Hablamos con Amador Aparicio, profesor en el Centro Don Bosco de Villamuriel, mentor en el Programa Talentum de Telefónica y Auditor de Seguridad. Este profesional palentino, cuenta con una amplia experiencia en el sector de la ciberseguridad. Entre sus logos profesionales, destaca que fue el precursor de las charlas de seguridad que se llevan a cabo en el centro en el que trabaja como docente.
Eres el encargado de organizar las Jornadas de Seguridad que se realizan cada año en Villamuriel de Cerrato ¿De dónde surgió esa idea?
La verdad es que fue algo curioso y fue un cúmulo de dos factores. En el 2011 me encargaron en el colegio dar la asignatura de Seguridad Informática dentro del Ciclo de Grado Superior de Administración de Sistemas Informáticos en Red, ningún otro profesor quería impartirla y me tocó a mí. Para ello, en el verano de 2011 fui a Madrid a formarme y tomar un poco de contacto con grandes profesionales en el marco de la Universidad Europea de Madrid: allí coincidí con gente como Rubén Santamarta, Chema Alonso, Sergio de los Santos, Pedro Sánchez, Juan Garrido… sin duda, grandes referentes en el sector de la Seguridad. Por otro lado empecé a asistir a CONs (Congresos de Seguridad) donde conocí a más gente. Por aquel tiempo no había tantas CONs en España como ahora, por citar algunas, sólo estaba RottedCON en Madrid, NoCONName en Barcelona y LaCON, esta última especial ya que hasta la semana antes de su celebración no se sabe en qué ciudad de España se celebra. Pensé que era una buena idea intentar hacer algo similar aunque en menor escala en Villamuriel por varios motivos: ser una zona rural, lanzarlo desde el colegio y ofrecer a los asistentes sin coste alguno la oportunidad de escuchar a grandes profesionales de prestigio internacional.
Creo que los jóvenes piensan que saben más de lo que ellos creen, en cuanto al uso de dispositivos móviles e Internet.
A diario trabajas con jóvenes, ¿Crees qué hoy en día los adolescentes conocen los riesgos que puede haber en internet?
La gran mayoría ha escuchado hablar de cosas relacionadas con Privacidad o Ciberacoso… es raro los jóvenes que no hayan tenido la oportunidad de escuchar estas cosas en sus centros escolares… pero personalmente creo que ellos piensan que saben más de lo que ellos creen en cuanto al uso de dispositivos móviles e Internet. Lo único que hacen es usar redes sociales o utilizar aplicaciones de mensajería instantánea para muchas veces exponer cosas de su vida íntima. Tienen la falsa sensación de control cuando realmente no es así. Aún no he visto a un adolescente con un dispositivo móvil coger un manual de programación en Android o iOS para aprender a programar aplicaciones que se ejecuten en dispositivos móviles.
Uno de los focos por el que más ataques reciben los jóvenes hoy en día es el ciberacoso que sufren por RR.SS ¿De qué manera se puede evitar?
Hoy por hoy el joven goza de una serie de derechos, muchos, entre ellos, el derecho al secreto de sus comunicaciones. Creo que la Ley del Menor en este sentido tendría que sufrir una modificación al respecto para que cualquier joven que utilice Internet y los dispositivos móviles para acosar a otras personas pague por ello a modo de sentencias ejemplares que busquen, más que el castigo hacia al menor, la educación. Si un joven realiza un hecho delictivo como este, soy partidario de utilizarle para que sensibilice a los demás y a parte de eso enseñe informática a aquellos que menos recursos tienen como castigo, por ejemplo.
La protección de datos en las empresas
La filtración de datos en las grandes empresas está dejando al descubierto información privada de miles de usuarios en internet ¿Cómo puede una persona ser conocedora de que sus datos están siendo revelados?
Una manera sencilla es ir a un buscador como Google y poner tus datos personales. Algunas personas se llevarían una sorpresa al descubrir la cantidad de datos de ellos que se encuentran accesibles desde Internet. Ya más en serio, existen herramientas gratuitas en Internet como por ejemplo https://hacked-emails.com o https://haveibeenpwned.com que te dicen si las las cuentas de correo que tienes asociadas a servicios en Internet, como por ejemplo redes sociales han sido alguna vez expuestas y alguien más que el propietario de la cuenta de correo electrónico conoce las contraseñas de acceso. Realmente es un problema complicado porque, a menos que se haga eco de una filtración masiva de datos de usuarios utilizados en servicios en Internet, el usuario normal no será consciente de si sus datos están siendo expuestos en Internet ni cuánto tiempo llevan ahí al alcance de cualquiera. Es peligroso porque ya se han dado casos de robo de identidades para realizar acciones delictivas en Internet suplantando identidades.
¿Cuáles son los riesgos más comunes que comete el usuario a la hora de navegar por internet?
Aparte de los ya mencionados, uno de ellos es conectarnos a redes wifi sin clave del tipo wifi_libre, wifi_gratis, a redes de hoteles, aeropuertos… Conectarse a wifis ajenas es muy peligroso. ¿Tú lo has hecho alguna vez? ¿Sabes quién estaba detrás de esas redes wifi? ¿Harías una transferencia bancaria desde tu smartphone conectado a la red de un hotel? Con un simple smartphone es muy fácil levantar un punto wifi con el mismo nombre que otro que ya exista para que la gente se crea que es al que se conectan de manera normal y así obtener datos de los usuarios. Muchas veces con trucos de este tipo se pueden obtener imágenes de perfiles de redes sociales sin saber los datos de acceso a los perfiles sociales de las víctimas. ¿Te imaginas obtener una foto comprometedora de alguien que se ha conectado al punto wifi que no debía? Otro error es fiarte de la otra persona que está hablando contigo por un chat. En muchos casos no es la persona que dice ser y ésta es una forma fácil de ganarse la confianza y empezar a obtener información comprometedora de ella: enviarle imágenes pensando que es la persona que dice ser, mandarle fotografías de tus hijos… Intercambiar pendrives de unos ordenadores a otros es una forma muy habitual y fácil de propagación de virus. Y después, en el móvil, hay que tener en cuenta que es muy sencillo introducir aplicaciones que aparentemente prometen una cosa para que los usuarios se las descarguen y luego reenvían tus fotos de Whatsapp y conversaciones a servidores maliciosos, te graban por la cámara o incluso a tus hijos si son ellos los que está usando el dispositivo móvil. No hay que olvidar que el 81% de los usuarios de smathphones y tablets utiliza Android.
¿Cómo puede un internauta protegerse ante esos posibles ataques?
Primero, no hay que caer en los trucos de Ingeniería Social como, por ejemplo, «ejecuta este programa para ver este vídeo o para jugar a este juego» o «abre este pdf que te adjunto en el correo electrónico». A partir de este punto, hay que tener un nivel más de precaución al utilizar el equipo informático, teléfono móvil o tablet. Dicho de otra forma, fortificar el sistema, por ejemplo, navegar por Internet con una cuenta sin privilegios administrativos o instalar un antimalware [programa que detecta archivos maliciosos] que aunque está lejos de ser la solución ideal, sí ayuda a evitar el malware más sencillo, el más distribuido. En segundo lugar, que el equipo que se usa para trabajar sólo se use para trabajar y que no sea un ordenador que se utilice para hacer descargas desde Internet porque va a ser un problema. A continuación, tener actualizado todo el software, tanto del sistema operativo como de los programas. Y en cuarto lugar, tener una política segura de contraseñas: no usar combinaciones sencillas o fácilmente adivinables, cambiarlas de forma periódica, no usar la misma contraseña para todos los servicios que tenemos en Internet, etc. ¡Ah! y tener la cámara del portátil tapada para que nadie te pueda grabar.
Cada vez más las ciudades dan la opción a sus vecinos de conectar a un wifi gratis ¿Existe algún peligro en que decenas de usuarios compartan la misma red?
Muchos, para empezar, nadie se pregunta si esa WiFi es realmente la WiFi que dice ser o es una suplantación de la original controlada por un cibercriminal que está monitorizando el tráfico de la red de los usuarios o infectando a los dispositivos conectados para que realicen minado de bitcoins. Para las administraciones públicas que ofrecen este tipo de servicios sí que les diría que controlasen quiénes se conectan, ya que si es una red WiFi sin usuario y contraseña de acceso, podría ser utilizada para realizar ciberdelitos y el responsable en primera instancia sería la administración que ofrece este servicio. Además, podría no ser sencillo saber qué persona física es la que se ha conectado a la red WiFi para realizar algún hecho delictivo. Un consejo que doy es que si necesitas conectarte a una WiFi gratis te hagas la pregunta de si realmente es una WiFi lícita y, en caso de que no te quede más remedio que conectarte a ella para realizar algo, lo hagas a través de una VPN para evitar que terceras personas puedan acceder a los datos personales que envías a través de la red WiFi. Claro, no todo el mundo sabe lo que es una VPN ni tendría que saberlo para estar protegido en una red WiFi. Además, no sería partidario de mandar información personal (usuarios, contraseñas…) a través de una red WiFi no protegida y compartida por muchos usuarios.
Este año entra en vigor el nuevo sistema de protección de datos, en el que se controlará más la gestión de información por parte de las empresas. ¿Qué consecuencias puede traer a la ciberseguridad?
Una empresa que sea víctima de un ciberataque tendrá la obligación de comunicarlo en un plazo de 72 horas con la sanción correspondiente en caso de no hacerlo. Me parece un poco subjetivo ya que hay ocasiones en las que no sabes que estás siendo atacado o te das cuentas de que has sufrido un ataque meses después de haber sido vulnerado. Esto pone de manifiesto la necesidad de que las empresas realicen auditorías de seguridad de manera continua más aún cuando sus activos están formados por información sensible (ej. base de datos de infracciones con las matrículas de los infractores pudiendo identificar a un particular) o por el contrario sean sistemas críticos que prestan servicios a un país o controlan sistemas donde la vida de un operario puede estar en juego. Creo que el nuevo RGPD pone de manifiesto la importancia de securizar los sistemas y además preparar un plan de contingencia por si una organización es atacada: cómo recuperarme de un ciberataque de la mejor manera posible y poder cuantificar cuál es s0075 impacto real.
En una sociedad tan avanzada tecnológicamente, ¿Están preparados las nuevas generaciones para moverse de forma segura por internet?
En absoluto. ¿Serías capaz de decirme los cinco ficheros más importantes de Android? ¿Y de iOS? Esta es una pregunta frecuente que hago en mis charlas y que nadie sabe responder. Suelo sacar un par de smartphones de última generación y cuando pregunto qué son la gente responde «un móvil». Realmente son ordenadores que están expuestos y pueden infectarse, como cualquier portátil o PC de sobremesa. La edad de los usuarios que utiliza estos dispositivos cada vez es menor pero ¿cuántos de ellos tienen antivirus en el teléfono móvil? ¿Cada cuánto eliminan la información de sus navegadores? ¿Cuáles son sus tendencias de navegación? ¿Existe pedagogía en este sentido? Además, para que te hagas una idea, a finales de 2017 el número de ficheros binarios maliciosos firmados superó los 12 millones, lo que significa que al día, durante el 2017, salieron más de 40.000 ficheros de malware nuevos diarios. ¿Realmente las empresas de antivirus están preparadas? La respuesta es clara, no.
Está claro que internet no es seguro, ¿Pero que ocurre con aplicaciones como Whatsapp o Instagram en la que millones de jóvenes suben todo tipo de información de su día a día?
Puede parecer una extravagancia o una imprudencia pasearse por la calle pregonando tus datos personales pero esto es lo que hacemos habitualmente en Internet y en este tipo de aplicaciones de mensajería instantánea. La gente normalmente rellena sus datos personales en cualquier página web que se los pide, e incluso en las redes sociales lo hacen de forma proactiva con ganas de autopromocionarse. Internet no se creó como una herramienta segura y de hecho no existe una legislación que nos proteja a nivel mundial: cuando estás trabajando con Facebook o enviando un correo electrónico estás sujeto a la legislación del país en la que se encuentran esos servidores y de base no son seguros. Los principales riesgos a los que se enfrentan los jóvenes y niños van desde no tapar la webcam de sus ordenadores y abrir así la puerta a que alguien les esté grabando sin que sean conscientes; a conectarse con sus cuentas de redes sociales desde ordenadores compartidos que pueden estar troyanizados. Por supuesto, también publicar fotos y datos personales que puedan ser comprometedores en su futuro; chatear y confiar en ciberamigos y no tener una buena relación con los padres y profesores; la pérdida de privacidad, la suplantación de la identidad… La edad más peligrosa es la adolescencia porque aún no se tiene una consciencia plena de lo que se hace y la mayoría de ellos hace un uso bastante elevado de los smartphones para comunicarse por redes sociales, Whatsapp…
Las compras por internet en webs como Amazon o Aliexpress están en continuo crecimiento ¿Qué prevenciones debemos tomar a la hora de aportar nuestro número de cuenta?
Este es uno de los procesos donde más cuidado y más alerta tenemos que estar porque es cuando vamos a facilitar la información para efectuar el pago, como datos personales, dirección de entrega y el número de cuenta bancaria o de tarjeta de crédito, junto con la fecha de vencimiento de ésta y código de verificación de la misma, además del importe de la compra. Es muy importante que verifiquemos que es una página segura. Para ello tenemos que fijarnos que en la dirección de esa página aparezca un candado de color verde, y que antes de la dirección aparezca la palabra HTTPS, como se muestra en las siguientes imágenes: Por un lado indican que toda la información de la compra y todos nuestros datos viajarán cifrados, y por otro, que una tercera entidad de confianza reconocida, en este caso VeriSign, certifica que el sitio es verdadero y que no es una web falsa que está imitando a una web de compra on line para obtener así nuestros datos. El color verde del candado también nos indica que el certificado digital que se utiliza para hacer los dos procesos anteriores es válido y no es un certificado digital falso, que también existen, por desgracia. Hoy en día el propio navegador nos alertaría si hubiera algún tipo de problema sobre lo anterior pero no está de más verificarlo. Además, se recomienda que a la hora de realizar la transferencia electrónica, nuestro banco nos envíe un código que posteriormente nos pida para asegurarse de esta forma de que somos nosotros quienes vamos a realizar esa transacción electrónica y no otra persona. Indicar que en los dispositivos como tablets o smartphones (teléfonos móviles inteligentes) es muy fácil ocultar la barra de navegación para que no veamos si aparece el candado o la palabra https, por lo que recomiendo no realizar compras electrónicas desde este tipo de dispositivos para que nuestros datos bancarios no queden al descubierto.
Fantástica ponencia en forma de entrevista. Mis felicitaciones