A ciberseguridade chega a todos os ámbitos
venres, 14 de novembro do 2025
A seguridade informática conta cada vez con máis dinamismo na nosa seguridade, cunha chea de actividades formativas para concienciar á cidadanÃa e ás empresas, sendo un habitual como relator nestas citas o experto en seguridade e divulgador Antonio Fernandes, a quen temos que agradecer que ilustrase aos nosos lectores sobre o mundo do GNU/Linux nos primeiros números desta publicación, e con quen tivemos a fortuna de poder falar sobre a ciberseguridade, ámbito no que ten máis de dúas décadas de experiencia.
— AÃnda que o habitual é coñecerte pola túa faceta divulgadora, levas dende primeiros de século traballando para empresas tanto de perfil tecnolóxico como máis tradicional, polo que gustarÃame comezar falando destas últimas. Non resulta difÃcil dar visibilidade ao feito de que empresas de corte mais tradicional teñan que ter un responsable da súa seguridade informática?
— Ben, talvez non todas deban telo na súa propia empresa, pero si deberÃan contar con alguén —xa sexa unha compañÃa especializada ou un autónomo externo— que xestione a ciberseguridade.
Por unha banda, porque na actualidade todos os negocios teñen unha importante compoñente dixital, e a perda, manipulación ou secuestro de datos pode provocar o peche da empresa dun dÃa para outro.
Ademais, existen múltiples sectores que, a partir da NIS2, deben cumprir determinados estándares de ciberseguridade, o que tamén afectará ás empresas auxiliares que traballen con eles.
A capacidade de responder afirmativamente a unha solicitude de estar ao dÃa neste ámbito marcará, en moi pouco tempo, a diferenza entre poder ou non poder traballar con determinados clientes.
— Que é máis complicado actualmente: concienciar sobre ciberseguridade a empresas ou a particulares? Falla igual o feito de que os afectados ante ataques e calotes procuran agochar a súa condición de vÃtima por vergoña ou para non danar a súa reputación?
— Ambas teñen as súas complicacións, pero, como comentei antes, pouco a pouco imos avanzando no mundo empresarial porque, por unha banda, é obrigatorio ou poden multarnos, e por outra, porque se entende que é un risco máis do negocio, non algo unicamente técnico.
Os particulares son máis confiados e pensan que a eles non lles vai pasar, pero acaban decatáronse tarde ou cedo, xa que o cibercrime nunca dorme, e a todos nos acabará pasando algo.
A vergoña de que che rouben na rúa ou na casa non a temos. Isto deberÃa ser o mesmo: canto máis denunciemos, máis doado resultará á PolicÃa e á Garda Civil perseguir e deter os ladróns.
— Ti comezaches bastante novo no hacking ético, que no seu momento era algo bastante romántico, pero a ciberseguridade foi avanzando moito cara á súa profesionalización. Como ves agora o panorama? Estamos ante unha especialidade máis ou aÃnda queda algo dese espÃrito que leva aos curiosos a afondar no mundo da seguridade sen ánimo de lucrarse economicamente?
— No hacking, no hacking... A ética é cousa de cada quen. Sei que o termo se popularizou por culpa da xente de mercadotecnia, pero, vaia, hacking só hai un; outra cousa é quen e como aplique os seus coñecementos. É, desde logo, unha especialización técnica, pero claro que seguirá habendo mentes curiosas que investigan e comparten os seus coñecementos no seu tempo libre.
— AÃnda que facer cartos coa seguridade non ten nada de malo, se falamos de establecer proteccións ante ameazas ou a descubrir vulnerabilidades. Están a funcionar ben os programas de recompensas das empresas ou segue a ser demasiado tentador vender os fallos de seguridade a axentes escuros que poidan explotalos de xeito indebido?
— Ben, en primeiro lugar non creas que en Galicia ou en España está moi establecido ou normalizado o tema do bugbounty, o que dis dos programas de recompensas, nin nas empresas nin nas administracións públicas. Agora ben, hai terreo de xogo por todo o mundo se te queres dedicar a este tema en concreto.
É tentador pasarse ao lado escuro, pois claro que si: pagan moi ben, non hai impostos, teñen teletraballo… Son, a priori, boas condicións, pero aà entra en xogo a túa ética persoal e as decisións de vida que queiras tomar.
Historicamente, o contrabando, o roubo a bancos ou recoller paquetes nunha praia ás 3 da mañá para levalos a un camión, atraeron xente, pero moitos pagaron un alto prezo.
— Segundo a túa experiencia, en que contornos a seguridade está a cobrar un peso máis importante? Porque antes case se limitaba a bancos e comercio electrónico, pero agora os datos persoais tamén teñen o seu valor, e xa non se manexa información con ordenadores, senón que os dispositivos móbiles son incluso máis numerosos.
