El día después de esta entrevista, Yahoo reconoció que había sufrido un ataque hacker y que alguien había tenido acceso a los datos de más de 500 millones de personas. “Las empresas se dividen entre las que han sido hackeadas y las que serán hackeadas”, repite como un mantra Miguel Ángel Arroyo, un experto en ciberseguridad, uno de los llamados hackers éticos que saben de lo que hablan.

Escuchar a Miguel Ángel Arroyo puede dar miedo. Su blog no engaña a nadie: “¿Estás seguro de que estás seguro?”, se pregunta en el título. Hace una semana, logró reunir en Córdoba a más de 800 personas para hablar de lo que es la gran amenaza mundial: la seguridad informática. Y también de lo rápido que avanzan las nuevas tecnologías mientras nadie parece caer en algo fundamental: lo vulnerables que nos hacen al depender cada vez más de ellas.

En el vídeo, sorprende que Arroyo reconozca que tapa la webcam de su ordenador. Él es un hacker, pero de los buenos, de los éticos, y sabe perfectamente lo que otro con oscuras intenciones puede llegar a hacer. La entrevista, lo que dice este cordobés experto en seguridad informática, es inquietante. Pero esto es lo que hay.

Miguel Ángel Arroyo, hacker ético | ALVARO CARMONA
Miguel Ángel Arroyo, hacker ético | ALVARO CARMONA

PREGUNTA. Tenía muchas ganas de hacer esta entrevista.

RESPUESTA. Espero poder aportar algo (risas).

P. Llevo dos semanas muy enganchado a una serie de televisión, Mr. Robot. ¿La has visto?

R. Sí.

P. ¿Todo lo que cuenta la serie, que asusta mucho, es real, puede pasar?

R. Mr. Robot gusta tanto a la gente, sobre todo a los que nos dedicamos a la ciberseguridad, porque es bastante real. Es decir, las técnicas que utiliza el personaje, los métodos que usa a la hora de obtener información, se asemejan bastante a la realidad. Muchos de los pantallazos que aparecen, cuando se ve las herramientas que usa, no se tratan del típico botón rojo de hackear de otras películas. No, el tío se lo curra con herramientas que nosotros, los que nos dedicamos a esto, utilizamos. Como es una serie que se lo curra, la he visto. Incluso la primera temporada la vi varias veces. Soy fan de Mr. Robot.

Puedes ir en el autobús ahora mismo y con tu tarjeta de crédito y el sistema NFC que lleva te pueden robar los datos con una pequeña fundita especial si no la llevas protegida

P. Este jueves [la entrevista se realiza el día antes] se estrena el último capítulo de la segunda temporada. No vamos a hacer spoiler (risas). Viéndola… ¿da un poco de miedo que todo eso pueda ocurrir?

R. Sí, la verdad es que sí. A mí, que pertenezco a este mundillo y sé el tipo de amenazas que hay, me impresiona realmente. Lo que más miedo me da es el desconocimiento de la sociedad de que esto realmente puede pasar. Es decir, puedes ir en el autobús ahora mismo y con tu tarjeta de crédito y el sistema NFC que lleva [Near Field Comunication, tecnología de comunicación inalámbrica, de corto alcance y alta frecuencia que permite el intercambio de datos entre dispositivos] te pueden robar los datos con una pequeña fundita especial si no la llevas protegida. En un autobús alguien se puede acercar a ti y robarte la información de la tarjeta. Y eso te puede pasar a ti. Ahora le hablas a la gente de que debe llevar una fundita faraday y no sabe ni de lo que le estás hablando. Parece que le estás contando Matrix o alguna película de esas. Da miedo.

Lo que más miedo me da es el desconocimiento de la sociedad de que esto realmente puede pasar

Miguel Ángel Arroyo, hacker ético | ALVARO CARMONA
Miguel Ángel Arroyo, hacker ético | ALVARO CARMONA

P. En el vídeo nos has comentado que tú haces como Marck Zuckerberg, el dueño de Facebook, que tapas con celo la cámara del ordenador. Incluso nos recomiendas que lo hagamos con el móvil. ¿Tan fácil es hackearnos?

R. Pensad que si lo hacemos con el portátil lo hacemos porque se trata de un ordenador con un sistema operativo, un software, que puede ser vulnerable. El hecho de que el sistema operativo nos pide que actualicemos es por eso: salen constantemente vulnerabilidades de seguridad y quiere que las corrijamos. Con los móviles pasa exactamente igual. No dejan de ser microordenadores de bolsillo, que tienen su software y vulnerabilidades que se pueden explotar también. Parece contradictorio que haya gente que tiene puesta una pestañita en la cámara de su webcam, pero sin embargo en su móvil, con dos cámaras, la delantera y la trasera, no lo lleva. Quizás nos creemos que al ser un móvil no se puede hackear. Pues es exactamente igual. Si te contectas a una red wifi pública y tu móvil tiene algún tipo de vulnerabilidad que pueda ser explotada remotamente, tu exposición a esa amenaza es la misma. Incluso en los móviles llevamos a veces fotografías, información más personal…

P. Quizás es peor.

R. Claro. Es que como bien sabes ya no es solo un teléfono. El móvil se utiliza para el trabajo, para hacer fotografías con tus hijos, tu familia… Lleva una información muy sensible. La gente realmente desconoce ese tipo de amenazas. Tiene que ser bastante engorroso que tú estés de viaje o quieras hacer una foto y digas: “No, espera, que le voy a quitar la tirita”. La webcam la usamos para alguna videoconferencia, pero poco más. Por eso podemos tener tapada la cámara casi de manera perpetua. Pero en el móvil sí que usamos mucho las cámaras.

