Formação

Help Desk

Segurança digital e física: protegendo fontes confidenciais

Segurança digital e física: protegendo fontes confidenciais

Guia originalmente publicado no Committee to Protect Journalists (CPJ).

*Foto de capa: Mohammad Naweed, jornalista do oeste do Afeganistão, oculta sua identidade por razões de segurança ao dar uma entrevista à The Associated Press em Cabul, Afeganistão, em 3 de fevereiro de 2021. (AP Photo/Rahmat Gul)

A proteção de fontes confidenciais é a base de uma reportagem ética. Quando os jornalistas se comprometem a proteger a identidade de alguém, devem fazer todos os esforços para fazê-lo, especialmente em circunstâncias em que uma fonte possa ser presa ou prejudicada de alguma forma.

Manter o sigilo tornou-se mais problemático devido ao aumento dos níveis de vigilância e monitoramento digitais pelas autoridades e pelo público. Os jornalistas devem, portanto, considerar as seguintes orientações de segurança para ajudar a proteger a identidade de fontes confidenciais.

Esteja ciente, no entanto, de que os meios de comunicação podem ter uma política que exige que jornalistas compartilhem a identidade de uma fonte com seus editores. Em alguns países, as organizações de mídia também podem ter o direito legal de entregar as anotações ou equipamentos de um jornalista a um tribunal ou às autoridades, se forem considerados pertencentes ao meio de comunicação. Pesquise essas regras antes de assumir qualquer compromisso.

Note que esta é uma introdução geral escrita para um público global. Procure recomendações adicionais para questões e contextos específicos de cada país.

Conteúdo

  •  Planejamento
  •  Avaliação de risco versus recompensa
  •  Práticas recomendadas de segurança digital
  •  Pesquisando sua fonte
  •  Comunicação com as fontes
  •  Recebimento e gerenciamento de documentos
  •  Encontro com as fontes
  •  Anonimizando fontes
  •  Publicação de conteúdo
  •  Mantendo a confidencialidade

Planejamento

A preparação, antes de se envolver com fontes confidenciais pela primeira vez, é extremamente importante, assim como cooperação contínua, comunicação segura e confiança.

  • Nunca suponha que uma fonte está disposta a ser identificada. Sempre peça o consentimento.
  • Pesquise obrigações legais relacionadas ao trabalho com fontes confidenciais. Isso varia de acordo com o país e o empregador.
  • Tente descobrir se a fonte falou anteriormente com outros jornalistas ou se outros meios de comunicação podem estar tentando contatá-la.
  • Existe o risco de as fontes estarem sendo monitoradas ou estarem escondidas? Se já estiverem no radar das autoridades de ou outros protagonistas hostis, interagir com elas pode colocá-lo em perigo.
  • Estabeleça um método de verificação, como uma frase incomum ou uma pergunta a ser respondida, e use-o sempre que falar com a fonte.
  • Dependendo do risco envolvido, você pode precisar encontrar um lugar para o qual possam se mudar temporariamente por razões de segurança.

Avaliação de risco versus recompensa  

Sempre avalie a sensibilidade da matéria e as informações da fonte, bem como sua identidade.

  • Existe um risco significativo para você ou sua fonte caso se engajem entre si? O uso de informações confidenciais ou roubadas pode ter sérias ramificações tanto para você quanto para o meio de comunicação.
  • Quão úteis e confiáveis são as informações? Considere as motivações de sua fonte e se podem representar um risco para você ou a mídia para a qual está trabalhando. 
  • Leve em consideração a identidade da fonte, incluindo fatores como etnia, gênero, perfil, sexualidade, religião e ficha criminal. Se essa identidade for comprometida, esses fatores podem ser usados para desacreditar a reportagem ou aumentar o risco a fonte ser de alguma forma prejudicada ou presa?

Práticas recomendadas de segurança digital

Há várias maneiras de acessar os dados, incluindo, mas não se limitando, a intimações governamentais, acesso físico a dispositivos, hacking e spyware. Consulte um especialista em segurança digital se tiver dúvidas sobre como proteger a identidade de uma fonte.

  • Siga as práticas recomendadas quando se trata de segurança digital e fique a par das ferramentas e serviços de que você possa precisar para manter a sua fonte o mais segura possível.
  • Faça uma avaliação de risco digital. Isso o ajudará a avaliar e, quando possível, reduzir o risco para você e suas fontes. A Rory Peck Trust tem um abrangente modelo de avaliação de risco digital [site disponível em português] para jornalistas.
  • Considere quem pode visar você ou sua fonte e quanto dinheiro, autoridade e capacidade tecnológica esse oponente pode ter.
  • Sempre que possível, não use seus dispositivos pessoais ou de trabalho para entrar em contato com fontes confidenciais. Compre dispositivos especificamente para este fim e mantenha seus dados pessoais e de trabalho separados. Se viável, pague por esses dispositivos e cartões SIM em dinheiro e evite vinculá-los a algo que possa identificá-lo, como um cartão de crédito ou meios como cards de identidade digital. (Isso nem sempre será possível, dependendo de onde você mora e trabalha.)
  • Ative a autenticação de dois fatores para todas as contas, use senhas longas e exclusivas e um gerenciador de senhas. Consulte o Kit de Segurança Digital do CPJ para mais informações sobre proteção de contas.
  • Atualize regularmente seus dispositivos, aplicativos e navegadores com a versão mais recente para melhor proteção contra malware e spyware.
  • Informe a fonte sobre as melhores práticas digitais e os riscos envolvidos, para que possa entrar em contato com você da forma mais segura possível.
  • Limite o contato com a fonte tanto quanto possível.

Pesquisando sua fonte

  • Esteja ciente de que seu provedor de serviços de Internet (ISP) mantém uma cópia do seu histórico de navegação, que pode ser intimada por governos ou acessada por pessoas da empresa.
  • Pesquise os provedores de serviço de internet (ISPs) em seu país para ver quem os possui e se o governo acessa os dados dos usuários por meios legais ou outros.
  • Use uma rede virtual privada (VPN, sigla em inglês) para proteger melhor o seu histórico de internet de ser registrado por seu ISP ou plataformas como motores de busca. Escolha um serviço VPN que não registre seu histórico de navegação e não tenha um histórico de compartilhamento de dados com governos e outros. Os governos podem criar ou gerenciar empresas VPN aprovadas ou exigir serviços compatíveis para compartilhar dados do usuário.
  • Se você for detido e seus dispositivos forem revistados, esteja ciente de que o histórico do navegador pode revelar detalhes sobre sua pesquisa on-line. Exclua regularmente o histórico do navegador, mas não se esqueça que os governos ainda podem solicitar os dados relevantes das empresas envolvidas, como um serviço VPN ou um operador de mecanismo de pesquisa.

Comunicação com as fontes

  • Use um pseudônimo ao salvar os dados de contato em vez do nome real da fonte e incentive-os a fazer o mesmo em relação a você. Ambos devem excluir os detalhes de contato um do outro de seus respectivos dispositivos e contas online assim que o contato terminar.
  • Esteja ciente de que empresas de telefonia celular e provedores de serviços de internet coletam dados sobre seus usuários, incluindo dados que podem ser usados para identificar e localizar você ou seus contatos.
  • Mensagens SMS e chamadas para telefones fixos ou celulares, feitas através de uma empresa de telecomunicações, não são criptografadas, o que significa que governos e outros podem acessar as informações.
  • Seu telefone celular pode ser usado para localizar você e sua fonte. Se se encontrarem pessoalmente, não levem seus celulares. Reunir-se pessoalmente pode ser mais seguro do que se comunicar online. (Consulte “Encontro com as Fontes” abaixo.)
  • Pesquise todos os serviços online que você usa, como aplicativos de mensagens ou provedores de e-mail, para ver se os dados do usuário foram requisitados por um governo. A maioria das empresas de tecnologia publica um relatório anual de transparência detalhando os requerimentos de dados do usuário e se eles atenderam.
  • Comunique-se com fontes usando aplicativos de mensagens criptografadas de ponta a ponta sempre que possível, como SignalWhatsApp ou Wire. Ao usar o Signal e o WhatsApp, ative o desaparecimento de mensagens. Esses serviços têm diferenças importantes quando se trata de segurança – consulte o guia do CPJ para comunicações criptografadas para obter mais detalhes.
  • Se uma fonte entrar em contato com você por meio de um serviço que não seja criptografado de ponta a ponta, mova a conversa para um serviço criptografado assim que possível. Sempre que possível, apague a mensagem original e recomende à fonte fazer o mesmo. Isso apagará apenas a mensagem da conta, é provável que ainda exista uma cópia no servidor da empresa.
  • Se você precisar entrar em contato com sua fonte por e-mail, configure uma nova conta para usar apenas para esse propósito. A conta de e-mail não deve conter quaisquer dados pessoais, como seu nome real, e não deve ser vinculada a seu número de telefone ou qualquer conta online em seu nome. Leia mais sobre como configurar uma conta de e-mail no guia de segurança digital da Rory Peck Trust.

