David Prieto: "Ante un ciberataque debemos interponer denuncia"

El Centro de Innovación Cybersecurity of Things de Telefónica, ubicado en La Marina de Valencia, es un espacio de innovación abierto dirigido por la unidad de servicios de ciberseguridad de Telefónica, ElevenPaths. Como otros centros de innovación de ElevenPaths, este centro está especializado en un ámbito determinado de la ciberseguridad, en concreto la seguridad aplicada al Internet de las Cosas en todo su conjunto que va desde el dispositivo hasta las plataformas (Smart City, Smart Port, etc.) pasando, naturalmente, por las comunicaciones. Dentro de las actividades de interés del Centro también se encuentran aquellas relacionadas con el gobierno de la seguridad ligado la gestión de los ciber-riesgos y el cumplimiento regulatorio aplicable al paradigma IoT. Este último punto es muy relevante ya que una de las vocaciones del Centro es la actividad divulgativa y formativa.

David Prieto lleva más de 15 años dedicándose a la seguridad en la red. Desde sus inicios en Telefónica I+D ha desarrollado su carrera profesional en diferentes roles, siempre ligado a la seguridad hasta liderar en la actualidad el centro de ciberseguridad de Mediterráneo.

David, ¿qué hacéis y qué perfiles trabajáis en el Centro de Ciberseguridad?

Nuestros compañeros son investigadores que desarrollan actividades de innovación dentro de este ámbito. En función del proyecto, pueden ser perfiles de ingeniería experimental que llevan a cabo el desarrollo de pruebas de concepto en el laboratorio y otros que pueden tener un perfil más analítico, ligado a proyectos de investigación de tendencias en materia de necesidades de cumplimiento regulatorio, estado del arte de la ciberseguridad en el mundo IoT, etc. El Centro tiene un espíritu de innovación abierta y, por lo tanto, estamos interesados en la participación de otras entidades de la Comunidad Valencia: Universidades, Institutos Tecnológicos, empresa, etc.

¿Y cuál es el perfil del ciberdelincuente? ¿Ahora hay más o sólo se han multiplicado los ataques?

Es evidente que la situación provocada por el coronavirus, la imposición del estado de alarma, el cierre de determinadas actividades empresariales y el confinamiento de las personas en sus casas ha supuesto un profundo y súbito cambio en la sociedad. Y si algo caracteriza a la delincuencia en general y la ciberdelincuencia en particular es su capacidad para aprovechar las situaciones que se le ofrecen y también su falta de escrúpulos a la hora de actuar ignorando la posible posición de debilidad de su víctima o las consecuencias que le pueden acarrear. Esta situación supone un caldo de cultivo ideal para que los ciberdelincuentes quieran aprovechar las vulnerabilidades que están emergiendo en este nuevo escenario caracterizado por dos cuestiones, fundamentalmente, la altísima demanda de información por parte de la población, y la explosión del teletrabajo que transfiere el desarrollo de la actividad de negocio a los hogares.

Aunque realmente no hay ninguna novedad significativa respecto a los tipos de incidentes. Son los viejos conocidos: malware (archivos maliciosos que pueden contaminar los equipos), ransomware (secuestro de datos que impide el acceso y/o lectura de los mismos), phishing (suplantación de identidad), spam… y los mismos actores maliciosos ya conocidos. La novedad radica en que se está utilizando el interés que la gente tiene en informarse sobre el Covid-19 para lanzar estos ataques. Así pues, se han detectado campañas de phishing que suplantan a organismos sanitarios gubernamentales y que adjuntan documentos maliciosos, campañas de spam bajo la temática de la contratación de un seguro de salud, ataques de ransomware contra organismos públicos, etc., siempre con la intención de propagar malware. Otro vector de ataque detectado está siendo las aplicaciones interactivas que muestran mapas con la evolución de la incidencia del Covid-19. Se ha descubierto que alguna de estas aplicaciones es maliciosa y difunden cierto malware capaz incorporar el ordenador a una botnet (robot informático que funciona de forma autónoma). Y, por supuesto, están las fake news (noticias falsas o bulos) que impactan directamente en la desinformación de la ciudadanía y pueden provocar una alarma social injustificada.

En este periodo de confinamiento han aumentado los ciberataques a instituciones públicas y privadas, ¿Os han pedido colaboración desde las Administraciones Públicas valencianas para aumentar su seguridad? ¿Y las fuerzas de seguridad?