Cuando hablamos por teléfono, ¿nos pueden asegurar que es algo totalmente privado?

P. No solo eso. También he leído que a través del móvil te pueden hackear el micrófono y si te quieren escuchar, te escuchan. No solo te pinchan la llamada. También te pueden escuchar aunque no estés hablando por teléfono a través del micrófono del móvil. Mira lo que le ha pasado al ministro del Interior, Jorge Fernández Díaz, que lo han grabado en su propio despacho.

R. Es que al final no llevamos el móvil que teníamos hace 12 años, que solo servía para llamar y enviar SMS. Llevamos un micrófono, una cámara… un montón de cosas que son fuentes de información que vamos capturando. Llevamos nuestro correo electrónico… Se habla mucho de la NSA, de las escuchas, del caso Snowden, realmente nuestras comunicaciones por sistema GSM, cuando hablamos por teléfono, ¿nos pueden asegurar que es algo totalmente privado? Es muy difícil de controlar. Incluso los móviles. El caso famoso del FBI [se refiere al atentado de San Bernardino]. Cuando hubo un atentado y querían sacar información, Apple no podía descifrar el dispositivo. Al final tuvieron que buscarse otras formas, buscarse la vida y hackear el iPhone para sacar la información. Es un poco para que veas hasta qué punto es factible hackear un móvil y activar el móvil para escuchar a alguien. Es posible.

Hay ciberdelincuentes que para no dejar rastro te piden que les pagues en bitcoins

Miguel Ángel Arroyo, hacker ético | ALVARO CARMONA
Miguel Ángel Arroyo, hacker ético | ALVARO CARMONA

P. Está claro que la sociedad no es consciente de todo esto. Pero, no sé si esa amenaza es real y ya hay gente que está haciendo todas estas cosas.

R. Sí. Quizás no al nivel que vemos ahora mismo en la serie de Mr. Robot. En Córdoba no veo a gente capacitada que se suba en los autobuses de Aucorsa con su lector NFC robando datos de tarjetas. Pero quizás hace 15 años no se producían tantos casos de ransomware. Y los contabas un poco y parecía ciencia ficción.

P. ¿Qué es el ransomware?

R. Es un tipo de malware, de virus troyano, que te cifra los datos de tu ordenador. No puedes acceder a ellos y el ciberdelincuente te pide un rescate. O sea, ¿quieres volver a recuperar todos tus archivos? Bueno, pues eso son 2.000 euros, 2.000 dólares o incluso hay ciberdelincuentes que para no dejar rastro te piden que les pagues en bitcoins.

Somos más vulnerables porque cada vez usamos más nuevas tecnologías. Y no estamos preparados

P. Mr. Robot también abre el debate del uso de los bitcoins.

R. Claro, por eso te digo que es muy real. No solo en los ataques, en las técnicas que utiliza, sino en el más allá a la hora de no dejar rastro. Un ciberdelincuente no te va a dejar una cuenta bancaria rastreable para que pagues y recuperes tus archivos. Te va a dejar un tipo de PaypPal de origen ruso o por el estilo. O con bitcoins. Para que la trazabilidad de saber a quién va ese dinero sea prácticamente imposible.

P. ¿Somos hoy más vulnerables de lo que éramos hace 12 años con esos teléfonos móviles tan simples?

R. A ver, somos más vulnerables porque cada vez usamos más nuevas tecnologías. Y no estamos preparados. Esto avanza muchísimo. Se habla ya del IOT, del internet de las cosas, del Big Data y todo. Te he comentado antes que lo último que he hackeado ha sido el smart TV de mi casa. Ya hay frigoríficos inteligentes que se conectan a la wifi. Los coches ya mismo por la calle. Los Tesla automáticos. Realmente no estamos preparados. Las nuevas tecnologías van a una velocidad muy diferente a la concienciación de los propios usuarios, de su concepción de la privacidad. Eso va mucho más lento. Y cada día somos más vulnerables. Antes, hace 15 años te podían hackear el teléfono y lo más que podían era espiarte las llamadas. Pero es que ahora tienen vídeos, fotos, te pueden hackear tus correos electrónicos, perfiles de redes sociales… En nuestro argot lo llamamos aumentar la superficie de ataque. Y esta superficie de ataque cada vez es mayor. Usamos cada vez más las nuevas tecnologías y cada vez tenemos más amenazas.

Hace 15 años te podían hackear el teléfono y lo más que podían era espiarte las llamadas. Pero es que ahora tienen vídeos, fotos, te pueden hackear tus correos electrónicos, perfiles de redes sociales…

Miguel Ángel Arroyo, hacker ético | ALVARO CARMONA
Miguel Ángel Arroyo, hacker ético | ALVARO CARMONA

P. Las nuevas tecnologías también nos ayudan a encontrar a los malos. En el día a día vemos que es fácil dar con los delincuentes por el uso que hacen de los teléfonos móviles, las ciudades están plagadas de cámaras. Pero para los ciberdelincuentes dudo que sea tan fácil. ¿Está la Policía preparada para esta amenaza?

