"Hablamos mucho de ciberataques, pero la propaganda modifica el comportamiento de la ciudadanía"
"Es muy importante estar más cerca de la verdad que de un tuit", asevera el hacker y experto en ciberseguridad, Antonio Fernandes, respecto a la situación actual del ciberespacio.
Antonio Fernandes es una de las personas más ilustres de la industria de la ciberseguridad en España. Este gallego es hacker, experto, divulgador, CISO y miembro de la Comisión Europea (CE) como evaluador independiente de productos. Su vocación, dice en charla con CSO en el marco del evento Cybersecurity Forum –organizado por Foundry e IDC–, viene de la preadolescencia, cuando este mundo solo lo habitaban “cuatro frikis”. Ahora, en pleno auge de ciberataques, desinformación, tensiones geopolíticas, regulaciones y tendencias en cuanto a productos, no se corta al dar su opinión, que se sale de la vía de lo políticamente correcto, para mostrar a la gente que este mundo ya no es de ciencia ficción, de película, sino una realidad. “A veces pienso que soy muy machacón con el mismo mensaje. Pero vivimos en una sociedad en la que la noticia pasa muy rápido”, reflexiona sobre la labor que realiza.
Lleva más de 20 años en el mundo de la ciberseguridad, desde que era para “cuatro frikis”, según ha dicho en alguna ocasión. ¿Cómo ha evolucionado este sector?
Empecé prácticamente de preadolescente. Este mundo tenía una aproximación más romántica, de investigación y conocimiento. Éramos cuatro apasionados por la tecnología. En aquella época todos tratábamos de descubrir cosas nuevas, y la red acababa de empezar, estaba en pañales. Internet no se desarrolló para que alguien lo utilizara mal, sino para transmitir conocimiento. Todos confiábamos en todos. Ahora, las mafias solo buscan dinero. Y, el cibercrimen es solo una vertical más; se venden drogas, armas… Pero el ser humano es así, y el mal existe en todos los ámbitos. La tecnología es agnóstica. Es su uso el que es bueno o malo. Cuando empezó a moverse dinero fue cuando surgió la oportunidad de utilizar este canal para hacer estafas que se han ido profesionalizando con técnicas avanzadas.
¿Conoce casos de gente que haya pasado del lado del hacker al cibercrimen?
No. Si no sería un grandísimo Guardia Civil. [Risas]. Pero, tal y como está el mercado en España, muy mal pagado, no me extrañaría. Lo que sí sucede es que empresas extranjeras ofrecen salarios mucho mejores con condiciones de teletrabajo, sin que el experto tenga que trasladarse a otro país. Bueno, he de reconocer que sí que conozco a algunos que hacen cosas ilícitas y ganan muchísimo dinero que reinvierten en lo que pueden, ya que se trata de dinero negro. Pero, paradójicamente, el problema del dinero también se soluciona con dinero.
Vayamos al significado del término, el de hacker. Según la Real Academia Española (RAE), en su segunda acepción, es la persona con grandes habilidades en el manejo de computadoras que investiga un sistema informático para avisar de los fallos y desarrollar técnicas de mejora. Sin embargo, todavía se confunde el significado con el de ciberdelincuente, y se utiliza de forma peyorativa. Esto está siendo auspiciado, incluso, por muchos medios de comunicación ¿Qué implicaciones tiene este error?
Nos deja mal a los profesionales que entendemos al hacker como experto en seguridad. Y ya no solo en eso. Para mí, un hacker es aquella persona que utiliza algo que existe de una manera distinta. Esta terminología, y la cultura que hay detrás, procede de los años 60. Ahora, eventos como RootedCON hacen comunidad, y realizan jornadas ‘menos de corbata y más de técnica’, de compartir con compañeros. Hay muchos que están viendo lo que hacen los ‘malos’ y lo transmiten. Aunque a los ciberdelincuentes les da igual, porque ellos ya lo comparten todo y colaboran con dinero. Es cierto que no están sujetos a regulaciones, por lo que nos llevan bastante ventaja.
Por una parte, los medios de comunicación contribuyen a hacer, en muchas ocasiones, mal uso del término. Pero, por otra, han logrado democratizar el problema del cibercrimen en el mundo.
No es culpa de la prensa. No olvidemos que los medios de comunicación son empresas y tienen que vender. Además, tampoco tienen especialistas que sepan bien de lo que están hablando. Igual los medios especializados sí saben mejor lo que es un hacker. Pero tampoco se les da tiempo y herramientas, algo que pasa en todos los trabajos. Sí que creo que la prensa es importante en términos de destapar casos y hacer periodismo puro. De hecho,es un objetivo también de los ‘malos’ en esta era de la propaganda. Hablamos mucho de los ciberataques, pero la propaganda modifica el comportamiento y la forma de pensar de la ciudadanía. Por eso, es muy importante estar más cerca de la verdad que de un tuit.
¿Hay muchas redes de blanqueo de dinero en Internet?
Sí, hay mafias de gente con traje que están especializados en esto y que aconsejan cómo hacerlo. Por lo menos, minimizan los riesgos de que te pillen.
