"No hay espacios privados en internet, todo lo puede ver cualquiera"

La primera vez que vi el famosovirus Barrotes tuve que instalármelo. En los mentideros del colegio se hablaba de él como de la peste negra, algo terrible que nadie había visto nunca. Decían que era capaz de destrozar un ordenador en segundos, que podías encontrártelo en cualquier disquete sin etiquetary que cuando veías sus barrotes mortales ya no podías salvar tu PC. Al final, después de años de mito a su alrededor, lo busqué en internet, me lo inoculé yapenas tardé cinco minutos en borrarlo a mano.

Hoy los virus son completamente distintos. Ya no son aplicaciones creadas por chavales con ganas de llamar la atención. De hecho los virus ya no hablan; se mantienen en silencio porque su objetivo es enviar tu información fuera, a su creador normalmente, sin que notes nada. Los datos son dineroy lo demás son zarandajas de críos.La amenaza ha crecido, a razón de 30.000 nuevos virus al día,pero nosotros sabemos lo mismo sobre seguridad informática: casi nada.

Precisamente para paliar este déficit de información nace Cibercrimen (Tibidabo Ediciones), escrito al alimón por la periodista Mercè Molist y Manel Medina, el experto más veterano en seguridad informática de España. La obra se aleja del academicismo y la retahíla técnica para centrarse en casos concretos y, a partir de ahí, obtener soluciones a un problema que no hará más que crecer con el advenimiento del anunciadísimo internet de las cosas. Molist tuvo la deferencia de dedicar a Teknautas unos minutos para hablar de seguridad informática.

Pregunta: Todo a nuestro alrededor es tecnología: ¿está la gente concienciada de sus riesgos?

Respuesta: Vivimos una situación muy curiosa. La gente está concienciada a nivel de que tiene miedo; se preocupan cuando ven que el ordenador les hace cosas extrañas y creen que es un virus, pero no saben qué hacer, ni siquiera interpretar los síntomas.

A veces han movido el ratón sin darse cuenta y creen que tienen un virus, cuando eso es precisamente lo que evitan los virus actuales, que los detectes. O, por ejemplo, en los grupos de WhatsApp corren bulos de seguridad que son esperpénticos, pero no parece que haya gente que los detenga.

P.: Nos falta cultura.

R.: Sí. Ven muy complicado aprender a defenderse y no lo hacen. Este libro está precisamente para eso, pero claro, deben hacer el esfuerzo de leer un libro sobre el tema. Es bastante fácil de leer, porque tiene muchas anécdotas e historias, porquees cierto que los manuales suelen ser muy técnicos y plomizos. Y otros, aunque sepan que sus rutinas no están haciendo nada por su seguridad, muchas veces pecan de dejadez. ¿Cambiar contraseñas cada seis meses? Uf, qué pereza, me sucede hasta a mí, que estoy concienciadísima (risas).

P.: ¿Quién debe inculcar esta cultura de la seguridad en la sociedad? ¿Las Fuerzas y Cuerpos de Seguridad, las instituciones, las empresas…?

R.: Es interesante que la Policía y el Incibe aporten lo que puedan a nivel institucional. Quizá podrían hacer algo más, yendo a los canales que a la gente le interesan, como el WhatsApp. ¿No se difunden bulos por WhatsApp?Que creen whatsapps virales y verídicos, que contraataquen con sus mismas armas.

A mí esta situación me recuerda a cuando empezaba internet, que éramos cuatro friquis y todos pensaban que nunca el grueso de la sociedad querría conectarse. Pero después fueron saliendo cosas que les atraían y eran fáciles. Por ejemplo, montar un blog era un problema, pero publicar en Facebook es fácil, y la gente se sumó a hacerlo ahí. Con la seguridad puede suceder lo mismo; cuando sea sencillo, accederá más gente.

P.: Hablabas de pereza. Nuestras conexiones podrían ser mucho más seguras, pero la gente las rechaza porque llevan más trabajo, como sucede con la doble autenticación.

R.: Así es, ¡pero es que el tiempo es oro! Ahora se está apostando por la biometría y parece que es una solución rápida y segura. ¿Será el método definitivo? No sabría decirte. El secreto será, no me cabe duda, no complicar el proceso. Si lo complicamos de más, la gente lo rechazará.

P.: La falacia de la seguridad: tendemos a pensar que nuestro ordenador doméstico, en una mesa de nuestra casa, es tan seguro como la propia casa.

