Esta experta en ciberseguridad y ciberinteligencia, además de Fundadora y Managing Director de Lincoln Intelligence, apuesta por una mirada integradora de la prevención, de manera que todas las personas y generaciones que conformamos la sociedad funcionemos como “una suerte de colmena protectora” frente a los desmanes y agresiones de los cibercriminales.
Pregunta: ¿Cuáles son las principales amenazas cibernéticas que afrontan las empresas y los particulares hoy en día?
Respuesta: Creo que la principal amenaza es interna, tiene que ver con las carencias como usuarios y como profesionales; me refiero a la falta de formación, de concienciación y de conocimiento en las buenas prácticas de ciberseguridad.
Hay una alegoría que explica bien la importancia de esa formación: para conducir un coche necesitamos una formación teórica y práctica. También tienes que obtener una certificación oficial. ¿Por qué? Porque todos entendemos que un vehículo es una máquina cuyo uso por parte de una persona no experimentada o formada podría tener consecuencias nefastas; ese concepto debería hacerse extensivo a la ciberseguridad. No deberías poder usar un dispositivo digital conectado a la red si no tienes un mínimo de formación y conoces las consecuencias de manejarlo de forma negligente. Al fin y al cabo, esas consecuencias podrían ser igual de nefastas que en el caso del vehículo, sólo que a otro nivel.
P: ¿Qué pautas recomienda en día a día para no ser víctima de los cibercriminales y ciberestafadores?
R: Se trata de entender cómo piensan los malos, conocer cuáles son sus formas de atacarnos, desde la aplicación de la ingeniería social a un ciberataque de fuerza bruta…a partir de esa conciencia, recomiendo tener actualizados los dispositivos y los sistemas operativos; en esa línea, utiliza software y aplicaciones oficiales que hayan sido verificadas antes de descargarlas y/o instalarlas; emplea antivirus y firewall; utiliza contraseñas diferentes y seguras (preferentemente usando un gestor de contraseñas) para cada cuenta y no las compartas con nadie; cubre y bloquea las cámaras y micrófonos cuando no estén siendo utilizados (para el móvil puedes utilizar las fundas tipo Faraday…); emplea navegadores y buscadores seguros y privados; usa una VPN al conectarte a la red, no te conectes nunca a una wifi pública o desconocida, no descargues archivos o pinches en enlaces desconocidos…Si hablamos de ciberinteligencia, respecto a las redes sociales yo aconsejo directamente no tenerlas, pero si las tienes, configura la seguridad al máximo, sospecha de los desconocidos, y por supuesto no compartas información personal ni tu ubicación, y postea en diferido y con un fondo neutro…
“Para las nuevas generaciones las nuevas tecnologías son una extensión de sí mismos a la hora de comunicarse, a la hora de expresarse, a la hora de interactuar, a la hora de desenvolverse… Para ellos las líneas entre las realidades física y virtual no existen.”
PREGUNTA: Ha trabajado recientemente en un estudio de la Fundación Cibervoluntarios centrado en cómo los jóvenes viven e interpretan la tecnología. ¿Qué podemos aprender de ellos y que pautas pueden incorporar ellos de los expertos y adultos en su uso de la tecnología?
R: Las nuevas generaciones entienden las nuevas tecnologías como nosotros no podemos hacerlo porque para ellos son una extensión de sí mismos a la hora de comunicarse, a la hora de expresarse, a la hora de interactuar, a la hora de desenvolverse… Para ellos las líneas entre las realidades física y virtual no existen. Un ejemplo es cuando ves a un grupo de 5 chavales en la calle: están juntos físicamente, pero todos están con el móvil en la mano porque están jugando online o quizá estén manteniendo una conversación con más miembros del grupo que no están físicamente con ellos…Ellos pueden ayudarnos a estar al día, a actualizarnos, a aprender nuevas formas de interactuar, sin embargo, como la tecnología es natural en ellos, no le tienen ningún miedo porque no ven el peligro. Ahí es donde los adultos podemos y debemos acompañarlos explicándoles y haciéndoles conscientes de los peligros que se pueden encontrar en el mundo virtual.
P: ¿Qué papel juega la ciberinteligencia en la detección y mitigación de ciberataques?
R: La ciberinteligencia es la aplicación proactiva de la ciberseguridad. Cuanta más imaginación seamos capaces de desplegar en este campo más defensas podremos poner en juego para protegernos. Bien aplicada, y tenemos grandes profesionales en España que son top en este ámbito, es altamente efectiva porque nos permite detectar los ciberataques, prevenirlos, defendernos de ellos, analizarlos e investigarlos.
P: ¿Qué estrategias recomienda para formar a los profesionales sobre la importancia de la ciberseguridad? ¿Qué medidas pueden tomar las empresas para asegurar el cumplimiento de las políticas de ciberseguridad por parte de sus empleados?
R: Las empresas pueden y deben concienciar y formar a sus empleados en las políticas y prácticas mínimas, no sólo de ciberseguridad, sino de seguridad en general, que deben aplicarse en la organización de forma adaptada a cuestiones como el tamaño de la empresa, el sector, etc. Si das ese primer paso, luego puedes exigir responsabilidades a esos mismos empleados por mala praxis y las posibles consecuencias que ésta pueda tener para la propia organización, como podría pasar con cualquier otra negligencia en su puesto de trabajo. Lo que está claro es que tú no les puedes exigir responsabilidades si no les formas, si no les das herramientas para ello. De hecho, ya existe jurisprudencia que cuando hay un ciberataque en empresas o en organismos públicos se está pidiendo responsabilidades al usuario. Suelen ser ataques de ingeniería social, donde los profesionales dan un clic donde no deben, y se arma la mundial. En este contexto, los empleados envueltos en estas crisis están alegando, con éxito, que ellos no estaban formados para repeler esa amenaza.
