Diario Palentino.
Amador Aparicio de la Fuente tiene 35 años y desde hace 10 se dedica a la docencia en Formación Profesional. Actualmente, imparte clases en el Ciclo de Grado Superior de Administración de Sistemas Informáticos en Red y en el Ciclo de Grado Medio de Telecomunicaciones del Centro de Formación Profesional Don Bosco de Villamuriel de Cerrato.
Ingeniero superior en Informática por la Universidad de Valladolid y postgraduado en Seguridad de las Tecnologías de la Información y Comunicación por la Universidad Oberta de Cataluña y la Universidad Autónoma de Barcelona, también es mentor del programa de becas Talentum de Telefónica.
Él es también quien está detrás de las Jornadas de Seguridad de Villamuriel de Cerrato promovidas desde el Centro Don Bosco y que desde hace tres años reúnen a más de 300 personas interesadas por la seguridad informática con expertos de primer nivel de nuestro país.
Amador Aparicio de la Fuente tiene 35 años y desde hace 10 se dedica a la docencia en Formación Profesional. Actualmente, imparte clases en el Ciclo de Grado Superior de Administración de Sistemas Informáticos en Red y en el Ciclo de Grado Medio de Telecomunicaciones del Centro de Formación Profesional Don Bosco de Villamuriel de Cerrato.
Ingeniero superior en Informática por la Universidad de Valladolid y postgraduado en Seguridad de las Tecnologías de la Información y Comunicación por la Universidad Oberta de Cataluña y la Universidad Autónoma de Barcelona, también es mentor del programa de becas Talentum de Telefónica.
Él es también quien está detrás de las Jornadas de Seguridad de Villamuriel de Cerrato promovidas desde el Centro Don Bosco y que desde hace tres años reúnen a más de 300 personas interesadas por la seguridad informática con expertos de primer nivel de nuestro país.
No pretendo andarme por las ramas. ¿Estamos seguro en Internet?
La respuesta es no. Hoy en día nadie está seguro en Internet. La gente suele pensar «a mi no ve van a atacar», «quién me va a atacar a mí si yo no tengo nada que les interese»... Da igual, se ataca indiscriminadamente a todo el mundo, desde usuarios normales a Administraciones Públicas, universidades, partidos políticos, Gobiernos…
Entiendo que hay dos tipos de inseguridad. Una, la que tiene que ver con ataques de terceros, relacionada con el robo de información; y otra, la propia, relacionada con cómo se maneja la información que hago pública. ¿Cuál es más peligrosa?
Las dos son igual de peligrosas y tienen relación porque al final se trata de obtener información, cuanto más confidencial o comprometedora sea, mejor.
El número de cosas que se puede hacer por un exceso de información en las redes sociales o en Internet es muy alto. Hay gente a la que no conocemos que puede saber buena parte de nuestra vida por lo que ponemos en nuestros perfiles sociales: profesión, dirección, correo electrónico, número de teléfono, marca del smartphone con el que subimos las fotos, desde dónde, si tenemos hijos, aficiones, relaciones, etc.
Hay empresas que se dedican a obtener y almacenar toda nuestra información digital porque en un futuro no muy lejano esa información será valiosa, aunque a priori no se sabe cuánto.
La cosa se complica con peores seres. Depredadores y secuestradores que siguen a los jóvenes por las coordenadas GPS de las fotografías que publican en Internet y en sus perfiles sociales; usurpadores de identidad que piden créditos o contratan servicios a nombre de otras personas porque éstas han dejado una copia de su DNI o del de su pareja en la red; y, por supuesto, el riesgo de que algo que se sube a Internet una vez, queda para siempre. No es fácil quitar algo de Internet una vez subido, así que hay que pensárselo muy mucho.
¿De qué factores depende mi seguridad en Internet y cómo puedo implementarlos?
Primero, no hay que caer en los trucos de Ingeniería Social como, por ejemplo, «ejecuta este programa para ver este vídeo o para jugar a este juego» o «abre este pdf que te adjunto en el correo electrónico».
A partir de este punto, hay que tener un nivel más de precaución al utilizar el equipo informático, teléfono móvil o tablet. Dicho de otra forma, fortificar el sistema, por ejemplo, navegar por Internet con una cuenta sin privilegios administrativos o instalar un antimalware [programa que detecta archivos maliciosos] que aunque está lejos de ser la solución ideal, sí ayuda a evitar el malware más sencillo, el más distribuido.
