Manual de Seguridad para Periodistas del CPJ

 

3 Seguridad de la Información

La seguridad en la información significa defender sus datos, desde las notas de investigación hasta los detalles confidenciales de sus contactos, desde los detalles básicos de su itinerario hasta los archivos de audio y de video. Significa proteger los datos que son de su privacidad, como así también proteger la privacidad de la comunicación entre ustedes y sus colegas o sus fuentes. Si está trabajando en el lugar de los hechos, los archivos digitales en su computadora podrían convertirse en el objeto más valioso que lleva. Perderlos puede desbaratar una nota, o peor aún, puede ponerlo a usted o a sus fuentes en una situación de riesgo.

El volumen y la sofisticación de los ataques contra los datos digitalizados de los periodistas están aumentando a un paso alarmante. En China, los corresponsales extranjeros han visto sus computadoras personales infectadas con software de vigilancia que estaba oculto bajo la forma de adjuntos en mensajes de correo electrónico cuidadosamente inventados. Autoridades en países como Etiopía y Colombia han podido acceder a teléfonos, correos electrónicos y conversaciones de texto de periodistas. Los agentes gubernamentales no son los únicos que utilizan el sabotaje y la vigilancia digital, siendo que grandes organizaciones delictivas explotan de modo creciente las oportunidades que les ofrece la alta tecnología. Criminales cibernéticos oportunistas o “patrióticos” también apuntan contra periodistas que trabajan con datos valiosos o controvertidos.

A la larga, sin embargo, una buena seguridad en la información pocas veces trata sobre cómo defenderse de ciberataques y de hackers al estilo Hollywood. Se refiere más a cómo comprender los motivos y las capacidades de quiénes desearían atacarlos, y desarrollar hábitos constantes sobre la base de dichas evaluaciones.

Comprender la Amenaza

Reuters La seguridad en la información plantea desafíos únicos. Es difícil, en primer lugar, detectar un ataque contra los datos propios. Si alguien nos roba la billetera, nos daremos cuenta. Si alguien copia exitosamente nuestro disco rígido (por ejemplo, escaneándolo mientras uno espera en otra sala en un puesto de control aduanero), quizás no nos enteremos nunca. En segundo lugar, el daño causado por la filtración de sus datos personales es generalmente imposible de deshacer. Una vez que sus atacantes conocen la información, no se puede recuperar. Finalmente, los sistemas de tecnología de la información son notoriamente complejos y se hallan en permanente cambio. Ni siquiera los tecnólogos más lúcidos conocen la función de cada programa en sus computadoras, o cómo puede explotarse la interacción entre ese software e Internet. Inclusive si no fuera experto en chalecos antibalas, tiene cierta idea de sus características y límites como protección. La protección a la seguridad informática es mucho más difícil de aprender de modo intuitivo.

¿Qué significa esto? Debemos hacer hincapié en la sencillez. No tiene sentido rodearse de seguridad informática que no vamos a usar, o que falla al abordar un enlace más débil en otro lugar. Saquemos provecho de lo que conocemos bien: la gente que más probablemente se ofenda o de algún otro modo apunte contra nuestro trabajo, y qué puede estar buscando obtener o desbaratar. Use ese conocimiento para determinar qué necesita proteger y cómo puede hacerlo.

Pregúntese: ¿Qué información debemos proteger? ¿Qué datos son valiosos para mí o para un adversario potencial? Quizás no sea lo que pensamos en un primer momento. Muchos periodistas sienten que lo que hacen es en gran medida transparente, y que no tienen nada que ocultar. Pero piense en los peligros a las fuentes si la información que nos han brindado se divulga más ampliamente. Lo que pudiera parecer información personal inofensiva, podría resultar incriminatoria para otros. Por ejemplo, el acceso a la información de sus contactos israelíes al cubrir una nota en un país árabe (y vice versa) puede causar problemas para todos los involucrados. Deshacer información previamente divulgada es difícil, pero quizás quiera limpiar su página de Facebook o de otras redes sociales, o reforzar las configuraciones de seguridad antes de salir de viaje o para una nueva cobertura informativa.

