El Internet de las cosas (IoT por sus siglas en inglés) representa muchos tipos de amenazas para los periodistas —en casa, en la oficina y en el campo—. Para ayudarnos a comprender estos riesgos, una investigadora de seguridad cibernética los divide en varias categorías con ejemplos de la vida real.
“Y allá lejos, mientras Frodo se ponía el Anillo […] El Señor Oscuro comprendió de pronto que Frodo estaba allí, y el Ojo, capaz de penetrar en todas las sombras, escrutó a través de la llanura hasta la puerta que él había construido […] y todos los ardides del enemigo quedaron por fin al desnudo.” — J.R.R. Tolkien, El retorno del rey.
“Por la presente, cedes a Ring y a sus licenciatarios un derecho ilimitado, irrevocable, libre de cuotas y de regalías, perpetuo y a nivel mundial a usar, distribuir, almacenar, eliminar, traducir, copiar, modificar, exponer y crear obras derivadas de dicho contenido que compartas a través de los cervicios.” — Amazon Ring, Términos de servicio (a 5 de octubre de 2022).
Existen muchas investigaciones que demuestran que los periodistas tienen una formación inadecuada, apoyo insuficiente y una incalculable cantidad de enemigos que buscan dañarlos. La mayoría de las guías de seguridad cibernética para periodistas se enfocan en dispositivos antiguos: laptops, tabletas y teléfonos. Aunque las amenazas relacionadas con estos aparatos siguen vigentes (el software espía, por ejemplo, aún preocupa mucho), es importante reconocer y enfrentar la invasión de nuevas tecnologías a nuestro alrededor, como los dispositivos Alexa de Amazon y las bombillas de luz inteligentes.
En un artículo anterior para The Journalist’s Resource, escribí sobre el creciente número de consumidores de dispositivos del “Internet de las cosas” en espacios públicos y privados y sobre el riesgo que esto representa para la seguridad de los periodistas. En ese texto, se categorizan estas amenazas a periodistas que son generadas por el IoT, utilizando ejemplos de los peligros en cada categoría para describir sus posibles consecuencias. La información aquí presentada se basa en un ensayo que se publicará en el Springer’s Proceedings de la Conferencia internacional sobre seguridad cibernética, conocimiento de la situación y redes sociales. En lugar de ofrecer una lista demasiado técnica y exhaustiva sobre los peligros potenciales, este sistema es un primer paso para ejemplificar las amenazas nuevas y futuras. Está diseñado de manera atractiva para una audiencia con un enfoque narrativo como son los medios, para ayudarles a navegar la incertidumbre que envuelve los riesgos del IoT, como la amenaza a ser vigilados.
Mi objetivo es proporcionar a los periodistas una manera de comprender estas amenazas para comunicarlos con facilidad a sus fuentes y audiencias, así como también para incorporar el IoT a su evaluación de riesgos general. Mi sistema consta de seis categorías, incluyendo 19 tipos de peligros específicos de las IoT, que son relevantes para quienes trabajan en los medios. Dichas categorías son:
- Brechas en la regulación
- Amenazas legales
- Riesgo de ser perfilado
- Amenazas de rastreo
- Modificación de datos y dispositivos
- Peligro para dispositivos conectados a la red
Un tema clave que afecta a las seis categorías es que la mercantilización de la información que realiza la industria tecnológica altera el diseño de los dispositivos del IoT, de manera que la filtración de datos a menudo resulta una característica intencional, no un error. Por ejemplo, la aplicación del reloj inteligente de Strava tiene como objetivo facilitarte compartir tu perfil y rastrear tus sesiones de ejercicio, para que los usuarios puedan publicar cuánto ejercicio están realizando, así como dónde y cuándo entrenan. Pero esta función puede tener consecuencias no deseadas; por ejemplo, también ha permitido mapear bases militares secretas.
Algunas aplicaciones de los dispositivos del IoT solo le permiten a los usuarios utilizar al máximo su funcionalidad si acceden a una larga y turbia lista de términos y condiciones… y muchos requieren estar conectados a internet para funcionar. El IoT es peligroso porque una vez que accedes a interactuar con un dispositivo, no puedes escapar de sus compañeros; se llama el Internet de las cosas porque los aparatos forman ecosistemas enteros entre sí. Esto significa que las amenazas pueden solaparse unas con otras de manera intencional (si los agresores utilizan a propósito múltiples tipos de ataque) o involuntaria (porque los periodistas podrían mostrarse reacios a reportar problemas con el IoT debido a la hostilidad de las fuerzas policiales.).
