Guía para periodistas: investigar el panorama de las amenazas digitales

Nota del editor: Este artículo forma parte de la Guía para periodistas para la investigación de amenazas digitales de GIJN. La primera parte, sobre la desinformación, y la segunda, sobre la infraestructura digital, ya están publicadas. La guía completa se publicará en septiembre en la Conferencia Global de Periodismo de Investigación (GICJ23).

La cibervigilancia está en todas partes: desde el momento en el que desbloqueas tu teléfono por la mañana, tu actividad genera datos a través de las aplicaciones que utilizas, las antenas a las que tu dispositivo se conecta y las llamadas que realizas. La mayor parte de esta información es grabada, guardada y procesada por compañías que se lucran con ella o por entidades estatales que la utilizan para investigar crímenes y otras actividades ilegales. En este capítulo, me enfocaré en las formas más comunes de cibervigilancia con las que puedes encontrarte como periodista y hablaré brevemente sobre cómo investigarlas y contrarrestarlas. 

¿Qué es la cibervigilancia y quién la lleva a cabo?

Gran parte de la cibervigilancia que afecta a la sociedad civil la realizan agencias gubernamentales […] pero a menudo estas se apoyan en una industria de vigilancia que trabaja con muy poca regulación o códigos éticos. 

Para entender mejor la cibervigilancia es importante diferenciar sus dos modalidades: la masiva y la dirigida.

La vigilancia masiva es el proceso por medio del cual se supervisa a una gran parte de la población, independientemente de si se sospecha de ellos o no. Puede consistir, por ejemplo, en espiar todas las comunicaciones telefónicas dentro de un país o en utilizar reconocimiento facial utilizando cámaras esparcidas por la ciudad. 

La vigilancia dirigida es aquella cuyo objetivo son individuos específicos y suele usar técnicas considerablemente más intrusivas, como software espía o poner micrófonos en la casa de una persona. 

Gran parte de la vigilancia que afecta a la sociedad civil la realizan agencias gubernamentales (por lo general las fuerzas policiales o los servicios de inteligencia) pero a menudo estas se apoyan en una industria de vigilancia que trabaja con muy poca regulación o códigos éticos. La vigilancia gubernamental tiene un gemelo malvado: la vigilancia corporativa, que se utiliza para lucrarse en lo que muchos llaman capitalismo de vigilancia. El propósito del capitalismo de vigilancia es generar ganancias por medio de la recolección masiva de información privada. Su propósito principal no es vigilar a los periodistas ni a la sociedad civil, por lo que no será nuestro principal enfoque. Sin embargo, las empresas definitivamente pueden verse involucradas en la vigilancia dirigida a periodistas y esta información puede utilizarse para contrarrestar amenazas a la compañía.

La vigilancia gubernamental suele ser discreta y clandestina. Los servicios de inteligencia prefieren no revelar sus capacidades y buscan evitar la supervisión y el escrutinio. Sin embargo, es posible recopilar información sobre la industria de vigilancia de varias maneras. 

• Quieren esconderse pero necesitan existir. Aunque venden vigilancia, estas compañías también necesitan operar como empresas corporativas en algunos aspectos. Esto significa que necesitan estar registradas legalmente en algún lado, reclutar empleados y publicar ofertas laborales en LinkedIn y otras plataformas, y en algunos casos necesitan atraer inversores. Todas las herramientas de periodismo tradicional pueden utilizarse para rastrear estas compañías. 

• Quieren esconderse pero necesitan publicitarse. Los vendedores de vigilancia y los organismos de seguridad se encuentran cada año en docenas de convenciones en todo el mundo, como ISS World y Milipol. Aunque la mayoría de estos eventos restringen mucho el acceso a los periodistas, a veces publican listas de las compañías que participan, sus patrocinadores o las pláticas que se van a impartir, lo cual ofrece información sobre las empresas y los productos que ofertan. Por ejemplo, el Grupo NSO es el principal patrocinador de ISS World Europe que se celebrará en junio de 2023 en Praga. A menudo, es posible encontrar folletos con los productos de vigilancia o catálogos de la industria de defensa de algunos países como el Directorio de defensa y HLS del Ministerio de Defensa de Israel. En muchos casos, la forma en la que esta vigilancia se realiza no está explicada claramente, utilizando eufemismos como “extracción remota de información” en lugar de “software espía”.

