Ponente de nuestro próximo Congreso Vasco de Familias Numerosas. Con más de 20 años trabajando en inteligencia y seguridad en redes y sistemas, es fundador y CEO de CounterCraft, empresa que ayuda a empresas y gobiernos a definir y desplegar campañas de contra-inteligencia digital. David es un conferenciante habitual sobre temas de seguridad, riesgos en dispositivos móviles, cibercrimen, botnets, malware, etc., y participa en numerosos grupos y eventos de seguridad por todo el mundo como BlackHat, RSA Conference, e-crime congress o FIRST, entre otros.
“Los grupos de crimen organizado han visto que tienen un filón en las personas que no cuidan mucho los equipos de sus casas o pequeñas empresas.”
“Si te quieres conectar y ver tu Facebook, no utilices el ordenador de un extraño. Si te encuentras en la calle un USB, antes que utilizarlo y conectarlo en tu equipo, es mejor tirarlo a la basura…”
“Creo que debería haber una asignatura que explicara este tipo de cosas y fuera parte del proyecto curricular y que no se reduzca a una sesión al año.”
¿Cómo llega un joven informático a convertirse en experto mundial en ciberseguridad?
El tema de la informática y la seguridad informática es algo que me ha apasionado desde que era pequeño y desde los 12 ó 13 años me he dedicado a ello. Sobre todo a romper cosas, a volver a arreglarlas y ver hasta dónde podía llegar con mis conocimientos. Gracias a eso y a ir formándome, profesionalmente he podido trabajar en ello; al principio ayudando sobre todo a empresas y gobiernos de todo el mundo a luchar contra las amenazas nuevas que aparecían por internet, que eran sobre todo ataques a bancos y gobiernos, movidos siempre por motivos económicos y buscando el dinero fácil.
Posteriormente también he trabajado en multinacionales como Telefónica, también a nivel latino americano, europeo y asiático…, hasta que al final vi que teníamos que hacer algo más y monté mi propia empresa que es donde estoy ahora. Aparte de esto, durante todas esta trayectoria he tenido la suerte de trabajar no solo con empresa y gobiernos, sino con muchas personas en todo el mundo, tanto de cuerpos y fuerzas de seguridad, servicios de inteligencia y también a personas que he conocido y a las que he podido ayudar cuando han sufrido en sus propias carnes problemas y amenazas que les han venido sobre todo por internet y el uso de la tecnología.
Y la empresa de seguridad informática que has creado, ¿a qué se dedica?
Nosotros nos dedicamos, básicamente, a hacer la vida más difícil a los atacantes. Hacemos trampas dentro y fuera de las empresas, gobiernos y personas, para que cuando alguien quiere atacarles, pues no lo va a tener tan fácil, porque se va a encontrar con nuestras trampas. Que serán desde manipular la información que está robando, darle información falsa, etc.
Porque, viendo la vulnerabilidad de un Yahoo con más de mil millones de cuentas hackeadas o recientemente a Telefónica u otras grandes empresas, se ve que expertos como vosotros sois imprescindibles.
Sí, y cada vez más. De hecho hay una gran escasez de gente dedicada a esto y es un problema, porque cada vez hay más amenazas, más necesidades y este tipo de cosas no es algo que se aprenda en la universidad, sino con la experiencia y mucho tiempo dedicado en tu tiempo libre. Además, estos temas evolucionan tan rápido que no da casi tiempo. Te vas una semana de vacaciones y te has perdido un montón de amenazas nuevas, vulnerabilidades, herramientas nuevas, grupos creados… y cuesta recuperar.
Es que por cada uno que estáis en el lado “bueno”, cuántos habrá en el lado “malo”…
A saber; porque cada vez hay más en el lado malo. El problema es que en ese lado no solo hay criminales, sino que los propios gobiernos y estados también espían a individuos, empresas u otros gobiernos.
Así que todo lo que venimos oyendo de los ataques informáticos entre países, las grandes ventas de datos o las puertas traseras en las grandes redes sociales… ¿no son cosa de ciencia ficción?
