Nicolás Toledo (@NToledoG) |
El pasado martes 8 de mayo de 2018 asistí al International Seminar: The Human Factor On Cybersecurity, organizado por Crímina, el centro para el estudio y la prevención de la delincuencia de la Universidad Miguel Hernández. Fue un seminario excelente en el que se reunieron expertos en la materia de distintos países. Pero a diferencia de mi anterior publicación, el análisis de la delincuencia mediante el uso de sistemas de información geográfica, no voy a hacer un resumen del seminario, sino que, en relación con la ponencia de Luis Hidalgo, director general de Relaciones Institucionales del Instituto Nacional de Ciberseguridad (INCIBE), voy a hablar de la importancia de la ciberseguridad.
Desde la aparición de Internet la sociedad y nuestra forma de relacionarnos y trabajar han cambiado por completo. Lo que era un invento que estaba al alcance de unos pocos, actualmente se ha convertido en una necesidad para toda persona, empresa o entidad. Pero, ¿somos realmente conscientes de los riesgos que presenta el ciberespacio? ¿Tenemos en cuenta el valor que tienen nuestros datos personales?
Hay quien piensa que la ciberseguridad es solo una tarea de las grandes empresas, que a ella o él, como personas humanas, no les compete ni les afecta. Error. Seas quien seas, tu información es muy valiosa y debes protegerla.
Vivimos una época dominada por la cibercultura, por lo online: comprar, relacionarse, comunicarse, aprender, informarse y un sinfín de oportunidades que nos ofrece Internet. La mayoría de nosotros estamos conectados a la red veinticuatro horas al día, ya sea desde un ordenador, un smartphone o cualquier otro dispositivo, puesto que la moda actual es que todo esté conectado a la red. Hasta los electrodomésticos están conectados. Esto supone una mayor comodidad para los usuarios, pero a la vez supone un mayor riesgo si no se toman las medidas de seguridad adecuadas.
España es uno de los países que más cibertaques recibe. Solo en 2017 INCIBE registró 120.000 incidentes de ciberseguridad.
Tanto las empresas como las personas cometemos muchos errores que vulneran nuestra ciberseguridad, dejando nuestra información personal expuesta al alcance de cualquiera que quiera hacerse con ella. Por lo general, estos hacen se lucran con la venta de la información que obtienen de nosotros o le dan un uso malicioso.
Luis Hidalgo puso de manifiesto en su ponencia que desde INCIBE siguen percibiendo que en el ciberespacio los usuarios seguimos comentiendo los mismos errores: acceder a redes Wi-Fi públicas, usar contraseñas simples y predecibles, no utilizar protocolos de autentificación en dos pasos, utilizar softwares, sistemas operativos y aplicaciones desactualizadas, abrir correos de destinatarios desconocidos y cuyo contenido es sospechoso, ignorar la privacidad de los servicios y aplicaciones que usamos. Las empresas cometen otros como la inexistencia de protocolos de seguridad de sus redes y servidores, mantener la información de sus clientes sin cifrar, no hacer copias de seguridad o mentener estas en el mismo dispositivo o lugar que la información original, conectar dispositivos personales o desconocidos a los de la empresa, no actualizar las claves de acceso.
No obstante, nuestra ciberseguridad va más allá del mundo online; esta depedende también de lo que hacemos en el mundo offline. Por ejemplo, no es raro ver en una oficina que en la pantalla del ordenador alguien ha pegado un pósit donde está escrito el nombre de usuario y la contraseña del ordenador. Es tan importante tener una buena contraseña como percatarse si hay alguien observando cuando la tecleamos.
La tecnología y los sistemas de seguridad han evolucionado, pero nuestros errores siguen siendo los mismos: «123456» y «password» siguen siendo las dos contraseñas más usadas del mundo; conectarnos a una red Wi-Fi pública supone un gran riesgo para nuestra información; no mantener los sistemas y aplicaciones actualizados hace que estos sean más vulnerables a los ataques. Cada uno de los errores que cometemos en nuestra ciberseguridad supone una puerta abierta a nuestros datos personales.
Hace unos días todos los que somos usuarios de Twitter vivimos un problema de ciberseguridad: la empresa comunicaba que hubo un fallo de seguridad en el almacenamiento de las contraseñas de sus 330 millones de usuarios. Twitter tomó medidas al respecto, solucionó el problema y, para garantizar la seguridad de las cuentas de sus usuarios, aconsejó a todos los usuarios cambiar la contraseña lo antes posible y en cualquier otro lugar en el que la estuvieran usando.
