Edit on Github

Capítulo 2: Seguridad de la cuenta

Última actualización: 12 feb. 2026

Introducción

Esta sección contiene actividades y un caso práctico diseñados para que los periodistas reflexionen sobre la mejor manera de proteger sus cuentas en línea. Muchos periodistas también utilizan sus cuentas personales para trabajar, lo que les hace a ellos y a su información más vulnerables a las amenazas digitales, incluidos los intentos de pirateo y las campañas de phishing selectivo.

En este capítulo se abordan los siguientes temas:

  • Las mejores prácticas para gestionar el contenido de las cuentas
  • Cómo crear contraseñas seguras y dónde almacenarlas.
  • Qué es la autenticación de dos factores (2FA) y cómo utilizarla
  • Cómo protegerse mejor contra el phishing

¿Primera formación para periodistas?

Echa un vistazo a nuestra útil guía:

  • Los periodistas suelen utilizar sus cuentas en Internet tanto para fines personales como laborales, sobre todo si son autónomos. Esto significa que tienen mucho contenido sensible almacenado en sus cuentas personales. Hay que animar a los periodistas a que, en la medida de lo posible, separen sus cuentas online en personales y de trabajo.
  • A menudo, los periodistas desconocen dónde se almacena la información en sus cuentas y dispositivos. Destaque la importancia de llevar a cabo una auditoría de sus cuentas y de hacer copias de seguridad y borrar contenidos con regularidad. Los formadores pueden consultar el capítulo cinco de esta guía para más detalles sobre cómo hacerlo.
  • Los medios de comunicación a veces animan a los periodistas a utilizar sus redes sociales personales para fines laborales, incluido el contacto con fuentes. Los medios no suelen ofrecer a los periodistas ayuda para asegurarlas.
  • Aunque es poco frecuente, un tribunal o un gobierno puede pedir a una empresa o a un servicio en línea que entregue los datos que tiene sobre un usuario. Si esto ocurre, es posible que la empresa tenga que compartir datos como el contenido de documentos, mensajes y fotos. Algunas empresas ofrecen cifrado de extremo a extremo, en el que ellas mismas no conocen ni pueden acceder al contenido almacenado en la nube. Este tipo de cifrado protegerá a los periodistas de las solicitudes de datos gubernamentales, pero también significará que los usuarios no podrán acceder a los datos si olvidan o pierden sus contraseñas y mecanismos de recuperación. Incluso si una empresa ofrece cifrado de extremo a extremo para los datos almacenados, normalmente seguirá recopilando cierto grado de metadatos (cuándo se conectó el periodista por última vez, qué direcciones de correo electrónico utilizó, cuánto ha almacenado en su cuenta), y puede que tenga que compartirlos con las autoridades.
  • Los medios de comunicación suelen tener directrices obsoletas sobre las mejores prácticas en materia de contraseñas y autenticación de dos factores. Estas directrices obsoletas pueden incluir la recomendación de que los periodistas utilicen contraseñas cortas con muchos caracteres aleatorios, o que cambien sus contraseñas con frecuencia. Algunos medios de comunicación tampoco promueven el autorelleno de los gestores de contraseñas o las claves de seguridad físicas como contramedidas contra el phishing. Es importante reconocerlo y decir a los periodistas que les estás enseñando las mejores prácticas actuales, que deberían utilizar para todas sus cuentas personales. Véase aquí por qué el Centro Nacional de Ciberseguridad del Reino Unido recomienda ahora no cambiar regularmente las contraseñas.
  • Es probable que los periodistas que trabajan para medios de comunicación tengan dudas sobre la mejor forma de compartir contraseñas con los miembros del equipo. A menudo, esto se debe a que más de una persona necesita acceder a las cuentas oficiales del medio en las redes sociales o a otras cuentas conjuntas. La mejor práctica es tener un gestor de contraseñas corporativo/de equipo con credenciales para cuentas compartidas almacenadas en bóvedas compartidas. Sin embargo, algunas redacciones utilizan soluciones menos seguras, como almacenar las credenciales en una hoja de cálculo compartida.
  • Algunos periodistas corren un alto riesgo de sufrir ataques selectivos de phishing, hábilmente elaborados y difíciles de detectar. Es importante que el formador destaque qué gobiernos o actores de amenazas en línea suelen utilizar técnicas de phishing y comparta las tácticas que emplean en el contexto local. El formador debe proporcionar orientación práctica sobre la mejor manera de protegerse contra el phishing. Decir a los periodistas que no hagan clic en enlaces o documentos no es factible, ya que a menudo necesitan hacerlo por su trabajo.
  • Es importante que los periodistas conozcan su propio perfil de riesgo en lo que respecta a la seguridad de sus cuentas. El formador debe reservar tiempo para completar el documento de evaluación de riesgos sobre la seguridad de las cuentas.

