Eduardo Sánchez descubrió los entresijos de la seguridad informática por interés personal. Ingeniero informático de formación, comenzó leyendo artículos sobre el tema y ha terminado impulsando, junto a otros compañeros, importantes citas relacionadas con este ámbito, que empiezan a abrirse hueco en el panorama nacional. Una de las más inmediatas será en septiembre, en Córdoba, el Qurtuba Security Congress que reunió el pasado año a 400 profesionales y que en 2016 cumple su segunda edición. Máster en Seguridad TIC, profesor de FP y hacker ético, Sánchez está convencido de que la privacidad tiene un precio que pagamos cada día al conectarnos a Internet desde el móvil o el ordenador. Para intentar reducir al máximo estos peligros creó hace cuatro años, junto a Miguel Ángel Arroyo, Hack and Beers, encuentros en los que se habla de seguridad informática con una cerveza marca de la casa en la mano. Porque a pesar de toda la tecnología que nos rodea, el cara a cara todavía cuenta.
Choca escuchar la palabra hacker y ético unidas
(Risas) La palabra hacker se suele utilizar de manera inadecuada. La RAE la define como un pirata informático, cuando eso precisamente no es, eso sería un cibercriminal. Un hacker es una persona que tiene un pensamiento lateral, a la que le gusta conocer el amplio funcionamiento de las cosas, no solo ya en el mundo de la informática, sino en el de la electrónica, la mecánica…Por ejemplo, una persona que te tunea los coches para sacarle el máximo rendimiento puede ser un hacker de coches. Se utiliza mucho el calificativo ético no porque sea necesario, sino porque las personas que se dedican al tema de la seguridad informática lo usan para dejar claras sus intenciones, pero realmente el acto del hacking es mejorar el funcionamiento de las cosas para sacarles el máximo rendimiento posible, no tiene ningún pensamiento más inadecuado, ni malo.
Realmente el acto de hacking es mejorar el funcionamiento de las cosas para sacarles el máximo rendimiento posible
¿Somos conscientes de los peligros que encierra Internet?
Ahora mismo no. Por una parte, la tecnología avanza muy rápido y en el mundo en el que nos movemos los adolescentes y los más pequeños están acostumbrados a manejar esa tecnología, pero no conocen los peligros que encierra. Los padres, que deberían de guiarlos, al igual que los enseñan en otros aspectos de la vida, pues resulta que tampoco tienen los conocimientos para hacerlo. A día de hoy estamos muy expuestos y cada vez la privacidad se está perdiendo más por el tema de las redes sociales, los selfies…Constantemente estamos tuiteando, poniendo en Facebook donde estamos y donde no, y la gente que vive de esto, porque realmente hay mucho negocio en Internet a costa de esto, se está lucrando a base de la privacidad del resto.
A finales del año pasado, se publicaron unos datos del Instituto Nacional de Ciberseguridad que mostraban que en Córdoba había una media de 500 ciberataques al día…
Sí, es que no somos conscientes de la cantidad de ataques que hay. De todos modos, ten en cuenta que, por ejemplo, una empresa que ha sufrido un ataque no lo va a decir. Porque, en definitiva, si ha tenido un problema con algún tipo de cryptolocker, que es lo que más se suele dar últimamente, te cifran la información de la empresa y te piden un rescate a cambio de dinero para recuperar los datos, ¿qué empresa va a salir diciendo oye que hemos sufrido un ataque, cuándo han podido estar expuestos los datos de las personas?
¿Cuál cree que es el principal peligro de Internet ahora mismo?
Ahora mismo se habla mucho del Internet of things, (Internet de las cosas), que se refiere a que todo está conectado a la Red. Esto lo que va a provocar es que cada vez tengan más información nuestra y estemos más expuestos. Pero además debemos prestar atención a la formación de los más pequeños, porque realmente serán ellos quienes van a llegar a manejar esa tecnología plenamente y todavía hay muchos fallos de seguridad. Hace poco más de un año salieron los primeros coches con Internet y una marca muy conocida Chrysler fue hackeada precisamente por dos ingenieros de seguridad: podían abrir las puertas del coche, hacer sonar el claxon, parad el coche, mover el volante… con el peligro que eso conlleva, y no somos conscientes. Ahora los bancos comienzan a promover las tarjetas con conexión nfc inhalámbrica, que con un dispositivo móvil o con un pequeño dispositivo se leer la información de esa tarjeta, simplemente tienes que acercarte a la distancia adecuada, algo que puede ocurrir, en un bar por ejemplo.E mpresas de seguridad ya están empezando a regalar tarjeteros que son jaulas de faraday, que lo que hacen es inhibir esa tarjeta, de manera que no emita la información.
Cómo docente, ¿considera que con el tiempo la seguridad informática puede llegar a las aulas de los colegios?
A día de hoy, en algunos módulos de Formación Profesional, ya hay una asignatura de seguridad informática, y en la asignatura de Tecnología de la Información y la Comunicación, de Bachillerato, también se trata en uno de los trimestres el tema de la seguridad. Ahora mismo se está metiendo, pero como un apunte más, aunque creo que no se le da la importancia que debería. Si nos vamos a la universidad, tanto los másteres como las licenciaturas o las diplomaturas tienen pinceladas de seguridad informática, me refiero a carreras de Informática y Telecomunicaciones, cuando debería ser una cosas muchísimo más importante. Cuando te enseñan en la universidad a hacer un programa, no te enseñan a hacer un programa seguro, simplemente te enseñan a hacer un programa.