Aun cuando estas amenazas pueden coincidir y agravarse las unas a las otras, es necesario clasificarlas y examinarlas por separado. Esto puede evitar que los periodistas se agobien y se paralicen a la hora de tomar decisiones debido a la impresionante cantidad y gravedad de las amenazas cibernéticas a su trabajo y su bienestar. Por lo tanto, este artículo detalla un tipo de peligro de cada una de las categorías antes mencionadas, para explorar los efectos e implicaciones que el IoT tiene para los medios.
Brechas en la regulación
Muchas de las amenazas relacionadas con el IoT tienen como raíz una regulación gubernamental inadecuada. Aunque los periodistas pueden intentar evitar estos dispositivos por completo, su presencia es cada vez más dominante.
Un ejemplo: no existe un requisito legal que obligue a los diseñadores y fabricantes del IoT a proteger su tecnología, así que cualquier dispositivo, por más pequeño o débil que sea, puede ser infectado con software malicioso (malware) y manejado con diferentes propósitos ilegales. Por ejemplo, muchos dispositivos de IoT mal protegidos pueden formar una red de bots. Estos suelen involucrarse en intentos para acceder a información más protegida mientras esconden la identidad del perpetrador, así como un sistema de reparto de malware que puede afectar drásticamente algunos servicios, como la capacidad de publicar noticias.
¿Por qué es importante? Las redes de bots también pueden usarse para lanzar campañas de intimidación a gran escala contra periodistas y para amplificar la desinformación, según reportó Brian Krebs en 2017, cuando los perfiles de Twitter que les pertenecían a él y a otros periodistas de investigación del medio ProPublica fueron acosados en línea por miles de cuentas similares.
Amenazas legales
Se ha documentado que las amenazas legales causan temor a muchos periodistas. Estas amenazas se refieren a cómo los datos o acciones del IoT pueden utilizarse en investigaciones policiales o para implicar a los periodistas en demandas.
Por ejemplo: Los ataques criminales a las organizaciones periodísticas suelen tener dos efectos: primero, los medios deben mitigar el daño del ataque en sí y, después, lidiar con las repercusiones que añaden más presión legal y financiera. El primer impacto podría incluir verse afectados por ransomware (un malware que secuestra el sistema de una organización mediática encriptando sus archivos o bloqueando el sitio web), como fue el caso del gigante mediático portugués, Impresa. En segundo lugar, el costo de un ataque digital puede ser devastador, más las multas cibernéticas que surgen tras un incidente.
¿Por qué es importante? Estas consecuencias secundarias pueden entorpecer la capacidad de una organización mediática para enfocarse en las noticias y financiar sus reportajes. Incluso si sobreviven al ataque cibernético, las organizaciones podrían verse estranguladas por las multas regulatorias, costes de inversión y pagos de compensación, lo que ocasiona despidos de personal y afecta a sus noticias.
Riesgo de ser perfilado
Uno de los peligros más perturbadores asociados con el IoT es la elaboración de perfiles: crear un esquema detallado de la vida y personalidad de un periodista. Esto incluye llevar un registro de su comportamiento, la gente a su alrededor (amigos, familia y colegas), los lugares que visita, sus hábitos e incluso información médica.
Por ejemplo: Incluso cuando parece que no nos están escuchando, los dispositivos IoT podrían estar espiándonos. Los registros de los aparatos smart home pueden desvelar las rutinas de sus residentes. O existen muchas maneras en las que dispositivos IoT comunes suelen ser usados para reconocer los patrones de tecleo y reconstruir qué se escribió, aunque se haya enviado por canales protegidos.
¿Por qué es importante? Alguien malintencionado podría espiar a un periodista para enterarse sobre alguna historia en la que está trabajando… y podría usar su información personal para extorsionarlo y forzarlo a no publicarla.
Amenazas de rastreo
Muchos de los datos generados e interpretados por el IoT permiten que los dispositivos (y sus usuarios) sean localizados por cualquiera que logre acceder legal o ilegalmente a su información geográfica, lo cual puede incluir a hackers contratados por gobiernos extranjeros o a agentes gubernamentales domésticos. Los patrones de movimiento rastreados por medio de la tecnología con frecuencia se venden o comparten a terceros, incluyendo a compañías privadas.
Por ejemplo: Los análisis de redes sociales realizados por la policía pueden compararse con la información de los dispositivos IoT. La policía, por ejemplo, tiene la posibilidad de acceder al video grabado por los timbres con cámara y convertirlos en una extensión de la red de vigilancia estatal.