En segundo lugar, que el equipo que se usa para trabajar sólo se use para trabajar y que no sea un ordenador que se utilice para hacer descargas desde Internet porque va a ser un problema.
A continuación, tener actualizado todo el software, tanto del sistema operativo como de los programas a.
Y en cuarto lugar, tener una política segura de contraseñas: no usar combinaciones sencillas o fácilmente adivinables, cambiarlas de forma periódica, no usar la misma contraseña para todos los servicios que tenemos en Internet, etc. ¡Ah! y tener la cámara del portátil tapada para que nadie te pueda grabar.
¿Considera que la mayoría de los usuarios está bien preparada contra las amenazas de Internet?
En absoluto. ¿Serías capaz de decirme los cinco ficheros más importantes de Android? ¿Y de iOS? Esta es una pregunta frecuente que hago en mis charlas y que nadie sabe responder. Suelo sacar un par de smartphones de última generación y cuando pregunto qué son la gente responde «un móvil».
Realmente son ordenadores que están expuestos y pueden infectarse, como cualquier portátil o PC de sobremesa. La edad de los usuarios que utiliza estos dispositivos cada vez es menor pero ¿cuántos de ellos tienen antivirus en el teléfono móvil? ¿Cada cuánto eliminan la información de sus navegadores? ¿Cuáles son sus tendencias de navegación? ¿Existe pedagogía en este sentido?
Además, para que te hagas una idea, a finales de 2013 el número de ficheros binarios maliciosos firmados superó los 8 millones, lo que significa que al día, durante el 2013, salieron más de 22.000 ficheros de malware nuevos diarios. ¿Realmente las empresas de antivirus están preparadas? La respuesta es clara, no.
¿Cuáles son los errores más comunes que cometemos los usuarios básicos de Internet?
Aparte de los ya mencionados, uno de ellos es conectarnos a redes wifi sin clave del tipo wifi_libre, wifi_gratis, a redes de hoteles, aeropuertos… Conectarse a wifis ajenas es muy peligroso. ¿Tú lo has hecho alguna vez? ¿Sabes quién estaba detrás de esas redes wifi? ¿Harías una transferencia bancaria desde tu smartphone conectado a la red de un hotel? Con un simple smartphone es muy fácil levantar un punto wifi con el mismo nombre que otro que ya exista para que la gente se crea que es al que se conectan de manera normal y así obtener datos de los usuarios.
Muchas veces con trucos de este tipo se pueden obtener imágenes de perfiles de redes sociales sin saber los datos de acceso a los perfiles sociales de las víctimas. ¿Te imaginas obtener una foto comprometedora de alguien que se ha conectado al punto wifi que no debía?
Otro error es fiarte de la otra persona que está hablando contigo por un chat. En muchos casos no es la persona que dice ser y ésta es una forma fácil de ganarse la confianza y empezar a obtener información comprometedora de ella: enviarle imágenes pensando que es la persona que dice ser, mandarle fotografías de tus hijos…
Intercambiar pendrives [los conocidos como USB] de unos ordenadores a otros es una forma muy habitual y fácil de propagación de virus.
Y después, en el móvil, hay que tener en cuenta que es muy sencillo introducir aplicaciones que aparentemente prometen una cosa para que los usuarios se las descarguen y luego reenvían tus fotos de Whatsapp y conversaciones a servidores maliciosos, te graban por la cámara o incluso a tus hijos si son ellos los que está usando el dispositivo móvil. No hay que olvidar que el 81% de los usuarios de smathphones y tablets utiliza Android.
¿Cuáles son las técnicas más utilizadas? O, dicho de otra forma, ¿cuál es la forma más habitual de engañarnos?
