Suscríbete

Contenido exclusivo para suscriptores digitales

Entrevista | Alejandro Ramos

"La guerra se hace ahora en Internet, hay gobiernos que lanzan ataques comerciales"

"Ya se conocen ataques a farmacéuticas con el único propósito de conocer sus avances sobre el Covid", afirma encargado de la seguridad informática de Telefónica

Alejandro Ramos Fraile.

Alejandro Ramos Fraile. LP/DLP

¿Son conscientes las empresas de los peligros que acarrea Internet y de cómo defenderse ante eventuales ataques?

Yo creo que depende de la empresa de la que se trate. Las grandes compañías sí son conscientes. Y no me voy a las del Ibex 35 solamente, también las que tienen un perfil más bajo. Sabemos que son conscientes porque todas tienen designado a un responsable de seguridad que se encarga de estas cosas. Si bajamos a las medianas empresas ya es cuando empezamos con el caos. Falta mucha concienciación de lo relevante que es hoy en día la seguridad online. De las pequeñas empresas y del usuario de a pie casi ni hablamos, porque no están concienciados para nada.

¿La situación mejora?

Poco a poco vamos siendo más conscientes de los fraudes porque mucha gente tiene algún conocido que los ha sufrido. Las empresas se enfrentan a peligros más serios, como robos de propiedad intelectual o similares, prácticas de competencia desleal para conocer las ofertas antes de que salgan al mercado… En las medianas y pequeñas empresas tratamos más fraudes financieros, secuestros de datos. Al final acabaremos concienciándonos, pero aunque haya esa conciencia no tomamos las medidas necesarias.

¿Qué tipo de amenazas hay? Están los ‘típicos’ ciberdelincuentes pero, ¿hay algo más?

Sí, hay dos grandes bloques. Lo tradicional son los ciberdelincuentes, que buscan un beneficio económico. Son los delincuentes de toda la vida que se han digitalizado y cometen fraude buscando un beneficio económico puro. Después hay organizaciones gubernamentales que tienen la inteligencia online como un dominio más dentro de sus capacidades de espionaje. Los países tienen ejércitos de tierra, mar y aire y ahora tienen expertos en ciberespacio. Se despliegan para ver qué hacen otros gobiernos y para proteger sus intereses nacionales. Hay casos concretos donde es sabido que unos gobiernos han atacado a otros gobiernos para buscar beneficio.

Organizaciones gubernamentales, ejércitos… ¿La próxima guerra se librará en Internet?

Yo creo que esto es algo que ya está ocurriendo. Ya es una realidad, ya hay una guerra en Internet. Pero hay países no concienciados con esto. Con que se dedicara una pequeña cantidad del PIB a ciberseguridad se avanzaría mucho. Con lo que vale un helicóptero pueden hacerse muchas cosas en este campo. La realidad es que los gobiernos ya están haciendo ataques y los hay con unos fines claramente comerciales. Hay gobiernos que espían a otros gobiernos para conocer al detalle sus capacidades y para saber sobre qué están investigando. Un ejemplo son los ataques a compañías que están investigando sobre el Covid. Se intenta entrar en sus sistemas para robar la propiedad intelectual. Ya se conocen ataques a farmacéuticas con el único propósito de conocer sus avances.

¿De qué depende que un ataque tenga éxito?

La seguridad digital es muy frágil, no es binaria en el aspecto de si algo es seguro o no. La seguridad digital se basa en la protección por capas. Es como si pensáramos en un castillo. Primero está el foso, luego el muro, luego los soldados… había que saltar distintas protecciones para llegar a la población. En el mundo digital es lo mismo. Lo que sucede es que si una de estas capas falla el resto deja de tener sentido. El atacante solo necesita tener éxito una vez y el que defiende necesita garantizar que todas las capas protegen y son efectivas. Es un tema muy complejo. Intentando resumir la estrategia de protección de las empresas, lo que trata la función del responsable de seguridad es de identificar los riesgos, proteger a las empresas, detectar las amenazas en el caso de que se produzcan y, en el caso de que haya un ataque, responder.

¿Cuáles son las infraestructuras críticas sobre las que la seguridad debe ser incrementada?

