Eusebio Nieva, experto en ciberseguridad: «En apenas dos horas se puede descifrar cualquier clave de 12 letras»

Las ciberestafas son el delito que más ha crecido en la última década. Entre el 2015 y el 2022 —último año con datos consolidados— han pasado de ser el 3 % de los crímenes denunciados a suponer el 15 % del total. Nuestra convivencia con este tipo de delitos es diaria. Nos llegan correos, SMS o mensajes de WhatsApp intentando que caigamos en la trampa. Según el Centro de Investigaciones Sociológicas (CIS), casi la mitad de los españoles admiten haber sufrido un intento de ciberestafa. Un panorama que obliga a concienciarse y, sin embargo, los expertos advierten de que no somos todo lo cuidadosos que deberíamos con nuestros datos. Empezando con cómo los protegemos. Si usted es de esos que utiliza de contraseña la enumeración «123456», sepa que un hacker tardaría segundos en descifrarla. Y da igual si cuenta hasta el siete, o hasta el ocho. «La seguridad es la misma», dice Eusebio Nieva, director técnico de Check Point Software para España y Portugal, que explica cómo protegernos. O intentarlo.

—¿Seguimos siendo demasiado confiados con los datos que compartimos? ¿O vamos aprendiendo?

—La gente, poco a poco, a medida que van surgiendo noticias y se conocen casos, especialmente los que tienen que ver con temas bancarios y monetarios, que son los que llaman más la atención, va siendo más consciente de la cantidad de problemas que hay en torno a la ciberseguridad. Creo que las formas de actuar han mejorado bastante en los últimos cuatro o cinco años. Aunque todavía nos queda mucho. Por ejemplo, el uso de las contraseñas todavía es bastante precario, en el sentido de que la gente las reutiliza o son muy simples, muy fáciles de averiguar. También pasa con los intentos de robo de información, el llamado phishing. Cuando hay uno nuevo, que no es exactamente igual que alguno que hayamos visto por ahí anteriormente, seguimos siendo demasiado confiados. Todavía requerimos un cierto grado de paranoia sana para ser capaces de desconfiar.

—¿Nos faltan nociones básicas de ciberseguridad?

—Yo creo que todavía faltan, sí. Pero no solo se trata de tener nociones, lo más importante es mantener una actitud crítica frente a ciertos tipos de comunicaciones que nos llegan. En algunas ocasiones los usuarios están demasiado confiados. En general, debemos mantener un grado de desconfianza ante cualquier cosa de internet, especialmente ante todo lo que nos llega por correo electrónico o por WhatsApp que son canales completamente inseguros a día de hoy.

—¿Qué le dirías a una persona cuya contraseña es «123456»?

—Pues que con la tecnología actual, descubrir cualquier contraseña de menos de doce caracteres, y que además solo sean letras o números, es prácticamente trivial. Es decir, en menos de dos horas se puede llegar a averiguar, y eso contando con que no te la roben. Si no ponemos las contraseñas adecuadas, incluso aunque no se las revelemos a nadie, son inseguras. Tenemos que ser muy conscientes de que la tecnología avanza y de que nosotros tenemos que avanzar en seguridad al mismo ritmo.

—¿Y qué podemos hacer al respecto?

— Hay que tener en cuenta dos o tres cosas. Primero: contraseñas largas. Y segundo: que no solo tengan letras, sino que tengan también símbolos que no sean alfanuméricos. Es verdad que esto tiene el problema asociado de que la gente no recuerda bien este tipo de claves, aunque para eso también hay trucos. Se trata de crear un sistema que te permita construirte tus contraseñas. Por ejemplo, utilizar dos o tres contraseñas base e intercambiarlas. Y además, hacerlo siempre añadiendo un símbolo al principio o al final, o letras del servicio o la web a donde pertenezca la cuenta. Es decir, si es Gmail, añado una «g» por en medio. Siempre siguiendo un patrón e intentando mantener una contraseña base. ¿Cómo puedes acordarte de ella? Pues a lo mejor usando frases, por ejemplo: «En un lugar de la Mancha». Pues la E, la U, la L, etcétera. Vale cualquier otro enunciado de algún libro que te guste, u otra cosa que sabes que recordarás. Este tipo de trucos son los que permiten construir claves bastante seguras y además no repetirlas.

