«Conectarse a cualquier wifi es dejar las llaves a un desconocido y que haga 20 copias»

«Conectarse a cualquier wifi es dejar las llaves a un desconocido y que haga 20 copias»

«Hay equipos de ladrones profesionales dedicados a robar información o dinero a usuarios y empresas», afirma el experto informático

JUAN CANOMálaga

Cada día, a las cinco de la tarde, sufrían un ataque en su servidor. Al quinto descubrieron de dónde provenía. Un correo electrónico les explicó el problema y la solución. Estaban siendo objeto de un chantaje por parte de una banda de hackers. Si no querían perder la información, tenían que pagar por una herramienta que liberaría sus equipos. No lo hicieron. Y les reventaron el sistema.

El caso, que es completamente real y que tuvo como víctima a una empresa malagueña de cambio de divisas, ilustra las amenazas a la que se enfrenta diariamente Checkpoint, una compañía multinacional creadora del firewall (herramienta para bloquear conexiones no deseadas) y especializada en seguridad informática que cuenta con más de 100.000 clientes repartidos por todo el mundo, la mayoría grandes empresas.

El director de Checkpoint para España y Portugal, Mario García (47 años), participó en la XIV edición del Fórum Spain sobre seguridad, celebrado en Málaga, al que asistieron desde expertos y analistas de marcas punteras en el sector, como Microsoft o McAfee, hasta mandos de las Fuerzas de Seguridad y el Ejército.

¿Cuáles son las dimensiones reales de la amenaza que supone la ciberdelincuencia?

El cibercrimen es un negocio muy lucrativo y, al mismo tiempo, una amenaza de estado. Hay equipos de ladrones profesionales que se dedican a robar información o dinero a empresas o usuarios. Desde avances en tecnología hasta planes de negocio, pasando por ofertas en concursos públicos que interesan a la competencia. Lo venden al mejor postor.

Habla de bandas. ¿Hasta ese punto se han profesionalizado?

Absolutamente. Olvídese del hacker gracioso de las películas que entra en ordenadores ajenos por diversión. Están repartidos por todo el mundo. Basta con preguntar quién maneja datos de determinadas empresas, y el poseedor los ofrece a cambio de dinero. Se anuncian en Internet con total impunidad. Es como una subasta de información.

Entonces, ¿se puede dirigir un ataque contra cualquiera?

Contra quien uno quiera. Puedes plantear un ataque y preguntar a estos ciberdelincuentes quién de esa empresa tiene ordenadores comprometidos. En Internet también puedes alquilar redes de ordenadores para organizarlo. Por ejemplo, pides 10.000 PC repartidos por todo el mundo, de usuarios que no tienen ni idea de que están participando en la operación, y los utilizas para atacar a una empresa. Esto es real y está pasando ahora mismo.

¿Algo parecido a lo que hace Anonymous?

El hacktivismo de Anonymous es la anécdota. Atacan a un banco, a una compañía o a una institución pero no comprometen la seguridad, sólo buscan salir en los periódicos. El problema es cuando yo uso las mismas herramientas que ellos, pero para distraerte. La dinámica consiste en utilizar un primer ataque para despistarte y, cuando estás gestionando esa amenaza, te ataco de verdad. La anécdota es cambiarle la cara a la foto de Rajoy. Mientras eso estaba pasando, que es lo que se veía, se podía estar produciendo el verdadero ataque.

Supongo que las empresas invertirán cada vez más en protegerse...

Las grandes compañías están muy preocupadas y llevan tiempo invirtiendo en esto, pero no se está al nivel que nos gustaría. El problema es que hay muchas empresas que no lo están haciendo, y en realidad no cuesta tanto.

¿Y qué les puede costar protegerse contra estos ataques?

Varía en función del tamaño. Puede ir desde 400 euros para una pyme, hasta un macroproyecto de un datacenter en el que una grandísima compañía española ha invertido más de un millón de euros.

¿Las empresas empiezan a tener su propio departamento de seguridad o reclaman sus servicios?

Las dos cosas. Nosotros trabajamos con ellos, hacemos un análisis de seguridad, de las amenazas reales y de qué necesitan para protegerse. Les asesoramos sobre dónde poner la información y cómo salvaguardarla. Es un todo, no basta con una barrera perimetral. En Internet debes controlar qué información tienes, a quién le das acceso y cómo. Mi compañía, por ejemplo, no me permite sacar ninguna información que no esté encriptada. Si a mí me roban el portátil es un trastorno, pero no un desastre. Y el que se lo lleve sólo se queda con el hardware, no con los datos.

¿En España estamos concienciados con este problema?

Sí, aunque queda mucho por hacer. La mitad de las empresas disponen de un bot, una pieza de software que permite que tu PC se ponga en contacto con alguien de fuera, y tienen riesgo de sufrir un ataque; sus ordenadores están comprometidos desde los niveles más bajos hasta los más altos de acceso a información.

¿Cuál ha sido el ataque más grave que recuerda?

A día de hoy, existen toda clase de ataques a cualquier tipo de empresa. Desde una pyme que recibe un correo de una exrepública soviética diciéndole que han encriptado toda la información de sus ordenadores, y que si intenta desbloquearlo, la información desaparecerá. En el mismo mail le ofrecen la posibilidad de desencriptarlo a cambio de una módica cantidad. Puedes arriesgarte a peder la información, pagarles o avisar a la Guardia Civil. Ese es un caso real de hace unos días, y que ha sido denunciado. Por ejemplo, hubo un empresario que pagó y que luego pidió que se investigara dónde había ido a parar el dinero. El rastro se perdió en las Islas Caimán.

