Pie de foto: El experto en ciberseguridad Avi Biran trabajó durante 25 años para el Cuerpo Especial de Inteligencia de Israel. Crédito: David Vega.
Aunque había varias redes wifi gratuitas a disposición de los asistentes en el último encuentro IE Alumni Fórum, uno de ellos prefirió pagar un servicio de roaming para no tener que usarlas. El experto en ciberseguridad Avi Biran, que durante 25 años trabajó para el Cuerpo Especial de Inteligencia de Israel, lo tiene claro: por muy seguras que sean las redes, siempre habrá hackers que puedan con ellas.
Para Biran, la batalla informática que se está librando en el mundo es "mucho peor que la Guerra Fría". Durante su ponencia en este evento del Instituto de Empresa, celebrado en Madrid (España), no sólo advirtió al público sobre su riesgo de ser hackeado, también destacó el grave problema que España tiene en materia de ciberseguridad. El experto, que actualmente dirige su empresa Cyber Odisseys, habló de todas estas cuestiones con MIT Technology Review en español.
¿Cómo puede un usuario medio proteger sus datos?
Lo más importante es que sea consciente de lo que hace, a qué tipo de redes se conecta y cómo gestiona sus datos.
Pero ser consciente no protege de un ataque.
No. Hay gente que me dice: "Sé que me pueden hackear pero me da igual. Todo el mundo puede ver mis fotos, no pasa nada". Pero si tienes algo importante en tu móvil hay ciertas cosas que no debes hacer. Yo jamás me conectaría a la red wifi de Starbucks.
¿Ni a ninguna red pública?
No. Ahora mismo estoy pagando mucho dinero para tener 3G España –Biran vive en Israel-. Ni siquiera me conecto a la red del congreso. Este tipo de conexiones son las peores porque están en el punto de mira de los hackers. Sitios en los que hay mucha gente conectada que confía en el sistema. Si tienes que conectarte, no lo hagas para acceder a sitios muy sensibles como el banco. Esto es lo primero.
Por otro lado, si decides hacer fotos muy privadas, recuerda que no se almacenan sólo en el móvil porque probablemente tengas una copia de seguridad online. Esto es lo que le pasó a Jennifer Lawrence –en referencia al caso CelebGate-. Todo el mundo dijo que la nube no es segura. Sí lo es, lo que pasó fue que ella se olvidó de que tenía una copia de seguridad en la nube. Borró las fotos de su móvil, pero cuando lo sincronizó las fotos volvieron. Fue su móvil lo que fue hackeado, no la nube.
¿Entonces la nube es más segura que el propio teléfono?
No, lo que digo es que la nube es suficientemente segura como para usarla. El problema que tenemos es cómo usamos nuestro móvil. ¿Descargamos software cuyo origen no conocemos? Muchas apps tienen malware. ¿Damos nuestro e-mail a desconocidos? Eso se puede usar para comprometer el móvil. Si un atacante te envía algo y haces doble clic, puede oír tus conversaciones, leer tu WhatsApp y tus e-mails.
Soy un paranoico porque trabajé 25 años en inteligencia. Y esto no garantiza que no vayan a cazarme. Ten presente que siempre hay gente que quiere tus datos.
¿Hasta qué punto puede llegar un hacker? Algunas películas cuentan que son capaces de hacer explotar una central nuclear. ¿Esto es realmente posible?
Sí, pasó hace un mes. Un grupo de hackers de Corea del Norte atacó una planta nuclear de Corea del Sur y la apagaron. No es tan descabellado.
¿Hay algo que suponga un riesgo directo en la vida de la gente?
Es posible hackear el sistema de computación de un coche y pisar el freno en un tramo de alta velocidad. El conductor perderá el control y morirá.
Sin embargo, cuando preguntamos a las compañías de vehículos si sus sistemas son seguros todas dicen que sí.
Son más seguros que un ordenador normal pero no lo suficiente. Hoy en día cada coche tiene entre siete y diez ordenadores diferentes. Y cuando tienes un ordenador y una conexión, alguien te va a hackear.
¿Siempre?
Sí.
¿Se producirían menos ataques si las compañías los hicieran públicos?
No. Los hackers van a seguir buscando datos porque representan dinero. Y mientras haya dinero implicado, lo seguirán haciendo. Por otro lado, la ciberseguridad se ha convertido en el nuevo campo de batalla entre naciones. La Guerra Fría ha vuelto entre EEUU y Rusia, y EEUU y China. Todos usan estas herramientas para luchar entre ellos. Es una guerra.
