En los años más duros de la crisis del ladrillo, muchos se acercaron a la economía y a los economistas para saber por qué el mundo estuvo a punto de colapsar. En ese momento, algunos economistas se hicieron ricos y famosos dando charlas por todo el mundo y escribiendo libros que recogían sus recetas para salir del atolladero. Hoy se puede decir que son los hackers informáticos los que han recogido el guante mediático de los economistas.
Y no es para menos. Vivimos en un mundo donde la percepción de inseguridad en los sistemas informáticos y en internet es mayor que nunca, y parece que la cosa no va a mejorar. Se dice que el cibercrimen mueve ya más dinero que el narcotráfico en el mundo. Un día sí y otro también nos encontramos noticias sobre fugas masivas de información en grandes corporaciones que afectan a los datos personales de millones de clientes, o sobre la injerencia de gobiernos y grupos de presión en las redes sociales que son capaces de orientar las elecciones de países democráticos.
Por no hablar de ataques más comunes, pero muy extendidos, como el ransomware, que en un momento nos puede dejar bloqueado el ordenador y en manos de un delincuente que nos va a pedir un rescate por recuperar nuestro disco duro. Wannacry, un ataque de este tipo que alcanzó notoriedad mundial en la primavera de 2017, supuso un punto de inflexión y nos hizo a todos conscientes de que cualquiera puede ser la víctima.
Deepak Daswani es un joven ingeniero de Tenerife que también quiere convertirse en referencia en el mundo de la ciberseguridad. Daswani tiene su propia empresa de servicios de seguridad y ha colaborado en prensa, radio y televisión opinando y orientando a compañías y particulares sobre cómo pueden defenderse en el ciberespacio.
Ahora, además, ha condensado ese conocimiento en un libro, ‘La amenaza hacker‘, editado por Deusto. En él analiza en detalle los riesgos a los que estamos expuestos y explica cómo podemos hacerles frente. El autor, que rompe esquemas y prefiere el traje y la corbata a las camisetas y las sudaderas con capucha que otros colegas han convertido en su signo de identidad, recurre también a anécdotas personales para hablarnos del mundo incierto que nos ha tocado vivir.
– Una pregunta para romper el hielo. ¿Si los hackers son los buenos, por qué se titula tu libro ‘La amenaza hacker’?
Es una buena pregunta. En su día yo le di muchas vueltas al título, pero mi editor, Roger Domingo, que fue quien confió en este proyecto desde sus inicios, tenía claro que el mejor título posible era el de ‘La amenaza hacker‘. Porque es un título que impacta y que viene a representar lo que gran parte de la sociedad piensa al respecto de este tema.
Históricamente, el término «hacker» ha sido estigmatizado por la gran masa social y los medios de comunicación, por lo que aún hay mucha gente que sigue utilizándolo con connotación negativa, haciendo referencia, sin saberlo, a otro concepto totalmente diferente, que es el del «ciberdelincuente». Por ello elegimos ese título, y en mi opinión creo que ha sido un acierto porque el libro está teniendo una gran acogida.
“Los hackers somos personas que tenemos que estar constantemente al día, trabajar mucho y estudiar. Somos gente bastante normal”
– Se dice que la mayor puerta de entrada para los malos en los sistemas informáticos somos las personas, que por desconocimiento o descuido damos pie al robo de datos o al fraude. Es el famoso “eslabón humano”. ¿Podrías darnos unos consejos básicos para que no nos engañen o nos roben en internet?
Existen una serie de consejos que permiten a los usuarios protegerse de aspectos técnicos como vulnerabilidades que puedan ser utilizadas para comprometer sus dispositivos, tales como actualizar siempre el sistema operativo a la última versión con todos los programas instalados, o un antivirus comercial de prestigio y reputación contrastadas que se actualice constantemente con las firmas del nuevo malware.
Otros consejos van más orientados a proteger a los usuarios de los ciberdelincuentes que vulneran su seguridad mediante la ingeniería social, que es el arte de manipular a las personas para que hagan lo que nosotros queramos que hagan. Es decir, el arte del engaño, que cuando se combina con elementos técnicos puede tener un impacto devastador.
Para protegerse de este tipo de ataques, básicamente hay que utilizar contraseñas robustas que no puedan ser adivinadas de manera sencilla, modificarlas frecuentemente, desconfiar por norma de cualquier actividad sospechosa, contrastar la información y no seguir enlaces que vengan en correos electrónicos. Así como controlar la información que difundimos de nosotros mismos en redes sociales y otros canales en la red, que pueden dar a un atacante muchísimo conocimiento sobre nuestra vida, de cara a preparar un señuelo en el que sea más fácil caer. Y por supuesto, jamás se deben descargar programas comerciales de pago ‘crackeados’ de internet que puedan venir con un regalo.
