Cómo se ajustan los periodistas a la amenaza de una mayor vigilancia

English

Imagen de pantalla: International Press Institute Tracker.

Varios periodistas de investigación alrededor del mundo están aumentando el rigor de sus hábitos de seguridad, pues les preocupa estar más expuestos a amenazas de vigilancia y acoso, a causa de las leyes promulgadas durante la pandemia, nuevas tecnologías de espionaje y la cuarentena misma.

El reciente arresto en Hong Kong del fundador del Apple Daily, Jimmy Lai, resaltó la amenaza de la nueva ley de seguridad en la ciudad, que China impuso al tiempo que el mundo estaba distraído por la pandemia. La ley criminaliza cualquier desacuerdo hacia Pekín y permite confiscar «materiales periodísticos».

Los gobiernos de países como Tailandia, Brasil y Hungría han utilizado la crisis de la pandemia como un pretexto para limitar el acceso a la información. Incluso democracias como Sudáfrica han creado sanciones contra la publicación de información que se considere falsa.

Los países más pequeños, que están por fuera del foco de las noticias mundiales, también han creado algunas medidas particularmente duras. En Camboya ha aumentado la cantidad de arrestos y el acoso a los periodistas, y se prohibió la publicación de «información que podría generar alarma o miedo público». La Sociedad Interamericana de Prensa dijo en agosto que la intimidación estatal y los acosos a la prensa habían empeorado en Nicaragua durante la pandemia, y citó un registro de 351 casos de difamaciones en línea, censura y otros ataques durante la cuarentena.

«En la vida, necesitas herramientas básicas de seguridad para asegurarte de que no te roben tu información personal, y punto; pero ahora como periodista realmente es tu responsabilidad el tener una buena higiene digital», dice la periodista Gisela Pérez de Acha, que también trabaja como experta en ciberseguridad en el Human Rights Center Investigation Lab de la Universidad de California, Berkeley. «La vigilancia ya estaba muy extendida antes de la pandemia, pero lo que ahora sucede es que cierto tipo de vigilancia se volvió legítima y legal a causa de la pandemia».

«También estamos pasando más tiempo en línea, lo cual quiere decir que la reportería que solíamos hacer cara a cara se hace digitalmente. Ya sea por Zoom, que no tiene suficiente seguridad, o incluso simples llamadas telefónicas con las fuentes», dice ella.

“La vigilancia ya estaba muy extendida antes de la pandemia, pero lo que ahora sucede es que cierto tipo de vigilancia se volvió legítima y legal a causa de la pandemia.” — periodista Gisela Pérez de Acha

El trabajo en línea empeora la amenaza

Durante las últimas semanas, los periodistas han denunciado casos de espionaje, «doxing», y acoso en redes sociales, en las que la identidad, dirección y otros detalles personales se hacen públicos. En agosto de 2020, Mykhailo Tkach, un periodista del programa ucraniano de televisión Schemes, reportó indicios de vigilancia por audio en su hogar, luego de que sus fuentes le advirtieran que sus reportajes «irritaron» a altos funcionarios gubernamentales. (Días más tarde, un automóvil utilizado por los empleados de Scheme fue incendiado). En julio, otro reportero de investigación ucraniano, Lyubov Velychko, recibió amenazas y mensajes de abuso, luego de exponer el control estatal ruso tras los canales de propaganda de Telegram.

No obstante, estos incidentes siguen siendo aislados, al menos por ahora. Tras entrevistas a una docena de periodistas que cubren la pandemia, y una revisión de historias periodísticas e informes hechos por organizaciones no gubernamentales, no hubo evidencia de que, durante la actual crisis, hubiese un aumento general en las intromisiones digitales o el acoso.

Lo que estas entrevistas revelaron fue una profunda preocupación entre los reporteros de que ahora sean más vulnerables que nunca a estos ataques, y que varios de los principales periodistas están aplicando medidas de seguridad digital adicionales, haciendo reportajes sin usar herramientas en línea, o tomando estas dos precauciones al mismo tiempo.

