Mohammad Naweed, un periodista de la región occidental de Afganistán, oculta su identidad por motivos de seguridad mientras ofrece una entrevista a The Associated Press en Kabul, Afganistán, el 3 de febrero de 2021.

Seguridad física y digital: la protección de las fuentes confidenciales

La protección de las fuentes confidenciales es una piedra angular de la ética periodística. Cuando un periodista se ha comprometido a proteger la identidad de una persona, debe hacer todo lo posible por conseguirlo, particularmente en circunstancias en que una fuente pueda ser arrestada o pueda sufrir daño.

Mantener la confidencialidad se ha vuelto cada vez más difícil, pues ha aumentado la magnitud de la vigilancia y el seguimiento digitales por parte de autoridades e individuos. Por tanto, un periodista debe tomar en cuenta las siguientes recomendaciones sobre seguridad para proteger la identidad de las fuentes confidenciales. 

No obstante, debe considerar que algunas organizaciones de medios pueden tener una política que obligue a un periodista a compartir la identidad de una fuente con sus editores. En algunos países, las organizaciones de noticias también pueden tener el derecho legal de entregar los cuadernos o el equipo de trabajo de un periodista a las autoridades, si se considera que pertenecen a la organización. Infórmese sobre cualquier disposición semejante antes de hacer alguna promesa.

Le rogamos tener en cuenta que esta es una introducción general que está dirigida a una audiencia mundial. Busque asesoría adicional para contextos y preguntas sobre algún país en específico.

Contenido

  • Planificación
  • Evaluar los riesgos y las recompensas
  • Mejores prácticas en materia de seguridad digital
  • Cómo investigar a la fuente
  • Cómo comunicarse con las fuentes
  • Cómo recibir y gestionar documentos
  • Cómo encontrarse con las fuentes
  • Cómo anonimizar a las fuentes
  • Cómo publicar contenidos
  • Cómo mantener la confidencialidad

Planificación

Prepararse antes de interactuar por primera vez con una fuente confidencial es de crucial importancia, al igual que mantener la cooperación, la confianza y la seguridad en las comunicaciones.

  • Nunca suponga que una fuente está dispuesta a que la nombren. Siempre obtenga su consentimiento para ello.
  • Investigue cuáles son las obligaciones legales respecto a trabajar con fuentes confidenciales. Tales obligaciones variarán según el país y la empresa.
  • Trate de averiguar si la fuente ha conversado anteriormente con otros periodistas, o si otras organizaciones pueden estar tratando de entrar en contacto con ella.
  • ¿Existe el riesgo de que alguien esté vigilando a la fuente? ¿O ya la fuente se está escondiendo? Si las autoridades o actores hostiles ya tienen a la fuente en la mirilla, interactuar con ella puede ponerlo a usted en peligro.
  • Ponga en práctica un método de verificación, como una frase inusual o una pregunta que se debe responder, y utilícela cada vez que hable con la fuente.  
  • Según el riesgo existente, es posible que deba escoger un lugar al cual se pueda reubicar la fuente temporalmente por motivos de seguridad. 

Evaluar los riesgos y las recompensas

Siempre tenga en cuenta si la noticia trata un tema delicado y si la información de la fuente es delicada, así como la identidad de la fuente.

  • ¿La interacción entre usted y la fuente supone algún riesgo significativo para ambos? Utilizar información robada o de carácter reservado puede tener graves repercusiones para usted y su organización de noticias.
  • ¿Cuán útil y confiable es la información de la fuente? Tenga en cuenta la motivación de la fuente y si la fuente puede representar un riesgo para usted o su organización. 
  • Tenga en cuenta la identidad de la fuente, inclusive factores como el origen étnico, el género, el perfil, la sexualidad, la religión y los antecedentes penales. Si la identidad de la fuente queda expuesta, ¿pudieran utilizarse semejantes factores para desacreditar el reportaje? ¿tales factores pudieran aumentar el riesgo de que arresten o le hagan daño a la fuente?

