El experto participó en el encuentro gallego Ciber.gal, organizado por Amtega y el nodo gallego de ciberseguridad
14 nov 2021 . Actualizado a las 05:00 h.Antonio Fernandes, hacker y divulgador en ciberseguridad, fue uno de los participantes en el encuentro gallego de ciberseguridad Ciber.gal, que se celebró esta semana en Santiago. Aglutinó a los principales referentes en materia de seguridad en la Red organizado por Amtega y el nodo gallego de ciberseguridad Ciber.gal.
—¿En qué nivel estamos los gallegos en materia de seguridad?
—A la ciberseguridad no se le da la importancia que tiene. A veces la gente no tiene por qué tener estos conocimientos, porque son de índole técnica, pero la tecnología está metida en nuestras vidas de tal manera que nos controla. Cuando se oye hablar de ciberataques parece que es algo que solo les pasa a las grandes empresas, pero todos tenemos en nuestros móviles información que no nos gustaría que saliese a la luz. Andamos con ordenadores por la calle enviando mensajes, compartiendo nuestra privacidad... Si usas WhatsApp esta compañía utiliza los metadatos para conocer tus gustos. La ciberseguridad está cada vez más presente en el día a día y la gente no lo sabe, por eso este tipo de eventos son interesantes para conocer esa realidad.
—¿La relación con la tecnología es como si cada ciudadano condujese un coche, pero solo unos pocos tuviesen el carné?
—Vamos a dos velocidades. Tenemos a la gente de más de 35 años, que ha visto cómo esto ha venido a nuestras vidas poco a poco, y tenemos a la nueva generación que decimos que son los digitales, pero no lo son. Nosotros hemos visto evolucionar los dispositivos y a algunos nos ha dado por meternos en este apasionante mundo para ver lo que hay detrás. Pero la mayoría de la gente utiliza estas cosas como si fuesen un producto. Tú tienes en tu mano algo que hace juegos mágicos y lo usas libremente, pero está conectado permanentemente a Internet. Solo tenemos en consideración los peligros del mundo físico, pero en el mundo virtual pueden hacerte incluso más daño. Cuando vas por una calle oscura por la noche y vas a alguien con mala pinta te cambias de acera. Pero en el mundo virtual no tenemos este reflejo, porque no vemos el daño que nos pueden hacer. Está el ciberacoso, el bullying, cosas que ya existían en el mundo físico y que han venido al virtual, donde es más difícil identificar al agresor y el propio delito.
—En el mundo de la empresa los riesgos son mayores por la cantidad de datos en juego. ¿Hay conciencia de ello?
—No, las empresas no están preparadas en absoluto. Por ahora la ciberseguridad se trata como un gasto, cuando es una inversión. Se cree que comprando un aparato carísimo ya estás seguro, pero la seguridad en una corporación no es solo comprar tecnología. También va de los procesos, de las personas. Los malos utilizan trucos para engañar a los empleados y conseguir no solo el cifrado de los datos, sino para que hagan transferencias a cuentas que no deberían. Hay que hacer mucha concienciación para que los compañeros lleven la ciberhigiene a su día a día. Cuando los malos tienen muchas ganas de atacar a una empresa llegan al punto de investigar las redes sociales de los empleados, van a través de ti o de tus familiares o de una de las empresas que trabajan contigo... En las empresas de Galicia las personas dedicadas a la ciberseguridad no creo que lleguemos a una docena.
—Se hace más importante la figura del «hacker» bueno. ¿Le convence esta definición?
—El hacker siempre es bueno. No hay posibilidad de que sea malo. Un hacker es una mente curiosa que quiere saber cómo funcionan las cosas de otra manera. De hecho se puede aplicar a más ámbitos que a la seguridad informática. El que utiliza esos conocimientos para hacer el mal es un ciberdelincuente. Un hacker nunca es un ciberdelincuente. Va también de lo que ahora llaman las soft skills, de cómo transmitir el hacer bien las cosas a tus compañeros de manera que no sea impositiva. Hay muchos perfiles dentro de la ciberseguridad.
—¿Abarcar todas las amenazas es posible?