Todo este contexto hace que el cibercrimen sea uno de los principales riesgos para las sociedades, según el Foro Económico Mundial (WEF, de sus siglas inglesas). Por lo que desliza, no hay suficientes herramientas para combatirlo.
Hay dos vías para defenderse. Por una parte, la de los que estamos en cliente final protegiendo nuestra isla, por así decirlo. Pero tenemos que buscar una mayor colaboración, no solo entre nosotros, sino también con organismos públicos como Incibe o el CCN-Cert y los europeos. Muchas veces somos meros ejecutores de las órdenes europeas. Algo que deberíamos hacer es desarrollar nuestra propia tecnología para tener software local. Si no, el dinero se sale de aquí. Tenemos muy poca tecnología propia. Y, por último, hay que dotar de más recursos a las Fuerzas y Cuerpos de Seguridad del Estado. Así como nosotros podemos intercambiar conocimiento, quien puede perseguir a estos cibercriminales son ellos, a pesar de que lo tienen muy difícil por la transnacionalidad. Además, hay muchos países a los que les da igual porque no hacen caso a Europa.
"Ya existe el dicho de que Estados Unidos desarrolla la tecnología, China la implementa y nosotros [Europa] la regulamos"
¿Comprar tecnología de fuera de Europa también puede acarrear brechas?
Por supuesto. También deberíamos pensar en la nube. Somos todos amigos hasta que pasa algo. Si todos los conflictos geopolíticos degeneran en una gran guerra, ¿quién nos garantiza la seguridad? Y con esto no me refiero a grandes proveedores de cloud, pero a veces los propios estados piden los datos que almacenan de sus clientes.
A nivel de dispositivos como smartphones, ¿qué precauciones debemos tomar?
Cuando ves un teléfono de Apple, por ejemplo, siempre vas a ver un ‘fabricado en China’. Sus chips son chinos y ya existen informaciones de que puede haber puertas traseras. Por ejemplo, el sistema operativo de Android, a pesar de que el dispositivo puede estar construido en otra región, sí que es americano. Al ser software libre, se puede auditar el código y por eso salen nuevas vulnerabilidades. Constantemente se observa y se arregla. Es muy importante actualizar los sistemas y las aplicaciones.
¿Cómo ve a España a nivel de infraestructura pública con respecto a la Unión Europea?
Está muy alineada a la Comisión Europea (CE) y sus leyes. Creo que en Europa regulamos demasiado. Es algo que está muy bien de cara al ciudadano, pero no tanto para el desarrollador. De hecho, en cuanto a la tecnología existe el dicho de que Estados Unidos la desarrolla, China la implementa y nosotros la regulamos.
¿Las empresas locales tienen muchas complicaciones para crear sus productos?
Sí, porque cuando desarrollas algo no solo lo haces para este mercado. Si tenemos que invertir en algo que en nuestros países no funciona… Para ser competitivos a nivel internacional, mejor irse a Israel.
"En Europa regulamos demasiado. Es algo que está muy bien de cara al ciudadano, pero no tanto para el desarrollador"
¿Habría que desregular el mercado?
Simplemente habría que pensar que no solo desarrollamos para nosotros. Hay que exportar y atraer inversión.
Usted colabora con la CE como experto independiente. En concreto, ¿qué actividades realiza?
Estoy en el Consejo de Innovación como experto. Cuando Europa abre un concurso para un proyecto nos lo envía a varios y, dependiendo de nuestras votaciones, el proyecto sale adelante o no. Por otro lado, también estoy en el subgrupo de inteligencia artificial de productos conectados, en el que velamos por la seguridad y el tratamiento de los datos de los wearables. Bajo el marco de la Cyber Resilience Act, todos los dispositivos tienen que cumplir con determinados requisitos para poder venderse en Europa. Requisitos que, cuando vienen de países sin regulación, no suelen cumplir, porque a estos les da igual. En Estados Unidos y China no importan los datos personales.
De hecho, está siendo muy complicado acordar un nuevo marco de trasvase y protección de datos con Estados Unidos que sustituya a Privacy Shield.
Debe ser muy difícil llegar a un acuerdo con ellos porque muchas de las cosas que piden grandes empresas como Facebook o Google para estar con ellos son datos que utilizan para vender. Cambridge Analytica ya demostró que esa información se puede usar para cambiar la opinión de la ciudadanía.
Volviendo al tema del cibercrimen, con modelos como el Ransomware-as-a-Service (RaaS), cualquier persona sin conocimientos técnicos puede realizar un ataque.
Basta con buscar empresas objetivo en Linkedin y empezar a hablar con personas a ver si caen. También puedes ir a la dark web, que es muy sencillo, y contratar estos servicios en distintos foros. Te dan un manual de instrucciones y un ejecutable. Así de simple.
Por último, a pesar de todas las labores que realiza, dice que la más importante es la de la divulgación.
A veces pienso que soy muy machacón con el mismo mensaje. Pero vivimos en una sociedad en la que la noticia pasa muy rápido. Entonces, hay que ‘machacar’. Me gusta dar a conocer este mundo, muchos piensan que esto es fantasioso, de película. Pero, no, hablamos de realidades.
