Entrevista a Sonia Fernández Palma

Entrevista_Sonia_Fernandez_Palma

“El mal sigue siendo el mismo, solo que ahora cuenta con un mayor anonimato, alcance y viralización.”

Un año más para seguir construyendo un mundo mejor. Seguro. Porque un mundo mejor es un mundo donde nos sintamos a salvo.”

El texto entrecomillado está en la foto del fondo de LinkedIn de nuestra entrevistada, Sonia Fernández Palma, alguien verdaderamente especial, una guerrera con cicatrices, cuya mejor arma para combatir el mal es el conocimiento y la experiencia. Porque como digo siempre, el mal nunca descansa.

Sonia lleva más de 20 años dedicándose con pasión y emoción como docente, consultora educativa y divulgadora en cultura en Ciberseguridad, habilidades digitales y habilidades sociales, además es Analista de Inteligencia, Sociedad y Tecnologías.

Entrevista_Sonia_Fernandez_Palma

  1. ¿Qué ha pasado en los últimos diez años en materia de seguridad? ¿Se han multiplicado el mal y los ciberdelincuentes o sencillamente ahora se denuncia y visibilizan más los ataques?

    En realidad, tenemos que irnos un poquito más atrás. Allá por el año 2002 – 2004 se produjo un gran cambio en Internet. Si hasta ese momento, entendíamos Internet simplemente como una plataforma para el intercambio de conocimiento, como un escaparate comercial o como una herramienta facilitadora de comunicaciones entre empresas y personas, a partir de ese momento, y gracias al avance de las tecnologías y de las telecomunicaciones, Internet se convirtió en mucho más con la aparición de las primeras redes sociales, buscadores, wikis, foros, plataformas de entretenimiento, etc. Internet dejo de ser una plataforma de comunicación unidireccional para convertirse en una plataforma de comunicación bidireccional en la que los usuarios, además de mirar o de ser vistos, nos convertimos en generadores de contenidos. Es en ese momento cuando comienza la mercantilización de Internet, presente hasta nuestros días, a la vista de las grandes oportunidades que ofrecía para generar negocio.

    Contribuyó a ello de forma muy significativa la aparición del primer móvil inteligente, el Iphone de la mano de Apple, que puso en nuestras manos un dispositivo de última tecnología de uso sencillo e intuitivo. Nos abrió las puertas del mundo, de un mundo nuevo, y la mayoría de las personas, de la sociedad, nos lanzamos a hacer uso de todas las herramientas que nos ofrecía el Medio Digital. Imagino que, por un lado, por la curiosidad inherente al Ser Humano y por otro, por las increíbles ventajas que a priori nos ofrecía.

    Pero y aquí está el meollo de la cuestión, ¿cómo se monetizan estas plataformas o lo que es lo mismo, ¿cómo obtienen sus enormes beneficios las empresas presentes en Internet, se llamen Facebook, Twitter, TikTok, Instagram, YouTube? La respuesta es sencilla: comerciando, mercadeando con los datos, información y contenidos que los miles de millones de usuarios dejamos cada día en estas plataformas. Suele decirse, y es acertado, que, si en Internet te ofrecen algo gratuito, esto solo significa que el producto eres tú.

    Y, como consecuencia de lo anterior, se produjo también el cambio de paradigma para nuestra seguridad. Lo que antes era suficiente para protegernos, para sentirnos seguros, hoy ya no lo es. Un cambio de paradigma que, además, se vio acentuado exponencialmente con la irrupción de la pandemia y consiguiente confinamiento, que provocó un mayor uso de herramientas digitales y una, todavía, mayor exposición de nuestros datos e información. Y es necesario precisar que la pérdida de privacidad, en forma de sobre exposición de nuestros datos, conlleva necesariamente una pérdida de seguridad.

    Respecto a la segunda parte de esta pregunta, la respuesta es que el mal se ha incrementado exponencialmente en el Medio Digital, fruto de lo ya comentado, pero me atrevería a afirmar que los actores del mal, salvo excepciones, siguen siendo los mismos: organizaciones criminales y delincuentes de oportunidad, que han mudado sus actividades delictivas al Medio Digital por las grandes ventajas y altísimos beneficios que les ofrece: Anonimato y bajo riesgo, ya no necesitan exponerse físicamente para cometer sus fechorías ; Alcance: con un simple dispositivo conectado pueden llegar a cualquier parte del mundo y atacar a miles de personas al mismo tiempo; Difícil atribución, en el sentido de que los ciberataques son perseguidos, por supuesto, pero es complicado llegar al autor de los hechos.