• Quieren esconderse pero necesitan funcionar. Cualquier forma de vigilancia digital requiere una infraestructura que a menudo deja rastros en línea. (Lee nuestro artículo sobre cómo investigar por medio de la infraestructura digital.).

Diferentes formas de vigilancia gubernamental

El panorama de la cibervigilancia es uno en constante cambio y evolución, por lo que puede ser complicado hacerse una idea completa y precisa de la industria. Sin embargo, es importante comprender las principales formas de vigilancia digital que utilizan los gobiernos para monitorear a la sociedad civil. 

Monitoreo de las redes telefónicas

Monitorear las redes telefónicas es quizás una de las formas más antiguas y legitimadas de cibervigilancia. Casi todos los países cuentan con un sistema para espiar las llamadas telefónicas y los mensajes de texto para sus investigaciones policiales. También las agencias de inteligencia utilizan estos sistemas con diferentes niveles de supervisión. 

La evolución de los teléfonos celulares ha ampliado estas capacidades ya que, por diseño, los teléfonos necesitan interactuar con torres celulares cercanas para poder comunicarse. Esto permite a terceros rastrear la localización del dispositivo en cualquier momento. Este proceso está disponible con diferentes niveles de precisión. Algunos de los factores claves para rastrear un teléfono es si el sistema solo está revisando cuál es la última torre a la que se conectó el dispositivo (lo cual ofrece una precisión de entre cientos de metros y cientos de kilómetros, dependiendo de la densidad de torres celulares alrededor); o si se está realizando una geolocalización activa al triangular la señal entre diferentes torres (en cuyo caso la ubicación del dispositivo puede ser tener una precisión de apenas unos metros). 

Los teléfonos celulares están diseñados para conectarse con la torre más cercana para optimizar su señal. Por lo tanto, es posible crear torres portátiles que pueden robar la comunicación de estos dispositivos. Estas herramientas se llaman IMSI Catchers (coloquialmente, también se les llama Stingrays, como sinónimo de una de las marcas más conocidas de este producto) y están disponibles para las fuerzas policiales de varios países. Otros protocolos por parte de las compañías telefónicas han hecho que estos ataques sean más difíciles. Hoy en día, el nivel de intrusión depende del hardware y de la configuración del teléfono. Algunos sistemas sencillos solo pueden identificar los teléfonos en un área específica, mientras que los más complejos pueden espiar y modificar las comunicaciones de estos teléfonos. 

La red telefónica internacional utiliza un protocolo anticuado llamado Sistema de señalización N.º 7 (SS7), el cual es sabido que tiene serios problemas de seguridad, en parte porque hay pocos incentivos para que las compañías telefónicas inviertan en mejor seguridad. Esta vulnerabilidad ha permitido que compañías de vigilancia (como Circles) se registren como operadores SS7 (o que paguen a operadores existentes para utilizar su acceso a la red) y utilicen este acceso para rastrear remotamente celulares de todo el mundo. Este tipo de vigilancia es la que se utilizó para rastrear a la princesa Latifa al-Maktoum cuando intentaba escapar de su padre, Sheikh Mohammed, Jeque de Dubai, en 2018. 

Vale la pena resaltar que los metadatos (como el número de quien llama, del receptor y el tiempo que dura la llamada) pueden resultar más interesantes y ser más fáciles de analizar que los datos en sí mismos. Esta información suele estar disponible con mucha menos supervisión para la policía y puede permitirles identificar grupos de personas que están trabajando en conjunto. 