¿Es la primera vez que se imparte formación sobre seguridad digital?

Esta sección cubre las mejores prácticas que se pueden utilizar al enseñar las actividades de este capítulo. Consulte la sección recursos de este capítulo para obtener más información.

Obtener acceso a los datos

  • Hay varias formas de obtener datos de cuentas en línea. Esto incluye entrar en la cuenta adivinando la contraseña, lanzar un ataque de phishing con éxito, poner malware en un dispositivo que permita a alguien acceder a la información, coger físicamente un dispositivo y mirar los datos, y una petición legal de un gobierno a una empresa para obtener datos.
  • Para proteger mejor los datos frente a las peticiones legales y las filtraciones de datos, los periLas listas deben comprobar si los servicios en la nube que utilizan ofrecen cifrado estándar o de extremo a extremo. El cifrado estándar significa que la propia conexión a la nube está cifrada (por lo que nadie que husmee en la conexión puede interceptar los datos), pero la empresa podría seguir accediendo a los datos si se ve comprometida o si se lo piden las fuerzas de seguridad. Si los datos están cifrados de extremo a extremo, la empresa que opera los centros de datos no tiene acceso a la clave de descifrado. Esto significa que la empresa no puede entregar estos datos en respuesta a una petición de las fuerzas de seguridad (aunque podría compartir metadatos), pero tampoco podrá restaurarlos si el usuario olvida su contraseña. Los periodistas pueden buscar en Internet el nombre de la empresa y la palabra “cifrado de extremo a extremo” para averiguar cómo se almacenan sus datos. También pueden consultar las condiciones de cada empresa para saber cómo se guarda la información. Algunas empresas, como Apple con su servicio iCloud, ofrecen cifrado de extremo a extremo como opción adicional.

Gestión de contenidos en las cuentas

  • Tener datos sensibles y personales en cuentas puede poner en riesgo a periodistas y fuentes si esas cuentas son hackeadas o si alguien consigue acceso físico a ellas.
  • Anima a los periodistas a eliminar los datos que ya no necesiten de todas sus cuentas, incluidas las de correo electrónico, plataformas de redes sociales y cuentas en la nube. Hay que animarles a eliminar tanto los elementos personales como los de trabajo, como mensajes directos personales, fotos, documentos de trabajo confidenciales, etc.
  • Aunque se eliminen los datos de las cuentas personales, una copia de esos datos puede seguir estando en el servidor de la empresa y puede ser citada por un gobierno.

Suplantación de identidad

  • Un ataque de phishing se utiliza para obtener los datos personales de alguien, como los datos de acceso a una cuenta o información financiera. Se envía un mensaje a un usuario animándole a hacer clic en un enlace. Aunque parezca legítimo, este enlace puede llevar a una página de inicio de sesión falsa que capturará las credenciales de inicio de sesión o contendrá malware que, una vez descargado en un dispositivo y ejecutado, puede obtener datos confidenciales o bloquear al usuario en su ordenador. Algunos ataques de phishing se dirigen a muchas personas con el mismo enlace. Otros pueden personalizar el texto y los enlaces para que sean diferentes para cada persona objetivo.
  • Un ataque de spear phishing es un ataque dirigido a un individuo o a un pequeño grupo de personas. Normalmente, el adversario dedica tiempo a investigar a la persona u organización para que los correos electrónicos dirigidos sean más creíbles. A continuación, incluirá esta información en un mensaje enviado a la persona objetivo junto con un enlace de inicio de sesión malicioso o malware. Los ataques de spear phishing pueden ser muy difíciles de detectar porque se han diseñado pensando en el objetivo. Este tipo de ataques son utilizados habitualmente por gobiernos y otros atacantes sofisticados con mucho tiempo y paciencia.