    Por último, si bien es cierto que campañas de concienciación en ciberseguridad, como las realizadas por INCIBE en medios nacionales, ayudan a que la población tome conciencia de la importancia de protegerse, también, en Internet, es necesario llegar más y mejor; a toda la población y más rápido. Cuanta mayor sea la conciencia social sobre ciberseguridad, mayor incremento habrá de denuncias. Porque lo que no se conoce o no se percibe como un delito, no se denuncia. Y esto es realmente importante porque nuestra seguridad en Internet, al igual que en la calle, es también una responsabilidad individual y colectiva, pues las Fuerzas y Cuerpos de Seguridad del Estado no pueden protegernos si no saben lo que nos está sucediendo. Por eso es tan importante denunciar. Y, por otro lado, si no tomamos las medidas básicas de protección en el ciberespacio, al igual que ya las hemos implementamos en nuestra casa u oficina para protegernos, estamos dejando brechas de seguridad que seguro aprovecharán los cibercriminales. ¿Quién no tiene hoy en día una puerta de seguridad en su casa? Pues también tenemos que poner puertas de seguridad en nuestra casa digital, aquella que tenemos en el ciberespacio, en Internet.

  2. ¿Estamos como sociedad concienciados de los peligros de la red?

    No, en absoluto, nos queda mucho por hacer. Suelo decir que tener o usar no es conocer. Tener en la mano el mejor móvil de última generación no implica saber desenvolverse, con solvencia y seguridad, en un medio nuevo, el Medio Digital o ciberespacio.

    Fíjate Elena en la grandeza del Ser Humano y en la gran paradoja que está sucediendo en nuestros días. El Ser Humano no solo fue capaz de adaptarse al medio físico y garantizar así su supervivencia como especie, sino que ha sido capaz de crear nuevos entornos, como las ciudades e incluso crear un nuevo medio: el ciberespacio. Sin embargo, en los dos primeros casos, nos llevó tiempo, mucho tiempo, el saber adaptarnos y alcanzar un nivel de seguridad aceptable. Paradójicamente, creemos que nos hemos adaptado en apenas veinte años al Medio Digital o Ciberespacio. Nada más lejos de la realidad. Porque es por desconocimiento o imprudencia, por pensar que nos hemos adaptado, por esa falsa percepción de seguridad que nos ofrece una pantalla, por lo que cada día y me atrevería a decir que, sin ser conscientes, nos exponemos a todo tipo de riesgos mientas realizamos nuestras actividades cotidianas en Internet: estafas y fraudes; agresiones; robo de identidad; chantajes; campañas de desinformación y manipulación. Estos últimos ya considerados como cuestión principal en los planes de seguridad de muchos Estados.

    Decía el coronel Pedro Baños que “no mandemos nunca una fotocopia del DNI tal cual, es peligrosísimo”. ¿Es cierto?Así es, nuestro DNI es un documento privado que contiene información relevante y sensible de cada uno de nosotros. Esa copia que enviamos o dejamos sin control, puede ser utilizada por los criminales para contratar préstamos en nuestro nombre o suplantar nuestra identidad y cometer cualquier tipo de delito utilizando nuestra identidad. En definitiva, nuestro DNI, como digo, es un documento privado de uso personal. Por tanto, no debemos facilitar a nadie una copia del mismo.

  3. ¿Por qué es importante recibir formación como usuarios en ciberseguridad? ¿A qué edad debería comenzar dicha información?

    El mundo ha cambiado y los paradigmas de nuestra seguridad también. En un mundo hiperconectado como el que vivimos nuestros bienes intangibles (nuestros datos e información digital) han pasado a ser incluso más valiosos que nuestros bienes materiales. Se habla ya de nuesros datos e información como del petróleo del sigo XXI. Y tienen mucho valor, no solo para las empresas que operan bajo Internet sino también para actores criminales. Con nuestros datos e información los cibercriminales son capaces de perpetrar ciberataques que no solo ponen en riesgo nuestra seguridad personal, sino también la de nuestras familias, nuestro pequeño (o gran) negocio o la seguridad de las empresas en las que trabajamos.