Además de asegurar que la conectividad y la red de telecomunicaciones funcione a pleno rendimiento, de una manera fiable, estable y segura, Telefónica ha puesto a disposición de las Administraciones Públicas y las instituciones sanitarias los servicios y capacidades para ayudar a contribuir a los esfuerzos para contener el brote. Capacidades de Big Data y de gestión de datos anonimizados y agregados de nuestra red, datos de movilidad, centros de procesamiento de datos en la nube, así como capacidades de atención telefónica o digital. Adicionalmente, Telefónica mediante el acuerdo firmado el 20 de marzo entre el Gobierno de España y las principales operadoras de telecomunicaciones, se compromete a hacer los mayores esfuerzos para garantizar la conectividad, las capacidades de operación y supervisión de las redes y la agilidad de respuesta ante incidentes, especialmente en lo que respecta a las redes que dan soporte a los servicios de emergencia. Por último también destacar que Telefónica ha colaborado, junto a otras empresas, en la creación de la app www.coronamadrid.com, presentada el día 18 de marzo por la Comunidad de Madrid. El sistema permitirá examinar síntomas para recibir recomendaciones de actuación y descongestionar las líneas de atención telefónica, de forma más eficaz y personalizada.

En las últimas semanas varios hospitales han sufrido ataques, ¿por qué los ciberdelincuentes atacan a las instituciones sanitarias, tan necesarias en este momento?

Aunque es cierto que el Ministerio del Interior informó sobre el ataque al sistema informático de hospitales, debemos entender que este ataque en particular cobra especial relevancia en la situación actual dado el impacto que podrían tener estos ataques en la salud pública en caso de que tuvieran éxito. Lo que, dicho sea de paso, pone de manifiesto la falta de escrúpulos de los ciberdelincuentes a la que me refería anteriormente. Sin embargo, si algo nos está enseñando esta situación es que todos somos vulnerables, y estamos viendo que, también en el ámbito de la ciberseguridad, tanto grandes corporaciones como el ciudadano de a pie pueden recibir ataques de distinta naturaleza. Lo que sí que es cierto que, si el objetivo del atacante es, por ejemplo, realizar un ataque ransomware, ciertas infraestructuras críticas pueden ser más vulnerables en el sentido de que el atacante pueda entender que éstas estarían más dispuestas a pagar el rescate dada la necesidad de mantener la disponibilidad de un servicio.

Plataformas como Spotify, Movistar+, Amazon…¿están sufriendo estos ataques? En caso afirmativo, ¿Qué intereses persiguen atacando estas plataformas de ocio?

Se han detectado por ejemplo casos de phishing a plataformas de video como Netflix, a través de enlaces que se está difundiendo por el canal de mensajería instantánea WhatsApp, bajo la demanda de una suscripción gratuita y utilizando de gancho el COVID-19. No se descarta la proliferación de campañas similares usando la imagen de otros canales de entretenimiento y/o difundiéndose a través de otros medios como puede ser el correo electrónico. Una vez que el usuario hace clic en el enlace, se le redirige a una pequeña encuesta y una vez finalizada, se insta a difundir el mensaje entre sus contactos para poder disfrutar de la promoción.

Por la información que manejáis diariamente, ¿Quiénes dirías que son los grupos sociales más vulnerables a los ciberataques?

Como decíamos anteriormente, más que grupos sociales más o menos vulnerables, hablaría de nuevos escenarios al que nos vemos todos expuestos y por tanto más vulnerables, tales como la demanda de información sobre el Covid-19, compra de productos relacionados con la epidemia del coronavirus, en particular las mascarillas, o la masiva aplicación del teletrabajo. Para mostrar un reflejo de esta nueva realidad que vivimos, por ejemplo, de acuerdo a la información que manejamos de nuestra solución de seguridad en la red, los datos más relevantes desde que comenzó esta pandemia serían los siguientes:

Se registran bloqueos relacionados con el Covid-19 a partir del 1 de febrero.
El 13 de febrero comienza a ser significativo el número de bloqueos.
El mayor pico de bloqueos se registra durante los días 15 y 16 de marzo, siendo el día 15 el más destacado, el día de inicio de la alerta sanitaria.

En términos de conectividad, podríamos decir que el día 10 de marzo, cuando se produjo el cierre de los centros educativos, se produjo un incremento del 300% del tráfico relacionado con la actividad de gaming online. En el fin de semana del 13 y 14 en los primeros días del estado de alarma se produjo un incremento del 84% y 100% del tráfico de voz fija y móvil. El lunes 16, primer día de teletrabajo masivo, se produjo una explosión tremenda de tráfico de carácter empresarial.Sin embargo, podemos dar un mensaje de tranquilidad, las redes están funcionando muy bien, son fiables. Afortunadamente podemos decir que no somos parte del problema sino parte de la solución.

