Por Carolina Peredo
Los medios de comunicación y periodistas latinoamericanos están empezando a vivir en carne propia lo que hasta hace poco parecía ser una preocupación exclusiva de los medios estadounidenses, europeos o asiáticos: los ataques cibernéticos.
Este tipo de actividad criminal en línea, conocida como Denegación de Distribución de Servicio (DDoS por sus siglas en inglés), se presenta como la contra cara de los avances tecnológicos que suponen la maximización de la circulación de la información en línea.
La legislación contra el ciberdelito se encuentra atrasada y desmembrada en Latinoamérica, donde la falta de una cultura de seguridad informática o de recursos económicos de periodistas y empresas de medios facilita que los ataques sean exitosos a la hora de censurar.
Uno de los casos más recientes se dio en México, donde minutos después de haber publicado una investigación acerca de la presunta responsabilidad de Policías Federales en las ejecuciones extrajudiciales de varios jóvenes en Apatzingán, localidad del estado de Michoacán, el portal Aristegui Noticias quedó fuera de servicio durante horas, víctima de un ataque DDoS.
El Centro Knight para el Periodismo en las Américas consultó a Robert Guerra, un experto en seguridad cibernética y libertad en Internet, y a Luis Horacio Nájera, periodista mexicano experto en el tema, sobre las consecuencias de estos ataques para las empresas informativas.
“La principal consecuencia de un ataque cibernético en el contexto de América Latina es la reducción de espacios críticos que favorezcan el debate o la exposición de conductas irregulares y abusos del poder como la corrupción”, aseguró.
Guerra, fundador de Privaterra – una organización con sede en Canadá que asesora a empresas privadas y organizaciones no gubernamentales sobre la privacidad de datos – considera que “cualquier ataque, sea cibernético o físico, deteriora la libertad de expresión y de prensa en el país en donde ocurra”.
En el contexto de países como México, donde los trabajadores de prensa son víctima de asesinatos, secuestros extorsivos y amenazas, esta “guerra silenciosa” en la red se presenta como una nueva alarma a la hora de hablar de libertad de expresión y de prensa.
Los “apagones” momentáneos de los medios en línea afectan la circulación de la información, la legitimidad de la empresa y sus periodistas, y también golpean a nivel económico a las empresas periodísticas que basan sus ingresos en publicidad online.
“Los ataques casi siempre ocurren como consecuencia de alguna publicación que se hizo, es decir que son mas reactivos que proactivos”, explicó Guerra sobre el caso latinoamericano. “La libertad de prensa no solamente se vulnera cuando se mata a un periodista o se explota una televisora”.
De hecho, en el Informe Anual 2014 de la Relatoría Especial para la Libertad de Expresión de la Comisión Interamericana de Derechos Humanos (CIDH) se reportaron al menos cuatro casos de estos ataques a medios de comunicación en México.
“Con los cambios en la tecnología y en las maneras de hacer periodismo, los ataques cibernéticos se volverán más frecuentes porque atacan la legitimidad del periodista, además de afectar la publicación de noticias. Por eso, todos los ataques y amenazas deben de ser condenados con la misma intensidad”, agregó Guerra.
Además de una legislación clara, la región también carece de información sobre cómo y en dónde surgen estos ataques, así como de estadísticas sobre sus targets y consecuencias.
En el año 2000, una de las empresas especialistas en soluciones de seguridad digital, Arbor Networks, se unió a Google Ideas (usina de investigación y ejecución de soluciones de conflictos en la red) para crear un mapa de rastreo de los ataques digitales ocurridos en el mundo, en tiempo real. El objetivo fue generar una herramienta de identificación de estos ataques anónimos: su proveniencia, su target, duración y tipo de ataque y analizar sus tendencias.
Navegando el mapa puede verse que el pico de los ataques cibernéticos para América Latina fue diciembre de 2014.
“Es muy interesante ver que la mayoría de los ataques están concentrados en pocos países de la región y que se trata de reacciones derivadas de momentos específicos que se viven en el país”, señaló Guerra. “En el caso de Guatemala, una razón de los ataques puede ser que en ese momento se estaban discutiendo los resultados de la Comisión Internacional contra la Impunidad en Guatemala. En el caso de Perú puede haber influido que en Diciembre del 2014 se realizaron elecciones regionales en segunda vuelta”.
¿Qué es un ataque DDoS?
A nivel técnico, un ataque DDoS sucede cuando se envían millones de peticiones simultáneas a un mismo servidor para hacerlo colapsar. Se trata de una acción dirigida, deliberada y con el apoyo de cientos de equipos conectados que atacan de manera simultánea.
