SecureDrop

SecureDrop (securedrop.org) es el *sistema de envío para denunciantes que las redacciones serias realmente utilizan* — una plataforma de código abierto de la Freedom of the Press Foundation que permite a una fuente enviar documentos a periodistas con un modelo de amenaza que asume que la red, y la propia situación de la fuente, son hostiles.

Antecedentes. SecureDrop tiene su origen en el proyecto *DeadDrop* (en el que trabajaron originalmente Aaron Swartz y el periodista Kevin Poulsen) y ha sido gestionado desde 2013 por la *Freedom of the Press Foundation*, una organización sin fines de lucro. Es desplegado por los principales medios de investigación de todo el mundo, cada uno ejecutando su *propio servicio onion Tor por redacción* para los envíos de fuentes. Esa administración sin fines de lucro, el código fuente abierto y una década de uso en el mundo real bajo condiciones adversas son la razón por la que obtiene una A en /tools — esto es infraestructura probada en combate, no un gadget de privacidad.

En qué confías. En la arquitectura, porque el *código es abierto y el modelo de amenaza es explícito y pesimista*. Una fuente envía a través de *Tor* al `.onion` dedicado de la redacción, de modo que ni la IP de la fuente ni el hecho de la conexión quedan expuestos a un observador pasivo de la red. Los periodistas recuperan los envíos en una *estación de trabajo aislada* (la configuración recomendada usa Qubes OS), descifrando los documentos en una máquina que nunca toca internet — lo que contiene el daño si el portátil cotidiano de un periodista resulta comprometido. La Fundación publica un *directorio público de qué redacciones ejecutan una instancia*, para que una fuente pueda verificar que está enviando al medio real y no a un impostor. Confías en un sistema auditable y en una organización sin fines de lucro, no en la promesa de un vendedor.

Especificaciones operativas. El envío es solo por Tor a través del onion de la redacción, sin cuenta, sin correo electrónico y sin metadatos identificativos requeridos de la fuente. El lado del servidor es un despliegue reforzado y documentado que las redacciones auto-alojan; el lado del periodista prescribe el descifrado en equipo aislado (flujos de trabajo Qubes/Tails) y GPG. Nombres en clave, no identidades, rastrean el hilo de envío de una fuente. Todo es gratuito y de código abierto, las guías de despliegue y los pasos de refuerzo son públicos, y el directorio de instancias activas se mantiene en securedrop.org (y a través de su propio onion).

Filosofía. La protección de fuentes es un problema de libertad de prensa, y la única protección duradera es *técnica, no procedimental* — no puedes citar metadatos que nunca fueron recolectados, y no puedes coaccionar a un periodista para que revele una fuente que estaba arquitectónicamente impedido de identificar. SecureDrop codifica ese principio: asume que la red está vigilada, asume que los dispositivos pueden ser incautados, asume que el adversario es un estado, y diseña para que el sistema aún proteja a la fuente. Liberarlo como código abierto y gestionarlo como un bien público sin fines de lucro es la única configuración consistente con esa misión.

Justificación de la calificación. A en /tools. La calificación refleja administración de código abierto y sin fines de lucro (Freedom of the Press Foundation); un modelo de amenaza riguroso y explícitamente adversario; envío con metadatos mínimos solo por Tor; flujos de trabajo periodísticos con equipo aislado; y un directorio público verificable de instancias. Es la implementación de referencia para infraestructura de denunciantes — nada más en la categoría combina esta procedencia, adopción y disciplina.

Útil cuando. SecureDrop es para *fuentes con algo genuinamente sensible que divulgar a una redacción*, y para *redacciones que necesitan un canal de recepción creíble que proteja a las fuentes*. Si eres una fuente potencial, usa el directorio de la Fundación para encontrar la instancia de tu medio objetivo, sigue las instrucciones de Tails/Tor exactamente y envía solo a través del onion verificado. Si eres una organización, es el estándar de oro para desplegar — con la seriedad operativa que exige.

Advertencias. La protección de SecureDrop es tan fuerte como la *seguridad operativa que la rodea* — una fuente que se conecta desde una red identificable, filtra su nombre en clave o ignora las indicaciones de Tails/Tor puede desanonimizarse independientemente de lo sólido que sea el sistema. Ejecutar una instancia correctamente (Qubes/Tails aislado, hardware, mantenimiento) no es trivial y exige un compromiso real de la redacción; un despliegue mal configurado es peor que ninguno. Y resuelve el *envío*, no los riesgos legales y físicos posteriores que una fuente puede enfrentar. Estas son advertencias de disciplina operativa, no del diseño — razón por la cual SecureDrop combina el software con guías detalladas de refuerzo, y por lo que se sitúa en la cima de la categoría.