El jueves 26 de Julio, desperté con la noticia de la filtración de datos de varias tarjetas de créditos en Chile. Justo estaba en una conferencia en Portugal donde hice una presentación acerca de cómo acciones descuidadas de distintos actores, facilitan el éxito de ciertos tipos de ciber-ataque.

Evitar estos descuidos resulta clave, sobre todo introduciendo medidas que modifiquen nuestro comportamiento en el día a día. ¿Dónde está la clave? La educación en ciber-seguridad podría ser una excelente respuesta.

• Te puede interesar: Ciber-seguridad: por qué en un mundo de objetos inteligentes las personas también debemos serlo

¿Cómo interpretamos un evento de seguridad en los medios?

La falta de este tipo de educación se ve clara cuando algún evento relacionado con ciber-seguridad llega a las noticias y aparecen una variedad de interpretaciones erróneas de la situación. En lo general, veo que suelen suceder tres cosas:

1.Se empiezan a difundir mensajes que solo contribuyen a desinformar y crear confusión, incluyendo cosas definitivamente falsas.

2.Empieza el deporte de cacería de culpables dejando en segundo plano el establecer soluciones. Claramente en hechos de esta gravedad es importante buscar responsabilidades, pero las prioridades deben ser, en primer lugar, enfrentar la contingencia y luego trabajar en aplicar medidas para evitar (o hacer más difícil) que algo así vuelva a ocurrir.

3.Y se simplifica el problema. Muchas veces nos quedamos con el encabezado de una noticia y hacemos supuestos sobre lo que realmente pasa, en vez de intentar comprender mejor un tema.

Hoy en día la tecnología acompaña todos los ámbitos del quehacer humano y esto irá en aumento, trayendo múltiples posibilidades de mejora a nuestra calidad de vida, pero también muchos problemas, los cuales recién se están empezando a visualizar y a discutir, pero que en el fondo constituyen una caja de Pandora.

Se hace necesario que estos cambios vayan acompañados de una evolución en la manera de pensar y actuar de las personas. Una de las muchas realidades que hay que asimilar hoy en día, es que los crímenes cibernéticos llegaron para quedarse. Con esto último no quiero decir que estamos desamparadamente a merced de los hackers. Por el contrario, hay muchas cosas que podemos y debemos hacer para prevenir y defendernos de ataques.

Los ciber-ataques seguirán sucediendo y debemos cuidarnos

Por supuesto que como clientes hay que exigir a bancos y empresas garantías de que tienen políticas y planes de seguridad adecuados para prevenir ataques. Pero lo cierto es que hay que saber que en muchos casos los ataques sucederán de todas formas, por lo tanto, también es importante que tengan medidas de respuesta, contingencia y recuperación si algo pasa.

Para explicarlo de mejor manera, la tecnología facilita (y muchas veces amplifica) características propias del desenvolvimiento humano. Y el crimen es una de ellas. Por lo tanto, así como nos cuidamos de que nuestra integridad física y propiedad no sean vulneradas en “el mundo real” -tomando medidas como cerrar la puerta de la casa con llave- lo mismo debemos hacer cuando utilizamos internet, por ejemplo, cuidando nuestras contraseñas y claves tan bien como cuidaríamos la llave de nuestra casa (en esta nota podrás encontrar más consejos prácticos como estos).

• Te puede interesar: Internet de las cosas: impresionantes casos de ciber-ataques (y cómo evitarlos)

También es importante conocer nuestros derechos como consumidores cuando utilizamos un servicio o producto que podría ser vulnerado. Incluso si no hay datos financieros o confidenciales de por medio. Pero ojo, si bien quienes nos proveen esos productos y servicios son los mayores responsables de que estos sean seguros, también como usuario tenemos un mínimo de responsabilidades.

La ciber-seguridad es una disciplina relativamente nueva, por lo tanto, hoy en día hay una falta de profesionales en el área a nivel mundial. Somos muchos quienes nos estamos formando en esto. Sin embargo, la contienda es desigual. Hoy la tecnología es parte de casi todas las actividades y esto no está siendo acompañado de una educación sobre cómo utilizarla de manera segura.

Las empresas y gobiernos también han tenido dificultades en adaptarse, lo cual ha creado espacio para que los atacantes aprovechen un sinnúmero de vulnerabilidades que pueden ser técnicas, pero también a veces humanas (o, la mayoría de las veces, un conjunto de ambas). Lo cierto, es que si no nos preparamos todos -personas, gobiernos y empresas- para la sociedad tecnológica en que vivimos, la situación va a empeorar.

¿Sabes ocupar con seguridad tu tarjeta de crédito? ¿De verdad?

Para tener una licencia de conducir, hay que tener nociones básicas de cómo funciona un vehículo a motor, así como de las reglas del tránsito. Pero para ocupar servicios por internet, no se requiere saber casi nada de seguridad. Tampoco para tener una tarjeta de crédito o para conectar dispositivos inteligentes en nuestras casas. Todos deberíamos tener al menos un mínimo de conocimiento sobre cómo funcionan las cosas que utilizamos con el fin precisamente de evitar riesgos.

