La pasada semana fui invitado a participar como ponente en una mesa redonda sobre ciberseguridad en el OpenExpo Europe.
Por las razones que todos sabemos, este año el evento se realiza nuevamente de forma virtual, y en la mesa (figurada, vaya) estuvimos Alejandro Corletti, profesor y autor de varios libros sobre ciberseguridad, JM Ferri, autor de una novela negra sobre el mundillo hacker, y un servidor, representando entiendo a la industria, y seguramente también por mis pinitos en la ciencia ficción y la fantasía épica.
Era por tanto una mesa redonda que intentaba unir la realidad del mercado con el mundo ficcional, el que nos cuentan las novelas y las películas de «hackers».
Y cómo no, nos lo pasamos pipa :).
La idea del «hacker» vs la realidad
Estuvimos hablando del papel que juega la ciberseguridad en la ficción. De cómo se desdibuja la figura de un hacker en la literatura y el cine.
Ya sabes a lo que me refiero.
Pese a que muchos llevamos años intentando hacer concienciación, para el grueso de la sociedad el término «hacker» sigue intrínsecamente unido al de ciberdelincuente o, ya puestos, al de pirata informático, que me hace más gracia aún.
Al parecer todos los hackers vestimos sudaderas y trabajamos con ellas puestas en el garaje de nuestros padres, sin ventanas, navegando entre hileras de 0s y 1s en verde que además van surgiendo como en una cascada, como si la informática fuese la misma de hace treinta años.
Por contra, la realidad es que la mayor parte de hackers nos dedicamos a eso, a hackear en el sentido propio de esa palabra. A llevar lo que sea más allá de la razón por la que fue creado.
Hay hackers cocineros, hay hackers médicos, y sí, también hay hackers informáticos, que de hecho o son neutrales o tienden a aportar a la sociedad.
Los cibercriminales, en su amplia mayoría, no son hackers. Es más, muchos ni siquiera entienden de verdad de seguridad informática. Simplemente utilizan herramientas que terceros han creado, igual que un caco no tiene que saber de armas, solo utilizarlas para robar.
Gatos contra ratones
También hablamos del papel que juega la ciberseguridad en materia de defensa nacional e internacional. De la eterna pugna entre el gato y el ratón. ¿Deberían los cuerpos y fuerzas de seguridad estar por delante de los cibercriminales? ¿Es esto posible?
La respuesta ya la sabéis: Generalmente esto no ocurre.
Y no porque tengamos menos masa gris (o de peor calidad) entre los buenos, sino porque los recursos no son comparables (para mal), y porque además al blue team le toca la titánica tarea de proteger absolutamente todos los recovecos que potencialmente un cibercriminal puede explotar, mientras que a los malos les basta simplemente con tener éxito una sola vez.
Que en esa guerra entre el gato y el ratón, lamentablemente el ratón tiene las de ganar, amparado en una regulación que solo entiende de barreras geográficas y políticas, y no de un universo digital único.
Ciberamenazas principales
Por último, hablamos también las principales ciberamenzas a las que nos enfrentamos como sociedad.
Y en este punto, que desarrollé un poco más en profundidad, centramos el tiro en la ingeniería social.
¿Por qué?
Porque a fin de cuentas es la puerta de entrada a la mayor parte de ciberamenazas.
Resulta muchísimo más fácil atacar al humano, que a la máquina. Y puesto que los cibercriminales entienden esto como un trabajo y quieren sacar rédito económico de la manera más rápida y sencilla posible, es normal que año tras año veamos que los principales riesgos digitales vienen de la mano de vectores de ataque humanos.
Que si el ciberacoso, que si el ciberbullying, que si la sextorsión.
Incluso ciberamenazas tan en boca últimamente como el ransomware entra, por regla general, tras una campaña de phishing exitosa que consigue engañar a un trabajador, abriendo un documento que no debe o metiendo sus credenciales de acceso en una página fake.
Justo, de hecho, como el ataque que comentamos hace poco a uno de nuestros clientes.
Y junta esto con la falta de formación global que tiene la sociedad en competencias digitales:
- Con profesores que lamentablemente hacen lo que pueden sin haber tenido ellos unos buenos pilares.
- Con niños y adolescentes a los que se les asume que simplemente por haber nacido como una tablet debajo del brazo ya son «nativos digitales», y por tanto comprenden cómo funcionan las herramientas que usan en su día a día (disclaimer: están peor que tú y que yo).
- Con padres que delegan en los profesores y en la sociedad esa adquisición de competencias básicas informáticas, sabedores que ellos tampoco las tienen (y en muchos casos hasta obvian).
Con este panorama, es normal que cada vez haya más casos graves de ciberacoso, de ciberbullying, de sextorsión, y en definitiva de todos los males que ya conocemos.
Fraudes, fraudes y más fraudes, que son semejantes a los que teníamos antes de la llegada de Internet, pero que ahora en la red encuentran un camino para hacer daño continuo y supuestamente bajo una suerte de anonimato.
En CyberBrainers trabajamos con muchos clientes a los que les han jodido literalmente la vida tras una crisis reputacional.
Dejo para terminar el vídeo de la charla.
En CyberBrainers ayudamos a empresas y usuarios a prevenir, monitorizar y minimizar los daños de un ataque informático o una crisis reputacional. Si estás en esta situación, o si quieres evitar estarlo el día de mañana, escríbenos y te preparamos una serie de acciones para remediarlo.
Monitorización y escucha activa
Ponemos nuestras máquinas a escuchar para identificar potenciales fugas de información, campañas de fraude/extorsión y usurpación de identidad que estén en activo, y/o datos expuestos de ti o de tu organización.
Planes de autoridad y Presencia Digital
Ayudamos a organizaciones y particulares a definir la estrategia e implementar acciones digitales que mitiguen los posibles daños reputacionales que pueda sufrir en el futuro.
Gestión de crisis reputacionales
Cuando el mal ya está hecho, establecemos un calendario de acciones para reducir su duración e impacto, y que la organización y/o persona pueda volver a la normalidad lo antes posible.