“Los antivirus no son suficientes porque los ataques informáticos se dirigen contra personas, no contra máquinas”
Julen Linazasoro da formaciones e imparte charlas en castellano y en euskera en centros educativos y empresas sobre ciberseguridad, educación digital, ciberbullying, privacidad… conceptos en boga pero todavía más tras la masiva filtración de datos de Facebook a Cambridge Analytica. Hasta 136.985 personas en España podrían haberse visto afectadas por el robo, vinculado con la campaña electoral que llevó a la Casa Blanca a Donald Trump.
“Internet es una red de ordenadores conectados por cable. Equipos de todo el mundo interconectados: tú puedes acceder a todo, pero otros también pueden acceder a ti. Por lo tanto, la interconexión es un riesgo en ese sentido”, advierte. Si bien reconoce que existen “diferentes niveles de riesgo de acuerdo al tipo de usuario”. No es lo mismo ser un ciudadano común y corriente que responsable de una empresa o un personaje público. “Los primeros deben preocuparse de los ataques masivos y de los despistes, pero conforme subimos en el nivel de responsabilidad, aparecen ataques más personalizados, mejor diseñados”, afirma.
La interconexión comporta riesgos. Entonces, ¿cómo proteger la intimidad en un mundo conectado?
Muchos usuarios -particulares, pero también pymes e instituciones- piensan que con contratar un servicio informático que les proteja es suficiente, pero no es así. Muchos de los ataques informáticos se hacen contra personas, no contra máquinas. Es mucho más fácil atacar a una persona para engañarle que a un sistema. Por eso los ataques vienen de fuera, pero en muchos de ellos colaboran los propios usuarios o trabajadores sin darse cuenta desde dentro.
Como los timos de toda la vida, que se aprovechan de la credulidad o las bajas pasiones de los timados…
Exactamente. Basta con un clic para acabar con cualquier barrera de protección. Si un ciberdelincuente quiere entrar en la red de una empresa, investiga primero quién trabaja ahí. Y muchas veces basta con una búsqueda por redes sociales y ya sabe toda la vida del trabajador: viajes, domicilio, gustos, familia, compañeros, pareja… El eslabón más débil de la seguridad en Internet es siempre el usuario.
De ahí que la formación sea la principal recomendación de seguridad.
Sí. Y también para un usuario particular. Lo mínimo que debemos tener en casa es el sistema operativo actualizado y un antivirus -puede valer el del mismo Windows o uno gratuito-, pero estamos en la misma tesitura, ya que un antivirus solamente detecta el 65% de los virus y ¿De qué sirve esa seguridad si luego el usuario cae ante una treta y comparte información sensible? Necesitas formarte. Un poquito, son cuatro pautas sencillas, tampoco es nada complicado. Lo que pasa es que la gente oye ciberseguridad y le da pereza o miedo.
¿Y cuál sería la base de esa seguridad?
Todo lo que no entiendas, no lo aceptes. Por ejemplo, ¿una aplicación te pide permiso para algo que no sabes qué es? Pues por defecto, no. Al contrario de lo que solemos hacer, que es aceptar sin fijarnos, o sin leer. Punto dos, si te mandan un correo electrónico, ten en cuenta que ningún banco ni ninguna empresa te va a pedir tus datos por ese canal. No respondas, no hagas clic. Si tienes dudas, llámales por teléfono. Son consejos así, no son cosas muy complicadas.
¿Qué le parece la frase: cuando algo es gratis, tú eres el producto?cuando algo es gratis, tú eres el producto
Que es así. Si tú no quieres que tus datos estén en Internet, no tengas redes sociales. Porque desde el momento en que te haces una cuenta, cedes el uso de los datos que publicas y creas con su uso. Aceptas servicios con una contraprestación que probablemente no has leído: van a recabar y vender tus datos, en ocasiones incluso diciéndote que no lo van a admitir… todo eso lo aceptas a priori.
¿Usted es usuario de redes sociales?
Sí, prácticamente de todas. Pero no pongo nada personal en ellas, las utilizo para trabajar. Mi perfil de Facebook está completamente abierto, pero fotos mías hay solo dos.
¿Reducir la exposición es entonces el mejor consejo?
Pues sí, lo que ocurre es que las redes sociales están pensadas para que la gente las utilice, y cada vez más. Por ejemplo ahora Facebook te dice qué tiempo va a hacer en tu ciudad. La gente se acostumbra y entra constantemente. Además ya están muy implantadas, y son un canal de comunicación importante para muchas personas.
¿Y si queremos usar redes sociales? ¿Cuál es la manera más segura, o menos insegura, de hacerlo?