Esto es muy patente en el caso de los números de tarjeta de crédito filtrados. Supongo que al menos los que realizan compras por internet están conscientes que para realizar este tipo de procedimientos de manera internacional, la mayoría de las veces solo les van a exigir el número de tarjeta y el código de verificación (los tres dígitos en la parte de atrás). Esto debiera saberlo cualquiera que tenga una tarjeta de crédito, aunque no la use para comprar en internet. ¿Por qué?

Porque si otra persona (un ciber-delincuente, por ejemplo) obtiene estos números, sí podría usarla, ¡sin ni siquiera conocer las contraseñas! Cambiar el pin y la clave de internet de la cuenta bancaria no es suficiente y no tiene nada que ver con el caso del robo de números de tarjeta de crédito.

Esto puede parecer obvio para muchos, pero lo cierto es que ha habido mucha desinformación y supe por ahí de gente corriendo a cambiar sus claves a los cajeros, lo cual podría darles una falsa sensación de que lo que hicieron es suficiente…

Cómo manejar tus tarjetas y cuentas de manera segura

Tanto en seguridad como en cualquier ámbito, si nos educamos más podremos distinguir mejor qué información y consejos son los que nos sirven, de dónde tienen que venir y cuándo debemos desconfiar o averiguar más. ¿Qué medidas de seguridad debiésemos tomar respecto a nuestras tarjetas de crédito o cuentas bancarias?

• Verificar regularmente nuestros estados de cuentas e informar al banco en caso de cualquier cargo que no corresponda a una actividad nuestra.
• Dar de baja las tarjetas de crédito y sacar nuevas (en caso de ser víctima de una filtración o robo).
• Dar de baja las tarjetas que no ocupemos.
• Limitar nuestro cupo.
• No conectarse a internet desde wifi públicas y, si por algún motivo debemos hacerlo, en ningún caso iniciar sesión de alguna cuenta bancaria. Si ya se ha hecho, lo mejor es cambiar las claves lo antes posible.
• No hacer caso nunca a correos que indiquen acceder a la página del banco a través de un link (los bancos suelen advertir sobre este riesgo). Esta forma de ataque se llama phishing y consiste en enviar correos falsos a las personas para que ellas mismas revelen información a los atacantes, por ejemplo, induciéndolos a hacer click en links que llevan a sitios falsos o que descargan códigos maliciosos (malware) en sus equipos.
• Otro tipo de correos de esta índole que circulan son citaciones falsas supuestamente de la PDI, premios en concursos en los que nunca participaste, herencias o falsos secuestros a seres queridos en los que otorgan información acerca de nombres, lugares y actividades frecuentes de los implicados (lo que los hacen lucir reales). ¿De dónde sacan esta información? A veces, nosotros mismos se las damos, por ejemplo, a través de publicaciones en redes sociales. Ahí de nuevo el tema de la educación respecto uso de la tecnología y seguridad.

No hay soluciones mágicas, ¡tú debes saber actuar!

Una cosa que la mayoría de los profesionales de áreas tecnológicas tenemos claro: no existen soluciones mágicas para los problemas, por lo que debes estar muy informado, entender e involucrarte para prevenir o buscar soluciones, en caso de ser víctima.

Tampoco existen expertos que sepan de todo. Decir “experto en informática” es como decir “experto en medicina”, no existe. Mientras más aumenta la complejidad y diversidad de los sistemas, más especialidades aparecen. Sin embargo, aún hay empresas que pretenden seguir cargando la responsabilidad de la seguridad al área de soporte informático, que incluso a veces es una sola persona. Lo cierto, es que si no invierten en capacitación del personal que tienen y en contratar conocimiento más especializado ahora, a la larga les puede salir mucho más caro. Esto porque se dice que existen dos tipos de empresas: las que ya han sido víctimas de un ciber-ataque y las que lo serán. De ahí la invitación a los que no lo han hecho a cambiar el switch y preocuparse de la seguridad.

Por último, todas las herramientas tecnológicas funcionan en base a procesos donde también hay involucradas personas. Por lo tanto, cualquier mejora o solución tiene que involucrar estos tres aspectos: persona, procesos y tecnología. No hay “aparatos”, ni software, ni súper héroes, ni balas de plata, que nos salven de algo. Tenemos que ser nosotros mismos. Para ello los gobiernos de los países deben educar y también educarse.

Necesitamos legisladores que sepan adecuar nuestras leyes a la realidad actual, tanto para exigir a empresas que cumplan con estándares de seguridad, como para aplicar penas a quienes realicen una acción maliciosa o la faciliten. Esto debe estar acompañado con formar abogados y jueces que sepan aplicar estas leyes, experticia policial y forense para las investigaciones y acuerdos internacionales, pues el ciber-crimen no tiene fronteras y muchos ataques se realizan desde el extranjero. También necesitamos prensa y medios de comunicación que en vez de vender la noticia con un titular sensacionalista, provean información útil y certera.

Una buena noticia es que el 29 de Julio se anunció en Chile el envío de varios proyectos de ley en materia de ciber-seguridad. Independiente de que esto es solo un paso y queda mucho por avanzar, lo positivo es al fin poner el tema como prioridad en la agenda legislativa. ¡Hay que estar atentos a ver qué pasa con eso!

¿Te sientes educado en estos temas?