La principal preocupación para estos periodistas es como la cuarentena les ha forzado a cambiar su modelo de trabajo a plataformas digitales, en lugar de cara a cara, ya que el enorme volumen de trabajo que hacen en el espacio digital ha aumentado la amenaza de que se intercepte su comunicación con las fuentes. En muchos casos, podrían incluso nunca saber que se produjeron intromisiones, según afirman algunos especialistas de seguridad digital.

La amenaza mayor de hackeo, a causa de las condiciones de la pandemia, debe llevar a que ciertos principios de higiene ya no sean opcionales, como usar administradores de claves, siempre actualizar las aplicaciones, usar autenticación de dos factores, y reconocer que los móviles representan la principal vulnerabilidad.

Los expertos están de acuerdo con que los periodistas no deberían permitir que las amenazas en línea tengan un efecto paralizante sobre sus investigaciones. Deben usar higiene digital básica para la mayoría de las investigaciones, y para las que identifiquen como de alto riesgo, apliquen seguridad avanzada y métodos de baja tecnología. No todas las historias necesitan teléfonos temporales y encriptación de extremo a extremo. Sin embargo, dicen que la amenaza mayor de hackeo, a causa de las condiciones de la pandemia, debe llevar a que ciertos principios de higiene -«al igual que cepillarse los dientes»- ya no sean opcionales, como usar administradores de claves, siempre actualizar las aplicaciones, usar autenticación de dos factores, y reconocer que los móviles representan la principal vulnerabilidad.

Spyware «cero-clics»: una nueva arma silenciosa

Los recientes ciberataques contra el periodista de investigación marroquí Omar Radi, quizás ofrecen el más escalofriante ejemplo del uso de nueva tecnología para hackear a reporteros, y cristalizan la amenaza de que los gobiernos utilicen la compra de tecnología legítima de seguimiento al contacto con COVID-19, como una cubierta para comprar equipo de vigilancia de estas mismas compañías.

Una visualización de cómo las tecnologías spyware «cero-click» amenazan la comunicación de los reporteros. Gráfico: Amnistía Internacional.

Radi recibió una sentencia suspendida de cuatro meses en marzo, por criticar a un juez que sostuvo un veredicto contra activistas pro-democracia, y desde entonces la policía lo ha detenido varias veces.

Una investigación realizada por la unidad de investigación forense de Amnesty Tech, parte de Amnistía Internacional, reveló que el teléfono de Radi había sido el objeto de un sofisticado ataque de «inyección de redes», que redirigió el navegador del aparato hacia un portal que silenciosamente instaló el software de espionaje Pegasus.

«El NSO Group, la compañía digital israelí que hace publicidad de su tecnología para la lucha contra el COVID-19, contribuyó a una campaña realizada por el gobierno de Marruecos para espiar al periodista marroquí, Omar Radi», dice el informe. «Cuando se instala Pegasus, el atacante tiene acceso completo a mensajes, correos electrónicos, fotografías, videos, audios, micrófono, cámara, llamadas y contactos. Los ataques de inyección de redes se conocen por su dificultad para ser detectados por la víctima, pues dejan pocas huellas». Tanto NSO como el gobierno de Marruecos han negado los hallazgos de Amnistía.

“Con esta inyección de redes, tú no tienes que hacer click en nada. Simplemente podrías tener una llamada perdida.” — Danna Ingleton, Amnesty Tech

Lo más inquietante de la nueva amenaza es el atributo «cero-clics», dice Danna Ingleton, directora encargada de Amnesty Tech. «En el pasado, las tecnologías de NSO, en particular Pegasus, tenían que enviar algún tipo de mensaje que tuviera cierta ingeniería social, y dijera algo que convenciera al objetivo de oprimir en un vínculo, y entonces ese portal infectaría su sistema. Sin embargo, con esta inyección de redes, tú no tienes que hacer clic en nada. Simplemente podrías tener una llamada perdida. Podrías hacer todo para mantenerte a salvo, y aún así estar en riesgo».