Autenticación de dos factores (2FA)

  • Una de las mejores y más rápidas formas de proteger una cuenta es activar la autenticación de dos factores, también conocida como 2FA. La autenticación de dos factores es otra capa de seguridad que se añade a una cuenta para protegerla mejor. Normalmente adopta la forma de un código que se envía a un dispositivo o también puede ser una llave de hardware que se inserta en un ordenador o teléfono.
  • ¿Por qué utilizar 2FA? Para acceder a la cuenta de alguien, el atacante necesitaría tener la dirección de correo electrónico, la contraseña y el código. Incluso si un atacante consiguiera de algún modo capturar sólo tu contraseña, no podría iniciar sesión sin el código. El 2FA ha desempeñado un papel importante en la reducción de los ataques de toma de control de cuentas. (Es posible que atacantes sofisticados capturen algunos tipos de códigos 2FA; hemos escrito sobre ello más adelante).
  • Existen varios tipos de 2FA: SMS, correo electrónico, aplicaciones de autenticación y llaves de seguridad físicas.
  • Puedes añadir más de una opción 2FA a una cuenta. Por ejemplo, varias claves de seguridad físicas y claves de acceso o una aplicación de autenticación y una clave de seguridad física. Esto es importante porque evita que las personas queden bloqueadas en sus cuentas si pierden el acceso a una de las formas de 2FA. Muchos servicios también ofrecen códigos de copia de seguridad, que pueden descargarse, imprimirse y guardarse en un lugar seguro. Pueden utilizarse para restablecer el acceso a las cuentas en caso de que los usuarios pierdan todas las demás formas de 2FA (por ejemplo, debido a un robo).
  • Muchos sitios ofrecen la opción de hacer 2FA a través de códigos SMS. Los códigos SMS podrían ser interceptados o se podría acceder a ellos a través de la compañía de telecomunicaciones (y hubo al menos un caso en el que una empresa que enviaba códigos SMS en nombre de plataformas tecnológicas estaba vinculada a la industria de la vigilancia). Cuando enseñes la 2FA, haz hincapié en que la 2FA basada en SMS es mucho mejor que no tener 2FA, pero anima a los periodistas a que utilicen otras formas de 2FA.
  • Es crucial que el formador entienda que algunas formas de 2FA son vulnerables al phishing y otras no. Un atacante hábil podría crear un faEl atacante podría acceder a la página web real, suplantando la identidad del periodista. Ese atacante podría entonces utilizar instantáneamente este código para acceder a la página web real, haciéndose pasar por el periodista. **No es posible que una página web falsa reenvíe la señal de una clave de seguridad física y la utilice para acceder al servicio real. Por este motivo, recomendamos encarecidamente a todos los periodistas que las utilicen para la autenticación de doble factor.
  • Las llaves de seguridad se parecen un poco a las unidades flash; normalmente se conectan al puerto USB. Para vincular la llave a tu cuenta tienes que insertar la llave en tu ordenador o teléfono, ir a la cuenta a la que quieres añadir la llave y seguir los pasos para configurar 2FA. Vincula más de una clave a tu cuenta en caso de pérdida o robo. Lleva una de ellas contigo, por ejemplo en tu llavero, y guarda la otra en un lugar seguro.
  • Las claves pueden guardarse en un dispositivo o en un lugar como un gestor de contraseñas. También ofrecen autenticación a prueba de suplantación de identidad, y no pueden ser interceptadas por un atacante del mismo modo que un token basado en una aplicación. En algunos lugares se utilizan en lugar de una contraseña, en otros como segundo factor además de la contraseña. Las claves de paso son nuevas, y las empresas están trabajando en herramientas que puedan ayudar a hacer copias de seguridad y transferir claves de paso entre gestores de contraseñas. Para una introducción más amplia, consulte esta hoja informativa.
  • Los atacantes sofisticados pueden llevar a cabo un ataque de “degradación” de la autenticación de dos factores. En un ataque de este tipo, un sitio web malicioso falso podría pedir a un usuario que envíe una forma de autenticación de dos factores que sea vulnerable al phishing (como un código de aplicación), incluso si ese usuario también ha registrado una autenticación resistente al phishing (como una clave de seguridad física o passkey) con el servicio legítimo. La forma más sencilla de mitigar este tipo de ataques es exigir a todos los usuarios que utilicen únicamente la autenticación de dos factores resistente al phishing y desactivar todas las demás formas. Algunos usuarios también necesitarán tener formas de respaldo de autenticación de dos factores, en caso de que pierdan sus claves de seguridad físicas o los dispositivos donde guardaron sus claves de paso. Si ese es el caso, advierte a los usuarios sobre la posibilidad de ataques de downgrade y anímales a utilizar siempre llaves físicas o passkeys, a menos que no puedan acceder a ellas.