R.: Es que hablamos de algo que no es tangible, que sólo se entiende cuando se sufre. ¡También te digo que cuando se sufre se aprende muy rápido! Sufrirlo en carne propia es la mejor escuela.

No podemos olvidar que la vida virtual tiene consecuencias en la vida real. Yo lo pasé fatal escribiendo la historia de la chica que se suicidó en Jaén por el acoso que sufrió por internet. La gente piensa que sólo están practicando cibersexo sin darse cuenta de que al otro lado hay una persona real que sufre.

P.: En este río revuelto, los antivirus han pasado de ser empresitas a colaborar con los gobiernos. ¿No están adquiriendo demasiado poder?

R.: Esto se ha convertido en un gran negocio, a veces incluso exagerado. Los antivirus ya eran un gran negocio, hasta el punto de que muchos decían que eranlos mismos creadores de antivirus los que distribuían los virus. Ahora sucede igual: hay mucho humo, mucho alarmismo, porque a ellos les conviene, claro.

No podemos olvidar que la vida virtual tiene consecuencias en la vida real

Hace poco una de estas empresas acusó a Irán deun ataque a gran escala tan, tan exagerado que hasta expertos estadounidenses tuvieron que salir al paso y pararles los pies, recordando que Irán suficiente tiene con ir tirando… con esto quiero decir que la comunidad empieza a levantarse, a exigir responsabilidades.

No creo que con esto quieran vender más productos, sino convencer a los políticos de que está fatal la situación y que hay que subvencionarles. Por un lado sí es cierto que aquí se están espiando todos, aunque también existe una parte de escándalo ficticio.

P.: ¿Y no son estos actores juez y parte?

R.: Es el nuevo mundo, cada vez lo vemos más: ámbitos que se deberían regular desde lo público se lo llevan empresas privadas. No me parece mal siempre y cuando se establezcan unos límites. Si se regula en campo de acción de cada uno, no tiene por qué haber problema.

P.: En cuanto a las empresas españolas… ¿tienen más asumido el oremus de la seguridad?

R.: No, son una extensión de la sociedad, sobre todo las pymes. Las grandes empresas se han ido actualizando, gracias a acuerdos con terceros, pero las pequeñas empresas… la misma inconsciencia que tiene el dueño colgando fotos en Facebook, la tiene después preservando las bases de datos de clientes de su negocio.

P.: Hablemos de tipos de delitos: el robo de datos es uno de los que más se ha incrementado en los últimos años.

R.: ¡Esto existe desde hace décadas! Esto arranca con la red Echelon, después de la Segunda Guerra Mundial, que se creó para espiar las comunicaciones de los países en los que tenían intereses las empresas norteamericanas. Funciona entre empresas, entre gobiernos y entre gobiernos y empresas. En 2009 ya decía Javier Solana que le habían estado espiando su ordenador…. Y tenía toda la razón.

R.: Con casos como el de Sony, que ha sido 'hackeada' cinco o seis veces en pocos años… ¿no da la sensación de que ninguna empresa, ni las más tecnológicas, están a salvo?

R.: El caso de Sony es para matarlos; ¡lo tenían todo abierto! No podrían habérselo puesto más fácil a los atacantes. Como la cadena de tiendas Target, que hace poco les robaron una base de datos con diez millones de clientes… ¿cómo puede ser eso? Habían sido avisados de que su seguridad estaba comprometida, pero pasaron de todo.

No hay un sistema de seguridad que no caiga ante un volumen de conocimiento y paciencia suficiente

De todos modos yo defino la seguridad informática en las sabias palabras de un amigo: “Lo que puede proteger un hombre, lo puede desproteger un hombre”. Esto es, que no hay un sistema de seguridad que no caiga ante un volumen de conocimiento y paciencia suficiente. Lo que es increíble es que todavía existan infraestructuras críticas que cometen errores de niño, como correr servidores en Windows XP y similares.

P.: Internet de las cosas: aunque parezca mentira, terminará por llegar. ¿Estamos preparados para tener todos los dispositivos conectados?

R.: No, ni mucho menos. Ni la sociedad ni las empresas están preparadas para afrontar el reto. Se han hecho estudios con dispositivos de este tipo y más de la mitad no están preparados para defenderse de un chavalín que tenga un poco de idea. Si se conectan por wifi van sin cifrar, algunos no tienen ni contraseña…

Otro problema es que muchos dispositivos son cajas negras que no permiten al usuario cambiar la configuración. No puedes cambiar ningún parámetro, ni siquiera las claves. Esto ha sucedido, por ejemplo, en los routers domésticos; antes se podían toquetear, ahora son cajas negras en las que muchas veces no puedes ni actualizar el firmware.