Una vez que ha redactado un listado de datos potencialmente valiosos, pregúntese otra cosa: ¿De quién está defendiendo esta información? Es fácil imaginar algún departamento de vigilancia al estilo Orwell cayendo sobre cada uno de sus mensajes de correo electrónico. En países represivos como Irán, bien puede ser ése el caso. Es más frecuente, no obstante, que los periodistas hagan enemigos en una parte específica del gobierno o con una persona en particular, tal como un jefe de la policía local o un funcionario de gobierno corrupto. ¿Acaso tienen ellos acceso a equipos de vigilancia sofisticados? ¿O tienen más posibilidades de tirar abajo de un puntapié la puerta de su casa y arrebatarles la computadora portátil? Cuando piense en atacantes potenciales, considere la posibilidad de que los ataques sean perpetrados por partidarios o simpatizantes de los mismos. En muchos casos que ha documentado el CPJ, los ataques no fueron ejecutados directamente por gobiernos o por partidos políticos, sino por agitadores “patrióticos” sin vinculación alguna, que perciben a los medios extranjeros o a la oposición como blancos legítimos para sus agresiones.

Una vez que cuente con una lista de agresores posibles y de las cosas que podrían ellos querer, puede adoptar pasos técnicos concretos para estar protegido. Las sugerencias que acá brindamos apuntan a darle una orientación más amplia sobre seguridad en la información. Recuerde, sin embargo, que las sugerencias técnicas detalladas pueden quedar desactualizadas rápidamente. Si tiene dudas, consulte el asesoramiento actualizado del CPJ en su sitio de Internet.

Proteger las Comunicaciones

Las escuchas telefónicas son probablemente la forma de vigilancia más conocida que se ejerce contra los periodistas. Quienes trabajan en países restrictivos pueden citar numerosos ejemplos de dicho tipo de vigilancia. Sin embargo, los periodistas ahora utilizan un espectro más amplio de herramientas de comunicación, incluyendo los mensajes de texto, los mensajes de correo electrónico, la mensajería instantánea, los sitios de redes sociales, y el software para conversar por video y audio. De modo que, también los adversarios de los periodistas, han ampliado su gama de armamento.

Más grupos tienen ahora poder para llevar a cabo tareas de espionaje. Históricamente, el acceso a comunicaciones de terceros estaba limitado a quienes podían acceder a registros y equipos telefónicos, ya sea a través de relaciones formales o por medio de empleados corruptos. En la actualidad, la capacidad de espiar en las computadoras o realizar escuchas telefónicas se ha descentralizado y privatizado. Ese poder se halla potencialmente en manos de un grupo mucho más amplio. La gente que comparte la misma red inalámbrica en un cibercafé puedo echarle un vistazo a nuestra mensajería instantánea; los hackers que trabajan en forma independiente pueden forzar el ingreso a nuestras casillas de correo electrónico.

A pesar del crecimiento visto en este tipo de amenazas, existen varias tácticas que ayudan a reducir el riesgo de que las comunicaciones se vean interceptadas, inclusive por los atacantes más sofisticados desde el punto de vista tecnológico.

Trate de obtener un teléfono móvil que no esté vinculado con su nombre. Comprar un teléfono económico y prepago local con dinero en efectivo es un método posible.

Cuando está en contacto con alguien, existe la posibilidad de que un tercero pueda tener acceso a dos aspectos valiosos de información: con quién está hablando, y qué está diciendo. Las herramientas de la comunicación moderna pueden filtrar unas pocas porciones más de información. Si uno lleva consigo el teléfono celular o conecta la computadora portátil a Internet, al hacer un llamado telefónico o leer los mensajes de correo electrónico se puede filtrar información sobre su ubicación, permitiendo que alguien rastree sus movimientos. Cierto tipo de software, como los clientes de mensajería instantánea o de sitios de redes sociales, pueden también revelar a quiénes más conoce a través de listas de contactos o amigos.

Es fácil escuchar conversaciones telefónicas si el agresor tiene acceso a la gente o a los sistemas apropiados en la empresa telefónica. Esto incluye a los teléfonos celulares. Es especialmente fácil interceptar los mensajes de texto, dado que el agresor no necesita tener a una persona que esté escuchando y transcribiendo las llamadas, los mensajes son tan pequeños que pueden registrarse en masa y examinarse luego. El CPJ documentó casos en los cuales las autoridades les mostraron a periodistas registros de mensajes de texto como una amenaza implícita o prueba de que habían desarrollado alguna actividad contra el Estado.