Hay muchas formas de engañar a un usuario. Ya hemos hablado de quienes levantan un punto de acceso wifi sin contraseña en lugares muy concurridos como cafeterías, bibliotecas, aeropuertos, hoteles, etc. para que la gente se conecte y, así, monitorizar el tráfico de red que pasa por él y que contiene nuestras fotos de perfiles sociales, conversaciones, datos de acceso a perfiles sociales, a cuentas de correo electrónico, a nuestro banco…
Otra forma muy popular es utilizar técnicas de phishing o engaños. Se suplanta el correo electrónico a las víctimas para obtener sus datos a través de sus contactos; o se hacen redirecciones desde perfiles sociales para obligar a las víctimas a pinchar sobre algún enlace malicioso y redirigirle a una web que en realidad es una copia para que vuelva a introducir sus datos de acceso y que estos queden almacenados en el servidor del atacante.
También es habitual el envío de correos electrónicos con ficheros adjuntos o enlaces que al pinchar pueden robarte toda la información presente en tu navegador (usuarios y contraseñas, cookies de sesión o datos de acceso a tu banco electrónico). Así es como se infectan los ordenadores para que pasen a formar parte de una red de robots controlados de forma remota que sin que tu lo sepas estén realizando un ataque a otra persona o institución. Por cierto, ¿cada cuánto vacías la caché del navegador de tu smartphone o de tu portátil?
Para defenderse de todo lo anterior, nada mejor que aplicar el sentido común, no abrir correos electrónicos sospechosos, no conectarte a redes wifi gratis, no fiarse de todo lo que aparece en las redes sociales por muy bonito que parezca...
Un consejo un poco más técnico es utilizar herramientas como VPNs para que todo el tráfico que sale desde tu terminal vía wifi sea cifrado antes de salir a Internet; desactivar el WPS de tu router, poner como sistema de cifrado a la red wifi de tu casa WPA2-AES o, si eres una empresa, utilizar Radius junto con un certificado de confianza.
Como ves este tipo de soluciones para los usuarios normales suelen ser complejas y es ahí donde la Seguridad Informática tiene un importante campo de batalla: que navegar de manera segura sea fácil y accesible para que todo el mundo pueda estar lo más protegido posible sin tener conocimientos avanzados.
En las últimas semanas se ha hablado mucho de uno de los mayores fallos de seguridad en la historia de Internet, The Heartbleed Bug (El agujero del corazón desangrado), que ha afectado a casi dos tercios de todos los servidores de la red. ¿Nos puede explicar en qué ha consistido y cómo protegernos?
La forma de protegernos es cambiar todas las claves de acceso de todos nuestros servicios en Internet: correo electrónico, banca electrónica, perfiles sociales, etc. ya que este problema no se encuentra en los dispositivos que usamos para acceder a Internet sino en las máquinas a las que nos conectamos para leer nuestro correo, acceder a nuestras redes sociales o al banco.
Sin entrar en demasiados detalles técnicos, todos los servicios anteriormente citados (y más) utilizan para la navegación segura un protocolo que se llama https (protocolo seguro para la transferencia de hipertexto) y que a su vez utiliza otro protocolo (TLS, SSL) que lo que hace es cifrar la información antes de que ésta salga a Internet para que, si alguien intercepta esos datos, como están cifrados, no pueda interpretarlos.
Todo esto se realiza con una clave pública que puede ser conocida por cualquiera y que se corresponde con el número 4 de Fermat por las propiedades que éste tiene (velocidad rápida de cifrado). Ahora bien, una vez que la información llega al servidor, ésta ha de ser descifrada y para ello el servidor almacena una clave privada que sólo él tiene que conocer para que nadie más pueda descifrar la información que le viene desde Internet.
Este agujero de seguridad lo que permite es acceder desde Internet utilizando el puerto del servicio https a una zona de memoria dentro del servidor donde se encuentran las claves privadas en texto claro.
De esta forma, cualquiera que sepa las claves privadas puede descifrar la información (usuarios, contraseñas, datos bancarios...) e incluso falsificar certificados digitales sin que estos hayan sido revocados, pudiendo suplantar por ejemplo las páginas de acceso a bancos y así evadir los sistemas antifraude.
Lo realmente preocupante es que hace más de dos años que se conocía esta vulnerabilidad antes de salir a la luz y durante todo este tiempo nuestras claves han estado expuestas en Internet. Personalmente creo que aquí le han marcado un gol por toda la escuadra al software libre. Hay gente que dice que es una puerta trasera (backdoor) utilizada por la NSA [la Agencia de Seguridad Nacional de EE.UU encargada de todo lo relacionado con la seguridad de la información].
