"Es una obligación aprender computación y entender lo que se hace en internet"

La ola de ataques informáticos y filtraciones de datos del 2014 no solo perjudicó a celebridades y grandes empresas, sino que volvió a poner sobre la mesa el tema de qué tan protegidos están los datos de quienes navegan en internet.

En una reciente conferencia sobre ciberseguridad en San Francisco (EE.UU.), los profesionales de esa industria concluyeron estar perdiendo la pelea contra los mal llamados 'hackers'.

Sin embargo, quienes atentan contra la seguridad informática no suelen ser genios de la computación, sino que muchas veces con herramientas sencillas y algo de conocimiento al respecto logran su cometido, y sus objetivos suelen ser personas del común.

Freddy Vega, experto en tecnología y CEO de la plataforma online de aprendizaje Platzi, da recomendaciones sencillas de cómo no ser víctima de los ataques informáticos y asegura que lo más importante es erradicar la ignorancia sobre los temas informáticos.

NoticiasRCN.com: ¿Qué tan segura navega la gente en internet y qué tan consciente es de los riesgos?

Freddy Vega: Uno de los principales problemas de la seguridad informática es lo contraintuitivo que es explicarle a la gente las malas prácticas que están haciendo. La mayoría de las personas cuando uno les habla de seguridad dicen: "eso es súper importante, pero igual no lo voy a hacer".

El otro gran problema es el desconocimiento, incluso de los grandes administradores informáticos. Por ejemplo, cuando un banco le dice que su contraseña debe ser de máximo ocho caracteres, básicamente está regalando el dinero de sus clientes. Aunque ellos lo entienden y tienen millonarios seguros para que cuando haya un ataque se le responda al cliente, claro está, si este se entera y se queja.

Es mucho más fácil 'crackear' una contraseña corta que una frase larga. Muchos creen que una contraseña tipo 'x28-x$w' es segura cuando la verdad es que no. Es un tema de cuántas combinaciones se tienen que probar. Lo peor es que la gente usa contraseñas tipo 'perrito26', usando datos como su mascota y su fecha de nacimiento.

Hay otro problema en la seguridad informática y son los datos que se piden como recordatorio para recuperar las contraseñas. Los servicios web piden respuestas a preguntas como 'el color de su primer auto' o 'el nombre de su primera mascota' y uno cree que nadie sabe eso.

Es tan ridículamente fácil, se requieren tan pocos conocimientos técnicos para 'hackear' estas contraseñas y la gente es tan poco consciente de ello que el estado actual de la seguridad informática es muy bajo. Si uno quiere estar seguro, debería usar una frase como contraseña. Por ejemplo, 'mañana es viernes.', teniendo en cuenta los espacios y el punto, sería una contraseña muchísimo más difícil de 'crackear'.

Cuando uno tiene una contraseña corta y una combinación de muchas letras está invitando a que se le olvide y termine anotándola en un papel, o peor aún en un archivo en el computador. Hay software especializado que detecta el tipo de patrones que uno guarda en los archivos de texto, no importa que esté escondido y con un nombre extraño, y así robar las contraseñas.

NoticiasRCN.com:La imagen que se suele tener de los 'hackers' es la de genios de la computación que atacan bancos, empresas o gobiernos. ¿Qué tan alejado de la realidad está eso?

Freddy Vega: La razón por la que nosotros vemos a los 'hackers' como los vemos es por una combinación de películas rimbombantes y mala educación tecnológica. El nivel de conocimiento que se requiere para 'hackear' a una persona no es tan alto, pero alguien que sabe lo básico como el funcionamiento de un sistema operativo por dentro ante una persona sin experiencia da el aspecto de un 'hacker' mágico.

Hay una cultura que a mí me parece extremadamente peligrosa y es decir "yo no entiendo esos aparatos", una actitud de no querer aprender y pensar que está bien no saber de tecnología; y entonces tenemos errores de seguridad, falta de confianza y poco avance del comercio electrónico y la educación online.

