Qué revisar antes de usar SecureDrop
SecureDrop es un mecanismo usado para que denunciantes internos y fuentes envíen materiales con más seguridad a medios de comunicación y destinatarios similares.
Sin embargo, usar SecureDrop no hace que todo sea seguro automáticamente. Importan el contenido enviado, los metadatos de los archivos, la hora de acceso, los logs internos de la organización, las acciones en el mundo físico y la fiabilidad del destino.
En entregas de información de alto riesgo, la preparación antes de usar la herramienta es importante.
Este artículo organiza qué revisar antes de usar SecureDrop. En una entrega real, confirma siempre la guía oficial del destino.
Qué es SecureDrop
SecureDrop es una plataforma de denuncia interna de código abierto que medios de comunicación y organizaciones similares usan para recibir materiales de fuentes con más seguridad.
En el sitio oficial de SecureDrop puedes consultar el mecanismo, las organizaciones que lo implementan y la documentación.
URL : https://securedrop.org/
| Elemento | Significado | Precaución |
|---|---|---|
| Destino | Medio de comunicación u organización | Confirmar si es realmente el canal oficial |
| Uso de | Diseño que protege la ruta de comunicación | No usar Tor de forma incorrecta |
| Envío de materiales | Enviar archivos | Revisar metadatos y contenido |
| Revisión de respuestas | Interactuar con el destino | La hora y el contenido de las revisiones pueden ser pistas |
| Riesgo legal | Relacionado con el contenido enviado | Consultar a especialistas si es necesario |
SecureDrop solo tiene sentido cuando hay un destino confiable y una operación correcta.
Verifica el destino
Antes de usar SecureDrop, verifica si el destino es auténtico.
No confíes sin más en enlaces encontrados en resultados de búsqueda o redes sociales. Avanza desde el sitio oficial del medio de comunicación u organización hacia sus instrucciones.
| Qué revisar | Razón |
|---|---|
| Si llegaste desde el sitio oficial | Evitar enlaces falsos |
| Quién opera el destino | Ver si la otra parte es confiable |
| Qué acepta | Evitar envíos inadecuados |
| Cuál es el método de respuesta | Entender el procedimiento de revisión posterior |
| Si hay explicación de riesgos | Ver si se considera el riesgo para quien envía |
En anonimato, el destino también forma parte del modelo de confianza.
Revisa no solo la herramienta, sino también a la otra parte.
Revisa los archivos y el contenido
Antes de enviar, revisa los metadatos y el contenido de los archivos.
En documentos Office, PDF, imágenes, videos y audio pueden quedar creador, nombre de empresa, información de ubicación, historial de edición y comentarios. También desde el contenido del texto se puede inferir quién pudo acceder al material.
| Elemento de revisión | Razón |
|---|---|
| Información del creador | Quedan nombres personales u organizacionales |
| Nombre de archivo | Aparecen nombres de caso o de departamento |
| Historial de edición | Se ven las personas involucradas |
| Información específica en el texto | Se puede deducir quién es la fuente |
| Alcance de personas con acceso | Se reduce el grupo de posibles personas remitentes |
En una denuncia interna, el contenido en sí puede convertirse en la pista más fuerte.
Aunque elimines metadatos, si pocas personas podían ver el material, el grupo de posibles personas remitentes se reduce.
Prepara el entorno antes de acceder
Al usar SecureDrop, el entorno desde el que accedes también es importante.
Acceder desde una red del trabajo o de la escuela, desde un dispositivo proporcionado por la organización o desde un dispositivo vigilado es peligroso. Pueden intervenir logs internos de la organización, gestión de dispositivos, cámaras de vigilancia, registros de entrada y salida e historial de impresión.
| Qué revisar | Razón |
|---|---|
| Si no estás usando un dispositivo proporcionado | Quedan logs de administración |
| Si no estás usando una red de la organización | Quedan registros de conexión |
| Si no queda historial de acceso al material | Se reduce el grupo de posibles personas remitentes |
| Si no hay registros de movimiento en el mundo físico | Se vinculan con cámaras o registros de pago |
| Si decidiste cómo revisar después del envío | Para no llamar la atención accediendo muchas veces |
En casos de alto riesgo, no decidas solo con este artículo.
Si existe riesgo legal o peligro físico, es necesario consultar con un abogado o con un apoyo confiable.
Decide de antemano la conducta después del envío
Cuando usas SecureDrop, la conducta posterior al envío también se relaciona con el anonimato.
