Josep Albors: «El Internet de las cosas no es seguro»

Josep Albors (Muro de Alcoy, Valencia, 1978), un experto en administración y sistemas informáticos, ha participado esta semana en el Congreso de Seguridad Informática Sec Admin de Sevilla, donde ha alertado de los peligros que entraña «el internet de las cosas» si no se toman medidas preventivas. Josep, director de comunicación y responsable de laboratorio de Eset España, una empresa eslovaca con más de 100 millones de usuarios que desarrolla antivirus para particulares, pymes y grandes empresas, se define como un «friki» de la informática desde que era pequeño «Sigo siendo friki -admite- y estoy recuperando ahora consolas y ordenadores de cuando era pequeño para volver a usarlos. Pertenezco a una asociación de amantes de la retro informática. Tenemos un salón que se llama Arcade Vintage y vamos a diferentes ciudadanes para que la gente conozca esas máquinas».

-Usted colabora con iniciativas como X1RedMasSegura, que busca concienciar a los usuarios para que hagan un buen uso de Internet y las nuevas tecnologías. ¿Navegar sin seguridad en la red es como conducir un coche sin cinturón de seguridad?

-Es mucho peor porque a día de hoy tenemos toda una serie de dispositivos conectados y cedemos alegremente nuestra información a cualquiera que quiera verla, incluso de forma voluntaria. Sólo hay que ver las redes sociales. Si no medimos con quien compartimos esa información puede volverse en nuestra contra no sólo en el mundo digital, sino también en el mundo real.

-Da charlas de concienciación y educación en seguridad informática y privacidad en centros educativos de todo tipo, desde colegios de primaria a centros universitarios. ¿Son los jóvenes conscientes del peligro que corren en internet si no se protegen?

-Sí, el problema es que a la hora de protegerse no lo hacen porque entienden que la seguridad implica menos usabilidad, ya que hay que poner contraseñas fuertes, usar el doble factor de autenticación... Estar más seguro exige tiempo, cuando la gente quiere sacar su móvil, conectarse y publicar la foto que se acaba de hacer en Instagram.

-Es difícil ver a un niño pequeño solo en la calle, pero en Internet están solos mucho tiempo y se exponen sin mucho control. ¿Estamos preparados los padres para este reto educativo?

-Por desgracia no y eso lo veo en las charlas. Muchos padres no quieren aprender nada. Te dicen que si tienen un problema les quitarán el móvil a sus hijos, pero no saben que pueden usar el móvil de un amigo o conectarse a internet desde el colegio. No puedes escapar de internet. ¿Qué van a hacer? ¿Meter a sus hijos en un búnker durante 15 años? Esa no es la solución. Los padres tienen que aprender a usar internet.

-El Congreso de Seguridad Informátca de Sevilla ha reuniodo a más de 400 hackers «éticos». Según la RAE, un hacker es un pirata informático. ¿Usted cómo lo definiría?

-Estoy en total desacuerdo con la RAE. Un hacker es una persona muy curiosa en el campo tecnológico, una persona a la que le gusta saber hasta qué límites puede explotar un hardware o un software, y si descubre un fallo, una vulnerabilidad, un agujero de seguridad... lo comunica para que se solucione y que el resto de usuarios no tenga problemas.

-Entonces habría que distinguir entre hackers éticos y hackers malos.

-Es que para mí está el hacker y el criminal. No hay hackers malos. Quien cruza la línea es un criminal.

-Es fácil cruzar esa línea y pasarse al lado oscuro, como Darth Vader en La Guerra de las Galaxias.

-Sí, de hecho algunos hackers cruzan esa línea pero luego han vuelto y han comunicado lo que han descubierto. Hay una Ley de Enjuiciamiento Criminal que te dice hasta dónde puedes llegar. El problema es que a la hora de proteger los sistemas muchas empresas no lo tienen en cuenta y accidentalmente una persona puede encontrar en la red una base de clientes totalmente accesible o con una seguridad mínima.

-¿Esto sería el equivalente de lo que pasa cuando una empresa tira a la basura listados en papel con datos de clientes?

-Exactamente.

-¿Los hackers tienen la obligación de comunicar a las empresas, gobiernos, particulares y organismos los fallos que detectan antes de hacerlos públicos?

-No tienen obligación pero lo hacen voluntariamente porque esos fallos afectan a muchos usuarios. En un mundo ideal, la empresa a la que se le comunica el fallo debería dar las gracias y solucionar el problema. Pero como no estamos en un mundo ideal, hay empresas que no remedian el fallo o bien terminan denunciando al hacker pensando que estaban siendo extorsionados. Por suerte, hay mecanismos que permiten a los investigadores comunicar esos fallos de forma responsable y sin tener problemas a través de la Policía Nacional, la Guardia Civil, Mossos d'esquadra, Ertzaintza, centros de alerta temprana... También pueden comunicarlo al Centro Critptológico Nacional, vinculado al CNI, que se pone en comunicación con las empresas para que pongan remedio.