—Muchas plataformas disponen ya del factor de autenticación, para confirmar la identidad del usuario cuando intenta iniciar sesión. Por ejemplo, enviando un mensaje al móvil. ¿Marca la diferencia usarlo?

—En todos aquellos servicios en los que podamos poner un factor de autenticación hagámoslo. Porque aunque te roben la contraseña, o aunque la averigüen, va a estar siempre protegida. Si alguien quiere incluso utilizar claves más difíciles, puede usar un gestor de contraseñas en el teléfono móvil, en el cuál se vayan almacenando todas y después puedan consultarse. Todo esto al final son normas que hay que tener claras antes de crear una cuenta en cualquier sitio. De la misma manera que cuando salimos de casa siempre cerramos la puerta y llevamos la llave con nosotros, internet nos exige lo mismo: tener unas normas de seguridad básicas.

—Google y otros grandes fabricantes hablan de un futuro próximo en el que ya no tengamos que usar nunca más contraseñas. ¿Lo ves posible? ¿Cómo accederemos?

—Una persona solo se podría autenticar para acceder a los servicios por tres cosas. Algo que sabe —una contraseña—, algo que tiene —por ejemplo cuando mandas un mensaje a un móvil— y lo tercero es algo solo tuyo, que sería una huella dactilar. Todos los grandes fabricantes están tirando hacia a hacer más rápido y más sencillos los accesos con el mismo nivel de seguridad. Esto lo están intentando hacer con tecnología sin contraseña. Ahora, de aquí a que la adopción final vaya por ahí, hay que verlo. Creo que han sido demasiado optimistas, decían que de aquí a un año lo tendrían todo listo, pero tardará un poco más. Todo lo que sea hacer las cosas más fáciles de utilizar tendrá éxito. Lo que pasa es que en muchas ocasiones vamos a seguir necesitando factores de autenticación biométricos o un teléfono móvil, que es algo que es nuestro y que llevamos siempre encima.

—El pasado marzo, la Agencia Española de Protección de Datos prohibió a Worldcoin escanear el iris de las personas a cambio de una compensación económica. ¿Cómo de peligroso es vender este tipo de datos a empresas como esta?

—Hay que partir de la base de que la recopilación de datos biométricos, excepto si es para fines médicos justificados, creo que no tiene ninguna utilidad para el usuario. En la mayoría de casos la utilidad va a ser para la empresa. En cualquier caso, creo que yo nunca querría formar parte de una base de datos como esa. Sobre todo, si en el futuro se prevé que la identificación biométrica con ese tipo de factores sea importante. Si, por ejemplo, en unos años tengo que usar el iris para identificarme y ya le he dado ese dato a una empresa. Porque el problema también es la garantía y la temporalidad del almacenamiento de esos datos y los fines que vayan a tener.

—¿Y eso pasa con más datos?

—Claro. Cuando te das de alta en casi cualquier tipo de servicio das hasta el DNI, y luego resulta que con ese número y poca información más te puedes autenticar en muchos sitios. A pesar de que la normativa es fuerte, el control sobre los datos que nosotros mismos damos —a veces porque nos vemos obligados— debería ser mucho más estricto por parte de la Administración. Y a las pruebas me remito: no hay ninguna forma de hacer un seguimiento cuando tú das tu número de móvil. Todos recibimos llamadas a horas intempestivas, y eso es porque es imposible hacer un seguimiento de quién tiene esos datos.

—Hay una creencia popular en torno a que el móvil, o los asistentes de voz como Siri o Alexa, escuchan todo lo que decimos. ¿Cuánto hay de cierto en esto?

—A día de hoy, no hay ninguna prueba que demuestre que esos asistentes de voz estén espiándonos. Lo que sí es cierto es que ha habido ejemplos de mal funcionamiento. Por ejemplo, que el propio asistente se haya encendido cuando no debería o haya escuchado más tiempo del estipulado porque ha creído reconocer nuestra voz. Pero a día de hoy no hay ninguna prueba de que estén escuchando sin que seamos conscientes. Sí que es cierto que pueden ser utilizados como instrumentos de espionaje. Porque si tienes una Alexa en casa y alguien la hackea, al final es un aparato que tiene un micrófono, y habrá otros que incluso tengan cámara, y eso se puede utilizar para espiarte. Sobre todo, porque están diseñados simplemente para dar un servicio determinado, pero la seguridad no ha sido un punto central en su diseño, como sí sucede, por ejemplo, con los móviles o los ordenadores.

---

---

---