links que detalham dados pessoais, como seu endereço residencial. Os resultados em outros mecanismos de pesquisa não serão afetados.
  • Entre em contato com o criador do banco de dados público, normalmente um órgão governamental, para ver se suas informações podem ser removidas ou tornadas privadas. As leis sobre isso variam de acordo com o país.
  • Existem serviços para ajudá-lo a remover suas informações de sites que comercializam dados para publicidade e outros fins, embora possa levar um mês para ver os efeitos. Um exemplo, o DeleteMe, de propriedade da empresa Abine, opera nos Estados Unidos e em alguns outros países, como o Brasil.

Protegendo suas redes sociais

  • Crie contas separadas para trabalho e uso pessoal que ajudem a concentrar os problemas de segurança em uma área de sua vida.
  • Verifique as configurações de privacidade regularmente, pois elas estão sujeitas a alterações. Acesse seu próprio perfil em um navegador no modo privado ou anônimo para ver o que é público.
  • Remova informações pessoais, como sua data de nascimento ou onde estudou na universidade, que outras pessoas poderiam usar para se passar por você ou investigá-lo.
  • Desative sua localização e quaisquer funções de geolocalização que mostrem onde você esteve em publicações específicas, caso essas informações possam colocar você ou outras pessoas em risco.
  • Verifique suas contas, se possível, caso apareçam contas falsas em seu nome.
  • Transfira as conversas para o Signal ou Whatsapp, em vez de mensagens diretas, e use somente o telefone e o cartão SIM que você comprou para sua pesquisa.
  • Pense no que publica. Não compartilhe fotos de seu escritório, de um hotel ou de qualquer outro lugar que revele sua localização.
  • Peça a familiares e amigos que evitem publicar informações e fotos suas. Discuta o que eles compartilham on-line e se isso pode colocar você ou eles em risco.
O aplicativo X (ex-Twitter) é visto em um dispositivo digital em 25 de abril de 2022, em San Diego. (AP Photo/Gregory Bull)

Comunicações mais seguras

  • Compre um telefone e um cartão SIM separados para entrar em contato com suas fontes e não use seu telefone pessoal ou do trabalho. Isso protege sua identidade e ajuda a afastá-lo de pessoas que possam estar envolvidas em atividades ilegais.
  • Disfarce seu número de telefone com um número virtual do Google Voice (EUA) ou Twilio, se não puder comprar um novo.
  • Use apenas um endereço de e-mail descartável no telefone para evitar que sua pesquisa seja sincronizada com contas pessoais ou de trabalho por meio da nuvem, especialmente se for receber algo que possa ser considerado ilegal.
  • Mantenha fotos suas fora do dispositivo.
  • Use aplicativos com mensagens criptografadas de ponta a ponta, como Signal ou WhatsApp, para se comunicar, pois as chamadas e mensagens SMS trocadas por redes de telefonia móvel não são criptografadas, e os governos e outras pessoas podem acessar o conteúdo. Esteja ciente de que um governo pode intimar o WhatsApp para acessar os metadados anexados a contas específicas, como quando você a criou e com quais outras contas você conversa; o Signal armazena muito menos.
  • Proteja as contas do Signal ou do WhatsApp com recursos de segurança avançados, se necessário, como bloqueio de tela, bloqueio de registro, mensagens que desaparecem e fotos e vídeos “ver uma vez”.
  • Use o Wire para se comunicar sempre que possível, pois você pode se inscrever sem um número de telefone.
  • Crie um plano para fazer backup e excluir o conteúdo armazenado nos aplicativos e no telefone. Consulte um profissional de segurança digital, se necessário.
  • Após a publicação, faça backup de tudo o que for necessário e, em seguida, exclua tudo o que estiver armazenado nas contas e, depois, as próprias contas. Desconecte o número do telefone e use a redefinição de fábrica do telefone.

Recebimento e gerenciamento de documentos

  • Use o DangerZone para verificar se há malware nos arquivos recebidos de uma fonte e para converter PDFs, imagens e outros documentos potencialmente perigosos em PDFs seguros.
  • Lembre-se de que quase tudo o que você faz em um dispositivo deixa rastros, e os especialistas em TI podem recuperar o conteúdo excluído, mesmo que você tenha usado um software especializado para limpar o computador.
  • Envie documentos com menos de 100 MB via Signal ou outro serviço criptografado de ponta a ponta.
  • Envie documentos com mais de 100 MB usando o OnionShare.
  • Esteja ciente de que os metadados contidos em documentos, arquivos e aplicativos de mensagens — como a hora e a data em que um documento foi enviado — nem sempre são criptografados e podem ajudar alguém a identificar você e sua fonte.

Recursos do CPJ

Kit de segurança digital

Avaliação de riscos 

More On:
Dicas de Segurança