-¿Por qué una empresa no va a solucionar un problema de seguridad sobre el que ha sido alertada?

-Primero, porque algunas se exponen a que salga el tema en medios de comunicación y no quieren que les dé mala imagen. También puede resultarles caro o les exige un tiempo para solucionarlo. En otras ocasiones no hacen nada por desidia. Pero eso cambiará porque en mayo de 2016 la Unión Europea aprobó un nuevo reglamento de seguridad y  protección de datos. Todas las empresas europeas como las de fuera que hacen negocios con datos de usuarios europeos tienen hasta el 28 de mayo de 2018 para cumplir una serie de normas que mejorarán la privacidad. En caso de no cumplirlas pueden verse multas de hasta 20 millones de euros o del 4% de la facturación anual de la empresa que incumpla. Así que vamos a ver en los próximos meses muchas empresas intentarán ponerse al día.

-No debe de haber mucho paro entre los investigadores de seguridad informática o hackers.

-Sí que hay paro. De hecho, hay muchos hackers mileuristas en grandes capitales, como Madrid  o Barcelona. Hay empresas que se aprovechan de gente muy buena que acaba de salir de las universidades o que llevan años trabajando siendo autodidactas y les ofrecen un puesto cobrando lo mínimo y sin posibilidad de promoción. ¿Soluciones? Muchos hackers han optado por salir de España, con lo que estamos perdiendo talento, y otros montan sus empresas, aunque ya sabemos cómo está el tema de los autónomos en España

-¿Cuál es el perfil del ciberdelincuente?

-Al ciberdelincuente sólo le mueve el dinero. Si descubre un fallo de seguridad no lo comunica a la comunidad y lo único que quiere es ganar dinero, ya sea robando o vendiendo información. Es decir, que vulneran cualquier sistema de seguridad o afectan a la privacidad de sus víctimas con tal de lograr un beneficio propio.

-Usted ha hablado en su conferencia sobre el internet de las cosas pero ha titulado su disertación «El internet de las tortas». ¿Por qué?

-Porque hablo de las tortas que se pegan los dispositivos que conectamos y, como consecuencia, los datos de los usuarios.

-¿Por qué pueden ser un peligro para nuestra seguridad algunos routers, webcams, televisiones inteligentes, los juguetes, las pulseras que miden el rendimiento deportivo, cámaras de vigilancia, lavadoras conectadas a internet...?

-La gran mayoría de esos aparatos que se conectan a internet tienen fallos de seguridad que vienen de fabricación. Esto se puede atacar obligando a los fabricantes, como ya ha hecho la UE, a cumplir unas normas mínimas de seguridad. Si usamos el internet de las cosas y no nos protegemos, tenemos que asumir los riesgos, pero el problema es que muchas veces el usuario no puede actualizar el software de algunos aparatos porque el fabricante no lo permite.

-¿Está garantizada la privacidad de nuestros datos en las redes sociales?

-Lo que hay que hacer es trasladar lo que hacemos en la vida real al mundo virtual. ¿A qué nadie se le ocurriría ir por la calle pegando carteles con su información personal y fotos? Pues no lo hagamos en redes sociales subiendo fotos comprometidas o privadas. Si no hablas con desconocidos por la calle, ¿por qué hacerlo en internet? Si no aceptas regalos sospechosos en la calle, pues no lo hagas en la vida digital.

-¿Por qué los fabricantes no hacen teléfonos ultra privados, como los blackphones?

-Porque eso no vende. Sólo los compramos cuatro frikis.

-Escuchamos que iOS -el sistema operativo de iPhone y iPad- es menos vulnerable que Android. Y en ordenadores, que Windows es menos seguro que Linux.

-No es que sean menos vulnerables, sino que los delincuente miran por su beneficio económico y se basan en la cuota de mercado. La cuota de Windows es del 91% y la de Android es del 92% en España. ¿A qué vas a atacar: a algo que tienen miles de personas o a lago que tienen cuatro gatos? También hay que tener en cuenta que Android es Linux modificado, con lo que eso de que Linux es seguro habría que pillarlo con pinzas. Todos los sistemas operativos tienen vulnerabilidades. Linux tiene una comunidad de usuarios que revisa su código y lo hace más seguro que Windows, pero también es verdad que Windows ha hecho una inversión muy fuerte en seguridad en los últimos años y, a pesar de que sigue siendo atacado, ya no es como cuando todos usábamos Windows XP y es más difícil atacarlo. Mac es otro sistema operativo que no tiene los mismos ataques que Windows, pero tiene vulnerabilidades, fallos y malware. Quien diga que con un Mac es invulnerable al malware está equivocado.