¿Esta guerra es peor que la original Guerra Fría?
Mucho más. En la década de 1960 robaban información y mataban a la gente. Ahora, pueden apagar las plantas de energía de todo un país. En 2006, Rusia, o al menos eso se dijo, bloqueó las oficinas del Gobie o de Georgia durante tres semanas.
¡Tres semanas!
Sí, nada funcionaba. Rompieron el sistema. Imagínate a un país sin ningún servicio del gobie o durante tres semanas. Esto es crucial, porque la gente puede morir en los hospitales. El atacante puede penetrar en el sistema informático de un hospital y alterar los suministros médicos para que la gente muera. Por eso ahora mismo trabajamos con muchas compañías farmacéuticas de EEUU porque se consideran críticas. Si alguien quiere dañar el país atacará justo eso.
¿Cuál es el país más vulnerable y cuál el más poderoso para dañar a los demás?
Los más poderosos, según lo que dicen los medios, son EEUU y Reino Unido. Entre los más vulnerables hay muchos, y uno de ellos es España.
¿Por qué?
Porque España ha obviado la ciberseguridad durante años y no ha invertido casi nada. Las empresas no tienen suficiente conciencia sobre este asunto y son más reacias a hablar de ello porque todavía sienten vergüenza. Muchas compañías españolas han sido atacadas pero no lo dicen. Prefieren mantenerlo en secreto y no hacer nada al respecto para no dañar la reputación de la compañía.
¿Cuáles son las más vulnerables a los ciberataques? ¿Las grandes o las pequeñas?
Yo creo que cuanto más grande eres más peligro tienes. El control en una pequeña empresa es más fácil. Puedes reunir a todos y formarles para que no conecten su móvil a ningún ordenador ni pongan contraseñas como 1234.
Por el contrario, un ejemplo de compañía grande podría ser el de Target en EEUU. Unos 40 millones de tarjetas fueron hackeadas, lo que afectó a un tercio de los clientes del país. El problema de esta empresa es que tiene demasiados sistemas tecnológicos que no siguen una estrategia integral. Su sistema de alarma les avisó dos veces y aun así lo ignoraron hasta que fueron hackeados. En 2014 el CEO fue despedido y durante el primer cuatrimestre la compañía perdió 14.000 millones de dólares –unos 12.400 millones de euros-. La gente dejó de usar sus tarjetas de crédito porque pensaban que no eran seguras.
Entonces, ¿es mejor que las compañías informen de que han sido hackeadas o no?
Es mejor que lo digan. Sobre todo las públicas. Deberían estar obligadas a hacerlo porque nosotros somos sus dueños. Cuanto más lo comuniquen mayor será la conciencia sobre los peligros y entonces se tomarán mejores medidas para detenerlo.
¿El problema va a crecer con el tiempo?
Por supuesto. Nos estamos adentrando en el inte et de las cosas y en unos dos años nuestro ordenador se conectará no solo al móvil sino también al calentador de agua, al aire acondicionado, al frigorífico… ¡Todo estará conectado! Cuanta más tecnología tengamos mayor será el riesgo.
Por eso la principal necesidad es la de educar a todo el mundo. Igual que se enseña a los niños a no cruzar con el semáforo en rojo también tendremos que enseñarles ciberseguridad.
¿En el colegio?
Sí, por supuesto. En los últimos dos años, cuando construí el cibercomando para Israel también diseñé el programa de estudios en ciberseguridad para niños, que ya se aplica en unos 400 institutos del país y el Gobie o quiere que dupliquemos la cifra. Aunque no hay una gran inversión para ello, va a crecer cada vez más con el tiempo. Necesitamos que cada vez haya más especialistas porque el problema está creciendo y lo seguirá haciendo.
Durante su charla ha comentado al público que todos aquellos que creen que no han sido hackeados se equivocan. ¿Por qué?
Porque nuestros datos están dispersos por todas partes. Los tenemos en nuestros ordenadores, smartphones, en el ordenador de la empresa, etcétera. Y también hay datos nuestros en los almacenes gube amentales como los registros de salud y los datos bancarios. La mayor parte de estos sitios han sido hackeados en los últimos años.
Mi máxima es: o ya te han hackeado o lo van a hacer. Está en todas partes y no podemos detenerlo. Lo único que podemos hacer es prepara os.
Creo que voy a desconectarme ahora mismo de la red wifi.
Haces bien.