A.E: Sí, aunque hay muchos más. Ese caso en concreto puso claramente en evidencia cómo información crítica de millones de usuarios puede ser destapada por unos hackers y tener consecuencias en muchos casos dramáticas. Pero no solo eso, además se descubrió que el 90% de los perfiles eran inventados. Entre las demandas judiciales de los afectados y las querellas (por fraudes) han provocado la pérdida de confianza en la empresa. Todo por una vulnerabilidad en su seguridad informática
Blog EKT: ¿A qué otros casos hacía referencia?A.E: Pues desde un centro médico en EE.UU que fue secuestrado virtualmente dejando inutilizable el sofisticado equipamiento médico del centro y por el que tuvieron que pagar millones de dólares, hasta el de una depuradora de aguas del Reino Unido a la que los hackers accedieron por la pasarela de pagos. Además de acceder a miles de cuentas de clientes, ejecutaron acciones para modificar las propiedades del agua. Este es otro ejemplo claro de cómo estructuras críticas pueden estar en riesgo. Afortunadamente los hackers eran de los buenos y solo querían poner en evidencia las carencias de seguridad.
Blog EKT: ¿Y los papeles de Panamá?A.E: Por supuesto. Otro caso. Aunque no hay nada probado parece que el acceso a los documentos fue a través de varias vulnerabilidades de seguridad: un WordPress sin actualizar, una versión de Drupal vulnerable, contraseñas de administrador que no se habían cambiado en los últimos años... Y el resultado fue nada más y nada menos que la filtración de 11,5 millones de documentos, 2,5 teras de información. Blog EKT: Parece claro que algo no se está haciendo bien…A.E: Lo cierto es que desde la aparición del primer virus en 1985 el software de ataque no ha hecho sino aumentar y profesionalizarse. Como decía, el desarrollo de internet se ha hecho sobre una base no segura, y esto lo aprovecha el malware. Es cierto que de forma paralela se han ido desarrollando medidas de contraseguridad (el primer antivirus se creó a finales de los 80), pero ha sido más una carrera por intentar limitar su impacto que otra cosa. De hecho, ha llegado el punto en el que los antivirus, aunque son necesarios, no son suficientes.
Responsabilidad como usuarios
Blog EKT: ¿Y cuál es la solución?A.E: Se trata de combinar tres ejes: buenas prácticas, tanto de programadores como de usuarios finales; regulación y herramientas.
Blog EKT: ¿Somos demasiado confiados los usuarios?A.E: En mucho casos sí. No podemos confiar nuestros datos personales y contraseñas alegremente a cualquier negocio, o foro. Nuestra identidad digital está en riesgo.
Blog EKT: ¿Consejos específicos?A.E: Cambio periódico de contraseñas. Diferentes contraseñas para ámbitos diferentes (banca, redes sociales, trabajo…). No abrir enlaces ni ejecutar archivos procedentes de direcciones de correo desconocidas. No descargar software pirata. Actualizaciones periódicas del sistema operativo y software... Estas son algunas básicas. Claro que los programadores que desarrollan las aplicaciones también tiene su responsabilidad y deben incorporar medidas de seguridad.Blog EKT: En cuánto a la regulación, ¿cuál es la situación en Euskadi?A.E: Bueno, aunque en Europa la legislación no es tan dura como en Estados Unidos, tampoco estamos como en los países del Este, Asia o muchos países de África, donde a los hackers les sale muy barato delinquir. A esto habría que añadir que apenas hay intercambio de información entre gobiernos. Vamos, que todavía hay mucho por hacer en términos de regulación para aumentar la seguridad en la red.
Blog EKT: El último eje son las herramientas. Antes has dicho que los antivirus ya no son suficientes. ¿Qué podemos hacer?A.E: En efecto, los antivirus solo detectan el 70% del malware. Para el resto hacen falta soluciones más avanzadas. En concreto, los operadores estamos desarrollando soluciones innovadoras que permitirán al usuario despreocuparse de complejas instalaciones, y poder delegar la responsabilidad en agentes especializados como Euskaltel en este caso.
Blog EKT: Por último, ahora que cada vez se usa más el móvil para conectarse a internet, ¿son los mismos riesgos que en un ordenador?A.E: Sí, claro. Los smartphones son dispositivos que están todo el día conectados a internet y son vulnerables. La seguridad debe ser independiente del dispositivo. Por ello es recomendable tener antivirus en el móvil. Esto como mínimo. Aunque lo bueno de las nuevas soluciones que comentaba anteriormente es que serán integrales. Se trata de proteger nuestra identidad digital independientemente de los dispositivos que usemos.