Revisar muchas veces, buscar noticias relacionadas en el trabajo, sondear a colegas, reaccionar desde redes sociales con nombre real. Estas acciones pueden convertirse en pistas más peligrosas que las previas al envío.
| Conducta posterior al envío | Riesgo | Alternativa |
|---|---|---|
| Revisar con frecuencia | Aparecen patrones de horarios de comunicación | Decidir la frecuencia de revisión |
| Buscar en el trabajo | Queda en logs internos de la organización | Revisar en un entorno seguro |
| Hablar con personas relacionadas | Aumenta el grupo de posibles fuentes | Limitarlo a los contactos de consulta necesarios |
| Reaccionar en redes sociales con nombre real | Aparece correlación con la persona | No reaccionar |
| Enviar materiales adicionales | Aumentan los riesgos de metadatos y contenido | Volver a revisar antes de añadir |
La entrega de información no termina en el momento del envío.
Piensa en antes, durante y después del envío como una sola operación.
También hay opciones distintas de SecureDrop
SecureDrop no es la única forma de entregar información.
Según el medio de comunicación, puede haber Signal, correo postal, formularios dedicados, consulta presencial u otro sistema de envío anónimo. Qué método conviene depende de la naturaleza del material, el riesgo, el destino y la situación legal.
| Método | Precaución |
|---|---|
| SecureDrop | Confirmar que es el canal oficial, usar Tor y revisar los materiales |
| Signal | Ver cómo se manejan el número de teléfono y los contactos |
| Correo electrónico | Quedan encabezados e información del remitente |
| Correo postal | Considerar cámaras de vigilancia, matasellos, huellas dactilares y registros de compra |
| Consulta presencial | Considerar registros de movimiento y acompañantes |
En entregas de información de alto riesgo, elige no solo un "método que permite enviar", sino un "método que permite manejarlo con seguridad".
Lee la guía oficial del destino y, si tienes dudas, consulta con especialistas o apoyos confiables.
Protege no solo a ti, sino también a las fuentes
En situaciones donde se usa SecureDrop, hay que proteger no solo a la propia persona, sino también a quienes están relacionados con los materiales.
A partir del contenido de los materiales puede inferirse quién pudo acceder, quién asistió a una reunión, quién los creó o quién estaba en posición de enviarlos.
| Información que mirar | Riesgo |
|---|---|
| Permisos de visualización del material | Se reduce el grupo de posibles personas remitentes |
| Nombre del creador | Las personas involucradas se ven directamente |
| Historial de edición | Se sabe quién participó |
| Cronología | Se compara con logs de acceso |
| Rareza del contenido | Las personas que lo conocen son limitadas |
En la entrega de información, no solo la ruta de comunicación, sino también la inferencia desde el contenido, es extremadamente importante.
Antes del envío, ordena cuántas personas podían ver el material, en qué momento se tocó el material y en qué lugares pudo guardarse.
Esa organización en sí misma también se convierte en información confidencial, así que ten cuidado de no guardarla en una nube con nombre real ni en un dispositivo del trabajo.
SecureDrop ayuda con la ruta de envío, pero la seguridad del contenido enviado debe revisarse aparte.
Resumen
SecureDrop es un mecanismo importante para conectar con más seguridad a fuentes y medios de comunicación u organizaciones similares.
Sin embargo, usar SecureDrop no hace que todo sea seguro automáticamente.
Importan la fiabilidad del destino, los metadatos de archivos, la inferencia desde el contenido, el entorno de acceso, los logs internos de la organización y los registros del mundo físico.
Antes de usarlo, revisa la guía oficial, revisa los materiales y ordena qué conductas podrían llevar a identificarte a ti o a personas relacionadas.
En entregas de información de alto riesgo, es importante no decidir demasiado en soledad.
Herramientas relacionadas
Tor Project
Recurso externo relacionado con este artículo. Ábrelo solo si encaja con tu situación y tu modelo de amenaza.
Por qué aparece aquí: Puede ayudar con el tema del artículo, pero está fuera de Anonymity Sense y conviene revisarlo antes de usarlo.
ExifTool
Recurso externo relacionado con este artículo. Ábrelo solo si encaja con tu situación y tu modelo de amenaza.
Por qué aparece aquí: Puede ayudar con el tema del artículo, pero está fuera de Anonymity Sense y conviene revisarlo antes de usarlo.
URL : https://exiftool.org/
SecureDrop
Recurso externo relacionado con este artículo. Ábrelo solo si encaja con tu situación y tu modelo de amenaza.
Por qué aparece aquí: Puede ayudar con el tema del artículo, pero está fuera de Anonymity Sense y conviene revisarlo antes de usarlo.
URL : https://securedrop.org/
GlobaLeaks
Recurso externo relacionado con este artículo. Ábrelo solo si encaja con tu situación y tu modelo de amenaza.
Por qué aparece aquí: Puede ayudar con el tema del artículo, pero está fuera de Anonymity Sense y conviene revisarlo antes de usarlo.
URL : https://globaleaks.org/