Eduardo Sánchez Toril, experto en ciberseguridad: «Hoy los atracos ya se hacen a punta de ratón»

Y necesitaremos a expertos que nos ayuden a protegernos de las amenazas que se ciernen sobre nosotros. Eduardo Sánchez Toril es uno de ellos. Ingeniero informático, profesor del IES Fidiana y asesor de los Cuerpos de Seguridad del Estado, es hoy día uno de los más reputados especialistas en la materia.

-Es usted un 'hacker' bueno.

-La palabra 'hacker' está mal usada por los medios. Un 'hacker' es una persona que usa la tecnología. Y es una palabra relacionada con el bien. Son personas que auditan los sistemas para identificar los errores. Un 'hacker' no es un pirata informático. La palabra correcta es un cibercriminal.

-¿Hoy el peligro está en la red?

-Pues sí. Con el Covid se ha multiplicado de forma exponencial el uso de internet. Cualquier persona puede ser objetivo de una operación para suplantar su identidad. Un menor de edad, por ejemplo, para captar a otros menores para pornografía infantil. O empresas que son estafadas con facturas falsas. Podemos tener un problema si no protegemos nuestra identidad digital.

-¿En internet reina la ley de la selva?

-Internet es muy grande. Aparentemente gobierna la ley de la selva, pero no. Tenemos muchos centros de seguridad. En España, hay un Centro de Respuesta de Incidentes para monitorizar lo que pasa en la red. Yo puedo crear un dominio para hacer 'phishing', capturar datos bancarios o suplantar la identidad y estos centros lo vigilan.

-En 2020 se produjeron 287.900 delitos digitales. Casi 800 al día. ¿Volvemos al mundo analógico?

-No. Tenemos que tirar para adelante. El uso de internet ha acelerado los temas burocráticos, la declaración de la renta, la posibilidad de darnos de alta, pagar multas o matricularnos. Son trámites que aceleran nuestra vida y nos proporcionan ventajas. Lo que tenemos que aprender bien es el uso de las redes para que no tengamos un incidente de seguridad.

-¿Mañana todos los atracos serán a punta de ratón?

-Ya son a punta de ratón. El cibercrimen mueve mucho dinero. Después de Bin Laden, la persona más buscada fue el creador de CriptoLocker, el famoso «malware» que cifró la información de Telefónica. Eso supone muchas extorsiones y mucho dinero. Ya no hace falta tener una pistola sino un ordenador delante y una conexión de internet.

-¿Comprar por internet es una práctica de riesgo?

-Siempre que busquemos chollos y dejemos el sentido común de lado. Si vamos buscando unas gafas de marca y vemos que cuestan 10 euros, evidentemente el sentido común nos diría que no son buenas. Nos ponen un escaparate muy bonito y caemos en meter nuestra tarjeta de crédito en páginas web que no son seguras. Hay sistemas seguros para la compra por internet.

-¿Cómo nos protegemos de una ciberestafa?

-Lo primero es denunciarlo a Policía y Guardia Civil. Hay mecanismos para guardar la información de forma segura. Debemos de certificar las pruebas y buscar una empresa especializada. A partir de la denuncia y mediante un mandamiento judicial se puede ver quién está detrás de un número de cuenta o de una dirección IP.

-¿La Policía está preparada para la ciberdelincuencia?

-Tanto en la Policía Nacional como en la Guardia Civil hay grupos muy preparados. El único problema es el volumen que tienen de delitos de estafas en la red. Faltan agentes para ayudar a resolverlos todos.

-¿Cuál es el último grito de la ciberdelincuencia?

-Lo que está dejando mucho dinero ahora es entrar en las empresas a visualizar el correo electrónico y, en el momento en que tratas de hacer una transacción con un cliente, suplantar la identidad con un correo electrónico similar. Modifican la propia factura y el número de cuenta en 24 horas. Llevamos estafas desde 600.000 euros por criptomonedas.

-¿Y qué nos dice de las extorsiones sexuales?

-Hace años trabajé con una empresa en Barcelona y tuvimos gran cantidad de 'sextorsiones' con 'celebrities'. El hombre es el objetivo más fácil. Alto cargo directivo de empresa, le contacta una chica atractiva y, en el momento de una videollamada, te hacen un montaje. Aparece una persona masturbándose, cambian la cara y el cuerpo y lo suben a Youtube de forma oculta. Te pasan el enlace y te piden dinero.