Monitoreo de las redes de internet

En 2011, durante la guerra civil de Libia que causó la caída de Muammar Gaddafi, un pequeño grupo de activistas descubrió un centro secreto de vigilancia gubernamental equipado con sistemas instalados por la compañía francesa Amesys (que después cambió su nombre a Nexa Technologies). Estos sistemas podían monitorear y registrar los datos en las redes de internet de Libia, obteniendo correos electrónicos, mensajes de texto, llamadas de protocolo de voz sobre IP (VoIP por sus siglas en inglés) e historiales de navegación. En muchos casos, la información extraída con estos sistemas de vigilancia se utilizó para arrestar, interrogar y, en ocasiones, para torturar a activistas. 

La cibervigilancia de redes enteras de internet se ha convertido en una herramienta utilizada regularmente por los países para monitorear las actividades de sus ciudadanos. La información revelada por Snowden ofreció un primer vistazo a las capacidades de monitoreo de internet de los Estados Unidos, utilizando programas secretos como XKEYSCORE que permitían al Estado buscar detalles dentro de estos datos. Este tipo de herramientas se ha vuelto mucho más accesible para países con economías menos potentes, en gran parte gracias a la tecnología desarrollada por América del Norte, Europa e Israel. Por ejemplo, en 2021, Amnistía Internacional demostró que la compañía israelí Verint vendió instrumentos para el monitoreo de redes a Sudán del Sur y documentó el estremecedor efecto que tuvo esta vigilancia constante en los activistas del país. 

Ataques con phishing y spyware

Ya que cada vez se utiliza más el cifrado de datos, muchos gobiernos están realizando sus ataques a dispositivos y cuentas por medio del phishing o spyware. El phishing es una estrategia social en la que los atacantes envían mensajes de texto o correos electrónicos para engañar a su víctima y hacer que abra un archivo malicioso (generalmente con spyware o software espía) o para hacerles introducir su usuario y contraseña en una página web falsa. Los spyware son programas maliciosos que monitorean en secreto la actividad de un dispositivo y recolectan sus datos. 

En algunos casos, son los gobiernos los que desarrollan las herramientas y habilidades para realizar estos ataques, invirtiendo tiempo y recursos para contratar a desarrolladores de spyware. Pero para muchos otros países es más fácil depender de la industria comercial de spyware. Históricamente, esta industria surgió en Europa con compañías como FinFisher y Hacking Team, y después en Israel con compañías como el Grupo NSO y Paragon. En los últimos 15 años se ha documentado la vigilancia que esta industria ha facilitado y cómo estos ataques se han dirigido a cientos de periodistas y activistas. La industria del spyware a menudo ofrece herramientas avanzadas como Pegasus, del Grupo NSO, la cual puede afectar los smartphones explotando las debilidades del software que su desarrollador aún no conoce (conocidas como vulnerabilidades del día cero). En sus principios, Pegasus infectaba un dispositivo enviando enlaces por mensaje de texto a sus víctimas quienes, tras abrirlo, infectaban su teléfono sin percatarse. 

Según algunos informes, entre 2018 y 2019 el Grupo NSO cambió de estrategia a los ataques con “cero clicks”, los cuales pueden realizarse sin ninguna interacción del usuario. En otras palabras, el teléfono puede infectarse silenciosamente incluso si no se abrió ningún enlace contaminado. Estos ataques aprovechan las vulnerabilidades de algunas aplicaciones (como sucedió con WhatsApp en 2019) o utilizan “inyecciones de red”, las cuales redirigen los exploradores y aplicaciones de la víctima a sitios web maliciosos. 

Aunque estos ataques son técnicamente avanzados y generan titulares, la mayoría de los ataques de spyware y phishing contra periodistas y activistas suelen ser menos complejos. En mi carrera, cuando me he encontrado con este tipo de ataques, la mayoría son mucho más simples, como una variante del phishing. Un clásico es enviar correos electrónicos pretendiendo ser una plataforma digital (como Google o Yahoo) para convencer al objetivo de introducir su usuario y contraseña. Otro tipo de ataque es enviar archivos o aplicaciones por medio de apps de mensajería intentando que la víctima abra estos enlaces maliciosos. 

