Nuevas herramientas para reducir los riesgos para los denunciantes

Imagina que eres empleado de una empresa tecnológica o de una agencia gubernamental y has observado prácticas que sospechas que son ilegales o peligrosas para el público. Entre las razones personales para no compartir las pruebas con un periodista podrían figurar las siguientes: “solo tengo pruebas parciales”; “quizás sea el único empleado al que le preocupa”; “podrían acosarme si se revela mi identidad”; “mi acuerdo de confidencialidad podría ser un problema” y “el sistema de vigilancia interna de mi empresa podría rastrearme”.

Todas estas preocupaciones contribuyen a lo que los expertos denominan una barrera perenne para la denuncia de irregularidades: el problema del “primerizo”. Incluso los denunciantes más valientes, como el ex ejecutivo de Uber Mark MacGann, admiten que esperaron muchos meses para revelar sus pruebas de conducta indebida porque esperaban a que otros compañeros preocupados dieran el primer paso.

Pero los nuevos protocolos de vigilancia e inteligencia artificial de los empleadores, y el riesgo adicional de perder los lucrativos salarios del sector tecnológico, han elevado los riesgos para quienes podrían filtrar información. Como resultado, los periodistas y los grupos de la sociedad civil deben proporcionar a los detentores de información privilegiada soluciones integrales para disminuir las barreras que les impiden dar el paso y, idealmente, demostrarles que no están solos.

Un nuevo servicio innovador para abordar todos estos desafíos es una organización sin ánimo de lucro llamada Psst.org, diseñada íntegramente para satisfacer las necesidades reales de los posibles denunciantes. De hecho, afirma: “Psst te permite depositar la información y obtener ayuda sin tener que convertirte plenamente en un ‘denunciante’”. Ofrece una caja fuerte digital segura incluso para pequeñas revelaciones, asistencia jurídica flexible o inmediata y, en un giro innovador, puede eliminar tanto los problemas de ser el primero en actuar como los de vulnerabilidad, al hacer coincidir pacientemente las preocupaciones iniciales de un individuo con las de otros empleados de la misma organización, siempre respetando los deseos de quienes comparten la información.

Jennifer Gibson, cofundadora de Psst.org, dijo a GIJN que el servicio ya ha recibido aproximadamente 100 solicitudes de apoyo a denunciantes en su primer año, incluidas las presentadas por 55 empleados preocupados a una versión beta de su caja fuerte encriptada.

Una de estas revelaciones fue la del exjefe de seguridad de WhatsApp, Attaullah Baig, quien recientemente presentó una demanda contra Meta por supuestamente ignorar importantes fallos de seguridad en su servicio de mensajería. Además de asesorarle sobre la denuncia y establecer una relación abogado-cliente, Psst también ayudó a Baig a encontrar un abogado laboralista para litigar el caso sin costo para él.

En su primer caso, la organización ayudó a un denunciante de Microsoft a exponer los contratos de inteligencia artificial de esa empresa con las grandes petroleras, tal y como lo describe en The Atlantic la investigadora tecnológica Karen Hao, autora del best-seller Empire of AI: Inside the Reckless Race For Total Domination (El imperio de la IA: dentro de la imprudente carrera por la dominación total).

Dos nuevos problemas de IA con las filtraciones

Este servicio sin ánimo de lucro fue destacado en un panel del seminario web de Journalist’s Resource celebrado este año sobre “Cómo lidiar con las filtraciones en la era de la IA y la desinformación”, en el que participaron Mark MacGann, Paul Radu, cofundador del Organized Crime y del Corruption Reporting Project (OCCRP), y la antigua redactora jefe de Forbidden Stories, Sandrine Rigaud. (Aclaración: Rigaud fue nombrada posteriormente Directora de Programas de GIJN).

Rigaud señaló que las filtraciones procedentes de dos fuentes principales –los hackers (incluidos activistas informáticos con conciencia cívica y delincuentes de ransomware) y empleados preocupados con acceso privilegiado a los datos– se han visto afectadas por la IA. Por ejemplo, aunque el volumen de filtraciones de datos pirateados ha aumentado drásticamente, afirmó que las pruebas pirateadas o supuestamente pirateadas pueden ser falsificadas de forma más fácil y convincente por los sistemas de IA, un problema que requiere una mayor verificación mediante métodos de reportaje tradicionales.