¿Por qué es importante? El miedo a ser identificado y a las represalias podría causar que tanto los periodistas como sus fuentes se autocensuren durante una investigación. Esto es aún más probable si los dispositivos ofrecen evidencia que identifique a individuos bajo sospecha de haber atendido a protestas y que se encuentran en riesgo de ser atacados por el gobierno, como los activistas del movimiento Black Lives Matter.
Modificación de dispositivos e información
Los periodistas dependen de su reputación como una fuente de información verídica. Cualquier desacreditación individual puede tener ramificaciones en la confianza del público. Si se alteraran sus datos, ya sea información publicada o detalles en sus historias, por medio de los dispositivos IoT, esto podría debilitar la credibilidad de un periodista y ponerlos en peligro a ellos y a sus fuentes.
Por ejemplo: Algunos dispositivos IoT —incluyendo algunos refrigeradores inteligentes — pueden acceder a las redes sociales y correos electrónicos de sus usuarios.
¿Por qué es importante? Estos dispositivos desprotegidos pueden ser intervenidos para plantar historias o conversaciones falsas atribuidas a los periodistas. Esto dañaría su credibilidad y seguridad laboral.
Peligro para dispositivos conectados a la red
Según han señalado las agencias de inteligencia, la interconexión del IoT significa que hackear un dispositivo puede permitir a un adversario poner en peligro una red entera o bloquear un sitio web. De hecho, esto le pasó al proveedor de The Guardian en 2016, debido a un ataque de Denegación de Servicio Distribuido (DDoS por sus siglas en inglés).
Por ejemplo: Un periodista podría depender de un dispositivo (o una red que incluya un aparato IoT desprotegido) para trabajar, como un dron equipado con una cámara utilizado por fotoperiodistas y camarógrafos.
¿Por qué es importante? Si alguien bloquea un dispositivo para que su usuario no lo utilice, el periodista en cuestión podría verse en riesgo de ser extorsionado. En algunos casos, se expone a que le pidan dinero a cambio de recuperar el acceso al aparato. La técnica de bloqueo de acceso al internet se utiliza para reforzar el trato agresivo a periodistas. Los ataques inesperados que limitan las funciones resultan dañinos a nivel físico, psicológico y financiero; por ejemplo, si se usa para intervenir un vehículo.
¿Cuáles son los siguientes pasos?
En la actualidad, estoy trabajando en un instructivo dividido en varias partes, que ayudará a los integrantes de la prensa a determinar qué amenazas del IoT son más relevantes para ellos. Este recurso también ayudará a los periodistas a definir cuáles son las medidas que pueden tomar, según sus circunstancias, para seguir trabajando de manera segura. Este instructivo revela qué medidas de protección y mitigación considero que deben tomar las organizaciones y la industria.
Los peligros detallados en este artículo y el que publiqué en Journalist’s Resource se combinan y aumentan las consecuencias a nivel personal y profesional de sus víctimas. Las organizaciones mediáticas deben aprender sobre las amenazas del IoT y trabajar en conjunto para combatirlas, ya que nadie puede deshacerse de ellas por sí solo. Las instituciones, los grupos civiles, los freelancers… cada una de las personas involucradas en los medios debe priorizar compartir información sobre estas amenazas e incorporar el IoT en sus rutinas de seguridad y evaluaciones de riesgo.
Me entusiasma conocer a más personas interesadas en los nuevos riesgos tecnológicos y legales a los que se enfrentan los periodistas, y escuchar qué opinan los lectores sobre los temas que se discuten en este artículo, incluyendo sus experiencias con este tipo de amenazas. Pueden contactarme en anjuli.shere@new.ox.ac.uk o encontrarme en Twitter como @AnjuliRKShere.
Este artículo sobre el Internet de las cosas —objetos con sensores y otros tipos de tecnología que se conectan e intercambian información con otros dispositivos y sistemas en línea— se publicó en The Journalist’s Resource y se reproduce aquí con permiso.
Recursos adicionales
Centro de recursos de GIJN: Seguridad digital
E-book para periodistas: mantenerse a salvo cubriendo América Latina y el Caribe
Argentina: Inteligencia artificial en el periodismo de La Nación
Anjuli Shere es analista, escritora e investigadora. Trabaja como becaria de investigación en el Shorenstein Center on Media, Politics and Public Policy de Harvard Kennedy School, al tiempo que se doctora en seguridad cibernética con la Universidad de Oxford. La investigación de Shere se centra en las amenazas emergentes a periodistas causadas por la tecnología conectada a internet.