Muchos de los ataques dirigidos a la sociedad civil requieren ingeniería social, una táctica que incluye manipular al objetivo para convencerlos de hacer algo específico, como revelar su contraseña u otra información valiosa. Puede ser haciéndose pasar por organizaciones confiables existentes o incluso creando una ONG falsa. Una técnica, llamada spoofing, hace que enlaces infectados parezcan direcciones de correo familiares. Todos estos ataques, incluso si son menos sofisticados que Pegasus, son mucho más baratos y aún así suelen ser ampliamente efectivos al utilizarse contra la población. 

Herramientas forenses

Cuando las autoridades arrestan a periodistas o activistas, muchas veces confiscan sus dispositivos para extraer información utilizando herramientas forenses digitales. Incluso si estas herramientas pueden ser desarrolladas internamente por las autoridades, por lo general se adquieren de empresas que venden material forense digital como Cellebrite o Magnet Forensics.

Las compañías forenses como Cellebrite han recibido muchas críticas por vender sus productos a regímenes autoritarios como Bangladesh, Belarús y Myanmar. 

La eficacia de estas herramientas depende de muchos factores, como la antigüedad y el nivel de seguridad del teléfono y el precio y la complejidad de las herramientas utilizadas por la policía. En 2015 y 2016, por ejemplo, se generó un importante debate legal debido a una demanda en la que el gobierno de los Estados Unidos, encabezado por el FBI, intentó obligar a Apple a debilitar el nivel de encriptamiento de sus iPhones. Esto sucedió después de que el FBI no consiguiera extraer información del teléfono del sospechoso de un tiroteo masivo. Tras una larga batalla legal, el FBI retiró su petición porque encontró una compañía externa que podía extraer estos datos utilizando un problema de seguridad en el dispositivo. Casos como este ofrecen una perspectiva interesante sobre las capacidades al alcance de las fuerzas policiales. Pero debería notarse que, en muchos casos, las autoridades van a intentar obligar a los arrestados a darles acceso a sus dispositivos utilizando amenazas legales o físicas. Por ejemplo, en Francia es un delito penal negarse a dar tu contraseña del teléfono a la policía.

Plataformas de código abierto

Finalmente, un tipo más reciente de vigilancia se origina en la inteligencia de código abierto y las páginas de inteligencia artificial. Estas plataformas recolectan información digital disponible públicamente en páginas web y redes sociales. Organizan todo en bases de datos ordenadas para rastrear la actividad de una persona. Aunque puede parecer relativamente benigno puesto que esta información ya era pública, los datos suelen estar enriquecidos con información privada como llamadas telefónicas de proveedores de telecomunicaciones e información sobre la ubicación geográfica obtenida por medio de rastreadores escondidos en las aplicaciones de los teléfonos celulares. Todo esto permite que los usuarios rastreen la actividad de un individuo de manera muy precisa. 

El reporte sobre la industria de vigilancia realizado por Meta en diciembre de 2022 y un informe reciente del consorcio Forbidden Stories, sugieren que esta es una industria en crecimiento. Revelaciones recientes de Colombia, por ejemplo, muestran claramente cómo se ha abusado de estas herramientas utilizándolas contra los periodistas y la sociedad civil.

Consejos y herramientas para la seguridad digital

Después de leer esta guía sobre el alarmante panorama de la cibervigilancia, puedes sentirte inseguro y creer que la seguridad digital es una batalla perdida. No es así.

Incluso si es complicado protegerse a largo plazo contra un adversario dedicado y con amplios recursos, existen muchas herramientas que puedes utilizar y pasos que puedes tomar para mejorar considerablemente tu seguridad digital. Y no siempre tienes que estar perfectamente protegido, solo tienes que cuidarte para contrarrestar la vigilancia de la gente que busca monitorear.

Está fuera del alcance de este capítulo ofrecer una guía completa de seguridad digital, pero permítanme utilizar esta última sección para resaltar algunos métodos y herramientas importantes que deberías conocer como periodista profesional. 