— Agora todo está dixitalizado, mesmo a mercerÃa Pepi da esquina do teu barrio, e coa entrada do VeriFactu, moita xente xa terá pouca volta atrás. Volver ao lapis e ao papel é cada vez máis imposible.
Ademais, a nivel particular, o consumo de contidos dixitais ou as nosas comunicacións dependen da tecnoloxÃa. A ciberseguridade chega a todos os ámbitos e a todos os estratos, e en breve veremos na nosa propia pel que é unha vantaxe competitiva.
— Pecamos de inxenuos ao pensar que non temos que coidar da nosa seguridade dixital porque consideramos que non temos nada que agochar nin un posto de responsabilidade?
— Quen non ten nada que agochar? Seguro que todos e cada un dos lectores teñen algo no móbil, no correo, no ordenador ou nalgunha rede social que non queren que ninguén saiba que existe.
Trátase de protexer a privacidade da vida de cada quen, e iso debe ser algo importante, tanto ou máis que decidir quen pode ou non pode entrar na nosa casa cando non estamos presentes.
— Nos últimos tempos, non son poucas as empresas e institucións públicas que son vÃtima do ransomware, causando estragos no seu funcionamento. É esa a meirande ameaza actual? Ou hai outras igual ou máis perigosas?
— Si, é unha das principais ameazas a nivel técnico, e está sempre de actualidade porque xera moitos beneficios para os ciberdelincuentes. Para min, a desinformación e a manipulación da opinión pública a través de operacións de psyops tamén son outra das ameazas que poden provocar problemas a nivel internacional.
— Precisamente ante os ataques de ransomware están a quedar en evidencia as deficiencias de entidades que non conseguen recuperar a súa actividade rapidamente. É a resiliencia a materia pendente en materia de seguridade?
— Hai dous tipos de entidades: as que foron hackeadas e as que non o saben. Debemos aspirar a ser das do segundo tipo, detectar o antes posible e arranxar a desfeita. O importante non é caer, senón levantarse e seguir adiante.
Para todo iso, a xente debe confiar os seus procesos e plans en persoas especializadas en ciberseguridade. Isto é como a medicina: se te rompes un brazo, sabes que o médico de cabeceira pode axudarte, pero sempre será mellor o diagnóstico se acodes ao traumatólogo.
Para formar persoas que non teñen por que saber, pero necesitan coñecer o básico para entender a ciberseguridade no seu negocio, fundei recentemente Curso de Ciberseguridad. Ademais da formación, os alumnos poderán beneficiarse de maneira gratuÃta dunha asesorÃa personalizada para resolver as dúbidas que teñan sobre este ámbito e asà poder aplicar as recomendacións cos profesionais máis axeitados ás necesidades de cada quen.
— Agora que a actualidade está inundada por informacións sobre a intelixencia artificial, cal está a ser o seu impacto na ciberseguridade? Hai un equilibrio entre a mellora na sofisticación e insistencia dos ataques e nos sistemas automáticos de defensa?
— Non, iso nunca, nin na IA nin en nada. Os ciberdelincuentes sempre van levar vantaxe fronte a quen estamos do lado da legalidade. Iso non quita que tamén esteamos implicados no uso da IA en ciberseguridade e na súa aplicabilidade para protexer persoas e empresas. De feito, son profesor nun máster da Complutense sobre ese tema concreto, asà que a pregunta aféctame directamente.
— No caso da IA, seguimos a ter como grande problema o elemento humano? É máis doado que un sistema automático engane a unha persoa empregando unha suplantación cada vez máis elaborada? Teremos xeitos de protexernos desta evolución da enxeñarÃa social?
— Non só enganan mellor agora nas suplantacións tradicionais como o phishing ou as fraudes por correo como o BEC, senón que tamén xurdiron novos retos, como os deepfakes de audio ou vÃdeo, que xa cómpre comezar a combater.
A persoa que recibe estas mensaxes debe aplicar primeiro o sentido común e, se algo lle resulta estraño, avisar de inmediato ao responsable de ciberseguridade para que o avalÃe. Con todo, tamén se están a desenvolver, desde o lado dos bos, ferramentas que detectan e paralizan estas ameazas antes de que cheguen ao usuario final.
— Para rematar, atréveste a facer unha predición de futuro? Teremos que aplicar medidas de seguridade extremas, cifrando e asinando dixitalmente case toda a nosa actividade, ou poderemos vivir relativamente tranquilos armados co noso sempre tan mencionado sentidiño?
— Sentidiño, sempre haberá que ter. As ameazas evolucionan, e nós deberiamos facelo con elas. Desde o mundo da ciberseguridade tentamos, na medida do posible, que a protección sexa transparente para o usuario final, pero sempre será necesario cambiar algúns malos hábitos para protexernos no dÃa a dÃa.
No futuro haberá máis ciberdelincuencia: a que existe agora evolucionará e, moi probablemente, xurdirán novas formas de intentar roubarnos e enganarnos. Mais hai esperanza se avanzamos xuntos.