Mejores prácticas en materia de seguridad digital

Existen varias maneras de obtener acceso a los datos de otros: mediante una orden del Gobierno, el acceso material a los dispositivos, el jaqueo y los programas informáticos de espionaje. Consulte a un experto en seguridad digital si tiene alguna duda sobre cómo proteger la identidad de una fuente. 

  • Adopte las mejores prácticas en materia de seguridad digital y familiarícese con las herramientas y servicios que pueda necesitar para mantener a la fuente lo más segura posible.
  • Haga una evaluación del riesgo digital. Ello lo ayudará a evaluar y, siempre que sea posible, mitigar el riesgo para usted y la fuente. El Rory Peck Trust tiene un modelo integral de evaluación del riesgo digital para periodistas.
  • Piense en quién puede escoger como objetivo a usted o a la fuente y cuánta autoridad, recursos financieros y capacidad tecnológica este adversario pudiera tener.  
  • Siempre que sea posible, no utilice ni el dispositivo personal ni el del trabajo para ponerse en contacto con fuentes confidenciales. Compre dispositivos específicamente para comunicarse con la fuente, y mantenga separados los datos personales y los datos del trabajo. Si es posible, pague por los dispositivos y las tarjetas SIM con dinero en efectivo y evite vincularlos con algo que pueda revelar su identidad, como una tarjeta de crédito o un carné o cédula de identidad. (Ello no será posible siempre, pues depende del país donde usted viva y trabaje). 
  • Active la autenticación de dos factores para todas las cuentas y utilice contraseñas largas y únicas y un gestor de contraseñas. Para más información, consulte las recomendaciones del CPJ sobre la protección de las cuentas.
  • Actualice periódicamente los dispositivos, aplicaciones y navegadores de Internet con la última versión para protegerse mejor contra los programas informáticos maliciosos y de espionaje.
  • Adviértale a la fuente cuáles son las mejores prácticas digitales y los riesgos existentes, para que la fuente se comunique con usted de la manera más segura posible. 
  • Limite el contacto con la fuente al máximo posible.

Cómo investigar a la fuente

  • Tenga en cuenta que el proveedor de servicio de Internet guarda una copia del historial de navegación de un usuario, y los Gobiernos pueden solicitar esa copia y personas de la empresa pueden tener acceso a esa copia. 
  • Investigue los proveedores de servicio de Internet de su país para ver quién es el propietario y si el Gobierno tiene acceso a los datos de usuario ya sea por canales legales o de otro tipo. 
  • Utilice una red privada virtual (VPN, por sus siglas en inglés) para proteger mejor su historial de navegación contra intentos del proveedor de servicio de Internet o de otras plataformas (como los buscadores) por registrar esos datos. Escoja un servicio de VPN que no registre el historial de navegación y que no tenga antecedentes de compartir datos con Gobiernos y otros actores. Es posible que algunos Gobiernos creen o gestionen empresas de VPN autorizadas o que exijan a empresas obedientes compartir los datos de usuario.
  • Si a usted lo detienen y le inspeccionan los dispositivos, tenga en cuenta que el historial de navegación puede delatar datos sobre las investigaciones que ha hecho en la Internet. Borre el historial de navegación periódicamente, pero tenga en cuenta que es posible que de todos modos los Gobiernos puedan solicitar los datos en cuestión a las empresas involucradas (como un servicio de VPN o un buscador).

