Tecnología

Educación Digital

Diego Espitia: “Todos somos objetivos de la ciberdelincuencia”
Ciberdelincuencia
Diego Espitia durante su charla en el TIC Fórum 2017 de Telefónica en Managua. Foto cortesía de Telefónica.

Corporaciones, pymes y usuarios en casa deben empezar a invertir en educación para proteger sus datos y no ser víctimas de ataques en la Red.

     

Sensibilizar y generar educación es la principal inversión que deben realizar las empresas para que la información que almacenan en la red esté segura. Grandes corporaciones, pequeñas empresas y cada persona usuaria de la Internet debe estar consciente que puede ser víctima de la ciberdelincuencia.

Diego Espitia, colombiano experto en seguridad digital y orador de Eleven Paths. Miembro de la unidad global de ciberseguridad de Telefónica y recién estuvo en Managua para dictar su conferencia en el TIC Fórum 2017.

¿Qué deben tomar en cuenta las empresas para el manejo de su información?

Todas las empresas lo que deben tener en cuenta es que así como invierten en dispositivos, también tienen que sobre esos dispositivos, invertir en seguridad, pero proporcional. Yo no le voy a pedir a una pyme que compre el mismo Firewall que compra un banco, porque no lo necesita, no tiene porqué comprar algo que le maneje esa cantidad de información, pero sí puede comprar un Firewall pequeño que esté gestionado.

Hay que tener claro que si tu negocio no es de seguridad o tecnología, entonces es mejor que delegar ese servicio, pero debes delegar a alguien que te responda. Tú no compras un seguro de auto a la señora de la esquina, se los compras a la empresa que pueda responder por tu carro. Existen muchas soluciones que pueden implementar de muy bajo costo, incluso gratuitas, lo que se requiere es saberlas gestionar.

¿Cuáles son las principales vulnerabilidades en los sistemas?

La mayor vulnerabilidad de todas las organizaciones es la gente, porque no le genera la cultura a la gente el manejo seguro de la información. Vulnerabilidades tecnológicas salen todos los días. Salieron 1085 vulnerabilidades el mes pasado (enero). No todos necesariamente te van a pegar a ti, pero sí te pueden afectar.

Tú no ganas nada poniendo la seguridad más alta y cubriendo las mil vulnerabilidades si tus empleados siguen usando 123456 de contraseña, si siguen publicando información sensible. Los riesgos tecnológicos son muy importantes y hay que tenerlos en cuenta, pero no es lo único que te pueda afectar la seguridad de tu información.

¿Qué se debe hacer para cambiar la cultura digital en las personas y organizaciones?

Creo que todos, las personas y las empresas tienen que tener en cuenta que todos, todos son objetivos de la ciberdelincuencia. No porque tú no seas Donald Trump quiere decir que no te ataca, ni que no eres importante. A veces los delincuentes lo que buscan es un dispositivo tuyo para ellos poder generar más tráfico y más afectaciones, eso es lo primero, esa consciencia de que yo puedo ser objetivo.

Luego es revisar tú qué tienes. Todos los entornos cibernéticos, redes sociales, correos, todos brindan mecanismos de seguridad. Entiéndelos y úsalos. Dejar usuario y contraseña ya no sirve de nada, habilitar un segundo factor de autenticación, tener en cuenta que aplicaciones bajas, no bajar aplicaciones de cualquier lado, no abrir correos dudosos.

Venimos diciendo eso desde hace diez años, pero las personas lo siguen haciendo, por eso las empresas deben empezar a implementar controles y medidas de seguridad que sean efectivas. Un Firewall te asegura el perímetro, pero no controla las aplicaciones si no lo sabes configurar. Esa gestión es la que tienes que aprender a hacer.

El usuario común que no pertenece a una organización ¿También es vulnerable? ¿Qué puede perder?

Si publicas tu foto, tu foto puede ser robada. Y con tu foto, tu identidad. Con tu identidad, te suplantan. Y con tu suplantación afectarte. Le sucede a mucha gente, a mucha más gente de lo que pensamos. A mucha gente le clonan la tarjeta y dicen –No, eso fue porque la metí en tal lado. – Puede ser que no, fue simplemente porque publicaste toda tu información, tomaste una foto a tu tarjeta u otras cosas. Eso es uno.

Y dos, lo pueden usar para generar afectaciones a tus contactos, no necesariamente eres tú el objetivo. Existen teorías que dicen que cualquier persona está tan cerca de la otra como conocer seis personas más. Si yo te llego a ti, tú eres amigos de no sé quién y ese amigo de no sé quién le llega a otro y te etiqueto a ti porque eres el más vulnerable. No necesariamente tú tienes que ser superestrella para que seas objetivo.

El usuario en casa ¿Qué puede hacer para proteger sus datos?

Generar cultura y saber que no se debe seguir así y confiar ciegamente. Tienes que aprender que debes cambiar la contraseña, no es una molestia que te quieren hacer, es una necesidad de proteger tu vida, tu información.

Que cambies la contraseña de tu router en casa, cambiar la contraseña del correo con la que sincronizaste el televisor, cambiar la contraseña de la cámara web que compraste, cambiar la contraseña del wearable que tienes sincronizado con tu dispositivo móvil. Es tu vida, es tu información la que va a estar en riesgo y te puede afectar en todos los niveles de tu vida.

Si soy víctima de la ciberdelincuencia ¿Qué puedo hacer?

Existen políticas y buenas prácticas de manejo de incidentes y está establecido el desarrollo de un Centro de Respuestas a Incidentes Cibernéticos. Si estás siendo víctima de un ataque hay que contener el ataque a la menor cantidad de dispositivos que te afecte.

Si tienes un ransomware en un servidor, controlas que ese servidor no propague el malware al resto de la organización, sin desconectarlo porque eso hace que se pierda evidencia forense. Una vez contenido, se hacen unos análisis de evidencia forense y se debe denunciar e implementar leyes en contra de la ciberdelincuencia.