– ¿Cómo estamos en España en cuestión de cultura de ciberseguridad? Nuestra impresión es que usamos de modo intensivo muchos dispositivos, pero reparamos muy poco en aspectos como las amenazas a las que nos exponemos o el uso de nuestros datos personales que hacen compañías, redes sociales o gobiernos.
En general, creo que estamos como en el resto de países. En materia de ciberseguridad, cada vez los usuarios y empresas son más conscientes de que existen una serie de riesgos relacionados con la tecnología y que los incidentes ocurren a menudo, sí o sí.
Llevamos años viendo en medios de comunicación generalistas noticias relacionadas con incidentes de diferente tipo, casi con frecuencia semanal. Por lo que, por una parte, ya casi nada de lo que sucede nos extraña. Sin embargo, quizá muchos usuarios no son conscientes de que todos estos incidentes les afectan y de que están expuestos a determinadas amenazas simplemente por usar un dispositivo e interactuar con una serie de servicios.
Muchos siguen pensando que solo las grandes organizaciones o personas de cierto nivel o estatus pueden ser de interés para los ciberdelincuentes. Por otra parte, la explotación de los datos que puedan ejercer los gigantes tecnológicos y otros actores también es un tema que es necesario conocer, para que los usuarios tomen sus propias decisiones respecto al nivel de privacidad que quieren adoptar en la red.
“Muchos siguen pensando que solo las grandes organizaciones o personas de cierto nivel o estatus pueden ser de interés para los ciberdelincuentes”
– En tu libro descartas la idea de que en algún momento podamos estar totalmente seguros mientras navegamos en internet o usamos tecnología. Somos susceptibles de estar espiados y amenazados por los malos, pero también por los supuestamente buenos, por los gobiernos, la policía, las redes sociales o el proveedor de internet que nos da un trozo de disco duro virtual o un buzón de email ‘gratis’. ¿No es para deprimirse?
Es así como funciona la sociedad digital y el mundo virtual en el que vivimos desde que existe internet. No podemos vivir totalmente seguros porque la seguridad cien por cien no existe. No existe por algo tan sencillo como que toda esta tecnología maravillosa que utilizamos está hecha por humanos, desde una sencilla página web hasta el sistema operativo de un dispositivo móvil. Todo está hecho por humanos, y los humanos nos equivocamos constantemente.
Pueden existir fallos que se convierten en vulnerabilidades en sistemas, dispositivos, tecnologías o protocolos, y de los que nadie se había percatado jamás, que llevaban años ahí y que, de repente, alguien es capaz de identificar. Lo que hoy es seguro mañana puede no serlo. Es algo con lo que tenemos que convivir.
De todas formas, podemos hacer algo para evitar gran parte de las cosas que suceden. Aplicando todo un conjunto de medidas de seguridad y buenas prácticas a las que siempre hacemos referencia, y no sólo algunas, se puede vivir con un nivel de seguridad confiable. Por lo que, contestando a tu pregunta, no es para deprimirse. En absoluto.
“Una vez analicé el tráfico que los vecinos generaban en mi red wifi y descubrí cosas de su vida, hasta que pude identificarlos por completo”
– ¿Cuáles son hoy los ataques más efectivos para los ciberdelincuentes cuando ponen al usuario medio en el punto de mira?
Como hemos comentado anteriormente, lo más efectivo para los ciberdelincuentes es el uso de la ingeniería social para engañar al usuario. Siguen siendo efectivos los ataques de phishing en los que se hace llegar al usuario a una página de inicio de sesión falsa que suplanta la identidad de un sitio web original, como, por ejemplo, el de su portal de banca online, intranet, correo electrónico o cualquier red social.
El objetivo es que el usuario introduzca sus credenciales y le facilite al ciberdelincuente los datos de su cuenta. Esto es algo que se lleva haciendo desde los inicios de la red, y que por desgracia sigue siendo la técnica más efectiva para robar identidades digitales a día de hoy.
Otro esquema de ataque es el ransomware, que llevamos viendo desde 2013, pese a que muchos usuarios o la gran masa social se percataron de la existencia de este término tras el mediático ciberataque WannaCry. A día de hoy, otra técnica que está siendo muy utilizada por los ciberdelincuentes es el cryptojacking, orientado a infectar sitios web para poder utilizar remotamente el equipo del usuario que visita dicho web para minar criptomonedas.
– En un mundo donde la conectividad se va a multiplicar por la popularización del estándar 5G o de las tecnologías para IoT, ¿qué podemos esperar de la ciberdelincuencia? En otras palabras, ¿por dónde crees que nos van a atacar en el futuro?
