El gijonés David Álvarez Robles, Máster en Ingeniería en Telecomunicaciones por la Universidad de Oviedo y actualmente estudiante de Doctorado en Ingeniería Informática, ha obtenido varias certificaciones muy relevantes en el mundo de la seguridad informática, entre ellas el OSCP (Offensive Security Certified Professional). En el plano profesional, lleva tres años dedicados íntegramente al sector de la ciberseguridad. Actualmente desempeña el puesto de Responsable de Seguridad Ofensiva en Grupo CIES-Alisec Soluciones, empresa asturiana dedicada a la ciberseguridad.
–¿Cuáles son los principales riesgos en ciberseguridad a los que se enfrentan las empresas?
–A pesar de que existen varios factores que se deben tener en cuenta, el principal riesgo de ciberseguridad al que se deben enfrentar las organizaciones hoy en día son los usuarios que las componen. Los ciberdelincuentes se aprovechan para un gran número de sus ataques del desconocimiento y la falta de atención en materia de ciberseguridad de los empleados, que constituyen a menudo la primera vía de entrada en la organización para los atacantes. Una vez han penetrado en la organización, de nuevo el factor humano vuelve a ser clave, existiendo en muchas ocasiones errores humanos en el despliegue y la configuración de los sistemas y servicios que los atacantes son capaces de enumerar y explotar.
–¿Y los particulares?
–En el caso de los usuarios particulares, el principal riesgo que se suele dar es la propia falta de cultura en ciberseguridad que existe hoy en día. No es extraño que cuando se conversa sobre el tema, la gente te responda “¿A mí para que me van a atacar?”. Y ese es el error más grave que cometemos. Tanto nuestros datos como nuestros recursos son de especial interés para los ciberdelincuentes y, por tanto, todos estamos expuestos a sufrir incidentes de seguridad.
–Cerramos la semana del Black Friday... ¿Es terreno abonado para los ciberdelincuentes?
–Por supuesto, y no solamente eventos como el Black Friday. El ejemplo más claro lo tenemos con la pandemia del covid-19. Los atacantes utilizan habitualmente elementos de actualidad como ganchos para sus campañas de distribución de malware, para el envío de correos de phishing y para persuadirnos a realizar acciones tales como entrar a un sitio web desconocido que, de otra manera, no sería atractivo. Por ello, no es de extrañar que las estadísticas refrenden este hecho y que con este tipo de eventos y sucesos el número de incidentes de seguridad aumente.
–¿Qué medidas podemos tomar a nivel usuario para protegernos? ¿Es verdaderamente seguro el comercio electrónico?
–A nivel de usuario, las principales medidas que debemos tomar se pueden resumir en los tres siguientes puntos: actualizar de manera periódica todos los sistemas que utilicemos; no confiar nunca en correos o mensajes extraños que no esperamos recibir, especialmente si llevan archivos adjuntos o enlazan a páginas web; y reforzar nuestras credenciales de acceso a los sistemas y servicios estableciendo contraseñas robustas, únicas y que se actualicen periódicamente. Es fundamental concienciarse de los riesgos a los que estamos expuestos y seguir en todo momento las guías de buenas prácticas que organismos como el Instituto Nacional de Ciberseguridad (Incibe) publican habitualmente. En nuestro mundo suele decirse que no existe un sistema 100% seguro, afirmación con la que estoy plenamente de acuerdo. El comercio electrónico no es una excepción. Sin embargo, la mayor parte de los incidentes que se dan habitualmente están causados por las malas prácticas que siguen los usuarios.
–¿Qué deben hacer?
–El comercio electrónico es fiable, y muchos lo utilizamos a menudo, siempre y cuando como usuarios tomemos las precauciones oportunas. También es fundamental saber distinguir los sitios de confianza de otros portales web fraudulentos, en los que se nos presentan a menudo regalos fraudulentos. Nadie regala nada.
–¿Los usuarios son conscientes de los riesgos que se corren en internet?
–De un tiempo a esta parte el nivel de concienciación por parte de los usuarios sobre los riesgos que corremos en internet está aumentando. No obstante, la visión que nos da el mundo empresarial es que todavía queda mucho trabajo por hacer. Como profesionales de ciberseguridad debemos esforzarnos porque esta concienciación siga aumentando con el paso del tiempo, compartiendo nuestra experiencia con todo el mundo y ayudándonos de los medios de comunicación y otras herramientas en línea para llevar a cabo esta labor divulgativa.
–¿Cómo gestionar la seguridad de los menores ahora que están expuestos a múltiples plataformas educativas de forma online?
–Las plataformas online no constituyen un riesgo mayor en los menores que debamos gestionar, sino que se debe poner el foco en el propio acceso a Internet. En primer lugar, resulta muy complicado para los padres o tutores tener control sobre cómo los menores acceden a la red, ya que además de ordenadores utilizan teléfonos móviles, videoconsolas, dispositivos inteligentes… Los ciberdelincuentes se aprovechan en muchas ocasiones de esto y son capaces de utilizar engaños y señuelos a través de videojuegos y otras plataformas comúnmente utilizadas por los menores, especialmente en edades tempranas. Esto se denomina “ingeniería social” y todos estamos expuestos a ella, aunque en el caso de menores en edades tempranas el riesgo de caer en un engaño de este tipo es extremo. En edades más avanzadas, el principal problema son las actividades que los adolescentes llevan a cabo en la red. Dado que ya adquieren más destreza en el uso de Internet, comienzan a descargarse videojuegos o programas informáticos piratas cuya procedencia no conocen. Y en muchas ocasiones estas descargas vienen acompañadas de virus, troyanos y otras formas de malware capaz de infectar los dispositivos utilizados.
–¿Cuánto puede llegar a perder una empresa por culpa de un ataque realizado a través de internet?
–Tiene una difícil respuesta, ya que depende de muchos factores como el tamaño de la empresa, sus activos etc. No obstante, las consecuencias pueden llegar a ser devastadoras en caso de sufrir ataques que hoy en día están de moda como el ransomware, especialmente si no se tienen en cuenta las guías de buenas prácticas a la hora de definir y ejecutar los procesos de la organización.
–¿Deberían ir pensando todas las compañías en contratar los servicios de especialistas en ciberseguridad?
–Sí, sin duda y a corto plazo. Al igual que nadie se imagina a día de hoy un mundo sin policía, es necesario contar con un equipo especialista en ciberseguridad en las empresas. Debemos ver la ciberseguridad como un plano más de la vida cotidiana que nos afecta a todos, incluyendo a cualquier tipo de empresa independientemente de su tamaño. Desde Grupo CIES-Alisec Soluciones llevamos tiempo trabajando con nuestros clientes para hacerles ver la importancia de la seguridad como proceso. Intentamos hacer que día a día mejoren su seguridad dando pequeños pasos hasta que lleguen a un nivel de madurez alto. Una vez en ese nivel, intentamos que las empresas vean este servicio como una inversión periódica o incluso permanente, haciéndoles más resilientes en un mundo tan cambiante como es el de la seguridad informática.