Cómo comunicarse con las fuentes

  • Utilice un seudónimo cuando guarde los datos de los contactos, en lugar del nombre verdadero de la fuente, y exhorte a la fuente a que haga lo mismo con usted. Cuando ya se termine el contacto entre ustedes, ambos deben borrar los datos de contacto de la otra persona de sus respectivos dispositivos y cuentas digitales.
  • Tenga en cuenta que las empresas de telefonía móvil y los proveedores de servicio de Internet recolectan datos sobre sus usuarios, inclusive datos que se pueden utilizar para revelar la identidad y la ubicación de usted y sus contactos. 
  • Los mensajes de SMS y las llamadas desde un teléfono fijo o móvil que se realicen mediante una empresa de telecomunicaciones, no están encriptados, lo cual significa que los Gobiernos y otros actores pueden tener acceso a la información.
  • Su móvil se puede utilizar para localizarlo a usted y a la fuente. Si se encuentran en persona, tanto usted como la fuente no deben llevar teléfono móvil. Encontrarse en persona puede ser más seguro que comunicarse por la Internet. (Vea “Cómo encontrarse con las fuentes” a continuación).
  • Investigue los servicios digitales que utilice, como las aplicaciones de mensajería y los proveedores de servicio de correo electrónico, para ver si los Gobiernos han solicitado el acceso a los datos de usuario. La mayoría de las empresas de tecnología divulgan un informe de transparencia anual que indica en detalle las solicitudes de datos de usuario y si la empresa ha cumplido con la solicitud. 
  • Siempre que sea posible, comuníquese con las fuentes utilizando aplicaciones de mensajería con encriptación de extremo a extremo, como Signal, WhatsApp o Wire. Cuando utilice Signal y WhatsApp, active la función de “mensajes que desaparecen”. Estos servicios tienen importantes diferencias en lo referente a seguridad: consulte las recomendaciones del CPJ sobre las comunicaciones encriptadas para obtener más detalles.
  • Si la fuente se pone en contacto con usted por un servicio sin encriptación de extremo a extremo, lleve la conversación a un servicio encriptado lo más pronto posible. Siempre que sea posible, borre el mensaje original y exhorte a la fuente a hacer lo mismo. Ello solamente borrará el mensaje de la cuenta; es probable que una copia siga existiendo en el servidor de la empresa. 
  • Si es que necesita comunicarse con la fuente por correo electrónico, cree una nueva cuenta de correo electrónico para utilizarla exclusivamente con este propósito. La cuenta no debe tener ningún dato personal, como el nombre verdadero suyo, y no debe estar vinculada a su teléfono móvil ni a ninguna cuenta de Internet en su nombre. Lea más sobre cómo crear una cuenta de correo electrónico en la guía sobre seguridad digital del Rory Peck Trust. 

Cómo recibir y manejar documentos

  • Tenga en cuenta que prácticamente todo lo que usted hace con sus dispositivos probablemente dejará alguna huella incluso después de que se borre. Los expertos en informática pueden recuperar el contenido borrado aunque usted haya utilizado software especializado para borrar los datos de la computadora.
  • Mantenga los documentos sensibles en una computadora que haya sido modificada para que no se pueda conectar a la Internet ni a ningún otro dispositivo. Ello reduce la posibilidad de que un extraño pueda tener acceso a los documentos. 
  • Para investigaciones periodísticas sobre temas muy sensibles, considere utilizar Tails, un sistema operativo seguro y portátil que se puede utilizar con cualquier computadora. Pida ayuda a un especialista en seguridad para instalarlo.
  • Envíe documentos sobre temas sensibles mediante SecureDrop, utilizando para ello el navegador TOR si su Redacción u organización de noticias lo ha instalado. Necesitará la ayuda de un especialista en seguridad digital.
  • Los periodistas que no tengan SecureDrop deben pedir que les envíen documentos de menos de 100 MB por Signal u otro servicio con encriptación de extremo a extremo. Los documentos de más de 100 MB se pueden enviar mediante OnionShare.
  • Tenga en cuenta que los metadatos contenidos en documentos, archivos y aplicaciones de mensajería, como la hora y la fecha de envío de un documento, no siempre están encriptados y pudieran ayudar a que otra persona descubra la identidad de su fuente.
  • Cree un proceso para hacer copias de seguridad del contenido almacenado en las aplicaciones de mensajería y luego borrarlo. Hable con la fuente sobre cómo ella puede gestionar mejor los datos almacenados en sus aplicaciones y dispositivos. Consulte a un experto en seguridad digital sobre cuál es el mejor modo de gestionar estos datos.
  • Revise periódicamente los dispositivos en busca de documentos y datos que puedan ponerlo en riesgo a usted y a otras personas, particularmente si está cruzando alguna frontera o punto de control. 
  • Encripte sus dispositivos, documentos y discos duros externos siempre que sea posible, y asegúrese de que la contraseña de encriptación sea larga y única. Infórmese sobre las leyes vigentes en materia de encriptación en los países donde vive y trabaja y en los países a los que viaja. Es posible que le pidan que desbloquee dispositivos encriptados; es una decisión personal hacerlo o no.

