Chema Alonso, un maligno muy humano y “seguro”, que todos quisiéramos tener cerca
A Chema Alonso podría presentarlo de muchas formas: desde CDO de Telefónica hasta el hacker más conocido de España y “uno de los mejores del mundo”, pasando por Dr. en Seguridad Informática por la URJC de Madrid, Ingeniero Informático por la URJC, y de Sistemas por la UPM, e incluso Embajador Honorífico de la Escuela Universitaria de Informática. Pero no, en esta ocasión prefiero hacerlo como él lo ha hecho, hasta hace muy poco, en la red:
“Chema Alonso, trabajador de Eleven Paths, y escritor del blog Un informático en el lado del mal”.
Para mi, y para muchos también, un referente en Seguridad Informática y todo un líder (no solo por conocimiento y experiencia, también por actitud), pero sobre todo, una persona cercana y generosa.
Cristina (CRV): Hola Chema, bienvenido a tu casa “digital”
Chema (CHA): Gracias Cristina, es un placer estar por aquí.
CRV: Me hace especial ilusión recibirte en mi recién nacido blog (¡mi primer invitado: todo un honor y un orgullo!), para hablar de uno de los aspectos más relevantes del consumo digital: la Seguridad. La seguridad no sólo entendida como la protección ante ataques informáticos, sino también en lo relativo a la privacidad de los datos en la red.
En estos tiempos, se hace necesario que la seguridad forme parte del ADN de cualquier producto de base tecnológica, y de la conducta del consumidor digital.
Hasta hace poco, la seguridad informática se reducía al ámbito empresarial, que operaba su negocio en sistemas informáticos más o menos evolucionados. Pero actualmente, el consumo digital a través de redes sociales, blogs, comercio electrónico, IoT y lo que esté por venir …, nos hace ser conscientes de lo desprotegida que está nuestra identidad y nuestra huella digital. Y es algo que nos debe preocupar más allá de que las marcas comercialicen con nuestra información y la utilicen para generarnos inquietudes, crearnos necesidades y vendernos lo que puedan. La preocupación es la siguiente:
¿Quién puede tener interés en atacarnos como usuarios digitales, ya seamos consumidores o proveedores? ¿Hasta qué punto? ¿Con qué fin?
CHA: Desde hace ya varios años, el mundo del cibercrimen ha creado esquemas para monetizar cualquier activo obtenido ilegalmente. Desde datos bancarios que se utilizan para compras fraudulentas, hasta usuarios y contraseñas que se utilizan para hacer cualquier maldad que se pueda pasar por la cabeza, hasta información y datos personales de la gente que tienen un valor en el mercado negro.
Por ejemplo, un usuario y una contraseña de Gmail pueden ser útiles para las empresas que se dedican a hacer BlackASO o BlackSEO, y posicionar apps o contenido de forma fraudulenta en los buscadores, pero también puede servir para instalar apps maliciosas en el dispositivo de la víctima, o para que se monitorice su correo electrónico y se vea si está siendo utilizado por algún profesional al que se le pueda robar datos e incluso una transferencia. Hemos visto que hay cibercriminales que están leyendo el correo electrónico y cuando esperan el pago de una factura de un cliente, entonces envían un correo falso pidiendo la transferencia a una cuenta controlada por el cibercriminal.
Pero pueden robar fotos privadas para vender en el mercado negro identidades falsas, y que puedan ser utilizadas para engañar a otras víctimas. Y si te infectan el sistema operativo pueden usarlo para mil cosas, desde ataques de Denegación de Servicio, hasta para desplegar malware para más víctimas. De todo se puede sacar dinero si tienes ganas de cruzar esa línea y convertirte en un delincuente.
CRV: Para disfrutar de la tecnología, tendríamos que sentirnos seguros usándola. Pero hoy en día, muchos tenemos la sensación de que por tener un perfil en redes sociales o por usar determinados servicios en la red o en la nube, nuestros datos están a merced de cualquiera, llegando incluso a sentirnos vendidos al mejor postor:
¿Cuáles son las principales vulnerabilidades a las que estamos expuestos? ¿A qué nos exponemos cuando usamos algún servicio sensible, por ejemplo, el acceso a los datos bancarios desde un dispositivo móvil? ¿Qué estaría en nuestra mano para minimizar el riesgo?
CHA: Hoy en día, cuando usamos un servicio le estamos entregando al proveedor del mismo la confianza de guardar todos esos datos, y si no lo hacen vamos a quedar expuestos. Por desgracia, los fallos de seguridad existen, han existido y seguirán existiendo, así que lo único que podemos hacer es pedirle al proveedor que tenga un cuidado exquisito con los mecanismos de protección que pone a nuestros datos personales y a nuestra información privada.