No, no, no…, es algo que lleva ocurriendo bastantes años y que yo creo que va a definir el aspecto del mundo los próximos años. Porque hoy en día el uso de la tecnología es totalmente masivo y todos estos gobiernos y estados lo están utilizando a su antojo tanto para espionaje como para sabotaje. Es mucho más fácil intentar hacer algo en remoto, que hacer una guerra clásica. Es algo que lo estamos viendo con las elecciones de Estados Unidos, con lo que pasó con Rusia, las elecciones francesas… Vemos que puede llegar a impactar en la propia democracia de un país.
Desde tu empresa, asesoras y trabajas en ciberseguridad para grandes multinacionales…, pero ¿qué decirnos a madres y padres que somos simples usuarios? ¿Cuáles son las mayores amenazas?
Yo lo dividiría en dos grandes tipos de amenazas. Unas, que nos pueden hacer mucho daño, aunque no están dirigidas expresamente a nosotros, como puede ser el Ransomware, que es muy masivo. Vienen de grupos de crimen organizado que han visto que tienen un filón en las personas que no cuidan mucho los equipos de sus casas o pequeñas empresas. Te secuestran tus ficheros encriptándolos, como pueden ser todas las fotos de la familia, los documentos que tenemos… y te piden 300 euros para devolvértelos. Al final mucha gente paga y el mundo sigue igual, ganando los criminales mucho dinero. Es una amenaza no dirigida, porque te puede tocar por casualidad, porque te ha llegado un correo que has abierto o has enchufado algo… Con este tipo de amenazas y otras similares, hay que tener sobre todo mucho sentido común. Cuando nos llega un correo que no sabemos qué es o de quién, o alguien nos pide cierta información, o los usuarios y contraseñas, por supuesto no hay que abrirlos o darlos.
Este es un tipo de ataque. Y luego hay otros que, como madres y padres a mí personalmente me preocupan más (yo tengo dos niñas). Son los de tipo ataque sexual por internet, temas de bullying, fotografías y vídeos en redes sociales…, porque al final en internet hay gente buena y mala como en la vida real. El problema es que la gente puede acceder más fácilmente a nuestros hijos e hijas por internet, usando redes sociales o chats o cualquier aplicación nueva que va surgiendo últimamente. Ahí es donde yo quiero hacer más énfasis, porque el problema no somos los padres, sino que son nuestros hijos que están más expuestos a ese tipo de cosas.
¿Y cuáles son los errores típicos que cometemos los usuarios en cuanto a seguridad?
Un error que cometemos o problema que tenemos los seres humanos es que, generalmente, hasta que no nos ocurre algo a nosotros, no nos preocupa. Hasta que a alguien cercano o a ti mismo no te ha sucedido un incidente grave, de que te hayan secuestrado tus ficheros, de que tu hija o hijo haya tenido un problema con un video de contenido sexual, etc., no lo ves cercano y no actúas.
Pero hay cierto tipo de “higiene informática” que debemos cumplir. Cosas tan sencillas como que vamos de vacaciones y nos alojamos en un hotel y utilizamos su ordenador y metemos todos nuestros usuarios y contraseñas del banco, redes sociales, el correo… Pues claro, eso es como abrir la caja de Pandora, porque la probabilidad de que el ordenador de ese hotel esté infectado es muy alta. Tampoco hay que usar dispositivos que no sean confiables y por supuesto tampoco conectarnos a cualquier red wifi que no sepamos si es de confianza… Y aunque lo sea, por ejemplo la red wifi de un aeropuerto, si alguien la está atacando, podría ver las cosas que estuvieras haciendo en tu dispositivo.
Lo mismo con los dispositivos; si te quieres conectar y ver tu Facebook, no utilices el ordenador de un extraño. Si te encuentras en la calle un USB, antes que utilizarlo y conectarlo en tu equipo, es mejor tirarlo a la basura… Son cosas muy básicas, pero que a veces nos cuesta aplicar.
