El ganador de la batalla de hackers organizada esta semana por el Centro Nacional de Criptografía, dependiente del CNI, advierte de la responsabilidad que tenemos los usuarios de los servicios digitales a la hora de garantizar nuestra seguridad.

-La contraseña más utilizada este año fue 123456 y, en general, las más frecuentes son muy inseguras. ¿Somos unos ingenuos digitales?

-Claramente se trata de un mecanismo débil. No son complejas porque necesitamos recordarlas y compartimos la misma o le añadimos alguna variación en los numerosos servicios que utilizamos: correo, redes o el banco. Cada cierto tiempo hay fallos de seguridad que comprometen a usuarios y contraseñas. Hace dos años le ocurrió a Linkedin y obligó a cambiarlas, pero la gente las repetía. Y se podían obtener en internet de forma sencilla. Hoy en día existen gestores muy recomendables que se instalan en el móvil o el ordenador y se protegen con una única contraseña maestra, que debe ser compleja. Y generan contraseñas distintas para cada servicio que no tienes que recordar. Pero hay que avanzar hacia soluciones de doble factor con mecanismos adicionales como mensajes al móvil, que ya se usan en banca electrónica, o con biometrías como la de la huella digital. En Gradiant tenemos soluciones de biometría de cara y voz, pero también existen de firma manuscrita.

-¿La responsabilidad recae tanto en empresas como en usuarios?

-Exacto. En las empresas hay cada vez más concienciación, pero la seguridad y la privacidad también dependen de nosotros. Es muy probable que tu correo te permita la autentificación por segundo factor y activarla es una manera muy sencilla de empezar a mejorar. La primera barrera de protección somos nosotros mismos. Pero las empresas que prestan servicios digitales son las que más tienen que luchar y esforzarse por mejorar nuestra seguridad. Implantando tecnología, pero también mediante la concienciación. Son muy habituales los ataques de phishing para conseguir ciertas credenciales mediante un supuesto mensaje del banco que ya debería resultarnos sospechoso. Pero a pesar de que algunos son muy burdos dan resultado. La duda está en si determinados servicios deberían exigir cierto nivel de madurez digital. El acceso debe ser inclusivo, pero también hay que evitar poner a las personas en un riesgo innecesario. Los ataques más sofisticados están relacionados con falsas aplicaciones que te piden permisos. Y la gente está tan acostumbrada a ellos que acepta sin leer. Pueden llegar a cifrar todo el buzón del correo y pedir un rescate.

-Y detrás hay un gran mercado negro.

-Que también es sofisticado. Los ciberdelincuentes, que no hackers, que roban las contraseñas de cuentas de correo, Netflix, Paypal o tarjetas de crédito las venden al por mayor en ese mercado, en la dark web. Y los que realmente roban son las grandes mafias que funcionan como redes. En la posición más baja están las mulas, que reciben una transferencia en sus cuentas y envían el dinero a otros países a través de locutorios. Estas mafias suelen afincarse en países con legislaciones poco desarrolladas. Los occidentales y todos los de la UE están adscritos a convenios de colaboración para perseguir el cibercrimen.

-Los expertos advierten que la Navidad es una época propicia para los ciberataques.

-Hacemos muchas compras y puede que seamos más sensibles a determinados mensajes. Otro tema interesante es el de los juguetes conectados, cada vez más en auge. El instituto Incibe ha elaborado una guía para los padres. Deberíamos ser responsables y leer la información que da el fabricante sobre su política de privacidad para conocer qué información se va a recoger y para qué se va a utilizar. Están obligados a pedirnos autorización. El riesgo de que haya un fallo de seguridad está ahí, pero hay que tratar estos juguetes como cualquier dispositivo electrónico. Y todos tienen que estar actualizados. Muchas veces esas actualizaciones corrigen vulnerabilidades de seguridad.

-Este año también están de moda los altavoces inteligentes, ¿suponen el mismo riesgo?

-Si algo no le podemos achacar a estos fabricantes es que no nos den información detallada sobre el uso de nuestros datos, de lo contrario estarían expuestos a multas enormes. El problema es que no la leemos y damos nuestro consentimiento sin tener en cuenta posibles riesgos. Yo no comparto la teoría de la conspiración y no creo que estos altavoces estén siempre escuchando y transmitiendo información a internet. Se han hecho análisis al respecto. Pero sí hacen un uso muy, muy intensivo de los datos que reciben al activarse para ir perfilando al usuario de cara al envío de publicidad. Siempre que accedamos a servicios debemos dar solo los permisos necesarios, ¿para qué regalarles más información? Y otra recomendación, aunque no es una medida perfecta, es navegar en modo privado para evitar enviar información a nuestras redes sociales.

-Muchos expertos en seguridad optan por no estar en ellas, ¿es un indicador?

-(Risas) Sí es cierto que algunas personas que saben cómo funcionan son más susceptibles a utilizarlas, pero otros le vemos mucho valor si se usan de forma responsable y con conocimiento.

-¿Existe el riesgo de que la seguridad acabe por suponer una brecha y que solo las personas con más recursos puedan acceder a formación y herramientas?

-No debería pasar en ningún caso. Nunca se puede dar acceso a una tecnología si no se facilitan también los recursos para utilizarlas de manera segura. Lo que sí puede causar una brecha es el conocimiento y la concienciación. Por eso son muy importantes iniciativas como los cibervoluntarios de Incibe. Y es probable que Gradiant también visite en breve un colegio.

-¿Es suficiente la legislación actual para que las empresas garanticen la seguridad de los usuarios?

-La legislación europea de privacidad es bastante garantista y la nueva ley orgánica de protección de datos añade niveles superiores. No es tanto un problema de legislación, sino de simplificar la forma en la que los usuarios damos nuestro conocimiento y podemos saber qué datos se recogen y cómo se tratan.