Considere la utilización de códigos pre-dispuestos que se acuerdan “fuera de banda”, es decir, no a través de un canal sospechado como inseguro. Transmita un mensaje a través de contactos personales, o utilice palabras en código en sus mensajes. Si le preocupa que las autoridades monitoreen sus llamados, intente obtener un teléfono que no esté vinculado a su nombre. Comprar un teléfono local, económico y prepago en efectivo es un método posible. Muchos países exigen una identificación personal para adquirir un teléfono, pero tal vez pueda comprar un teléfono y una conexión desde un usuario que ya existe. Recuerde, no obstante, que sus contactos pueden convertirse en blanco de ataques de interceptación igual que usted; si ellos no adoptan sus propias precauciones, su primer llamado a ellos podría revelarles a los atacantes su nuevo número.

Los teléfonos celulares informan constantemente sobre su ubicación a la empresa de teléfonos cuando están encendidos, y las empresas de teléfonos con frecuencia mantienen un registro de estos datos, en especial en regímenes represivos. Los teléfonos pueden utilizarse como dispositivos de vigilancia, también, inclusive cuando están aparentemente apagados. Si está preocupado sobre los intensos niveles de monitoreo, tal vez deba ponderar si la conveniencia de llevar un teléfono vale los riesgos que supone que el mismo pueda ser rastreado. Muchos periodistas quitan las baterías de sus teléfonos ocasionalmente para impedir que los detecten, pero deben tomar conciencia de que apagar un teléfono antes de llegar a un destino puede en sí mismo funcionar como una señal de peligro.

Mientras que el audio telefónico aún se usa para muchas conversaciones, Internet es el medio que está creciendo más en cuanto a las comunicaciones personales. A diferencia del sistema telefónico personalizado con sus rutas fijas para la comunicación, Internet es un sistema descentralizado con muchas vías potenciales para las conversaciones privadas.

Internet transmite datos a través de grandes distancias pasando información que atraviesa muchas computadoras intermedias, muy semejante a una brigada del balde que va pasando agua de un extremo de la línea a otro. A menudo, los datos viajan en ambos sentidos por esta cadena de modo que pueden ser interceptados por los dueños de los dispositivos a través de los cuales circulan los datos. A menos que los datos estén protegidos de manera técnica o con restricciones legales en vigor, su proveedor de Internet puede registrar y monitorear sus comunicaciones, igual que la compañía de teléfonos, destinos en Internet como Facebook, proveedores locales como los cibercafés o el hotel en el cual está conectado, o inclusive usuarios de Internet que utilizan la misma red local. Entre los datos vulnerables se incluye el tráfico a través del correo electrónico, la mensajería instantánea y los sitios de Internet que visita o en los cuales ingresa datos.

El software puede impedir que estos curiosos lean su correo electrónico o identifiquen los sitios de Internet que visitan. Los programas de encriptación pueden desordenar sus mensajes de modo tal que solo un receptor elegido pueda decodificarlos. Se puede elegir software encriptación diseñado para usos específicos (tales como correo electrónico y mensajería instantánea), o puede adoptar métodos que encriptan todo nuestro tráfico en Internet.

El patrón oro para la encriptación es la “criptografía de clave pública”, que permite comunicarse con otros sin tener que compartir una contraseña previamente acordada o un código secreto. Las versiones más habituales de criptografía de clave pública para correo electrónico son la fuente abierta GNU Privacy Guard, o GPG, y Productos de Cifrado, o PGP, de Symantec. Son compatibles entre sí.

Los sistemas de criptografía de clave pública muestran una pronunciada curva de aprendizaje para los usuarios no técnicos. Pero si todos los corresponsales las usan correctamente, pueden ayudar a impedir vigilancia inclusive de estados tecnológicamente sofisticados como Estados Unidos y China que tienen un importante acceso a la infraestructura de Internet. Muchos programas de correo electrónico, tales como Outlook, Thunderbird y Apple Mail, tienen software adicional, o plug-ins, que brindan soporte a GPG/PGP; las organizaciones de derechos humanos y de medios a veces brindan clases de instrucción en la utilización de dichas tecnologías.

