Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CryptoPeriodismo. Manual de Periodismo. Pablo Mancini
CryptoPeriodismo. Manual de Periodismo. Pablo Mancini
nelson fernandez
Pablo Mancini
Un paranoico es alguien que sabe
un poco de lo que est pasando
William S. Burroughs
3
ndice
1. Prlogo: Una brjula para periodistas, por Andrs
DAlessandro
2. Introduccin
4
Prlogo: Una brjula para
periodistas
Todas las cosas son palabras del
idioma en que Alguien o Algo, noche y da,
escribe esa infinita algaraba
que es la historia del mundo. En su tropel
5
que empleaba la Polica del Pensamiento para controlar
un hilo privado. Incluso se conceba que los vigilaran
a todos a la vez. Pero, desde luego, podan intervenir
su lnea cada vez que se les antojara.
6
militarizacin de la Red en el mundo y cmo nos espan
en la Argentina, temas que deberan (preo)ocuparnos ms
a periodistas, blogueros, defensores de derechos
humanos, abogados, intelectuales, polticos, acadmicos,
etc.
7
registrado y escuchado por la Polica del Pensamiento,
y luego ese hilo informativo permita a los
funcionarios del Partido nico apresar, torturar y
doblegar moralmente a los dscolos o rebeldes como
Winston Smith, para que, traicionados y derrotados,
acepten la verdad impuesta por el Gran Hermano.
8
que periodistas y medios de todas las latitudes
entendamos y nos adaptemos a esta nueva realidad.
Andrs DAlessandro.
Director Ejecutivo del Foro de Periodismo Argentino
(Fopea.org). Licenciado en Ciencias de la Comunicacin
(UBA).
9
Introduccin
Nunca en la historia la humanidad tuvo tantas
herramientas disponibles para comunicarse. El
periodismo, como muchas otras profesiones, es
beneficiario directo de las nuevas formas de
comunicacin que la evolucin tecnolgica est haciendo
posible. Desde hace tres dcadas, las tecnologas
digitales auspician una transformacin de proporciones
industriales para la actividad de los medios y el
trabajo de los periodistas. Toda una constelacin
tecnolgica viva de nuevos equilibrios productivos est
empujando hacia una reorganizacin sin precedentes de
las formas de ejercer el periodismo.
10
Con servicios como Amazon y Google funcionando,
todava eran impensables "game changers" como Youtube,
Facebook o Twitter, que tambin tendran un impacto
directo en la profesin periodstica, la distribucin
de contenidos, la relacin con las fuentes y la
disponibilidad de informacin a escala planetaria.
Menos imaginables eran entonces novedosas criaturas
mediticas como The Huffington Post y productos que
redisearan la relevancia de las voces autorizadas
sobre temas especficos como Trip Advisor.
11
periodstica y para los medios de comunicacin han sido
comentados, discutidos y analizados en miles de libros
publicados durante la ltima dcada. Pero poco se ha
dicho sobre los nuevos peligros a los que est expuesto
el conjunto de trabajadores de la prensa. Quizs porque
nunca a nadie le consta -hasta que se vuelve una
vctima- cunto hay de cierto, cunto de leyenda o
fantasa, cunto de posible y cunto de ciencia ficcin,
a la hora de entender los riesgos del nuevo escenario
profesional.
12
Hacking Team, Vupen, Phoenexia, Blue Coat, y la lista
continua. En el 2012, los principales clientes fueron
Libia, Egipto, Ucrania, Turqua, Sudfrica, Hungra,
China, Colombia, Brasil, Canad, Estados Unidos, Reino
Unido, Espaa, Suiza, Rusia, Italia, India, Alemania,
Francia, entre otros pases.
13
todo el mundo los compran. Incluso pases con muy pocos
recursos, algunos muy pobres, invierten parte de su
presupuesto en estas tecnologas.
14
de informacin, la transparencia, la privacidad y
contra las libertades en general. Es iluso pensar que
la Red importa lo mejor de las sociedades analgicas.
Lo peor tambin es parte de lo que ofrece. La Red es la
mayor y ms eficiente arquitectura conocida de
vigilancia.
15
proteccin tan inmaterial y a la vez tan poderosa que
necesariamente debe estar basada en el mismo recurso
que los hace posibles: el conocimiento.
16
permiten entrecruzar informacin y acelerar el anlisis
en determinadas circunstancias, segn lo defini la
ministra de Seguridad de la Nacin, Nilda Garr. El
Proyecto X fue denunciado porque su protocolo de
actuacin vulneraba derechos constitucionales.
