Javier Vendrell: "El eslabón más débil en la ciberseguridad es el factor humano"

«La creciente importancia que la digitalización ha alcanzado en el ámbito empresarial español ha impactado directamente en las necesidades de ciberseguridad de las organizaciones.» Nos comenta Javier Vendrell, sobre el nivel de Ciberseguridad en nuestro país.

A través de esta entrevista, Vendrell, experto en ciberseguridad, nos da los detalles más relevantes sobre el mundo de la seguridad informática y cómo nos afecta como personas y como empresas, haciendo hincapié en la ciberseguridad en nuestro país.

 

1. Para comenzar, en su opinión, ¿los ciudadanos españoles son conscientes de los peligros del mundo digital?

 

Son conscientes “a medias”. Los usuarios cada vez son más prudentes a la hora de navegar por internet, disminuyendo cada vez más las conductas de riesgo y los incidentes registrados. Asimismo, en los últimos años se han desarrollado nuevas percepciones de riesgo en la red, como el ciberacoso, acceso a contenido no apropiado o la protección de menores.

En la parte a mejorar se encuentra una mayor concienciación en relación con los datos que ofrecemos a las compañías tecnológicas a cambio de sus servicios y nuestra privacidad, así como una correcta gestión de los problemas relacionados con las noticias falsas y desinformación. 

 

2. ¿Cómo describiría el nivel de ciberseguridad actual de nuestro país?

 

En términos generales, España es un país relativamente bien preparado. La creciente importancia que la digitalización ha alcanzado en el ámbito empresarial español ha impactado directamente en las necesidades de ciberseguridad de las organizaciones.

Lógicamente, la pandemia y la obligada adopción del trabajo y educación remotos supuso un nivel de amenaza mayor para aquellas organizaciones que no tenían una correcta cultura de seguridad, y como tal tuvieron que hacer un importante esfuerzo. El traslado de un modelo de trabajo centralizado en una oficina a un modelo en entornos distribuidos ha impuesto necesariamente más retos, algunos tan aparentemente simples (y en realidad complejos) como la seguridad de las instalaciones domésticas (router, wifi, etc.) o la privacidad de los domicilios.

 

3. ¿Cuáles son los ciberataques más comunes?

 

Los ciberataques más habituales son menos “románticos” que los que salen, por ejemplo, en las películas, en los que un ciberdelincuente en un sótano, tapado con una capucha y comiendo pizza se infiltra en los sistemas del gobierno de turno. En general, los ciberataques más comunes son más “simples” y tratan de explotar el eslabón más débil en la ciberseguridad: el factor humano.

El ciberataque por excelencia es el phishing o suplantación de identidad. Mediante esta técnica, los ciberdelincuentes suplantan la identidad de personas u organizaciones de confianza de los usuarios (bancos, compañías de paquetería, etc.) y, mediante diferentes comunicaciones electrónicas, consiguen que sus víctimas revelen información personal y confidencial, como contraseñas y datos bancarios.

Lo más habitual es que estas comunicaciones se realicen a través de mensajes de correo electrónico, si bien también se utilizan SMS o mensajes en redes sociales. Estos mensajes copian la imagen corporativa, logotipo, etc. de las personas o empresas a las que trata de suplantar, de modo que la persona que recibe el mensaje cree que se trata de la persona u organización real y le revela los datos basándose en esa supuesta confianza.

Un ejemplo muy común de phishing es el de la factura pendiente de pago. Los ciberdelincuentes consiguen las facturas pendientes de pago de los clientes de una empresa u organización y las envían por correo electrónico a los mismos informando de un cambio en el número de cuenta para hacer la transferencia del pago. Los clientes creen que están pagando la factura a la empresa en cuestión, pero en realidad están siendo robados.

La técnica del phishing es una de las preferidas por los ciberdelincuentes por su sencillez y su elevado ratio beneficio/coste. Realizar un envío masivo de correos electrónicos es sencillo y barato, y basta un número relativamente pequeño de personas engañadas para “amortizar” la inversión.

