Claves para sobrevivir en el mundo digital

El Instituto Nacional de Ciberseguridad (INCIBE) gestionó durante 2022 más de 118.820 incidentes, de los cuales más de 110.000 se repartieron entre ciudadanos y empresas de todo tipo; 546 se dirigieron a operadores críticos y esenciales (energía, agua, transporte, sistema financiero y tributario); centros educativos y redes de investigación sufrieron casi 8.000; uno de cada cuatro fueron fraudes online, fundamentalmente phishing y malware. Si los datos exponen las amenazas a la seguridad en internet, los expertos convocados por EL PAÍS y BBVA en torno al foro Ciberseguridad: Protegiendo nuestro futuro digital ofrecen diagnóstico y contramedidas de defensa, que parten de dos premisas básicas: 1) el factor humano es, a la vez, parte del problema y de la solución, y 2) la toma de conciencia de los riesgos del mundo digital y la formación constante marcan el único camino posible para combatir a los malos, que es como se llamará recurrentemente a los ciberdelincuentes durante toda la mañana.

“Existe una implicación humana en el 90% de los incidentes de seguridad”, expresa Sergio Salvador, Head of Engineering de BBVA en España. Y lo reitera Begoña García, Global Head of Security Culture & People Behaviours de BBVA, en la mesa redonda La seguridad digital en nuestro día a día. “Nuestro mundo hiperdigitalizado conlleva riesgos, sobre todo de ingeniería social que va contra el factor humano, el último eslabón de la cadena, y muy expuesto”, reflexiona. “Las personas han de tener la voluntad de entender los riesgos para poder hacerles frentes. Nosotros, como banco, hemos de capacitarlas y darles herramientas que puedan aplicar en su día a día”, precisa. Medidas sencillas para transitar por un terreno que, después de escuchar a los ponentes, cobra el aspecto de un campo minado. “Resulta difícil distinguir lo que es legítimo de lo que no lo es”, admite García.

Faltan profesionales

Los especialistas que pasan por el escenario del auditorio de La Vela, edificio insignia de la Ciudad BBVA, en Madrid, inciden en la escasez de talento en ciberseguridad. Un reciente estudio sobre oferta y demanda en este ámbito de ENISA (Agencia de la Unión Europea para la Ciberseguridad) concluye que para 2024 harán falta 83.000 nuevos profesionales solo en España, según saca a colación Juan Delfín, responsable del Sector Estratégico Financiero y TIC en INCIBE. Además de ayudar y dar soporte técnico a pymes y organizaciones de sectores estratégicos —”Los ciberataques se vuelven cada vez más sofisticados”—, su institución ofrece formación, igual que las universidades (con grados y másteres) o los centros de Formación Profesional. Aun así, sigue habiendo carencia de especialistas en hackeo ético, en cumplimiento normativo y legal, en análisis de datos o gestión y en comunicación de crisis.

Sandra Bardón, actual responsable del Servicio de Ciberejercicios en el Centro Internacional de Computación de Naciones Unidas (UNICC), recuerda que hace años, cuando trabajaba en la empresa privada, “el tema de la seguridad, ni se consideraba”, y que “se lloraba mucho porque se actuaba a posteriori, cuando ocurría algo”. Ahora la actitud es más preventiva y proactiva, observa. A Bardón le gusta la palabra hacker; ella se define como tal, de las buenas, sobra decirlo. Siente que su perfil ahora sí está incorporado como un activo importante dentro de las organizaciones. Pero, al menos en España, “todas esas horas invertidas no se ven recompensadas con un sueldo en consonancia”, lamenta la experta. De ahí, añade, que se esté produciendo una fuga de talento. “Para seguir escalando puestos, en España habría que retribuir mejor a los profesionales”, reclama.