Los usuarios de Ashley Madison no tuvieron la misma suerte cuando en 2015 hackearon e hicieron públicos los datos de los 37 de millones de usuarios que tenía la web. Este incidente produjo la ruptura de numerosos matrimonios, la quiebra de algunos negocios e incluso provocó el suicidio de ciertas personas.
El año pasado cientos de empresas españolas se vieron afectadas por un ransomware, un tipo de malware que cifra la información del dispositivo que infecta y pide el pago de una cuantía de dinero (normalmente mediante bitcoins) para recuperar la información. En concreto hablo de Wanna Decryptor (WannaCry). El caso se volvió mediático porque Telefónica fue una de las empresas afectadas por este ataque. Lo sorprendente, o no, es la forma en la que fueron infectadas. Hay quien pensará que esto fue obra de unos genios de la programación informática que hackearían los sistemas resolviendo complejas fórmulas y superando pantallas donde códigos en binario caen en cascada. Como argumento para una película no está mal. Pero la realidad es que simplemente hicieron un envío masivo de correos electrónicos infectados con el ransomware y la falta de formación en ciberseguridad de los empleados hizo el resto.
Sin embargo, la mayoría de los ataques a las empresas no los producen personas ajenas a la empresa, sino que son causados por el personal descontento o que ha sido despedido. Por ello las empresas deben actualizar periódicamente sus sistemas y claves de acceso, porque cada ataque efectivo se traduce en pérdidas millonarias directas e indirectas.
Como ya he dicho, hay personas que creen que sus datos no tiene valor y no se toman en serio su ciberseguridad, llegando incluso a despreciar por completo el valor que tiene su privacidad en la red y facilitan toda su información, incluida la localización GPS. Toda persona ajena que tenga acceso a esa información puede utilizarla en nuestra contra y esto suele dar lugar problemas muy graves como es, por ejemplo, la sextorsión.
En definitiva, la delincuencia evoluciona a la par que lo hace nuestra sociedad; los que antes robaban bicicletas ahora se dedican a suplantar identidades (phishing) para estafar en Internet. La delincuencia informática ha evolucionado de tal forma que en la actualidad en vez de crear virus informáticos crean aplicaciones para smartphones.
La ciberseguridad se ha convertido en una asignatura obligatoria que no puede ser ignorada. A día de hoy, distintos profesionales trabajan en el mundo de la ciberseguridad, entre ellos criminólogas y criminólogos, para hacer de Internet un lugar más seguro, pero depende de nosotros determinar qué nivel de ciberseguridad y privacidad queremos tener.
La próxima vez que veas una red Wi-Fi pública, cuando te llegue un mensaje en cadena por correo electrónico donde hay un archivo adjunto o un enlace, cuando entres a una página web y una ventana emergente te diga que has ganado un premio o que en tu zona hay gente que quiere conocerte, cuando te pidan tus datos personales y no exista información ni declaración de consentimiento, piénsalo dos veces antes.
En mis publicaciones en CyS trato de ser breve, me limito a dar a conocer las cuestiones fundamentales del tema del que esté hablando. En este caso en concreto considero que es innecesario que yo os hable más porque no soy un experto en ciberseguridad y, además, ya existen entidades públicas que ofrecen información al respecto de forma gratuita. Aquí os dejo algunas de las más importantes:
- Agencia Española de Protección de Datos: www.agpd.es.
- Instituto Nacional de Ciberseguridad (INCIBE): www.incibe.es.
- Cert de Seguridad e Industria (CERTSI): www.certsi.es.
- Oficina de Seguridad del Internauta (OSI): www.osi.es.
- Internet Segura for Kids (IS4k): www.is4k.es.
- Observatorio de Internet: www.e-observatorio.es.
- Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC): www.cnpic.es.
- Agencia de Seguridad de las Redes y de la Información de la Unión Europea (ENISA): https://europa.eu/european-union/about-eu/agencies/enisa_es.
Además de todas estas agencias, como recomendación personal, os invito a seguir el blog de Chema Alonso, que, entre otras muchas cosas, se dedica a divulgar sobre seguridad informática. También podéis encontrar sus conferencias y entrevistas en YouTube.
- Un informático en el lado del mal: www.elladodelmal.com.
Criminología y Sociedad 