Otro tipo de ciberataque muy común es el ransomware o secuestro. En este tipo de ataques, un archivo de malware infecta un ordenador o sistema cifrando los datos que contiene, dejándolo inutilizable, y de esta manera pedir un “rescate” para liberar el bloqueo o secuestro.

Este tipo de ataque no es reciente, lleva más de 30 años desde su primera aparición, pero ha ganado popularidad en los últimos años con la aparición de tecnologías como Bitcoin, ya que la transacción económica para liberar el secuestro (práctica en absoluto recomendada) se puede realizar sin revelar identidades. Y, nuevamente, este ataque explota la debilidad del factor humano ya que, generalmente, el malware origen de la infección suele ser descargado a través de un archivo adjunto de correo electrónico, disco USB, o pinchando en un enlace.

Finalmente, un ciberataque también bastante habitual es el ataque por denegación de servicio (Denial of Service, DoS). A diferencia de otro tipo de ataques, donde el objetivo es obtener dinero o algún tipo de dato confidencial, lo que hace un ataque por DoS es sobrecargar un sistema (el sistema objetivo) a través del envío de gran cantidad de tráfico falso, que el sistema no puede manejar y acaba sobrecargado y sin posibilidad de seguir prestando su servicio

Una ampliación del ataque DoS es el llamado ataque de denegación de servicio distribuido, también llamado (Distributed Denial of Service, DDoS) en el que la gran cantidad de tráfico falso se envía desde varios puntos de conexión hacia un mismo punto de destino. La forma más común de realizar un DDoS, por su sencillez tecnológica, es empleando una botnet, robots informáticos que se ejecutan de manera autónoma y automática.

 

4. Cuando cayeron Instagram, Facebook y WhatsApp, ¿se trató de un ciberataque?

 

En un principio se trató de un fallo humano. Sin entrar en temas demasiado técnicos, se debió a un cambio de configuración defectuoso en los enrutadores, que provocó problemas en el sistema de asignación de dominios (DNS). Este sistema viene a ser como un “listín telefónico de internet”, que traduce la dirección que escribimos en un navegador a la dirección IP donde se encuentra el servidor (en este caso de Facebook, Instagram, WhatsApp, etc.), de modo que el tráfico no sabía a qué dirección ir.

Pero independientemente de si se trataba de un ciberataque o no, este punto pone de manifiesto algo de lo que hablamos continuamente en esta entrevista, el factor humano como eslabón más débil en la cadena de ciberseguridad.

 

5. ¿Cuál ha sido el mayor ataque de ciberseguridad al que te has enfrentado?

 

Pese a lo que pueda creerse, rara vez los son dirigidos a una persona o empresa en concreto, sino que simplemente son disparados en forma de spam, de manera masiva y aleatoria (los ataques de phishing o ransomware vistos anteriormente siguen este tipo de esquema). Por este motivo, absolutamente todos, ya seamos profesionales de la ciberseguridad o usuarios comunes, nos enfrentamos día a día a potenciales ataques. La frase “por qué me van a atacar a mí, si yo no tengo nada importante” conviene ser desterrada cuanto antes.

En el ámbito profesional, mi día a día se centra en la seguridad de los medios de pago, siendo entidades como comercios, bancos y procesadores de pago donde realizo mi actividad, aunque más centrada en la parte de auditoría, es decir, tratar de prevenir los ciberataques más que enfrentarme a ellos.

 

6. En su criterio, ¿considera que todas las empresas deberían destinar un porcentaje significativo de su presupuesto a la seguridad informática?

 

Por supuesto. Pero ese presupuesto no ha de ceñirse únicamente a la parte tecnológica sino también, y en gran medida, a la parte humana.

Las empresas más preparadas en materia de ciberseguridad son aquellas que son capaces de transmitir a sus empleados los potenciales riesgos asociados a determinados comportamientos, para que desarrollen una sensibilidad adecuada. Concienciar a los empleados sobre actividades tan sencillas como no abrir archivos sospechosos o no dejar ordenadores desatendidos sin bloqueo pueden ahorrar muchos disgustos a las empresas.