GPG y PGP se usan de modo infrecuente fuera de grupos vulnerables. Por lo tanto, su propia utilización puede ser una señal de peligro para las autoridades y pudiera atraer atención no deseada. Tal vez desee usar en forma más generalizada las herramientas disponibles, aunque éstas no tendrán el mismo nivel elevado de protección. Si está dispuesto a permitir que uno o dos intermediarios tengan acceso a sus comunicaciones, los servicios de correo alojados por Internet pueden brindar una protección limitada. Servicios como, por ejemplo, el Gmail o Riseup.net de Google utilizan “seguridad de la capa de transporte”, o TLS/SSL. Esto significa que mientras que las compañías que manejan los servicios pueden leer sus mensajes de correo electrónico (Google lo hace para poder enviar publicidad segmentada por destinatario), otros intermediarios que transportan datos hacia y desde estas compañías no pueden hacerlo.

Para asegurarse que el servicio que utiliza protege sus comunicaciones de otros intermediarios, es importante verificar la dirección en Internet que se halla en la parte superior del buscador. Si comienza con “https://” —y no con “http://”— entonces las comunicaciones están al menos parcialmente encriptadas, y por lo tanto serán más capaces de evadir la vigilancia. Servicios tales como Twitter, Facebook y Hotmail de Microsoft actualmente brindan esto como un atributo de seguridad gratuito, aunque opcional. Tal vez deba buscar en línea la documentación de estos atributos para poder habilitarlos.

Si está trabajando bajo un régimen represivo conocido por tener acceso a los proveedores de comunicaciones, considere la posibilidad de usar un proveedor de correo de Internet encriptado radicado en otro país sin vinculaciones políticas o económicas con el lugar donde se halla. Tal vez desee alentar a que los corresponsales utilicen una cuenta de correo electrónico dentro del mismo servicio cuando hablan con usted. No tiene ningún sentido encriptar cuidadosamente la parte de la conversación que le corresponde si su corresponsal lee sus mensajes de correo electrónico de modo inseguro.

Aunque la encriptación de tipo TLS protege los mensajes que pasan por Internet, los atacantes posiblemente intenten obtener sus archivos de mensajes anteriores. Podrían llegar a hacer esto instalando software en sus computadoras o en las de sus corresponsales, o bien ingresando sin autorización en su proveedor de correo electrónico. Esto hace que resulte importante proteger sus propias computadoras y las contraseñas de todos los servicios de correo electrónico que utilice. (Ver secciones debajo sobre Defender sus Datos y Protección de Datos Externos).

La mensajería instantánea –charlas mediante texto en tiempo real que usan software como el MSN Messenger, Yahoo! Messenger, AIM, y el chateo de Facebook– son tan vulnerables de ser interceptadas como el correo electrónico. Muy pocos programas de chat brindan protección encriptada. Gobiernos como el de Irán y el de China tienen como práctica habitual interceptar la mensajería instantánea, según revela la investigación del CPJ. La mensajería equivalente a PGP y GPG es Mensajería sin Registro u Off-The-Record (OTR) Messaging, que puede utilizarse en combinación con la mayoría de los programas de software para mensajería instantánea. Como sucede con PGP/GPG, el sistema OTR exige que ambas partes en la conversación tengan la capacidad técnica necesaria para poder instalar y aprender nuevas aplicaciones. Muchos periodistas usan Skype para llamadas de audio delicadas como así también mensajería instantánea. Skype realiza encriptado de sus comunicaciones pero mantiene en secreto sus métodos, de modo que es difícil saber el nivel de protección y si la misma será efectiva en el futuro. Se recomienda usar Skype preferentemente versus los sistemas de mensajería no encriptados, pero la recomendación es que se use con precaución.

Más que usar partes separadas de un software para encriptar partes de sus comunicaciones en línea de modo selectivo, tal vez prefiera encriptarlo todo. Un modo de hacerlo es usando una red virtual privada (VPN, por sus siglas en inglés). Una VPN encripta y envía todos los datos de Internet hacia y desde su computadora a través de una computadora especialmente dispuesta a tal fin que se halla en otra parte de Internet, llamada servidor VPN. Cuando se configure de modo correcto, la red VPN asegurará que todas sus comunicaciones estén seguras contra interferencias locales. Si es empleado de una organización de medios, su empleador podría bien querer usar una VPN para permitir que los usuarios remotos accedan a las redes internas de la compañía. De modo alternativo, algunos servicios comerciales permiten que los individuos abonen una renta mensual para acceder a un servidor de VPN.