Herramientas

Utiliza aplicaciones de chat con cifrado de extremo a extremo, lo cual quiere decir que el servidor que maneja el intercambio de datos entre sus usuarios no puede ver el contenido que se envían el uno al otro. Esto es imprescindible, porque quiere decir que no necesitas confiar en la compañía o los desarrolladores de la aplicación, siempre y cuando el cifrado se realice correctamente. La aplicación para chatear más famosa y respetada con cifrado de extremo a extremo es Signal. Pero cada vez se están desarrollando más aplicaciones con cifrado de extremo a extremo, incluyendo algunas para enviar archivos (como Tresorit) o documentos compartidos (por ejemplo, CryptPad). Al utilizar aplicaciones como Signal, asegúrate de activar la desaparición de mensajes para evitar generar un historial con conversaciones confidenciales en tu teléfono.

Protege tu teléfono lo más posible. Incluso si aún queda mucho trabajo por delante, la seguridad de los smartphones mejora constantemente. Puedes seguir algunos pasos simples para mantener tus dispositivos protegidos. Si estás utilizando Android, asegúrate de que tu teléfono recibe rutinariamente las actualizaciones de seguridad del fabricante y de que actualizas el sistema y las aplicaciones que utilizas. (Si tienes inclinaciones técnicas, considera cambiarte a GrapheneOS.) Para usuarios del iPhone, asegúrate de actualizar tu teléfono para instalar el software más reciente. Si estás en peligro de ser atacado con spyware más avanzado, asegúrate de activar el modo hermético de Apple, el cual, según descubrió Citizen Lab, puede ayudarte a bloquear un ataque de día cero del Grupo NSO. En ambos casos, intenta limitar el número de aplicaciones que instalas en el dispositivo y tener un teléfono para el trabajo y otro personal.

Utiliza doble autentificación. La autenticación de dos factores (2FA por sus siglas en inglés) te obliga a ingresar información adicional además de tu contraseña para iniciar sesión. Puede ser un código enviado por SMS (lo cual no es perfecto, pero es algo), un código generado en una aplicación en tu teléfono como FreeOTP (la cual es bastante confiable), o incluso un número generado automáticamente por una llave hardware como Yubikey (que es muy segura). 2FA es una de las herramientas más fuertes para protegerte de los ataques de phishing y recomiendo encarecidamente que la utilices en cualquier cuenta que trate información delicada. Si ya has sido objetivo de ataques de phishing, te aconsejo que inviertas un poco de tiempo y dinero en una llave hardware. También conocidas como llaves de seguridad o llaves U2F, estos son pequeños dispositivos que pueden meterse en una entrada USB y hacer casi imposible que alguien se meta a tu cuenta.

Métodos

Como periodista, tu objetivo no es volverte un experto en seguridad digital, pero deberías tener conocimiento básico al respecto.

Analiza las amenazas a las que te enfrentas. No tienes que estar protegido contra todo, solo contra los ataques que podrían afectarte. Piensa en el trabajo que realizas y a qué tipo de cibervigilancia podrías estar expuesto. Haz un recuento de a qué amenazas te has enfrentado hasta ahora, consulta con personas que estén realizando el mismo tipo de trabajo y escribe una lista de escenarios. Después, basándote en cada caso posible, piensa cómo puedes mejorar tu seguridad. (El Manual Sobre Seguridad de Frontline Defenders puede ayudarte a entender este proceso). Si estás trabajando en una sala de redacción o formas parte de una red de periodistas, anima a tus compañeros para que realicen el mismo proceso. La seguridad digital es un trabajo en equipo.

Si no puedes protegerte todo el tiempo, compartimentaliza. Es posible que no  siempre puedas proteger tus dispositivos o tus cuentas lo suficiente para el trabajo que realizas. En ese caso, piensa en compartimentalizar. Por ejemplo, utiliza telefonos diferentes para el trabajo y tu vida personal, o diferentes cuentas de correo electrónico para diferentes proyectos. Si estás trabajando en una investigación confidencial, considera la posibilidad de tener dispositivos y cuentas dedicadas específicamente para ello. Si puedes, utiliza un sistema operativo independiente, como Tails, que está diseñado para protegerte contra la censura y la vigilancia. Si estás trabajando con datos o archivos extremadamente delicados, puedes utilizar una computadora aislada (air-gapped). Es decir, un dispositivo que no puede conectarse a redes de Wifi o Bluetooth y que es, por lo tanto, increíblemente difícil de hackear.