Por otro lado, debemos exigirle que nos de herramientas que nos permitan controlar en todo momento la seguridad y privacidad de nuestra cuenta. Desde soluciones de consulta, modificación o borrado de los datos que tienen, hasta el establecimiento de diferentes niveles de seguridad de nuestros datos. Posibilidad de utilizar sistemas de segundo factor de autenticación o de tener la garantía de que una vez que se borran, se borran para siempre.
Si un proveedor es hackeado y nuestros datos son expuestos en la red, lo único que podrá decir el proveedor es «Lo siento», pero nunca más podrán volver a ser privados los datos, pues una vez que están en Internet, lo están para siempre, como en el caso de los datos de Ashley Madisson.
Yo siempre le recomiendo a la gente que configure los segundos factores de autenticación, que use sistemas de autenticación robusta, que aprenda a manejar las opciones de seguridad y privacidad, y que tenga presente que no hay garantía de que los datos que subimos a un servidor de forma privada no vayan a ser expuestos algún día en el futuro.
CRV: Por otro lado hay también quien ni se lo plantea, no siendo conscientes de los riesgos que determinados comportamientos digitales puedan suponer para la integridad de su identidad digital. Y aquí nos topamos con una mezcla explosiva:
Adolescentes-Redes Sociales-Móviles
Partiendo de la base de que no se pueden poner vallas al campo y que tenemos que aprender a consumir tecnología sin que se nos vuelva en contra, me preocupa el uso y abuso que los adolescentes hacen de las redes sociales a través de los dispositivos móviles, sin ser conscientes hasta qué punto algunas acciones y comportamientos pueden repercutir en la privacidad de sus datos:
¿Qué les dirías para concienciarlos? ¿Qué buenas prácticas les recomendarías para con el dispositivo y para las redes sociales?
CHA: Cuando yo doy una charla a chavales siempre les leo algunos de los correos electrónicos que recibo en los que me piden que hackee la cuenta de su novio, de su novia, de su amigo, de su hermano, etcétera. Las nuevas generaciones son 100% digitales y los riesgos, los abusos, los problemas, las vejaciones, etcétera, vienen por esos medios, así que deben ser extremadamente cuidadosos con el uso que hacen de las tecnologías.
Es difícil refrenar el torrente de energía que tenemos cuando somos adolescentes y menos cuando la sociedad te empuja a esta socialización masiva a través de las nuevas tecnologías, por lo que los padres tienen que acompañar a sus hijos en ese camino, para que conozcan los riesgos y problemas en los que pueden encontrarse.
CRV: Hay una buena práctica que normalmente recomiendas, la de tapar la cámara en los dispositivos (Ordenador-IPad-Móvil):
¿Cuál es la razón? ¿Habría que tener la cámara tapada siempre que no se use, independientemente de que el dispositivo esté apagado o en reposo o en uso? ¿Tienen los tres dispositivos el mismo riesgo? (tener la cámara tapada en el ordenador y en el IPad puede ser más factible, pero en el móvil la pegatina se termina cayendo)
CHA: Yo recomiendo lo de tapar la webcam en el equipo personal como forma de seguridad extra. La webcam es para que te vean y si tienes el equipo infectado – nadie puede tener la garantía de que no lo tenga – mejor que esté deshabilitada. Habría que hacer lo mismo con el micrófono y hacerlo en todos los dispositivos, pero es verdad que no siempre es cómodo. Yo la llevo tapada desde hace años en el portátil y tengo mucho cuidado con el uso que hago de mis dispositivos móviles.
CRV: Otro tema que solemos descuidar, el de dejar sesiones abiertas en la red, ya sean de las redes sociales, del gmail, de cualquier servicio financiero, de cualquier herramienta colaborativa (gratuita o premium), …:
¿En qué medida afecta a la seguridad de nuestra identidad digital el dejar abiertas sesiones en la red? ¿Sería conveniente cerrarlas? ¿Con qué frecuencia?
CHA: Dejar abierta una sesión implica dejar expuestas durante más tiempo nuestra sesión. No es que haya que cerrarlas cada cierto tiempo si la estás utilizando, pero cuando acabes de usar el servicio asegúrate de que la sesión ha muerto. No la dejes abierta. Las técnicas de hijacking o secuestro de sesiones existen desde hace muchos años, y hay que tener presente que, si la sesión está abierta, no se solicita el Segundo Factor de Autenticación para el que tenga una sesión viva. Por seguridad, mejor cerrar la sesión cuando se ha terminado de usar.
