Ciberseguridad y las personas

Durante los últimos años, los medios de comunicación, técnicos o no, han derrochado tinta, papel, bytes y horas de streaming tratando de ciberseguridad, ese asunto que nos produce más fascinación que miedo y que nos lleva a admirar de manera morbosa a esos “chicos malos” que saben tanto.

Sin embargo, casi toda la literatura, así como las inversiones sobre en esta área, están dedicadas a las empresas y sus activos tecnológicos. La preocupación se ha dirigido a proteger los datos y los sistemas corporativos, si bien últimamente hay también una cierta atención al daño que pueden hacer los “trolls” a la reputación empresarial.

¿Pero qué ocurre con las personas? Más allá del antivirus en nuestros dispositivos y el firewall básico que nos proporciona el fabricante del sistema operativo, muy poca gente se preocupa por la protección de sus datos y de su seguridad personal, que puede ser vulnerada utilizando medios tecnológicos.

Es verdad que una gran mayoría de la población es poco interesante para los “hackers”, más allá de para querer  robarte unos euros de tu cuenta corriente, usar tu PC en una red de “bots” o suplantar tu identidad con fines diversos, pero hay personas que deberían prestar una atención mucho mayor  como son los famosos, VIPS, políticos y altos ejecutivos de las empresas, pues  están expuestos más que cualquier otro, al robo de información confidencial y son objetivo especial para la  interceptación de las comunicaciones o la localización física utilizando técnicas electrónicas.

Uno de los “chicos malos” a los que antes mencionaba me dijo: “si lo sabe Google, ¿Por qué no puedo saberlo yo?” y ese comentario me dejó pensativo. Es cierto que Google y los demás nos invitan a aceptar sus políticas de uso de datos y los hackers no lo hacen, pero nuestra información está ahí, disponible para ellos.

Sin embargo, que conozcan tu “vida digital” puede ser una de las preocupaciones menores para estas personas objetivo, siendo mucho más preocupante que lean nuestros contenidos de los diferentes sistemas de mensajería o que nos puedan encontrar físicamente, con fines tan inocentes como que un paparazzi nos haga fotos o tan peligrosos como el secuestro o asesinato.  Además los altos ejecutivos están permanentemente espiados por su competencia y algunos gobiernos, muy interesados en las grandes negociaciones, fusiones y adquisiciones que puedan estar gestionando, y es que al igual que en 2.016 los soldados ucranianos fueron localizados por medios informáticos y posteriormente atacados por el enemigo, las personas que manejan información sensible, dinero o poder, están siendo víctimas de seguimientos similares, pues esos conocimientos y medios están al alcance de más individuos de los que creemos.

Ante todas estas amenazas, se impone la necesidad de contar con sistemas de protección, defensa y contrainteligencia en ese nuevo escenario de guerra que supone el ciberespacio, y es necesario establecer esos sistemas a niveles personales, además de los estatales y empresariales.  Hay que desarrollar un sentimiento de “paranoia saludable” especialmente en los altos niveles directivos o políticos.

La primera medida a tomar es el análisis de las vulnerabilidades de la persona y su entorno cercano, pues las grandes empresas ya están tomando medidas para proteger al VIP en su puesto de trabajo y algunas en su domicilio, pero esto también lo conocen los atacantes, que esperan a que, en los desplazamientos, visitas a familiares o amigos y conexiones en entornos públicos, se produzcan comportamientos vulnerables para el robo de datos. Por lo tanto, un buen examen forense de los dispositivos y un conocimiento del entorno de confianza, nos permitirán posteriormente implantar las herramientas e impartir la formación para robustecer la seguridad.

En segundo lugar, como mencionábamos antes, se hace imprescindible evitar la interceptación de las comunicaciones y la localización de la persona para lo que se debe imponer el uso de comunicaciones cifradas y “recifradas”, así como la utilización de redes de saltos que deriven al posible atacante a una localización falsa. Existen servicios de este tipo que, en una red privada de servidores localizados en diferentes países, simulan la ubicación de un terminal en una posición falsa, evitando así que se nos pueda encontrar por medios electrónicos. En cada uno de los saltos, además, se vuelve a cifrar la información, de manera que se hace imposible explotar la debilidad que pueda tener un solo algoritmo criptográfico.

En un nivel superior, se pueden utilizar terminales manipulados para que ni siquiera los fabricantes de éstos, de sus sistemas operativos o de las aplicaciones, tengan visibilidad sobre los mismos. El usuario no podrá descargar aplicaciones ni actualizar su software, pero su seguridad se incrementa enormemente. Estos terminales normalmente se utilizan en las misiones críticas de determinadas personas.

Otras tecnologías que estamos implantando últimamente, tienen que ver con la defensa mediante sistemas de inteligencia basados en el análisis del entorno de redes inalámbricas. Se instalan mallas de sondas que exploran el espectro radioeléctrico y leen los identificadores de terminales, detectan puntos de acceso wifi falsos, alertan ante ataques de desauntenticación y previenen cuando se produce un cambio crítico en la configuración del router.  De esa manera podemos saber si cerca de nuestra casa hay una red wifi con el mismo nombre que la del restaurante que frecuentamos (técnica conocida para capturar nuestra conexión), si un terminal ha pasado por nuestro puesto de trabajo y a las pocas horas está cercano a nuestro coche o si alguien ha modificado la configuración de nuestro router sin nuestro permiso, facilitando la operación de los servicios de seguridad con antelación a las posibles agresiones.

La mayoría de los usuarios estamos menos expuestos a este tipo de ataques, pero tal vez deberíamos preocuparnos por usar sistemas de mensajería que además de cifrar los mensajes, hagan que éstos desaparezcan una vez leídos y no permanezcan en ningún servidor. Ya existen en las tiendas habituales de aplicaciones, pero no se llaman Whatsapp ni Telegram.

Félix Benavides

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *