La Sociedad Interamericana de Prensa (SIP) recibió hace poco a periodistas de Estados Unidos y América Latina para su 73ª Asamblea General en Salt Lake City; por primera vez este año hubo paneles de ciberseguridad, con casi un día dedicado al tema.
Hoy en día, los periodistas y editores están cada vez más preocupados por protegerse a sí mismos, su trabajo y sus fuentes. Con razón, porque vivimos en un momento en que casi todos los aspectos de la publicación se producen en línea, desde la recopilación de datos y el intercambio de archivos, hasta la investigación y la redacción, incluso las llamadas telefónicas.
Los periodistas se encuentran en la confluencia de muchas amenazas informáticas que se están volviendo más sofisticadas. Los ataques de estados-nación y las campañas de ciberespionaje están proliferando.
Michael Kaiser, Director Ejecutivo de la Alianza Nacional de Seguridad Cibernética, moderó los paneles de ciberseguridad de la SIP de este año que incluyeron expertos en ciberseguridad de Google, ESET y Utah Valley University.
Stephen Somogyi, gerente de productos de la división de Seguridad y Privacidad de Google, comenzó sus comentarios reconociendo que, si bien este panel trata sobre amenazas digitales, las amenazas físicas a las que se enfrentan los periodistas son enormes y no deben pasarse por alto.
Periodistas como blanco de ciberdelincuentes
Luego, la discusión se centró en por qué los periodistas son blanco de los ciberdelincuentes. El panel acordó que tienen mucho poder porque actúan como la voz de la gente y trabajar con información crítica les pone un objetivo en la espalda.
Los ciberdelincuentes o grupos de ciberespionaje pueden intentar retener información clave o revelarla en un momento y forma que sea ventajosa para ellos y/o el grupo que representan, ya sea un estado nación o una empresa delictiva.
Según el investigador de seguridad de ESET Stephen Cobb, algunas de las mayores amenazas provienen de cibercrimen y ciberespionaje bien financiados que harán todo lo posible para lograr sus objetivos: "Realmente los grupos más peligrosos son atacantes bien financiados o actores con recursos; cuantos más recursos, más peligrosos pueden ser".
"los grupos más peligrosos son los que están bien financiados y tienen recursos"
Cobb dio como ejemplo que el gobierno mexicano compró spyware comercial y, según los informes, lo usó para atacar a periodistas, como Carmen Aristegui, una periodista que expuso los casos de corrupción gubernamental más grandes hasta la fecha. Este tipo de herramientas en manos de organizaciones bien financiadas se puede utilizar contra los periodistas a través de la intimidación y el acoso.
Robert Jorgensen, Director del Programa de Ciberseguridad en Utah Valley University, amplió el punto de los actores de amenazas que buscan información personal: "Existe un peligro real y presente de que las personas se hagan pasar por periodistas o los desacrediten a ellos y sus fuentes; cuando la prensa es la voz de la gente y su integridad se ve comprometida, los efectos pueden ser de gran alcance".
Kaiser le preguntó al panel qué se puede hacer, incluso frente a organizaciones bien financiadas: "Cuando te pones en la piel de un periodista o alguien como un editor, ¿cómo comienzas a comprender los riesgos y a construir protección alrededor de esos riesgos?".
Para los periodistas puede haber una amplia gama de direcciones desde las cuales pueden surgir ataques, por lo que el concepto de gestión de riesgos es importante. Además, los editores y los jefes de las organizaciones de noticias deberían participar y hacer preguntas sobre su seguridad, al igual que los equipos que administran su seguridad, ya sea que se subcontraten recursos de TI o estém en la propia empresa.
Conocer los riesgos que existen y cómo mitigarlos es fundamental. "Necesitas reevaluar constantemente la evaluación de cuál es el riesgo", dijo Cobb. Es un proceso continuo en el que los periodistas y los editores deberían participar, y en el que deberían recibir capacitación y educación regularmente. Somogyi señaló que se necesita preguntar qué se está protegiendo y cuánto tiempo tomará mantenerse protegido.
"Cuando interactúo con periodistas, se entusiasman con las cosas al estilo de James Bond", dijo Somogyi, "pero lo que te pondrá a ti y a tus fuentes en problemas es lo mundano".
Somogyi dio el ejemplo de los ataques DDoS, que explicó usando esta analogía: "No has dormido durante días y tienes 15 niños que te piden atención, pero puedes mantenerte al día". Técnicamente, este tipo de ataque inunda un servidor con tráfico que hace que el sitio web sea inaccesible. Eso significa que el editor del sitio ya no puede transmitir sus noticias.
Esta es una clase de ataque que es relativamente fácil de ejecutar, dijo Somogyi, y agregó: "Es algo muy frío, calculador y despiadado".
Comprendiendo los riesgos
El panel estuvo de acuerdo en que la cadena de suministro crea muchos riesgos. Los ataques pueden ocurrir o originarse no dentro de una organización, sino en algún lugar de su cadena de proveedores, donde tiene poco control sobre la seguridad. El problema de la cadena de suministro es común en la industria del entretenimiento, pero también es un grave riesgo para los editores y las organizaciones noticiosas.
"También hay riesgos en la cadena de suministro de software", dijo Cobb, y agregó: "Si estás ejecutando software -todas las empresas lo hacen-, ten en cuenta que los delincuentes seguirán desarrollando ataques que abusen del software en su origen, lo que subraya la necesidad de hacer inteligencia sobre amenazas".
"un ataque ddos podría significar que un editor ya no puede transmitir sus noticias"
Matthew Sander, presidente de la Asociación Interamericana de Prensa en la audiencia, señaló que estamos en un "ciber nexo", y preguntó por dónde empezar en este "sofisticado problema de salud pública de ciberseguridad".
"Hay una serie de marcos de trabajo que se pueden considerar", dijo Jorgensen. "En realidad comienza con hacer un inventario de dispositivos y software. Comienza poco a poco y preocúpate de cosas más grandes a medida que pasa el tiempo".
"La comunicación entre pares es algo muy bueno", dijo Somogyi. "Encuentra la manera de ayudar a los empleados y empoderarlos para que adopten buenas prácticas". Las cosas simples importan, como las actualizaciones de software, porque "si no actualizas y te ves comprometido, te conviertes en el vector por el cual tus colegas se comprometen".
Jorgensen sugirió comenzar con educación: "Cualquier cosa que hagas para impartir conocimientos de seguridad a tus empleados ayudará".
Cobb estuvo de acuerdo en que la educación es un factor clave, y en estos días puedes lograrlo tanto en informática personal como en informática. Cuando todos tienen una computadora o un teléfono inteligente, la educación y la capacitación cibernética benefician tanto a la vida hogareña como a la personal.
Cuando se les preguntó acerca de los estándares de seguridad, los panelistas advirtieron que un enfoque empaquetado como checklist genérica no es suficiente. Marcar casillas o cumplir con los estándares no es lo mismo que estar seguro, dijo Somogyi. "No trabajes bajo la ilusión de seguridad que da ese cumplimiento de los estándares".