Hemos creado algunas infografías sobre cómo funcionan los sofisticados ataques de phishing y cómo las claves de seguridad físicas pueden detenerlos.

Administradores de contraseñas

  • Los gestores de contraseñas son actualmente la forma más segura de proteger las contraseñas. Un gestor de contraseñas es un servicio que crea, almacena y rellena automáticamente la contraseña de una cuenta. Puede descargarse como aplicación, utilizarse como complemento en un navegador y también accederse a él a través de un sitio web.
  • Existen varios gestores de contraseñas. Cuando elijas un gestor de contraseñas, haz una búsqueda en Internet para ver si la empresa ha tenido alguna brecha de seguridad, comprueba si hacen descuentos en cuentas para periodistas y medios de comunicación, y revisa las características especiales que puedan tener, como un modo de viaje.
  • Asegúrate de que el gestor de contraseñas está protegido por una contraseña larga y única. Puede ser útil pensar en la contraseña antes de descargar el gestor de contraseñas.
  • Cuando un periodista añade una cuenta a su gestor de contraseñas, debe asegurarse de generar una nueva contraseña para ella.
  • Los gestores de contraseñas ayudan a protegerse contra un tipo de ataque de phishing en el que el atacante crea una página de inicio de sesión falsa. Como un gestor de contraseñas lee la URL de un sitio web y sólo la rellena si coincide con la del sitio web real, podrá detectar e impedir ese tipo de ataque. Recomendamos combinar el autocompletado del gestor de contraseñas con la autenticación de dos factores a través de una llave de seguridad física o una contraseña.

Contraseñas

  • La forma más fácil y segura de utilizar contraseñas es dejar que tu gestor de contraseñas genere una contraseña nueva, única y larga para cada cuenta. De esta forma, nunca más tendrás que pensar en generar contraseñas.
  • Hay dos tipos de contraseñas: las que están formadas por una mezcla de números, símbolos y letras, y las que están formadas por una colección aleatoria de palabras (las llamadas frases de contraseña). Ambos tipos de contraseña son válidos. A la gente le suele resultar más fácil recordar las frases de contraseña, por lo que puede ser una opción mejor si el periodista no puede utilizar un gestor de contraseñas.
  • No utilices datos personales, como la fecha de nacimiento o el nombre de la mascota, al crear una contraseña. Esta información puede obtenerse fácilmente en Internet y utilizarse para adivinar la contraseña.
  • No reutilices contraseñas. Utiliza una contraseña diferente para cada cuenta en línea. Datos personalesa, como direcciones de correo electrónico y contraseñas, pueden ser robados si un atacante irrumpe en la base de datos de un servicio en línea. Estos datos se venden luego en línea a otros, como delincuentes y gobiernos. Si se vulnera una contraseña y usted la ha utilizado en más de una cuenta, las demás son vulnerables. La contraseña de su servicio de correo electrónico es especialmente importante: si un atacante la vulnera, no sólo podrá leer sus mensajes y enviarlos en su nombre, sino también restablecer las contraseñas de todas sus demás cuentas.