R. En España tenemos la suerte de contar con Fuerzas y Cuerpos de Seguridad del Estado que sí que están muy preparados. Tanto la Policía Nacional como la Guardia Civil cuentan con brigadas especializadas y dedicadas exclusivamente al ciberdelito. Y son bastante buenos. ¿Qué ocurre? Como todo. Si lo que te llega es que se ha cometido un delito, como puede ser el secuestro de archivos con ransomware, y el que lo ha perpetrado está en Lituania y pide el rescate por bitcoins… Si ya de por sí es muy difícil trazar [en lenguaje hacker dar con] esa comunicación, estamos hablando de problemas transfronterizos. España tiene que pedirle a Lituania que le dé información de unas IPs que luego a lo mejor mediante la red de anonimato tipo Tor pues esa persona nos dice que está en Lituania pero luego resulta que está en Albania, o desde China.

Tanto la Policía Nacional como la Guardia Civil cuentan con brigadas especializadas y dedicadas exclusivamente al ciberdelito

P. ¿Qué es Tor?

R. Tor es una red de anonimato.

P. ¿Un internet oculto?

R. Bueno, realmente lo que oculta es tu dirección de origen. Cada vez que nos conectamos a internet lo hacemos a través de una IP, que es una dirección única. Nuestro proveedor de servicio nos da esa conexión. Lo que hacemos con Tor es conectarnos a unos nodos que están situados en diferentes países. Por lo tanto, si alguien quiere ver nuestra IP en lugar de salir la de nuestra casa sale la de algún nodo Tor en el que nos hayamos conectado y que puede estar en la República Checa, en Irlanda… Lo que hace es dificultar ese rastreo.

P. El rastreo.

R. El rastreo. Eso lo utilizan tanto ciberdelincuentes, para no ser cazados, como muchas personas a los que los gobiernos de sus países no les dejan libertad de expresión o acceso a determinadas fuentes de información. La única manera en la que pueden hacerlo es a través de Tor.

Da miedo que te puedan hackear el coche. Tú vas por la autovía, te hackean el coche y ves cómo se te mete en un descampado, te da un trompo… Asusta

P. Volviendo al tema del internet de las cosas. Preparando la entrevista he leído que antes de ponerlos en la carretera ya han hackeado coches automáticos, los que no necesitan conductor. Eso da mucho miedo.

R. Sí, sí. Volviendo a lo de antes. Cuando los fabricantes deciden fabricar dispositivos IOT, de internet de las cosas, coches y de ese tipo, piensan más en la funcionalidad del producto más allá que de velar por la seguridad y privacidad del usuario. Y estamos hablando de Google, que no es cualquier fabricante. No se paran a pensar que hay mentes inquietas que lo primero que van a intentar es hackear ese dispositivo: el coche, el frigorífico, o lo que sea. Yo entiendo que tendrán un montón de ingenieros desarrollando esos productos y seguramente son muy buenos, pero la seguridad pasa a ser algo complementario. Es como si no se le diera la importancia que tiene. Y se va a lo funcional. ¿Funciona? Sí. Ya ha habido varios accidentes mortales con los coches Tesla. Sí, da miedo que te puedan hackear el coche. Tú vas por la autovía, te hackean el coche y ves cómo se te mete en un descampado, te da un trompo… Asusta.

Miguel Ángel Arroyo, hacker ético | ALVARO CARMONA
Miguel Ángel Arroyo, hacker ético | ALVARO CARMONA

P. Sí, sí. Asusta. Estamos viendo cómo está el mundo de loco. Y toda esta tecnología del mal puede caer en manos de un terrorista. Imagino que no nos lo tomaremos en serio hasta que no salgan hacker terroristas súper chungos…

R. No, no. Ya los hay. Ahora mismo estamos hablando de yihadistas. Ellos tienen también su propio ciberejército. Ya hay intentos de atacar infraestructuras críticas de países, como pueden ser centrales nucleares, el sistema de agua potable… Todo eso ya está pasando. Estamos en una ciberguerra. Aunque no aparezca en las noticias. Estamos en ciberguerra. Los países ya se espían sus infraestructuras críticas.

En Estados Unidos, las empresas a partir de equis empleados están obligadas a reportar cualquier incidencia de seguridad que tengan. En España no pasa

P. En España, ¿en qué bando estamos en esa ciberguerra? ¿Nos atacan? ¿Atacamos?

R. Desde la administración nos venden que estamos muy bien preparados y que tenemos a los mejores expertos. Como en España no estamos obligados a reportar las incidencias de seguridad… En Estados Unidos, las empresas a partir de equis empleados están obligadas a reportar cualquier incidencia de seguridad que tengan. En España no pasa. Si una empresa española ha sufrido un ataque informático no va a salir en los medios de comunicación. Entonces, escuchamos casos de hackeo de Sony y todas las empresas americanas importantes, pero ¿y nuestras empresas del Íbex? ¿Qué pasa? ¿Que no? Pues sí, a diario. Y seguramente han sufrido fugas de información importantes. Pero no sale en los medios. Quizás tenemos una percepción falsa de que nuestras infraestructuras críticas están bien pero no sabemos lo que pasa realmente.

