¿Se puede prevenir un ciberataque?

Los expertos insisten en que actualizar los dispositivos es vital para reducir las vulnerabilidades en la red

Elena Martín López
ELENA MARTÍN LÓPEZ Madrid

Que las cuentas de Twitter de personalidades tan importantes como Barak Obama, Bill Gates o Elon Musk fuesen hackeadas el pasado mes de julio nos hizo llevarnos las manos a la cabeza, pero la realidad es que los ataques cibernéticos son cada vez más frecuentes en este siglo y se sufren a diario, tanto a nivel corporativo como de usuario. Según una investigación reciente de Digital Shadows, el mercado negro de la red oscura ('dark web') ya cuenta con más de 15.000 millones de credenciales de cuentas robadas, una cifra que ha aumentado un 300% desde 2018. Además, desde ese año, España es el país de la Unión Europea con más víctimas de robo de identidad registradas, como recoge la Oficina Europea de Estadística (Eurostat).

Lo peor de todo es que esos mismos datos reflejan que una persona tarda una media de 5,4 meses en percatarse de que ha sufrido un hackeo. Por ejemplo, el robo de identidad sanitaria puede ser muy difícil de detectar –el 40 % de los pacientes se entera cuando le llegan cartas reclamando cobros y esto no sucede hasta un año después del robo en el 50% de los casos—. La mala noticia es que se prevé que estos ciberataques se incrementen a futuro, pues un historial clínico puede llegar a valer 80 euros, según el centro criptológico nacional.

Hablamos de hackers y, sin embargo, el origen de este término no se relaciona con los piratas informáticos que todos visualizamos actualmente. El término surgió de los programadores del instituto tecnológico de Massachussets (MIT), que en los años 60 empezaron a investigar sobre la protección y las vulnerabilidades de la red. Como en aquel momento no había forma legal de aprender sobre el tema, experimentaron con trucos ('hacks') al margen de la ley y perfeccionaron sus conocimientos con la práctica. Esto permitió, por ejemplo, el desarrollo de Internet o del sistema operativo Linux, que son obra de hackers. Por el contrario, las personas con habilidades similares que utilizaban su talento para afectar a usuarios de la tecnología o llevar a cabo delitos informáticos con fines lucrativos fueron apodados 'crackers' ('quebradores', en inglés).

«La ciberdelincuencia ya mueve más dinero que el narcotráfico»

Enrique serrano aparicio

Hoy en día, la Real Academia Española de la Lengua (RAE) recoge dos definiciones de 'hacker': «pirata informático» y «persona con grandes habilidades en el manejo de computadoras que investiga un sistema informático para avisar de los fallos y desarrollar técnicas de mejora», algo que genera cierta confusión en la sociedad al ser acepciones completamente opuestas. Entonces, ¿qué diferencia realmente a un hacker de un ciberdelincuente?

«Con los hackers y los ciberdelincuentes ocurre como con los cerrajeros. Unos son capaces de acceder a sistemas computacionales y los otros abren todo tipo de puertas, pero que se dediquen a robar datos o casas, respectivamente, depende de sus principios éticos», expresa Enrique Serrano Aparicio, ingeniero de ciberseguridad nombrado por el Business Insider una de las 25 personas de menos de 35 años líderes en la revolución tecnológica en España y fundador de la empresa de formación online en ciberseguridad Hackrocks. La trampa está en que, «desde 2017, el cibercrimen mueve más dinero que el narcotráfico», destaca, por lo que la moral debe mantenerse muy firme para no dejarse tentar por la avaricia.

Teniendo esto en cuenta sorprende que, en términos de ciberseguridad, la población no sepa, en muchos casos, cómo protegerse ante posibles ataques en la red. ¿Sabía que cada vez que pospone la actualización de alguno de sus dispositivos aumentan sus posibilidades de sufrir un hackeo? Pues sí, resulta que los atacantes, en lugar de centrarse en vulnerabilidades por descubrir -los llamados Zero-Day o ataques de día cero-, normalmente se enfocan en aquellos agujeros de seguridad ya conocidos y aprovechan el intervalo de tiempo que tardan los usuarios en implementar las actualizaciones pertinentes (con los correspondientes parchesde seguridad) para llevar a cabo sus acciones delictivas.

Para tratar de protegernos, «actualizar los dispositivos debe ser una práctica que se realice de forma compulsiva. Todo aquello que utilices (móvil, ordenador) o tengas instalado (apps) tienes que tenerlo actualizado. Así, la ventana de vulnerabilidad se encoge y es mucho más difícil recibir un ataque», detalla Eusebio Nieva, director técnico para España y Portugal de la empresa proveedora de soluciones de ciberseguridad Check Point.

