¡°Es irresponsable no instalar las actualizaciones del m¨®vil; pones en peligro a los dem¨¢s¡±
La coautora de una nueva doctrina para la ciberseguridad cree que los estados deben desarrollar una estrategia conjunta para detectar a tiempo las amenazas
Deirdre K. Mulligan (Brooklyn, 1966) cree que la ciberseguridad se tiene que elevar a la categor¨ªa de la sanidad. Debe ser tratada como un bien de inter¨¦s p¨²blico. Igual que las personas est¨¢n educadas para reconocer los s¨ªntomas derivados de enfermedades, defiende que tienen que disponer de las herramientas para conocer la vulnerabilidad de sus dispositivos electr¨®nicos, de todos los que se conectan a Internet. Mulligan, que es la directora del centro de Derecho y Tecnolog¨ªa de la Universidad de California Berkeley, sostiene que no instalar las actualizaciones en los m¨®viles, tabletas y ordenadores es un acto irresponsable. "Por evitar que el aparato sufra modificaciones, como que funcione m¨¢s lento, se est¨¢ poniendo en peligro al resto". Esos m¨®viles con software obsoleto pueden ser f¨¢cilmente hackeados y usados para ataques masivos.
Coautora de una nueva doctrina para la ciberseguridad, junto a otro investigador de la Universidad de Cornell, Mulligan explic¨® los puntos clave de ese marco te¨®rico en la XX Jornada Internacional de Seguridad de la Informaci¨®n de ISMS Forum celebrada en Madrid. Educar sobre los riesgos y las consecuencias de los ciberataques y concienciar a los estados para que desarrollen una estrategia conjunta para detectar a tiempo las amenazas son las l¨ªneas principales de la doctrina, que destierra algunas estrategias planteadas hasta ahora como poner el foco en la identificaci¨®n de los cibercriminales para despu¨¦s juzgarlos.?
Pregunta. Teniendo en cuenta el alcance de los ¨²ltimos ciberataques [esta entrevista se realiz¨® antes de la alerta lanzada el pasado lunes por el FBI por un ataque de hackers para apropiarse de los routers dom¨¦sticos], ?cree que los gobiernos est¨¢n lo suficientemente volcados en la b¨²squeda de soluciones?
Respuesta. Los gobiernos, las empresas y los individuos est¨¢n cada vez m¨¢s preocupados. El ciberespionaje relacionado con documentos clasificados, el ataque a webs y el robo de contrase?as y datos personales est¨¢ creciendo. Hasta ahora se ha puesto el foco en desarrollar nuevas tecnolog¨ªas para frenar ese avance, pero la soluci¨®n requiere pol¨ªticas p¨²blicas. Nos tenemos que plantear una intervenci¨®n en decisiones que hasta ahora han reca¨ªdo en los individuos, como por ejemplo, la instalaci¨®n de las actualizaciones en sus dispositivos m¨®viles. Hacer caso omiso o posponerlas es irresponsable. Esas actualizaciones tienen sentido desde el punto de vista t¨¦cnico: son parches de seguridad para solucionar vulnerabilidades del sistema.
Todos los pa¨ªses tienen normativas de seguridad, pero el problema es que no existe una coordinaci¨®n. Aunque no vayamos a actuar de la misma manera, compartir informaci¨®n y prever amenazas de forma conjunta ser¨ªa un avance.
P. ?Cree que parte de la soluci¨®n pasa por educar a los ciudadanos para que sean conscientes de esos peligros y hagan lo posible por remediarlo?
R. Nunca vamos a tener sistemas perfectos. La gente no se va a comportar de forma ejemplar, hay personas que est¨¢n continuamente intentando atacar sistemas, algunos por razones econ¨®micas o pol¨ªticas y otros solo para demostrar que pueden hacerlo. Podemos educar, ense?ar que si tienes muchos dispositivos electr¨®nicos que ya no usas, los tienes que apagar o podr¨ªan estar comunic¨¢ndose con redes externas y desconocidas. El primer paso para gestionar la inseguridad es asumir la responsabilidad y no mirar hacia otro lado cuando te llega a tu ordenador una actualizaci¨®n del sistema operativo, cuya misi¨®n es poner un parche de seguridad al c¨®digo de tu ordenador para hacerlo m¨¢s seguro.