Lo que hay que hacer, en Facebook y otras redes, es retocar los ajustes de privacidad y seguridad. En materia de seguridad, comprobar los inicios de sesión, en qué dispositivos, cuándo y desde dónde; activar la verificación en dos pasos para evitar intrusiones: pones tu número de teléfono y te mandan un mensaje para acceder a tu cuenta cuando lo haces desde un dispositivo nuevo. Es fundamental, siempre, en todas las redes sociales y correo electrónicos. El correo electrónico es la base de las redes sociales, porque es la manera que tenemos de identificarnos y de cambiar las contraseñas. También se recomienda tener contraseñas diferentes para cada servicio y cambiarlas cada seis meses como mínimo.
¿Y en cuanto a la privacidad?
En materia de privacidad, hay que tener cuidado con quién puede ver lo que publicas, quién se puede poner en contacto contigo, quién puede ver tus datos personales y fotografías… se recomienda ajustarlo, porque si no cualquiera, tenga o no cuenta en esa red social, puede acceder a tu información. Los motores de búsqueda indexan los resultados de las redes sociales. También debemos tener cuidado con los desconocidos, no aceptar gente que no conocemos, ya que no sabemos sus intenciones: recopilar información, mandar links maliciosos, fraudes…
Pero el filtro más importante es personal: hay que pensar en lo que publicamos. Sobre todo recomiendo no publicar información personal ni fotografías de menores. Las redes sociales son un escaparate, y pueden usarse para cosas que no pensamos.
Revisar lo que publicamos. Gustos, familiares, destinos de viaje, mascotas… tener en cuenta que muchos juegos de preguntas en Facebook están orientados a sacarnos información. Por ejemplo, muchas veces damos las respuestas a las preguntas que nos hacen para recuperar contraseñas. Encuestas tontas, juegos y otras aplicaciones del estilo piden permisos para ver nuestra agenda de contactos, nuestras llamadas… pueden sonsacarnos información sensible tanto dentro de redes sociales como en el propio móvil. En la configuración del móvil se puede limitar el acceso de las aplicaciones a nuestros datos.
Debemos evitar compartir información no contrastada por espectacular que parezca, el fenómeno de las fake news está en auge. Muchas veces estos contenidos se viralizan de manera fraudulenta: en las redes sociales autoetiquetan a todos y se propagan. También ponemos en riesgo a todos nuestros contactos, ya que muchas veces tienen links fraudulentos.
¿Cuáles son los públicos más vulnerables?
Los niños no deberían utilizar las redes sociales. En los términos de uso se establece que los usuarios deben tener una edad mínima de 13 o 14 años según la red social de que se trate. WhatsApp, a partir de la entrada en vigor de la nueva ley de protección de datos en mayo, ha subido la edad a 16 años. Los adolescentes son igual de vulnerables que los adultos, pero con el añadido de que no tienen los recursos para hacer frente a los problemas y son un poco más inocentes. Es importante la formación previa para que sepan cómo comportarse ante amenazas que llegan por las redes sociales y a través de los smartphones.
La serie Black Mirror aborda un caso de extorsión a un menor por Internet en el tercer capítulo de la tercera temporada, Cállate y baila. Aunque es un caso llevado al extremo, supongo que la recomendación es acudir a la Policía en cuanto se recibe la amenaza…Black MirrorCállate y baila
Sí, es importante descargar siempre aplicaciones de las tiendas oficiales, pues las piratas pueden contener malware que nos espíe, nos robe los datos personales o algo mucho peor, como refleja la serie. Ante una sextorsión (amenazar con publicar imágenes íntimas nuestras que generalmente hemos enviado de forma consciente), es mejor renunciar desde el primer momento y acudir a la Policía que hacer caso a los delincuentes, pues no tienes ninguna garantía de que vayan a parar con sus exigencias. En el caso de las niñas, jóvenes o mujeres van escalando las peticiones de imágenes hasta llegar a la pornografía: ahora vas a mandar más fotos, ahora vas a hacer este vídeo porque si no mando lo que tengo a todos tus contactos…
La formación preventiva en estos casos será fundamental…
Claro, los adolescentes y jóvenes tienen que tener muy claro todo lo que puede ocurrir por un gesto en principio sin importancia como es mandar una foto con poca ropa o desnudo a otra persona. Correr ese riesgo no tiene sentido. Una foto, además, aunque no la enviemos, no está segura en un smartphone… pueden robárnosla o puede salir sin nuestro permiso de varías formas.
Por lo que dice tiene más importancia el comportamiento del usuario que las cuestiones técnicas a la hora de la seguridad en Internet.
Es una mezcla de las dos cosas. Aunque es mucho más probable que se infecte el dispositivo si tenemos el sistema desactualizado. Hay que tener un antivirus, sistema y aplicaciones siempre actualizados.