17
La tarjeta SUBE, el Sistema nico de Boleto
Electrnico, un medio de pago simple y moderno, segn
lo define el Gobierno, es otro mecanismo de vigilancia
efectiva en la Argentina. Permite pagar viajes en
colectivos, subtes y estaciones de trenes adheridas a
la Red SUBE en el transporte pblico del rea
Metropolitana de Buenos Aires (AMBA). La tarjeta es
personal y el Estado guarda toda la informacin sobre
los recorridos que hacen los usuarios todos los das,
asocindolos a la persona fsica. Para decirlo sin
vueltas: el Estado sabe quin y cundo viaja desde qu
lugar y hacia dnde, cada vez que usa la tarjeta. La
informacin que captura y almacena es tan vulnerable
que el 20 de enero del 2012 un grupo de hackers de la
red Anonymous public la base de datos de SUBE en
Internet para demostrar cmo el Estado est vigilando a
los usuarios y la precariedad con la que protege la
informacin.
18
La transparencia es para los gobiernos y los
estados. La privacidad para los individuos. No al revs.
19
As las cosas, no se trata de convertirse en genios
de la criptografa ni en matemticos especializados en
blindar y cifrar con algoritmos complejos las
comunicaciones. Se trata, s, de tener al alcance
algunas herramientas que contribuyan a una experiencia
lo ms segura posible en un ambiente naturalmente
inseguro. Es por eso que este libro no es un manifiesto
de resistencia al espionaje ni un catlogo de casos
sobre cmo grandes organizaciones y gobiernos
monitorean actividades y comunicaciones de medios y
periodistas. Es un documento bsico sobre cmo estar
menos inseguros frente a esa, ya no amenaza sino,
realidad.
20
Cuando Usted termine de leer este libro podr saber
lo inseguro que estaba hasta antes de leerlo. Este
libro no le ofrece garantas de que no puedan espiarlo.
Pero s le ofrece herramientas para que quienes
pretendan hacerlo tengan las cosas ms difciles.
Sobre el libro
El objetivo de este libro es ofrecer de un modo
simple y prctico herramientas y soluciones que
contribuyan a reducir el peligro que corren los
periodistas en el ciberespacio y cuando establecen
comunicaciones mediadas por tecnologas digitales.
21
Agradecemos a Mariella Miranda que dise la tapa y
a Andrs DAlessandro que escribi el prlogo.
22
Cmo generar contraseas seguras
Las claves de acceso a los dispositivos y a los
servicios Web son, frecuentemente, una fuente de
problemas. Implican una gestin difcil y es muy fcil
terminar simplificndolas, y consecuentemente corriendo
riesgos serios para poder recordarlas. Son puertas de
acceso que, una vez abiertas por terceros, no hay nada
que hacer excepto, en el mejor de los casos, esperar a
volver a tomar el control pero habiendo perdido
informacin y, sobre todo, privacidad.
23
para obtener informacin sobre la vctima y, a partir
de ella, dar con la clave que se busca o tener los
datos que permiten recuperarla. El mtodo actualmente
est en pleno auge ya que la cantidad de informacin
personal que se hace pblica a diario en las redes
sociales est creciendo de un modo inconmensurable. En
las redes sociales circula la materia prima con la que
se produce buena parte del espionaje actual.
Paso a paso
Para empezar, lo esencial es descartar la
estrategia de la memoria fcil: fechas de nacimiento,
nmeros de documentos de identidad o pasaporte, nmeros
de telfono, apodos, nombres de parientes y mascotas,
direcciones de lugares que puedan ser asociadas con
Usted, edad, ciudades, barrios, cdigos postales, etc.
Toda esa informacin es demasiado predecible.
Descartarla a la hora de crear contraseas equivale a
24
dejar fuera de juego la posibilidad de que alguien con
tiempo, cercano a Usted o un desconocido con acceso a
informacin sobre Usted, se tome el trabajo de intentar
adivinar sus passwords y, con un poco de suerte,
acertar. De hecho, existen servicios Web que solicitan
ese tipo de informacin. En ese caso, lo ms
recomendable es no usarlos. Si no tiene ms opcin que
hacerlo, mienta: no publique su direccin, telfono o
cdigo postal, por ejemplo.
25
3. Aada una variable ms, una letra en maysculas.
La tercera por ejemplo: "nsSducqmacm".
26
minimizar el riesgo de que alguien pueda acceder a sus
claves y, en caso de que sea accedida por un tercero,
no pueda usarla. Lo que debe hacer es aplicar un
algoritmo de hash su clave.
