“Para protegerse en el ciberespacio es básico alcanzar cultura y conocimiento”

Los malos son cada vez más listos. Han entendido con claridad que en estos tiempos es menos necesario ensuciarse las manos para delinquir. Por eso, cuerpos como la Guardia Civil se esfuerzan en adelantarse a sus movimientos. Esta semana, Enrique Ávila, director del Centro de Análisis y Prospectiva de la Guardia Civil, visitó Cádiz para participar en unas jornadas sobre ciberseguridad en el sector comercial organizadas por el Instituto Armado y la Confederación de Empresarios de Cádiz denominadas Los nuevos retos de la ciberseguridad y Mentorización a nuestras empresas. Este diario aprovechó para entrevistarlo y que así nos alumbrara sobre algunos de los peligros que nos acechan.

–¿Explíqueme qué es exactamente la ciberinteligencia?

–Es un concepto un poco más amplio que la ciberdelincuencia. Esto es un nivel de protección mucho más estratégico relacionados con aspectos de inteligencia económica, inteligencia competitiva, vigilancia tecnológica y ciberinteligencia, porque nuestras sociedades ahora mismo dependen de la tecnología. Esa dependencia es la que genera riesgos, amenazas y oportunidades desde el punto de vista empresarial, y eso es lo que hay que valorar para poder ser eficientes en su provisión de bienes y servicios y en su negocio, y generar puestos de trabajo y disponer de unas medidas mínimas de seguridad, incluyendo la ciberseguridad.

–¿Sería conveniente que todas las empresas tuvieran una persona dedicada a esta materia?

–Sin lugar a dudas. Cuando hablamos de empresas pequeñas o medianas, que a lo mejor no pueden pagar un salario específico para un conocimiento o capacidades de este estilo, sí que pueden mutualizar los gastos. Es un área de negocio que no debe ser entendida desde el punto de vista puntual, sino como una relación permanente de intercambio de información y de provisión de bienes y servicios con esos expertos.

–¿Y qué capacidades deberían tener estos asesores?

–Bajo mi punto de vista tres capacidades básicas: por un lado, la capacidad técnica para ciberproteger lo que son los activos de la empresa; por otro lado, lo que es la capacidad de comunicación, porque una comunicación defectuosa en situación de crisis puede generar más pérdidas todavía que el propio acceso a la red; y, por último, el cumplimiento normativo, porque uno defectuoso también puede provocar pérdidas directas y hasta sanciones.

–¿Cuáles son los peligros a los que las empresas están sometidas por los ciberdelincuentes?

–Hay algunos más evidentes, los ciberataques de cualquier tipo. Están otras que son menos evidentes, que son, digamos, de inteligencia competitiva, donde un competidor realiza un ataque reputacional que puede provocar pues una pérdida a la empresa. También están los ataques desde las redes sociales, que sin estar coordinados, puede provocar un problema de reputación. Habría que prestar especial atención a los insiders, que son personas que fijan a una empresa como objetivo, y son contratados ya de manera orientada para provocarle pérdidas. Sugiero poner el foco en ese tema al que se le presta poca atención y que genera muchos ciberataques.

–¿Estamos tan expuestos como parece?

–Completamente, estamos en un mundo global y la simetría de recursos que necesitamos en el ciberespacio para generar un daño es infinitamente diferente al del mundo analógico.

–Póngame un ejemplo.

–Mire, uno muy sencillo: Queremos atracar un banco, tenemos que arriesgar nuestra vida, armarnos hasta los dientes, atracarlo y las fuerzas del orden intentarán detenernos. Estás arriesgando tu vida por un botín exiguo. Mientras que para generar un ciberataque basta tener el conocimiento necesario, explotar un agujero de seguridad que detectes y los beneficios, entiéndase entre comillas, pueden ser astronómicos. Y luego están los ataques a volumen. Cada día recibimos miles de correos electrónicos donde se ve claramente que quien los envía no sabe hablar castellano, pero hay otros que no se detectan. Ahora está prácticamente a disposición de cualquiera el hacer un ataque sencillo. No vulnerar una infraestructura compleja, para eso se sigue necesitando altas capacidades.

