Escucha este artículo
Audio generado con IA de Google
0:00
/
0:00
Se dedica al periodismo y se entera de que la página web de una organización está siendo atacada o que hay una filtración de datos sensibles, es decir conoce de un incidente de seguridad digital… ¿Qué hace? Es una noticia, puede ser una chiva, sin embargo, aunque un incidente es un hecho de interés general, contarlo debe servir para fortalecer los mecanismos de a la información evitando la afectación de la privacidad o que se convierta en un vector de miedo o de propagación de desinformación.
Porque se puede caer fácilmente en un mal periodismo a la hora de reportar incidentes, quiero hablar de la "Guía de divulgación de incidentes de seguridad digita, para periodistas" que publicó el año pasadoel Laboratorio de Seguridad Digital y Privacidad (K+Lab) de Karisma, con el que estoy vinculada. Como más vale tarde que nunca, lean esa guía con recomendaciones prácticas y estrategias para navegar, gestionar y comunicar incidentes de seguridad digital de manera efectiva y responsable.
En primer lugar los incidentes son eventos de seguridad digital no deseados o no esperados, que tienen una probabilidad significativa de comprometer las actividades y de amenazar la seguridad de la información en su disponibilidad, su integridad o su confidencialidad. La guía para periodistas los clasifica en ocho categorias que explican con ejemplos reales.
La guía recuerda que antes de informar sobre incidentes deben considerar que éstos son altamente contextuales, que pueden tener orígenes diversos, motivaciones muy distintas, que muchas veces no es posible determinar quién lo hizo, y que tanto investigarlos como divulgarlos, supone riesgos jurídicos a considerar.
Las recomendaciones para periodistas las clasifica en tres tipos de incidentes porque aborda diferentes aspectos diferenciales.
1. Cuando hay una fuga de información sensible de la ciudadanía, porque el impacto más importante es sobre las personas titulares de esos datos. En primer lugar, hacer la reportería para investigar una fuga de datos supone riesgos legales, porque el tipo de acciones que pueden tener que realizar podría estar dentro de las que sancionan las leyes penales en materia de ciberdelitos. Ahora bien en relación con las personas titulares de la información que se compromete, hay un llamado a verificar muy bien que la entidad responsable sepa del incidente, a darle tiempo de repararlo y a no reportar todos los detalles, porque si esto no se hace bien se puede generar efectos no deseados sobre las personas, más allá de la entidad que sufrió el incidente.
2. Cuando los incidentes afectan el , modificación o disponibilidad de un sistema, entonces el énfasis está en evitar la desinformación porque no siempre es fácil llegar a la certeza sobre lo que ocurrió y quién es responsable. Por eso es muy importante en primer lugar tomarse el tiempo para consultar varias fuentes y contrastar información; recordar que las víctimas de un incidente están bajo mucha presión por lo que la actividad periodística se puede beneficiar de un enfoque humano que evite atribuir culpas y señalar responsabilidades -recordando siempre que no hay un sistema que sea cien por ciento seguro o libre de fallo-; finalmente, no es un tema sencillo, asi que la noticia debe ser clara, incluir definiciones, explicar con ejemplos y dar contexto.
3. Por último, en el caso de filtraciones el eje está en la información a la que tiene la persona periodista. En este caso las recomendaciones recuerdan de nuevo los riesgos jurídicos de esta actividad y ofrecen consejos sobre el manejo de la información que es filtrada y sobre el cuidado respecto a los datos de terceros que pueden estar allí.
En suma, hay cinco recomendaciones generales que me parecen centrales para abordar la divulgación de incidentes desde el periodismo: (i) verificar la información antes de publicar, para asegurarse de su veracidad y alcance; (ii) consultar con la entidad afectada para que, de ser el caso, tome medidas correctivas y brinde su versión; (iii) tener en el centro a las personas y use un enfoque humano, evite divulgar detalles que puedan facilitar ataques adicionales o comprometer la privacidad de las personas y recuerde que el incidente lo están gestionando personas que están bajo mucha presión; (iv) el contexto importa, ofrezca información que ayude al público a entender la relevancia y posibles consecuencias del incidente; (v) usar fuentes confiables: apoyarse en información obtenida de manera ética y legal, respetando el secreto profesional y la confidencialidad de las fuentes.
Atender, aprender y hablar de esto es importante, porque como lo señala la guía, una comunicación adecuada sobre estos incidentes puede fortalecer la seguridad digital colectiva, generar conciencia sobre amenazas y fomentar respuestas coordinadas dentro del ecosistema de la seguridad digital. En la medida en que será algo más frecuente en nuestras vidas seguramente será un tema que adquirirá mayor relevancia.