Phishing de aplicaciones u OAuth

  • A menudo conectamos otras aplicaciones o servicios a nuestras cuentas. Podrían ser extensiones para calendarios, gestión de contactos o programación, o incluso conectar Google Drive a WhatsApp para hacer copias de seguridad fácilmente. Dado que estas aplicaciones se basan en las capacidades de tu cuenta y las amplían, a menudo solicitan permiso para guardar, leer o modificar los datos que contienen. Por desgracia, algunos adversarios crean aplicaciones falsas que parecen reales pero que en realidad roban datos de tu cuenta.
  • Por esta razón, desaconsejamos a los periodistas que vinculen aplicaciones a sus cuentas de trabajo. La única excepción son servicios como el inicio de sesión con Google/Microsoft/GitHub, que utilizan tu cuenta como proveedor de identidad pero no acceden a ninguno de sus datos. Si los periodistas necesitan vincular aplicaciones que necesitan leer o modificar datos de sus cuentas, por ejemplo para gestionar ciertas citas del calendario o hacer copias de seguridad de chats, recomendamos vincular esas aplicaciones a una cuenta que no contenga información sensible o relacionada con el trabajo.
  • Los actores de phishing muy sofisticados, especialmente los vinculados a gobiernos, pueden manipular a los periodistas para que compartan contraseñas específicas de aplicaciones, como se ha visto en un ataque reciente probablemente vinculado al servicio de inteligencia ruso. Si los periodistas trabajan en temas delicados o les preocupan los adversarios sofisticados, enséñales a no compartir nunca contraseñas específicas de aplicaciones, a no añadir nunca nuevos servicios OAuth o incluso a desactivarlos en sus servicios en línea, si es posible.

Completar la evaluación de riesgos

Al hablar de la evaluación de riesgos y el plan de seguridad personal, puede ser útil tocar lo siguiente:

  • Animar a los periodistas a pensar en quién puede querer atacar sus cuentas y en la capacidad tecnológica de quienes les amenazan. Para averiguar la capacidad tecnológica, el periodista debe buscar al adversario en Internet junto con palabras clave, como hacking, robo de identidad, phishing y spyware. Si la amenaza es un gobierno, el periodista también debe comprobar si se están aprobando nuevas leyes que les permitan un acceso más fácil a los datos. Los periodistas deben utilizar palabras clave, como ley de medios y comunicaciones o actos de terrorismo, al realizar la búsqueda. También hay que animarles a que consulten los informes anuales de transparencia que publican las grandes empresas tecnológicas para comprobar si cumplen con las peticiones de datos de los gobiernos.
  • Anime a los periodistas a investigar los servicios en línea que utilizan o quieren utilizar. Pídales que investiguen quién es el propietario de esos servicios, cómo almacenan sus datos, dónde se almacenan y si comparten datos con otros. Destaque que lo mejor es utilizar servicios que compartan la menor cantidad posible de datos con otros.
  • A los periodistas de alto riesgo, ya sea porque ya se enfrentan a ataques o porque es probable que sean blanco de sofisticados intentos de piratería o phishing, se les debe animar a tomar medidas inmediatas para asegurar sus cuentas.
  • Es probable que los periodistas duden a la hora de gestionar el contenido de sus cuentas y separar sus datos de trabajo de los personales por el tiempo que les llevará y los recursos necesarios, como fondos para dispositivos adicionales. Puede ser útil que el formador hable con los periodistas sobre las cuentas y averigüe cuáles son las más importantes para asegurarlas primero. Esto puede incluir cuentas con grandes cantidades de datos personales o sensibles.
  • Algunos periodistas, como los que viajan o trabajan habitualmente en regiones sensibles, corren el riesgo de ser detenidos, obligados a desbloquear sus dispositivos y de que las autoridades los registren. Si esto supone un riesgo, habla con los periodistas sobre la información que guardan en sus dispositivos (incluidos los gestores de contraseñas que puedan tener) y qué medidas podrían tomar para reducir la cantidad de información en riesgo. Esas medidas podrían incluir la asignación de seudónimos a los contactos clave de su libreta de direcciones y el uso de mensajes que desaparecen. En los capítulos 3 y 6 profundizaremos un poco más en este tema.

Preguntas frecuentes

A continuación figuran algunas preguntas habituales que hacen los periodistas sobre la seguridad de las cuentas. Puede ser útil tener las respuestas preparadas de antemano.

¿Cómo puedo gestionar todo el contenido de mis cuentas, es tanto?

Explique que poco y often es clave aquí. Los periodistas deben dar prioridad a las cuentas que consideren más importantes o vulnerables y empezar a hacer copias de seguridad y eliminar contenidos. A menudo es más fácil reservar entre 10 y 15 minutos de forma regular para eliminar contenido que intentar hacerlo todo de una vez.