27
utiliza ms o menos el mismo algoritmo explicado
anteriormente y le agrega la funcin de hash. Con lo
cual, si el servicio que est utilizando no guarda sus
claves de forma segura, no importa, ya que Usted est
enviando una clave en un formato seguro.
28
29
Cmo armar un sistema de correos
no vinculante
Los correos electrnicos son actualmente un
mecanismo clave de la comunicacin y una herramienta,
sino la herramienta, que periodistas usan a diario para
comunicarse. El mundo es ms confortable con emails que
sin emails, pero vale decir tambin que las
comunicaciones son sensiblemente ms vulnerables cuando
los emails entran en juego. Es por ello que Usted
debera tomar todas las medidas de seguridad a su
alcance.
30
Actualmente Usted est en peligro: si alguien tiene
acceso a su cuenta de correo, est en el acto
habilitado para tomar control de sus perfiles de
Facebook, Twitter, Skype, Dropbox, o cualquier otro que
utilice. Por razones profesionales, su email es pblico.
Esta situacin lo expone ms que a cualquier otro
usuario de sistemas de correos electrnicos.
31
proceso de espionaje. Por eso es tan importante que
Usted registre su segunda cuenta en un servicio
distinto a la primera, con datos falsos.
32
Cmo encriptar el contenido de
los chats
El chat es una puerta de inseguridad
permanentemente abierta. Los periodistas usan servicios
de mensajera instantnea todos los das, tanto para
establecer comunicaciones personales como profesionales.
En cualquier caso, exponen su comunicacin y, algo nada
menor, exponen a las personas con las que se comunican
a travs de mensajera instantnea.
33
esas aplicaciones. Y usar otras considerablemente menos
inseguras como, por ejemplo, Jabber.
34
http://psi-im.org/
35
Una vez generada la clave, se va a mostrar su
Fingerprint. Una buena prctica es verificar por otro
medio (email, telfono, SMS, etc.) el fingerprint de la
persona con la que vamos a establecer la comunicacin.
Esta verificacin se har por nica vez y es muy til
para asegurarnos de que no se trate de una cuenta
impostada. El plugin tiene tambin una pantalla para
administrar y dar de baja las distintas claves:
36
Un dato no menor a tener en cuenta es que en el
servicio de IM de Google existe una opcin OTR. Esta
opcin no tiene relacin con el plugin comentado y no
encripta la conversacin, sino que lo nico que hace es
no grabarla en los logs de la conversaciones en Google
Mail, algo que a nadie le consta.
37
CrytoCat
Si Usted necesita tener una conversacin segura en
Internet y no dispone de un cliente XMPP ni del plugin
OTR, CryptoCat puede ser de gran utilidad.
38
Cmo anonimizarse al usar
Internet
El proyecto Tor intenta permitir navegar
annimamente por Internet. Esto lo logra utilizando una
red de voluntarios que ejecutan servidores para cambiar
la ruta por la que un usuario navega por la Red,
permitiendo ocultar la informacin que da cuenta sobre
desde dnde se origina la visita. Tor no solamente
altera la ruta sino que tambin encripta mltiples
veces los datos, lo que hace extremadamente difcil
conocer su origen y su contenido. De todos modos, hay
que tener muy claro esto antes de avanzar: el valor
agregado de Tor no es proteger el contenido sino
anonimizar los datos de quien est navegando.
39
el camino completo. Slo conoce el tnel anterior de
donde vino y hacia dnde tiene que enviarlo a
continuacin, nada ms.
40
Un punto a tener en cuenta es que Tor opera desde
la mquina del usuario hasta el ltimo servidor antes
de llegar a destino. El camino que va desde el ltimo
servidor al destino no est protegido y los datos
relacionados a ese trfico son visibles.
41
Tor no resuelve todos los problemas de anonimidad.
Por ejemplo la informacin que presenta el navegador al
conectarse al servicio destino puede ser una fuente
para obtener datos del usuario.
Servicios de Tor
Tor no solamente provee un servicio de anonimidad
en las comunicaciones. Tambin tiene una serie de
servicios adicionales, muy variados y complementarios.
En el sitio Web del proyecto es posible encontrar
herramientas incluso para anonimizar el trfico en
televisores inteligentes, por ejemplo. Un panorama
completo y actualizado del ecosistema Tor se present
en Hamburgo en diciembre del 2012, en el marco del 29th
Chaos Communication Congress. Los esenciales:
42
tcnicos y de infraestructura que se pueden ver en el
sitio de Tor.
43
Cmo construir un tnel privado
Las Redes Privadas Virtuales (VPN) no son nuevas.