Recebimento e gerenciamento de documentos

  • Esteja ciente de que quase tudo que você faz em seus dispositivos pode deixar rastros, mesmo depois de excluí-los. Especialistas em TI podem recuperar o conteúdo excluído, mesmo se você tiver usado um software especializado para limpar o seu computador.
  • Mantenha os documentos confidenciais em um modificado para que não seja possível se conectar à Internet nem a outro dispositivo. Isso reduz a possibilidade de um estranho acessá-los.
  • Para histórias muito delicadas, considere o uso do Tails, um sistema operacional portátil seguro para uso em qualquer computador. Procure a ajuda de um especialista em segurança para configurá-lo.
  • Envie documentos confidenciais via SecureDrop usando o navegador TOR se sua redação ou organização o tiver configurado. A ajuda de um especialista em segurança digital é necessária.
  • Jornalistas sem SecureDrop devem solicitar o recebimento de documentos com menos de 100 MB via Signal ou outro serviço criptografado de ponta a ponta. Documentos com mais de 100 MB podem ser enviados via OnionShare.
  • Lembre-se que os metadados contidos em documentos, arquivos e aplicativos de mensagens – como a hora e a data em que um documento foi enviado – nem sempre são criptografados e podem ajudar outra pessoa a identificar sua fonte.
  • Realize um processo de backup e exclusão de conteúdo armazenado em aplicativos de mensagens. Fale com sua fonte sobre como ela pode gerenciar melhor os dados armazenados em seus aplicativos e dispositivos. Consulte um profissional de segurança digital sobre a melhor forma de gerenciar esses dados.
  • Revise os dispositivos regularmente em busca de documentos e dados que possam colocar você ou outras pessoas em risco, especialmente se estiver cruzando fronteiras ou pontos de controle.
  • Criptografe seus dispositivos, documentos e unidades externas sempre que possível e certifique-se de que sua senha de criptografia seja longa e exclusiva. Informe-se sobre as leis de criptografia nos países onde você mora, trabalha e viaja. Podem solicitar que desbloqueie dispositivos criptografados. Fazer isso ou não, é uma decisão pessoal.

Encontro com as fontes

  • Avalie as vantagens e desvantagens de uma reunião em pessoa em comparação com uma comunicação por meio de plataforma digital segura.
  • Decida quem está encarregado do encontro e será responsável por alterar os planos do dia.
  • Reúna-se em um local neutro que não possa ser associado ao endereço residencial ou comercial da fonte. Certifique-se de que haja várias rotas de saída.
  • Monitore quaisquer sinais de vigilância durante a reunião. Tenha um contato de confiança disponível para soar o alarme, se necessário.
  • Determine a maneira de levar com segurança informações confidenciais da reunião de volta ao seu local de trabalho, especialmente se isso puder levar alguma pessoa a identificar sua fonte.
  • Considere as opções de transporte, observando a possibilidade de ser monitorado via CFTV:
     
  • Se usar transporte público, pague em dinheiro em vez de usar um cartão do banco, que pode ser rastreado.
  • Retire o dinheiro pelo menos um dia antes da reunião para reduzir a chance de qualquer filmagem do caixa eletrônico coincidir com o dia da reunião.
  • Placas de veículos particulares podem ser rastreadas por câmeras. Tente estacionar fora da vista em uma área segura e sempre estacione de frente para a direção de escape.
  • Se você desconfiar que está sendo vigiado, volte e cancele o encontro.

Anonimizando fontes

Se tirar foto ou filmar a fonte, considere o seguinte:

  • Para áudio, você vai usar narração robótica ou a voz de outra pessoa?
  • Você vai anonimizar o rosto da fonte? Ou não vai incluir o rosto?
  • Como você vai se referir à fonte? Até mesmo um apelido codificado pode levar alguém a identificar sua fonte.
  • Esteja ciente de que todos os itens a seguir oferecem pistas sobre quem pode ser a fonte ou onde ela mora:
  • Marcas corporais distintas, como tatuagem, verruga, cicatriz ou marca de nascença;
  • Certos itens de roupas ou joias;
  • Recursos identificáveis no plano de fundo, como prédios, pontos de referência ou montanhas;
  • Itens exclusivos no plano de fundo, como uma foto, troféu, mobília, veículo ou papel de parede.

Publicação do conteúdo

  • Remova metadados de arquivos, incluindo fotos, antes de enviar para outras pessoas. Os metadados de um arquivo podem fornecer informações sobre a pessoa que o criou ou enviou e podem incluir informações de localização, data e hora, bem como a marca e o modelo do dispositivo usado.
  • Capturas de tela ou fotos da tela do computador ou telefone de uma fonte tem o potencial de conter informações que podem ser usadas para identificá-los, incluindo imperfeições na tela como um pixel quebrado ou a cor e o estilo de um ícone de mouse.
  • Documentos impressos podem conter informações incorporadas, como data e hora em que as páginas foram impressas, bem como detalhes sobre a impressora.
  • Conteúdo alterado ou embaçado em documentos pode ser revelado usando um software especializado.

Mantendo a confidencialidade

  • Evite dizer a qualquer pessoa quem é a fonte, a menos que seja absolutamente necessário. Quanto mais pessoas souberem, maior será o risco.
  • Evite escrever ou imprimir qualquer informação corroborante. Mesmo pequenos detalhes como as iniciais da fonte ou o nome de um local podem ajudar a identificá-la.
  • Monitore as redes sociais. Se houver qualquer indicação de que a fonte pode ser descoberta, considere realocá-la temporariamente para um local seguro com base no nível de risco.

Acesse: www.cpj.org

Assinatura Abraji