Como se ve en el resto de Internet, pareciera que está accediendo a la Web y a otros servicios de Internet desde su servidor de VPN, no desde su ubicación real. Esto significa que puede ocultar su paradero actual y pasar por encima de los sistemas de censura locales. Los VPNs no encriptan cada etapa del recorrido de sus datos en línea. Puesto que su destino final tal vez no comprenda los datos encriptados, la información y solicitudes que maneje surgen del servidor VPN de modo no encriptado. Esto significa que tiene que confiar en que los operadores del servidor de VPN que usa –y los intermediarios entre ellos y los sitios y servicios que usted visita– no estén ellos mismos monitoreando de modo malicioso sus comunicaciones. Si está defendiéndose contra un adversario local, como por ejemplo el gobierno, el servidor VPN del servicio que seleccione deberá hallarse en otra jurisdicción.

Una alternativa a la red VPN comercial es el servicio seguro de correo electrónico por anonimato llamado Tor. El servicio Tor protege el tráfico de sus usuarios encriptando y mezclando los datos a través de varios servidores manejados por voluntarios antes de que finalmente salgan a Internet. Vale la pena considerar el uso de Tor si desea que no lo rastreen en línea, aunque puede ser lento y puede estar bloqueado o ser difícil de acceder en algunos países.

Defender sus Datos

AP Las computadoras portátiles modernas y los teléfonos inteligentes pueden guardar grandes cantidades de datos, pero usar esa capacidad plantea serios riesgos. Si las computadoras o los teléfonos son robados o destruidos, se corre el riesgo de perder una gran cantidad de información importante.

Mientras que todo aquel que posee una computadora o un teléfono moderno enfrenta este riesgo, deberá tener en cuenta la posibilidad de que los atacantes quizás apunten contra usted para obstruir su labor o tomar represalias. Los atacantes pueden apropiarse de sus equipos para obtener datos privados. O pueden buscar infectar su computadora con software malicioso de modo tal que los atacantes puedan tener acceso remoto a sus archivos en sus computadoras y a todas sus comunicaciones.

Si está viajando en situación de peligro, considere la posibilidad de usar una computadora portátil separada o un teléfono sencillo que lleve información mínima. Piense en la conveniencia de guardar la información confidencial en un archivo tipo USB o memoria USB (un dispositivo de almacenamiento pequeño que se puede conectar en sus computadoras), que resulta más fácil de ocultar y de proteger. Lleve la memoria USB oculta y separada de la computadora. Las memorias USB se ofrecen con muchas posibilidades de disfrazarlas, como por ejemplo como llaves o piezas Lego. Además, tal vez quiera hacer una copia de seguridad de documentos vitales desde una computadora portátil a una memoria USB de modo tal de poder contar con una copia si pierde control de sus computadoras.

Asegúrese tener apagada la computadora cuando se va de su lugar de trabajo. Inclusive en una redacción, esté atento a la gente que mira por encima de sus hombros cuando se registra o lee sus mensajes. No use computadoras públicas en cibercafés ni en hoteles para conversaciones confidenciales o para acceder a su memoria USB. Y no ingrese contraseñas en computadoras públicas.

Siempre configure su computadora portátil o teléfono celular de modo tal que el PIN o la contraseña sea necesaria para desbloquearlos. Tiene que comprender, no obstante, que los ladrones de información muy resueltos a menudo son capaces de sortear estos controles de acceso. Existe software para el encriptado local de archivos como por ejemplo el BitLocker de Windows, el FileVault de MacOS, o proyecto independiente TrueCrypt que permitirán configurar protecciones con contraseñas en archivos específicos, en toda su cuenta, o inclusive en todo el disco. Los datos encriptados de este modo no los pueden leer ni siquiera quienes tengan total control sobre sus computadoras. Este mismo software puede usarse con memorias USB. Asegúrese de escoger la contraseña adecuada. (Ver sección sobre Seleccionar una Contraseña Segura).

Los teléfonos inteligentes representan un desafío para protegerlos debido a la complejidad que los caracteriza. Tal vez quieran investigar programas de encriptado local específicos. El grupo de activistas conocido como MobileActive brinda consejos útiles para proteger los dispositivos móviles.

