Ana Nieto, experta en ciberseguridad: «Nos obsesionamos con Pegasus pero no nos importa ceder nuestros datos a cualquiera»

- El congreso UAD360 se celebra en un momento estelar para la ciberseguridad, tanto a nivel general, con el ataque de Pegasus todavía coleando, como en Málaga, con la próxima apertura del centro de excelencia de Google y del centro de ciberseguridad de la Junta. ¿Qué sensación tiene? ¿La de que por fin se le dedica la atención debida a estos temas o la de que empieza a haber cierto 'hype'?

- Siempre se le ha dedicado la atención, pero por parte de aquellos enamorados de la 'seguridad informática' [lo pongo entre comillas porque es el nombre clásico de la materia], los que contribuían con pasión. Ahora encontramos de todo y da la impresión de que tengamos un caballo desbocado que no hay forma de domar. Salen además expertos de todos los ámbitos que te aseguran que tienen un remedio milagroso, pero que realmente no saben diferenciar entre un caballo y un burro. Es muy bueno que se le dedique atención a la ciberseguridad, pero no podemos dejar que cunda el pánico y sobre todo, si queremos enfrentar el problema no hay soluciones mágicas. El principal problema actual es que la inmensa mayoría de la población no tiene hábitos de seguridad adquiridos para enfrentarse a su rutina diaria y eso al final afecta a todo, a su actividad en las empresas también.

- El escándalo de Pegasus nos ha puesto a todos en guardia contra el 'spywire' y el 'malware', pero no es nada nuevo, ¿no?

- No, en cuanto a que ya existía 'spyware' y 'malware' para móviles, pero sí en cuanto a la parte técnica, ahí sí que incluye características que son interesantes desde el punto de vista del análisis.

- ¿Puede explicarme de forma sencilla cómo funciona Pegasus?

- Pegasus ha fastidiado el consejo general contra el 'malware': «No hagas clic, que te infectas». Un teléfono móvil puede quedar infectado tan solo por la recepción de un mensaje, sin que sea necesario abrirlo, por eso se dice que es un ataque «cero-clic». Este es el gran problema, que los atacantes ya no necesitan que el usuario se equivoque y caiga en un engaño. Sin embargo, también puede llegar por medio de mensajes de 'phishing' (técnica de engaño para robar datos personales y bancarios a través de la página web falsa de nuestro banco o alguna institución oficial).

Cuando el terminal se infecta, Pegasus puede grabar la pantalla, conversaciones, lo que escriba el usuario del dispositivo, o bien acceder al correo, mensajes, u otros datos del dispositivo. Los ataques de Pegasus parece que se centran en víctimas concretas y que no actúa como un virus intentando propagarse, pero quién sabe las variaciones que se podrían desarrollar a partir de lo que se conoce.

- Mucha gente cree que todos podemos haber sido espiados con este 'malware' pero no estamos ante un espionaje masivo sino muy selectivo, ¿no es así?

- Así es. Siempre preferimos la salsa rosa, cuanto más alarmante es una noticia, mejor... Nos obsesionamos con Pegasus y no nos importa haber cedido nuestros datos a terceros para cualquier otra cosa.

- Si han llegado al móvil del presidente, ¿los malos pueden llegar a cualquiera?

- Sí, pero no cualquiera tiene que interesarles, dependerá de lo que quieran.

- ¿Seguimos siendo negligentes a la hora de proteger nuestra propia privacidad y seguridad?

- Muy negligentes, tanto por exceso de confianza como por exceso de paranoia. Falta el término medio: querer informarse para sopesar las cosas en su justa medida. Es curioso, pero preferimos alarmarnos ante cualquier amenaza poco probable pero llamativa y luego descuidamos los aspectos de seguridad más básicos, como las contraseñas.

- ¿Cuáles serían las buenas prácticas en el uso del móvil y demás dispositivos para protegernos del 'malware'?