Quizás tenemos una percepción falsa de que nuestras infraestructuras críticas están bien

P. Seguro que aunque no lo puedas nombrar conoces algún caso de un gran ataque en España.

R. Sí, conozco varios casos de empresas privadas. Por tema de confidencialidad no puedo decir las que son. La última fue un caso curioso. No fue por un ataque ciberterrorista, sino hacktivista. Han atacado empresas que tenían alguna relación con algún tipo de partido político. Esos han sido los ataques que más han llamado la atención en las últimas fechas, más allá de una fuga de información o de algún robo. Lo que han hecho ha sido cambiarle la imagen a la web. Lo típico de cambiar la portada de la web por Míster Bean o algo por el estilo.

P. Hace poco lo hicieron en la web del PP.

R. (Risas). Sí, por ejemplo.

El eslabón más débil en la cadena de la seguridad en la información es el empleado

P. ¿Cómo se protege una empresa para un ataque de estos?

R. Hay un componente que quizás no estamos teniendo tan en cuenta que es la educación de los empleados. No me refiero a ciberseguridad, sino a hacer un uso responsable y seguro de las nuevas tecnologías. Es decir, hablar hoy en día de antivirus y cortafuegos sobra. Cualquier empresa con dos dedos de frente tiene protegida su seguridad perimetral con firewall y sus equipos con antivirus. Pero quizás habría que hacer un poco de más hincapié en los usuarios. Es un tópico ya que el eslabón más débil en la cadena de la seguridad en la información es el empleado. Es un tópico pero no deja de ser una realidad. En muchas ocasiones esos casos de fuga de información, de secuestros de archivos, llegan por eso, por un correo electrónico muchas veces falso. Suele llegar una factura de un proveedor con el que no se trabaja o la factura de un paquete de un transporte que no se ha hecho. Muchas veces son cosas que están muy claras pero los usuarios siguen cayendo en la trampa. Por eso creo que nadie está a salvo realmente. Hace poco me dijeron una frase que me llamó mucho la atención: las empresas se dividen en dos, las que han sido atacadas y las que van a ser atacadas. Partiendo de esa base, tenemos que estar preparados. Sabemos que nos van a hackear. Por eso tenemos que tener preparado un plan de contingencia para decir: ok, sé que tarde o temprano me van a secuestrar los archivos. Pues voy a tener un plan de copias de seguridad. No solamente decirle al informático: Oye, ¿se están haciendo las copias de seguridad? No. Hay que preguntarle: ¿Funcionan las copias de seguridad? Si mañana tenemos algún tipo de incidente, ¿realmente funcionan las copias de seguridad para poder tirar de ellas? ¿O se están copiando archivos de forma corrupta? O sea, planes de contingencia para que cada seis meses se trabaje en un plan de choque en el que se diga: Oigan, señores, vamos a trabajar como si nos hubieran atacado. ¿Qué pasos daríamos? Eso sería interesante, porque ya te digo que tarde o temprano nos van a hackear. (Risas). Me incluyo, me incluyo.

Las empresas se dividen en dos, las que han sido atacadas y las que van a ser atacadas

Miguel Ángel Arroyo, hacker ético | ALVARO CARMONA
Miguel Ángel Arroyo, hacker ético | ALVARO CARMONA

P. ¿Los hackers también sois hackeables?

R. Todos, todos. El humano es hackeable (Risas). Igual no por un virus. Pero oye, soy humano, soy vulnerable y puedo caer.

P. ¿Las empresas están preparadas o en su mayor parte están expuestas a ser carne de ataque?

R. En su mayoría están expuestas.

P. ¿Grandes incluso? ¿Las más potentes?

R. Sí, sí, sí. Te puedo hablar desde pymes hasta bancos e incluso administraciones públicas. La mayoría de ellas, por lo que veo, tienen una falsa sensación de seguridad. Su seguridad acaba con su firewall, con sus cortafuegos y sus antivirus, cuando realmente hay otros vectores de ataque y amenazas que no se defienden con ese tipo de dispositivos. Por ejemplo, hay muchos usuarios y empleados que utilizan su dispositivo móvil, el propio, que lo usan para cosas de trabajo. Instalan el correo electrónico del trabajo en su teléfono móvil personal, por ejemplo. Ese mismo móvil probablemente sea el mismo con el que ven series online piratas o se lo dejan a su hijo para que juegue al Candy Crush o al Pokemon Go mientras ven el partido de fútbol. ¿Qué ocurre? Todas esas posibles defensas que un cortafuegos tiene en sus instalaciones se pierden cuando estoy haciendo un uso no muy responsable. Si entro a una página de dudosa reputación para ver un partido de fútbol online con la tablet o el móvil, posiblemente lo que está intentando esa web es colarme algún tipo de malware para acceder a mi información. Y dentro de esa información no solo están las fotos de mi hijo, también está mi correo electrónico corporativo. En ese correo a lo mejor por la mañana acabo de recibir un presupuesto por 50.000 euros de un cliente con información que al final es sensible y que puede ser alto a nivel de protección de datos.

El humano es hackeable

P. Más grave me parece el caso de la administración, que no dejamos de ser todos. Y que tiene datos de todos nosotros.

R. Te voy a poner un claro ejemplo de lo que es la percepción de la seguridad por parte de la administración. Si has intentado hacer algún tipo de gestión a través de la administración electrónica, con la Junta de Andalucía por ejemplo, podrás ver que muchas veces aparece lo que es un aviso de certificado. Te dice que el certificado no es válido o de confianza. Eso al final, ¿qué le transmite al ciudadano? Que la Junta, la administración pública, no está teniendo cuidado de que nosotros hagamos un uso responsable. El hecho de que tú tengas un certificado que sea correcto lo que hace es que a mí como usuario me da la confianza de que me estoy conectando al servidor de la administración pública al que quiero entrar y segundo, que mis comunicaciones van cifradas. Si para hacer una gestión con la administración electrónica tengo que tragarme esa ventanita diciendo que el certificado no es de confianza, lo que estamos haciendo es que el usuario crea que eso es normal. Entonces, al final el usuario acepta esa ventana en otros servicios como en la banca online y su información pues puede quedar expuesta. Es muy peligroso. La administración pública es la primera que debería dar ejemplo para que podamos acceder las tecnologías de una forma segura.