El caso Snowden, el espionaje de Estados Unidos... ¿Existe un ciberespionaje de estado?

Es una variante completamente real. Si las herramientas son tan buenas, ¿por qué no las voy a usar para obtener información de otros países? En China hay una división militar con miles de ingenieros que trabajan en unos barracones y que se dedican a revisar todo tipo de ataques cibernéticos en el mundo. Se dedican exclusivamente a eso. EE. UU. lo usó cuando descubrió que los iraníes estaban haciendo uranio enriquecido. Organizaron un ciberataque a la central nuclear y reconfiguraron los robots. Los iraníes siguieron fabricando lo que ellos creían que era uranio enriquecido, pero los americanos habían alterado la composición, y se encontraron con que la producción de un montón de años no servía para nada.

O sea, que los estados se están subiendo al carro del ciberespionaje...

Todos lo están haciendo, aunque depende de la capacidad que tenga cada uno. Al fin y al cabo, es información y estamos en ciberguerra desde hace tiempo. Los países con más dinero, tecnología y sentido geomilitar, como Rusia, China o Estados Unidos, están a la cabeza. Hace poco salió en el Telediario que acabamos de nombrar un mando único de ciberseguridad con un presupuesto que le dará para un par de portátiles. Llegamos unos cincuent años tarde.

En la época actual, eso significa estar en la prehistoria.

El sector privado no lo está, hay empresas que se encuentran en la punta de lanza en tecnología y seguridad contra los ataques, pero a nivel de gobierno no existe la misma cultura. Respecto a otros países, yo opino que sí estamos en la prehistoria. Estamos empezando a preocuparnos como país por la ciberdelincuencia. Hace falta mucho dinero y personal. Por ejemplo, hemos empezado a hacer ahora un listado de infraestructuras críticas, como aeropuertos, carreteras o presas para protegerlas. Se está trabajando en la revisión de sus sistemas de seguridad para homogeneizarlos y estandarizarlos.

¿Y a nivel de usuario? ¿Qué garantías tenemos a la hora de operar en Internet con claves personales?

Todo está mas relacionado con el sentido común que con la tecnología. Hay que tener una serie de productos de seguridad instalados, medidas preventivas, que equivalen a tener una casa con cerradura y con alarma. El ordenador personal no se puede utilizar para bajar cosas del e-mule. ¿Tú dejarías la puerta de tu casa abierta para que accedan a una habitación donde guardas datos de bancos y claves? A mí no me cabe en la cabeza, pero la gente lo hace. Hay que hacer siempre la traslación del mundo virtual al físico.

¿Qué opina de las redes sociales? Hay usuarios que dan pistas sobre sus viajes o su tiempo de oficio.

Lo más importante es saber qué información puedo dar. ¿Puedo publicar en las redes que me voy a Santo Domingo? ¿Acaso lo hago en el tablón de anuncios de la comunidad de vecinos? Conectarse en cualquier wifi de las que hay por ahí es como dejar las llaves de casa y que te hagan 20 copias. Volvemos a la traslación del mundo virtual al físico. ¿Tú vas con la cartera llena de dinero a un barrio marginal? ¿Y entonces por qué te conectas con tu ordenador en sitios peligrosos donde tienes tus claves?

¿Incultura o exceso de confianza?

Es una cuestión de sentido común, aunque también es un tema de incultura digital. Los ejemplos que le he puesto son muy básicos, el abc de la informática. ¿Por qué cree que el mundo digital es distinto al mundo físico? Al otro lado hay personas. Yo compro muchas cosas por Internet, sólo tengo cuidado. A la gente le han dado unas herramientas poderosísimas sin ningún tipo de información. Tus padres te educan desde pequeño de lo que puedes hacer y lo que no, pero eso no ocurre todavía en el mundo digital. ¡En Internet son los padres los que van a pedirle consejos a los niños!

¿Las conexiones de los menores se han convertido en la puerta de entrada al ordenador de casa?

Claro, una de ellas. El niño no toma precauciones y es más fácil de convencer. Yo lo veo todos los días. Desde ahí, puedes acceder a toda la información de los padres. Se hace mediante un herramienta que se llama keylogger, que guarda todo lo que tú teclees; sólo tengo que esperar a que entres en tu banco. Luego está el tema de los menores y el acoso. Esto pasa porque un ordenador en casa no puede estar en el cuarto del niño con la puerta cerrada. Los menores tienen que navegar en el salón, donde tú puedas pasar y ver en cualquier momento lo que están haciendo. Que tú puedas ser su amigo, lo que se llama el padre silencioso, que permite tener una visibilidad sobre lo que hace. Debes ir por delante de ellos, decirles dónde pueden entrar y dónde no. Es un tema de educación.

¿Son más vulnerables que nunca?

El mundo digital ha abierto unas puertas que antes no existían. El mal está a golpe de una tecla. En el físico, le puedes decir que no hable con extraños; en el digital, puede ser cualquiera. Por eso hay que enseñar a los niños, y también a los padres.