Podemos esperar que todo esto siga evolucionando. Cada vez se incorporan al mercado más dispositivos conectados que incorporan nuevas funcionalidades. Antes un cepillo de dientes o una nevera daban el servicio para el que estaban pensados. Hoy, todos estos dispositivos y muchos más que forman parte del IoT presentan un sinfín de funcionalidades mediante la conexión a internet, y además interactúan con otros servicios.
Todos estos dispositivos son susceptibles de tener vulnerabilidades que además pueden abrir la puerta a los atacantes y comprometer el resto de equipos o sistemas de un entorno doméstico o corporativo. Así que la respuesta a la pregunta de por dónde nos van a atacar es por cualquier sitio donde haya tecnología y conectividad.
“Voy contra el estereotipo que dice que un hacker tiene que ir con camiseta o sudaderas con capucha en lugar de trajeado”
– En la famosa trilogía ‘Millennium’, del novelista sueco Stieg Larsson, la hacker Lisbeth Salander es protagonista y se la caracteriza como una joven gótica y punk, llena de piercings y borracha. En la serie ‘Mr.Robot’, el hacker protagonista es un joven bastante oscuro, que sufre ansiedad social y depresión clínica. ¿Qué piensas en general de la imagen que se da en la ficción del mundo de los hackers y ciberdelincuentes? ¿No te da la impresión de que allí no puede haber gente normal?
Ya sabemos cómo es el mundo de la ficción. A la figura del hacker tradicionalmente le ha acompañado siempre un halo de oscuridad y misticismo. Es por eso que evidentemente este tipo de personajes un tanto extravagantes en la ficción suscitan más interés al espectador. Sin embargo, en la realidad las cosas distan mucho de esta imagen. Sobre todo en lo que a los hábitos y la salud se refiere.
Como en todos los ámbitos habrá gente de todo tipo, pero estos rasgos no son para nada algo común ni una característica habitual. De hecho, hablamos de personas que tenemos que estar constantemente al día, trabajar mucho con nuestra cabeza, estudiar y utilizar todas nuestras facultades mentales. Somos gente bastante normal. ¿No te lo parecemos? 😉 .
No se puede catalogar a la gente por estereotipos. De hecho, siempre se habla tanto en la propia comunidad hacker como en el sector de distinguir a los hackers del resto de profesionales por ir con camiseta o sudaderas con capucha en lugar de trajeados.
Yo mismo voy en contra de este estereotipo, pues siempre me ha gustado vestir de traje y corbata. Además, suelo acompañarlos siempre de camisas con mis iniciales bordadas en los puños y gemelos. Quizá por eso alguno pueda pensar que no puedo ser un hacker. Chema Alonso es conocido internacionalmente por su gorro de lana. Al final es cuestión de gustos y cada uno elige su imagen, igual que en cualquier otro mundo. Pero esto no tiene nada que ver con el conocimiento técnico o las cualidades que hacen a una persona un verdadero hacker. Son cosas independientes
– ¿Alguna vez fuiste engañado o atacado en Internet? ¿Qué pasó?
Me intentan engañar cada día, como a todos los usuarios que cohabitamos en la red. Pero, afortunadamente y de momento, no he tenido ningún incidente grave. Bueno, una vez, hace unos años, unos vecinos hackearon la red wifi de mi casa, que yo había establecido a propósito de manera insegura por estar haciendo pruebas de ataques en redes inalámbricas. Como era consciente de que algo podía pasar, la monitorizaba diariamente y un día reparé en la presencia de un intruso.
A partir de ahí decidí huir del comportamiento pragmático (que sería establecerla como segura para atajar el problema) y me planteé el reto de intentar «hackear al hacker«. A partir de aquí se desarrolló una historia que yo creo que ni al mejor de los guionistas se le habría ocurrido. Fui analizando el tráfico que los vecinos generaban en mi red y descubriendo cosas de su vida, hasta que pude identificarlos por completo.
Publiqué la historia en su día en el blog de Chema Alonso y fue portada en ‘Menéame’. Causó mucho revuelo en las redes sociales por algunos detalles que la hacían surrealista. Por si alguno no la ha leído aún, a pesar de que data ya de hace unos buenos años, la dejo aquí para no restarle emoción. Aparte de esta historia en la que al final le di la vuelta a la tortilla, no he tenido ningún otro problema. Esperemos que no cambie esa racha 😉 .
En Nobbot | Nuevo objetivo ‘hacker’: 850 millones de dólares en criptomonedas robados en 2018
Imágenes | Editorial Deusto