-¿Qué hacemos ante una operación de 'ransomware'?

-Lo más importante cuando nos cifran la información y nos piden dinero es haber tenido copia de seguridad que esté fuera del sistema. Volcamos la copia y se acabó. Si no la tenemos, hay que denunciar, contratar una empresa especializada y ejecutar varias técnicas de recuperación. Yo recomiendo siempre apagar el equipo, dar un tirón del cable y contactar con una empresa especializada lo antes posible para que el 'malware' no siga cifrando información.

-¿Los delincuentes de mañana serán ingenieros informáticos?

-No tiene por qué. Yo estoy a favor de los estudios reglados, pero la realidad es que hay muchos y buenos 'hacker' que no tienen formación ninguna y están en grandes empresas. Envidentemente una carrera o cursos de ciberseguridad te ponen las cosas en su sitio. Hoy para el cibercrimen con poca formación es sencillo dar de alta una web o una cuenta con un DNI falso.

-¿Los datos en la nube están seguros?

-Seguridad 100% no existe. Usar la nube es un añadido más de usabilidad, pero siempre hay que buscar el equilibrio entre usabilidad y seguridad.

-En la era digital, ¿la privacidad es un concepto del pasado?

-La privacidad es un concepto que no se valora. Las redes te ofrecen contenido gratuito y cuando algo es gratis es que el producto eres tú. A ellos les conviene que compartas contenido y eso, al final, rompe nuestra privacidad. Hay que tener círculos lo más cerrados posible, si voy a subir fotos en la piscina con un menor, por ejemplo.

-¿Somos dueños de lo que hemos colgado en la red?

-Deberíamos leer la política de privacidad de las redes. No las leemos. Y cuando subimos contenido a una red estamos cediendo todos los derechos para que hagan lo que quieran. Estamos permitiendo que el contenido que subimos a internet pueda ser utilizado de forma incorrecta.

-¿Pegasus es la amenaza del futuro?

-Es un 'malware' más, que se llama Troyano. Ahora ha salido a los medios porque los gobiernos lo están utilizando. Herramientas como Pegasus hay miles. Lo difícil es instalar Pegasus en un dispositivo y para ello hace falta encontrar un fallo de seguridad.

-¿La tercera guerra mundial se librará en internet?

-Ya se está librando día a día. Cada veinte minutos sufre un móvil un ataque de internet. Los rusos llevan atacando desde el principio de los tiempos. Todos los servicios de inteligencia lo hacen. Un ejemplo fue el hackeo que sufrió el SEPE. Hay dos tipos de empresas: las que han sido hackeadas y las que lo van a ser.

-¿Tenemos derecho a la cancelación digital?

-El derecho al olvido existe. Tenemos que tener en cuenta dos cosas. Nosotros podemos decir a Google que se elimine de las búsquedas, pero eso no implica que se elimine de las webs donde están subidas. No solo tenemos que ejercer el derecho al olvido sino que tenemos que contactar con esa web o red social y pedir que se elimine la información si no está autorizada.

-¿El demandante tiene derecho a que se ejecute la cancelación?

-Siempre y cuando no haya autorizado la cesión de datos.

-¿No es abusivo?

-En este caso, estamos firmando el consentimiento.

-También firmamos el consentimiento de las cláusulas suelo bancarias y la justicia dictó que eran abusivas.

-A nivel de redes sociales tendríamos que ir a la normativa legal del país concreto. Por ejemplo, EE.UU. Y tendríamos que pelear con sus tribunales.

-Mejor nos quedamos quietecitos.

-Al final es un camino sin salida.

-¿Qué revolución nos espera?

-Se habla mucho del metaverso. Y creo que se está generando mucho humo. También se está moviendo mucho el tema de criptomonedas. Si fuéramos capaces de generar tecnología para tema de votaciones, historial médico y otras cosas ganaríamos mucha seguridad en internet. Espero que ese sea el futuro en la parte positiva. En la parte negativa, ya estamos viendo la gran cantidad de estafas.