«Cada vez se trabaja menos en evitar que se produzcan ataques y más en reaccionar rápido ante ellos para que no fructifiquen»

Deepak Daswani

Otros medios son: activar la autenticación de doble factor, una herramienta de seguridad que concede acceso al sistema solo después de que el usuario presente dos o más pruebas diferentes de que es quien dice ser (contraseña, huella dactilar, código SMS…), no instalar extensiones en el navegador que no conozcamos; evitar rellenar preguntas personales para recuperar accesos, no conectarse a redes Wifi abiertas que no conocemos y utilizar contraseñas largas y poco predictivas, aunque no imposibles de memorizar. «Una contraseña con números y símbolos es más difícil de recordar, pero también menos efectiva que una formada por seis palabras que no tengan relación», destaca Diego Miranda-Saavedra, profesor colaborador del máster de Inteligencia de Negocio y Big Data Anaylitics de los Estudios de Informática, Multimedia y Telecomunicación de la Universidad Oberta de Catalunya (UOC). Por ejemplo: Pizza-Casa-Viernes. Según HowSecureIsMyPassword, un ordenador tardaría en averiguar una contraseña de este tipo 39 billones de años.

Tampoco está de más revisar qué aplicaciones tienen acceso a nuestras cuentas. ¿Le suena el típico botón de 'Iniciar sesión con Facebook' que aparece en distintas webs? Es un acceso cómodo pero al pulsarlo nos exponemos a que las empresas a las que damos acceso a nuestras cuentan puedan ver, modificar o incluso eliminar cierta información personal (fotos, calendarios, contactos, contraseñas…). «Si lo que nos preocupa es olvidar las contraseñas lo mejor es utilizar un buen gestor, como Dashlane o 1Password», sugiere Serrano.

Empresas ciberseguras

Nieva también insta a tener cuidado con los ataques que tienen un gran componente de ingeniería social, es decir, aquellos que intentan engañar al usuario a través de estafas disfrazadas de concursos, premios u otras prácticas. «Los usuarios con una cultura digital baja son más susceptibles de ser engañados y desvelar datos sensibles, como cuentas bancarias o contraseñas», señala.

La ingeniería social también constituye la fase inicial de la ofensiva en la mayoría de los ataques recibidos por parte de empresas e instituciones, por eso es esencial que se protejan a diferentes niveles. Deepak Daswani, embajador jefe de seguridad de ElevenPaths, la compañía de ciberseguridad que forma parte de Telefónica Tech, sugiere: realizar auditorías de seguridad periódicas para identificar y mitigar vulnerabilidades en sus activos tecnológicos; concienciar a los empleados sobre las amenazas a las que se exponen al utilizar la tecnología y formarles en buenas prácticas online; contar con un plan de respuesta a incidentes adaptado a su dimensión y una hoja de ruta sobre cómo proceder ante un ataque para minimizar el impacto y, sobre todo, aplicar estas medidas a todos los niveles de su organigrama y de forma continua.

En los últimos años, además, se ha producido un cambio de paradigma a tener en cuenta. «Antes se intentaban evitar a toda costa los ataques, pero a día de hoy se asume que son inevitables y cada vez se trabaja más en reaccionar rápido ante ellos para que no fructifiquen».

Este es uno de los retos del sector, al que se suman otros como la progresiva digitalización. «La pandemia del coronavirus ha hecho que este aspecto sea aún más evidente. Ha sido la tecnología la que nos ha permitido mantenernos conectados para poder trabajar, acceder a servicios esenciales —a través de la nube, por ejemplo— o mantener el contacto con nuestros seres queridos en la distancia durante el confinamiento», dice Daswani. Al mismo tiempo, el Internet de las Cosas (IoT) no deja de avanzar. Nuestros entornos domésticos y corporativos son cada vez más 'inteligentes', pero todos estos sistemas que nos permiten crear un mundo hiperconectado son susceptibles de tener vulnerabilidades y suponer un riesgo para la seguridad y privacidad de usuarios y organizaciones», agrega. «Ahora hay que proteger cosas que antes ni nos imaginábamos, desde coches a centrales nucleares o marcapasos», añade Serrano. Por lo tanto, secunda Nieva, «la ciberseguridad se tendrá que seguir adaptando a los cambios que imponga el mercado, como ha hecho desde que surgió».

7 consejos para protegerse en la red

  • Contraseñas Que sean largas pero fáciles de recordar. Utilice una diferente por cada cuenta. Si tiene problemas para recordarlas todas, use un gestor como Dashlane o 1 Password.

  • Datos sensibles Evite rellenar preguntas personales para recuperar accesos y tenga cuidado con la igneniería social. Si no ha participado en un concurso es raro que le toque.

  • Autenticación Utilícela siempre que sea posible. Hasta Whatsapp dispone de esta función.

  • Geolocalización Desbloquee el bluetooh y la localización en tus dispositivos para que no le rastreen.

  • Wifi No utilices redes Wifi abiertas ni desconocidas.

  • Actualizaciones Mantenga todos sus dispositivos actualizados.

  • Número de teléfono Si necesita dar su número de teléfono, genere uno aleatorio con apps como Hushed que le redirija las llamadas y no revele el suyo.