«Google sabe más de ti que tú mismo»
«Las puertas traseras son vulnerables, por eso deben sellarse». El hacker leonés JorgeSoydelBierzo alerta de las grietas que tanto la seguridad nacional como los ciudadanos dejan abiertas a los delincuentes..
cristina fanjul | león
«Aún no hemos perdido la guerra contra el cibercrimen, pero llevamos mal camino. Hay esfuerzos, pero todo se parece demasiado a un reino de taifas. Interior, vicepresidencia, las comunidades autónomas… cada uno tiene su servicio: CNI, CNPIC, CCN-Cert, policía y Guardia Civil… Lo que me cuentan los que están en estas entidades es que las reuniones entre todos ellos suelen ser tensas»... Jorge SoydelBierzo, uno de los analistas de ciberseguridad más activos del país, asegura que uno de los problemas más importantes a los que se enfrenta España es que las competencias en algunos casos están duplicadas y a veces, triplicadas. «Además, no somos conscientes del peligro que asumimos al no conocer nuestras vulnerabilidades», sostiene. Para explicar los riegos pone como ejemplo la desprotección de que adolecen las wifis de algunos hospitales de España. «Con un simple móvil ligeramente modificado puedes romper el cifrado y acceder a toda la información que puedas imaginar», explica el ingeniero.
Si bien deja claro que no hay que echarse a temblar, alerta de que no se están poniendo las bases para protegerse. «El Gobierno está creando las bases para poner en marcha una ciberreserva formada por analistas a los que poder convocar en el caso de un ataque a la seguridad nacional», explica. Jorge precisa que este organismo estará bajo mando militar y todos los que formen parte de él estarán obligados a acudir en cuanto sea necesario. Sin embargo, denuncia que es como proteger la casa de paja de los tres cerditos del ataque de los lobos. «Si quieren tener una protección real, deben poner dinero sobre la mesa y no gastarlo en portaaviones», porque España no es Estados Unidos», avisa el hacker.
Además, explica que las puertas traseras en el cifrado con las que las grandes agencias de seguridad nacionales tratan de protegernos no son más que otra vulnerabilidad. «También las pueden usar los ciberterroristas. Sólo hay que preguntarse cuánto tardarán en hacerse con las llaves maestras. Siempre vamos por detrás».
Jorge SoydelBierzo hace hincapié en la herida descubierta en Lexnet, el sistema telemático de comunicación entre abogados, policía y juzgados y subraya que es el ejemplo más nítido de la falta de formación en ciberseguridad : «El Estado contrata a una consultora que a su vez contrata a una empresa para que ésta pague un sueldo de miseria a una persona que hace todo el trabajo. Eso es, a grandes rasgos, lo que se infiere de lo que ha pasado con Lexnet y una de las razones de la indefensión en que se ha podido dejar a cientos de miles de personas». Se refiere también al fallo detectado en Minerva, el sistema del expediente digital de Galicia, que permitiría a cualquier funcionario público acceder a todos los procedimientos penales en fase de instrucción, incluidos datos de los testigos protegidos.
Todos somos víctimas
El analista añade que todos podemos ser víctimas de la ciberdelincuencia. Explica que en la actualidad hay un grupo ruso, APT28, que ataca las redes wifi de hoteles de lujo para infectar los dispositivos de los clientes y hacerse con los datos que lleven. Añade que el problema al que nos enfrentamos no se limita a que puedan robarnos los datos sino a que pasemos a formar parte, sin saberlo, de su ‘infantería’ de guerra. «Pueden infectar tu dispositivo con un malware y convertirlo en parte de su red de ordenadores zombis a la espera de recibir instrucciones desde un servidor de Control. De esta manera, tu ordenador comenzará a formar parte de una trama de cibercrimen sin que tú seas siquiera consciente de lo que está pasando», advierte.
En cuanto a la posibilidad de que te roben tus datos, Jorge SoydelBierzo alerta de que en el 82% de los casos de ransomware, no se devuelven tras cobrar el rescate, por lo que recomienda hacer backups de la información. «El problema son los ataques que no ves. Las pymes, por ejemplo, no están preparadas para proteger los datos de sus clientes y eso es un problema del que pocos son conscientes», alerta. De la misma manera se refiere a la vulnerabilidad de los teléfonos móviles. Destaca que hay un vector de ataque que es capaz de atacar las redes de móviles a través de la vulnerabilidad del protocolo SS7. «Un ataque así lleva un trabajo previo. Si su banco le manda un código de confirmación de transacción por SMS, un atacante desde, por ejemplo, Rusia, puede interceptarlo sin que el usuario se entere. Se han vaciado muchas cuentas de esta manera a principios de 2017 en varios países europeos», revela.
Google e intimidad
Jorge SoydelBierzo subraya que la distopía orwelliana de 1984 ya está aquí. «Hemos dejado que nos arrebaten nuestra intimidad en aras de la gratuidad. Yo prefiero pagar, desde luego», asegura. «No somos conscientes de que las grandes empresas tienen y manejan todos nuestros datos», denuncia. Así, explica cada vez que usas Google o Facebook, éste guarda tu perfil. «Las cookies son un pedazo de código que almacena tu navegador web. Cada vez que entras en casi cualquier web, estás introduciendo un caballo de troya y cuando tu navegador carga la página, el dominio de Google es capaz de leer la cookie. Es entonces, cuando ve qué usuario eres, cuando comienza a recopilar información con la que va creando perfiles», manifiesta. Jorge SoydelBierzo no se fía de las promesas de estas empresas. «Google asegura que no lee tu correo, pero no dice nada de los metadatos. Google sabe más de ti que tú mismo», avisa, y añade que la batalla de la privacidad se ha perdido ya.