jueves, 19 de julio de 2018

Cómo ser periodista y no morir [ni tu fuente ni tú] en el intento

/*
DISCLAIMER

En este post he tardado más en redactarlo porque no sabía bien cómo plantearlo y quería dejar antes una serie de posts que sirvan de ayuda para este artículo. Tenía pensado dejar una entrada mucho más larga y hablando sobre todo lo comentado en los posts anteriores, pero finalmente he decidido plantearlo de una forma que sea sencilla de seguir y que ya sea el lector el que vaya profundizando con los links de los artículos que voy a dejar.

*/

Ser un periodista comprometido con tu trabajo es algo que, a día de hoy, no abunda. No obstante, hay grandes profesionales a los que no les importa meterse en la boca del lobo para informar sean cuales sean las consecuencias. A pesar de su profesionalidad, si no gestionan bien su privacidad y la de sus fuentes, se pueden ver en un serio compromiso que les pueda llegara costar hasta la vida. Por esta razón, he decidido elaborar este post, para ayudar a todxs esxs periodistas que, para informar, se juegan la vida.



Por norma general, cuando alguien estudia periodismo, no se le suele enseñar en la carrera nada sobre seguridad ni nada por el estilo. Lo más parecido que he encontrado ha sido un caso de una Universidad que a penas ha tenido problemas de corrupción por temas de Másters fantasmas. La Universidad Rey Juan Carlos, la cual imparte el grado de Periodismo,  y lo más parecido que tiene es en Primero, una asignatura en el 2º semestre sobre "Nuevas Tecnologías", una asignatura que puedes convalidar. Así nos luce el pelo.


Aún así, con unas 25-30 horas tan sólo en cualquier año de la carrera que se le dedique a la Seguridad de la Información y de los sistemas, bastaría para que los periodistas del mañana salgan con una buena base. 30 horas dedicadas a formar en seguridad, es 1 mes y medio si se da 1 hora cada día. No es mucho y ya no es solamente que estás formando a gente, sino que le estás dando herramientas útiles para conservar sus vidas en caso de revelar información de grandes instituciones. Todos hemos leído noticias de periodistas asesinadxs.



Como siempre digo, preocuparse por la seguridad y la privacidad no es complicado, solamente hay que dedicarle un poco de tiempo y ya está, por lo demás, disponemos de muchas herramientas que son fáciles de utilizar para cualquier usuario. Si ni por esas, siempre hay manuales en Internet que lo explican. Tened en cuenta que si sois periodistas, mejor dedicar  1-2 o las horas que hagan falta antes que poner tu vida puede correr peligro.

Lo primero que se debería hacer es cifrar nuestro ordenador. Para esto, siempre se recomendaba tradicionalmente utilizar TrueCrypt. No obstante, desde 2015 sabemos que ya no es tan seguro, pero no pasa nada, hay muchas más opciones y que son open source. Es muy importante que se escogan herramientas y software libre, ya que de lo contrario no podríamos mirar el código y asegurarnos que realmente hace lo que promete. Esto es fácil de entender y el ejemplo es sencillo. Si os dicen que el piso que vais a comprar tiene X metros cuadrados, qué menos que te enseñen los planos de la casa y la escala a la que está para comprobarlo. Pues aquí ocurre lo mismo.

Como he dicho, hay muchos software que cifran nuestros discos duros, en este artículo se mencionan algunos. Recordad escoger el que sea Software Libre y que sea multiplataforma. Aquí no dejamos a nadie atrás.


En este ejemplo he utilizado VeraCrypt, un software que nos puede ser de utilidad. No obstante existen muchos más y que vosotros podéis ir escogiendo.

Por supuesto, hoy en día la gente trabaja y utiliza sus smartphones, que no dejan de ser ordenadores con un software. Por esta razón, si hemos dicho que debemos tener cifrado nuestro ordenador, lo mismo se debería hacer con nuestro teléfono móvil. Sobre esto ya tenéis un post en el Blog.



Ya tenemos cifrado nuestro ordenador y nuestro móvil, ahora la siguiente pregunta que nos tenemos que hacer es "¿Cómo vamos a navegar?". Si, por ejemplo, vamos a hacer un viaje en coche, lo primero será mirar en qué coche y si el coche funciona bien, tiene su rueda de repuesto y todo lo necesario. Pues a la hora de navegar por Internet lo mismo. 