Y aun así, como se suele decir, si tienes algo que quieres que sea privado, mejor no tenerlo en el móvil o en un portátil… ¿es así?
Para hacerse una idea, los militares y los no militares…, tienen las cosas que consideran “privadas” o confidenciales en ordenadores no conectados a internet. Si ellos, que saben de seguridad, las cosas muy sensibles las tienen en redes separadas de internet, es porque tampoco se fían mucho de internet. Para un usuario normal eso no es fácil, pero por supuesto las cosas muy sensibles nunca subirlas a internet y si podemos evitar llevarlas en el ordenador portátil o en el teléfono móvil, más seguras estarán.
¿Y qué decir en cuanto a las contraseñas, si muchos usuarios siguen usando para ellas la serie de números 12345… o su propio nombre?
Sí, en el caso de las contraseñas, yo he comentado desde hace años que existen gestores de contraseñas, que básicamente son una aplicación en la que uno guarda todas las contraseñas y que están protegidas por una única contraseña, que es la única que tú te tienes que saber. Si para entrar en Gmail tienes una contraseña de 20 caracteres complicados, tu gestor de contraseñas te la va a meter cuando tú la utilices en tu navegador. Es algo muy sencillo pero muy útil, porque te permite tener contraseñas muy complejas sin necesidad de memorizarlas.
Y respecto a nuestros hijos, ¿qué podemos decirles en cuanto a seguridad en internet si muchas madres y padres andamos perdidos en estos temas?
Sí, es cierto; la tecnología impacta mucho, la gente no está preparada, todo va muy rápido, los padres no saben qué contar a los hijos, estos piensan que todo el mundo es muy bonito y hacen muchas veces uso de la tecnología sin valorar esos riesgos y es lo que hay que intentar solucionar.
Ahí los colegios están haciendo sesiones, tanto para padres como para hijos, e incluso para abuelos también he visto…
Sí, pero siendo una materia tan sensible, que avanza tanto y en la que los padres andamos muchas veces tan desinformados, ¿no podrían o deberían hacer algo más los centros docentes?
Sí, estoy totalmente de acuerdo. Creo que debería haber una asignatura que explicara este tipo de cosas y fuera parte del proyecto curricular y que no se reduzca a una sesión al año. Si la tecnología impacta tanto en nuestros días y nuestros hijos han nacido en un mundo totalmente tecnológico y conectado tendría que ser parte de la formación que ellos lo conozcan bien. Porque yo he visto muchas veces como el poner solo prohibiciones, no funciona. No hay que prohibir tanto y sí educar más en las cosas y riesgos que hay en internet y que, al fin y al cabo, hay en la vida.
Además, considero que la gente joven debería saber un poco cómo funciona la tecnología en general, porque sí saben usar muy bien Snapchat y demás, pero luego no saben qué hay debajo.
Y para los que os dedicáis profesionalmente a la ciberseguridad, todas estas cuestiones, comparado con lo que hay por la red, o en la Dark Web (Internet Oscura) os parecerá poca cosa…
Internet al final es un caso de la vida real. Al igual que en la vida real puedes encontrar sicarios, prostitución infantil, venta de identidades o tarjetas robadas, drogas o armas…, pues en internet por supuesto existe. Sí es cierto que en lo que se llama Dark Web es donde hay muchas cosas de estas, porque hay cierto grado de anonimato y es donde se junta esta gente.
Y sí se ven cosas…, pero es un calco de la vida real; no encuentras cosas diferentes que si vas a algún país donde sabes que la vida no vale nada y puedes contratar a un sicario por 20 dólares. El problema aquí es que es más accesible para todo el mundo, pero los riesgos que se corren son muy reales. Por eso, con todo esto, mejor ni acercarse, ni mirar; además, la policía rastrea quién accede a estos lugares y quién intenta hacer algo en ellos.
Bueno David, con todo esto ya tenemos para ir abriendo boca, para el congreso del 21 de octubre en el que te seguiremos escuchando gustosamente.