Cómo encontrarse con las fuentes

  • Evalúe las ventajas y desventajas de encontrarse en persona en comparación con comunicarse por medio de una plataforma digital segura.
  • Decida quién estará a cargo del encuentro y tendrá la responsabilidad de cambiar cualquier plan ese día.
  • Encuéntrense en un sitio neutral que no pueda relacionarse con la dirección del domicilio o el trabajo de la fuente. Asegúrese de que el sitio tenga varias vías de salida.
  • Esté atento a cualquier señal de vigilancia durante el encuentro. Tenga una persona de confianza a mano para que dé la alarma si es necesario.
  • Determine cómo transportará con seguridad información sensible desde el sitio del encuentro hasta su lugar de trabajo, particularmente si la información puede ayudar a otra persona a descubrir la identidad de la fuente. 
  • Considere las opciones de transporte, advirtiendo la posibilidad de que lo vigilen por CCTV:
  • Si utiliza el transporte público, pague con dinero en efectivo en lugar de utilizar una tarjeta de banco, que puede ser rastreada.
  • Retire el dinero en efectivo por lo menos un día antes del encuentro, para reducir las probabilidades de que las autoridades relacionen las imágenes de la cámara de un cajero automático con el día del encuentro.
  • Las cámaras pueden rastrear las placas de matrícula de un auto privado. Trate de estacionar el vehículo fuera de la vista en una zona segura, y siempre estacione de cara a la dirección del escape.
  • Si sospecha que lo están vigilando, dese vuelta y cancele el encuentro.

Cómo anonimizar a las fuentes

Si toma fotos o videos de la fuente, considere lo siguiente:

  • En el caso del audio, ¿utilizará una voz en off robótica o la voz de otra persona?
  • ¿Anonimizará el rostro de la fuente? ¿O no incluirá el rostro en lo absoluto?
  • ¿Cómo se referirá a la fuente? Incluso un nombre codificado puede permitir que otra persona descubra la identidad de la fuente.
  • Tenga en cuenta que todo lo que se menciona a continuación deja pistas sobre la identidad de la fuente o de su domicilio:
    • Marcas corporales características, como un tatuaje, lunar, cicatriz o marca de nacimiento.
    • Ciertas ropas o joyas.
    • Características identificables en el fondo, como un lugar conocido, edificios o montañas.
    • Artículos exclusivos en el fondo, como una foto, trofeo, mueble, vehículo o empapelado.

Cómo publicar contenidos

  • Elimine los metadatos de los archivos, inclusive de las fotos, antes de enviarlos a otras personas. Los metadatos de un archivo pueden delatar información sobre la persona que lo creó o lo envió, y pueden incluir la ubicación, la fecha y la hora, así como la marca y el modelo del dispositivo utilizado. 
  • Las capturas de pantalla o fotos de la pantalla de la computadora o el teléfono de una fuente pueden contener información que se puede utilizar para descubrir su identidad, como imperfecciones en la pantalla (por ejemplo, un pixel roto o el color y estilo del ícono del ratón).
  • Los documentos impresos pueden contener información integrada como la hora y la fecha en que se imprimieron las páginas, así como detalles sobre la impresora en la que se imprimieron.
  • El contenido expurgado o fuera de foco de los documentos puede revelarse utilizando software especializado. 

Cómo mantener la confidencialidad

  • Evite decirle a nadie la identidad de la fuente, salvo que sea absolutamente necesario. Mientras más personas sepan, mayor será el riesgo.
  • Evite anotar o imprimir cualquier información de corroboración. Inclusive pequeños detalles como las iniciales de la fuente o el nombre de un lugar pueden permitir revelar la identidad de la fuente.
  • Dé seguimiento a las redes sociales. Si hay alguna señal de que se puede descubrir a la fuente, considere reubicar temporalmente a la fuente a un sitio seguro según el nivel de riesgo.