Guía de denuncia de irregularidades: cómo proteger sus fuentes

[ware_item id=33][/ware_item]

Cómo proteger a un denunciante.


** Esta es la tercera parte de la guía de denuncia de irregularidades de ExpressVPN. ** **

Parte 1: Guía de denuncia de irregularidades: hacer sonar el silbato es difícil
Parte 2: Guía de denuncia de irregularidades: cómo permanecer en el anonimato al hacer sonar el silbato
Parte 4: Guía de denuncia de irregularidades: por qué debería eliminar los metadatos

Solo quiero el tl; dr?

Un periodista, regulador o vigilante tiene el deber de proteger sus fuentes..

Si bien las fuentes a veces pueden recibir protección legal en ciertos sectores o países, existe la posibilidad de que estas protecciones no valgan nada o no cubran esta instancia en particular.

Además de los consejos de seguridad de la información en este artículo, puede valer la pena conocer la legalidad de la denuncia de irregularidades en su área. Algunas protecciones solo existen en circunstancias particulares y la forma en que se comunica o maneja documentos podría significar la diferencia entre la libertad y la tortura de una fuente.

Hazte accesible a una fuente

Cada fuente potencial tendrá una comprensión diferente de la tecnología, la ley y su organización. Es su deber abrirse y ser lo más accesible posible y educar a su fuente sobre cómo funcionan las comunicaciones seguras.

SecureDrop

Desarrolladas por Aaron Swartz y Kevin Poulson, docenas de organizaciones de noticias de todo el mundo usan SecureDrop como un buzón digital para material sensible..

Cómo funciona SecureDrop:

El denunciante utiliza el navegador Tor para navegar a la dirección .onion de SecureDrop, donde puede cargar documentos.

Después de cargar, la fuente obtendrá un código de acceso, que pueden usar para buscar respuestas a sus documentos.

Puede recuperar los documentos de origen de su servidor SecureDrop. Los archivos se cifran con su clave PGP para que solo usted pueda abrirlos. Para mayor seguridad, use una computadora portátil con el sistema operativo TAILS para inspeccionar los documentos.

SecureDrop se considera el estándar de oro para la aceptación de fugas y material sensible, pero puede ser difícil de configurar para un individuo. También es importante que los denunciantes sepan que deben evitar usar el Navegador Tor en las computadoras del trabajo o en cualquier computadora conectada a su red de trabajo.

  • Difícil de configurar para una organización individual o pequeña
  • SecureDrop requiere casi ningún conocimiento tecnológico por parte del denunciante

Jabber / XMPP con cifrado OTR

Los servicios de Jabber (también conocidos como XMPP) son menos comunes (Facebook y Google los han descartado en favor de alternativas más centralizadas y menos seguras), aún son relativamente fáciles de configurar de forma anónima, especialmente cuando se enrutan a través de la red Tor ( Consulte la práctica guía de ExpressVPN).

Dos cuentas jabber anónimas recién creadas que se comunican a través de Tor con cifrado OTR tienen pocas posibilidades de descubrimiento, incluso a través de metadatos.

  • No ampliamente utilizado, difícil de usar en dispositivos móviles
  • No se pueden manejar bien las imágenes o los archivos adjuntos
  • La menor posibilidad de descubrimiento entre todas las opciones de mensajería

Señal

La aplicación de mensajería cifrada, Signal, está disponible para Android e iOS y hace posible no solo intercambiar mensajes cifrados con un rastro mínimo de metadatos, sino también comunicarse por voz. La señal está ampliamente respaldada por la comunidad de seguridad de la información.

  • Requiere un número de teléfono para registrarse (que puede no ser una buena idea)
  • Fácil de configurar en dispositivos móviles y permite llamadas de voz encriptadas

Direccion postal

Todo el correo generalmente se fotografía (en el exterior), se pesa y se registra el punto de recogida y el destino. Sin embargo, todavía es posible enviar correos físicos de forma anónima: comprar estampillas (todavía) no levanta sospechas en el mostrador.

Es posible que un paquete enviado a un regulador u organización de noticias no sobresalga y, si se publica desde una ubicación ocupada en la misma ciudad que el destinatario, ofrece poca información a quienes lo ven (aunque el denunciante debe tener cuidado con los sobres escritos a mano).

Cuando existen documentos en forma física, puede ser mucho más seguro enviarlos directamente, en lugar de digitalizarlos. Como destinatario del correo, es importante que las fuentes potenciales sepan cómo maneja el correo en su organización. ¿El correo dirigido a usted en persona o abierto por otra persona, por ejemplo? ¿O se mantienen registros sobre quién recibe qué?

  • El correo se registra estrictamente en algunos países u organizaciones
  • Todavía existen altas protecciones legales para el correo

Teléfono y correo electrónico

El correo electrónico y el teléfono son fáciles de interceptar y producen grandes cantidades de metadatos. Los correos electrónicos cifrados con PGP podrían funcionar, pero dejarán metadatos que podrían ser muy valiosos (a menos que usted y el denunciante sean expertos en hacer que estos metadatos no tengan valor).

Asegúrese de que las fuentes puedan verificarlo

Cuando se ofrezca como un receptor seguro, asegúrese de que una fuente potencial siempre pueda verificar que sus comunicaciones son de usted y no impostoras..

Envía fotos tuyas

Si se encuentra con una fuente en público, asegúrese de que sepan cómo se ve y que no pueda ser engañado por un impostor. Las medidas de seguridad pueden incluir palabras clave si ha tenido comunicaciones seguras antes de la reunión.

Usar claves criptográficas

Es probable que tenga una fuerte presencia en las redes sociales o al menos una biografía alojada en el sitio web oficial de su organización. Use sus perfiles para alojar sus claves públicas e incluya las huellas digitales de todas las claves que utiliza en sus comunicaciones (Señal, OTR, PGP). Las claves en el registro público facilitarán la verificación de una nueva identidad, por ejemplo, porque necesita cambiar de cuenta.

Cómo proteger sus fuentes TL; DR

  • Estar disponible en canales acreditados y encriptados
  • Facilite la verificación de su correspondencia.
Guía de denuncia de irregularidades: cómo proteger sus fuentes
admin Author
Sorry! The Author has not filled his profile.