¿Cómo podemos enseñar a los mayores y los pequeños en qué cosas no tienen que entrar o qué tipos de archivos no pueden descargarse?

Podríamos resumir las medidas en tres consejos principales. Primero, extremar la precaución con los enlaces, correos y cadenas de WhatsApp que tengan contenidos relacionados con el Covid-19, y revisarlos antes de descargar nada. Segundo, prestar mucha atención a quienes te contactan y siempre verificar la identidad de nuestro interlocutor. Los ciberdelincuentes se pueden hacer pasar, por ejemplo, por un técnico de la empresa en la que trabajamos para robar información o credenciales.Y tercero, cuidado con el phishing, muchas páginas y direcciones de correo se mimetizan con las oficiales, parecen reales pero lo que realmente quieren es robarte tu identidad. Por eso debemos verificar la URL y el remitente.Como conclusión para nuestros pequeños y mayores decirles que se trata de aplicar el sentido común y la misma protección a nuestra vida online que a la física.

¿Cómo podemos aumentar la seguridad de nuestros móviles, tabletas y ordenadores?

Al igual que hacemos normalmente debemos proteger y cuidar estos dispositivos ya que son una parte casi inseparable de nosotros mismos. Las normas básicas que deberíamos aplicar podrían ser algunas tales como: instalar y tener actualizado nuestro antivirus, hacer copia de seguridad de nuestros datos, proteger los dispositivos con contraseñas, PIN o información biométrica, no usar el mismo dispositivo para trabajo y para ocio, cambiar la contraseña por defecto de nuestro router wifi, revisar nuestra configuración de privacidad, revisar los permisos de las aplicaciones y por último gestionar bien las contraseñas, eligiéndolas seguras y diferentes para nuestras cuentas de correo y redes sociales ayudándonos de gestores.

Otro tema que preocupa bastante a empresas y trabajadores es cómo proteger la información de la empresa de estos ataques, ¿nos das algunos consejos?

Ante la llegada del Covid-19 numerosas empresas y usuarios se han visto obligados a recurrir al teletrabajo de forma masiva. Esto conlleva un aumento del riesgo de que software vulnerable o información incorrectamente protegida sean objetivo de ataques e intrusiones. En cualquier caso, las recomendaciones básicas para el desarrollo del teletrabajo, en general, poco difieren de las que deberíamos aplicar en el uso personal de la tecnología en nuestro día a día y que más o menos describíamos antes: tapar la cámara del ordenador, tener el sistema operativo, antivirus y aplicaciones debidamente actualizadas, utilizar servicios de conexión segura, delegar en servicios Cloud corporativos el almacenamiento de información evitando tener información crítica en nuestro ordenador, estar alerta a posibles ataques de phishing, sospechar de enlaces y archivos adjuntos no solicitados, proteger las cuentas y utilizar sistemas de doble factor de autenticación, securizar la red doméstica y utilizar cable en lugar de Wi-Fi cuando sea posible, utilizar un gestor de contraseñas… Estos son tips de seguridad que cualquier usuario puede seguir, además de los que pueda ofrecer la organización de manera corporativa como puedan ser VPNs, ofrecer dispositivos corporativos y plataformados, etc.

¿Se puede denunciar a la Policía un ciberataque?

La colaboración ciudadana es fundamental para interceptar a tiempo casos de fraude y localizar así lugares desde donde se publican páginas fraudulentas, se emiten mensajes maliciosos y se almacenan datos robados de usuarios. Habitualmente hay organismos como por ejemplo el Instituto Nacional de Ciberseguridad (INCIBE), a través del Centro de Respuesta a Incidentes de Seguridad (INCIBE-CERT), pone a nuestra disposición medios como buzones de denuncia para facilitar esta colaboración. Se pueden realizar pasos previos tales como reportar el problema al servicio desde dónde se está produciendo o acudir a las oficinas municipales de información al consumidor. Pero si el problema no se puede solucionar mediante los pasos anteriores, deberemos interponer la denuncia correspondiente ante las Fuerzas y Cuerpos de Seguridad del Estado (FCSE).

¿Cómo se puede acreditar un ataque para presentar una denuncia?

Todo el detalle se puede encontrar en las páginas web de los FCSE. No obstante, lo más habitual es que se deba reflejar, si es posible, de forma cronológica, lo que ha sucedido o se ha observado y que consideras que es delictivo. También deberás acompañar la denuncia con los documentos en formato digital que acrediten lo que se está denunciando.