¿La que nos espía a través de nuestra cámara web?
Según las revelaciones de Eduard Snowden, la NSA tiene los medios técnicos que quiera para espiar lo que quiera, y, evidentemente, no sólo habrán hecho uso de la cámara de nuestro portátil, sino también de la de los smartphones. Además no hace falta ser la NSA para adquirir software para el control remoto de las cámaras o incluso para el control remoto de un smartphone. Por poco más de 20 euros podrías obtener un troyano para espiar un teléfono móvil (conversaciones, mensajes de Whatsapp...).
Me ha quedado claro que Internet no es seguro, así que le pregunto por un tema local. Hace poco, el Ayuntamiento de Palencia informaba de que incorporaba herramientas para trabajar con servidores «en la nube». ¿Está seguro mi Ayuntamiento?
Externalizar servicios en la nube tiene sus ventajas: accesibilidad desde cualquier dispositivo con una conexión a Internet, escalabilidad, fiabilidad, calidad del servicio... pero, por lo general, el servidor donde se almacenan todos tus datos está en otro país y puede que la Ley de Protección de Datos en estos países sea más laxa o quizás inexistente.
Al aceptar las condiciones de uso del servicio, automáticamente estás aceptando que el proveedor que brinda estos servicios pueda acceder a tus datos privados sin tu consentimiento o que pueda ponerlos a disposición de un Gobierno sin una orden judicial previa porque tú has aceptado ese acuerdo al contratar el servicio.
Otras veces, el usuario que contrata servicios en la nube no sabe dónde van a parar sus datos, en qué país están los servidores que prestan el servicio contratado, quién accede a estas máquinas… Está bien que el Ayuntamiento de Palencia modernice sus servicios pero, si no lo han hecho, les aconsejo que efectúen una auditoría de seguridad.
Otro aspecto de la seguridad informática tiene que ver con la información que subimos a la Red de redes, sobre todo a los espacios sociales (Facebook, Twitter...). ¿Cuáles son los riesgos que enfrentan los niños y jóvenes que navegan el Internet sin supervisión? ¿Cuáles son las edades más peligrosas?
Puede parecer una extravagancia o una imprudencia pasearse por la calle pregonando tus datos personales pero esto es lo que hacemos habitualmente en Internet. La gente normalmente rellena sus datos personales en cualquier página web que se los pide, e incluso en las redes sociales lo hacen de forma proactiva con ganas de autopromocionarse.
Internet no se creó como una herramienta segura y de hecho no existe una legislación que nos proteja a nivel mundial: cuando estás trabajando con Facebook o enviando un correo electrónico estás sujeto a la legislación del país en la que se encuentran esos servidores y de base no son seguros.
Los principales riesgos a los que se enfrentan los jóvenes y niños van desde no tapar la webcam de sus ordenadores y abrir así la puerta a que alguien les esté grabando sin que sean conscientes; a conectarse con sus cuentas de redes sociales desde ordenadores compartidos que pueden estar troyanizados. Por supuesto, también publicar fotos y datos personales que puedan ser comprometedores en su futuro; chatear y confiar en ciberamigos y no tener una buena relación con los padres y profesores; la pérdida de privacidad, la suplantación de la identidad...
La edad más peligrosa es la adolescencia porque aún no se tiene una consciencia plena de lo que se hace y la mayoría de ellos hace un uso bastante elevado de los smartphones para comunicarse por redes sociales, Whatsapp...
Internet, además, es un campo abonado para el acoso escolar, ahora bautizado como bullying
Efectivamente, ya que aporta la ventaja de que para acosar a alguien no hace falta que hables con él cara a cara, únicamente que consigas información de esa persona que haya dejado en la red y, cuanta más hay, más fácil para el ciberacosador. En los jóvenes esto se agudiza porque la mayoría de ellos cuenta con dispositivos para fotografiar y subirlas a Internet prácticamente en tiempo real. Además, muchas veces acosan en las propias redes sociales a compañeros que no cuentan con estos dispositivos o con perfiles sociales.
Cuando un profesional de la seguridad habla de Internet y juventud, siempre se escucha que la máxima responsabilidad debe ser de los padres. ¿Qué deben tener en cuenta cuando sus hijos comienzan a navegar por la Red de Redes? ¿Qué conceptos y herramientas deben manejar?
