"No se salva nadie porque hallar un sistema vulnerable es posible"

Carlos García Sánchez imparte este jueves una charla sobre ciberseguridad, dentro de Encontros en El Progreso, a las 19.30 horas, en la Casa do Saber

Carlos García Sánchez. EP
photo_camera Carlos García Sánchez. EP

Se dice que la información es poder, ¿ahora más si cabe?

Se dice que los datos son el nuevo petróleo. Vivimos en una sociedad rodeada de datos, de los que somos conscientes que facilitamos y, sobre todo, de los que no somos conscientes. Damos más información de lo que creemos y el problema viene con el tratamiento que hacen las empresas de esos datos. Por mucho que intentemos protegernos, si se los facilitamos a un tercero dependemos de cómo los custodie este.

¿Somos conscientes del riesgo al que nos exponemos?

No somos conscientes del riesgo. Ese es uno de los mayores problemas. Cualquier usuario es válido para recibir un ataque. Todos tenemos una vida, ya sea para que nos puedan extorsionar con una foto que han encontrado en nuestro móvil, para poder controlar nuestro dispositivo, para simplemente minar bitcoins o para poder hacer otro ataque a través de un dispositivo que hayan comprometido.

Los usuarios somos los más vulnerables, pero tampoco se han salvado grandes compañías como Microsoft o Facebook, o incluso el Departamento de Defensa de EE.UU., el Pentágono...

No se salva nadie porque al final encontrar un sistema vulnerable no es que sea fácil, pero es posible. No deja de estar programado por un humano y en algún momento alguien encuentra un fallo, que o bien lo notifica, que sería el camino responsable, o bien lo explota o lo vende, que es lo que se conoce comúnmente como zero days. Hay empresas que se dedican a comprar esas vulnerabilidades, por algunas se llegan a pagar millones, y lo que hacen después con esta información no se sabe muy bien, pero si realizan ese desembolso millonario seguro que es porque lo recuperan después.

¿Las empresas invierten lo suficiente en ciberseguridad?

Las grandes compañías están invirtiendo y, sobre todo, intentando concienciar a sus empleados e incluso algunas a sus clientes. ¿Cuál es el problema? que estas subcontratan y cuando recurren a pymes estas tal vez no tienen la conciencia o el músculo económico para hacer frente a un buen programa de seguridad, y al final por ahí viene el problema.

Usted trabaja en banca. ¿Es el principal blanco de los ciberdelincuentes?

No necesariamente. La banca es un sector altamente regulado y uno de los primeros que invirtió en programas de ciberseguridad. En general está bien protegido. Al final hay ataques, pero dirigidos al usuario más que a la banca en sí. Hay otros sectores más apetecibles para los atacantes, como corporaciones eléctricas, de gas… porque con los datos que obtienen de estas pueden atacar al usuario de banca.

¿Cuál es la práctica más común?

El phishing —suplantación de identidad— es utilizado a diario. Con la guerra y la pandemia hemos visto que los atacantes se aprovechan de la oportunidad que suponen las campañas para la donación de dinero para Ucrania o antes las relacionadas con la vacunación. Y también tenemos el smishing. En este caso aprovechan que las entidades financieras y los organismos mandan verificaciones al teléfono por sms.

¿Qué consejos da para no ser víctimas de ciberataques?

La primera regla de oro es desconfiar. Igual que en el mundo real nadie te regala nada, en el digital tampoco. No te ha tocado algo en un sorteo en el que no has participado. El segundo es fijarse. Siempre hay pequeños matices, como en el phishing, que nos hacen darnos cuenta de que no es lo que parece. Por ejemplo creemos que estamos entrando en la web de un banco y en el nombre del enlace tiene dos T en vez de una o en lugar de una O tiene un cero. Y sobre todo la urgencia, es un arma que utilizan los criminales siempre. Por ejemplo, nos llega un mensaje de que se ha detectado en nuestra cuenta una transferencia de 50.000 euros y nos pide que pulsemos un enlace si no hemos sido nosotros. Si pulsas ese enlace lo que estás haciendo es la transferencia en realidad. Esa urgencia que nos mete miedo es uno de los factores que nos tendría que hacer desconfiar.

Con este preocupante panorama que describe, ¿qué hace usted?

Yo uso internet, tengo redes sociales como todo el mundo, pero tomo precauciones, cambio mis contraseñas cada poco tiempo, nunca utilizo la misma para dos cosas diferentes...

¿La de experto en ciberseguridad será un profesión con tirón?

Tiene mucha demanda. Hace tiempo no se podía estudiar como tal, a día de hoy hay másteres, formación… 

La reciente polémica por el espionaje a miembros del Gobierno español con Pegasus ha puesto otra vez en tela de juicio el buen uso de las nuevas tecnologías.

Pegasus es el software con mejor fama del mercado, pero no es el único, existen otros tipos de malware, unos más fácil de adquirir que otros, Pegasus no lo es por su coste. Supuestamente solo se vende a gobiernos, pero realmente no es así. Llevamos todos en el bolsillo un dispositivo con unas capacidades de espionaje enormes y tenemos que ser muy precavidos. En las reuniones de alto nivel en cualquier lugar del mundo se dejan los terminales fuera de la sala porque nadie se fía. El caso Pegasus en España llama la atención porque nuestros servicios secretos no se dieron cuenta. Hay programas similares que son gratuitos o de un coste asequible. La principal diferencia es que Pegasus tiene ciertas características que le permiten instalarse sin interacción del usuario, mientras que con el resto de programas es preciso engañar a la víctima para infectar el dispositivo.

"La legislación va años por detrás de los cibercriminales"

Se estima que la pandemia ha acelerado cinco años el comercio online, ¿eso ha acrecentado el riesgo?

Se ha disparado el riesgo porque utilizamos más internet, pero también se han disparado los ataques. Los criminales se están dando cuenta que no hace falta una gran infraestructura, ni un gran conocimiento para poder realizar ataques y sobre todo la legislación va años por detrás, pese a que tenemos muy buenos profesionales en España. Los ciberdelincuentes saben que pueden realizar una campaña de phishing durante 15 días, coger el dinero y desaparecer. Las consecuencias son casi nulas. Gente joven con acceso a información muy fácilmente acaba poniéndose en este lado del mal.

¿Cómo considera entonces que se debería corregir la legislación?

No hay una legislación clara de dónde está el delito. Hay casos muy claros que son constitutivos de delito, pero otros no. Es el anonimato de internet. La legislación española tiene muy poquito poder de actuación ante cualquiera que abra una cuenta en un banco de un país africano. Al final los cibercriminales lo saben y cuando hacen una estafa mueven el dinero de un sitio para otro hasta que lo ponen lejos del radar de las autoridades. Un criminal lo puede hacer en un par de días, las autoridades en un par de días no han conseguido la orden, ni siquiera han podido contactar con la entidad bancaria donde se movió el dinero por primera vez. Aquí la prontitud es un factor clave.

El comercio electrónico ha acrecentado el riesgo, ¿y el teletrabajo?

El teletrabajo ha sido un reto muy grande para las empresas, sobre todo para las que tienen modelos tradicionales, que no estaban preparadas. Hay muchas que se han adaptado bien, pero hay otras muchas que aún siguen a día de hoy con carencias importantes de seguridad, tanto tecnológicas como por la concienciación de la gente. El eslabón más débil es por donde te van a atacar y normalmente es el usuario. Tenemos casos de empleados que trabajan desde su casa que no se preocupan de bloquear el ordenador porque no tienen ese concepto de que puede ser peligroso porque están en su lugar de confianza.

Comentarios