“En la Región tenemos varios de los mejores ‘ethical hackers’ del mundo”

Fuente:

Entrevista a Andrés Soriano, experto en ciberseguridad

“En la Región tenemos varios de los mejores ‘ethical hackers’ del mundo”

Esta semana la Armada Española ha realizado en aguas de Cartagena el ejercicio de ciberseguridad MARSEC 21, en el que ha colaborado el centro universitario ISEN, adscrito a la Universidad de Murcia. Andrés Soriano es miembro del Grupo de Información de la Guardia Civil y profesor de Ciberseguridad en el Grado en Seguridad que imparte ISEN. Este experto, que nos aclara muchas dudas sobre este asunto tan candente, afirma que en la Región de Murcia tenemos varios de los mejores ‘ethical hackers’ del mundo. Son los ‘hackers’ buenos, que ayudan a solucionar fallos de seguridad y a prevenir la cibercriminalidad.

- Como miembro de las Fuerzas y Cuerpos de Seguridad del Estado y profesor de ciberseguridad en ISEN. ¿Cuál es el principal consejo que da a sus alumnos sobre este asunto?

A parte de concienciarlos e instruirles en los riesgos que se derivan de las nuevas tecnologías, priorizo el dotarles de una conciencia de ciberinteligencia, y que sean conscientes de toda la información que regalamos a terceras personas a través de nuestras interacciones en internet.

- ¿Está nuestro país suficientemente preparado en seguridad?

En términos de seguridad genérica, podríamos afirmar, sin llevarnos a error, que España goza de ser uno de los países más seguros del mundo, presentando unos Servicios de Inteligencia y unas Fuerzas y Cuerpos de Seguridad muy capacitados, en los que además se han constituido unas unidades especializadas, que son instruidas para el desempeño de cualquier tipo de cometido.

En términos de ciberseguridad, hay que destacar que España es un país relativamente joven, pues la Directiva 2016/1148 del Parlamento Europeo, conocida como la Directiva NIST, con la que el Consejo de Europa obligaba a los Estados miembros a adoptar y publicar, las disposiciones y reglamentos legales necesarios para dar cumplimiento a las nuevas amenazas virtuales, no se transpuso hasta la publicación en septiembre de 2018 del Real Decreto ley 12/2018. Sin embargo, hay que destacar que tras la aprobación de dicha norma, la ciberseguridad ha pasado a ser considerada como un sector estratégico que debe ocupar un lugar propio y diferencial en la Estrategia de Seguridad Nacional.

Pese a esta tardía reglamentación en comparación a otros países más ciberavanzados, como sería el caso de Estonia, el país más digitalizado del mundo, hay que destacar la gran cualificación que presentan los expertos en nuestro país, nación desde la que han salido algunos de los mejores ‘ethical hackers’ (hackers éticos) del mundo, que participan en los mejores escenarios y ejercicios de ciberseguridad a nivel mundial, como por ejemplo los de la OTAN,  y comparten sus conocimientos a nivel internacional en los mejores congresos, donde se nutren las principales agencias de inteligencia; y entre ellos afirmamos con orgullo que hay varios murcianos que destacan en el panorama internacional.

- Supongo que luchar contra la ciberdelincuencia es uno de los grandes retos de los cuerpos y fuerzas de seguridad del Estado.

Cierto es que los delitos virtuales, y las amenazas híbridas constituyen uno de los principales retos a los que se enfrentan las FCSE, ya que son delitos que para su persecución requieren de una gran especialización a lo que se le suman las trabas procesales, que caracteriza la transnacionalidad de estas acciones, pues una persona sentada frente a un equipo informático en Kazajistán, puede ser el causante de un ataque de especial gravedad contra cualquier infraestructura española.

- ¿Van los ciberdelincuentes por delante de quienes trabajan en combatirlos?

De ninguna manera, pues como bien afirmé anteriormente, en España contamos con algunos de los mejores expertos en ciberseguridad a nivel mundial, pese al handicap de ser un escenario relativamente novedoso en nuestro país. Expertos que se dedican a la búsqueda de las posibles debilidades que presenten nuestros sistemas, intentando prevenir cualquier ataque de tipo ‘Zero day’, que son los más temidos, ya que son aquellos que se producen sobre alguna vulnerabilidad que hasta la fecha no ha sido detectada por nadie.

