Este artículo forma parte del libro,"Periodismo Innovador en América Latina", publicado por el Centro Knight para el Periodismo en las América, con el apoyo del Programa Periodismo Independiente de Open Society.
Por Jorge Luis Sierra, ICFJ Knight Fellow
¿Está preocupado por posibles ataques cibernéticos? ¿Se cayó recientemente su publicación de noticias en línea? ¿Hay hackers malintencionados que están infectando su sitio web e introduciendo anuncios no deseados?
Casi todos los medios confían en internet y tienen presencia en línea, pero al mismo tiempo hay gobiernos corruptos, empresas privadas, servicios de inteligencia abusivos e incluso, a veces, organizaciones criminales que están atacando a las publicaciones en línea independientes. Un ataque exitoso podría significar no solo un fuerte dolor de cabeza para los periodistas, sino también el riesgo de tener que gastar mucho dinero, tiempo y recursos para recuperar un sitio web.
La protección de su publicación en línea no debería ser cara ni representar el final de su medio de comunicación. Pero es necesario tener en cuenta que el riesgo de un ataque cibernético no puede ser eliminado totalmente, sólo reducido.
Sin embargo, si usted es proactivo y toma medidas preventivas, puede reducir de manera significativa las posibilidades de que su media sea hackeado.
A continuación se presentan algunas sugerencias basadas en mi experiencia tras escuchar y aprender de mis colegas y ayudar a publicaciones de noticias en línea en todo el mundo:
• Proteja computadoras y dispositivos móviles con software antivirus y encriptación del disco duro.
• Mantenga siempre actualizados su software y sus aplicaciones.
• Proteja la seguridad física de su redacción y la ubicación de sus redes y servidores. Ahora es común que los piratas informáticos entren en oficinas y redacciones para robar computadoras y obtener acceso a sus plataformas, sus cuentas de correo electrónico y redes sociales.
• Como periodista, debe estar familiarizado con la información básica sobre herramientas de seguridad digital y los tipos de ataques cibernéticos. Puede obtener mucha información sobre este tema en los siguientes sitios web: Security in a Box, ISCProject tools, EFF’s Surveillance Self Defense, y la Salama security library, que creé durante una de mis becas con ICFJ Knight. También puede aprender acerca de los diez ataques cibernéticos más comunes en el sitio de OWASP.
• Evite el phishing (suplantación de identidad) y protéjase a sí mismo y a su equipo de la ingeniería social. Encontrará una guía sobre este tema aquí.
• No haga clic en enlaces o archivos inesperados, incluso si proceden de fuentes conocidas. Debería escanearlos con el software antivirus antes de abrirlos.
• Utilice el diceware para crear contraseñas de seis o siete palabras. Esta es la mejor manera de crear contraseñas que son difíciles de descifrar pero fáciles de recordar.
• Utilice la ayuda ad honorem de Equalit.ie, una organización sin ánimo de lucro canadiense que creó la plataforma Deflect y ofrece gratis alojamiento y protección contra ataques de denegación de servicio. También puede optar por el proyecto Google Shield. Por supuesto, puede contratar servicios comerciales, pero Deflect y Google están bien preparados para comprender las necesidades de los medios en línea independientes.
• Aloje su sitio web en un servidor dedicado. He visto que muchos de mis colegas alojan sus publicaciones en línea en servidores compartidos con cientos o incluso miles de otros sitios web. Eso podría ser muy arriesgado y peligroso para su plataforma en línea, ya que comparte no sólo el servidor, sino también los riesgos.
• Compre un certificado de seguridad y una dirección única IP (Internet Protocol). Esto ayudará a la credibilidad de su sitio web y encriptará la comunicación entre los navegadores de sus usuarios con su servidor.
• Oculte su área de acceso y personalice su dirección de inicio de sesión. Muchos hackers explotan fácilmente las vulnerabilidades de los sitios web cuando estos muestran la URL tradicional de website.com/wp-admin para iniciar sesión.
• Quite la información sobre la versión de WordPress y el generador de etiqueta meta. Esto proporcionará una protección adicional contra los hackers.
• Evite las URL largas. Muchos hackers pueden explotar URLs largas para acceder a su directorio de archivos y llevar a cabo, por ejemplo, un ataque del tipo “desfiguración,” que cambia su página de inicio.
• No permita que los usuarios accedan a un directorio de archivos o a archivos como readme.html, readme.txt, wp-config.php, wp-includes y .htaccess. No necesitará tener acceso a esos archivos de forma regular. Es muy importante bloquear el acceso a ellos y cerrar las puertas a los piratas informáticos profesionales o aficionados.
• Haga una copia de seguridad de la base de datos de su sitio web todos los días. En el caso de un ataque cibernético exitoso, sería de gran ayuda tener una copia limpia de su base de datos para aumentar las posibilidades de deshacerse de la infección.
Los consejos mencionados son pasos sencillos que puede tomar para proteger su sitio web. La mayoría de ellos son sobre prevención y existe software libre y de código abierto disponible en internet.
En el caso de que su nivel de amenaza sea más alto de lo normal y usted enfrente amenazas inmediatas de gobiernos represivos, funcionarios corruptos o compañías privadas, quizás necesite poner a prueba su propio sitio web contra los diez ataques cibernéticos más comunes.
Las pruebas de penetración pueden ser un servicio caro, pero se puede recibir ayuda de proyectos que ofrecen pruebas de penetración gratuitas o a muy bajo coste. Organizaciones que ofrecen estas pruebas son el Information Safety and Capacity Project y el grupo Security Without Borders. Como fellow del ICFJ Knight, también he empezado a ofrecer este mismo servicio a través del Proyecto Salama.
Además, si desea ser más riguroso sobre la seguridad de la información, puede que tenga que proteger no sólo su sitio web, sino también la manera en que su medio gestiona la información. Una buena manera de conseguir un alto nivel de seguridad en su organización es estar en conformidad con las normas internacionales. Cuando se llegue a este nivel, sabrá sobre la ISO27000. Es un proceso que protege no sólo los dispositivos y la tecnología, sino también las prácticas humanas y el proceso de gestión de la información.
Otras guías en la serie incluyen:
Nota del editor: Esta historia fue publicada originalmente en el blog Periodismo en las Américas del Centro Knight, el predecesor de LatAm Journalism Review.