Para navegar, vamos a utilizar el navegador TOR. No nos queda otra. TOR lo tenemos para cualquier sistema operativo, por lo que no hay excusas de incompatibilidades.Ya sabemos que podemos utilizar Tor en nuestro ordenador, pero es que también lo podemos utilizar en nuestros smartphones utilizando Orbot y Orfox. Ojo, no busquemos información sobre un caso en Firefox [y menos en Google Chrome] y después entremos en TOR. Cualquier cuestión relativa a un caso, lo mejor es irnos directamente a TOR y buscar todo lo que necesitemos desde allí. 

También tenemos que tener en mente que si nos conectamos a Internet, es porque estamos conectados a un punto de acceso, ergo la siguiente pregunta es obligada. "¿Cómo de segura es la red?". Si es la de nuestra casa tendremos que comprobarlo, y si es la de un cibercafé, mejor que no nos fiemos. Siempre por si acaso, sería bueno utilizar una VPN. Ahora eso sí, nada de PPTP. Aquí hay más información de mi propio blog sobre VPN.


Deberemos utilizar un VPN ya que aunque TOR nos vaya a camuflar la IP, nos la camuflará entre los nodos intermedios, pero no al entrar, por lo que si colocasen un nodo justo antes de entrar en TOR, te pillarían y nosotros queremos ser anónimos para mantener nuestra vida.

Lo siguiente será ver cómo nos van a enviar información nuestras fuentes. Las formas más comunes de traspaso de información son 2:

  • Por correo electrónico:
    •  Con cifrado. Es lo recomiendo ya que es bastante sencillo aplicar cifrado a nuestras comunicaciones por correo electrónico. Yo elaboré un artículo donde explicaba cómo cifrar nuestro correo utilizando Thunderbird con OpenPGP y Enigmail. Sinceramente, si sois periodistas y os comunicáis  con vuestras fuentes sin cifrado en el correo, estáis comprometiendo ya no vuestra seguridad, también la de vuestra fuente, una persona a la que pueden ir y joder la vida porque vosotros no queráis aplicar cifrado. También os digo que si aplicáis cifrado, lo que se cifra es el mensaje, pero no el TO, FROM y SUBJECT, por lo que se conocería quién envía y quién recibe el correo. Cierto es que no podrían demostrar lo que hemos escrito. No obstante podemos decir a nuestra fuente que utilice una dirección de correo en el que su nickname no haga referencia a su nombre ni ningún dato personal suyo. Nada de iniciales, nada de nombres de sobrinos, mascotas ni nada por el estilo. Aún así, siempre podemos decir a la fuente que utilice un correo de usar y tirar como GuerrillaMail.

Así no se difunde ningún dato relativo a la fuente pero el mensaje va sin cifrar, lo que quiere decir que el mensaje está en claro lo que puede reportar mucha información a cerca de la persona que lo escribe ya que cada uno tenemos una personalidad al escribir.

    • Sin cifrado. Esta es una opción que no es muy buena para garantizar la privacidad y anonimato de la fuente, aún así podemos utilizar el correo de usar y tirar.
Una cuestión importante también es cómo vamos a pasar esos archivos, para eso podemos ayudarnos de la Deep Web y sus servicios como Anonfiles, un servicio muy popular y que nos será de ayuda para pasar archivos de forma segura y privada.


  • Utilizando Fíltrala: Fíltrala es  una plataforma para traspasar evidencias de forma anónima. Es muy interesante porque desde su misma plataforma, nada más acceder, sacan tu User-Agent y si ven que no estás navegando desde TOR te dan el aviso y te dicen que mantendrán tu anonimato pero que hay un vector que se te está escapando. Además tienen una Guía de seguridad muy interesante donde te hablan un poco de TOR y algunas recomendaciones sobre seguridad y privacidad.

Esto está genial, pero si el siguiente paso fuese enviarle cualquier documento confidencial a través de un formulario donde se me pida mi email, eso ya no sería muy privado. Esto lo tiene en cuenta Fíltrala y por eso no te pide ni tu nombre ni tu email ni nada. Sólo el título del envío y el documento como campos obligatorios y después si quieres, una pequeña descripción.


El periódico eldiario.es utiliza esta plataforma para pasarle pistas, y yo no puedo estar más agradecido que un periódico se preocupe por la seguridad y privacidad de sus fuentes. Gracias, mil gracias.