En enero de 2022, MacGann llevó dos maletas llenas de discos duros, teléfonos y documentos relacionados con las prácticas de lobby y seguridad de Uber a una habitación de hotel en Ginebra para una primera reunión con un periodista de The Guardian. Los más de 100 000 registros que reveló dieron lugar a la serie de investigación colaborativa Uber Files.

Sin embargo, en el seminario web, MacGann advirtió: “casos como el mío, cargando maletas llenas de discos duros y documentos impresos, ya no van a ocurrir debido a la intensa vigilancia digital y física de los empleados y a la creciente hostilidad hacia las personas que se pronuncian a favor de los principios democráticos”.

Añadió: “tenemos que facilitar que los denunciantes permanezcan anónimos, proporcionándoles soluciones técnicas para la entrega, la conexión [con otros denunciantes o periodistas] y la verificación de las filtraciones”.

MacGann afirmó que entre las soluciones técnicas prometedoras para promover el anonimato y la divulgación segura se encontraba una iniciativa para reutilizar una herramienta de encuestas de alta seguridad, MyPrivacyPolls, como portal para denunciantes, llamado MyPrivacyPolls Gray. Aunque todavía está en fase de desarrollo, la herramienta, creada por el Public Interest Tech Lab de Harvard, no deja rastros digitales y puede enviar filtraciones directamente al buzón de correo electrónico de un periodista registrado sin almacenar datos en ningún servidor y sin requerir que el denunciante inicie sesión ni revele su identidad. Este proyecto se inspiró en la Dra. Latanya Sweeney, tecnóloga de interés público de la Harvard Kennedy School, quien dijo a GIJN que los denunciantes habían señalado a su equipo que la arquitectura del formulario de encuesta de MyPrivacyPolls ofrecía algunas ventajas de seguridad con respecto a los canales de denuncia existentes.

“Estábamos hablando específicamente de lo que hizo Frances Haugen al filtrar los documentos de Facebook: tomar esas fotografías, subirlas a Google Drive y tratar de proporcionárselas a un periodista”, dijo Sweeney. “La forma en que lo hizo implicaba mucha confianza en Google, y nosotros pensamos: ‘¡No sé si es una buena idea!’”.

En cambio, MyPrivacyPolls Gray ofrece una alternativa más segura, explicó Sweeney. “Un periodista va a MyPrivacyPolls, crea una cuenta y un formulario, y publica la URL, es decir, la identificación del formulario. Los denunciantes pueden entonces ir a esa URL, y garantizamos que [sus filtraciones] aparecerán en la bandeja de entrada del correo electrónico de los periodistas que la crearon”, dijo. “Ni nosotros ni nadie más sabrá nada de los envíos”. Sweeney reconoció que aún quedaba trabajo por hacer para conectar a los empleados preocupados con periodistas específicos.

Sin embargo, MacGann afirmó que el sistema de Psst ya abordaba muchos de esos mismos retos técnicos, al tiempo que resolvía el problema del “primerizo”, al hacer coincidir a los posibles denunciantes con compañeros de ideas afines que tal vez ni siquiera conocían, quizá a solo unos cubículos de distancia.

Del lado de los periodistas en las filtraciones, Rigaud señaló que la apertura sobre las fuentes de las filtraciones sigue siendo crucial para generar confianza con la audiencia. “Es importante ser transparente e invitar a los lectores a evaluar lo que compartimos con ellos”, dijo. “Hace unos años, cuando un periodista recibía una filtración de un hacker, solía describirla como procedente de una ‘fuente anónima’. Ahora eso ocurre cada vez menos”.

Añadió: “La verificación de los datos es más fácil con una fuente como Mark MacGann, que está dispuesto a ayudarte a comprender y verificar los documentos. Por desgracia, se trata de una excepción”.

Ventajas y desventajas de un canal colectivo para denunciantes

Actualmente, Psst tiene algunas limitaciones notables. Solo está disponible en inglés y, por ahora, se limita a denuncias de la industria tecnológica y de agencias gubernamentales.

Sin embargo, su sitio web representa una magistral guía explicativa para comprender las preocupaciones personales de los empleados, con afirmaciones como: “recuerda, esto no depende solo de ti. Otras personas también están denunciando… Si su información coincide con la tuya de alguna manera, se obtiene una visión general y la carga y no está puesta en ti. Ya no estás solo en su escritorio” y “hacemos una especie de triaje: encontramos para ti el apoyo que necesitas en el ámbito legal, mediático y psicosocial”.