"Quiz¨¢ no les deber¨ªamos dar la oportunidad de decidir, sino directamente actualizar sus equipos de forma autom¨¢tica"
P. ?Cu¨¢les pueden ser las consecuencias de no instalar esas actualizaciones?
R. Si te pregunto cu¨¢nta bater¨ªa tiene tu m¨®vil o qu¨¦ potencia tiene el wifi es f¨¢cil que respondas. Solo tienes que mirar las barras en la parte superior del dispositivo. Pero, ?qu¨¦ seguridad tiene? ?cu¨¢ntas veces han intentado da?arlo o acceder a ¨¦l a lo largo del d¨ªa? No tenemos ni idea de la seguridad de nuestro m¨®vil. Cuando se produce un ataque a una web gubernamental o corporativa, el culpable no es un individuo desde un ordenador, sino los llamados botnets, la utilizaci¨®n de millones de ordenadores de diferentes usuarios para dirigir tr¨¢fico a unos sites concretos y tumbarlos, deshabilitarlos.
Como ciudadano, no quieres que tu aparato se use con ese fin, pero no dispones de ninguna herramienta para medir la salud del dispositivo. A eso se suma que mucha gente tiene miedo de actualizar su m¨®vil por si se queda colgado, por si se borran mensajes o por si le empieza a funcionar m¨¢s lento. Otras veces est¨¢n de viaje y no tienen suficiente banda ancha y lo posponen. En ese momento, su tel¨¦fono es vulnerable y puede que alguien est¨¦ intentando obtener datos de ¨¦l o que lo quiera usar para un ataque. Irracionalmente y por su propio inter¨¦s no lo hacen, y est¨¢n permitiendo que terceras personas sean atacadas en masa. Cuanta m¨¢s gente actualiza, mejor es el sistema de seguridad para todos.
P. Igual el motivo de que muchos se relajen es precisamente que no temen ser atacados por no ser personajes famosos con material susceptible de ser robado.
R. Si te hackean el ordenador, pueden extraer informaci¨®n, detectar lo que est¨¢s tecleando o acceder al micr¨®fono. Las consecuencias pueden recaer directamente sobre tu privacidad. Ciertas contrase?as conducen a informaci¨®n de tu situaci¨®n financiera, datos de la tarjeta de cr¨¦dito, n¨²meros de tel¨¦fono, direcciones de correo electr¨®nico... Esos datos de cientos de personas pueden ser muy ¨²tiles para operaciones de fraude con tarjetas de cr¨¦dito o suplantaci¨®n de identidad, que es uno de los delitos que m¨¢s est¨¢ creciendo en el mundo. Un criminal que obtiene tus datos puede abrir nuevas cuentas con tu nombre, o vender esa informaci¨®n personal en la darknet (red oscura).
P. ?Qu¨¦ tipo de cambios legislativos propone?
R. Hoy, la gente puede decidir si actualiza su tel¨¦fono. La pregunta es ?deber¨ªamos aprobar otras pol¨ªticas? Teniendo en cuenta que sus decisiones de seguridad afectan a terceros, igual no les deber¨ªamos dar la oportunidad de decidir, sino directamente actualizar sus equipos de forma autom¨¢tica. Si consideramos que hay un riesgo p¨²blico real y que hacen todo el ecosistema m¨¢s d¨¦bil. Hay muchas diferencias entre el inter¨¦s individual y el p¨²blico y tenemos que reflexionar sobre eso. Es como el coche: en algunos pa¨ªses el cintur¨®n de seguridad es autom¨¢tico. No es el caso de Estados Unidos porque all¨ª valoramos la libertad.
P. En ese caso, los gobiernos tendr¨ªan que confiar en el criterio de las tecnol¨®gicas a la hora de lanzar las actualizaciones de los sistemas operativos. Confiar a ciegas en que van a llegar a tiempo.
R. Las compa?¨ªas est¨¢n interesadas en abordar esas vulnerabilidades; para ellas es una cuesti¨®n de tiempo y dinero. Adem¨¢s, se enfrentan al reto de asegurar que esos parches de seguridad ser¨¢n compatibles con otros servicios. Por ejemplo, en el caso de Microsoft, cerciorarse de que no entorpecer¨¢n la ¨²ltima versi¨®n de Microsoft Office. Tambi¨¦n de que los aparatos soportar¨¢n la actualizaci¨®n. En el caso de Apple, es m¨¢s f¨¢cil porque no hay muchos usuarios con sistemas operativos iOS antiguos. Han sido forzados a cambiar el terminal para poder estar al d¨ªa. Los ordenadores de casa funcionan de forma diferente; se suelen mantener durante m¨¢s tiempo y las aplicaciones que se descargan no est¨¢n tan constre?idas por el sistema operativo como las de los m¨®viles. Es otro ritmo.