CRV: Recuperando el tema de que la seguridad no solo es para empresas, surge la necesidad de aplicarlo también a menor escala, a consumidores y proveedores digitales de pequeña dimensión, desde el que consume o genera contenidos de un blog hasta el que compra o vende productos por internet. Una gran empresa tiene su equipo de seguridad, pero la Pyme, el profesional independiente y el consumidor digital:
¿En quién puede confiar su seguridad y privacidad? ¿Con qué criterio podemos elegir un proveedor, servicio o producto de seguridad? ¿Existen soluciones para el usuario que no sabe nada de seguridad pero que está preocupado por ella? (algo entendible y de confianza cuyo coste se ajuste a su presupuesto y lo haga sostenible en cada caso. Aquí estoy pensando en la App Latch para proteger nuestros datos como usuarios digitales, y para garantizar la seguridad de nuestro site).
CHA: Elegir un proveedor de confianza para gestionar la seguridad siempre es una tarea complicada para una pequeña empresa por los costes que supone tener una empresa especialista en seguridad. Yo le recomendaría a las pequeñas empresas que buscarán una empresa de soporte informático de referencia que tuviera conocimientos de seguridad y que le ayude a estar cada día un poco más seguro haciendo los «basics«. No se trata de gastar grandes cantidades de dinero en tecnologías, sino de hacer las cosas básicas muy bien e ir avanzando día a día.
Soluciones de backup, soluciones de parcheado de sistemas, fortificación de los puestos de trabajo, sistemas antimalware, conexiones a prueba de ataques de denegación de servicio, auditorías de seguridad en las webs online, correos electrónicos fortificados y cumplimiento reglamentario de legislaciones serían los pasos fundamentales que debería comenzar a andar toda PyME que quiere tener presencia en la red.
CRV: Para ir terminando, profesionalmente 2015 fue un año intenso con el despegue de Eleven Paths y este año no puede ir mejor: te acaban de nombrar CDO de Telefónica. Sin duda, todo un reconocimiento a tu dedicación, profesionalidad y buen hacer; y en mi opinión una apuesta “segura” (en todos los sentidos) por parte de Telefónica.
¿Qué te ha aportado la experiencia de liderar Eleven Paths, no solo a nivel profesional, también a nivel personal?, ¿Cómo afrontas este nuevo reto?
CHA: Telefónica es una empresa apasionante donde me han dejado crear un espíritu personal en Eleven Paths para hacer las cosas a mi manera pero sin perder la esencia de Telefónica. Estoy muy agradecido por la oportunidad que he tenido ya que la casa es apasionante y espero que en este camino sigamos evolucionando y yendo mucho más lejos con Eleven Paths. Nos queda mucho por hacer aún.
CRV: Y por último:
¿De dónde sacas tiempo para hacer todo lo que haces y no descuidar tu vida personal?, ¿Cuál es tu receta?
CHA: No sabría decirlo. Hago todo lo que puedo con el tiempo que tengo, pero siempre tengo la sensación de que no he hecho algo que querría o que no he visitado a un amigo que quería ir a ver. Lo que sí que soy es muy disciplinado y nada vago. Creo que el éxito solo llega antes que el trabajo en el diccionario, así que cada día me exijo más en todos los aspectos, incluso en el personal donde como todo ser humano he tenido «ups&downs» }:)
CRV: Pues bien, llegado a este punto quisiera agradecerte el tiempo que nos has dedicado a poner en valor la seguridad en el consumo digital.
CHA: Un placer estar contigo, y te deseo mucha suerte en tu andadura en los medios digitales. Que sea segura.
CRV: Muchas gracias por tu tiempo Chema, y lo dicho, esta es tu “casa”. Será un placer recibirte siempre que quieras.
Hasta aquí el paseo por la Seguridad y Privacidad de los Datos en la Red, de la mano de Chema Alonso, un maestro en lo suyo. Desde luego, ¡no hemos podido tener mejor compañía!.
Para terminar, te dejo su propuesta musical. Saludos Malignos!
«Voy a ser el enemigo disparando pan de higo
ojo no te vaya a dar.
Viviré como desplante apretando y to p’alante
no se me podrá aguantar.
Vaya risa que me dan
piensan que estoy anormal
pero mira que fatalidad
un, dos, tres y ya no están.» Rosendo Mercado (Pan de Higo: «Loco por incordiar», 1985)
7 Comentarios
[…] de unas semanas intensas con el arranque de la aventura, con la primera parada y con el primer invitado, esta semana toca algo más […]
Cristina súper acierto culturizarnos más sobre este tema, entre la entrevista y los links me pongo manos a la obra.
Gracias por la entrevista a Chema ( semejante fenómeno)
Muchas gracias a ti por el comentario Jessica.
Me alegra mucho que te haya resultado interesante!
Todo el mérito y agradecimiento para Chema, una persona cercana y generosa, que sabe un «hue…» de estos temas.
Seguimos en contacto. Bss.
Un tema desde luego muy importante.