    En este sentido la formación en Ciberseguridad es la herramienta que tenemos para aprender a proteger nuestros datos y nuestra privacidad. Sólo aprendiendo a identificar los nuevos riesgos y amenazas y conociendo cuáles son las puertas de entrada a nuestra casa digital podremos salvaguardar nuestra privacidad y, con ello, aumentaremos nuestra seguridad. Al final, lo que antes era suficiente para protegernos, hoy ya no lo es.

    Y, ¿a qué edad comenzar? Me gustaría decir, antes de nada, que el problema no es tener un móvil o cualquier otro dispositivo conectado. El problema es que, especialmente en el caso de niños, jóvenes y adolescentes, nadie les enseña a cómo utilizarlo con seguridad. Tampoco a nosotros nos han enseñado. Pero ¿alguno de nosotros le dejaría su coche a su hijo o hija sin antes haberle enseñado a conducir, además de ser preceptivo un examen de capacidades? ¿Dejaríamos que utilizaran un taladro, fuego, un cuchillo cortante, o cualquier otro objeto que pusiera en riesgo su seguridad, sin supervisión o sin antes haberles enseñado a utilizarlos debidamente?

    Así pues, la respuesta a esta pregunta es que hay que formar en Ciberseguridad desde las edades más tempranas. Al igual que enseñamos a nuestros hijos, desde bien pequeños a cruzar la calle con seguridad, a no aceptar regalos o no hablar con desconocidos, a cerrar la puerta de casa, a cuidar bien de las llaves, a no meternos en peleas, a no pasear por barrios inseguros, a no entrar en según qué sitios porque no son adecuados para su edad, a respetar al prójimo, a que no crean todo lo que se les diga, etc., igual tenemos que hacer en relación al uso que hacen de todo lo que les ofrece Internet, porque al igual que en la calle, en Internet hay barrios seguros y otros que no lo son; hay gente buena, la mayoría, pero también gente mala, hay comercios y locales seguros y adecuados para la edad de nuestros hijos y otros que no lo son tanto. Todo ello, además, magnificado por las capacidades de Internet: anonimato, alcance y viralización.

    No quiero dejar de destacar que la formación en Cultura en Ciberseguridad o en las cuestiones básicas que nos pueden ayudar a protegernos mejor en el Mundo Conectado, debería llegar a toda la sociedad: padres, madres, abuelos, abuelas, niños, adolescentes, jóvenes, trabajadores, desempleados. Y no solo eso, sino que debe ser una formación periódica para actualizar conocimientos y herramientas de protección. Porque vivimos en un mundo en permanente cambio y debemos adaptar nuestra seguridad al ritmo de los cambios.

  4. En el ranking de países objetivo de ciberataques España cada vez sale más arriba ¿cómo estamos a nivel país en materia de Ciberseguridad?

    Por un lado, España es líder mundial en ciberseguridad, según el Índice Global de Ciberseguridad 2020, elaborado por la Unión Internacional de Telecomunicaciones de Naciones Unidas, alcanzando la puntuación máxima en pilares como la legalidad, desarrollo de capacidades y cooperación.

    Sin embargo, si tenemos en cuenta los datos publicados por INCIBE en el Balance de Ciberseguridad 2020, nos encontramos con que este organismo gestionó más de 133.000 incidentes de ciberseguridad, de los cuales, algo más del 80% se dirigieron a ciudadanos o empresas.

    Por otro lado, y según diversos estudios, España es el tercer país que más ciberataques sufre, tan solo por detrás de Estados Unidos y Alemania. De media, durante 2021, se produjeron 40.000 ciberataques al día, suponiendo un incremento del 125% respecto al año anterior.

    En definitiva, podríamos decir que España a nivel país se encuentra en ciberseguridad en lo más alto del ranking. Sin embargo, en formación y concienciación social, me atrevería a afirmar que seguimos estando en el vagón de cola. Y es necesario precisar que la formación en cultura en ciberseguridad es la mejor herramienta de que disponemos para aprender a protegernos en el ciberespacio.