En el caso concreto de España existe el Centro Nacional de Infraestructuras Críticas, que tiene un catálogo de compañías estratégicas que no es público. Hay empresas reguladas por esta ley de infraestructuras críticas, que tienen la obligación de contar con un plan estratégico de seguridad y notificar al Gobierno en caso de que haya problemas. No sabemos qué empresas son pero sí los sectores. Hay energéticas, empresas del agua, ligadas a los servicios, a la banca. El Covid obligará a actualizar este registro porque lo que considerábamos servicios básicos antes de la crisis y lo que consideramos ahora ha cambiado. Ahora se ha demostrado que una empresa de distribución de alimentos puede ser una infraestructura crítica. Creemos que esa relación de empresas va a ser revisada teniendo en cuenta las nuevas amenazas.

Bajando al nivel de las medianas y pequeñas empresas. ¿Cómo pueden mejorar su seguridad online?

El principal reto es que las empresas tomen conciencia de las amenazas. Respondemos muchos problemas de medianas empresas y el vector de ataque siempre es el mismo. Muchas empresas todavía son engañadas con correos electrónicos, ataques de libro que se llevan produciendo mucho tiempo, van mejorando con el paso del tiempo y en los que una persona experimentada podría llegar a picar. Tenemos los clásicos, que te envían una factura elevada para que la abras o que se hacen pasar por gente de tu agenda para que mires el correo. Luego es importante actualizar todos los equipamientos, ordenadores y móviles, cuando lo pide el sistema operativo. Lo mismo con las aplicaciones que instalamos. Cuando nos pide actualizar, siempre hay que dar al sí.

Si esto es tan importante, ¿no deberían ser las actualizaciones automáticas? ¿Por qué se deja en manos del usuario un asunto de seguridad?

Cada vez son más automáticas, pero es cierto. Delegar toda la responsabilidad en el usuario es un error. Lo que sucede es que las empresas de software también cometen fallos, y si son ellas las que instalan una actualización que da problemas… ¿quién asume luego la culpa? Hay miedo de provocar problemas en los negocios por este tipo de cosas. En mi opinión, el fabricante debería asumir todas las consecuencias. Debería ser él el que actualice sin delegar la responsabilidad en el usuario final.

¿Han aumentado los delitos con el aumento del teletrabajo?

No necesariamente por el teletrabajo. Sí hay aumentado por el contexto general. Cada vez que hay un acontecimiento mundial, algo de lo que todo el mundo habla, desde un mundial de fútbol al Covid, aumentan los ataques. Cuando todo el mundo habla de lo mismo en Internet aumenta la posibilidad de éxito en los ataques, pero nos ocurre lo mismo cuando hay grandes eventos internacionales.

Ha quedado claro que las grandes empresas y los gobiernos cuidan mucho de su seguridad online, pero descendamos ahora al nivel de los ciudadanos. ¿El usuario particular es cuidadoso en Internet?

Poco a poco lo va siendo más, hay un cambio generacional. Las nuevas generaciones son mucho más conscientes de los riesgos que existen. No son tan cuidadosos con su privacidad, pero tienen una mentalidad distinta y ya asumen que es normal que una web te pida un número de teléfono para que te llegue un mensaje de texto a la hora de conectarte. Los niños ya conocen los peligros de jugar online y no sienten peligro a la hora de enfrentarse a las nuevas tecnologías. Si vamos a gente más mayor vemos que la identidad online causa más problemas, creen que es un engorro y pican en fraudes menos elaborados. Yo creo que es cuestión de tiempo que los ciudadanos sean conscientes de los peligros reales y tomen medidas.

Por lo que cuenta, parece que es más una cuestión de tiempo, que haya un cambio generacional, que una cuestión sobre la que haya que tomar medidas.

Yo pienso que hay necesidad de regulación, que a las empresas se les exijan unos protocolos más estrictos en materia de seguridad que los que se están desplegando a día de hoy. Hoy en día la seguridad exigible es muy laxa. Puedes meter en casa una nevera que está conectada a Internet pero no tiene ninguna certificación para estar online. Igual que se mira con lupa la seguridad en los juguetes de los niños, también debería hacerse con aparatos de estas características.

Pero asume que el cambio de mentalidad vendrá de forma natural.

Eso es un hecho. Los gobiernos y las compañías nos gastamos mucho dinero en campañas de seguridad que nunca terminan de ser efectivas. Debería haber formación para personas más mayores, un poco más alejadas de este mundo y que tienen que mejorar su seguridad online.

¿Saben los padres a qué se enfrentan sus hijos en la web?

Poco a poco vamos siendo más conscientes. En mi experiencia personal, y por lo que conozco de otros padres, hay un mayor control que hace unos años y eso es bueno. Cuando estos niños sean padres ya no habrá que enseñarles nada, lo sabrán porque lo han vivido. Los chavales ya saben, por norma general, que no deben hablar con nadie que no conozcan. En los colegios también se les da formación, aunque yo creo que debería ser más y mejor. Debería haber una asignatura que hable de estos temas. Pero a grandes rasgos los niños conocen las principales amenazas de Internet.

¿Somos cada día más vulnerables?

Yo soy optimista, creo que no. Cada día somos un poco menos vulnerables. Estamos más digitalizados, eso es cierto. Las compañías que tenían servicios analógicos ahora los digitalizan. Nos enfrentamos a nuevos riesgos pero desde la perspectiva de la protección se está mejorando mucho. Yo soy positivo, creo que la banca online es igual de segura que la tradicional, que puedes tener problemas en una y en la otra. Además, como trabajador de una compañía de telecomunicaciones, nosotros abogamos por una digitalización extrema. No debemos asustarnos por los posibles riesgos, solo aplicar las medidas de protección necesarias.

El mundo de dentro de diez años, ¿será más o menos seguro que el de hoy?

Será más digital, eso seguro, pero no más inseguro. Habrá nuevas amenazas, eso sí. Hace diez años nadie nos dijo que un vídeo fake de Trump colgado en Twitter podría suponer una amenaza seria, pero así es. Los riesgos cambian.

Hablando de Twitter, hace unos días unos ‘hackers’ piratearon cuentas de personalidades y estafaron a usuarios varios millones en pocos minutos. ¿No estamos seguros ni en las plataformas que supuestamente son de confianza?

Cualquier cosa puede tener riesgos, hay que estar atentos y vigilantes. Sucede igual que en el mundo físico. Aunque estemos dentro de una oficina bancaria puedes sufrir un atraco. En Internet, como en la calle, también hay zonas y hay que tener conciencia de ello. Igual que no vas por la calle con un fajo de billetes en la mano, no puedes dar el número de tu tarjeta de crédito a cualquier página de Internet. Hay zonas más seguras y más inseguras, pero ni en las más seguras vamos con el dinero en la mano por la calle. La problemática de Internet es que los riesgos cambian y nos enfrentamos a nuevas amenazas.

Y los ‘malos’ siempre van por delante. Es la historia del ladrón y el policía.

El problema es ese. El ladrón va delante y el que pone la protección va detrás. Y luego está el que regula, que llega muy muy retrasado. Hay un lapso de tiempo bestial entre que aparecen las amenazas y se regula. El que protege está rezagado y el que legisla, más.

Igual que hicimos antes con las empresas, ¿qué recomendaciones haría a un usuario para mejorar su seguridad?

Parece una tontería pero hay que tener el antivirus actualizado. Que cuando instalamos algo sepamos que es legítimo y que solo abramos correos electrónicos de procedencia conocida. Debemos desconfiar de lo que no conocemos y hacer copias de seguridad. Esto lo hace poca gente y es importante: tener una copia en un pen-drive o en algún aparato no conectado a la red.

Desde su punto de vista, ¿qué debe primar, la seguridad o la privacidad?

Yo creo que la seguridad. Si los datos que hay en los relojes inteligentes de la gente fueran enviados a servidores médicos habría una gran base de datos sobre factores de riesgo a la hora de sufrir un infarto y nos podrían llegar a ‘avisar’ sobre si tenemos riesgo con antelación. A mí no me importaría ceder mis datos para esos fines, por ejemplo.

Compartir el artículo

stats