La administración pública es la primera que debería dar ejemplo para que podamos acceder las tecnologías de una forma segura

P. Si controlas desde fuera a una administración pública puedes controlarlo todo.

R. Efectivamente. El censo o cualquier tipo de información… lo que puede suponer el hackeo de un ayuntamiento. La fuga de información puede ser tremenda.

Miguel Ángel Arroyo, hacker ético | ALVARO CARMONA
Miguel Ángel Arroyo, hacker ético | ALVARO CARMONA

P. Y pueden llegar a controlar el alumbrado público, el sistema de agua potable…

R. Los ayuntamientos suelen tener en su Policía Local infraestructura de control de semáforos y todo. Ahora mismo no sé hasta qué punto los semáforos pueden estar controlados por comunicaciones tipo internet o utilizan otro tipo. Pero viendo cómo va avanzando el internet de las cosas, que vamos hacia ciudades inteligentes… Son ciudades inteligentes entre comillas. Avanzaremos en muchas cosas. En Córdoba en pocos años veremos sensores por todos lados, que nos dirán cómo está el tráfico o la cantidad de gente que pasa por determinado sitio.

En Córdoba en pocos años veremos sensores por todos lados

P. Tú ves puertas de entrada en cada sensor.

R. Efectivamente. Veo puertas. Para mí y para cualquiera que se dedique a esto.

P. ¿Has probado alguna vez a testear la seguridad de una empresa?

R. En mis inicios lo he hecho pero por curiosidad y por desconocimiento de cómo estaba la ley. Yo empecé hace diez años. Entonces no sabía cómo estaba la ley. He tenido la suerte de rodearme últimamente de gente que se dedica al tema legal en el ámbito tecnológico y con Fuerzas y Cuerpos de Seguridad del Estado que te avisan de que ciertos comportamientos pueden rayar la comisión de un delito. No es tan fácil. Para ver cómo está una empresa en materia de seguridad tienes que mancharte mucho. Puedes mirar lo típico, la web, ver si tiene el WordPress actualizado o no. Por ahí, a través de información pública, mirando cuatro cosas se puede saber el nivel de sensibilización con la seguridad que tienen.

El hacking ético es en realidad una disciplina más dentro de la seguridad

P. ¿Cómo empiezas a acercarte a este mundo? Estudias informática y sabes programar. Pero, ¿cómo entras?

R. Yo comencé como programador. Arranqué con un lenguaje de programación muy antiguo, que se sigue usando en entornos bancarios pero no como antes. Yo entré a raíz de una experiencia profesional que tuve. Trabajaba en Deza como administrador de sistemas y ahí me llamó mucho la atención que tenían muy presente la seguridad. Ahí empecé con el tema de los cortafuegos y demás. Lo que pasa es que desde el punto de vista profesional no veía futuro en el hecho de dedicarte a vender cortafuegos sino a dar servicio de seguridad, con ese conocimiento que yo estaba adquiriendo. A partir de entonces empecé a interesarme en el hacking ético. Quería ver cómo se podían ofrecer servicios a empresas para evaluar su seguridad. El hacking ético es en realidad una disciplina más dentro de la seguridad. Se trata de un hacker profesional que va a usar las técnicas que un ciberdelincuente podría usar para evaluar la seguridad.

El tiempo en ciberseguridad es importantísimo

P. Anticiparse al ciberdelincuente.

R. El tiempo en ciberseguridad es importantísimo. No solo hay que estar al día en cuanto a amenazas e ir poniendo rápidamente defensas. También hay que tener una respuesta muy rápida ante un incidente. Si a las 11 de la noche nos llega un aviso de que nos han robado una base de datos no podemos esperar a las 8 de la mañana para poner medios. Por eso comentaba antes lo del plan de contingencia. En las grandes empresas tienen un equipo de incidentes.

P. Muchos de los ataques aprovechan esa circunstancia, un festivo, una madrugada…

R. Sí, sí. Cuando por ejemplo son ataques no dirigidos, sino que los ciberdelincuentes están en Rusia… No tengo nada contra los rusos, pero es que hay muchos allí. Por ejemplo, tienen una base de datos de un millón de correos electrónicos y lo que hacen es lanzar el cebo con su archivo malicioso. Claro, eso es un ataque para nada dirigido, sino totalmente aleatorio para ver quién pincha y quién no pincha. Ahí no tienen nada que ver los horarios, porque no saben cuándo se va a abrir el archivo. Cuando se trata de ataques dirigidos, ahí sí entra en juego eso. El ciberdelincuente posiblemente haya estudiado con detalle la empresa, donde se ubica, cual es su horario, cuales son los festivos… Obviamente, no es por dar ideas, pero si un ciberdelincuente quiere atacar los servidores de una empresa de Córdoba lo lógico sería e 23 de octubre por la noche… Al día siguiente es San Rafael y si pilla puente pues genial. De hecho, aquí te puedo hablar de casos de empresas de Córdoba que han tenido incidencias de seguridad un viernes o un jueves con un puente por delante, y por escasas horas han podido recuperar su copia de seguridad. ¿Por qué digo por escasas horas? Como cada vez tenemos más información en nuestros servidores, las copias de seguridad van rotando. A lo mejor te guardan los últimos cinco días. Por tanto, si esta empresa fue hackeada el día antes del puente le faltaban horas a la copia de seguridad para reescribir con la última información que tenía… y lo hacía con información cifrada. O sea, estuvieron a horas de tener que cerrar la empresa. Y eso ha pasado en Córdoba y recientemente.