Despues de leer esto se te encoge el estómago. Es impresionante lo indefensos que estamos, sobre todo por el desconocimiento de todo lo que pueden hacer «los malos » con nuestros datos mas inocentes. ¿Quien va a pensar que puedan utilizar su foto para hacer una identidad falsa, o que alguien se dedique a leer su correo ?.
En el caso de los adolescentes, al desconocimiento se suma la absoluta falta de miedo propia de su edad. Es muy importante que las personas como tu invitado, Chema Alonso, se dirijan a este colectivo ya que necesitan oir estas cosas de alguien a quien admiren y que les resulte creíble (los padres no entran en ese conjunto ).
Muchas gracias a los dos.
Gracias por tu comentario MLuz.
En MHO, es un tema para tenerle más respeto que miedo. Una de las carencias que deja al descubierto la evolución tecnológica es la educación desde pequeños en cuanto al consumo digital y el impacto que este puede tener en nuestra privacidad.
En cuanto a los adolescentes, si todavía hay muchos adultos que no están sensibilizados (aunque ahora parece que cada vez más), cómo lo van a estar ellos …, quienes además como bien apuntas, harán oídos sordos si son los padres los que les recomiendan prudencia :-).
Hay muchos videos en YouTube donde Chema explica extorsiones y recomendaciones en medidas de seguridad. Seguro que este formato les es más atractivo.
Dejo algunos enlaces (de los muchos que hay) con ejemplos sobre cibeseguridad y vulnerabilidades en el día a día (tanto en el plano laboral como en el personal):
https://www.youtube.com/watch?v=TOFv0vLnsLI (Conferencia de poco mas de una hora de duración. Genial!)
https://www.youtube.com/watch?v=_PsB2e0U5FU (Conferencia de poco más de media hora. Muy buena!)
https://www.youtube.com/watch?v=JjOelHldNyo (Entrevista en programa de TV de 10 minutos)
https://www.youtube.com/watch?v=3liisNv8bzc (Entrevista en programa de TV de 10 minutos aprox. En este hace una demo de usurpación de identidad digital)
https://www.flooxer.com/video/chema-alonso-risk-alert-introduccion-hacker-ciber-criminal-hacktivismo/5655a4887e31f20cbf9ceb20 (serie de videos cortos relacionados con al seguridad digital. Muy recomendable para todos y en especial para los adolescentes)
Seguimos en contacto!
Me ha resultado muy interesante. La verdad es que la ciberseguridad es algo que nos afecta a todos, y que en general conocemos poco. Por lo menos ese es mi caso. Da gusto aprender sobre un tema tan relevante de la mano de un profesional. Aunque tras la lectura me quedo algo inquieta. Creo que estamos tan expuestos y las vías por las que pueden acceder a nuestra información es tan amplia, que es difícil controlarlo. Me recuerda de alguna manera al tema de la alimentación. La oferta de alimentos que afectan de alguna manera u otra de forma negativa a la salud es tan abrumadora, que escapar de ello sería cambiar de forma radical nuestro estilo de vida. ¿Realmente podemos librarnos del riesgo por completo?
Muchas gracias por tu comentario Rocío.
Si, el de la Seguridad es un tema que siempre me ha preocupado por deformación profesional, y en los últimos años por la expansión del consumo digital a través de la tecnología (smartphones, servicios gratuitos de todo tipo, redes sociales, cloud, IoT …).
La exposición, más o menos cuidada y/o consciente, y el desconocimiento de todo lo que supone internet en cuanto a los riesgos y las vulnerabilidades de la seguridad y privacidad de nuestros datos, y de los sistemas que alimentamos y mantenemos (blogs, sites, webs, …), me hace estar muy interesada y pendiente de la Seguridad Informática.
Por ello, mi intención desde el principio fue de que el tema fuese uno de los primeros a tratar, y por supuesto, de la mano de un referente en la materia.
En cuanto a tu inquietud, me temo que la respuesta es que no. Nadie nos va a garantizar seguridad al 100%, pero si nos vamos concienciando y tomando alguna medidas como las que comenta Chema, algo más difícil se lo pondremos a los «malos».
Yo lo comparo con la puerta de una casa: podemos tenerla abierta de par en par, entornada, cerrada, echada la llave, puesto un cerrojo, e incluso, una alarma.
También es cierto que la mayoría de los usuarios no controlamos temas de seguridad y que las soluciones que actualmente están en el mercado no son asequibles para alguien ajeno al mundo «tech», pero confío se den pasos para que los productos de seguridad se acerquen más al común de los mortales y podamos utilizarlos masivamente para protegernos mínimamente.
Yo estoy haciendo mis pinitos con Latch, pero todavía me cuesta … Como diría Chema, yo soy un perfil Penny!
Feliz día :-)!