—No. Cuando hablamos de ciberdelincuentes pensamos en un chaval con capucha en una habitación y no es eso. Son mafias que tienen drogas, armas, trata de blancas y, aparte, cibercrimen. Con tanto dinero que manejan, por el cual no tributan, tienen muchos recursos para conseguir fallos que nadie conoce y solo se dedican a secuestrar empresas y a fastidiar. Esto ya mueve más dinero que el narcotráfico, lo que da una idea de su potencial. Lo único que podemos hacer de este otro lado los que estamos defendiendo es colaborar entre nosotros. Aquí los únicos que pueden detener a los malos son los cuerpos y fuerzas de seguridad del estado, que tienen que tener más medios para localizarlos y llevarlos a la cárcel.
—¿Qué puede hacer cada persona en particular para protegerse?
—Lo primero es el sentido común y pensar que nadie regala nada para protegerse de fraudes y estafas. Además, hay que tener en cuenta que todos los días salen publicados en la dark web listas de usuarios y contraseñas que se hacen públicas. De modo que si tú usas el mismo usuario, que suele ser tu correo, y la misma contraseña en todas partes, con que salga publicado una vez es suficiente para que esta gente pruebe ese usuario y contraseña en todos los servicios y te los puedan secuestrar, expandir un virus o una estafa. Habría que tener un gestor de contraseñas y usar una distinta para cada servicio de Internet. Existe también un segundo factor de autenticación, que te pide, además, un código. De esa manera se lo vas poniendo más difícil a los delincuentes. En eso consiste, porque la seguridad cien por cien no existe. Sobre la contraseña del wifi de casa, no voy a decir que haya que cambiarla cada semana o cada mes, pero sí al menos una vez al año. No solo por si te están robando Internet, sino sobre todo porque pueden entrar en tu red doméstica y ver tus ordenadores. A lo mejor tu vecino sabe un poco más que la media y se pone a husmear. Estas cosas suceden. No recomiendo conectarse a las redes wifi públicas, porque a lo mejor quien está detrás no es quien tú crees. Es importante tener el ordenador actualizado y tener un antivirus, que mucha gente no usa. Y un aviso para padres, no lo deis el móvil de empresa a vuestro hijo. Puede bajar cualquier aplicación que tenga un regalito.
—¿Cómo se puede ir sobre seguro a la hora de descargar aplicaciones?
—Eso depende de cada uno. Yo soy muy frugal en ese sentido y me pregunto: ¿tengo realmente la necesidad de usar esta aplicación? Hay quien tiene 400 aplicaciones que ha usado una vez y no ha hecho limpieza. Vivimos en una sociedad del consumo directo, rápido. Lo queremos todo ya y esto es utilizado por los malos para ganar dinero. Y cobran bastante más que nosotros.
—Desde el comienzo de la pandemia la vida se ha vuelto más digital y los ciberataques han aumentado. Todos los días se conocen estafas, robos en cuentas bancarias. ¿Estamos más expuestos que antes?
—Diría que no. Estamos igual de expuestos que antes. Simplemente los malos han subido su nivel de agresividad. Utilizan sesgos cognitivos para convencerte y que piques mejor. Han subido los ataques y no pararán de subir. ¿Es posible llegar al apagón total? No, porque tenemos muchas formas de volver a manual en muchas de las infraestructuras críticas. ¿Que igual estamos unos días sin luz? Eso puede pasar, no solo por un fallo informático. Cada vez somos más dependientes de la tecnología, pero eso no es malo si haces las cosas bien invirtiendo en ciberseguridad. Cuantas más tareas hagan las máquinas más tiempo libre tiene el hombre para ser creativo e ir más allá.
—Con el Internet de las Cosas (IoT) tendremos cada vez más aparatos conectados, luego el riesgo también será mayor.
—Cuanto más aumentes la exposición de aparatos más crece el número de riesgos potenciales. ¿Qué pasará con el IoT? Lo primero, no te compres un dispositivo extraño, compra algo de una marca reconocida, con algún sello de calidad y sigue las recomendaciones de seguridad. Mucha gente coge los aparatos, los instala y ya está. Eso quiere decir que es probable que tenga un usuario y contraseña por defecto, con lo cual alguien que tenga acceso a la red wifi de tu casa puede entrar en tu bombilla conectada. Ocurrió en un casino de Las Vegas hace unos años. El local tenía una pecera inteligente y, a través de ella, lograron entrar en el casino y robarles el dinero. ¿Por qué? Porque la pecera tenía como usuario y contraseña «administrador», los que traía de fábrica por defecto. Hay que pensar que igual no tienes que conectar las cosas a Internet.