Modelo de amenazas para proteger a una fuente
En la protección de fuentes, primero se construye un modelo de amenazas.
Un modelo de amenazas es una forma de ordenar "de quién, qué y hasta qué punto se quiere proteger".
El riesgo cambia si la fuente es empleada de una empresa, funcionaria, activista o denunciante interna. Las medidas necesarias también cambian si la otra parte es una persona que acosa, un departamento de investigación corporativo o una institución estatal.
Si se eligen herramientas sin modelo de amenazas, se puede proteger el lugar equivocado.
De quién se protege
Primero se piensa en quién intentará identificar a la fuente.
Según la otra parte, cambian la información visible, los medios disponibles y la capacidad de investigación.
| Actor | Qué puede hacer |
|---|---|
| Superiores o colegas del trabajo | Inferir a partir de registros laborales, información del departamento y quién sabía qué |
| Empresa u organización | Revisar logs de acceso, historial de visualización de materiales y realizar investigaciones internas |
| Parte en litigio | Solicitar revelación de registros, presionar a personas relacionadas y reunir pruebas |
| Institución estatal | Revisar registros de comunicación, incautar dispositivos y realizar investigaciones amplias |
| Atacantes en Internet | Recopilar historial de publicaciones, redes sociales, imágenes e información pública |
No se puede vencer a todas las partes con la misma medida.
Definir primero amenazas realistas ayuda a evitar medidas excesivas y medidas insuficientes.
Qué se protege
Después se separan los objetivos de protección.
No basta con proteger "el nombre de la fuente". También hay que proteger el hecho del contacto, el hecho de haber tocado materiales, haber estado en un departamento concreto, el lugar de captura, el estilo de escritura y la hora.
| Objetivo a proteger | Ejemplos concretos |
|---|---|
| Identidad | Nombre, rostro, afiliación, contacto |
| Hecho del contacto | Cuándo y con quién se comunicó |
| Origen de los materiales | Creador, persona que los vio, permisos de acceso |
| Hora de la acción | Hora de envío, hora de captura, hora de inicio de sesión |
| Rasgos en el artículo | Circunstancias internas, expresiones peculiares, posición |
Una fuente puede quedar bajo sospecha aunque no aparezca su nombre.
Si "solo unas pocas personas podían ver este material", el tipo de material en sí se convierte en una pista fuerte.
Por qué ruta se filtra
Las rutas de filtración son múltiples.
Comunicación, archivos, contenido del artículo, compartición interna de la redacción y reacción posterior a la publicación. Desde cualquiera de ellas se puede acercar alguien a la fuente.
| Ruta | Información que se filtra |
|---|---|
| Medio de contacto | Correo, DM, historial de llamadas, IP, hora |
| Archivo | Metadatos, creador, historial de edición, información de captura |
| Nube | Propietario, logs de visualización, historial de compartición, comentarios |
| Texto del artículo | Departamento, cronología, contenido del testimonio, circunstancias internas |
| Después de publicar | Quién reaccionó, quién guardó silencio, investigación interna |
Las medidas se piensan por cada ruta de filtración.
Aunque se use o SecureDrop, no sirve de mucho si el texto del artículo revela la fuente.
Un malentendido común aquí es creer que basta con proteger la ruta de comunicación para proteger a la fuente.
Un medio de contacto seguro es importante. Pero el medio de contacto es solo una parte de la protección de fuentes.
Por ejemplo, aunque una fuente envíe materiales desde un formulario anónimo, si dentro de los materiales quedan el nombre del creador, el departamento, el historial de edición o una marca de agua de distribución, el origen se estrecha.
Si el artículo dice "según una persona que participó en esta reunión", dentro de la organización puede reducirse el grupo de candidatos a partir de la lista de participantes.
| Lugar que se cree protegido | Peligro que permanece |
|---|---|
| Formulario anónimo | Se revela por los metadatos o el contenido del material enviado |
| Mensaje cifrado | Quedan notificaciones del dispositivo, hora de contacto y logs del lado de la otra parte |
| Correo con seudónimo | Se revela por el estilo de escritura, archivos adjuntos y entorno de creación |
| Mención anónima en el artículo | Los candidatos se reducen por el contenido del testimonio o la posición |
En la protección de fuentes, hay que mirar en conjunto la ruta de contacto, los materiales, el texto y la reacción posterior a la publicación.
Separar la intensidad del riesgo
No todas las investigaciones necesitan medidas con la misma intensidad.
