Cómo los denunciantes navegan en un campo minado de seguridad

El contacto inicial es solo el comienzo. Más allá de esto, una vez que Whistleblower Aid ha iniciado sesión en los clientes, recomienda usar Signal para la mayoría de los mensajes. “Pasamos mucho tiempo tratando de mantener seguros nuestros dispositivos seguros”, dice Tye.

No todas las denuncias son iguales, y cada denunciante tiene su propio conjunto de riesgos. Alguien que está denunciando las malas prácticas de Big Tech enfrentará diferentes amenazas posibles para un denunciante de seguridad nacional, por ejemplo. Tye dice que Whistleblower Aid realiza modelos de amenazas para cada uno de sus clientes, evaluando los riesgos que enfrentan y de dónde o de quién pueden provenir esos riesgos. Una consideración, dice, es si se pueden usar ciertos servicios de computación en la nube; un servicio puede ser más riesgoso de usar si tiene una relación con un gobierno.

“Con muchos clientes, les damos a las personas dispositivos especiales que solo usan con nosotros”, dice Tye. La mayoría de las comunicaciones se realizan a través de Signal. A veces, Whistleblower Aid utiliza teléfonos que no incluyen chips de banda base, que controlan las señales de radio emitidas por el dispositivo, para reducir el riesgo. “Encontramos formas de aislar los dispositivos, los usamos sin chips de banda base. Ese es un vector de ataque que hemos eliminado”, dice Tye. En algunos casos, la organización utiliza configuraciones de VPN personalizadas; en otros, los teléfonos se transportan en bolsas Faraday. “Hay formas en que podemos hacer llegar los dispositivos a las personas que, si los usan de acuerdo con las instrucciones, no hay forma de rastrear los metadatos hasta esa persona”, dice Tye.

Para los denunciantes, puede ser crucial tomar medidas adicionales para tratar de mantener su anonimato. El sistema de informes de denunciantes de la Comisión Europea aconseja a las personas que utilizan su propia herramienta de informes que no incluyan sus nombres ni ninguna información personal en los mensajes que envían y, si es posible, accedan a su herramienta de informes “copiando o escribiendo la dirección URL” en lugar de hacer clic en un enlace para reducir la creación de registros digitales adicionales.

No solo se debe considerar la seguridad digital; en algunos casos, la seguridad física de las personas también puede estar en riesgo. Esto podría incluir cuestiones de seguridad nacional o temas controvertidos. Por ejemplo, los funcionarios del FBI, la CIA y el Departamento de Estado una vez celebraron reuniones diarias para encontrar formas de capturar a Edward Snowden, quien filtró una gran cantidad de documentos que detallaban los programas de vigilancia clasificados de la NSA.

“En cinco años, hemos tenido dos casos en los que hemos tenido que poner guardias armados sobre personas, abogados y clientes”, dice Tye. A veces, esto incluye reunirse con clientes en “ubicaciones inusuales”, incluida la reserva de Airbnbs para reuniones; ocasionalmente, se utilizan terceros para hacer la reserva, por lo que está en otro nombre. “Ni siquiera parece que alquilemos el lugar para reunirnos con alguien”, dice Tye.

Pero en un mundo donde constantemente estamos siendo rastreados a través de nuestros dispositivos y las señales que transmiten al mundo, lo mejor puede ser mantener los registros fuera de línea. “En persona es lo mejor”, dice Tye. La organización sin fines de lucro aconseja tener reuniones lejos de los dispositivos. “Incluso tenemos una máquina de escribir que usamos para documentos confidenciales”.