Proteger

Para os jornalistas, os ativistas e qualquer pessoa que lide com fontes sensíveis, a segurança digital não é uma preocupação abstrata mas uma parte prática do trabalho. O que está em jogo é maior do que para um utilizador comum: uma lista de contactos vazada pode expor uma fonte, e uma conta comprometida pode desfazer meses de investigação ou de organização cuidadosas. Este guia é um quadro de partida, não um substituto de uma formação adequada quando o risco é sério.

Comece pela modelação de ameaças

Tudo o que é útil começa pela modelação de ameaças — decidir, com honestidade, quem poderá querer a sua informação e o que poderá realmente fazer para a obter. Um repórter local, um correspondente internacional e um organizador comunitário enfrentam adversários muito diferentes, e as precauções certas decorrem deste quadro em vez de uma lista genérica. Preparar-se em excesso para a ameaça errada desperdiça esforço; preparar-se insuficientemente para a verdadeira é perigoso.

Os fundamentos, só que mais

Os mesmos fundamentos que protegem os utilizadores comuns também o protegem, só que aqui contam mais. Um gestor de palavras-passe com palavras-passe únicas para cada conta, a autenticação de dois fatores onde quer que esteja disponível e uma conta de e-mail bem protegida constituem a base. Como o e-mail é a chave de recuperação da maioria dos outros serviços, trancá-lo com uma palavra-passe forte e um segundo fator é muitas vezes a única medida mais útil que pode tomar.

• Comece pela modelação de ameaças: quem é o adversário realista?
• Prefira uma chave física ou uma aplicação de autenticação à 2FA por SMS
• Use a mensagería e o e-mail cifrados ponta a ponta por predefinição
• Atenção aos metadados — quem contactou quem pode expor uma fonte
• Cifre os dispositivos, compartimente as contas e desconfie do phishing
• A segurança é coletiva: proteja fontes e colegas, e procure ajuda especializada se o risco for elevado

Para a autenticação de dois fatores em particular, prefira uma chave de segurança física ou uma aplicação de autenticação aos códigos enviados por SMS. Os códigos por SMS podem ser intercetados ou redirecionados através de ataques à rede telefónica ou através do SIM-swapping, em que um atacante convence um operador a transferir o seu número para o dispositivo dele. Uma chave física é nitidamente mais difícil de vencer à distância e vale o seu modesto custo para as contas de alto risco.

Cifre as comunicações e atente aos metadados

Proteja as suas comunicações com a cifragem ponta a ponta por predefinição. A mensagería cifrada ponta a ponta significa que só você e o seu interlocutor podem ler o que enviam, e usar as mensagens efémeras quando é apropriado limita a quantidade de histórico sensível que se acumula em cada dispositivo. Para o e-mail, um fornecedor cifrado ponta a ponta ou de acesso zero mantém a correspondência armazenada privada face ao fornecedor, o que conta quando uma única injunção poderia, de outro modo, expô-la.

Pense cuidadosamente nos metadados, porque a cifragem do conteúdo não os oculta. Mesmo quando o corpo de uma mensagem está cifrado, o registo de quem contactou quem, quando e de onde pode expor uma fonte por si só. Reduzir os metadados significa escolher ferramentas que os minimizam, ser deliberado quanto às contas e números que liga entre si, e reconhecer que o padrão das suas comunicações pode ser tão revelador como o seu conteúdo.

Proteja os dispositivos e compartimente

Proteja os próprios dispositivos, não apenas as contas. A cifragem integral do disco protege o que se encontra num portátil ou num telefone se for perdido ou apreendido, um código de acesso forte vale muito mais do que um PIN curto ou um desbloqueio facial a que o possam obrigar, e atualizações de software rápidas fecham as vulnerabilidades conhecidas em que os verdadeiros ataques se apoiam. Um dispositivo deixado desbloqueado ou desatualizado mina cada escolha prudente feita nas contas.

Compartimente para limitar os danos quando algo corre mal. Separar o trabalho sensível das contas pessoais, usar identidades ou dispositivos diferentes para projetos diferentes e manter isolado o material ligado às fontes fazem com que um comprometimento não se transforme numa exposição total. Esta disciplina é fastidiosa, o que é precisamente a razão por que vale a pena integrá-la numa rotina em vez de improvisar sob pressão.

O elo humano, e a segurança como esforço coletivo

Lembre-se de que o elo mais fraco é muitas vezes humano, não técnico. O phishing — uma mensagem convincente que o induz a introduzir uma palavra-passe ou a aprovar uma sessão — derrota a cifragem forte ao contorná-la. Abrandar antes de clicar, verificar os pedidos inesperados por um segundo canal e tratar a própria urgência como um sinal de alerta protegem-no dos ataques que, na realidade, têm êxito com mais frequência.

Por fim, trate a segurança como coletiva em vez de individual. As suas proteções valem apenas tanto como as das pessoas com quem comunica, por isso partilhar as boas práticas com fontes e colegas eleva a segurança de todos ao mesmo tempo. Quando o risco é elevado, procure organizações e formadores dedicados, especializados na proteção de jornalistas e ativistas; este guia indica a direção certa, mas as situações sérias merecem uma ajuda especializada e adaptada ao contexto.