–Antes hablaba de entidades bancarias. El usuario de un banco ¿qué herramientas tiene para protegerse de estos ciberdelincuentes y qué manera hay de reclamar una estafa?

–Las entidades, si has prestado una mínima diligencia debida, suelen contemplar la devolución de un dinero que ha sido sustraído mediante una estafa. Dicho lo cual, tenemos que adquirir unas ciertas capacidades de autoprotección. Cuántos dispositivos terminales inteligentes, mal llamados teléfonos móviles, siguen circulando sin unas claves de entrada con la app del banco activada. Mantener esos dispositivos móviles actualizados es lo menos que podemos hacer. No hacerlo es abrir una brecha. Y luego hay ataques dirigidos donde la ciberprotección es básica. Por ejemplo, no abras enlaces que te lleguen por un whatsapp o un sms desconocido, que es fácilmente vulnerable. Quien no tiene esta cultura básica está muchísimo más expuesto.

–¿Y lo básico para protegerse?

–Bueno, pues nada nuevo, antivirus, antispams, herramientas básicas, y tener precaución y saber que el riesgo cero no existe.

–¿Llegará un momento en que habrá más delitos tecnológicos que físicos?

–Probablemente, por esa simetría de recursos necesaria. Cuando las capas de población vayan adquiriendo suficientes capacidades, unos para atacar y otros para defenderse, pues se irá migrando más hacia el delito tecnológico, sobre todo porque el delito analógico cada vez compensa menos, es más complicado de gestionar, hay más medidas de seguridad de tipo físico, y no es tan sencillo robar un montón de productos y ponerlos a la vena como tirar a voleo 20 millones de correos electrónicos y que te contesten 10.000 a nivel global y les puedas cifrar el disco duro de sus ordenadores para pedir un rescate por ellos, por ponerte otro ejemplo. Según dicen los expertos uno de las profesiones de futuro va a ser la figura del negociador con los secuestradores de discos duros de ordenadores.

–Y los agentes de los cuerpos de seguridad del Estado cada vez también tendrán que estar más preparados.

–En la Guardia Civil llevamos años formando a nuestros agentes de manera especializada a través del otro centro que dirijo, el Centro Nacional de Excelencia en Ciberseguridad. Hemos formado a más de 250 en materia de lucha contra el cibercrimen y análisis forense de evidencias digitales. Sabíamos lo que se nos venía y empezamos planes de formación muy especializados que siempre tienen que ser revaluados porque, por ejemplo, si dispone de un coche conectado a internet es cibervulnerable, puede ser atacado. Le pueden dejar sin poder mover el coche simplemente atacando la inteligencia del vehículo.

–Caramba. ¿Nos van a secuestrar el coche en el futuro?

–Podrán. Debemos interiorizar que dentro de unos años, cuando tengamos coches conectados la primera pregunta que se va a tener que hacer un agente de tráfico es: ¿Ha sido un accidente?, tendremos que desarrollar las capacidades para investigar ciberaccidentes de tráfico.

–Me deja usted de piedra.

–Pues a eso vamos.

–¿Algún consejo, más allá del célebre tengan cuidado ahí fuera?

–La cultura de algo es siempre el mejor consejo para entender cuáles son las consecuencias de lo que se haga y de lo que no se haga. Vivimos en el ciberespacio, parcialmente pero cada vez más. Si tomamos eso en consideración la mejor de nuestras protecciones es pensar lo que hacemos antes de hacerlo, siempre que nos dé tiempo. Y reflexionar sobre las cosas que podemos hacer, que son de conocimiento general una vez que lo piensas, y que minimizan los riesgos y las amenazas, lo cual no quiere decir que sean cero. Siempre alguien será víctima de un ciberataque como aún hay personas a las que le dan el timo del tocomocho. Pero es la cultura y el conocimiento también en el ciberespacio lo que nos protegen. Así que adquiramos cultura y conocimiento, no solamente usemos lo que nos da el ciberespacio. Hay que comprender lo que se usa.