Hace ya mucho tiempo que existen y nacieron para
asegurar las comunicaciones a travs de Internet. Son
tneles que aslan conexiones del peligro inherente del
trfico pblico.
44
implica que cualquier persona que intercepte la
comunicacin desde ese lado del tnel puede saber todos
los datos solicitados y recibidos.
Servicios de VPN
Los servicios gratuitos de VPN suelen ser
promocionados con publicidad o limitados en el ancho de
banda que permiten usar. Los servicios pagos no suelen
tener estas limitaciones. Algunos servicios que podemos
nombrar son:
45
RiseuoVPN, https://help.riseup.net/es/vpn
46
Cmo tener una privacidad
bastante buena
Pretty Good Privacy (PGP) es un software para
encriptar y desencriptar informacin.
47
OS X: GpgTools es la implementacin para Mac que
ofrece varias herramientas adems de PGP, incluyendo
integracin con el administrador de claves de OS X.
48
Cuando Usted abra esa ventana se le presentar un
nuevo men que tiene la opcin Generate y un submen
New Key Pair, que una vez seleccionado le ofrecer las
siguientes opciones:
49
Aqu podr seleccionar la cuenta de correo para la
cual se va a generar el par de claves, una clave de
seguridad que se le ser solicitada cada vez que la use,
un campo de comentario y la fecha de expiracin de la
clave. Un valor razonable para la fecha de expiracin
es de 1 ao y nunca debera ser mayor a 2 aos. Como es
posible tener y usar varias claves PGP por cada cuenta
de correo, es bueno utilizar el campo comentario para
50
especificar el uso que se pretende dar a esa clave, as
al momento de seleccionarla es ms simple:
51
Una vez elegidas estas opciones, Usted puede
oprimir el botn de Generate Key para comenzar el
proceso de la generacin de la clave. Este proceso es
lento y ver que la barra de progreso avanzar despacio.
Tranquilo. Esto es as porque se estn tomando
mltiples patrones al azar de procesos que estn en
segundo plano, para generar la suficiente aleatoriedad
de tal modo de que la clave sea segura:
52
su clave privada, la contrasea para utilizarla o en
caso de que la clave privada haya sido comprometida, es
decir, haya salido de su propiedad.
53
OpenPGP, que tiene las opciones, Sign Message y Encript
Message (Firmar y Encriptar Mensaje) que le permitirn
firmar los mensajes, para que el destinatario pueda
verificar su autora y/o encriptar el mensaje. De esta
manera Usted puede enviar un mensaje de forma segura y
que slo sea visto por el destinatario y por nadie ms.
54
En caso de que la firma no pueda ser verificada, la
barra ser de color rosa. Esto implica que el mensaje
fue modificado de alguna forma y no puede ser
verificado:
55
Cmo asegurar su telfono
Los dispositivos mviles son usados cada vez ms
para las tareas ms diversas: desde enviar correos
electrnicos, establecer conversaciones de mensajera
instantnea y tomar fotografas, hasta funciones
bastante ms crticas, como acceder a servicios de home
banking, o usar la VPN de la empresa. Por esta razn, y
por la cantidad de informacin que cuenta sobre Usted,
su telfono celular se puede transformar en un bien
preciado, es decir, en un dispositivo que debe proteger
bajo siete llaves.
56
- Activar el ingreso por contrasea cuando no se
usa el mvil por un tiempo determinado.
- Activar que los datos sean borrados luego de una
cantidad N de intentos errados al ingresar la
contrasea para acceder al dispositivo.
- Mantener todo el software que se utilice
actualizado.
Orbot
Implementacin del protocolo Tor. Esto permite
navegar annimamente desde el telfono y acceder a
sitios que pueden estar bloqueados localmente.
Orweb
Navegador de Internet con una mejora en seguridad
por defecto. Por ejemplo: no almacena el historial de
navegacin, cookies, deshabilita flash y evita ciertos
patrones de anlisis de Red.
Gibberbot
Es un cliente de IM basado en XMPP que implementa
el protocolo OTR para tener conversaciones seguras.
57
ObscuraCam
Es una cmara de fotos que puede oscurecer,
encriptar o destruir pixeles de una imagen. Tambin se
est trabajando para tener este soporte en la gestin
de videos.
ProxyMobile
Es una extensin para la versin mvil de Firefox,
que le permite navegar a travs de un proxy, logrando
que se pueda usar con la red Tor.
Panic! (InTheClear)
Una aplicacin muy sencilla y poderosa a la vez: un
botn rojo que cuando Usted lo presione, eliminar toda
la informacin sensible del dispositivo. Sin vuelta
atrs.
