Por Katherine Pennacchio Los seres vivos tenemos una tendencia natural de protegernos de peligros: retirar la mano al tocar algo caliente, evitar lugares peligrosos o correr de una amenaza física. Sin embargo, esos instintos no los tenemos del todo desarrollados cuando la trasladamos al mundo digital. “En el caso de internet, muchas veces estamos haciendo las cosas y no tenemos la más mínima idea del peligro al que nos estamos enfrentando por pura ignorancia”, dijo a LatAm Journalism Review (LJR) Luis Assardo, formador en seguridad digital y periodista de investigación de datos. “Sobre todo en Latinoamérica no contamos con el conocimiento necesario por lo que esa habilidad o instinto aún no se ha desarrollado”. Assardo será el entrenador del nuevo curso Seguridad digital para periodistas en tiempos de crisis, ofrecido por el Centro Knight para el Periodismo en las Américas y la Red Global de Periodismo de Investigación (GIJN). El curso será gratuito y se realizará de manera virtual del 7 de julio al 3 de agosto. En conversación con LJR, Assardo enumeró los errores más comunes que él ve que los periodistas deben evitar si quieren mantener su seguridad digital. Hizo hincapié en que los riesgos siempre estarán presentes pero hay que saber identificar cuáles son para poder mitigarlos. 1- Usar WiFi en sitios públicos Un problema que sigue afectando a América Latina es la brecha digital. Un 28% de los latinoamericanos viven en áreas con baja cobertura de banda ancha móvil, según reportes de GSMA Intelligence. Por esta razón, dijo Assardo, los periodistas tienden a correr más riesgos y a conectarse a redes públicas en restaurantes, plazas, hoteles o aeropuertos. Lo ideal es no hacer uso de redes públicas pero si no hay otra opción, Assardo recomienda usar un VPN: una red privada virtual que crea una conexión cifrada entre el dispositivo y un servidor remoto, enmascarando así la dirección IP y dirigiendo el tráfico de internet a través de ese servidor. También es importante evitar hacer compras online mientras se usa un WiFi desconocido y, una vez culminado el uso del internet, borrar de inmediato del dispositivo la conexión a ese WiFi. “Tal vez este es uno de los de los mayores problemas que encuentro cuando abro el WiFi de cualquier periodista. Me encuentro con centenares de conexiones de WiFi pasadas que ya no sirven”, dijo Assardo. “Así cualquiera puede saber que estuviste en el restaurante ‘pepito’ y clonar la información de ese WiFi”. 2. No cuidar la privacidad de los datos En los medios en Latinoamérica, el uso de Whatsapp está extendido, no solo como vía para conectar con las audiencias sino también como espacio de comunicación entre periodistas y fuentes. Whatsapp utiliza el cifrado de extremo a extremo por lo que solo el remitente original y el destinatario final pueden observar el mensaje. Sin embargo, las prácticas de privacidad de WhatsApp y su empresa matriz (Meta) son preocupantes, según la guía ‘Autodefensa de la vigilancia (SSD)’ de la Electronic Frontier Foundation. Assardo explica que hay una diferencia entre seguridad y privacidad. Y aunque Whatsapp es seguro, no es necesariamente privado ya que es posible saber con quién hablaste aún no teniendo acceso a la conversación. “Meta, Google, Amazon y todos los grandes emporios de tecnología son data brokers. Ellos lo que buscan es obtener datos porque es básicamente con lo que comercian, es parte de su modelo de negocio”, dijo Assardo. “No podemos confiar plenamente en ellos”. Según Assardo, lo ideal sería que las salas de redacción usaran otras aplicaciones más seguras como Signal, Threema, Session o Wire. 3. Ignorar la actualización de los dispositivos Las actualizaciones de software son esenciales para mantener la seguridad y el rendimiento de los dispositivos y aplicaciones. Las actualizaciones permiten la protección frente a ciberamenazas, mejoran la experiencia de usuario y garantizan la compatibilidad con otros softwares y hardwares. Al no actualizar, se deja una ventana abierta para vulneraciones. “Me he encontrado con periodistas que tienen 2 o 3 años con un dispositivo y nunca lo han actualizado”, dijo Assardo. “Puedes tener una contraseña muy segura pero si nunca actualizaste el software cualquier atacante podría entrar al dispositivo, agarrar lo que se le dé la gana, hacer lo que se le dé la gana, salir y nunca me voy a dar cuenta siquiera”. 