Ingleton dice que había una necesidad urgente de imponer una moratoria en la venta de este tipo de software, hasta que haya regulaciones efectivas para impedir abusos.

«Necesitamos que los periodistas sigan preocupados por su privacidad, que expongan las violaciones a su privacidad y que contacten a organizaciones como Amnistía, para hacer públicas las situaciones y lograr que haya responsables», dice. 

Evaluar el riesgo para cada historia 

La periodista de investigación Pérez de Acha, basada en California, sospecha que las fuentes de una historia sobre terrorismo que está investigando podrían estar bajo vigilancia por parte de las autoridades federales de los Estados Unidos y que, como consecuencia de ello, sus propias comunicaciones pueden estar bajo monitoreo.

Luego de usar «teléfonos descartables» tan sólo en países en desarrollo, como México, en los Estados Unidos ahora usa números de tarjeta SIM desechables, en lugar de un teléfono que esté ligado a su identidad. «Pero eso sólo se debe a la naturaleza de la historia», dice. «Así que ajusto mi comportamiento. A ello se le suma que, a causa de la pandemia, no puedo ver a mis fuentes en persona. Todo es digital o a través del teléfono, incluso a pesar de que les sugiero a mis fuentes que utilicen Signal [una aplicación de mensajes encriptados]. Pero esto no siempre sucede».

Pérez de Acha hace énfasis en que la mayoría de las investigaciones no tienen un alto riesgo de hackeos sofisticados, y que los periodistas deben utilizar un modelo de amenaza básica para evaluar cuánta protección digital necesitan, así como no verse limitados por la paranoia.

«También es bueno separar, por tema a cubrir, la preocupación por la vigilancia. No es lo mismo hacer un reportaje sobre los habitantes de calle que sobre las actividades terroristas», dice. «Si tú estás haciendo reportajes sobre salud, probablemente no corras mayores riesgos. Simplemente usa claves fuertes y no seas tonto. Yo estoy en Berkley, así que digamos que estoy investigando a la policía de Berkley. ¿Qué probabilidad hay de que intercepten mi teléfono? Pues necesitan permiso de un juez, o quizás a alguien en T-Mobile que colabore con ellos, o podrían tener herramientas avanzadas para hackearme. Honestamente, el riesgo con la policía local no es tan alto».

Pérez de Acha dice que la pandemia resalta la importancia de impedir que los mundos profesionales y personales se mezclen en línea.

Dice además que un periodista que conoce en California hace poco presentó una solicitud de acceso a la información para obtener datos de propiedad de armas, usando sus detalles personales. Dice que luego recibió una serie de amenazas dirigidas a ella y a su familia, a través de los detalles de contacto personales que presentó en la aplicación. Los mensajes que provenían de activistas de la «alt right» fueron tan serios que debió abandonar la investigación.

Fahmida Rashid, periodista del portal de noticias de seguridad Decipher, dice que muchos reporteros, incluyendose, ahora usan las anticuadas cajas de buzón en oficinas de correos, para recibir documentos por parte de fuentes que podrían no querer usar correos electrónicos encriptados, como Protonmail.

«Definitivamente veremos abusos gubernamentales durante esta pandemia, y debe preocupar que se mantengan más adelante», dice. «Hay un precedente en los Estados Unidos después del 9/11, el de la Ley Patriota, que se usó para obligar a los periodistas a revelar sus fuentes, todo bajo el manto de investigaciones contra el terrorismo».

Fahmida Rashid dice que muchos reporteros ahora usan las anticuadas cajas de buzón en oficinas de correos, para recibir documentos por parte de fuentes que podrían no querer usar correos electrónicos encriptados, como Protonmail.

Rashid dice que la mayoría de sus colegas reporteros en Hong Kong y Taiwán están usando Telegram y Signal para sus mensajes, en lugar de WeChat, a pesar de la ubicuidad de la plataforma en la región. WeChat, una aplicación con sede en China, es un objetivo frecuente de censores del gobierno chino y troles, mientras Telegram y Signal están encriptados y tienen un historial de independencia.