Sin embargo, sí van por delante de nuestro a nivel procesal, pues nuestros ordenamientos jurídicos tardan años en actualizar las herramientas con las que poder hacer frente a estas nuevas formas de criminalidad.

- ¿Nos puede explicar qué es el ‘sexting’ y cómo se persigue desde la Guardia Civil?

El sexting consiste en la grabación y difusión por parte del propio remitente de contenidos multimeda, principalmente fotografías y vídeos,  con connotación sexual o de tipo sexual, a través del teléfono móvil, webcam u otro dispositivo similar.

Este tipo de actuaciones son de especial gravedad en los adolescentes, pues realmente no son conscientes del tipo de riesgos que les puede entrañar la difusión de estos contenidos sexuales, que una vez lanzados son muy difíciles de detener, y acaban socavando a las víctimas en un estado depresivo que en ocasiones finaliza en suicidio. Ejemplo de ello es el suicidio realizado en el 2019 por una empleada de IVECO tras la difusión de un vídeo sexual entre la plantilla de su empresa.

Para ello, la Guardia Civil realiza programas de concienciación en los centros escolares, con el objetivo de prevenir estas conductas entre nuestros jóvenes.

- ¿Cada vez se producen más casos de ‘phising’ o suplantación de seguridad?

En realidad el ‘phising’ es un tipo de estafa, mediante la que, a través de ingeniería social, se obtienen las credenciales y datos privados de los usuarios, con la intención de acceder a sus datos bancarios.

Los delincuentes se hacen pasar por entidades legítimas, imitando sus logotipos y servicios, como puede ser entidades bancarias, correos, empresas de reparto, servicios de criptomonedas etc.

Este tipo de delitos van en auge pues nuestra sociedad cada vez está más digitalizada, y los servicios de banca han quedado prácticamente relegados a su realización a través de la red, por lo que es vital concienciar a la población, sobre todo a los más mayores, de este tipo de técnicas. Las empresas fidedignas nunca les pedirán que indique sus credenciales.

Además de ello, es vital que la población adopte cuantas mayores medidas de seguridad mejor, actualizando el software de sus dispositivos, empleando antivirus, firewalls, así como sistemas de verificación en 2 pasos, con los que poder dificultar  que se realicen con éxito este tipo de acciones delictivas.

- ¿Cómo consiguen suplantar nuestra identidad? ¿Qué puede hacer un ciudadano afectado?

Nuestra identidad la suplantan de forma muy sencilla, ya que es el propio usuario el que les ha aportado todos los datos necesarios para poder realizar cualquier tipo de transacción en nuestro nombre.

Ante una situación de estas características, lo primordial es actuar con diligencia y comunicar estos hechos a la entidad bancaria para que pueda anular cualquier tipo de manipulación no deseada, así como interponer denuncia ante las FCSE con el objetivo de  prevenir nuevas acciones delictivas y poder identificar a los cibercriminales o “blackhat”.

- ¿Existe un exceso de confianza a la hora de manejar y compartir datos?

Totalmente. Los ciudadanos no son verdaderamente conscientes de toda la información que existe de nosotros en Internet y de los riesgos que ello entraña.

Por ello, intento que en mis clases priorice la aplicación práctica de los conocimientos del temario, y para ello les evidencio un caso real en el que les muestro toda la información que se puede obtener de una persona únicamente conociendo su número de teléfono, que podría derivar en nombre, email, domicilio, edad, DNI, orientación sexual, religión, situación sentimental, y muchos datos más.

Datos que, empresas especializadas, venden sin ningún tipo de miramientos a las grandes corporaciones, con los que poder elaborar todo tipo de patrones de conducta, comportamiento, etc. sobre la población.

- Parece que las principales motivaciones de la ciberdelincuencia son el dinero, el sexo y el espionaje. ¿Es así?

Para realizar dicha afirmación habría que especificar ante que tipo de cibercriminalidad nos encontramos.

Por un lado, nos podemos encontrar ante un tipo de ciberdelincuencia a nivel usuario, que a través de técnicas de phishing, pharming, sim swapping, etc. busca principalmente el lucro económico.

Por otro lado, podemos encontrarnos ante grandes corporaciones, que realizan ciberataques con los que poder obtener inteligencia sobre patentes o productos comerciales de la competencia, a través de técnicas virtuales de espionaje.