K-9 y APG
Es un cliente de correo que tiene soporte para PGP.
Le permite firmar y encriptar los correos.
TextSecure
Es un cliente para gestionar mensajes SMS, que
permite almacenarlos de forma segura. Si la otra
persona que los recibe tambin usa este software,
permite encriptar todo ese intercambio de textos.
CSipSimple
Es un cliente SIP (cliente VoIP) que provee
encriptacin de voz. No usa la red de voz para las
llamadas, sino que las realiza sobre Internet.
58
Cmo encriptar un disco
La mejor herramienta de cdigo abierto para
encriptar un disco rgido es sin lugar a dudas
TrueCrypt. Es multiplataforma (Linux, Mac, Windows) y
de muy simple uso. Puede generar un archivo encriptado
y tratarlo como si fuera un disco. Tambin puede
encriptar directamente una particin o disco externo o
USB.
59
crear un archivo contenedor o encriptar un disco o
particin:
60
Las particiones ocultas se crean sobre una
particin ya existente y es, precisamente, el tipo de
particin que mencionbamos antes, las cuales slo
pueden ser accedidas si se sabe de su existencia y se
ingresa la clave correcta. En caso contrario slo se
muestra su particin contenedora y la oculta ser
indetectable, invisible.
61
Ahora tendr que seleccionar dos parmetros muy
tcnicos, como son el algoritmo de encriptacin y el de
digesto. Por defecto el algoritmo de encriptacin es
AES, que es un estandard desde 1998 y no hay evidencia
de que haya sido vulnerado. Las otras opciones que
aparecen son los otros finalistas de esa seleccin
(Twofish y Serpent) y modalidades de uso combinando los
algoritmos.
62
El siguiente paso es seleccionar la capacidad de
este archivo. Debe tener en cuenta que una vez creado
no se podr modificar su tamao. Es clave que preste
atencin entonces a qu tipo de archivos guardar
dentro del disco encriptado.
63
Y finalmente se le solicitar seleccionar la clave para
proteger el disco.
64
factor de autenticacin que no se basa en algo que
sabe, sino en algo que tiene. En el caso de que
pierda el archivo encriptado y que alguien conozca la
clave de seguridad para accederlo, si no se tienen los
keyfiles, no se podr acceder.
65
Y finalmente se le preguntar qu tipo de formato
le dar al disco encriptado. Lo ideal quizs sea
utilizar FAT, para tener un formato que se pueda
utilizar desde distintas computadoras y sistemas
operativos:
66
Una vez seleccionado, se ver una pantalla donde se
visualizar el proceso de creacin de este disco
encriptado.
67
tres minutos, para generar la suficiente cantidad de
nmeros al azar.
68
Dependiendo del sistema operativo, se le solicitar
o no la clave de administrador para montar el disco
encriptado:
69
Particiones Ocultas
La creacin de una particin oculta es
prcticamente igual al proceso descripto anteriormente.
La nica diferencia es que al momento de ser solicitada
la clave de acceso, primero deber poner una clave
Exterior (Outer Volume Password). Esta clave es aquella
que permitir acceder al disco encriptado.
70
Avanzando, comienza el proceso de creacin de la
particin oculta en el espacio restante de la primera
particin. All seleccionar Usted los parmetros de
encriptacin y la cantidad de espacio de esta particin
oculta:
71
Luego pasar por las pantallas del proceso de
creacin, pero esta vez ser para crear el volumen
oculto.
72
73
Nos vemos en el caf de la
esquina
Si Usted necesita tener una conversacin virtual
privada, salga de ah. La mejor idea es tomar la laptop
e ir al caf de la esquina. Pida un caf y conctese a
la Red. Una Red distinta a la suya, a la de su casa o a
la de su lugar de trabajo, que no puede ser asociada a
Usted ni a datos relacionados con su persona, es una
conexin en la cual nadie lo conoce. Pero no est a
salvo.
74
decir cada vez interacta en el sitio haciendo click en
un link, debe presentar esa cookie que tienen su
identificador para seguir usando el servicio
normalmente. Caso contrario, el servicio no lo podr
identificar y le pedir registrarse nuevamente.
75
dada. As las cosas, la mejor forma de evitarlo es no
seguir directamente url que le fue enviada sino
escribirla en el browser.
76
una red pblica y obtener los identificadores de
sesin:
77
Por eso es muy importante verificar que siempre se
est conectando por una conexin segura (HTTPS) durante
toda la sesin. Y usar la opcin de Desconectarse
(logout) al finalizar.
Firefox:
78
Google Chrome:
79
80