Entonces, ya sabemos cómo nos pueden pasar esa información, vamos ahora a esa información en sí. Algo que tenemos que tener en mente es que hay gente que nos va a querer ayudar y otras personas que nos van a querer dañar, por esta razón tenemos que tener cuidado con el más mínimo detalle.


Tenemos que tener claro que si recibimos un pdf, ya sea por correo o por Fíltrala, lo primero que tendremos que hacer es analizar este pdf en sitios como VirusTotal y ver si tienen virus.

Ahora puede pasar que ese documento que nos pasa nos motive a analizar e investigar con una mayor profundidad el caso. De ser esto así, es posible que nos traslademos y viajemos hasta donde está la noticia y que ahí tomemos fotos. Aquí tenemos que tener cuidado.


Para ejemplificar esto yo he tomado esta fotografía y ahora la vamos a analizar, ya que esta foto es mucho más que una cama de matrominio, esta cama tiene datos, y no me refiero a que hayan dormido dos personas [mi pareja y yo en este caso].


Ya sabemos que ElevenPaths desarrolló MetaShield para analizar metadatos. Lo que voy a hacer será pasar esta fotografía para sacar información como cuándo se tomó. Aquí vemos que fue creado el 4/07/2018.




Si seguimos mirando entre los metadatos veremos que nos sale información sobre el GPS. Nos marca la latitud y la longitud. Esto puede ser peligroso ya que reporta dónde estuvimos cuando tomamos esa foto. Dependiendo del caso, esto nos podría costar caro.



Hay sitios online en los que introduces esas coordenadas y te situa en un mapa de Google. Yo para esto siempre suelo utilizar esta web, la cual es intuitiva.


Podemos ampliar en el mapa y saber casi con exactitud, desde dónde se tomó la fotografía. Esto, como he dicho, puede ser complicado y muy delicado. Imaginemos que estás desde tu balcón en mitad de la madrugada porque no puedes dormir, has decidido salir a tomar el aire y ves justo debajo de tu balcón 2 personas. Una te suena, es un político y ves que se están intercambiando maletines. Decides sacar una fotografía y un vídeo. Lo mismo puede ser entre 2 narcotraficantes. El problema está en que esa foto saldrá en los medios y si se descargan esa fotografía, podrían llegar a saber desde dónde se tomó y desde qué balcón teniendo en cuenta la altura.


Imaginad que encima consiguen sacar nuestro correo de Google y acceden a nuestro Timeline en Google Maps, pues pueden saber por dónde nos movemos habitualmente. Esto es peligroso si somos periodistas o fuente. El trabajo de un periodista es también proteger a su fuente y en caso de encontrarse estos metadatos borrarlos de inmediato antes de publicar nada.

Por supuesto, también deberíamos empezar a utilizar Tails para elaborar sobre todo los informes o incluso comunicarnos por correo y pasar el informa y/o pruebas a la redacción, así si en nuestro equipo no tenemos ThunderBird pero en Tails sí, si accediesen a nuestro equipo  no accederían al correo en caso de que no hagáis caso al consejo de desmarcar el "Recordar contraseña". A ser posible, utilizad la Red lo menos posible.

Utilizando la red lo menos posible, y al utilizarla con Tails o con Tor por supuesto, limitarnos al trabajo que teníamos que hacer y nada de iniciar sesión en Facebook o Twitter, evitamos posibles ataques de Man in the Middle o que accedan a nuestro sistema con un meterpreter.

Siguiendo este protocolo, evitaremos que nos puedan cazar y por tanto evitar problemas mayores en casos en los que revelemos información sobre un alto cargo, un delincuente,etc.



Cristina Cifuentes ha puesto una querella contra dos periodistas de eldiario.es por revelar lo del caso de su falso máster. Uno de los periodistas es Ignacio Escolar, y lo que quiere Cifuentes es que se investigue el origen de esta filtración, es decir, la fuente. Sé que en eldiario.es lo hacen bien y mantienen la privacidad de sus fuentes pues utilizan filtrala.org o un correo independiente para las filtraciones. En caso de que salga la fuente, seguramente sea por presiones y no por utilizar medios informáticos, aunque si se han conectado a fíltrala sin TOR, sin VPN, si su PC tenía algún virus o se conectó a su Facebook, todo es posible. Lo que está claro es que si la fuente ha utilizado el protocolo aquí dado, costaría mucho obtener la identidad de las filtraciones. Así que dejo este post para mis amigos periodistas que sí informan de forma objetiva y sin miedo. Gracias compañerxs.

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...