Miguel Ángel Arroyo, hacker ético | ALVARO CARMONA
Miguel Ángel Arroyo, hacker ético | ALVARO CARMONA

P. Es terrible. No somos conscientes de la importancia que tienen nuestros datos. Es que cuando los perdemos… ¡hemos perdido una vida!

R. Por eso yo siempre digo que es muy importante hacer copias de seguridad y comprobar que las copias funcionan, y durante cuanto tiempo. Depende a lo que se dedique la empresa, el tiempo es muy importante. Una empresa de venta online un ataque le puede suponer pérdidas en dinero, en visitantes, en patrocinadores… Hay que recuperar la copia de seguridad en el menor tiempo posible y para que el impacto sea el menor posible.

Rusia tiene mucho talento en ciberseguridad

P. Antes has hablado de Rusia. Que no es que tengas nada en contra de Rusia pero sí que tienen un montón de hackers. De hecho, ahora están de actualidad porque ha habido un ataque a la Agencia Mundial Antidopaje.

R. Sí, y ha salido lo de Nadal.

P. Y lo de la gimnasta americana. Qué raro que sea Rusia y qué raro que lo hagan cuando han eliminado a los atletas rusos de los Juegos de Río por dopaje. Es como si sospechosamente tuvieran algún tipo de apoyo.

R. A ver. Rusia tiene mucho talento en ciberseguridad.

Si hubiera una ciberguerra entre Rusia y España, es como si Rusia viniera con tanques y nosotros los recibiéramos con piedras. O a insultos

P. ¿En ciberseguridad o en ciberataque?

R. Bueno, yo digo ciberseguridad. Desde el punto de vista de la gente que se dedica a hacer ciberdelincuencia tanto Rusia como otros países asiáticos como Corea del Sur tienen a gente muy buena. O sea, si hubiera una ciberguerra entre Rusia y España, es como si Rusia viniera con tanques y nosotros los recibiéramos con piedras. O a insultos. (Risas) Entonces, ¿es raro? No tanto. Tendrán un poco de resquemor y lo han hecho. Es que cualquier empresa, entidad o administración es hackeable. Al final, todo es cuestión de tiempo. El tiempo que tenga ese hacker ruso o chino en querer hacer algo. Hay documentales sobre el ciberejército que tiene China, con miles de miembros. Y ese ciberejército no duerme. A mí lo que me extraña es que no salgan más casos de este tipo. Diariamente pasan muchas cosas de este estilo. Como el tema de los papeles de Panamá.

P. ¿Tú crees que eso fue un hacker o ha sido una filtración?

R. No se sabe muy bien. Desde el punto de vista técnico diría que podría haber sido un hackeo en toda regla. Al final tienen un nivel de exposición de servidores bastante interesante. Ya hemos visto cómo defienden algunas empresas su exposición, que no es el que se espera de un despacho de abogados como este, que es para que tuviera allí un búnker. Por desconocimiento y afortunadamente, parece que han cometido un grave error.

Hay gente que te llega a pedir cosas muy raras, como que hackee a la competencia y cosas por el estilo

P. ¿Aquí en España has conocido a hacker malos? ¿Has hablado con ellos, has interactuado con ellos, aunque sea para pelearte?

R. Por redes sociales sí que he tenido alguna que otra comunicación. Pero no a nivel privado. Lo que hemos hecho ha sido debatir un poco la ética hacker. Yo tengo una visión de esa ética y ahí no entra la ciberdelincuencia en ninguna de sus vertientes. Pero sí sé y conozco a gente que utiliza esos conocimientos para llevar a cabo ciberdelitos. De hecho, sé que existen porque también hay gente que te llega a pedir cosas muy raras, como que hackee a la competencia y cosas por el estilo.

P. ¿Ah, sí?

R. Sí, sí, sí.

Miguel Ángel Arroyo, hacker ético | ALVARO CARMONA
Miguel Ángel Arroyo, hacker ético | ALVARO CARMONA

P. Como si fueras un matón en plan dale una paliza a ese.

R. Como si fuéramos sicarios. De alguna forma te dejas ver en congresos y en charlas y la gente se cree que te dedicas a eso.

P. Creen que te puedes corromper.

R. Sí, sí. Esto es como todo al final, el arma del hacker es el conocimiento que tiene de las nuevas tecnologías. Tú puedes ser muy habilidoso con un cuchillo, pero ¿eso significa que alguien te encargue que asesines a una persona y lo haces? Pues no. Al final la ética depende de cada persona. Pero sí que ha habido casos en los que te piden cosas muy raras.

P. Hay otros casos de hackers, como el caso de Anonymous, que creen que están cambiando el mundo. Pero están cometiendo delitos.