P: Explique la importancia del análisis de amenazas y la gestión de vulnerabilidades en una estrategia de ciberseguridad.
R: El análisis de amenazas y la gestión de vulnerabilidades son dos pilares fundamentales para establecer una estrategia de ciberseguridad sólida y efectiva. Estas prácticas permiten a las organizaciones identificar, comprender y mitigar los riesgos potenciales que podrían comprometer la confidencialidad, integridad y disponibilidad de sus activos informáticos.
Se trata de un proceso proactivo que busca identificar y evaluar las amenazas potenciales que pueden afectar a una organización. Este proceso implica: la recopilación de la información sobre las amenazas existentes, las vulnerabilidades del sistema y los activos de la organización, así como el análisis de la información evaluando la probabilidad y el impacto de las amenazas ya identificadas. Y la priorización de esas amenazas clasificándolas según su nivel de riesgo, de manera que permite enfocar los recursos en las más críticas. La gestión de vulnerabilidades, en cambio, se centra en identificar, corregir y prevenir las vulnerabilidades en los sistemas, aplicaciones y las redes. Va desde la identificación de las vulnerabilidades a su mitigación, pasando por su evaluación y priorización.
P: ¿Qué desafíos más acuciantes presenta la ciberseguridad en el contexto de la transformación digital y la adopción de tecnologías emergentes como la inteligencia artificial y el Internet de las Cosas (IoT)?
R: El desafío viene desde tres frentes: el primero es el punto de vista de la brecha digital por parte de las personas que conforman la generación silenciosa o la de los baby boomers, a los que les cuesta formarse en ciberseguridad porque suficiente tienen con saber utilizar las tecnologías con un mínimo de habilidad para su día a día y prefieren el ámbito puramente analógico. También está el enfoque de los adultos que conformamos las generaciones X o Y, que nos manejamos relativamente bien con las tecnologías, pero seguimos entendiéndolas como una herramienta más y siendo muy conscientes de los peligros que hay tras su mal uso. Y está el punto de vista de los jóvenes que conforman la generación Z o la generación alpha, que es a partir de 2013, que utilizan las tecnologías de forma tan natural como andar pero no ven el peligro del uso de un móvil, como no ven el peligro del uso de una mesa.
¿Cuál es el desafío que los une a todos? Crear, adaptar e implementar formaciones para todos ellos y hacerlas evolucionar según cambie el escenario. En resumen: la fuerza de la cadena se mide por su eslabón más débil. Puedes tener a muchísima gente formada en España, que con uno no esté suficientemente formado y esté llevando las infraestructuras críticas de un hospital, éste se viene abajo y colaboran todos. Al final, todos tenemos que estar formados con unos mínimos.
Respecto al internet de las cosas, la gente no es consciente de que electrodomésticos como una rumba está conectada a Internet, así como la televisión y el móvil, por poner dos ejemplos muy cotidianos. Todos estos elementos nos muestran nuestra vulnerabilidad desde el momento en que nos piden un usuario, una contraseña y el wifi. Esos datos ya forman un factor de riesgo, ya que pueden ser hackeados. Ahí es cuando empiezan a entender el Internet de las cosas, porque estamos rodeado de un montón de elementos que son susceptibles de hacernos un estropicio en casa, y muchas veces las personas no son nada conscientes de ello. Con la IA pasa algo parecido: no viene a quitarnos el trabajo sino a complementarnos. Los que van a continuar en el candelero son los que aprendan a manejarse con la IA. Si eres conductor, tienes muchas más herramientas. Si eres estudiante, igual, tienes instrumentos infinitos para aplicar a tu campo. En suma: la IA no te va quitar el trabajo. Al contrario: te va a acompañar para ser mejor.
“El activo más valioso que hay en este momento, por encima del petróleo, del oro o los diamantes son los datos y la información. No en vano las principales empresas mundiales se alimentan de la obtención”.
P: ¿Cuál es el impacto de las regulaciones y normativas en ciberseguridad en las prácticas empresariales?
R: Estas regulaciones exigen a las empresas que protejan los datos personales de sus clientes y empleados. Y esto les ha obligado a adaptar cambios importantes en la manera en la que las empresas venían recopilando, almacenando, utilizando y eliminando los datos. Que, no nos engañemos, hasta hace poco ni se recopilaban ni se manejaban de la manera más adecuada.
Tú piensa una cosa: el activo más valioso que hay en este momento, por encima del petróleo, del oro o los diamantes son los datos y la información. No en vano las principales empresas mundiales se alimentan de la obtención, procesamiento, análisis y venta de la información relativa a sus usuarios… O por qué te crees que las redes sociales son gratuitas y fomentan su uso constante y su interacción continuas a través de alimentarlas con tus propios datos en forma de: datos personales, intereses, preferencias, gustos, preocupaciones, pensamientos, ideologías…El día que los usuarios de las tecnologías comprendan que su huella digital es tanto o más importante que su huella dactilar física, habremos dado un gran paso en la ciberseguridad.
No obstante, si bien seguirá habiendo compra venta de información, esperemos que sea de una manera cada vez más regulada. Cada vez piden datos más personales: antes era tu nombre y apellidos, ahora te solicitan la huella biométrica, como tu pupila o la huella dactilar. Son cosas, en definitiva, que te identifican mucho más y te hacen más único y que revelan datos tuyos que incluso podrían incluirse en un informe médico ya que por la pupila se puede detectar la propensión a según qué enfermedades genéticas. Por ello es importante que empecemos a tener regulaciones serias al respecto; si bien espero también que las responsabilidades penales se apliquen con la debida contundencia si se hace un mal uso de esos datos.