    Por tanto y a la vista de lo anterior, debemos poner el foco en las personas, en la formación en cultura en ciberseguridad de todas las personas. De este modo, dejaremos de ser el eslabón más débil de la cadena de ciberseguridad, para convertirnos en su primera línea de defensa, en el eslabón más importante de la cadena de ciberseguridad.

  5. ¿“Un año más para seguir construyendo un mundo mejor. Seguro.” Porque un mundo mejor sin duda es un mundo donde nos sintamos a salvo?

    Soy una firme defensora de las tecnologías. Tengo el convencimiento de que los desarrollos tecnológicos pueden ayudarnos a resolver los grandes problemas de la Humanidad: cambio climático, escasez de recursos, migración, envejecimiento de la población, entre muchos otros.

    Tengo también tengo el convencimiento de que las personas deben estar en el centro de los desarrollos tecnológicos, deben ser su eje vertebrador. Porque las tecnologías no son ni buenas ni malas, dependerá del uso que hagamos de ellas. Tampoco son neutras, dependerá de quién o quienes estén detrás de estos desarrollos y de sus objetivos y expectativas.

    Por eso hoy, más que nunca, es importante esforzarse en conocer qué está ocurriendo. Debemos dejar de ser actores secundarios a actores protagonistas. Porque estamos ante un momento excepcional para el futuro de la Humanidad. Es importante conocer el alcance que pueden tener para cada uno de nosotros individualmente y de forma colectiva, especialmente a nivel de seguridad. Es importante pelear porque los desarrollos tecnológicos estén al servicio del bien común y no solo de unos pocos. Es importante Conocer, Valorar, Decidir y Actuar. Y para ello, la formación en ciberseguridad, desde las edades más tempranas y para toda la sociedad, es hoy, más necesaria que nunca. Porque solo así, implicándonos a nivel individual y también a nivel colectivo, podremos construir un mundo mejor y más seguro.

  6. ¿Sigue siendo el trabajador de una empresa el eslabón más débil a la hora de generarse una brecha de seguridad?

    Así es, en 2022, todavía, más del 90% de los ciberataques precisan de la acción humana para tener éxito. El acceso a un enlace desconocido o dudoso; la descarga de archivos desde páginas no seguras o fraudulentas o desde correos electrónicos desconocidos o dudosos, son las principales puertas de entrada de ciberataques a empresas.

    Y, un dato interesante, si las personas, los trabajadores, hubieran recibido una breve formación sobre cultura o concienciación en ciberseguridad, se podrían haber evitado, y se evitarían, más del 80% de los ciberataques que han puesto en jaque a miles de empresas, incluso poniendo en riesgo su continuidad.

    De ahí el valor fundamental de la formación en Cultura en Ciberseguridad. Para que las personas, los trabajadores, dejemos de ser el eslabón más débil de la cadena para convertirnos en su primera línea de defensa.

  7. ¿Cuáles son los principales tipos de ataques y alertas actuales?

    Las campañas con técnicas de ingeniería social contra las personas, como son el phishing, smishing o vishing, no han hecho más que aumentar, más aún en el complejo contexto actual. La mayoría de ellas, son ataques masivos e indiscriminados cuyo objetivo es obtener el mayor beneficio económico posible.

    Sin embargo, estas técnicas también son utilizadas contra las empresas con la finalidad de obtener beneficio económico. Es el caso del Fraude del CEO.

    Otro de los casos, si cabe el más dramáticos por sus consecuencias, es el uso de estas técnicas por parte de los cibercriminales, para insertar el temible malware denominado ramsomware que secuestra los datos de los dispositivos y promete su liberación previo pago de un rescate. Personalmente me estremezco cuando leo en diversos estudios, que el 60% de las pymes que sufren un ciberataque con ramsomware no son capaces de sobrevivir y se ven obligadas a cerrar en menos de seis meses.

    También pueden llegar a perpetrar ataques más sofisticados, como son los Ataques Persistentes Avanzados (ATP), en los que los cibercriminales se introducen en las empresas sin ser detectados, exfiltrando toda la información que sea posible y que les vaya a reportar algún tipo de beneficio.

