Todo comenzó con una llamada de un número desconocido con prefijo de Canadá. Al otro lado de la línea, una voz firme se identificó como un funcionario del ejército canadiense y planteó una pregunta inquietante: ¿estaba el reportero contactándolo a través de WhatsApp para obtener información?
Para Robert Faturechi, reportero de investigación de ProPublica, la situación era desconcertante. Aunque su trabajo implica contactar a numerosas personas constantemente, no recordaba haber intentado desarrollar fuentes en Canadá recientemente. El funcionario le advirtió que alguien estaba suplantando su identidad.
Para confirmar su identidad, el oficial canadiense envió un correo electrónico gubernamental junto con capturas de pantalla de la conversación con el impostor. Las imágenes revelaron que el suplantador utilizaba un número de Miami y la fotografía oficial de Faturechi en ProPublica como foto de perfil, a pesar de que el periodista nunca ha vivido en Florida. Bajo el nombre de «Robert Faturechi de ProPublica», el impostor escribía: «Realmente necesito ponerme en contacto con usted».
Aunque el funcionario pidió discreción, señaló que su trabajo implica relaciones con otros países, incluyendo Ucrania. Faturechi alertó al equipo de seguridad de ProPublica, quienes indicaron que la única medida posible era reportar la cuenta falsa a WhatsApp.
Dos semanas después, surgió una nueva advertencia, esta vez de un empresario letón que dirige una organización de suministro de equipo y desarrollo de drones para las fuerzas militares ucranianas.
El empresario contactó a Faturechi a través de LinkedIn, mencionando que habían hablado previamente por Signal, la aplicación de mensajería cifrada. Sin embargo, Faturechi nunca había mantenido comunicación con él por esa vía.
El empresario, sospechando que no hablaba con el verdadero reportero, compartió capturas de pantalla donde el impostor preguntaba si Faturechi era un experto en vehículos aéreos no tripulados (UAV) y afirmaba que sus «clientes» estaban interesados en la aplicación de drones en Ucrania.
Cuando el empresario sugirió una llamada telefónica, el suplantador se negó, alegando que no se sentía «cómodo» hablando por teléfono y solicitando continuar la conversación por escrito o mediante mensajes de voz. Ante la insistencia de una videollamada, el impostor envió instrucciones paso a paso para un supuesto chat seguro, que en realidad era un intento de engañar al empresario para obtener acceso a su cuenta de correo electrónico. Finalmente, el empresario bloqueó la cuenta.
Este tipo de suplantaciones resultan preocupantes en un contexto donde la confianza pública en los medios es baja y los ataques contra los periodistas han aumentado. El hecho de que los estafadores generen desconfianza en las fuentes potenciales dificulta aún más la labour del periodismo de investigación.
Aunque no se puede determinar con certeza el objetivo del impostor, este método parece ser una evolución del engaño digital. ProPublica ha documentado anteriormente el fenómeno del «pig butchering», donde traficantes de personas en Asia obligan a víctimas a estafar a otros fingiendo amistades o romances para obtener dinero.
Sin embargo, en otros casos el objetivo es el robo de información sensible mediante ataques de phishing. Un ejemplo notable ocurrió en 2016, cuando John Podesta, jefe de la campaña presidencial de Hillary Clinton, fue víctima de un correo electrónico que simulaba ser una alerta de seguridad de Google. Esto permitió a los hackers acceder a su Gmail y publicar miles de correos electrónicos, algunos de los cuales resultaron perjudiciales para Clinton y el Partido Demócrata.
Al analizar las capturas de pantalla, Faturechi notó que el impostor no solicitaba datos de tarjetas de crédito ni tarjetas de regalo, lo que sugiere que no se trataba de una estafa financiera, sino posiblemente de una operación de inteligencia enfocada en fuerzas militares extranjeras.
El periodista intentó contactar al suplantador llamando al número utilizado con el oficial canadiense, pero recibió un mensaje indicando que la línea no estaba en servicio. En Signal y WhatsApp, las llamadas sonaron repetidamente sin obtener respuesta.
La lucha contra estas cuentas es compleja, especialmente en Signal. La aplicación almacena muy poca información de sus usuarios por diseño, lo que la hace segura para periodistas y fuentes, pero dificulta la detección de impostores, ya que Signal no puede detectar enlaces sospechosos en los mensajes.
Cooper Quintin, tecnólogo de la Electronic Frontier Foundation (EFF), señaló que, aunque no conocía un caso idéntico al de Faturechi en Signal, ha observado un incremento general de estafas en la plataforma. Quintin explicó que, a medida que Signal gana popularidad, se convierte en un objetivo más atractivo para los atacantes. Para mitigar esto, la aplicación ha implementado funciones que ralentizan el envío masivo de mensajes y desactiva los enlaces de remitentes desconocidos.
Por otro lado, Runa Sandvik, experta en seguridad digital y consultora de ProPublica, explicó que la verificación de cuentas (como ocurre en Facebook o Instagram) no es viable para Signal. Esto se debe a que la organización que gestiona la app es pequeña y, más importante aún, la verificación requeriría recolectar más datos de los usuarios, erosionando la privacidad que define a la plataforma.
Mientras que Signal no emitió comentarios, un portavoz de WhatsApp afirmó que la empresa tiene un historial sólido en la prohibición de estafadores y que tomó las «medidas apropiadas» contra la cuenta que suplantaba a Faturechi, monitoreando comportamientos sospechosos como la creación masiva de cuentas desde una sola ubicación.
Ante esta situación, la mejor defensa para quien sea contactado por alguien que dice ser reportero es realizar su propia verificación.
Todos los periodistas de ProPublica cuentan con una página de biografía. En la de Faturechi, por ejemplo, se puede encontrar su contacto de Signal y su correo electrónico oficial al hacer clic en el botón de contacto. Todos los reporteros de la organización utilizan correos que terminan en @propublica.org.
Esta recomendación es válida para cualquier medio. Si existen dudas sobre la identidad de un periodista, se debe verificar su sitio web y redes sociales oficiales. Casos similares han afectado a otras organizaciones: el Modern York Times detectó recientemente una cuenta en X que fingía ser un pasante, y Reuters informó en 2023 que dos de sus reporteros en China fueron suplantados en Instagram y Telegram para obtener información sobre activistas contra las políticas de COVID-19. Asimismo, un corresponsal de Reuters en Arabia Saudita advirtió este mes sobre un impostor en WhatsApp.
Existen también campañas más sofisticadas. El gobierno alemán emitió una advertencia sobre un actor probablemente respaldado por un Estado que intentaba tomar el control de cuentas de Signal de funcionarios y reporteros en Europa. Además, el FBI anunció el mes pasado que individuos vinculados a la inteligencia rusa se hacían pasar por el departamento de seguridad de Signal para engañar a funcionarios y periodistas estadounidenses y así tomar control de sus cuentas, permitiéndoles ver conversaciones y listas de contactos.
Estas prácticas ponen en riesgo el periodismo de investigación, que a menudo depende de fuentes valientes que comparten información bajo riesgo personal. Si las fuentes dudan de la identidad del periodista, es probable que dejen de colaborar.
Sobre este punto, Runa Sandvik recomienda que los periodistas no guarden silencio cuando sean suplantados. «Hay que ser muy públicos al respecto», afirmó, «para que la gente sepa que esto está ocurriendo y esté alerta si alguien los contacta en su nombre».
