Durante años, los periodistas aprendieron que una contraseña robusta era suficiente para proteger sus cuentas. Hoy ya no lo es. Las campañas de phishing se han vuelto tan sofisticadas que incluso periodistas experimentados pueden caer en un engaño cuidadosamente diseñado. Por eso, la mejor práctica actual para proteger cuentas críticas consiste en combinar una buena contraseña con una llave física de seguridad, como una YubiKey.
Una llave de seguridad es un pequeño dispositivo USB, USB-C o NFC que funciona como un segundo factor de autenticación (2FA). En lugar de recibir un código por mensaje de texto o abrir una aplicación autenticadora, basta con conectar la llave a la computadora —o acercarla al teléfono, si cuenta con tecnología NFC— y tocar un botón para confirmar la identidad del usuario.
La diferencia puede parecer pequeña, pero desde el punto de vista de la seguridad es enorme.
Los ataques de phishing buscan engañar a la víctima para que entregue voluntariamente su contraseña y su código de autenticación. Sin embargo, las llaves compatibles con el estándar FIDO2 verifican automáticamente que el sitio web donde se realiza el inicio de sesión sea el auténtico. Si un periodista introduce sus credenciales en una página falsa que imita a Gmail o Microsoft 365, la llave simplemente se negará a autenticar la sesión. Es una barrera diseñada precisamente para detener el tipo de ataques más frecuentes contra periodistas, defensores de derechos humanos y organizaciones de la sociedad civil.
La eficacia de esta tecnología quedó demostrada por Google. Después de sufrir múltiples campañas de phishing dirigidas contra sus empleados, la empresa decidió exigir el uso de llaves físicas de seguridad para acceder a las cuentas corporativas. El resultado fue contundente: desde su implementación, Google informó que no volvió a registrar ningún secuestro exitoso de cuentas de empleados mediante phishing. Ese éxito llevó posteriormente a la creación del programa Advanced Protection, diseñado específicamente para periodistas, activistas, funcionarios públicos y otras personas con alto riesgo de ser blanco de ataques dirigidos.
Para un periodista de investigación, una llave de seguridad protege mucho más que una cuenta de correo electrónico. También protege años de conversaciones con fuentes, documentos confidenciales almacenados en la nube, calendarios, contactos, fotografías, grabaciones y borradores de investigaciones que aún no han sido publicados.
Implementar una llave física tampoco requiere grandes conocimientos técnicos.
El primer paso consiste en adquirir una llave compatible con el estándar FIDO2, como las fabricadas por Yubico u otros fabricantes certificados. Después debe registrarse en las cuentas más importantes: correo electrónico, administrador de contraseñas, almacenamiento en la nube y cualquier servicio que permita autenticación mediante llaves de seguridad.
Es recomendable registrar al menos dos llaves: una para el uso diario y otra de respaldo, almacenada en un lugar seguro. Si la llave principal se pierde, se rompe o es robada, la segunda permitirá recuperar el acceso sin depender de procedimientos de emergencia.
También conviene conservar los códigos de recuperación que ofrecen servicios como Google, Microsoft o Proton. Esos códigos pueden ser la única vía de acceso si se pierden simultáneamente el teléfono y las llaves de seguridad.
Una duda frecuente es si las llaves pueden ser hackeadas.
Hasta ahora, los ataques exitosos contra este tipo de dispositivos han requerido condiciones muy específicas, como el acceso físico prolongado al dispositivo y equipamiento altamente especializado. Para la enorme mayoría de periodistas, el riesgo de un ataque de ese tipo es infinitamente menor que el de ser víctima de un correo electrónico fraudulento o de reutilizar una contraseña comprometida.
Las llaves de seguridad tampoco sustituyen las buenas prácticas básicas. Siguen siendo indispensables utilizar contraseñas únicas para cada servicio, mantener actualizado el sistema operativo, emplear un administrador de contraseñas y desconfiar de enlaces enviados por correo electrónico o mensajería instantánea.
Sin embargo, cuando se trata de proteger investigaciones sensibles, pocas inversiones ofrecen una relación costo-beneficio tan favorable como una llave física. Su precio suele ser muy inferior al valor del tiempo invertido en una sola investigación periodística y, sobre todo, al costo que tendría perder el acceso a una cuenta comprometida o exponer la identidad de una fuente confidencial.
En un contexto donde los ataques digitales contra periodistas son cada vez más frecuentes, una llave de seguridad deja de ser un accesorio tecnológico para convertirse en una herramienta profesional. Así como un reportero protege su libreta de apuntes, verifica la identidad de sus fuentes o cifra sus comunicaciones, también debe proteger el acceso a sus cuentas. En el periodismo de hoy, tocar una pequeña llave antes de iniciar sesión puede ser la diferencia entre publicar una investigación de alto impacto o perderla por completo.




Leave a Reply