En entrevista con el Centro Knight, Héctor Jara, fundador y director de Enfinity, una empresa de servicios de ciberseguridad y gestión de la seguridad de la información panameña, explicó el concepto con una analogía.
“Imaginemos una autopista donde circulan unos pocos autos a altas velocidades y el tráfico es fluido. A medida que se agregan más y más autos, el ritmo de marcha aminora y el tráfico es cada vez menos fluido. Si continuamos agregando autos, va a llegar un punto en que la autopista estará saturada y no podrá responder a la demanda, con lo cual los autos quedarán detenidos. Lo mismo sucede con las conexiones a un sitio web. La cantidad de conexiones que puede responder son limitadas, con lo cual si se hacen más y más conexiones, en algún momento se saturará. Mientras más capacidad tenga la organización, esto es más difícil de lograr – pensemos en Google, Facebook, entre otras – pero el límite siempre existe”.
Jara también explicó cómo organizaciones delictivas utilizan otros tipos de ataques – por ejemplo el phishing – a través del cual infectan computadores de usuarios comunes. “A estas computadoras infectadas se les conoce como zombies, y pueden ser controladas y utilizadas por estas organizaciones para lanzar otros ataques, por ejemplo de DDoS. De hecho estas organizaciones arman redes de computadoras zombies (conocidas como botnets) que luego ‘alquilan’ para fines non-sanctos”.
El experto en ciberseguridad dice que además de los fines políticos y de censura de los ataques, otros ataques están relacionados con la protesta digital. Así por ejemplo, el llamado Hacktivismo es una nueva forma de esta protesta que está siendo cada vez más utilizada.
Uno de los ejemplos más recientes del uso de la tecnología como medio de protesta social fue durante la destitución del ex presidente de Paraguay Fernando Lugo cuando se lanzaron ataques contra los organismos públicos y uno de ellos dejó sin acceso al sitio oficial de la Presidencia.
Consultado sobre posibles paliativos frente a estos ataques, Jara explica que “si bien se puede diseñar una arquitectura de comunicaciones de forma tal que pueda protegerse de estos ataques – por ejemplo existen herramientas tecnológicas como los Web Application Firewalls y servicios como CloudFlare, que pueden mitigar el impacto y en algunos de los casos limitarlo completamente – por la naturaleza del ataque, si el interesado en lanzar el ataque tuviese la suficiente cantidad de recursos y tiempo, es probable que logre dejar un sitio fuera de operación”.
Si bien en Estados Unidos los ataques DDoS están considerados como crímenes y están tipificados en el código penal, esto no ha dado muestras de combatir la situación. La pregunta es entonces qué puede hacer la legislación en esta materia.
Los expertos coinciden en que la cooperación internacional es clave para combatir el ciberdelito. En 2014, México fue anfitrión del “Taller sobre legislación en materia de ciberdelincuencia en América Latina”, organizado para apoyar a los países de Latinoamérica en el desarrollo de su legislación en materia de ciberdelincuencia, de conformidad con los estándares internacionales propuestos en el llamado “Convenio de Budapest”.
Durante el encuentro se debatieron posibles reformas a la legislación penal de los países parte y reformas constitucionales en materia de telecomunicaciones. Mientras que Argentina, Chile, Colombia, Costa Rica, México, Paraguay y Perú han manifestado su interés en incorporarse al tratado, República Dominicana y Panamá ya completaron este proceso.
“La mayoría de las legislaciones regionales sobre seguridad informática se han creado de manera deficiente, y en muchos casos han sido motivadas por las crisis locales de seguridad pública”, dijo Guerra de Privaterra. “Así, desde su origen son leyes deficientes que en muchos casos buscan veladamente impactar en la sociedad civil mediante censura o criminalización de la actividad en redes sociales”.
Guerra dijo además que no es posible hablar de soluciones generales a nivel de América Latina, sino que “cada región tiene sus propias dinámicas y en complemento a las legislaciones se deben crear o fortalecer figuras de contrapeso jurídico para darle herramientas de protección a la sociedad civil. Esas herramientas deben de ser autónomas e independientes del gobierno”.
Por su parte Jara señaló que si bien las regulaciones deben establecer un marco jurídico que proteja la información y los datos personales, por la esencia misma del ejercicio periodístico, estos profesionales deben tomar medidas de protección de dichos datos.
“Debido a su trabajo, pueden ser un objetivo de las organizaciones criminales y muchas veces de los gobiernos. Si además poseen blogs o páginas personales, deberán velar por la seguridad de las mismas, ya que una página vulnerable también se convierte en un foco de ataque”, agregó Jara.
Nota del editor: Esta historia fue publicada originalmente en el blog Periodismo en las Américas del Centro Knight, el predecesor de LatAm Journalism Review.