Y en último orden, podríamos diferenciar, para mi entender el más importante de todos, lo que son aquellos ciberataques lanzados bien por cibercriminales, bien por organizaciones paraestatales, que buscan desestabilizar y ocasionar daños estratégicos sobre otro país, lo que se conoce como “guerra híbrida”.

- ¿Cómo se combate la pornografía infantil en internet?

Se combate en base a dos vertientes: la vía de la concienciación y prevención social, y por otro lado la vía policial que investiga aquellos mercados ilícitos y servicios ocultos que puedan alojarse en la conocida como “red oscura”, en los que se ofrecen estos deplorables contenidos.

- El ciberbullying va en aumento. ¿Qué pueden hacer los alumnos y los padres afectados?

Lo principal es la educación social en este ámbito, que derive en que este tipo de conductas no se conformen como normalidad entre la juventud. Y que ante cualquier atisbo de ciberacoso el núcleo estudiantil sea capaz de rechazar estas actuaciones y no sientan miedo o remordimientos en denunciar ante los profesionales y docentes estos actos.

Otra esfera a tener en cuenta es la familiar, pues los padres deben ser conscientes de los peligros que entrañan las nuevas tecnologías en los jóvenes, supervisando las interactuaciones de los menores a través de la red; y con ello, poder identificar cualquier indicador o cambio de conducta que pueda advertir que el menor está sufriendo algún tipo de acoso.

- ¿Habría que intensificar la información y divulgación en los centros de enseñanza sobre los riesgos de internet?

La divulgación de enseñanzas sobre los riesgos de internet es vital, debiendo iniciarse a edades tempranas. En primer lugar identificando los riesgos asociados a diversas conductas, como el cyberacoso, el sexting, el pharming, etc. y que vayan en incremento a medida que pasen los años, fraguando en los adolescentes una cultura de ciberinteligencia y ciberseguridad con la que poder hacer frente a estos riesgos.

- Otro asunto es el ciberterrorismo. Por ejemplo, ¿es muy complicado detectar o desarticular una célula yihadista que capta miembros por internet?

Es un trabajo muy laborioso y de muchos años de investigación, pero gracias a la reforma legislativa que introdujo en el año 2015 la figura procesal del Agente Encubierto Informático, que capacita a los Agentes de las Fuerzas y Cuerpos de Seguridad con funciones de Policía Judicial a  entremezclarse en los foros, webs y redes sociales de captación yihadista, junto a la gran capacitación que presentan los efectivos policiales que conforman los diferentes grupos de los Servicios de Información, facultan que en los últimos años se hallan finalizado con éxito numerosas operaciones policiales que han favorecido la desarticulación de estos entramados filoterroristas virtuales.

- ¿De qué operación se siente más orgulloso?

Por más que me gustaría poder compartir el tipo de cometidos que desempeño en mi día a día, por la trascendencia operativa de dichas operaciones, no es aconsejable el aportar datos de ninguna de ellas. Pero sí puedo expresar la suerte que tengo en poder desempeñar el tipo de funciones tan específicas que a día de hoy mantengo en la Guardia Civil, que me permiten trabajar en grandes operaciones de envergadura a nivel internacional.

- ¿Qué recomendación daría al ciudadano para prevenirle de los ciberataques?

En primer lugar, la concienciación y formación en las nuevas tecnologías, que le faculte para ser conocedor de que es vital mantener nuestros dispositivos actualizados siempre con la última versión de sus software y firmware, ya que a través de estas actualizaciones se subsanan cualquier tipo de vulnerabilidades que hayan sido detectadas.

Un ejemplo tan insignificante como el ejercido por muchos padres, quienes tras el nacimiento de un bebé compran una Ipcam, con la que poder detectar cuando llora su bebe o tiene cualquier tipo de necesidad.

Sin embargo, si no somos conscientes de la importancia que tiene el cambiar las credenciales que por defecto trae esta webcam, así como actualizar su firmware, podría facultar que una tercera persona conozca estas credenciales por defecto y acceda a la misma, haciéndose con el control de ella, y grabe al niño mientras los padres lo lavan, cambian de ropa, etc., vendiendo estos contenidos dentro del mercado ilícito de la pornografía infantil.

“En la Región tenemos varios de los mejores ‘ethical hackers’ del mundo” - 1, Foto 1
Murcia.com