R. Claro. Es que esa es la parte del hacking… Para mí están los ciberdelincuentes que lo hacen como beneficio personal y luego los que de alguna forma practican hacktivismo. No me gusta mezclarlo con la ciberdelincuencia. Pueden llegar a cometer delitos pero no parece justo meterlos en el mismo saco. Normalmente es verdad que cuando hay grupos hacktivistas que hackean la web de un partido político lo hacen como protesta, reivindicando o porque han dejado en la calle a alguien que no ha podido pagar su piso, etcétera. Luego hay otra gente que el hacktivismo lo llevan a rozar esa parte de la ciberdelincuencia. Pero bueno, los actos que he visto en España no creo que sea para considerarlos ciberdelincuentes.

Para mí están los ciberdelincuentes que lo hacen como beneficio personal y luego los que de alguna forma practican hacktivismo

P. Luego hay algunos que se transforman en hackers éticos.

R. Sí, sí. Tanto para un sitio como para otro. Ese cambio quizás por cierta época de tu vida o vivencias que has tenido has hecho ciberactivismo en la cibercalle, pero llega un momento en el que quieres dejarlo porque has luchado bastante. Entonces, te gusta la ciberseguridad y quieres dedicarte a ella profesionalmente. También está el caso contrario, como en la serie ocurre con Mr. Robot, que trabaja en una empresa de seguridad y por la noche es el hackactivista número uno. (Risas).

P. Sí, y hackea un país entero. Bueno, en la serie hackean el mundo y se acaban sintiendo dioses.

R. Sí, hay un ente que controla a todo el mundo y quieren luchar contra él, echándolo abajo. Es una lucha de hackers. Tiene mucho que ver con el hacktivismo. Aunque sea ciencia ficción lo que vemos en la serie, en la vida real hay casos de ese estilo. Gente que lucha por lo que cree que es algo justo.

El caso Snowden ha venido muy bien. Ha servido a gran parte de la sociedad para que abra los ojos

P. Ahí está el caso Snowden. Un ingeniero informático que trabaja para la NSA que descubre que hay un espionaje masivo de Estados Unidos a medio mundo.

R. Sí, la verdad es que el caso Snowden ha venido muy bien. Ha servido a gran parte de la sociedad para que abra los ojos y que seamos conscientes de que podemos estar siendo espiados ahora mismo. Y que no veamos las acciones del FBI o la NSA como una película, sino que estamos expuestos a esto. Y no somos conscientes de que internet lo usamos a diario muchísimo, Whatsapp, Telegram, correo electrónico… Es una cantidad de información brutal la que estamos continuamente sacando y exportando a internet.

Miguel Ángel Arroyo, hacker ético | ALVARO CARMONA
Miguel Ángel Arroyo, hacker ético | ALVARO CARMONA

P. Y la que sacaremos.

R. Cada vez más. Y no sabemos realmente en manos de quién caerá.

¿Qué queremos? ¿Defender de privacidad si somos los primeros que lo contamos todo?

P. El otro día me hacía mucha gracia con la indignación de la gente por la actualización de Whatsapp. En su día, Facebook compró Whatsapp y ahora esta última te advierte que Facebook va a acceder a tu número de teléfono y a tus contactos. La gente no paraba de enviar mensajes de cómo evitarlo. Y yo decía: ¡qué más da si Facebook ya tiene tus contactos y tu número de teléfono!

R. En este caso, ¿quién nos puede decir que antes de que saliera ese mensajito en el móvil Facebook y Whatsapp no estuvieran compartiendo esa información? En el caso de que tengas dudas, ¿qué vas a hacer? ¿Te vas a plantar en los servidores de Facebook en Estados Unidos? ¿Para qué? ¿Vas a buscar tu número de móvil? A lo mejor, tu número de móvil ya lo habías dado antes en tu perfil de Facebook y no habías caído en ello. He visto a gente que se echaba las manos a la cabeza en plan, ¡cómo vas a compartir mi número desde Whatsapp a Facebook! Y luego en su perfil veías que el número ya estaba. ¿Qué queremos? ¿Defender de privacidad si somos los primeros que lo contamos todo?

P. Nos vamos de vacaciones y anda que tardamos en subir fotos y vídeos con dónde estamos y lo bien que nos lo estamos pasando. Eso es de primero de ciberdelincuente. El típico chorizo que te sigue por Facebook busca tu casa y te la roba.

R. Ha habido casos muy desagradables. Recientemente, creo que fue en Venezuela, una bloguer muy famosa de Instagram que salía a hacer footing compartía sus rutas a través de su GPS. En una ruta fue asaltada y asesinada a pocos metros de su casa. Salía a correr con su padre. Un día su padre no pudo y… Ponemos información en redes sociales muy sensible que puede ser usada tanto para robarte en tu vivienda como para llegar a casos tan extremos como este.

P. A mí me ha impresionado mucho un caso reciente que ha ocurrido en Italia. Una chica fue grabada por su novio mientras practicaban relaciones y el chico lo compartió por Whasapp. El vídeo se hizo viral y la chica tuvo que mudarse porque la conocía todo el mundo. Al final, ganó juicios para que se borrase el vídeo pero no pudo lograrlo. El otro día la chica se suicidó.

R. Es que es tremendo. Un vídeo al final es un fichero y eso corre como la pólvora. Al final eso se hace viral, se va colgando en servidores… Es como los perfiles falsos de Facebook. Si, vale, puedo denunciar a Facebook y lo quitarán, pero mañana lo van a colgar en Instagram, en otras redes.