Cada vez que voy a hablar de esto a los institutos tengo la sensación de que los padres y madres creen que los únicos que utilizan de manera inconsciente las nuevas tecnologías son sus hijos y la verdad es que en muchos casos ellos tampoco hacen un uso responsable de ellas.
Creo que los padres deberían saber más que los hijos. Yo no soy partidario del control parental prohibitivo y creo en un uso común de Internet. Padres e hijos deberían aprovechar para pasar más tiempo juntos descubriendo Internet a la vez, aprendiendo los unos de los otros y buscando la forma de protegerse de las amenazas de forma conjunta. Internet es maravilloso y debería disfrutarse en lugar de cogerle miedo y no conectarse.
Usted forma a jóvenes de todas las edades sobre seguridad informática. ¿Cuáles son los principales intereses de los escolares cuando imparte sus charlas?
Aprender a hackear sistemas [bromea]. Ya más en serio, cuando me llaman de institutos para hablar de ciberbullying, yo siempre les digo que no soy psicólogo, pedagogo, maestro ni nada por el estilo. Lo único que puedo demostrar a los jóvenes es lo que haría un cibercriminal para conseguir información de una víctima a través de Internet y acosarla o chantajearla.
Les enseño cómo protegerse, les muestro las fugas de información que tienen algunos de los servicios que usan como por ejemplo Whatsapp; lo fácil que es obtener números de teléfonos de la gente que ha pagado por este servicio para después ir sacando más información de ellos como fotografías, localización, etc. Y todo con la información que ellos han dejado en la red. Por ejemplo, suelo mostrarles lo fácil que es obtener la localización GPS cuando alguien la envía a un contacto por Whatsapp ya que no viaja cifrada. Cualquier cibercriminal que intercepte esta información puede saber la localización de quien la ha mandado y, así, inferir dónde vive o qué zonas frecuenta.
Cuando voy a universidades muestro técnicas más avanzadas, como Man in the Middle [interceptación de comunicaciones entre dos máquinas] a ordenadores, tablets, smartphones… aprovechando la inseguridad de los protocolos de red más utilizados (IP, ARP, DHCP, DNS, HTTP...).
El objetivo en la mayoría de las charlas es concienciar de lo fácil que sería para un cibercriminal obtener este tipo de información y, por otro lado, intentar que los estudiantes se enamoren y apasionen de la tecnología. Por lo menos les hace reflexionar sobre las consecuencias que puede acarrearles toda la información que van dejando por ahí, tanto a los jóvenes como a los adultos, incluidos profesores o profesionales de las nuevas tecnologías.
Seguro que algún alumno le ha pedido un acceso al ordenador que guarda un examen
Alguna vez sí pero siempre les contesto lo mismo, que disfruten de su adolescencia pero que estudien todo lo que puedan. Que no se queden con la anécdota de que alguien ha comprometido un sistema sino que estudien la técnica de cómo hacerlo. La única diferencia con mi educación es que yo me apunté a programar con 12 años.
En una sociedad en la que tenemos móvil, tablet, ordenador portátil y de sobremesa... ¿No resulta un poco incongruente que no exista una asignatura de informática obligatoria? ¿No se está dejando de un lado la formación?
Por supuesto que se está dejando de un lado la formación. Soy de los que piensa que la programación de ordenadores con lenguajes como C o Pascal y, más recientemente, con herramientas como Scrath, debería comenzar con 12 años en las aulas. Es muy fácil enseñar a hacer programas para calcular una media aritmética o el mínimo de una lista, y esto abre la mente.
Y, por otro lado, creo que tendría que haber alguna asignatura del tipo Uso responsable de las nuevas tecnologías en los colegios, institutos y universidades. No sólo los adolescentes cometen errores en Internet, yo en mis charlas pongo numerosos ejemplos de servicios desarrollados por profesionales con agujeros de seguridad que permiten acceder a la información de la base de datos que utiliza (donde está la información personal de los usuarios, contraseñas...); o de universidades en las que se puede ver quién y qué se ha imprimido en sus impresoras. Hay incluso servidores de Gobiernos latinoamericanos en los que se puede ver en qué páginas han estado navegando sus empleados y durante cuánto tiempo.
