Entrevistamos a Martín Vigo experto en ciberseguridad

En ciberseguridad la educación es clave.

Martín Vigo es un destacado experto español en ciberseguridad, originario de Vilaxoán, Galicia. Su pasión por la informática comenzó a los 9 años, cuando recibió un ordenador Amstrad como regalo de Primera Comunión. Aquella pantalla monocromática, ideada para aprender a programar y correr videojuegos de 8 bits, despierta la curiosidad de Martín Vigo y, durante su adolescencia, comienza a interesarse por su verdadera pasón: la ciberseguridad y el hacking.
Tras pasar por empresas como Apple, Google y Salesforce, Martín Vigo funda Triskel Security, una consultora especializada en soluciones de seguridad de la información. Dirige el podcast “Tierra de Hackers”, donde analiza noticias y tendencias relacionadas con el hacking, las ciberamenazas y la privacidad en Internet. Y también es advisor de Axyom, donde ayuda a generar las mejores productos de ciberprotección para PYMEs.

Martín, ¿cuál es la principal ciberamenaza que enfrentan a día de hoy las PYMEs?

En el caso de las PYMEs, lo más frecuente son ataques por medio de ingeniería social o phishing. Se trata de estrategias dirigidas a engañar directamente al usuario para que comparta sus credenciales. Esto es aún más peligroso si saltamos a lo que se conoce como spear phishing, en la que los ataques están totalmente customizados para engañar a personas específicas dentro de la organización.

¿Cómo logran los ciberdelincuentes este nivel de personalización en sus amenazas?

Es relativamente fácil a partir de la investigación. Basta con estudiar las redes sociales de la victima para idear un pretexto creíble. Por ejemplo, con el Linkedin scraping, el atacante puede averiguar el lugar de trabajo o los nombres de los compañeros de la víctima. Es bastante conocida la estafa del CEO, en la que por medio de Inteligencia Artificial se puede suplantar la identidad del responsable de la organización en un correo electrónico y pedirle a determinados empleados que realicen una tarea comprometedora, como una transferencia bancaria o la descarga de un archivo.

¿Qué es el perímetro de seguridad?

Imaginemos una frontera que delimita el interior del exterior de una empresa. El perímetro sería todo lo que queda dentro de esa frontera.

Si un atacante quiere comprometer este perímetro, debe buscar una brecha de seguridad en los sistemas de la empresa que están expuestos hacia afuera. Esto normalmente lleva mucho tiempo de trabajo y equipos dedicados. Este tipo de amenaza es más propia de grandes corporaciones y gobiernos.
Al final, se trata de encontrar un agujero en un muro, lo cual es difícil. Por eso los ciberdelincuentes prefieren usar técnicas de ingeniería social
Y aquí debemos poner el foco en las personas que trabajan en esa empresa y sus actividades, es decir, todo lo que el ciberdelincuente puede hacer para comprometer la seguridad de la empresa engañando a esas personas.

Una sensación frecuente es que hay una auténtica industria relacionada con la ciberdelincuencia.

Sí, y acuña el término del CaaS, esto es, el cibercrimen como servicio. Por ejemplo, hace poco salió a la luz el caso de una persona en Argentina que se dedicaba a crear páginas web de Apple falsas con el fin de robar las contraseñas de los móviles robados.

En este caso, distintas organizaciones dedicadas a robar móviles y mandarlos a Marruecos o China se servían de la infraestructura de esta persona para lanzar mensajes haciéndose pasar por Apple en los que se solicita el pin del móvil para recuperarlo. Una vez que el responsable de la infraestructura conocía el código de desbloqueo, se lo mandaba a sus “clientes” para que así pudieran resetear el móvil y venderlo.
Esto sen realiza a escala industrial, con equipos perfectamente jerarquizados en los que se manejan KPIs, incentivos, programas de referal…

El resultado son palés enteros de móviles robados que viajan a estos países y un modelo de negocio que genera muchísimos beneficios para los delincuentes.

¿Qué es lo primero que debe hacer una pequeña empresa que quiera defenderse de estas amenazas digitales?

Lo principal es la educación. Al final estamos hablando de buenas prácticas en el trabajo y para eso es fundamental formar a los trabajadores. Por muchas barreras tecnológicas que pongas, si al final, por medio de un engaño, un empleado proporciona sus credenciales, poco más podemos hacer. Por este motivo, lo primero que debe de hacer una PYME para protegerse es marcar unas líneas de trabajo claras para toda la organización. A esto podemos sumarle soluciones tecnológicas como un gestor de contraseñas o accesos a través de Google, por ejemplo, donde no son necesarias. Si además de esto utilizas una base de datos que impida la reutilización de contraseñas o implantas un sistema de doble autenticación, estás poniendo más barreras a los posibles ciberdelincuentes.
Por último, una buena política de recuperación en caso de ciberataque. El principal riesgo al que se enfrenta una PYME que ha sido hackeada es la interrupción de su negocio y el daño reputacional. Si tenemos claro qué hacer en ese caso y tenemos protocolos de actuación, es más sencillo recuperar la actividad de la empresa y disminuir el impacto.

Qué es más seguro, ¿Apple o Windows?

Hay algunas diferencias, pero ninguna es sustancial. Hoy en día los principales sistema operativos son perfectamente seguros.

Es posible que antes Windows estuviera un paso por detrás, pero a día de hoy están igualados. Pero volvemos a lo mismo: por muy seguro que sea un sistema operativo, si al final un empleado proporciona sus contraseñas a un ciberdelicuente, no existe forma de evitar el ataque. Por eso, como hemos dicho, la prevención y, más concretamente, la educación son claves.