-¿Qué tres consejos daría para no ser víctimas de ciberataques?

-En el mundo de la informática la seguridad al cien por cien no existe, pero puedes poner barreras para que sea más difícil que te ataquen. En primer lugar, tanto si se usan dispositivos móviles como ordenadores de mesa, siempre es recomendable tener actualizado su sistema operativo como sus aplicaciones. Esas actualizaciones no se lanzan porque sí, sino porque hay agujeros de seguridad que solucionar. En segundo lugar, contar con antivirus actualizados para proteger tu equipo. La tercera medida es cuidar nuestra privacidad, no compartiendo más información de la que deseemos y si lo hacemos sólo con aquellos usuarios que queramos. Esa privacidad tenemos que aplicarla a todo nuestro campo de actuaciones, es decir, evitar conectarnos a wifis públicas que no sabemos quiénes la gestionas o usar VPN si lo hacemos; usar contraseñas fuertes; el doble factor de autenticación...

-¿Qué podemos hacer para comprar seguro en internet?

-Hay gente que se confía cuando la página tiene un candidato pero no siempre es válido porque ese candado sólo te dice que tiene un certificado que puede comprar cualquiera, incluido un delincuente. Es recomendable comprar en sitios de confianza, que tengan buena reputación entre los usuarios. Otra capa de seguridad es usar sistemas como Pay Pal, de modo que tu dinero pasa antes por una pasarela, de forma que puedes reclamar más fácilmente si tienes algún problema. No obstante, las tarjetas están haciendo mucho para mejorar estos fraudes.

-El problema es que tenemos tantas claves que es difícil memorizarlas. ¿Son seguros los gestores de contraseñas?

-Algunas vez han sido hackeados pero es mucho más fácil que te roben la contraseña por ser insegura que porque ataquen a un gestor de contraseña. Sigue siendo una opción más recomendada que usar contraseñas débiles. Hay otras soluciones, como la doble factor de autenticación o usar en móviles identificación biométrica mediante huella, voz o iris.

-¿Hace falta legislar más y mejor para asegurar que se están tomando medidas para garantizar la seguridad con el internet de las cosas?

-El problema no es la Ley, sobre todo desde que el año pasado se modificó la Ley de Enjuiciamiento Criminal, sino la falta de medios humanos para aplicarla. Fuerzas y cuerpos de seguridad del estado tienen buenos profesionales pero no son suficientes y se ven desbordados. Por ejemplo, el grupo de Delitos Telemáticos de la Guardia Civil tiene pocos agentes para toda España, un país donde debe haber al menos 30 millones de usuarios de dispositivos móviles. A ellos les entran desde estafas hasta temas de acoso, violencia de género, robos, fraudes, ciberataques... Lo mismo le pasa la Policía Nacional, que no tienen suficiente recursos.

-Siempre pensamos en un hacker como alguien que actúa en la oscuridad pero mucho de los ciberataques los lideran los gobiernos en pos de la seguridad nacional. ¿Qué debe pesar más en la balanza: la seguridad nacional o la privacidad?

-Yo siempre he apostado por la privacidad pero también tenemos que poner nuestra seguridad en manos de fuerzas y cuerpos de seguridad del Estado y ellos tienen que actuar. ¿Quién decide cuándo debe pesar más la seguridad que la privacidad? Pues un juez que esté formado y en materia de nuevas tecnologías tenemos muy pocos. En ese sentido, el único que yo conozco actualmente capacitado en España es el juez de la Audiencia Nacional Eloy Velasco.

-¿No se terminan convirtiéndose los gobiernos en «Grandes Hermanos»?

-Pero si sólo analizando perfiles públicos en redes sociales los Gobiernos pueden obtener información muy valiosa. Incluso, se está usando en asuntos de espionaje. Un selfie subido a una red social por un marinero ruso desveló dónde estaba una flotilla de barcos que iba de camino a Siria y entre ellos iba el navío nuclear más poderoso del mundo.

-Las pequeñas y medianas empresas están siendo atacadas por ramsonware, un programa informático malicioso que «cifra» la información y exige un rescate para obtener la clave. ¿Es esta la pesadilla informática de las pymes ahora?

-Sí. Se infectan abriendo correos electrónicos de desconocidos o visitando una página web. Eso es un problema para una pyme porque se dan cuenta que no pueden seguir trabajando. El 24 de diciembre de 2015 conocí el caso de una empresa que tenía los sistemas desprotegidos y le entró un ramsonware, infectando los servidores que necesitaba para pagar las pagas de navidad y pidiendo un rescate. También está pasando en España y otros países, el fraude al CEO. Se trata de delincuentes que vigilan y estudian a CEO de empresas para después enviarles una factura exactamente igual que la que pagaban hace meses pero cambiando el número de cuenta.