P.: Los periodistas también tenemos culpa, en tanto que no informamos correctamente de las amenazas. Aún no sabemos si en aquel episodio del robo de fotos de famosas desnudas se atacaron los teléfonos, iCloud… ¿no estamos haciendo dejación de funciones?

R.: Creo que en episodios como aquel la culpa es un poco de todos. ¿A quién se le ocurre hacerse fotos desnuda y subirla a internet? Al principio creía que era un montaje, pero cuando vi la realidad… no me lo creía.

Por otra parte Apple ha ido cambiando de posición, diciendo primero que las habían tomado de su teléfono, aunque una semana más tarde publicaron un parche que corregía problemas de privacidad en iCloud.

P.: En teoría la nube de Apple es un lugar privado.

R.: ¡Nononono! ¡En internet nada es privado! Todo lo que subas a internet tienes que ser consciente de que lo puede ver otra persona, incluido cualquier correo electrónico. Deberíamos llevar un chip implantado, el Chip de la Paranoia, para recordarnos que internet no es un entorno seguro.

Cualquiera puede ver lo que hacemos en la red. Y no me refiero a un hacker en Canadá, sino a tu vecina de arriba o a tu propia madre.

P.: En ocasiones las empresas no nos lo ponen sencillo. Me refiero a que iCloud es una opción por defecto, no estoy seguro de que el usuario sepa dónde van a ir sus documentos.

R.: A esto nos tiene muy acostumbrados Facebook, que cambia la configuración de privacidad sin previo aviso. Definitivamente sí,las compañías en ocasiones nos complican la vida.

P.: Una de las creencias habituales es que la seguridad informática se circunscribe a instalar un antivirus.

La gente dice: ¿quién me querrá espiar a mí? Pues chico, tu mujer mismamente

R.: Yo no uso antivirus porque no uso Windows, que es el objetivo principal del malware. Las personas que usan Mac o Linux están más o menos protegidas, aunque es verdad que existen virus para estas plataformas, aunque en mucha menor medida. De todas formas, cuando yo usaba Windows, tuve que desinstalar el antivirus porque se comía los recursos del sistema. Además, salen demasiados virus al día como para hacerles frente: deberíamos estar actualizando cada tres horas para que aquello tenga sentido.

Lo que sí tengo es un firewall, que es un programa que limita las conexiones externas. Como ahora los virus no intentan estropear tu ordenador, sino enviar tus datos a terceros, me sirve perfectamente. El único virus que he tenido lo descubrí así.También tengo que decir que si alguien quiere entrar en tu ordenador lo más probable es que termine consiguiéndolo.

P.:Muchos se amparan en que no son importantes, que sus datos no interesan a nadie para sentirse seguros.

R.: Qué error. Existe una web, Hackerslist, que es un servicio donde se puede contratar hackers. ¿Sabes para que los contrata la gente normal? Para espiar el correo de su mujer porque cree que le engaña, para obtener el password de Facebook de su marido porque cree que le engaña… cuando la gente dice, ¿quién me querrá espiar a mí? Pues chico, tu misma mujer. Yo a esta gente no les llamaría hackers, sino mercenarios de la informática.

P.: Es curioso cómo ha evolucionado el término 'hacker', de delincuente informático a activista de la red.

R.: Sí, la comunidad de hackers ha hecho un gran trabajo de imagen. Aunque la RAE aún no lo ha pillado, la idea de que un hacker no es un delincuente ya ha trascendido.

P.: Acabamos: ¿tres consejos rápidos para aumentar la seguridad sin conocimientos profundos?

R.: Pues lo primero que aconsejo es leer el libro, sobre todo los consejos que aporta Manel (risas). Él es un veteranísimo de la seguridad en España, montó el primer equipo dedicado plenamente a estoy se ha ocupado de ilustrar los errores que cometió la gente que tuvo problemas de seguridad. Y lo que es más importante: a quién acudir en caso de ataque, porque si te roban datos no es como si te roban la cartera, que tienes claro que debes ir a la comisaría.

En cuanto a los consejos… la paranoia. Desconfiar de todo, comprender que es posible que alguien nos quiera espiar, tener cuidado con los datos bancarios… perder algo de tiempo en asimilar las normas de seguridad básicas. ¿Un antivirus? Pues si tu ordenador lo soporta y quieres estar en Windows, adelante, mal no te va a hacer.