Psst tampoco aplica un enfoque “agresivo” para la divulgación. A los posibles denunciantes se les ofrecen varias opciones: pueden permanecer totalmente en el anonimato; pueden depositar información de forma pasiva mientras esperan una “coincidencia” con un colega anónimo con preocupaciones similares; pueden obtener asesoramiento gratuito; o pueden ponerse en contacto con un periodista si lo desean.

Una opción que está en planes, de un archivo que permita a las personas guardar información de forma anónima y segura en una “caja fuerte” virtual –y decidir qué hacer después– aún no está operativa.

“De las opciones disponibles, la mayoría de las personas hasta ahora han querido hablar con un abogado de inmediato”, reveló Gibson.

Mientras tanto, una prueba realizado por GIJN del proceso de depósito seguro revela que se recuerda constantemente a los empleados que nunca utilicen un dispositivo proporcionado por la empresa para acceder a los recursos de Psst, sino que utilicen un dispositivo personal con las condiciones de seguridad que se les proporciona. Del mismo modo, también se les aconseja evitar las líneas directas de Recursos Humanos para presentar quejas. La atención a cualquier escenario de riesgo para los denunciantes define el servicio, y se ofrece a los clientes potenciales un número de Signal para llamar y obtener asistencia urgente.

“Actualmente, el término ‘denunciante’ tiene muchas connotaciones negativas; basta con mencionarlo para que mucha gente se asuste”, señaló Gibson, que anteriormente fue director jurídico de The Signals Network, otro grupo de protección de denunciantes. “En cierto modo, hemos pedido a estas personas que se sacrifiquen por todos nosotros, para revelarnos información que ya deberíamos conocer sobre el daño que está causando una empresa o un gobierno. La tendencia que observamos es que la gente tiene cada vez menos piezas importantes del rompecabezas”.

“Desafortunadamente, creo que la lección que la industria tecnológica aprendió del caso de Frances Haugen [la denunciante de Facebook] no fue ‘quizás tengamos que mejorar’, sino más bien ‘tenemos que proteger mejor nuestra información y vigilar mejor a nuestros empleados’”, añadió. “Vimos acudir en busca de ayuda a personas que tenían información importante, pero no lo suficiente como para arriesgarlo todo”.

Gibson cree que el nuevo entorno descrito por MacGann y Rigaud requiere más divulgaciones colectivas, en lugar de heroísmo individual, para lograr tanto la seguridad como la rendición de cuentas.

Explicó que la caja fuerte Psst se inspiró libremente en la herramienta encriptada Callisto Vault del Proyecto Callisto, diseñada para colectivizar denuncias de agresiones sexuales por parte de estudiantes universitarios mediante la comparación de identificadores únicos de agresores en serie.

“Lo que esperamos es que, en primer lugar, la colectivización haga que las personas se sientan más seguras y, en segundo lugar, que incremente el número de personas que se atreven a hablar”, explicó. “Decidimos poner un abogado en cada sala con un denunciante y ayudarlos a averiguar cómo seguir adelante. Dar la voz de alarma no debería ser un acto heroico”.

Aunque no puede revelar detalles, Gibson dijo que el sistema de emparejamiento, que hace coincidir las denuncias, ya ha encontrado al menos a un empleado con preocupaciones e información similares a las de un colega anónimo, pero que Psst necesita dar a conocer más esta función.

“Mi esperanza es que al final del segundo año hayamos recibido unas doscientos de solicitudes y que más personas estén utilizando la función de emparejamiento en la caja fuerte”, dijo.

Cabe destacar que la gran mayoría de los nuevos clientes del servicio desean permanecer anónimos.

MacGann afirmó: “mi consejo [para los posibles denunciantes] es que preserven su anonimato. Una vez que se te nombra como denunciante, tu vida cambia por completo. Pero si conseguimos que esta tecnología llegue a ser una aplicación totalmente discreta, que no haga perder el tiempo ni los periodistas ni a los abogados, eso es lo que todos aspiramos”.

Rowan Philp es corresponsal internacional y editor de impacto de GIJN. Exjefe de redacción del Sunday Times de Sudáfrica, ha cubierto noticias, política, corrupción y conflictos en más de veinticuatro países de todo el mundo, y también ha trabajado como editor de asignaciones para redacciones en el Reino Unido, Estados Unidos y África.