**¿Qué ocurre si activo el 2FA pero pierdo el teléfono o la clave de seguridad?

Es una pregunta muy frecuente. Explique que puede añadir más de un tipo de 2FA a la cuenta para protegerse contra esto. La mayoría de los servicios que ofrecen 2FA también deberían tener la opción de guardar códigos de copia de seguridad que permitirán al periodista entrar en la cuenta en caso de que pierda el acceso a su teléfono o llave. (Algunos servicios con fuertes protecciones antiphishing, como el Programa de Protección Avanzada de Google, pueden no ofrecer esta opción). Solemos recomendar a los periodistas que utilizan claves de seguridad físicas que compren -y registren- al menos dos. Pueden tener una llave de seguridad encima y otra en un lugar seguro, como su casa u oficina. Como alternativa, los periodistas también pueden guardar una clave en su teléfono o gestor de contraseñas como otra forma de 2FA resistente al phishing.

**¿Qué ocurre si alguien se cuela en mi gestor de contraseñas?

Haz hincapié en que los gestores de contraseñas son actualmente la forma más segura de proteger las contraseñas para la mayoría de la gente. Explica que estas empresas guardan los datos en sus servidores de forma encriptada, lo que significa que incluso si son pirateados, los atacantes no deberían ser capaces de obtener esos datos. Lo importante es que los periodistas aseguren su propia cuenta del gestor de contraseñas utilizando 2FA y una contraseña larga que no se haya utilizado en ninguna otra cuenta. Explica que los atacantes acceden en gran medida a las cuentas porque la gente reutiliza las contraseñas o utiliza contraseñas cortas que son fáciles de adivinar. Añade que los gestores de contraseñas, gracias al autorrelleno, también pueden ayudar a detener los ataques de suplantación de identidad al negarse a rellenar la contraseña en un sitio web con un dominio distinto de aquel en el que se registraron las credenciales. Por último, es una buena práctica utilizar una aplicación separada o claves físicas para 2FA: de esta forma, incluso si un atacante consiguiera comprometer de alguna manera un gestor de contraseñas, no podría iniciar sesión en tu nombre sin obtener también de alguna manera esos segundos factores.

**Mi amenaza es un gobierno y corro un alto riesgo de vigilancia y/o detención. ¿Qué debo hacer para proteger mejor mis cuentas?

Aquí se necesitaría más información para asesorar mejor al periodista. Deberían tener una consulta individual para encontrar la mejor manera de proteger sus cuentas. Es importante destacar que, aunque utilicen contraseñas y 2FA, es posible que se les pida físicamente que desbloqueen sus cuentas. También puede ser aconsejable que no utilicen un gestor de contraseñas si corren el riesgo de que alguien acceda a sus dispositivos.

Resultados del aprendizaje

Al final de la sesión los periodistas:

  • Comprenderán las amenazas a las que se enfrentan sus cuentas y serán más conscientes de que su trabajo puede suponer un mayor riesgo de sufrir determinados ataques.
  • Sabrán en qué consiste una contraseña segura y confiarán en poder crear una.
  • Sepan qué es 2FA y conozcan los pasos necesarios para configurarlo en sus cuentas.
  • Conocer los distintos tipos de herramientas y servicios que pueden ayudarles a proteger sus cuentas, incluidas las distintas formas de 2FA y los gestores de contraseñas.
  • Entender cómo las claves de seguridad físicas, las claves de acceso y los gestores de contraseñas pueden ayudar a mitigar el phishing.

Plantillas y herramientas

Las siguientes plantillas y herramientas pueden ser útiles para impartir esta sesión:

  • Diferentes tipos de servicios 2FA, incluyendo aplicaciones autenticadoras y claves de seguridad. Para más información, consulta la sección ¿Entrenar seguridad digital por primera vez?.
  • Opciones para gestores de contraseñas. Para más información, consulta la sección [¿Formación en seguridad digital por primera vez?
  • Plantilla de evaluación de riesgos](/plantilla-evaluación-de-riesgos-digitales)

Recursos

Los siguientes recursos pueden ser útiles para la enseñanza de este capítulo:

Using password managers to stay safe online de la Electronic Frontier Foundation

Prevención del phishing e higiene del correo electrónico, de la Freedom of the Press Foundation.