El reto de seguridad aumenta para los periodistas independientes

Hay algo que quizás sea más ominoso: los actores maliciosos comienzan a explotar la curiosidad, una fortaleza central del periodismo, como una debilidad digital.

El año pasado, The Great Saudi Podcast, una serie investigativa que fue presentada por la periodista saudí exiliada, Safa al-Ahmad, recibió un extraño mensaje directo a su cuenta de Twitter.

La primera temporada del podcast trató el asesinato de Jamal Khashoggi, el disidente saudí y columnista del Washington Post, y el mensaje de Twitter pedía un email seguro para enviar un video que decía estaba relacionado con el asesinato.

Además de ser una cineasta independiente que ha ganado premios, y que reveló un levantamiento en el oriente de Arabia Saudita durante el 2015, Al-Ahmad era una vieja amiga de Khashoggi.

«Así que respondí, cuidadosamente, ‘OK…’, y luego comenzaron a decir cosas como: hemos extraído un video del consulado, tenemos todo el asesinato grabado, hemos tomado muchos riesgos», dice Al-Ahmad. «Y luego enviaron imágenes tomadas del supuesto video. La persona que estaba administrando la cuenta abrió las imágenes. Eran extrañas e intrigantes, desde una perspectiva periodística. Mostraban un cuerpo muerto en el suelo. Eran imágenes muy gráficas. Lo primero que debía considerar era la seguridad digital, y pensaba: ‘Hemos sido vulnerados… es necesario deshacerse ahora mismo del teléfono'».

Al-Ahmad dice que todavía no conoce las verdaderas intenciones tras el mensaje, aunque encontró la versión original del video, y concluyó que no mostraba el asesinato de su amigo.

“Esto también hace parte de lo que significa ser ahora un periodista saudí en el exilio. Esta paranoia absoluta, constante, en torno a cualquier interacción digital. Y ahora, a causa del COVID-19, hay un riesgo mayor de monitoreo” —  periodista Safa al-Ahmad.

Sin embargo, según Al-Ahmed, el incidente era similar a un patrón reciente, según el cual a los periodistas les envían mensajes que despiertan su curiosidad profesional o remiten a conexiones personales.

«Así es como han hackeado a otros reporteros con Pegasus. Recuerdo cómo un periodista recibió una ‘alerta del Ministerio de Justicia’ para un caso que estaban cubriendo», dice ella. «Fue un recordatorio de cuán peligrosa puede ser la comunicación digital para un periodista. Esto es importante, porque soy más cuidadosa que la mayoría, y aún así pude haber sido hackeada. Como periodista, quería ver ese vínculo, esa fotografía. Conozco a Jamal desde hace 20 años, y esto no era solo una historia, sino algo personal para todos nosotros».

Sin embargo, Al-Ahmad señala que, como freelancer, fue tan sólo gracias a su relación con la unidad de investigación de amenazas digitales, del Citizen Lab de la Universidad de Toronto, que pudo evaluar la amenaza potencial.

En general, dice que la creciente amenaza que suponen las regulaciones y prácticas por la pandemia son un reto importante para los periodistas freelance, que no tienen apoyo institucional para su seguridad digital.

«Esto también hace parte de lo que significa ser ahora un periodista saudí en el exilio. Paranoia absoluta, constante, en torno a cualquier interacción digital. Y ahora, a causa del COVID-19, hay un riesgo mayor de monitoreo», dice. «No puedo simplemente organizar una reunión y decir: ‘Claro, te preguntaré lo que necesito saber cuando te conozca’. Todo debe ser digital, o por teléfono, y Signal es mi mejor amigo durante la pandemia. La seguridad digital es ahora algo de la mayor importancia, y los freelancers, como grupo, son muy vulnerables», dice.

«Estamos en una situación más débil que las personas de planta en un medio de comunicación, que a menudo reciben laptops limpios y teléfonos celulares para sus trabajos. Como freelancer, no tengo los ingresos para estar comprando teléfonos desechables constantemente. No puedo perder el número que mis contactos conocen y donde saben que me pueden localizar. No puedo cubrir el costo de una auténtica higiene digital, así que la pregunta es: ¿qué tan responsable puedo llegar a ser?», añade.