Igualmente, la inversión en tecnología puede empezar, además de la lógica inversión en seguridad de redes, por otro tipo de herramientas básicas. El empleo de redes VPN para conectarse desde fuera de la oficina o el uso de gestores de contraseñas (para tener que evitar memorizarlas o repetirlas en distintos sistemas) son actividades con un bajo coste para la empresa pero que redundan en una mejora sustancial de la seguridad. 

Lo razonable para las empresas es una combinación de medidas tecnológicas y acciones de concienciación a los empleados. A su vez, es altamente recomendable auditar la seguridad de la compañía con cierta frecuencia.

 

7. Qué le diría a una empresa que quiere empezar a invertir en ciberseguridad. Por donde podría empezar.

 

Sin ninguna duda, por la formación y concienciación en ciberseguridad de los empleados. No tiene sentido, por poner un ejemplo, invertir grandes cantidades de presupuesto en tecnología para el control de acceso a los equipos si luego los empleados tienen las contraseñas de sus equipos apuntadas en un papel pegado a la pantalla.

Los ciberataques a empresas más conocidos ocurridos en España en los últimos tuvieron siempre un denominador común: explotar la capa más “débil”, esto es, la capa del usuario. Los ataques de phishing o ransomware generalmente comienzan a través de un archivo adjunto recibido por correo electrónico, y abiertos sin ningún tipo de control.

La inversión primera en ciberseguridad ha de ser en formar a tus empleados y concienciarles sobre un uso seguro de herramientas corporativas, riesgos, etc. Esa formación debe ser parte del proceso de alta en cuanto un empleado llega a una compañía.

Pero dicha formación no ha de limitarse al proceso de alta. Ha de ser continua y dinámica en el tiempo (mínimo una vez al año) y puede ser a través de distintos formatos: formación reglada, píldoras informativas, newsletters, campañas mensuales, etc. El objetivo último es que los trabajadores estén continuamente formados y concienciados.

 

8. ¿Cómo es actualmente la demanda de expertos en ciberseguridad en el mundo laboral?

 

Alta, muy alta, y crece cada día más, siendo varios los factores que han conllevado este incremento exponencial de la demanda.

La mayor sensibilización de las empresas hacia la digitalización, con el auge de tecnologías como la computación en la nube, blockchain o big data, favorecen nuevos modelos de negocio y, por tanto, nuevas oportunidades laborales en el ámbito de la ciberseguridad.

Asimismo, el confinamiento y la pandemia supuso un impulso sin precedentes en la migración a internet de gran parte de la actividad económica y social. La necesidad de adoptar modelos de teletrabajo y educación a distancia, o el mayor consumo de entretenimiento online, han conllevado cambios de hábitos que también redundan en necesidad de personal experto en ciberseguridad.

Finalmente, el tablero geopolítico se ha trasladado al ciberespacio. La guerra convencional ha virado hacia la ciberguerra, con grandes cantidades de presupuesto invertidas en formación de personal especializado para la guerra cibernética. Las campañas electorales ya no se ganan en la televisión, sino a través de la gran actividad desplegada en el ciberespacio, mayoritariamente en redes sociales, donde frecuentemente ocurren casos de desinformación.

Este nuevo escenario digital obliga a las empresas a estar más preparadas que nunca en temas de ciberseguridad, y convierten a estos expertos en uno de los perfiles profesionales con mejores perspectivas laborales.

El mercado laboral en ciberseguridad tiene unas particularidades que lo hacen especialmente atractivo. En primer lugar, es un perfil profesional con una vía de entrada muy amplia. A diferencia de lo que pudiera pensarse, el de la ciberseguridad no es un perfil exclusivamente tecnológico. Si bien las áreas más conocidas son las relacionadas con programación, telecomunicaciones e informática, también son destacables los perfiles especializados en áreas humanísticas como psicología, inteligencia o derecho, con el objetivo de dar respuesta a los distintos desafíos que origina la ciberseguridad.

Asimismo, es un trabajo que, generalizando, no está limitado a la presencialidad física, siendo muchas las empresas que ofertan puestos en modalidad de teletrabajo. Esto permite a los profesionales poder optar a puestos sin la limitación de cuál es su lugar de residencia, si bien, como es lógico, la posible competencia a un determinado puesto se amplía.