Gobiernos y organizaciones criminales usan de modo creciente el envío de software malicioso llamado malware para destinatarios seleccionados a tal efecto, con el fin de atacar a quienes son percibidos como enemigos, como por ejemplo los periodistas independientes. Al aprovechar los virus que se hallan presentes en software popular entre usuarios de Internet, el software malicioso se instala a sí mismo de manera remota e invisible en las computadoras; el malware puede entonces registrar sus movimientos clave, mirar sus pantallas, o inclusive subir archivos locales a sitios de Internet remotos. Puede enviarse a través de adjuntos que viajan en mensajes de correo electrónico falsos pero convincentes, e inclusive en sitios de Internet que se ven como cualquier otro. No hagan clic en estos adjuntos o enlaces que reciben por correo electrónico, inclusive si provienen de colegas, sin considerar la posibilidad de que el correo pudiera ser una copia a medida que usa detalles personales que un atacante extrajo en línea. Utilice software antivirus y manténganlo actualizado; éste podrá detectar todos los ataques de los cuales es víctima, excepto los más sofisticados. (Si usan Windows, tanto Microsoft como Avast brindan beneficios antivirus básicos y gratuitos). Si acaso sospecha que su computadora pudiera estar infectada, la mayoría de los técnicos independientes y empleadores podrán limpiar las máquinas y reinstalar el software de modo que el malware sea quitado. Asegúrese de hacer una copia de seguridad de todos los datos antes de que se inicie el proceso y trabaje con los expertos para asegurarse de que los datos que copian no estén albergando el software malicioso.

Las copias de seguridad remotas, en los cuales archivos locales son copiados periódicamente en un servidor remoto, son en general una buena idea a tener en cuenta. Constituyen otra forma de proteger su información en caso de que perdiera acceso a su máquina local. Asegúrese de que los datos estén encriptados al hacer esto y de que el acceso a las copias de seguridad esté controlado. (Ver sección sobre Protección de Datos Externos).

Si espera atravesar situaciones en las que su computadora puede ser confiscada o inspeccionada –en cruces fronterizos, por ejemplo– tal vez prefiera quitar la información confidencial. No se trata simplemente de eliminar el archivo o tirarlo a la basura. A menudo es bastante sencillo recuperar archivos que se eliminaron a través de métodos habituales de la computadora. Si quiere que sus datos realmente sean irrecuperables, necesita usar software adicional especialmente diseñado para quitar esos datos de manera segura. O bien utilice la aplicación “eliminación segura” de su computadora, si es que cuenta con ello, o baje con anticipación software de terceros como el programa gratuito de Windows llamado Eraser.

Protección de Datos Externos

No toda la información que tiene en su computadora o en su teléfono inteligente se guarda localmente. Puede guardar datos “en la nube” en sitios tales como Google Docs, o servicios de Web mail como Gmail o Yahoo, o bien en servicios de redes sociales como Facebook. Si le preocupa el acceso a la información privada, debe considerar la seguridad de los datos externos igualmente.

Las compañías de Internet efectivamente entregan datos privados ante demandas presentadas por el gobierno si lo exige la ley local, o si poseen vinculaciones estrechas con autoridades políticas o económicas. Sin embargo, el acceso a los datos almacenados en la nube se obtiene tanto a través del engaño como mediante el debido proceso. Sus atacantes pueden obtener su contraseña de registro, o hacerse pasar por usted para obtener acceso. Seleccione sus contraseñas y preguntas de seguridad con cuidado para impedir esto. Siempre utilice una conexión encriptada, provista ya sea por el servicio de Internet vía “https” o su propio software. (Ver sección sobre Proteger las Comunicaciones).

No proteja simplemente los datos privados que están en línea; considere también lo que está revelando en lugares de Internet disponibles en forma pública. Los sitios de redes sociales a menudo se equivocan cuando tienen que decirles a todos, todo lo usted les dice a ellos. Vale la pena intentar en forma periódica tratarse a sí mismo como si fuera el blanco de algún tipo de periodismo de investigación. Fíjese cuánto puede sacar a luz por sus propios medios buscando en la Web, y cómo esa información pública podría ser usada indebidamente por aquellos que desean interferir con su labor.

