El segundo día de la segunda semana del segundo mes de cada año, desde 2004, se celebra en más de 175 países el Día de la Seguridad de Internet. Este año esa fecha es el 8 de febrero. Podíamos pasar por alto este día, sin embargo, merece la pena detenernos un poco y aprovechar la fecha para reflexionar sobre nuestra actitud frente a la seguridad en esta red porque la mayor parte de nuestra vida, tanto personal como profesional está ya tan entretejida con ella. Así, cualquier fallo de seguridad nos hace muy vulnerables a delitos que pueden ir desde la suplantación de identidad en redes sociales a robo de dinero o de datos y costarnos reputación pública o recursos económicos. Por eso creo que este no es un Día simbólico sino una buena oportunidad para recordar la importancia de la seguridad en Internet y empezar a tomar precauciones.
La primera pregunta que deberíamos respondernos es ¿me siento seguro en mi vida online? y después ¿qué debería hacer para sentirme más seguro? Para responder a estas preguntas es muy útil consultar los datos que tanto en INE, como Google y el Ministerio del Interior (a través de los Cuerpos y Fuerzas de Seguridad del Estado) preparan. El INE, por ejemplo, en sus informes periódicos sobre equipamiento y uso de las tecnologías de información y comunicaciones en el hogar confirman que somos un país en el que casi todos los hogares (un 95,3%), con algún miembro familiar entre 16 y 74 años, están conectados a Internet con banda ancha y en el que casi toda la población ha usado Internet en los últimos tres meses (un 93,2%). Sin embargo, un 40,7 % de los usuarios tienen poca o ninguna confianza en la seguridad de Internet; un 54,8% se encuentran bastante confiados y un 4,5% se definen como muy confiados.
Para cualquier tema relacionado con la seguridad expresar alguna duda es un primer paso para hacer algo, por eso, una confianza de casi el 60% de la población, aunque pueda parecer positivo, no lo es. De hecho, cuando nos vamos al terreno de las empresas las cifras empeoran. Un informe de Google sobre ciberseguridad de 2019 indicaba que un 99,8% de las empresas entrevistadas (la mayor parte de ellas pymes) no se consideraban a sí mismas como un objetivo atractivo para un ciberataque. De nuevo una confianza excesiva que no mueve en la dirección adecuada de más protección en un país con más de 250.000 delitos informáticos en 2021. Y más aún si vemos que en ese mismo informe indicaba que el 60% de las pymes que sufrían algún ataque informático, acababan desapareciendo en menos de seis meses como consecuencia del impacto de este ataque, cuyo coste medio venía a ser de unos 35.000 euros, más la inseguridad y desorganización de sus procedimientos que suponía. Es decir, que no ver el peligro puede ser mortal para una empresa.
Por otra parte, esos informes nos indican que, aunque son muchos los ataques y crecen por encima de dos cifras porcentuales cada año, la mayoría no son muy sofisticados y serían fácilmente bloqueables con sencillas medidas. Es razonable que no necesiten ser muy sofisticados (y por tanto, al alcance de muchos delincuentes) porque son ataques frente a un tejido empresarial y a una ciudadanía confiadas y, por tanto, desprotegidas y descuidadas. Por ejemplo, los ataques más peligrosos son los que nos introducen un software malicioso (malware) en nuestros ordenadores que nos puede robar información sin que nosotros los sepamos o incluso bloquear nuestros ordenadores encriptando la información y pidiendo un dinero para desbloquearlo (ransomware), algo parecido a un secuestro. Pues bien, estos programas nos llegan en un 94% de las veces a través de un sencillo y aparentemente inofensivo correo electrónico. Simplemente tener implementados protocolos de seguridad en nuestro correo electrónico de empresa nos evitaría estos disgustos. Sin embargo, menos de una tercera parte de las empresas entrevistadas por Google tienen implementada una medida así, tan simple.
El Instituto Nacional de Ciberseguridad (INCIBE) es el impulsor en España de este Día de la Seguridad de Internet y su web está llena de invitaciones a talleres gratuitos para que cualquiera, ya sea empresa, particular, e incluso para niños, pueda aprender cosas tan simples, pero tan útiles para protegerse, como cómo generar contraseñas robustas de un modo sencillo; cómo detectar correos, o SMS, o llamadas que podrían ser peligrosas y cómo actuar.
La mayoría de los correos aprovechan las debilidades que tenemos como personas. Utilizan lo que se denomina ingeniería social. Simulan ser alguien que conocemos, o una empresa, o una administración pública y suelen tener en el asunto del correo unos términos que mueven emociones, nos impiden pensar bien y nos obligan a actuar apresuradamente. De hecho, este tipo de asuntos imperiosos son el primer indicador para sospechar y no hacer nada. ¿Qué haces si te llega un correo o un SMS que dice que ha habido un movimiento inesperado de dinero en tu banco y que si no estás de acuerdo has de confirmarlo en un enlace que te dan? Tu primera emoción es el miedo y ese miedo es el que te impide ver que tal vez la dirección de ese enlace no tiene nada que ver con tu banco o que tu banco nunca te pedirá datos como tu clave a través de este medio. Una vez que tu miedo te hace imprudente, ya eres una víctima. Otra emoción puede ser la soledad, y de pronto te aparece en redes sociales una persona que se interesa mucho por ti y no dudas en mandarle un dinero para un viaje en avión para verte o para ayudarla con un pariente enfermo, etc. O pueden apelar a la codicia, al anunciarte un premio que has ganado o una devolución de Hacienda que te van a dar (y que obviamente tu no esperabas), o un trabajo muy bien pagado y en el que casi no hay que hacer nada, pero cuya oferta va caducar y que para conseguirlo basta con pulsar en un enlace para conseguirlo. Y así podríamos seguir con más modos de entrar en nuestra confianza vía: el ego, la curiosidad, la ambición, etc. No son debilidades de nuestro ordenador las que abren paso al malware, sino debilidades de nuestro carácter y no estar atentos a los peligros.
La duda es ¿por qué cosas que nos harían sospechar enseguida y estar alertas en la vida real no las detectamos así en el mundo online? Puede ser porque con estas tecnologías empezamos jugando, probando, experimentando, divirtiéndonos como niños, asombrándonos de todo lo que nos ofrecían gratis, hasta que, poco a poco se han convertido en esenciales en nuestra vida. De hecho, los ciberdelitos mueven ya más dinero que las drogas y son más dañinos para la economía mundial.
Por eso la seguridad en Internet no debe preocuparnos, debe ocuparnos, y aunque nos parezca muy complicado al principio, podemos empezar por un primer paso, por ejemplo, viendo en el INCIBE cómo mejorar nuestras contraseñas y cómo generarlas robustas y diferentes, como si fuesen llaves de la vida real en las que no llevamos solo una, la misma para la casa y el coche. Después podemos hacer el test que preparó Google el pasado año para detectar emails fraudulentos. A medida que aprendamos seremos más conscientes y detectaremos mejor las amenazas, pondremos antivirus en nuestros ordenadores y puede que con el tiempo una VPN que nos haga invisibles en Internet a nosotros y todos nuestros dispositivos. Ganaremos en conocimiento de la seguridad y en tranquilidad en nuestra vida digital. Si lo que has leído ha llegado a preocuparte, y ese era su objetivo, es el momento de ocuparte y como se suele decir en estos casos: “si no sabes por dónde empezar, hazlo por algún sitio”.
* Óscar del Río es CEO y Fundador de Interacso