 

9. Según Privacy Affairs, un proveedor de información y creador de contenido, la información privada de más de 1.500 millones de usuarios de Facebook se comercializó en una plataforma de hackers. ¿Usted cree que los usuarios conocen los riesgos a los que se pueden enfrentar al crear una red social?

 

No hace falta centrarse en “plataformas de hackers”. Sólo con aceptar los términos y condiciones que nos aparecen al registrarnos en una red social (esos términos y condiciones escritos en un “idioma extraño” y que nadie se lee) estamos dando permiso a las redes sociales y otros servicios de internet a comercializar nuestros datos. Es el ya manido dicho de “si no sabes cuál es el producto significa que el producto eres tú”.

Aquí sin embargo ocurre una paradoja. Todos somos más o menos conscientes de que al utilizar servicios “gratuitos” de internet estamos dando a cambio nuestros datos, dirección IP, localización, etc. datos que utilizan estas compañías como modelo de negocio para, principalmente, ofrecernos publicidad segmentada. Ahora imaginemos que Google, Facebook, etc. te diera a elegir entre pagar, por ejemplo, 10 euros/mes por los servicios que hoy son «gratuitos» (buscador, noticias, mapas, vídeos, etc.) o autorizarle para comerciar con tus datos, ¿qué elegirías? Mi impresión es que poca gente elegiría la opción de pago mensual.

Normalmente pagamos por este tipo de servicios cuando percibimos una mejora tangible. Por ejemplo, pagar la cuota mensual de Spotify para no tener que escuchar anuncios entre cada canción que interrumpen constantemente. Pero en el caso del comercio con nuestros datos es algo más “sibilino”, esa vulneración consentida de nuestra privacidad no la asociamos como una molestia inmediata

10. Finalmente, ¿por qué crees que en este panorama actual es importante formarse en ciberseguridad?

 

Porque gran parte de nuestra vida se ha trasladado al ciberespacio. En la “vida física” no se nos ocurre (o no se nos debería ocurrir) cruzar un semáforo en rojo o darle a un desconocido las llaves de nuestra casa. Tenemos unos hábitos y costumbres adquiridos en los que discernimos qué es seguro y qué no lo es. El trabajo, la educación, la sanidad, la administración o el entretenimiento ya se realiza en gran parte de manera online, por lo que debemos trasladar esos mismos hábitos a la vida digital. Y como es un entorno “nuevo” y mucho más cambiante, es necesario estar permanentemente formado y concienciado.

En este punto es importante hacer un inciso en los menores. Es un segmento de la población que desde su nacimiento ya ha estado rodeado de tecnología digital pero que es con diferencia el más vulnerable. Junto con las herramientas tecnológicas tipo control parental, debe hacerse una importante labor de pedagogía por parte de familias, centros educativos y administración para dotarles de espíritu crítico en materia de ciberseguridad, privacidad y alerta contra la desinformación.  

 

Sin lugar a duda, Javier Vendrell es una figura referente en el ámbito de seguridad informática en nuestro país. Así como él, todos en cierta medida, deberíamos informarnos, capacitarnos y aplicar medidas de ciberseguridad para proteger cada paso digital que demos.

Para finalizar, queremos dar las gracias a Javier por compartir sus reflexiones y aprendizajes sobre ciberseguridad.  Destacamos, especialmente,  esta frase: «Debemos trasladar esos mismos hábitos a la vida digital. Y como es un entorno “nuevo” y mucho más cambiante, es necesario estar permanentemente formado y concienciado« Verdaderamente el mundo ya ha cambiado y seguirá cambiando y actualizándose a un paso cada vez más rápido. Un futuro seguro depende de cada uno de nosotros.

 

¿Quién es Javier Vendrell…?

 

Ingeniero de Telecomunicación y Máster en Ciberseguridad. Desde 2016 trabaja en S21sec, compañía española especializada en Ciberseguridad, donde desarrolla la labor de Consultor especializado en Medios de Pago.

https://www.linkedin.com/in/javiervendrell/