Los periodistas deben aprender a protegerse de la mirada indiscreta de los proveedores de servicios de Internet (ISP), ya que a menudo son utilizados por los gobiernos para espiar a los usuarios de la red.
Un proveedor de servicios de Internet (ISP, del inglés Internet Service Provider) es una empresa que proporciona la infraestructura física y lógica que permite a las empresas y a los particulares acceder a Internet. Sin embargo, los ISP son potencialmente peligrosos porque tienen acceso a mucha información compartida durante la comunicación y son técnicamente capaces de espiar a los usuarios. Por defecto (sin cifrado), un ISP puede ver todo lo que hace un usuario de Internet: leer correos electrónicos, escuchar conversaciones telefónicas, supervisar el uso de aplicaciones y ver los mensajes enviados a sus fuentes.
Dado que los gobiernos suelen obligar a los ISP a compartir los datos que recopilan y, en algunos países, incluso lo exigen por ley para que puedan operar, los periodistas deben ser conscientes de los riesgos potenciales que esto supone para su propia seguridad y la confidencialidad de sus fuentes.
Los ISP: la oficina de correos de Internet
Por defecto, un mensaje no se cifra y viaja como una tarjeta postal, de forma que el ISP puede leer lo que hay escrito en él. En una oficina de correos física, cuando se envía un paquete, este pasa por varias personas antes de llegar a su destinatario final. Esta analogía se aplica al envío de correos electrónicos o a la solicitud de información a un sitio web. Al igual que la oficina de correos conoce al remitente y al destinatario, la hora en que se envió, las dimensiones y el peso del paquete, y puede confirmar que su contenido no es ilegal antes de reenviarlo, un ISP conoce los metadatos de un mensaje, como la dirección de correo electrónico del remitente y del destinatario, la hora de envío, el tamaño del mensaje y la presencia de archivos adjuntos.
En el caso de la oficina de correos, suele existir una garantía legal de que no abrirán su correo. Es cierto que existen leyes que limitan el acceso de los ISP a los datos del remitente, pero nadie puede saber si se ha accedido a los metadatos o a los datos no cifrados y qué se ha hecho con ellos.
Además, es posible que un ISP no sea propietario de toda la ruta que recorren los datos. Al igual que una carta pasa por más de una oficina de correos, los datos pueden pasar por los ISP de docenas de países antes de llegar a su destino y, aunque los ISP tienen el poder de controlar esta ruta, nunca la revelarán. Por ejemplo, un paquete de datos que sale de Vietnam puede viajar a través de los sistemas altamente vigilados de China y Rusia. Por este motivo, organismos del poder ejecutivo estadounidense, como el Departamento de Justicia, el Departamento de Seguridad Nacional y el Departamento de Defensa, han tomado recientemente medidas para impedir que el tráfico de Internet de EEUU pase por ISP chinos por temor a su vigilancia. Incluso los mensajes intercambiados dentro de un mismo país pueden pasar por el ISP de otro país sin que el remitente lo sepa.
¿Cómo puedes protegerte?
- Utiliza aplicaciones con cifrado de extremo a extremo (E2EE) para mantener la privacidad del contenido de tus mensajes.
- Utiliza una red privada virtual (VPN) cifrada, como Freedome o NordVPN, ya que oculta algunos de los metadatos y cifra los mensajes que se envían. Es similar a contratar un servicio de mensajería, lo que reduce el riesgo de que se lea el mensaje, pero no lo elimina.
- Recurre a aplicaciones de comunicación en red de malla, como Briar o Bridgefy, que permiten a los usuarios mantenerse en contacto sin necesidad de acceder a Internet, pues añaden una capa adicional de protección.
- Los navegadores cifrados, como Tor, los navegadores orientados a la seguridad, como Brave, o los motores de búsqueda privados, como DuckDuckGo, proporcionan protección contra los rastreadores de terceros al mantener el anonimato del usuario.
- Cuando navegues, prioriza las webs que utilizan el protocolo de cifrado HTTPS (Hypertext Transfer Protocol Secure) en lugar del HTTP, que no está cifrado.
Escrito por Benjamin Finn. Natural de Houston (EEUU), Benjamin Finn lleva una década trabajando en el sector de las tecnologías de la información, centrándose principalmente en la implementación de herramientas internas para grandes empresas, incluyendo iniciativas de ciberseguridad. Ha participado en cursos de formación sobre seguridad en contextos de Estados opresores, concretamente en Myanmar. También ha trabajado con varios grupos en Taiwán para formarlos en medidas de seguridad.