Por Stéphane Labarthe
Ya son cuatro años en los que la Fundación Karisma ha dado talleres de seguridad digital para la sociedad civil colombiana. Este proceso nos ha permitido darnos cuenta de las grandes necesidades que hay en esta área. En el país, las amenazas físicas se mantienen para estas organizaciones y para los líderes sociales, pero las amenazas digitales están creciendo y a veces se vinculan con las primeras.
La experiencia ganada ha demostrado que solo con talleres –así sean trabajados y adaptados de la mejor manera a cada organización– es difícil que se generen cambios concretos. A los problemas de tiempo, dinero y exceso de trabajo, se suma que implementar medidas que eleven las capacidades de las organizaciones requieren cambios de hábitos y una transformación de las prácticas internas de la organización que no es fácil de lograr.
Para poder dar recomendaciones más ajustadas y conocer mejor el estado en que se encuentran este tipo de organizaciones, desde hace año y medio, el K+LAB empezó a realizar auditorías exploratorias de seguridad digital que incluye también un taller básico de seguridad digital.
Lo hicimos primero con 7 organizaciones de la sociedad civil colombiana, que trabajan en áreas tan disímiles como derechos de la población LGBTI+, de las mujeres, de las víctimas y personas desplazadas, que ofrecen ayuda e información para personas que consumen sustancias psicoactivas, y también ambientalistas. Posteriormente, sumamos otras dos que trabajan con temas culturales en zonas que tienen un historial de violencia y problemas sociales.
Trabajar con estas organizaciones más allá de un taller, enviándoles un cuestionario de seguridad digital, después conduciendo una auditoría con preguntas y entrevistas específicas, visitas a sus oficinas y análisis técnicos, nos permitió confirmar que las amenazas no son una teoría. El imaginario que teníamos de los riesgos y vulnerabilidades que enfrentan diariamente estas organizaciones se nos queda corto. Varias han recibido amenazas físicas a través de panfletos, sus redes informáticas también ha intentado atacarlas. El robo de computadores en sus oficinas es un incidente de seguridad que encontramos. Otras han sido víctimas de fraudes bancarios que hicieron que perdieran fondos. Incluso las amenazas digitales se han hecho realidad en momentos claves para el trabajo de la organización. Por ejemplo, la falta de respaldo de la información frustró una presentación de un informe ante Naciones Unidas.
Estos ejemplos son la punta del iceberg. Somos conscientes de que hay otras amenazas que son más difíciles de documentar: chuzadas, la utilización de software de control remoto y otros ataques que siempre quedarán invisibles. ¿Por qué? Es difícil recabar las evidencias y más difícil que las organizaciones sepan que hacer y cómo preservarlas.
Es labor de las autoridades prestar el apoyo necesario. Sin embargo, ante un escenario en el que se ha desconfiado, con causa, de la fuerza pública y de los investigadores oficiales, este tipo de colaboraciones entre las organizaciones y las autoridades es aún más difícil.
Nuestro trabajo no se limitó a elevar el conocimiento y conciencia de las organizaciones en seguridad digital ni en identificar las vulnerabilidades y amenazas. Analizar los riesgos y las capacidades de las organizaciones, nos ha permitido generar unas recomendaciones y una hoja de ruta adaptada a las organizaciones, cuyo fin no es otro que mejorar su seguridad digital.
La metodología que hemos desarrollado es lo suficientemente flexible para adaptarse a los recursos, estructuras y capacidades de las organización. Por ejemplo, probamos que es posible modificar nuestra metodología para trabajar junto con una red de organizaciones que dispone de pocos recursos, carecen de computadores propios e incluso una infraestructura tecnológica interna. Sin embargo, lo digital es indispensable, siguen usando herramientas digitales para conectarse y realizar muchos de sus trabajos. Salir de nuestra zona de comodidad, no obstante, nos inspiró para desarrollar 10 recomendaciones en seguridad digital para líderes sociales.
Reconocemos que el impacto puede ser mayor si hay más personas con el conocimiento necesario para replicar estas experiencias y, así, llegar a más activistas, más organizaciones y colectivos. Eso nos llevó a , generar un módulo para formar a nuevos auditores. Para esto, decidimos fusionar nuestra metodología con la desarrollada por Internews, Safetag.
Somos conscientes que se podría ir más lejos. Con los recursos adecuados y el compromiso de las organizaciones auditadas, podríamos hacer un seguimiento “postauditoría” y acompañar la implementación de las recomendaciones.
Las auditorías de seguridad digital, aunque muy comunes para empresas privadas y organismos del Estado, todavía no lo son para organizaciones de la sociedad civil. Son menos comunes cuando las organizaciones son pequeñas, cuentan con escaso recursos y hay pocos casos en los cuales se combinan las auditorías con talleres. Sin embargo, creemos que este trabajo está generando cambios reales en términos de la consciencia y algunas prácticas básicas de seguridad digital entre las organizaciones que han hecho parte de estos ejercicios. Y eso es un valor importante a destacar del espíritu con el que construimos en Karisma el K+Lab.
Nota: El trabajo y los proyectos mencionados en este artículo se lograron hacer gracias a diversos apoyos externos, en particular agradecemos a la Open Technology Fund (OTF), Open Society, Access Now e Internews.