Un tema local ligero no tiene el mismo riesgo que crimen organizado, corrupción, seguridad nacional o denuncias internas.
| Riesgo | Situación | Forma de pensar necesaria |
|---|---|---|
| Bajo | Investigación basada en información pública | Revisión básica y consentimiento |
| Medio | Testimonio con solicitud de anonimato | Gestión de ruta de contacto, citas e información de atributos |
| Alto | Materiales internos o denuncia de irregularidades | Ruta dedicada, gestión de materiales, prevención de inferencia desde el artículo |
| Muy alto | Participan un Estado u organización fuerte | Asesoramiento especializado, separación de entornos, decisión de publicación cuidadosa |
En investigaciones de alto riesgo, también es importante no avanzar por decisión propia.
Hace falta una estructura para consultar con la redacción, especialistas, asesoría legal y responsables de seguridad.
Qué decidir antes de investigar
El modelo de amenazas se crea antes de la investigación, no después.
Una vez que se contacta por correo de nombre real o DM de redes sociales, ese rastro no puede borrarse después. Si se suben materiales a la nube habitual, quedan logs e historial de compartición.
| Qué decidir antes de investigar | Razón |
|---|---|
| Medio de contacto | El primer contacto suele dejar el rastro más fuerte |
| Forma de recibir materiales | Gestionar metadatos e historial de compartición |
| Lugar de almacenamiento | Limitar el alcance de acceso dentro de la redacción |
| Tratamiento de citas | Evitar que el testigo pueda inferirse hacia atrás |
| Momento de publicación | Evitar correlación con investigaciones internas |
Antes de decir a una fuente "envíelo por ahora", se decide cómo recibirlo.
Qué pensar al convertirlo en artículo
El trabajo de proteger a una fuente no termina al recibir la información.
En la fase de escritura se decide hasta qué punto conservar detalles que señalan a la fuente. Se separa la información necesaria para el lector de la información que pone en peligro a la fuente.
Por ejemplo, para explicar el contenido de una denuncia interna, puede ser necesario decir "institución sanitaria", "gobierno local" o "empresa logística". Pero no siempre es necesario dar el nombre concreto de la sucursal, la fecha de la reunión, el cargo, el número de personas o nombres internos que solo se usan dentro de la organización.
| Información en el artículo | Qué revisar |
|---|---|
| Cargo o departamento | Si los candidatos quedan reducidos a unas pocas personas |
| Fecha u hora | Si puede cotejarse con logs de acceso o actas de reunión |
| Apariencia del material | Si se ven marcas de agua o versiones distintas por destinatario |
| Texto citado | Si quedan expresiones propias de la persona |
| Momento de publicación | Si coincide demasiado con investigaciones o hechos internos |
Al difuminar información para proteger a una fuente, a veces baja la fuerza persuasiva del artículo. En ese caso, se trata como una decisión editorial sobre qué conservar y qué quitar.
No basta con escribir "bajo condición de anonimato". Hay que preparar el texto de forma que lectores y personas relacionadas no puedan inferir quién es esa persona anónima.
Explicar también a la fuente
La protección de fuentes no se completa solo con periodistas y redacción.
Si la propia fuente usa un método de contacto peligroso, reacciona en redes sociales después de la publicación o se lo cuenta a personas cercanas, la protección se debilita. Por eso, en investigaciones de alto riesgo se explican también a la fuente las precauciones mínimas.
| Qué explicar | Razón |
|---|---|
| Evitar dispositivos habituales y redes laborales | Quedan en logs internos o administración del dispositivo |
| No enviar materiales tal cual | Quedan metadatos o marcas de agua |
| No reaccionar demasiado después de publicar | Puede ser sospechada como persona relacionada |
| No contarlo alrededor | La información puede expandirse desde la persona consultada |
| No cambiar la ruta de contacto | Al salir de la ruta segura aumentan los rastros |
Para proteger a una fuente, hay que compartir qué acciones de la otra parte son peligrosas.
Resumen
Para proteger a una fuente hace falta un modelo de amenazas.
Se ordena de quién se protege, qué se protege, por qué ruta se filtra y cuál es el nivel de riesgo.
La fuente puede quedar bajo sospecha aunque no aparezca su nombre.
La hora de contacto, el tipo de material, los detalles dentro del artículo y el momento de publicación pueden reducir el grupo de candidatos.
Antes de elegir herramientas, definir la otra parte y la información que deben protegerse es el punto de partida de la protección de fuentes.
Herramientas relacionadas
SecureDrop
Recurso externo relacionado con este artículo. Ábrelo solo si encaja con tu situación y tu modelo de amenaza.
Por qué aparece aquí: Puede ayudar con el tema del artículo, pero está fuera de Anonymity Sense y conviene revisarlo antes de usarlo.
URL : https://securedrop.org/
GlobaLeaks
Recurso externo relacionado con este artículo. Ábrelo solo si encaja con tu situación y tu modelo de amenaza.
Por qué aparece aquí: Puede ayudar con el tema del artículo, pero está fuera de Anonymity Sense y conviene revisarlo antes de usarlo.
URL : https://globaleaks.org/