- Instalar sólo desde fuentes oficiales y si podemos tener un antivirus o herramienta de seguridad, como Koodous, tampoco viene mal... Teléfono con contraseña y bloqueo automático, nunca dejar el teléfono desprotegido y avisar inmediatamente en caso de robo, el teléfono a poder ser cifrado... Un teléfono es un dispositivo personal, si sólo tú tienes acceso, mejor. No compartir claves con nadie, ni dejar que nadie grabe sus huellas en tu dispositivo. Esto deriva en otro tipo de problemas a veces.

- Usted ha sido profesora en la UMA y ahora es responsable de formación en Hispasec, la empresa decana de la ciberseguridad en Málaga. ¿Hay buena cantera?

- Sin duda, pero falta motivación. Prepararse para algo no es lo mismo que vivirlo. Creo que muchos estudiantes están perdiendo el foco, te dicen que les interesa la ciberseguridad pero no saben lo que es realmente. Lo sé porque la pregunta que les suelo hacer es ¿y qué rama de la ciberseguridad te gusta? No me la suelen responder. Veo algo de ganas en algunos estudiantes, pero anhelo encontrar pasión en sus ojos.

Lo bueno de Málaga es que lleva tiempo preparando el caldo de cultivo perfecto para la ciberseguridad en su sentido más amplio: no sólo hay formación en la Universidad dirigida al público técnico, sino que tanto en criminología como en turismo tienen optativas de ciberseguridad enfocadas a ellos. Al igual que ocurrió en su día con informática, las optativas espero que pasen algún día a ser asignaturas de obligado cumplimiento. No porque yo haya sido profesora o generado contenido para dichas asignaturas, sino porque los propios estudiantes me lo dicen; de hecho, no saben lo necesario que es hasta que cursan las asignaturas de ciberseguridad. Estamos perdiendo talento en muchas áreas, no sólo en la rama tecnológica. Y la ciberseguridad va de eso: muchos expertos cooperando necesariamente en el plano digital para enfrentarse a los desafíos de ciberseguridad.

- ¿Cree que va a haber problemas para cubrir los miles de puestos de trabajo que, según todos dicen, va a generar la industria de la ciberseguridad?

- Todos van a decir que sí, yo prefiero ser más prudente. Es cierto que últimamente llegan muchas más ofertas de trabajo en este ámbito, pero todo dependerá de los puestos que se esperen cubrir. Si estamos pidiendo 'seniors' porque el problema se nos ha ido de las manos va a ser más difícil que si lo que buscamos son 'juniors' para que crezcan en nuestro equipo.

-Vamos con los detalles del congreso UAD360: ¿cuáles son las principales novedades de esta segunda edición?

- Se ha puesto todo el foco en las sesiones y en que nadie se pierda nada. Tener sesiones paralelas permitiría mayor número de ponentes, pero al final tienes que estar eligiendo, y eso no lo queríamos. Queremos un evento en el que todos podamos estar juntos compartiendo la experiencia, y por eso también quisimos esperar a que las restricciones derivadas de la pandemia no nos fastidiasen.

¡Nuestros ponentes me encantan! Hemos tenido propuestas estupendas, algunas se han quedado fuera, muy a nuestro pesar. Hemos seleccionado primando la diversidad en las charlas y el componente técnico. Hay ponentes a los que hemos convencido con unos cuantos espetos junto al mar, aquellos con los que a fuerza de coincidir se ha formado un lazo muy bueno. Este evento es una reunión de conocidos enamorados por la ciberseguridad que tienen mucho que contar.

Además, vamos a inundar la Escuela de Informática de pruebas CTF, tanto para iniciarse en este mundo de la competición como para expertos que quieran competir por los premios. Las pruebas CTF son una vía de medir el talento; no la única, pero sí una, y fomenta la competitividad. Los alumnos deberían aprovechar este momento para iniciarse, si no lo han hecho. También es alucinante el 'merchandising' que está preparando nuestro diseñador. La verdad es que cada día estamos pensando en cosas. Y luego está lo de siempre, el buenrollismo que se va a respirar. Esta es una conferencia para estar entre amigos, apasionados de la 'ciber', y relajarse.