Using physical security keys to secure accounts against phishing del Comité para la Protección de los Periodistas (Committee to Protect Journalists)

Utilizar una clave de seguridad de Consumer Reports Security Planner

Configurar la autenticación multifactor de Consumer Reports Security Planner

Obtener una gestión de contraseñasr de Consumer Reports Security Planner

¿Debería utilizar claves de acceso en lugar de contraseñas? por Consumer Reports Security Planner

Actividades

Las siguientes actividades están diseñadas para acompañar esta sesión de formación sobre la seguridad de las cuentas. Los formadores deben sentirse libres de utilizar sus propias actividades, así como de adaptar los materiales de esta guía para que se ajusten mejor a las necesidades de los periodistas a los que están formando. El número y el tipo de actividades seleccionadas dependerán del nivel de conocimientos del formador, así como del tiempo de que disponga para dedicar a los participantes. Para quienes se inicien en la formación en seguridad digital, no olviden consultar la sección ¿Formación en seguridad digital por primera vez?, para obtener orientación sobre las mejores prácticas.

Cómo empezar

¿Qué hay en tus cuentas?

Resultados del aprendizaje Tiempo Nivel de dificultad Recursos
Los periodistas son más conscientes de los contenidos almacenados en sus cuentas y de cómo pueden ponerles en peligro a ellos y a otros.45 minutos Pizarra o rotafolio, rotuladores, diapositivas PPT.

Primer paso

  • Pide a los periodistas que hagan una lluvia de ideas en un papel sobre los distintos tipos de cuentas que tienen. Deben pensar en las cuentas que utilizan para comunicarse con los demás, apps de compras, apps para viajar, etc.
  • A continuación, pide a los periodistas que enumeren los diferentes tipos de contenido que tienen en las cuentas, por ejemplo, la dirección de su casa, los datos de su tarjeta de crédito.

Segundo paso

  • Facilita un debate sobre lo que aprendieron los periodistas al realizar esta actividad. Formule las siguientes preguntas
  • Qué aprendieron al hacer esta actividad?
  • ¿Aprendieron algo sorprendente?
  • ¿Qué información está en peligro en sus cuentas? ¿Qué medidas crees que puedes tomar para protegerla?

Paso tres

Guíe a los periodistas a través de las mejores prácticas básicas para la seguridad de las cuentas. Esto puede incluir:

  • Tener cuentas de trabajo y personales separadas. Separar la información en línea ayuda a evitar que se acceda a todos los datos personales en caso de que se produzca un ataque a una de las cuentas.
  • Revisar el contenido de las cuentas, hacer copias de seguridad y eliminar la información que ya no se necesite.
  • Comprobar qué información se puede ver públicamente en las redes sociales revisando la configuración de privacidad.
  • Realizar una búsqueda en línea de sus datos buscando su nombre en todos los motores de búsqueda. Los periodistas deben revisar fotos y vídeos, así como los resultados de la web. Consultar el capítulo siete para más detalles sobre cómo
  • Comprobar si sus cuentas están registradas en otros dispositivos. Los periodistas pueden comprobarlo en la sección de ajustes bajo actividad de la cuenta o comprobación de seguridad. Si ven un dispositivo que no reconocen vinculado a su cuenta, deben hacer una captura de pantalla de la información por si necesitan mostrar estos datos a alguien más, como un editor. A continuación, deben eliminar el dispositivo vinculado y cambiar su contraseña.

Knowledge building

I Riesgo y tecnología

Resultados del aprendizaje Tiempo Nivel de dificultad Recursos
Los periodistas empiezan a pensar en los riesgos que conlleva el uso de la tecnología tanto en su vida personal como en su entorno laboral y cómo su trabajo aumenta ese riesgo.
Los participantes profundizan en cómo otras personas de su red pueden aumentar o disminuir su riesgo		45 minutosMedioPizarra o rotafolio, bolígrafos

Nota para el formador: esta actividad es la continuación de la actividad introductoria del principio de este capítulo. En parte de esta actividad se pide a los periodistas que hablen de posibles temas delicados. Recuérdeles que no tienen que hablar de sus propias experiencias personales, sino que pueden hablar de temas más generales. Las mejores prácticas para esta actividad se pueden encontrar en la sección [¿Formación en seguridad digital por primera vez?g-seguridad-digital-por-primera-vez), situada al principio de este capítulo._

Primer paso

  • Pide a los periodistas que revisen su trabajo previo en torno al uso de la tecnología del ejercicio anterior. Pídales que piensen en los posibles riesgos que podrían enfrentar por el uso de la tecnología. Por ejemplo, ¿les preocupa que pirateen sus cuentas? ¿Les preocupan los datos que las aplicaciones y los servicios recopilan sobre ellos? ¿Les gustaría saber más sobre cómo proteger documentos confidenciales?