La descarga ilegal de contenidos es una fuente de amenazas.
Sí, no tiene sentido el riesgo que supone comparado con el precio: tenemos tarifas planas de música y contenidos audiovisuales por 10 euros al mes. No hay nada gratis, hoy en día hasta los subtítulos pueden venir con un regalito en forma de software no deseado.
¿Y para el móvil?
Es lo mismo: mantener el sistema actualizado y, en el caso de los Android, poner un antivirus. Descargar aplicaciones solo desde tiendas oficiales, como Google Play. No conectarse a redes wifi públicas, porque no sabes quién las ha creado ni quién puede estar espiando. Si yo voy a una estación, o un aeropuerto, o aquí a la plaza del Castillo, puedo crear una red abierta que se llame wif-plazadelcastillo y ponerme a extraer datos de los que se conecten. No es nada difícil hacerlo. Así que es mejor utilizar nuestra tarifa de datos. Si tenemos una mayor necesidad de seguridad no está de más pensar en pagar por una red privada virtual (VPN), que nos protege de muchas amenazas y no es cara, a veces vienen con el antivirus de pago. También debemos evitar cargadores públicos, desactivar el wifi cuando no lo usemos, cuidado con los mensajes que no envían por WhatsApp …
¿A qué edad recomienda a los padres que compren un smartphone a sus hijos?
Trabajo con colegios: adolescentes, niños, profesores y padres… educación digital, ciberbullying, todas esas cosas. La edad recomendada para tener un smartphone es 16 años, pero debido a la presión social se empiezan a tener mucho antes. Es aquello del “todos mis amigos lo tienen”, y está bajando mucho la edad. El mínimo en mi opinión serían 13 años, pero lo recomendado es 16. El smartphone es una herramienta muy potente para comunicarse, pero tiene por eso mismo un montón de riesgos si no se sabe utilizar bien. Riesgos en redes sociales, privacidad y ciberseguridad.
¿Y qué hacer para protegerles de esos riesgos?
Lo que recomiendo siempre a las familias es que antes de entregarles el smartphone al menor pasen un periodo de formación. Es momento de hablar de estas cosas: cómo utilizarlo correctamente y usos inadecuados, qué es la huella digital, advertir de la importancia futura de su comportamiento en la red, qué es el respeto en el ámbito digital, que detrás de cada pantalla hay una persona, la seguridad, riesgos en redes sociales, de mandar fotos íntimas, grooming (acoso sexual de adultos a menores)… No se le puede dar a nadie una herramienta tan potente sin entender y asumir los riesgos que comporta. Y ojo, no hablo de aprender a manejarlo, no es una cuestión técnica, sino de aprender a controlar los riesgos a los que nos exponemos con el uso.
Sobre las horas de uso, es materia de un pacto familiar. Si por ejemplo se compra una tablet, es buena idea que sea de uso de toda la familia y no solo del niño. Se activan los controles parentales, se limita el espacio donde se puede usar. También se miran las edades recomendadas para usar aplicaciones, por ejemplo Youtube tiene Youtube Kids para menores de 14 años.
Los padres y las madres son los ejemplos de los hijos. Así que el uso racional tiene que comenzar por ellos mismos.
Una gran amenaza es el bullying en su versión digital, el ciberbullying.ciberbullying
Lo importante es educar a los chavales en el uso de las nuevas tecnologías. Hay que explicarles qué es un acosador, cómo actúa, por qué, y cómo no serlo, diferenciar las acciones que son dañinas de las que no. También la necesidad de denunciarlo si son testigos, darles herramientas para hacerlo de forma segura, que no miren para otro lado. Más importante que centrarnos en cómo no ser acosado, lo principal es no acosar. El problema de las nuevas tecnologías es que no paran. La exposición es de 24 horas y, por eso mismo, son acosos más escalables.
¿Dónde se puede encontrar información fiable al respecto?
Macsonrisas.es, mi propia página web, en castellano y en euskera, tiene un apartado de consejos. IS4K.es, es una página diseñada por el Instituto de Ciberseguridad de España para familias y educadores.
¿Alguna última recomendación?
Sí, dejemos de publicar imágenes de niños en redes sociales. Sobre todo si están desnudos. Que son muy salados cuando se bañan o en la piscina o en la playa pero internet es muy grande y es mejor no pensar dónde pueden acabar esas imágenes. Y aprovecho también para pedir que dejemos de utilizar el móvil cuando conducimos, porque es una auténtica epidemia. No hay más que fijarse un poco. Y además de estar prohibido es peligroso, distrae mucho. Eso también es parte de la ciberseguridad y del sentido común.