Por si no había suficientes frentes abiertos en materia de seguridad digital, la inteligencia artificial (IA) viene a abrir uno nuevo. Bien es cierto que puede ayudar en la defensa, creando patrones de comportamiento y consumo, y detectando precozmente anomalías en los movimientos de una cuenta bancaria o de una tarjeta de crédito. Pero un uso o unas intenciones inadecuadas las convierten en una amenaza. Una chica envía a su novio un vídeo subido de tono. Unos meses después se enfadan, rompen, y aquel contenido privado termina en el WhatsApp de media universidad. Aún más, una simple foto en Instagram se puede convertir, IA generativa mediante, en un desnudo que todo el mundo va a pensar que es verdadero, con la consiguiente humillación para la víctima. “Si la imagen es realista, aunque no sea real, se trata de un delito”, avisa Manuel Guerra, oficial de Policía Nacional en la Unidad Central de Ciberdelincuencia. Dicho de otro modo: la legislación no permite ni generarla, ni distribuirla, ni compartirla.

Riesgos por grupo de edad

Dice el policía que los riesgos varían en función del grupo poblacional, y que el de los adolescentes y los jóvenes, que básicamente chatean y navegan por sus redes sociales, es pensar que lo que suben y mandan se queda en su móvil, y que por eso no va a pasar nada. Error. Las personas mayores, en contra de lo que pueda pensarse, no suelen ser las principales víctimas de los delitos digitales. Los protegen contra ellos sus propios recelos y reticencias hacia un medio que no es el suyo, y en el que no se sienten cómodos. “No explotan todas las posibilidades de las herramientas porque hacen un uso mínimo de ellas, y tienden a tomar muchas precauciones; a cambio, son menos vulnerables”, observa Guerra.

Los más expuestos son los adultos en edad laboral, apunta Guerra, por su uso intensivo del smartphone. Gestiones con el banco, compras online, Bizum. El experto expone un caso que se está dando con cada vez mayor frecuencia: vendemos algo y recibimos un mensaje de la plataforma de segunda mano o de Bizum que, automáticamente asociamos con el pago, así que lo aceptamos sin leerlo; lo que realmente estamos aceptando es que nos cobren una determinada cantidad de dinero. Ingentes cantidades de nuestros datos terminan en el inframundo de internet, donde son vendidos, comprados y utilizados para suplantaciones de identidad que terminan con la víctima sin fondos o con deudas contraídas con entidades financieras por créditos que ellos no han suscrito.

Bernardo Marín, moderador de la mesa redonda y redactor jefe en la Unidad de Edición de EL PAÍS, cuenta que hace años presentó a Guerra, en un reportaje, como el policía de la dark web. El auditorio sonríe y el aludido cabecea con una mezcla de asentimiento y resignación. “Ni internet ni las redes sociales entienden de fronteras”, asegura el oficial de policía. La ciberseguridad es un problema global, y los incidentes pueden venir por la puerta que da al trabajo o por la que lleva a la vida personal. “Cuando entramos a LinkedIn, en principio, es por motivos laborales, pero si lo hacemos desde casa o desde nuestro móvil, ambos mundos, el profesional y el privado, convergen, y la vulnerabilidad es mayor”, detalla. Una supuesta factura con malware dentro descargada por un empleado puede abrirle a los malos el camino hacia nuestra empresa.

Precaución y sentido común

BBVA tiene puesta en marcha la campaña Cibersencillo, formada por vídeos cortos, en tono desenfadado o irónico, en el que un ciberdelincuente explica, por ejemplo, que su época favorita del año es la campaña de declaración de la Renta, cuando “la gente se pone nerviosa” y él aprovecha para enviar correos electrónicos haciéndose pasar por la Agencia Tributaria. En un par de momentos de Ciberseguridad: Protegiendo nuestro futuro digital se proyecta alguno de estos vídeos, que acaban siempre con consejos prácticos para los usuarios: “Comprueba que la dirección de email del remitente sea la oficial. Sospecha de mensajes urgentes que te obliguen a una decisión rápida, o ante ofertas demasiado atractivas. Nunca compartas contraseñas o claves desde enlaces en emails. Ante la duda, no des información y contacta con el remitente por sus canales oficiales. “No se trata de asustar, simplemente de que utilicemos el entorno online con precauciones y sentido común”, declara Guerra.

Sigue toda la información de Economía y Negocios en Facebook y X, o en nuestra newsletter semanal