Al-Ahmad dice que estaba consternada por la reciente revelación de que Zoom era vulnerable a hackeo para usuarios con versiones antiguas de Microsoft Windows.

«Usualmente aceptaba hacer reuniones por Zoom y luego borraba el programa, pero después de esta noticia de vulnerabilidad desde Windows, ni siquiera lo quiero en mi computadora», dice ella. «Es decir, ni siquiera sé de qué computadora hace la llamada la persona con quien estoy hablando por Zoom. No puedo estar preguntándoles a mis fuentes: ¿cuáles son las especificaciones de tu computadora? ¿La has actualizado recientemente?».

“Soy más cuidadosa que la mayoría y aún así pude haber sido hackeada. Como periodista, quería ver ese vínculo, esa fotografía. Conozco a Jamal desde hace 20 años, y esto no era solo una historia, sino algo personal para todos nosotros.” — Safa al-Ahmad.

Los teléfonos aún son el principal objetivo de espionaje

Una amenaza más común, que emerge de las diversas cuarentenas implementadas en el mundo, es el uso de datos básicos de llamadas por parte de las autoridades -en lugar del contenido de las conversaciones-, como una manera de acosar a los reporteros y sus fuentes.

Antes de la pandemia, en Nigeria se halló que la policía usaba los registros de llamadas de las cuentas telefónicas de los reporteros para identificar a fuentes, por los números a los que llamaban con frecuencia.

«Los periodistas afectados en Nigeria estaban escandalizados, pues no era el tipo de vigilancia que previeron», dice Jonathan Rozen, el coordinador del programa para África del Committee to Protect Journalists (CPJ). «Estamos hablando de datos de llamadas bastante rudimentarios. Información aparentemente inocua en la que se apoyaban de forma muy seria para arrestar a periodistas mientras hacían su trabajo. La policía tuvo acceso a los datos de llamadas de los reporteros, que a menudo incluye los números de las personas a quienes llamaban con frecuencia. Basados en esa información, contactaban a esas personas, y en algunos casos los detenían para presionarlos a que convocaran a los periodistas que estaban en su mira».

Rozen dice que las señales tempranas de una mayor vigilancia durante la pandemia indican que los reporteros en África, y en otros lugares, deben estar más atentos. En julio, Rozen escribió un informe para CPJ en el que revelaba que las entidades policiales habían adquirido una avanzada tecnología de hackeo, que en otros lugares se ha utilizado para atacar las comunicaciones por teléfono móvil de los periodistas.

«Desde el inicio de la pandemia, muchos periodistas han estado preocupados de que los estados puedan ampliar sus poderes de vigilancia en el contexto de las cuarentenas, y esto pueda usarse para abusos contra reporteros», dice Rozen.

Algunos procedimientos extremos de higiene digital que puedes aplicar incluyen: deseleccionar ciertas opciones, como «revisar tu ortografía mientras escribes», «aportar sugerencias de búsqueda» y «bloquear todas las cookies», en las preferencias de motor de búsqueda, para reducir la probabilidad de que tu motor de búsqueda llegue a nodos externos. También evita los buscadores que usan muchos datos, como Chrome o Internet Explorer, y en cambio utiliza un buscador enfocado en búsquedas privadas, como DuckDuckGo. Sin embargo, expertos como Pérez de Acha consideran que no valen la pena las limitaciones que imponen algunas de estas opciones, para lograr menor riesgo de estar expuesto.