P. Es una batalla perdida.

R. No somos conscientes. En el momento en el que nosotros grabamos un archivo multimedia, un sonido, una foto, un vídeo, no somos conscientes de lo que estamos haciendo, y menos si lo publicamos. Te estás fabricando una identidad digital con cada foto que te hagas, cada vídeo que grabes… y eso se replica en muchos servidores. Cualquiera puede descargarse esa foto y tenerla en su móvil. Es que…

En los últimos dos años mi actividad en redes sociales ha bajado mucho

P. Y ese servidor puede estar mañana en Corea del Norte, un sitio totalmente inaccesible para borrar un archivo.

R. Ahora con la nueva ley de protección de datos es muy complicado aplicarla. Hay servidores que están alojados en países donde esa ley no puede hacer nada. De eso no somos conscientes. Entramos en redes sociales y venga, subo una foto y otra. Y no nos damos cuenta de la información sobre nosotros que acaban teniendo. No solo información de datos personales, sino multimedia. En los últimos dos años mi actividad en redes sociales ha bajado mucho. Twitter sí porque me gusta mucho, pero tengo que reconocer que mi actividad en Facebook ha bajado bastante. Es muy difícil que publique una foto mía. De mi familia y de mi hijo es que no se me pasa por la cabeza.

Miguel Ángel Arroyo, hacker ético | ALVARO CARMONA
Miguel Ángel Arroyo, hacker ético | ALVARO CARMONA

P. Hay muchos padres que a diario están subiendo fotos de sus hijos desde casi que nacen.

R. A mí eso me da una sensación de impotencia… A ese niño ya le estás fabricando su identidad digital, en primer lugar sin haberle pedido permiso. Y segundo, no sabes lo que pueden estar haciendo con esa fotografía. Es que hay gente que está continuamente maquinando. Y otros publicando lo bonita que es la vida con su mujer y su familia sin saber lo que están haciendo.

P. Bueno, tú has trabajado en operaciones policiales muy delicadas. Has ayudado a detener a pedófilos y pederastas.

R. Son acciones muy desagradables. He podido colaborar con las Fuerzas y Cuerpos de Seguridad del Estado para detener a pedófilos. Son escenas que ni se te pasan por la cabeza que puedan existir. Aparte de asco, es que no puedes comprender cómo puede haber personas que lleven a cabo ese tipo de acciones o que disfruten con esos vídeos, y hasta que los distribuyan. Es bastante desagradable pero es una realidad. Está ahí y por desgracia muchos detenidos son una hormiga dentro de un mundo de mucha gente que mueve mucho dinero con ese tipo de contenidos abominables.

Los que estamos haciendo un uso de las tecnologías tan grande tenemos que educar a nuestros hijos

P. Esto no deja de ser la lucha de siempre también en el mundo hacker, el bien contra el mal.

R. Sí, sí. Los que tenemos claro dónde situarnos y posicionarnos ni nos lo planteamos. Quizás más con personajes de este tipo. Es decir, al final mi labor como profesional es evaluar la seguridad de las empresas, intentar ayudarles para que sus sistemas sean lo más seguros posibles. Pero si me tengo que poner el disfraz de luchador, si pudiera hacerlo aún más lo haría para intentar coger a este tipo de… no sé ni qué nombre ponerle. Y eso es labor de todos. Todos tenemos que poner nuestro granito de arena y sobre todo los padres. Los que estamos haciendo un uso de las tecnologías tan grande tenemos que educar a nuestros hijos. Tienen que usar las tecnologías con la mayor seguridad posible. Mi hijo no va a usar internet hasta que no vea que puede darle un uso responsable. Será libre de usar las redes sociales que quiera, pero le hablaré de las amenazas que hay. Es la única forma de lograr que nuestro mundo digital sea más seguro.

Al final decirle a tu ‘hijo toma, aquí tienes internet’ es, si lo llevamos al símil de la vida real, ‘toma hijo eso es la calle, ahí está el mundo`

P. ¿A qué edad le darías a tu hijo la tablet o el teléfono móvil?

R. Me lo planteo mucho. No hay una edad definida. Es tu propio hijo el que lo va a demostrar cuando esté preparado. Mi hijo usa la tablet pero para jugar. Pero con ocho o nueve años no le voy a dar de alta en Facebook, como sí veo a gente que lo hace. Entiendo que no están preparados para usar eso. No creo que haya una edad. Al final decirle a tu hijo toma, aquí tienes internet es, si lo llevamos al símil de la vida real, toma hijo eso es la calle, ahí está el mundo. Y se puede encontrar de todo: a la vecina del cuarto que te da los buenos días o a un hombre desconocido que se te acerca para cualquier otra cosa. Las redes sociales son iguales.

P. Me gusta esa metáfora. No dejas que tu hijo salga solo a la calle, lo puede atropellar un coche, lo pueden secuestrar…

R. Exactamente.

P. Pero sí que le abres la puerta de la calle virtual.

R. Sí. Ahí tienes Facebook, ahí te quedas. Es que le pueden llegar peticiones de solicitud de supuestos niños y al otro lado a lo mejor hay un pedófilo. Pues igual. Mi hijo no está preparado para estar en las redes sociales de la misma forma que no le dejo que se vaya a dar un paseo a Las Tendillas solo.

18 comentarios

  • Hola, guest