Hack and Beers es conocimiento libre, charlas distintas, una reunión de amigos en la que cada uno enseña lo que puede compartir
¿Cómo surge y qué es Hack and beers?
Miguel Ángel Arroyo empezó con la idea de las charlas, al principio hacíamos charlas de seguridad entre nosotros, se ponía una hucha, y se compraban cervezas para los asistentes, unas 20 personas. A medida que se incrementaron las charlas, empezaron a crecer, tanto que nos llamaron ingenieros de otros sitios, en este caso de Madrid, con Pablo González, y allí empezó la primera dinamización fuera de Córdoba. Después vinieron ciudades como Barcelona, Valencia, Jaén, Sevilla, Málaga, Murcia, San Sebastián, hasta llegar hasta una veintena de personas que hoy día son organizadoras en otros tantos lugares. Una vez que buscan un sitio, una cervecería o espacio de coworking, se dan las tres charlas y se les invita a una cerveza, nosotros le enviamos nuestra propia cerveza de manera gratuita gracias a los patrocinadores que tenemos. Es conocimiento libre, son charlas distendidas, una reunión de amigos, en la que cada uno enseña lo que puede compartir. Otra cosa muy importante que se da en estas reuniones es el tema del networking, una vez que terminan las charlas el poder contactar con profesionales de tu mismo ámbito es bastante interesante porque enriquece mucho. Comenzamos con reuniones de 20 personas y ahora podemos llegar hasta las 150.
Esto demuestra que el cara a cara sigue primando a pesar de las nuevas tecnologías…
Efectivamente, además, a raíz del Hack and beer, nos dimos cuenta de que cada vez venían perfiles diferentes a las charlas: policía especialista en delitos informáticos, abogados… Vimos que, de alguna manera , teníamos que unir esos tres ámbitos, esas tres familias y así nació la Asociación Nacional de Profesionales del Hacking Ético, ANPhacket.
¿Cúal es el objetivo de ANPhacket?
El objetivo es cooperar entre las tres vertientes (asesores de seguridad informática, cuerpos de seguridad, abogados), ahora mismo la actividad que es más sonada en este sentido es el congreso de seguridad de Córdoba, Qurtuba, que el año pasado tuvo una asistencia de 400 personas. Durante dos días profesionales de toda España, abogados, policía y todos los relacionadoS con delitos tecnológicos y telemáticos se dieron cita en la ciudad.
Tenemos más posibilidades en el teléfono móvil, pero también una mayor cantidad de peligros
¿Qué reglas de seguridad deberíamos tener en cuenta sí o sí?
Nosotros hablamos mucho de sentido común, pero es complicado. Es muy importante el tema de contraseñas, no se debe utilizar siempre la misma y, por supuesto, no utilizar el dni, ni los nombres y mirar aquello del candadito del https, para comprobar que es una página segura. A día de hoy, tenemos 24 horas al día un dispositivo encima donde llevamos fotografías, correo, datos, millones de cosas. Nos instalamos multitud de aplicaciones que nos ofrecen un servicio, aparentemente, a cambio de nada, pero los permisos que les damos se traducen en puedes leer mis mensajes, puedes acceder a mis contactos, a mi correo electrónico, a mis fotografías. Por eso debemos tener cuidado con las aplicaciones y con los sitios en los que nos metemos en Internet, sobre todo en el teléfono móvil; intentar separar el tema trabajo con el tema familia, porque si tenemos un fallo de seguridad y consiguen el correo de la empresa, al menos que no tengan también datos de mi vida personal. Lo que ocurre es que a las grandes redes sociales como Facebook, Twitter o Google, no podemos escapar, al final todos pasamos por el aro, instalamos las aplicaciones, porque es lo que hace todo el mundo y queremos estar ahí.
¿Qué hay más peligros en el ordenador o en el móvil?
Los perfiles varían, porque realmente el teléfono móvil tiene unos recursos que no tiene el ordenador. El Teléfono móvil tiene un sensor de gps, que me geolocaliza donde estoy constantemente, tiene también una cámara de fotos, esas fotos llevan incorporada metainformación sobre el día, la hora y la posición del gps donde se ha realizado la fotografía. Tenemos más posibilidades en el teléfono móvil, pero también una mayor cantidad de peligros. Lo llevamos 24 horas al día encima, si lo olvidamos, parece que nos falta algo, nos hemos creado esa necesidad.
Y por rangos de edad ¿cuál es el tramo en el que hay que tener más precauciones?
Dependiendo de donde quieran atacar o el perfil de personas que vayan buscando, desde los más pequeños, por el tema de la pornografía infantil, hasta los más grandes cuando van buscando empresas, grandes o pequeñas. Mucha gente dice, pero bueno, y ¿quién va a querer mis datos?, que me los roben. Tus datos los quieres tú, porque, ¿qué ocurre si tus datos te los cifran? Si eso ocurre vas a hacer lo que sea por recuperarla, por eso hay que tener mucho cuidado. Hay diferentes ataques, porque se pueden lucrar de muchísimas cosas: pornografía infantil, robo de información entre empresas, pedir un rescate de información de una pequeña empresa de barrio que necesita esos datos para presentar a final de año el recuento de sus cuentas…y todos son peligrosos.