    Pero, si hay una preocupación global que ya es considerada como un asunto de Estado por muchos países, no podemos dejar de mencionar las campañas de desinformación que se suceden día tras día utilizando, principalmente, las redes sociales. Estas campañas de desinformación son utilizadas por terceros Estados o grupos patrocinados por Estados y persiguen la manipulación y desestabilización de la sociedad con el fin de alinearla con sus objetivos. El caso más pragmático y desgraciado se está produciendo hoy mismo con la guerra en Ucrania, que no solo se está librando en el espacio físico sino que trasciende al ciberespacio y alcanza no solo el ámbito geográfico europeo, el más impactado, sino a la gran mayoría de países del mundo.

  8. ¿Cuál es el último ataque informático que te ha llamado la atención por su sofisticación y cuál por su simplicidad?

    Más que por su sofisticación, el ataque informático que más me impacto fue el del SEPE, por su alcance e impacto. Recordemos que mantuvo paralizado el Servicio Público de Empleo a nivel estatal y, por tanto, afecto a toda la sociedad española, durante varias semanas. También, aquellos que iban dirigidos a las cadenas de suministros y empresas del sector sanitario. Muchos de ellos repelidos pero que podrían haber puesto en jaque nuestro sistema sanitario en plena pandemia por COVID-19 y el proceso de vacunación.

    Y no quiero dejar de mencionar las continuas brechas de datos que sufren muchas empresas. Por poner un ejemplo, hace unos días, la brecha de datos generada en Iberdrola a raíz de un ciberataque. Puso al descubierto datos sensibles de más de un millón trescientas mil personas. Poniendo en riesgo su privacidad y, con ello, su seguridad. Si la sociedad contara con formación en cultura en ciberseguridad, creo que todos seriamos más exigentes a la hora de pedir a las empresas que protejan mejor nuestros datos para no poner en riesgo nuestra seguridad.

    Y, por último, no me ha llamado la atención especialmente ningún ciberataque por su simplicidad. Si me llama la atención que los ciberataques más burdos sigan teniendo un éxito abrumador por el desconocimiento o imprudencia de las personas. Esta es la gran baza de los cibercriminales: la falta de formación en cultura en ciberseguridad.

  9. ¿Cuál es el mayor peligro al que nos enfrentamos?

    En mi opinión el mayor riesgo al que nos enfrentamos hoy en día es la manipulación social a través de las campañas de desinformación. Por ello, es importante, de nuevo, la formación, para entender qué está sucediendo y cómo. Para comprender que es importante contrastar la información. Para cultivar nuestro pensamiento crítico. En definitiva, para contar con las herramientas necesarias que nos ayuden a discernir entre lo verdadero y lo falso. No podemos olvidar que, hoy en día, hay actores empeñados en derribar nuestro modo y estilo de vida. Y, la situación, en mi opinión, puede llegar a ser realmente frágil si no nos ponemos manos a la obra para defenderlo.

  10. Un mundo mejor es posible si…todos nos implicamos en su construcción
  11. Tres consejos sencillos que pueden evitar males mayores para no caer en la redes de los ciberdelicuentes.

    Prudencia, precaución y discreción, también, en las actividades que realizamos en internet. Si dudas, no hagas clic, ni descargues ningún documento de una comunicación que te genere dudas y, por supuesto, no facilites ningún tipo de información privada o sensible. Acude siempre a la fuente oficial.

    Las prisas son inversamente proporcionales a nuestra (ciber)seguridad. Si dedicamos unos segundos a fijarnos en los detalles, a leer las comunicaciones que recibimos a través de medios digitales, seremos capaces de evitar la mayoría de ciberataques contra nosotros o contra nuestras empresas.

    Si sientes que has sido víctima de algún tipo de ciberataques, no te calles y denuncia. Es la mejor manera que tenemos para que nuestras FFCCSS puedan protegernos mejor.

    ¡Gracias Sonia por esta interesante entrevista! Volviendo la vista a los clásicos, como decía Aristófanes: “La desconfianza es la madre de la seguridad.”

Autora: Elena Marcos BuenoFirma Elena

Entradas relacionadas