Uno jamás se sentiría orgulloso de ser analfabeta, entonces ¿por qué sentirse orgulloso de no saber tecnología? Los computadores llevan con nosotros 40 años, es una obligación, sin importar la edad que uno tenga, aprender computación y entender lo que uno está haciendo.

NoticiasRCN.com: ¿A qué se expone una persona si es atacada por un ciberdelincuente?

Freddy Vega: Por el desconocimiento, las personas creen que no les va a pasar nada. Si yo consiguiera la foto del pasaporte de cualquier persona en el mundo, podría hacerle un robo de identidad total. Con esa foto puedo resetear las contraseñas de las cuentas de correo, y con eso podría tener acceso a prácticamente todo el resto de sus cuentas, incluyendo la del banco.

Pero mucha gente le toma foto al pasaporte, la cédula o la tarjeta de crédito porque alguien la necesita y la envían por correo electrónico. Hay software especializado en buscar este tipo de datos en los correos electrónicos.

El robo de identidad es probablemente de los casos más complejos, pero uno no escucha de ellos porque las personas no tiene la forma de gritar "ey, me robaron".

Todos nosotros, en esta época, estamos más representados en bytes que en otra cosa. Si acceden a mis correos, mi Facebook, mi Twitter, mi banco, mis archivos, mis amigos, si me pueden cancelar la tarjeta, si pueden enviarle un email al dueño de mi apartamento para decir que ya no viviré ahí, entonces ¿quién soy yo realmente? ¿Cómo hago para poner una denuncia si el 'hacker' dijo que alguien más lo robó, y puede decir que soy yo quien lo robó? Puede sonar de película pero le pasa todos los días a decenas de personas en el mundo.

A mi socio, por ejemplo, hace unos cuatro años le hicieron un robo de identidad total porque por error dejó en una carpeta la foto de su pasaporte y cuando mando a arreglar su computador alguien con malas intenciones la encontró.

Pero además la gente se toma, por ejemplo, fotos desnudos y las envían por mail, mensaje de texto o Whatsapp, que es hilarantemente fácil de intervenir.

Es extremadamente común 'hackear' a alguien por venganza, principalmente en el mundo adolescente. Yo diría que actualmente hay una probabilidad de que el 90% de los adolescentes mayores de 12 años hayan enviado una foto desnudos. Es algo normal, es la evolución de cuando éramos pequeños y decíamos "yo le muestro lo mío y usted me muestra lo suyo", solo que ahora se hace con software.

El problema es que si los padres crecen con la actitud de no aprender sobre la tecnología que usan, los hijos también lo harán pero para ellos no es opcional usarla, entonces tendrán la facilidad del uso pero sin el entendimiento de las consecuencias; imaginen qué va a pasar. Yo tengo la fiel creencia que en los próximos 15 años tendremos una clase política y unos famosos que en esta época se tomaron fotos desnudos y que serán víctimas de algún 'hacker' que está guardando en algún lugar de internet sus datos para chantajearlos o perjudicarlos.

NoticiasRCN.com: ¿Qué tanto está actuando la ley en este tipo de casos?

Freddy Vega: Fuera del país, por ejemplo, está condenado a muchos años de cárcel una persona que manejaba una página de lo que se conoce como "porno de venganza", donde gente que quiere vengarse de sus exparejas comparte contenidos comprometedores. En Colombia solo he visto que se haga algo en contra de un 'hacker' cuando hay un bien político de por medio.

Los verdaderos castigos no tienden a ocurrir más allá de algo que tenga relevancia. Yo creo que mostrar ese tipo de castigos y penas valdría la pena para que las personas que se dedican a esto dediquen su talento a otra cosa.

Además, ya de por sí la justicia colombiana es lenta y a eso se le agrega que hay un hueco de conocimiento sobre tecnología en quienes hacen las leyes e imponen las penas. Cuando condenen a alguien por 'hackear' el Facebook de otro ya habrán pasado años y dejará de importar.

