Al món, cada deu segons una organització pateix un atac digital ransomware –segrest de dades privades per a després demanar una recompensa per desbloquejar-les–. Aquesta preocupant dada l’aporta un estudi (Security Report 2021) de l’empresa de ciberseguretat Check Point, que assenyala que només el darrer trimestre del 2020 els ciberatacs van créixer al món un 45% respecte de l’any anterior. Però no cal anar lluny per adonar-se de la magnitud de la qüestió. I si no que li diguin a la Universitat Autònoma de Barcelona (UAB), que l’octubre va patir un atac digital del qual encara s’està recuperant.

Per no parlar de l’atac de denegació de servei (DDoS) que van patir a finals del novembre els webs dels mitjans de comunicació La Marea, El Salto i Arainfo. Aquest tipus d’agressió cibernètica consisteix en l’enviament massiu de peticions als servidors dels webs fins que es desborden, el que n’impedeix l’accés. “És bastant greu, ens està perjudicant molt”, va reconèixer Magda Bandera, directora de La Marea, en declaracions a El País.

La llista d’atacs recents a institucions i organitzacions no hi cabria en aquest article: al març una escomesa digital va deixar KO el Servicio Público de Empleo Estatal (SEPE), fent perillar el pagament de les prestacions a aturats, mentre que a principis de mes la Generalitat va patir un ciberatac descrit pel mateix vicepresident i conseller de Polítiques Digitals, Jordi Puigneró, com “el més potent dels darrers anys a Catalunya amb diferència”. Un atac que va afectar la comunicació entre departaments i els webs i aplicacions de la Corporació Catalana de Mitjans Audivisuals (CCMA).

Segons el darrer informe de l’Agència de Ciberseguretat de Catalunya durant el segon trimestre del 2021 s’haurien pogut filtrar dades personals de fins al 50% de la població catalana a causa dels atacs digitals. El mateix estudi alerta que això no s’acaba aquí, atès que amb aquesta informació robada els ciberdelinqüents poden portar a terme campanyes de credential stuffing per accedir a comptes personals o professionals i aconseguir suplantar identitats.

De fet, ja hi ha hagut casos sonats de suplantació d’identitats de periodistes. Així ho va denunciar el comunicador espanyol, naturalitzat mexicà, Joaquín López-Dóriga, al qual li van hackejar el compte de WhatsApp. Ell mateix va avisar, via Twitter, que havien suplantat la seva identitat al famós servei de missatgeria

I és que la protecció de les dades és especialment important en el cas dels periodistes, que solen treballar amb informació sensible. Una errada de seguretat en el correu personal d’un periodista d’investigació, per posar un exemple, pot suposar la pèrdua de documentació rellevant, l’escolta de converses privades o fins i tot la revelació de fonts; una informació que pot caure en mans de governs autoritaris –o no– o organitzacions criminals que busquin silenciar algun professional o descobrir qui està col·laborant amb la premsa.

Els experts recomanen sentit comú i no estalviar en mesures per evitar atacs digitals | Foto: Alexandre Devieve (Unsplash)

Sense anar més lluny, el juliol es va publicar un reportatge que avisava que més de 50.000 periodistes, polítics i activistes –entre ells alguns líders independentistes catalans– havien estat espiats per diferents governs i organitzacions a través del programari Pegasus, una tecnologia israeliana que, en principi, està pensada per vigilar grups criminals. Un d’ells, el periodista Ignacio Cembrero, especialitzat en el Magreb, va començar a sospitar que l’espiaven quan un rotatiu marroquí, el Maroc-Diplomatique, va publicar una idea que ell només havia escrit en una de les seves converses de WhatsApp. Temps després, Cembrero va rebre una trucada de l’equip Forbidden Stories, els autors de la investigació The Pegasus Project, per comunicar-li que el seu número de telèfon apareixia com un dels espiats.

En aquest sentit, Reportes Sense Fronteres (RSF) alerta del perill de robatori de comptes de professionals per difondre a través d’elles informacions falses, i així desprestigiar la carrera d’un periodista.

Per tot plegat, a continuació incloem un decàleg amb els principals consells que fan els experts i entitats reconegudes, com ara la mateixa RSF o bé el Comitè per a la protecció dels periodistes –CPJ, en les seves sigles en anglès– per blindar-se d’aquests atacs que amenacen la feina dels periodistes i la informació independent.

