El factor humano se convierte en la gran brecha para la ciberseguridad
● Expertos reunidos por Grupo Joly y BBVA alertan de que los ciudadanos no están lo suficientemente concienciados ante la extensión creciente de la delincuencia digital
Alguien coloca un código QR en la mesa de un bar. Piensas que es el menú, pero no lo es. Es un enlace que abre la puerta de acceso a tu móvil. Buscas empleo. Ves que ofrecen trabajo en un muro de una red social. Te piden un selfi y el DNI. Y abren una cuenta corriente por ti en el banco y piden, con éxito, que te envían las claves de tu tarjeta bancaria. Recibes un mensaje relativo a un movimiento de dinero en Bizum. Pulsas sin querer y sin ser muy consciente estás enviando dinero a un número desconocido. Recibes un sms del banco. Parece de tu banco, porque continúa una cadena de mensajes ya recibidos. Le das al enlace y ya estás atrapado. Recibes un mensaje: te ha tocado un iPhone. Sabes, en tu interior, que es falso, pero piensas: ¿Y si me ha tocado? Le das al botón.
Son ejemplos, reales, de cómo la cuestión de la ciberseguridad no va solo de complicadísimos algoritmos ni de frikis con capuchas y comedores de doritos. Está en el día a día, los engaños pueden ser muy complejos, sí, pero también sencillísimos. En su éxito o fracaso el factor humano es fundamental.
“Los sistemas de protección pueden ser muy buenos, el problema es el factor humano. En determinadas circunstancias, pinchamos lo que sea, por prisa, necesidad o urgencia, o por satisfacer determinados deseos y no quedar descolgados”, afirma Gabriel González, fiscal delegado de Criminalidad Informática y fiscal adjunto en la Comunidad Autónoma de Andalucía del delegado de Protección de Datos de la Fiscalía General del Estado.
González fue uno de los participantes en la mesa de debate Ciberseguridad: reto presente y futuro para todos, organizada ayer por Grupo Joly y BBVA. Relató, por ejemplo, cómo estas brechas abiertas por los propios usuarios afectan también a las empresas. En un ejercicio meramente académico su departamento logró entrar en una ocasión en una central térmica de Tailandia y acceder a su panel de control y su sistema de ventilación simplemente consiguiendo la contraseña de un trabajador, que era tan simple como usuarioadmin.
Sergio de lo Santos, Head of Innovación y Laboratorio en Telefónica Cibersecurity & Cloud Tech, asegura que la “protección (frente a los ataques) debería ser más automática, pero no lo conseguimos, estamos lejos de ello”. Y eso convierte a los ciudadanos en vulnerables, y especialmente a los jóvenes. “Al ser nativos digitales, no tienen que haberse peleado con la tecnología; no entienden nada de lo que hay debajo, no distinguen el concepto de sms, de remitente, de dominio, de un certificado. Y además lo quieren todo rápido y ya. Se creen más invulnerables”. “Los jóvenes no tienen el atractivo económico de otros perfiles –añade Raúl Jiménez, directorgerente de la Agencia Digital de Andalucía– pero pueden alojar ransomware (programa de secuestro de datos) en el móvil hasta que lo tengas; este colectivo es el que más amenazas recibe”.
La forma de actuar de los ciberdelincuentes tiene más que ver con la ingeniería social que con la habilidad técnica. Juegan con la psicología de los usuarios. “Es fundamental la concienciación –afirma Alejandro Javier Figueroa, responsable de Seguridad Corporativa y Ciberseguridad en BBVA España–; los bancos, al menos nosotros, no enviamos mensajes con enlaces; cuando haya sentido de urgencia en esos mensajes, hay que desconfiar de ellos, no hay que entregar jamás credenciales ni contraseñas a alguien cuya identidad no está verificada y hay que tener un buen antivirus y un software actualizado”.
El responsable de seguridad de BBVA asegura que en la entidad chequea permanentemente la seguridad y si aparece una vulnerabilidad “se corrige rápidamente”. Además, monitoriza todo lo que ocurre con los clientes, “con el objetivo de identificar patrones que se salgan de lo normal”. “Vemos cómo se comporta, y así tenemos todos los elementos para saber si estamos ante el cliente verdadero o alguien que lo está intentando suplantar”, asegura.
Las empresas están invirtiendo pero cuando sufren ataques prefieren pagar a denunciar