Hay varias organizaciones para apoyar a periodistas, entre ellas CPJ, que han desarrollado guías generales de seguridad digital para reporteros. Luego de hacer las entrevistas para escribir esta historia, GIJN está actualizando sus propias guías. Aquí hay 10 herramientas y técnicas que, según los expertos, son particularmente efectivas durante el periodo de la pandemia y después de éste:

Crea un teléfono descartable virtual: Establece Google Voice como un «teléfono descartable virtual». Una característica llamativa de las entrevistas que realizamos, fue que los números que GIJN marcó para varias fuentes no estaban en los teléfonos personales, sino en uno asignado de forma aleatoria por Google Voice. «Yo creo que probablemente solo mi novio o mi madre saben mi teléfono real», dice Pérez de Acha. Pero advierte que Google mismo puede ser vulnerable a investigaciones legales para obtener datos.   Consigue un navegador protegido: Utiliza un navegador bien protegido, como Firefox, y borra de su sistema los navegadores que no están apoyados, como Internet Explorer.   Usa comunicaciones encriptadas: Para historias sensibles, pídeles a las fuentes que utilicen sistemas de comunicación encriptada de extremo a extremo, como Protonmail, para email, y Signal para mensajería de texto. Los sistemas encriptados más familiares, como WhatsApp, pueden ser suficientes, pero ten en cuenta que WhatsApp no archiva metadatos. Si esto no funciona, ofrece a las fuentes una dirección de buzón de correo para los documentos sensibles.   Actualiza Windows: Si estás utilizando Windows 7 o una versión anterior de Windows en tu PC, entonces no utilices Zoom hasta que no hayas instalado una versión más nueva de Windows, o un micropatch para reparar un problema detectado por Zoom el 9 de julio. Jitsi es una buena alternativa de fuente abierta para reuniones virtuales, aunque su número de participantes es limitado.   Separa lo personal y profesional: Si es posible, impide que se mezclen tus mundos profesional y digital, usando métodos como incluir cuentas de redes sociales que puedas desechar y utilizar comunicaciones encriptadas. Nunca utilices tu propia dirección cuando hagas solicitudes de acceso a la información.   Reporta ataques: Aunque no hay actualmente protecciones contra ataques de spyware de «cero-click», más allá de realizar un trabajo sin conectarte a internet, reporta estos ataques a las unidades forenses, tales como el equipo de Amnesty Tech, y quizás también a tu audiencia.   Crea cuentas desechables: Utiliza cuentas desechables en redes sociales, que no estén atadas a tu identidad personal, cuando monitorees de forma pasiva grupos de chat extremistas o potencialmente amenazantes. Sin embargo, usa tu cuenta profesional y tu estatus como periodista, cuando te acerques a un posible entrevistado que se identifique como parte de estos grupos.   Consigue un administrador de claves: Utiliza un administrador gratis de claves en el que confíen los periodistas, como LastPass, que generará claves seguras bajo una sola clave maestra que tú escojas.   Utiliza un VPN: Crea un VPN (red privada virtual) que encripte tu conexión a internet, utilizando un sistema confiable como Tunnel Bear, para ayudar a proteger tu privacidad digital.   Usa autentificación de dos factores: Hoy en día, el utilizar solo tu nombre de usuario y tu clave, para las cuentas, es como tener un simple candado Yale para la puerta de tu casa durante una ola de criminalidad. Por eso, los expertos recomiendan una autentificación de dos factores que, aunque ligeramente molesta, puede ser fácil de usar si se siguen guías paso a paso, como esta que produjo The Verge.

Si hay alguna consecuencia positiva de la pandemia para la prensa, es que la seguridad por fin se vuelve una práctica rutinaria para los periodistas que investigan temas sensibles. «Yo de hecho creo que es un mito que la seguridad digital exige muchos recursos de tecnología y mucho dinero», dice Pérez de Acha. «Puede ser muy fácil e incluso muy divertida, sólo hace falta un poco de investigación».

Lee más del tema

Para encontrar más información sobre seguridad digital, consulta la Guía para Seguridad Digital del Centro de Recursos de GIJN; esta cartilla sobre cómo mejorar tu seguridad digital como periodista de investigación; y esta historia de GIJN, sobre cómo los periodistas de diferentes regiones deben medir de forma distinta su seguridad digital.

Rowan Philp es un periodista de GIJN. Rowan fue el reportero principal para el Sunday Times, de Sudáfrica. Como corresponsal extranjero, hizo reportajes de noticias, política, corrupción y conflicto en más de dos docenas de países del mundo.