1. Crear contrasenyes segures

Els experts i les principals organitzacions de periodistes recomanen crear contrasenyes fortes i elaborades. En aquest sentit, RSF va més enllà i en els seus consells de seguretat digital per a periodistes aconsella fer servir més aviat frases per a les contrasenyes. L’organització argumenta que una cadena de números, paraules i caràcters “relativament complexos” és complicada d’esbrinar i pot ser més fàcil de recordar que no pas una paraula curta però abstracta. El manual de seguretat per a periodistes del CPJ també apunta en aquest sentit i aconsella que les claus de pas tinguin més de 15 caràcters i que, en la mesura del possible, no se’n reutilitzin. De fet, avisen que és important que cada compte o servei digital disposi de la seva pròpia clau, per així limitar els danys si algú descobreix una de les nostres contrasenyes.

Per altra banda, els experts recomanen fer servir un gestor de contrasenyes, ja que pot ser difícil recordar-les totes. RSF proposa Lastpass, una extensió que es pot instal·lar als principals navegadors, tot i que n’hi ha d’altres molt recomanables com Keeper o NordPass.

2. Separar els comptes personals dels professionals

Aquest segon és un consell de seguretat bàsic dels experts. Sense anar més lluny, és fins i tot una recomanació per mantenir una vida saludable en la qual sapiguem separar la feina de l’àmbit privat. RSF incideix en aquest punt, ja no tant pel que fa al tema vital, sinó per evitar, per exemple, fer servir un compte de correu per a la feina i per fer compres en línia.

Pel que fa al manual de seguretat del CPJ, recomana no utilitzar dispositius personals o de la feina per posar-se en contacte amb determinades fonts. De fet, aconsella adquirir un aparell separat per comunicar-se amb les fonts i, en la línia de RSF, mantenir separades les dades personals de les laborals. Aquesta recomanació és més important en l’actual context de teletreball al qual s’han vist abocats molts professionals de la informació. En cas de patir una bretxa en la teva seguretat, el fet de tenir la informació personal separada de la professional pot fer que l’atacant no tingui accés a totes les dades i es limitaran els danys.

3. Parlar de seguretat amb les teves fonts

A vegades la seguretat d’una font depèn que no se’n sàpiga la identitat. L’expert Steve Doig, que imparteix tallers de defensa digital a les conferències de Periodistes i Editors d’Investigació –IRE, en les seves sigles en anglès–recomana parlar de seguretat amb les fonts per avaluar els riscos. Saber qui voldria conèixer la identitat d’una font i ponderar les seves capacitats tecnològiques –perquè no és el mateix el govern d’un estat que no pas un regidor d’un Ajuntament–, són temes a tenir en compte, incideix Doig, que aconsella fer reunions amb les fonts sense comunicacions electròniques ni aparells a prop.

4. Utilitzar eines segures

Pilar Sáenz, coordinadora de projectes de tecnologia a la Fundació Karisma, va comentar durant la segona trobada d’investigació i noves narratives sobre drogues, celebrada a principis d’any per la Fundació Gabo i Open Society Foundations, que cap tecnologia ni aparell ens garanteix la privacitat al cent per cent. No obstant això, Sáenz va assegurar que és molt més segur fer servir WhatsApp, Telegram i Signal per fer una trucada o enviar un missatge. L’experta en seguretat va recordar que la protecció de les trucades telefòniques ordinàries i dels SMS “és molt pobra” i “molt fàcil d’interceptar”, una idea en la qual també incideix el CPJ.  Tot i això, aquesta experta prefereix Signal abans que WhatsApp, que comparteix informació amb Facebook. Qui també recomana Signal és RSF, que proposa les aplicacions Jitsi Meet o Skype per fer videotrucades a les fonts.

Els atacs informàtics han crescut en els darrers temps a causa del teletreball | Foto: Pexels

5. Vigilar amb el malware

Aquest consell apel·la al sentit comú. I és que mai no hem d’obrir enllaços sospitosos als nostres dispositius, ja que poden amagar malware –programes creats per danyar un dispositiu o robar-li la informació– o spyware –aplicacions malicioses que s’instal·len al nostre ordinador o telèfon per espiar-nos–. Fent un clic a un enllaç maliciós pot obrir la porta als ciberdelinqüents i exposar les nostres dades personals o la nostra feina periodística.

El manual del CPJ posa molt d’èmfasi en aquest aspecte. Recorda que els periodistes sovint posem el nostre telèfon a disposició de moltes persones per buscar declaracions o recollir dades per a un reportatge. És a dir, que el nostre número o adreça de correu electrònic va corrent per Internet gairebé sense control. D’aquesta manera, és fàcil que algú creï un missatge a mida i ens l’enviï per fer-nos pensar que es tracta d’una font propera o conegut i piquem.

Per tot plegat, el sentit comú és una eina molt valuosa a l’hora de protegir-nos dels ciberatacs. Per què aquesta persona m’està trametent això? Quin tipus d’URL és? Són algunes preguntes que cal fer-se per evitar el temut phishing, el robatori d’informació confidencial per a després, en alguns casos, demanar una quantitat de diners per recuperar-la. Si encara hi ha dubtes, es pot consultar el Digital First Aid Kit, una iniciativa d’una dotzena d’ONG relacionades amb mitjans de comunicació com Free Press Unlimited o Global Voices. Aquesta eina, entre altres, compta amb un qüestionari de comprovació que ens ajudarà a determinar si un enllaç pot ser sospitós de phishing.