Seleccionar una Contraseña Segura

La protección mediante el uso de una contraseña segura es, sin lugar a dudas, la mejor defensa en general que puede brindarle a sus datos. Pero seleccionar una contraseña invulnerable es más difícil de lo que parece. Muchos se sienten azorados al descubrir que sus ingeniosas elecciones se hallan en realidad entre las contraseñas más populares. El software permite a los atacantes generar millones de contraseñas de las más habituales y luego rápidamente las prueba versus un dispositivo o servicio protegido por contraseña. Las selecciones habituales de una contraseña segura –una palabra sencilla del diccionario y un número, por ejemplo, o una palabra con letras clave colocadas con signos de puntuación– caerá presa de estos ataques si son demasiado cortas.

Los atacantes pueden obtener sus contraseñas amenazándolo con hacerle daño. Considere la conveniencia de tener una cuenta que contenga información inocua, cuya contraseña pueda divulgar.

Opte, en cambio, por una “frase de contraseña”, una cita o refrán único que sea más largo que la contraseña promedio de ocho caracteres, mezclada con signos de puntuación al azar. Seleccione la oración de un autor favorito (pero oscuro), o alguna frase que no tenga sentido y que usted recuerde. Mezcle minúsculas con mayúsculas. Cuanto más larga la contraseña, más probablemente pueda resistir los métodos automáticos de descubrirla. Una buena manera de crear una frase de contraseña recordable y segura utilizando un par de dados comunes se describe en www.diceware.com.

Si utiliza muchas contraseñas, considere la posibilidad de usar un gestor de contraseñas, un software que generará contraseñas únicas y las almacenará de modo seguro bajo una frase seña única. Asegúrese de que esa única frase de contraseña sea segura. Preste atención a las respuestas que brindan a las “preguntas de seguridad” (como por ejemplo, “¿Cuál es el apellido de soltera de tu madre?”) que los sitios de Internet utilizan para confirmar la identidad de los usuarios cuando se olvidan sus contraseñas. Las respuestas honestas a muchas preguntas de seguridad son hechos que pueden ser públicamente descubiertos y que adversarios decididos pueden hallar con facilidad. En su lugar, brinde respuestas ficticias que, del mismo modo que las frases de contraseñas, nadie conoce excepto usted. No use la misma contraseña o preguntas de seguridad para múltiples cuentas en distintos sitios o servicios de Internet.

Finalmente, comprenda que siempre habrá un camino que los atacantes encontrarán para obtener sus contraseñas. Pueden directamente amenazarlo con daños físicos. Si teme que ésta pudiera ser una posibilidad, piense los modos de ocultar la existencia de datos o dispositivos que están protegiendo con las contraseñas, antes que confiar en que nunca se verá obligado a entregarlas. Una posibilidad es mantener por lo menos una cuenta que tenga información en gran medida inocente, cuya contraseña pueda divulgar rápidamente. El software llamado TrueCrypt ofrece esto como una característica ya incorporada.

Aumentar la seguridad nunca resulta algo perfecto, y siempre tiene sus desventajas. Solamente usted puede decidir cuál es el balance entre desempeñar su labor de modo eficiente y protegerse contra los ataques a sus datos. Cuando considera las soluciones, sea honesto sobre su capacidad y no se imponga protocolos de seguridad imposibles. Encriptar sus correos, eliminar sus archivos mediante métodos seguros y utilizar largas contraseñas no será de ninguna ayuda si, siendo realista, no es consecuente con esos mismos hábitos en el terreno. Piense en su lugar, qué pasos fundamentales en verdad adoptará. Si le preocupa mucho la posibilidad de sufrir ataques técnicos, más que una confiscación, por ejemplo, considere la conveniencia de redactar notas en un anotador de papel en lugar de hacerlo en un documento Word.

Si está enfrentando sofisticados ataques técnicos, el mejor modo de abordarlos puede ser sencillo y mínimo. Sólo usted puede decidir las ventajas y las desventajas. No es un “ciberdelito” guardar sus contraseñas largas escritas en papel en un lugar seguro. Al menos si alguien le roba, podrá saber que es hora de cambiarlas. Simplemente tenga cuidado de no poner esas contraseñas en un papel autoadhesivo sobre la pared de su oficina.


Próximo capítulo: 4. Conflicto Armado


TamaƱo del texto
A   A   A
Herramientas

   

Imprimir Imprimir

Compartir Compartir

Manual de Seguridad para Periodistas del CPJ

Tabla de Contenidos

2. Evaluación y Respuesta al Riesgo

4. Conflicto Armado

 



Manual de Seguridad para Periodistas del CPJ » Ir a: