Experto en ciberseguridad y profesor de Seguridad de Tecnologías de la Información en la UNIR

Álvaro Nuñez: “La red Tor no es solo para ciberdelincuentes”

1018
Entrevista con Álvaro Nuñez, profesor de la UNIR, donde habla de la red Tor y del apagón de Google entre otros temas

Álvaro Núñez es profesor de UNIR, la Universidad Internacional de La Rioja. Master en Seguridad de Tecnologías de la Información y de las Comunicaciones, experto en el ámbito de la investigación en ciberseguridad, hemos hablado con él del apagón de Google y de muchos otros temas de enorme actualidad. No le da miedo ninguna pregunta.

¿El apagón de Google ha sido tan grave como afirman algunos medios?

Lo cierto es que todos de una forma u otra estamos muy vinculados a Google. Tenemos el Android vinculado a Google, usamos el buscador constantemente, y el hecho de que de repente por la mañana nos pongamos a utilizar el correo y veamos que no funciona, provoca que caigamos en pánico. Lo primero que pensamos es si nos están atacando, si nuestros datos están seguros. Es normal que surjan estas dudas e incertidumbre. Es muy aparatoso y no es normal que algo así ocurra. De todas formas afectó mucho más a los servicios autenticados. Y esa es la explicación que dio Google tras algo menos de una hora para solucionar el problema.

¿Nos lo creemos o no nos lo creemos?

Hay que hacer caso en principio a estas empresas tecnológicas, y suelen tener su propia página donde indican que servicios estén funcionando y otros no. Es importante que los servicios estén segmentados de forma que si hay un fallo en uno concreto la propia Google lo detecte. En este caso lo malo es que se hubiesen caído la gran mayoría de servicios. Había un elemento común, la autenticación, que era lo que ha fallado. No ha tenido nada que ver con lo ocurrido ningún ataque.

Que ocurriera a final de un año como este ha provocado un tremendo impacto…

Fue algo casual, por ejemplo en agosto Google tuvo otra caída de sus servicios en el que no funcionaba bien el sistema de videollamadas y los adjuntos a los correos electrónicos tampoco iban. Aquello duró unas horas más, seis o siete horas. Constantemente pueden ocurrir microcaídas en los servicios que utilizamos día a día, bien sea de Google, de Apple, y de quien sea.

Igual que todos los días nos recomiendan desde todas partes que tengamos un doble factor de autenticación… ¿No debería Google tener un sistema de seguridad adicional para que algo tan grave no pase?

Sí. En principio parecía que lo que iba mal era tu móvil que tiene registrada una cuenta de GMail, con un usuario y una contraseña. Y era porque cuando haces una búsqueda con Google tu propio correo no te permitía que accedieras porque estabas autenticado en este servicio. Precisamente la auteticación fue lo que le dejó fuera de combate.

¿Pueden llegar los usuarios a plantearse no estar conectados a Google con clave?

Al final cuanto accedes a un servicio de Gmail tú puedes estar conectado a Google, como el Drive, que es la suite ofimática con el Word, el Excel, y el Powerpoint, con el que trabajan muchas empresas. Tú tienes tus documentos, y por eso estás autenticado. Y lo malo es que durante esos 45 minutos la facultad de acceder a ellos se perdió.

¿Qué repercusiones puede tener lo ocurrido en un futuro?

De cara a los datos, no ha habido un problema. En el apagón podemos ver dos factores: cómo ha afectado a Google y cómo al usuario. Pudo haber gente que tuviera que resolver un contrato en ese momento preciso en el que se quedó fuera de servicio, y a lo peor perdieron esa oportunidad. Personas que necesitaban responder por alguna razón de fuerza mayor en un instante preciso por un asunto de negocios se han podido ver afectadas.

¿No hay demasiados servicios en manos del mismo proveedor?

Al final tenemos una buena oferta de servidores de correo electrónico. Hay otra, evidentemente, que es Microsoft. Es una gran empresa pero puede ser posible que el día de mañana le ocurra algo similar. O incluso a Apple, todas las empresas al final en un momento u otro pueden tener caídas en sus propios servicios y puede pasar lo mismo. Lo de Google fue muy llamativo, pero, repito, puede ocurrir en otros lugares.

¿Por qué no acudimos a empresas más pequeñas?

Las hay, y hay que dilucidar qué se gana y qué se pierde en términos de privacidad. Google, cuando recibes un correo y ves una fecha, es porque hay un robot que está leyendo los correos de gmail. La propia inteligencia de Google está analizando el correo para facilitarte la vida, de forma que si en ese correo tienes una cita te la marca en el calendario. Es cierto que usan esa tecnología para esas cosas, pero hay otras personas que prefieren hacer su correo más privado, y que nadie tenga acceso.

“Al final todo esto es una guerra de intereses. El caso de Facebook no es más grave ni menos grave que el de Google u otros gigantes, todos son iguales”

¿Y qué ofertas hay para eso?

Están las redes Tor, que han cambiado el modo de enrutado tradicional de Internet para garantizar el anonimato y la privacidad de los datos. Se habla mucho de ellas vinculándolas a fines ilegales, a la Dark Web, pero hay mucha gente utiliza eso porque no quiere que se registre desde dónde se está registrando su actividad y no son delincuentes. Son personas que quieren utilizar la red de una forma más privada, aunque firmen sus correos. La red Tor no es mala, depende para lo que se utilice. El propio Edward Snowden es un usuario activo de la red Tor.  Puedes utilizar la red Tor para navegar por internet y conectarte a Facebook. Facebook ya sabe quién eres al iniciar sesión, pero no sabe desde que parte del mundo te estás conectando.”

¿Se pueden caer?

La Red Tor es una red de redes, y si se cayera, sería como si dijéramos que se cae Internet como infraestructura. Se pueden caer los servicios, pero Internet lo puedes utilizar.

¿Quiénes van a obtener ventaja de lo que le ocurrió a Google?

En Twitter hubo memes gloriosos. Se ensañaron con Google. Y al final, cada empresas va buscando sacar partido de cualquier cosa para mejorar sus ingresos. Y hay empresas como Bing, Microsoft o Duck Duck Go, que se han podido ver beneficiadas del apagón de su rival.

¿Qué particularidades tiene el buscador del doble duck?

Asegura ser mucho más privado.

¿Qué opinas de que el Gobierno de Estados Unidos haya pedido a Zuckerberg (Facebook) que se desprenda de Instagram y de WhatsApp?

Desde que Zuckerberg creó Facebook han pasado 16 años, pero la empresa ha crecido muchísimo. Y es cierto que se ha hecho con el control de las redes sociales, incluyendo las grandes apps WhatsApp e Instagram. Algo parecido se ha visto reflejado en el sector de los videojuegos, donde la queja es que Apple tiene un sector monopolístico que se llevaba gran parte de las ganancias de los desarrolladores (caso Fortnite). Todo esto es una guerra de intereses porque al final el sector de los videojuegos está generando muchísimos ingresos ya que hay muchas plataformas disponibles (consolas, ordenadores, móviles, tablets…) sin embargo el caso Fortnite se ha visto claramente reflejado ante Apple. Estamos ante una batalla de gigantes. El caso de Facebook no es más grave ni menos grave que el de Google u otros gigantes, todos son iguales.

Hay gente que cuando se cayó Google pensó que era el fin de los tiempos, y también hay mucho miedo a un ataque a instalaciones eléctricas que provoque un black out y nos quedemos sin saber lo que tenemos en los bancos al no haber soporte en papel. ¿Qué opina?

Este tipo de preocupaciones se acrecientan cuando hay un incidente que nos llama la atención. No hubo un ciberataque en el caso de Google, pero se trata de una noticia parecida. Y es en ese momento cuando la gran mayoría de la gente piensa “y si hubiera pasado esto o lo otro”. Pero en la gran mayoría de los casos lo ocurrido se olvida. Hasta que no pasa algo nos olvidamos de ello. Algo tan sencillo como los ataques de phishing está a la orden del día. Y nos están intentando engañar haciéndose pasar por nuestro banco, y la gente sigue cayendo. No tenemos todas las actualizaciones realizadas, no tenemos una copia de seguridad de nuestros datos.

“Si se produjera una catástrofe increíble sería complicado demostrar lo que tenemos en un banco a menos que tuvieramos un documento certificado por la entidad. Una foto de los extractos no valdría”

¿Si le pasa lo que le ocurrió a Google a un banco cómo se puede solucionar? ¿Nos serviría de algo un extracto de las cuentas en papel?

En principio el banco tiene su propia metodología, sus planes de rescate y sus planes de seguridad para asegurar toda la trazabilidad. Como usuario del banco si se perdiera la información tendrías que hacer frente al banco para justificar tus ahorros. Eso solo pasaría si ocurriese una catástrofe increíble, sería un poco el banco contra ti. ¿Cómo justificas lo que tienes? El banco no te está proporcionando un certificado como que tienes esto o lo otro. A no ser que tengas algo certificado por el banco, sería complicado. Una fotografía con los extractos del banco puede ser manipulable. Tienen que ser documentos oficiales, que estén oficializados.

Viene el 5G, y el Gobierno está preparando un anteproyecto para los proveedores atendiendo a varios niveles de seguridad. Google ha retirado Google Things. Se dice que en la tecnología está el propio germen de su autodestrucción… ¿Qué opinas?

El 5G trae aparejados muchos bulos, con respecto a la pandemia, cosas absurdas. La hiperconectividad del Internet de las Cosas es otro tema. Cuando se apagó Google se pudo ver que hay un montón de bombillas, termostatos y demás que funcionan a través de los sistemas de voz de Google. La gente que mediante comandos de voz sube y baja la calefacción de sus casas o activa sus interruptores no pudo hacerlo.

¿Es realmente tan peligroso como parece?

A lo largo de la historia han ocurrido muchas cosas. Y al igual que hay que tener al corriente el ordenador, tenerlo actualizado el móvil y la tablet, estos nuevos dispositivos tienen que estar revisados y actualizados para que no pase nada, y es que han pasado ya cosas. Accedimos en el 2016 a una red zombie que son muchos millones de dispositivos conectados y controlados por una serie de atacantes. Es la conocida botnet Mirai. Por defecto la autenticación no estaba cambiada y era muy básica. Eran claves como 1234. Accedían a ellas y tenían el control. Al final hoy en día en vez de tener ordenador conectado a la red, tenemos un ordenador, una tablet, cuatro bombillas, cámaras de seguridad. Estamos amplificando los vectores de riesgo.

Hay quien piensa que tras las pandemia caminamos hacia una especie de comunismo “fashion” dominado por las empresas tecnológicas.

Es verdad que hay varias empresas que se han ganado una posición de poder muy fuerte. Si vemos la bolsa americana, las principales empresas son tecnológicas, y es verdad que parece que cuesta mucho hacerse hueco. Sobre todo si somos una pequeña empresa y estamos compitiendo con gigantes. Y eso no quiere decir que no pueda ocurrir que una pequeña empresa surja con fuerza y una de estas grandes te absorba. Esto se ha visto constantemente. Todas compran empresas tecnológicas que les vienen bien para ampliar sus servicios.

¿Es inevitable el monopolio?

Para muchos emprendedores tecnológicos el hecho de que los compren puede ser un tremendo éxito. Y eso ayuda a que el dominio del mercado está en manos de unos pocos. Pero la libertad de mercado le permite al emprendedor seguir adelante con sus proyecto o vender.

¿Cuál ha sido la repercusión que ha tenido la pandemia sobre la ciberseguridad?

Se han visto incrementados los ciberataques y esto tiene una razón muy sencilla. En el momento de la pandemia, muchas han pasado a teletrabajar, sin estar preparados, y esto son nuevos frentes para posibles atacantes. Los ciberdelincuentes con la pandemia están en su salsa.

¿Qué recomendaría a los estudiantes de tecnología como especialización?

Con el IoT hay una parte muy importante en la analítica de Data, y también la Inteligencia Artificial. Hay una demanda de robots que analizan nuestras costumbres para despertarnos incluso a la misma hora todos los días.

“El negocio de Google es el negocio de los datos”

¿Por qué nos atraen tanto estos productos si sabemos que tienen riesgos?

Por intentar hacer nuestra vida mucho más fácil. Ahí está la doble cara de la moneda. Para el usuario todo es magia, pero todos esos datos están siendo cedidos a la empresa responsable, y dependemos de ellos. Es el caso de las bombillas que te he comentado de Google. Y cuando hablamos nuestra voz se está yendo a ser procesada por la tecnología de Google para sabe qué le estamos pidiendo y poder cumplir así con nuestras órdenes. El negocio de Google es el negocio de los datos. Todos esos datos son procesados y pueden ofrecérselos a empresas que contraten sus servicios y quieran hacer una campaña de publicidad para vender su producto, obviamente sin revelar nuestros datos personales. Por ejemplo una empresa que quiera un perfil determinado de edad, con determinados ingresos y que les gusten los coches… Google es su negocio. Les dice: tú dame tu producto y cuando la gente haga búsquedas por Internet le voy a colocar tus anuncios con las especificaciones que tú me has dicho.

¿Hay que tener miedo a la tecnología?

Hay que tener sentido común. Las personas somos el elemento más débil de la cadena y al final nos pueden intentar engañar para robarnos nuestros datos, para poder entrar en nuestros equipos y al final tenemos que tener sentido común, y mucho cuidado a la hora de hacer las cosas, y hacerlo en los sitios correctos.

Parece mentira pero tras la experiencia del apagón de Google mucha gente se ha dado cuenta por primera vez que el correo no es un buen lugar para almacenar documentos importantes que van en los adjuntos de los mensajes ¿No es algo casi escandaloso?

Es muy importante que el control de los documentos importantes lo tengas tú, y si tienes tus facturas, siempre tener una copia de seguridad. Puedes contratar Google Drive que tiene su parte de pago. Google es una buena empresa, y si estás guardando en Google Drive ya tienes una copia. En el caso del apagón, es cierto que en ese momento no podías acceder a él, pero si lo tienes almacenado en un disco duro y en la nube tienes una copia de seguridad.

¿Puede haber tenido repercusión en que la gente comience a utilizar nubes alternativas?

Sí, sí, tenemos muchas ofertas donde almacenar nuestros datos. Amazon también tiene soporte para subir información, subir sus fotos, con Apple también, y con Dropbox que también es muy conocido. El que quiera utilizar dos nubes es libre de hacerlo, pero es una opción que debe valorar cada persona de forma individual. Lo que no es bueno, de todas todas, es tener almacenada información importante solo en un disco duro.

Artículo
Álvaro Nuñez: "La red Tor no es solo para ciberdelincuentes"
Nombre
Álvaro Nuñez: "La red Tor no es solo para ciberdelincuentes"
Descripcion
Entrevistamos a Álvaro Núñez, profesor de Seguridad Tecnológica en la UNIR, y hablamos del apagón de Google, de la red Tor y otros temas.
Autor
Publico
Escudo Digital
Logo