Sigui com sigui, els experts recomanen comptar amb un antivirus i tenir activat un firewall, una primera defensa que ens avisarà de potencials perills.

6. Tenir actualitzat tot el programari

És molt pesat, però és determinant mantenir actualitzat els nostres dispositius. Segons recorda el CPJ, un ordinador desactualitzat té més vulnerabilitats, que poden ser aprofitades per instal·lar programari maliciós. Sáenz ho compara amb la cura física que ha de tenir una persona si vol estar sana: per tenir una vida digital saludable, cal tenir tot el programari actualitzat.

7. Compte amb les wifis públiques 

Els últims anys ens hem acostumat a demanar, d’entrada, la contrasenya del wifi en un restaurant o un hotel. No som conscients, però, que aquestes xarxes són més vulnerables, ja que no xifren la informació que es transmet a través d’elles. Per tant, cal anar molt amb compte a l’hora de connectar-se a aquest tipus de xarxes si estem fent una feina que requereix discreció.

Aquestes recomanacions s’estenen a dispositius com els USB. El CPJ recomana no connectar-los a ordinadors que estan a l’abast de moltes persones a determinats actes, ja que pot significar una fàcil entrada perquè software maliciós contagiï el llapis de memòria i, d’aquí, passi a algun dels nostres dispositius. Oi que ens rentem les mans quan arribem a casa o ens posen gel hidroalcohòlic quan entrem en un lloc per evitar l’expansió del coronavirus? Doncs aquesta cura, en la línia del que comenta Sáenz en el punt anterior, també l’hem de tenir en l’àmbit digital.

8. Precaució a l’hora de passar fronteres

Travessar segons quina frontera està directament relacionat amb la seguretat digital. El CPJ avisa que els guàrdies fronterers, igualment que poden retenir material físic com llibretes o blocs de notes, poden fer el mateix amb dispositius informàtics. Per aquesta raó, recomanen que, a l’hora d’entrar o sortir d’alguns països es faci una còpia de seguretat de la informació més sensible en un disc dur o al núvol. En aquesta línia, aconsellen encriptar la informació perquè només pugui ser oberta amb una contrasenya i informar-se de la legislació del país que es vulgui visitar per evitar-se problemes amb les autoritats frontereres.

9. Navegar amb seguretat

La majoria dels experts i organitzacions consultades recomanen la instal·lació d’una VPN (xarxa virtual privada) per codificar les connexions a Internet i garantir una navegació segura. RSF i Sáenz, en aquesta línia, proposen fer servir el navegador Tor Browser, que permet navegar per internet de forma anònima. En cas contrari, els hipotètics atacants podrien veure la informació que estàs consultant. El més aconsellable és revisar primer la configuració de seguretat del navegador que estem fent servir, deshabilitar les cookies o galetes de tercers i els rastrejos i, no cal dir-ho, mantenir-lo actualitzat.

10. Sentit comú

Com hem comentat amb anterioritat, el sentit comú també juga en aquesta partida. A més de tenir vista per detectar possibles enllaços a programes maliciosos, és essencial que un periodista tingui present una sèrie de qüestions que evitin maldecaps. Si fem servir ordinadors de tercers, és essencial tancar totes les sessions que tinguem obertes i esborrar l’historial. I evitar que el navegador guardi les nostres contrasenyes i, en cas que ho hagi fet, esborrar-la immediatament. En aquest sentit, RSF també avisa que és convenient que per administrar el lloc web d’un mitjà de comunicació s’habiliti més d’una persona. Si només el porta una persona i el seu perfil queda bloquejat per un atac, ningú més podrà entrar-hi.

Per acabar cal destacar que els experts avisen de la necessitat que els periodistes i els mitjans de comunicació facin una anàlisi de riscos digitals. Generalment, la resposta serà negativa, tot i que aquesta situació està canviant en els darrers anys. L’expert Steve Doig aporta una data a partir de la qual la sensació d’inseguretat a la xarxa va augmentar arreu: el 2013, quan va esclatar el cas Snowden, les filtracions d’aquest extreballador de l’Agència de Seguretat Nacionals dels Estats Units alertaven d’un espionatge massiu dels Estats Units a tot el món. A partir d’aquell any les xerrades de Doig sobre seguretat digital, a les quals solien anar no més de deu persones, van passar a estar molt més concorregudes. Des de llavors, els perills relatius a atacs informàtics no han deixat de créixer.