Segundo paso

  • Escribe lo siguiente: ¿Qué quieres proteger? De quién lo vas a proteger? Cómo lo vas a proteger? ¿Qué pasa si no lo proteges?
  • Pide a los periodistas que analicen las preguntas y piensen a qué amenazas podrían enfrentarse. Pídeles que escriban las respuestas a las preguntas.
  • Ayúdales a pensar en los tipos de datos que podrían ser más vulnerables, por ejemplo, datos financieros, documentos confidenciales que les entregan las fuentes.
  • Piensa en quién puede ser su objetivo. Por ejemplo, ¿les preocupa que los delincuentes puedan robar su identidad? ¿Les preocupa que los gobiernos obtengan sus datos? ¿Podrían verse amenazados por grupos en línea que intenten robar su información?
  • Dígales que es posible que aún no sepan cómo protegerse y que éstas serán habilidades que adquirirán durante la sesión de formación.
  • Anímales a pensar en el peor de los casos y en lo que ocurriría si alguien consiguiera acceder a sus datos. Explícales que pensar en lo que podría ocurrir les ayudará a planificar mejor su protección.
  • Anima a los participantes a pensar en los riesgos que se producen cuando su vida personal se solapa con su profesión. Por ejemplo, utilizar el mismo teléfono para el trabajo y las comunicaciones personales.

Paso tres

  • Facilite un debate en clase sobre esta cuestión sacando a relucir temas y amenazas comunes.

II Presentación de la evaluación de riesgos

Resultados del aprendizaje Tiempo Nivel de dificultad Recursos
Introducción a la evaluación y mitigación de riesgos 45 minutos Medio Pizarra, rotafolio, bolígrafos, documento de evaluación de riesgos

Nota para el formador: este ejercicio requiere que los formadores comprendan bien qué medidas pueden tomar los periodistas para protegerse en línea. Las mejores prácticas al respecto se encuentran al principio de cada capítulo de esta guía._

Primer paso

  • Pregunta a los periodistas qué hacen actualmente para protegerse en términos de seguridad digital. Facilite un debate en clase y señale las respuestas comunes. Algunas respuestas frecuentes podrían ser:
    • Utilizar contraseñas seguras
    • Activar la autenticación de dos factores
    • Utilizar Signal
    • Utilizar una VPN

Señala que no es importante que los periodistas sepan todavía cómo realizar todos estos pasos de seguridad, ya que los aprenderán a lo largo del curso.

Segundo paso

  • Pregunte al periodista si ha oído hablar de la evaluación de riesgos digitales y para qué sirve. Si es necesario, haz una breve reseña utilizando la guía de este capítulo.
  • Comparta la plantilla de evaluación de riesgos con los periodistas y pídales que la revisen. Responde a sus preguntas.

Paso tres

  • Diga a los periodistas que van a trabajar solos para completar su sección del título de la evaluación de riesgos pensando en el riesgo digital general.
  • Los periodistas deben trabajar para responder a las preguntas y dar pasos concretos para mitigar el riesgo.
  • En caso de que tengan preguntas, dudas o parezca que necesitan ayuda adicional, se les debe proporcionar apoyo.

Paso cuatro

Ayude a los periodistas a reflexionar sobre el proceso haciendo las siguientes preguntas:

  • ¿Qué información has aprendido en la sesión de hoy que te ha ayudado a tomar decisiones más informadas en torno a este tema?
  • Qué más crees que necesitas aprender?

Estudio de caso

Este estudio de caso acompaña al material del curso y ofrece a los periodistas ejemplos reales de amenazas digitales contra trabajadores de los medios de comunicación. Puede utilizarse para promover el debate en torno a los distintos tipos de riesgos, así como para enseñar a los periodistas los pasos necesarios para protegerse mejor a sí mismos y a los demás.

Nuestro artículo: Estudio de caso sobre seguridad de cuentas

Informe de HRW: [Irán: Hacking de activistas, periodistas y políticos respaldado por el Estado. (https://www.hrw.org/news/2022/12/05/iran-state-backed-hacking-activists-journalists-politicians)