«Hoy en día, casi ninguna empresa es capaz de parar un ataque dirigido», así lo asegura Chema Alonso, experto en Hacking y ponente de Security Forum 2013, en una entrevista en la que analiza los delitos cibernéticos, así como el nivel de seguridad informática de nuestras empresas españolas, entre otros temas.
—¿Cuáles fueron sus orígenes en el campo de la informática?
Yo soy uno de esos niños que empezó a estudiar informática en un academia cuando se decía eso de que sería el futuro. Comencé a los 12 años apuntándome a un curso para aprender a programar en BASIC y ya no lo pude dejar nunca. Mis padres me compraron un AMSTRAD 6128 con 128 Kb y unidad de disco de 3” y el resto fue un no parar. Supongo que las películas de TRON o Juegos de Guerra impresionaron a muchos jóvenes de mi generación para hacernos amar este mundo.
—¿Qué papel debe jugar la seguridad informática en las empresas españolas?
Debe proteger su negocio y hacer que sea un valor. Hoy en día no se puede almacenar mercancía en un almacén sin pensar en un sistema de seguridad de accesos. Esto mismo pasa con la seguridad informática. Intentar tener una tienda online, una base de datos de clientes o un sistema de facturación informatizado, es como tener la mercancía en medio de la calle sin seguridad expuesta a las inclemencias del tiempo y los malhechores.
—¿Cómo cree que han cambiado los delitos cibernéticos en los últimos años? ¿Qué tipo de ataques son los más comunes?
Los ataques han pasado de ser algo anecdótico a profesionalizarse hasta extremos insospechados. Los ataques dirigidos contra gobiernos, instituciones, empresas y personas particulares se han generalizado, haciendo que nadie esté exento de sufrirlo en sus carnes. Hoy en día es una industria madura con profesionales del cibercrimen que están campando en Internet y que deben ser controlados. Los ataques más comunes son los de espionaje tanto a nivel de gobiernos, como de secretos comerciales, como de privacidad personal, los ataques de extorsión por medio de D.D.O.S., el robo de dinero por los expertos del fraude online y el robo de identidad que se usa masivamente para todos los ataques anteriores.
—¿Qué sistemas operativos son los más vulnerables a este tipo de ataques?
Todos y ninguno, si crees que la solución es ponerse un sistema operativo u otro es que no sabes de seguridad informática. Sin embargo, podríamos decir que Windows es el que más amenazas de malware «genérico» tiene, pero en cuanto a ataques dirigidos contra empresas, Mac OS X está siendo «breado» y para Linux hay igualmente muchísimas técnicas. Esto no va de que unos sean más buenos o malos, va de tomar la seguridad de los sistemas en serio y tomar medidas.
—Ante las bajas cifras de denuncias de ataques informáticos, ¿a qué cree que es debido que los usuarios de equipos informáticos, una práctica extendida cada vez más al ámbito personal y no sólo profesional, no denuncien este tipo de acciones?
A miedo y vergüenza. Las empresas temen la mala prensa que pueda venir tras reconocer una intrusión. Temen que puedan perder la confianza de sus clientes, que sean reacios a comprar online en sus tiendas y dar sus datos de tarjeta de crédito o personales. Los usuarios personales creen que no se puede hacer nada.
Yo a todos les digo que denuncien, hay que denunciar para que se tome en serio este problema. Si nadie denuncia, los políticos no dedicarán recursos a la lucha contra esto, y es necesario que se haga.
—Ante la proliferación de Smartphones, Tablets… dispositivos que también son objeto de este tipo de acciones, ¿qué consejos o medidas de seguridad propondría a sus usuarios?
Un smartphone o un tablet es un sistema operativo igual de complejo, pero con menos medidas de seguridad. Existen troyanos para iPhone e iPad que se están instalando en ellos para espiar a directivos y personalidades, existen robos de credenciales de redes sociales por conectarse a redes WiFi inseguras, existen riesgos en la privacidad de la información que gestiona en ellos, y hasta con servicios como RevoverMessages.com es posible recuperar hasta los mensajes de WhatsApp borrados.
Hay que tomarse en serio la seguridad de ellos, conocerlos, y establecer una política de seguridad de este tipo de dispositivos dentro de la empresa. De lo contrario, un día se convertirán en un quebradero de cabeza grande para la seguridad de una compañía.
—¿Cuál cree que es el nivel de seguridad informática en las empresas españolas? ¿Y en relación a Europa?
Yo creo que estamos tomándonos poco a poco las cosas en serio, aunque aún quedan empresas que no han puesto el foco definitivamente. Sin embargo, los cibercriminales van cada vez más rápido y necesitamos acelerar estos procesos para poder estar protegidos de verdad de ellos. Hoy en día, casi ninguna empresa es capaz de parar un ataque dirigido.
—¿Cuáles serán las tendencias en cuanto a delitos informáticos en los próximos años?
Yo creo que ahora estamos en la cúspide de los ataques entre gobiernos, pero creo que las empresas, no tardando mucho, tendrán equipos informáticos para defender sus secretos comerciales, y algunas «empresas oscuras» comenzarán a tener equipos para el ataque. Lo sucedido con el informe Mandiant sobre APT1 donde se desvelaba un grupo del ejército Chino dedicado al espionaje industrial, dentro de no mucho tiempo se puede extender a empresas, y que se profesionalice la «piratería» entre empresas y la competencia desleal. A mí por medio de correos electrónicos me han solicitado de todo, e incluso me han pedido degradar el servicio de una empresa para competir con ellos.
—¿Cuáles son las claves para mantener a salvo la información e integridad de un compañía?
Tener un equipo de seguridad y un plan estratégico de seguridad que vaya atacando todos los puntos necesarios de una política de seguridad, que no son pocos. No es comprar un producto o contratar un servicio, es hacer un plan de seguridad perdurable en el tiempo, de igual manera que se gestiona la seguridad física de los edificios.
—¿Podría contarnos alguna anécdota ocurrida en su trabajo diario?
En mi trabajo me han pedido de todo. La gente piensa que los hackers son malos y se dedican a vender sus servicios para atacar a los indefensos. Esto hace que me lleguen correos electrónicos pidiéndome que me cuele en bases de datos de compañías de autobuses para buscar el nombre y el teléfono de una chica, que espíe a un directivo, que ataque a una empresa para robar unos informes, que borre datos en los foros o que le robe el correo electrónico, el Facebook o el WhatsApp a una persona. Yo me dedico a leer luego estos correos en las conferencias para que la gente sepa que los malos pueden ser cualquiera. Tu pareja, tu jefe, tu empleado, tu amigo o hasta tu enemigo.