"Nuestra doctrina propone conseguir que la gente instale los parches de seguridad, que entiendan cuando sus m¨¢quinas est¨¢n infectadas"
P. Con el Internet de las cosas muchos aparatos est¨¢n conectados entre s¨ª. ?Esos sistemas tan abiertos son m¨¢s vulnerables a los ataques?
R. Son aparatos inteligentes que est¨¢n conectados a Internet y pueden ser hackeados. Ahora se est¨¢ dando un giro en el planteamiento de esos productos para dar prioridad a la seguridad desde el momento del dise?o y de la fabricaci¨®n. El gran problema es que muchos de esos dispositivos no permiten actualizaciones. Pantallas t¨¢ctiles desde las que se controla el termostato, el cierre de puertas o las luces de la casa. Son f¨¢ciles de instalar y c¨®modos, pero sabemos que son vulnerables desde el punto de vista de la seguridad y que pueden ser usados de forma conjunta para crear una infraestructura que d¨¦ soporte a diferentes tipos de ataques.
En Estados Unidos se ven como productos de usar y tirar y no han sido fabricados para lidiar con vulnerabilidades. No tienen la capacidad de admitir parches de seguridad. No hablo de Alexa, sino de aparatos que normalmente han sido lanzados al mercado por peque?as compa?¨ªas.
P. ?El problema son las peque?as compa?¨ªas?
R. Intentan sacar productos al mercado de forma r¨¢pida que resulten atractivos e innovadores. La seguridad cuesta dinero y los consumidores no est¨¢n dispuestos a pagar m¨¢s por una c¨¢mara para controlar a su beb¨¦ que sea segura desde el punto de vista de los ciberataques. Piensan, ?qui¨¦n va a querer ver a mi beb¨¦? En t¨¦rminos de desarrollo del producto es m¨¢s caro y adem¨¢s cuanto m¨¢s seguro es un aparato menos posibilidades hay de conectarlo con otros. La gente quiere sacar el aparato del embalaje, enchufarlo y poder hacerlo todo a la vez. El mercado de la seguridad no es rentable.
P. ?Qu¨¦ novedad incorpora su doctrina para la ciberseguridad con respecto a las tres anteriores?
R. Se centraban en dos aspectos que resultan ineficientes. Dejaban el peso sobre el avance de la tecnolog¨ªa y el desarrollo de sistemas de seguridad m¨¢s s¨®lidos. Es imposible. Pensemos en una casa. Para que sea segura la construiremos de metal, con una sola ventana, peque?a, con una puerta de acceso con huella digital. Muy segura pero muy poco atractiva para vivir, sin luz. Podemos construir sistemas muy seguros, pero la gente quiere descargar aplicaciones, que sea compatible con otros aparatos, usar wifi. Construir un sistema que sea seguro en todos esos entornos es un gran problema de ingenier¨ªa. Otro problema a?adido es que hay quienes quieren atacar y acceder a esos sistemas; buscan continuamente las ventanas, los huecos de vulnerabilidad por los que colarse.
Otro de los defectos es centrarse en el castigo a los cibercriminales. Encontrar la m¨¢quina original y a la persona que hay detr¨¢s es muy complicado. Luego est¨¢ la cuesti¨®n de si el pa¨ªs lo extraditar¨¢ para que sea juzgado. Esa es otra doctrina que no funciona. Nuestra doctrina propone conseguir que la gente instale los parches de seguridad, hacer que entiendan cuando sus m¨¢quinas est¨¢n infectadas, y asegurar que las mantienen lo m¨¢s seguras que pueden. Similar al escenario sanitario: tu salud contribuye a la salud general.
Tu suscripci¨®n se est¨¢ usando en otro dispositivo
?Quieres a?adir otro usuario a tu suscripci¨®n?
Si contin¨²as leyendo en este dispositivo, no se podr¨¢ leer en el otro.
FlechaTu suscripci¨®n se est¨¢ usando en otro dispositivo y solo puedes acceder a EL PA?S desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripci¨®n a la modalidad Premium, as¨ª podr¨¢s a?adir otro usuario. Cada uno acceder¨¢ con su propia cuenta de email, lo que os permitir¨¢ personalizar vuestra experiencia en EL PA?S.
?Tienes una suscripci¨®n de empresa? Accede aqu¨ª para contratar m¨¢s cuentas.
En el caso de no saber qui¨¦n est¨¢ usando tu cuenta, te recomendamos cambiar tu contrase?a aqu¨ª.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrar¨¢ en tu dispositivo y en el de la otra persona que est¨¢ usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aqu¨ª los t¨¦rminos y condiciones de la suscripci¨®n digital.
Sobre la firma