Aprende sobre la seguridad digital y reconoce cuando necesitas ayuda. Como periodista, tu objetivo no es volverte un experto en seguridad digital, pero deberías tener conocimiento básico al respecto, como, por ejemplo, conocer la información presentada en este capítulo, y deberías saber cuándo buscar ayuda de un experto. Si puedes, desarrolla una red de confianza de técnicos que puedan ayudarte a enfrentarte a problemas o nuevas amenazas. Si vas a comenzar una investigación o reportaje sobre un tema de perfil más alto que el trabajo que normalmente realizas, asegúrate de prepararte lo más posible. Siempre es mejor ser proactivo que reactivo. 

Puedes encontrar muchos recursos sobre seguridad digital en Surveillance Self-Defense, un portal del Electronic Frontier Foundation, o en la página web Security in a Box de Frontline Defenders. GIJN también tiene muchos recursos útiles sobre el tema. Si necesitas apoyo en seguridad digital como periodista, también puedes contactar al servicio de ayuda en seguridad de Access Now. 

Casos de estudio

Las revelaciones de Snowden. Es difícil hablar sobre cibervigilancia sin mencionar el caso Snowden que cambió completamente el panorama de la vigilancia al atraer atención internacional a la amplia red de espionaje de la Agencia de Seguridad Nacional de los Estados Unidos (NSA por sus siglas en inglés). Sus revelaciones son extraordinariamente extensas y se reportaron durante más de un año. Recomiendo leer el sumario Lawfare de las revelaciones de Snowden y los archivos de The Intercept. Para más contexto, el galardonado documental de Citizenfour realizado por Laura Poitras también vale la pena. 

Projecto Raven. En enero de 2019, Reuters reveló que los Emiratos Árabes Unidos contrataron a empleados de la NSA para desarrollar las capacidades ofensivas de espionaje digital del país. Estas herramientas se utilizaron para atacar a mandatarios y activistas de derechos humanos. 

El proyecto Pegasus. En julio de 2021, el consorcio de periodistas coordinado por Forbidden Stories con el Security Lab de Amnistía Internacional como socio técnico reveló los abusos causados por el uso del spyware Pegasus del Grupo NSO. El reportaje se originó con una lista de 50,000 números telefónicos seleccionados por NSO para ser vigilados, pertenecientes a 11 países incluidos Arabia Saudita, Marruecos, Hungría, India y México.

Dentro de la industria mundial de hackers a sueldo. En 2022, el Buró de periodismo de investigación y el Sunday Times, basados en Reino Unido, trabajaron en cubierto para conocer gente e infiltrarse en el corazón de la creciente industria de hackers a sueldo de India. Esta historia ofrece un vistazo de cómo las herramientas para hackear, que en algún momento solo estaban disponibles para los gobiernos, son cada vez más accesibles para los sectores privados.

Story Killers. A principios de este año, el consorcio Forbidden Stories publicó Story Killers, una serie que investiga la industria de desinformación a sueldo. Aunque no se trata directamente de un caso de cibervigilancia, las técnicas de la industria de desinformación y la industria de cibervigilancia suelen coincidir. 

Recursos adicionales

Cómo investigar la desinformación

Pasos básicos en seguridad digital para periodistas

Consejos para investigar y reportear sobre el Proyecto Pegasus, un software espía

---

Etienne “Tek” Maynier es investigador de seguridad en el Laboratorio de Seguridad de Amnistía Internacional. Ha estado investigando ataques digitales contra la sociedad civil desde 2016 y ha publicado muchas investigaciones sobre campañas de phishing, spyware y desinformación. Lo puedes encontrar en su sitio web o en Mastodon.

The post Guía para periodistas: investigar el panorama de las amenazas digitales appeared first on Global Investigative Journalism Network.