4. No hacer backup de los datos Uno de los trabajos del reportero es salir a la calle a buscar información o viajar tras una noticia. En ese proceso, sobre todo en países donde la seguridad o libertad de expresión están en juego, los dispositivos del periodista pueden verse comprometidos, ya sea por robo o revisión por parte de autoridades. Assardo dijo que hacer un backup –realizar una copia de seguridad– es una solución fácil que permite a los periodistas navegar las amenazas y reducir el impacto de las vulnerabilidades. “¿Cuánto tiempo me va a tomar hacer un back-up? Una hora, okay, lo dejo haciendo y me voy a almorzar. Hay soluciones. Podemos planificar las cosas con tiempo, aún cuando no tengamos muchos recursos”, dijo Assardo. 5. Caer en las distracciones de los atacantes El acoso online es un fenómeno que se usa de manera coordinada contra periodistas y pueden incluir confrontaciones, estigmatizaciones y campañas de desprestigio en redes sociales. Assardo dijo que este tipo de ataques no solo se usan como forma de descrédito sino también para distraer al periodista de otros problemas que pueden estar sucediendo en paralelo: acoso legal, vigilancia, acoso financiero. Por lo tanto, es importante evitar actuar o responder de manera impulsiva a los atacantes. “Hoy en día los ataques a periodistas no solo se dan con acoso en línea, sino que también con acoso legal”, dijo Assardo. “Pueden estar lanzando una o más demandas legales y necesitan que el periodista esté distraído, enganchado con un troll y no hablando con su abogado o con la defensa que va a necesitar para sus temas legales”. 6. Descargar o dar clic indiscriminadamente Microsoft en su página web explica que el phishing (pronunciado como "fishing") es una forma de engañar a los usuarios de internet para que revelen información personal o financiera a través de un correo electrónico o un sitio web. Una estafa común de phishing comienza con un correo electrónico que parece un aviso oficial de una fuente confiable, como un banco o una compañía de tarjetas de crédito. En el correo electrónico, se dirige a los destinatarios a un sitio web fraudulento donde se les solicita información personal, como un número de cuenta o una contraseña. Esta información suele utilizarse para el robo de identidad. El phishing también puede usarse con la intención de infectar un dispositivo con un software malicioso. Un periodista que sufre de phishing puede perder información confidencial sobre reportajes o fuentes. Assardo dijo que los periodistas deben estar atentos también al momento de usar en sus dispositivos USBs dados por fuentes ya que podrían tener códigos maliciosos escondidos. “En una sala de redacción debería de existir una computadora que no esté conectada al internet y que sea solamente para descargar información en este tipo de situaciones”, dijo Assardo. 7. Anotar contraseñas en papel Los post-its son unos de los objetos más temidos por los expertos en seguridad digital. Hay quienes acostumbran anotar sus contraseñas en papel y las dejan al alcance de cualquier persona. Para Assardo, tener anotada una contraseña en papel es un no rotundo. “En estos talleres siempre le pregunto a los asistentes si la llave que utilizan para entrar a su casa se la saben de memoria, si la podrían dibujar de memoria”, dijo Assardo. “Todos me dicen que no podrían ni reconocerla. Eso pasa porque forma parte de un llavero. Lo que el periodista necesita es su llavero, un administrador de contraseñas que de forma eficiente me permita entrar a cualquier puerta que necesite entrar”. Hay opciones de gestor de contraseñas gratuitas y de pago. Algunas opciones son: Lastpass, 1Password, o Nordpass. 8. Resguardar información sensible en grandes empresas de tecnología La última recomendación que dio Assardo fue el intentar no tener información sensible en las plataformas de empresas grandes de tecnología, ya que, aunque ofrecen cifrado de la información, hay mayores probabilidades de que los datos se vean comprometidos. “Supongamos que estoy haciendo una investigación sobre pandilleros y hay información muy sensible ahí de algunas fuentes. Yo jamás lo pondría en el drive”, dijo Assardo. “Lo que haría sería utilizar otras herramientas como Cryptee o Tresorit donde puedo tener de forma encriptada la información y nadie más va a tener acceso”. Assardo concluyó diciendo que la alfabetización y seguridad digital no es solo para personas privilegiadas sino que el conocimiento se puede adaptar al contexto, niveles y recursos que están disponibles.