NoticiasRCN.com: Además de fortalecer sus contraseñas y su conocimiento, ¿qué consejos darle a las personas para no ser víctimas de 'hackers'?

Freddy Vega: Siendo el 2015, yo siento que no hay posibilidad de que alguien que no sea técnicamente especializado mantenga actualizado un antivirus. Pero sí hay que mantener el software que uno usa actualizado. Si salen nuevas versiones de los sistemas operativos o los exploradores hay que instalarlas, aunque uno diga que le gusta la versión anterior. La razón para realizar actualizaciones es para corregir huecos de seguridad.

Pero además, no hay que conectar cualquier cosa al computador o bajar cualquier cosa de internet. En los últimos años se ha hecho más difícil bajar virus de un email porque los servicios comunes tienen antivirus instalados, pero uno de los casos donde más cae la gente es encontrar memorias usb pérdidas y conectarlas, porque pueden tener un código de ejecución automático que infecta al computador. Es como si usted se encontrara una hamburguesa en la calle, nunca se la comería, entonces ¿por qué conectar una usb que se encuentra por la calle?

NoticiasRCN.com:¿Qué hacer si grandes empresas que tienen datos como nuestra tarjeta de crédito sufren ataques informáticos?

Freddy Vega: Si uno escucha que el servicio que usa fue 'hackeado', está en todo el derecho y la obligación de preguntar qué datos fueron filtrados, y si esos datos fueron tarjetas de crédito, la empresa debería reponer cualquier dinero que se pierda por ello o uno tendría que demandarlos. Sin embargo, en Latinoamérica no tenemos cultura de demandar a las empresas porque la justicia es lenta, no hay confianza en ella y los abogados son caros.

Cuando uno sabe que el servicio que uno usa fue 'hackeado' debería resetear todas las contraseñas, o por lo menos las de las cuentas de correo electrónico.

NoticiasRCN.com: ¿Qué tan importante es la seguridad informática en las empresas y qué hacer para incrementarla?

Freddy Vega: Hay un estudio reciente que demostraba que cuando hay un hueco de seguridad en una empresa se pierde entre el 10 y el 15 por ciento de sus ingresos anuales lidiando con él. Yo creo que eso debería ser un incentivo suficiente para ponerse serio ante la seguridad.

Hay miles de personas expertas en seguridad informática que pueden asesorarlos, pero por encima de eso hay que corregir errores típicos que uno encuentra en las empresas como obligar a tener una contraseña compleja y corta solo porque un programador no quiso cambiar un dato en la estructura de base de datos. Es algo que no es tan complejo de cambiar pero por lo que se le puede inventar lo que sea al jefe.

Hay que comenzar por las contraseñas y desde ahí ir escalando. Los verdaderos cambios están en los empleados y en la seguridad informática se aplica el dicho de que "una cadena es tan fuerte como su eslabón más débil".

NoticiasRCN.com: La doble autenticación, con la que se envía un código al celular del usuario para darle acceso, es una de las prácticas informática más seguras; sin embargo ¿qué tan riesgoso es si se roban o se pierde el teléfono?

Freddy Vega: La doble autenticación es la forma más segura que hay en nuestra época de proteger a un sistema. ¿Qué lo hace vulnerable?, que uno deje el celular por ahí desbloqueado y alguien más pueda recibir el código y acceder a las cuentas.

La doble autenticación es extremadamente segura, pero cuando a uno le roban el celular lo primero que uno debe hacer es ir a los sitios y desautorizar el servicio. 

Y si a uno le roban el celular y uno no tiene seguridad, uno se merece que lo 'hackeen'. No son más de cinco minutos lo que se tarda colocar un PIN o un patrón de bloqueo. Además, la mayoría de quienes resetean celulares para revenderlos no ingresan a ese tipo de datos.

Juan Diego Mesa O./NoticiasRCN.com