Extracto de la entrevista realizada el 14 de julio de 2014 a Miguel Sumer Elías por Movistar Argentina.
Miguel Sumer Elías. Es abogado especializado en cibercrimen, seguridad informática, privacidad y emprendimientos digitales. Dirige Informática Legal desde el año 2000 y es el creador de la iniciativa “Internet Responsable” y de Programas Gubernamentales de Concientización Digital para el uso responsable de Internet. Con dos décadas de experiencia docente universitaria, es formador académico y Profesor responsable de la materia Derecho Informático en la Universidad de Buenos Aires y en la Universidad de Belgrano (Argentina), en donde obtuvo la distinción a la “Innovación Tecnológica Educativa” por su original propuesta y estilo pedagógico. Además es conferencista internacional, investigador y autor de numerosas publicaciones.
Con el boom de las redes sociales y los smartphones, a partir de 2009 los problemas de la vida no sólo se trasladaron el mundo digital, sino que en muchos casos se potenciaron. Así fue como comenzaron a incrementarse cada vez más las consultas de particulares, emprendedores, empresas y gobiernos en temas variadísimos vinculados a la tecnología.
Una de las mejores maneras de proteger nuestros datos es ser responsables con lo que nosotros mismos subimos a la web, incorporar a nuestras costumbres aspectos básicos de seguridad informática y conocer bien cómo funciona el “sistema” de Internet.
Hace varios años, cuando uno chateaba a través de los primeros servicios de mensajería online como mIRC, nadie ponía su nombre verdadero, sino un “nickname”, y al que no lo hacía se lo tildaba de inexperto. Ahora el que no pone sus datos verdaderos genera “desconfianza”, pero la paradoja es que también eso podría ser peligroso para su seguridad en el caso que suba demasiados detalles de su vida y de su entorno.
Antes para saber tus relaciones, amistades o preferencias tenían que seguirte durante un largo tiempo pero ahora esa información está disponible en segundos, subida por el propio usuario. Por eso mi consejo es que no hay que darle más información al sistema de lo que el sistema te saca por el mero hecho de usar Internet y redes sociales.
Hoy, la enorme mayoría de los usuarios de Internet no conocen formas concretas de prevención y de seguridad en la web, ni son conscientes de sus verdaderos riesgos, quedando así vulnerables a los peligros más elementales, que en la mayoría de los casos son imperceptibles. Entonces cualquier persona con conocimientos básicos de seguridad informática y malas intenciones, puede hacer prácticamente lo que quiera. Por ejemplo, en YouTube uno ingresa “cómo crear un troyano”, y te vas a encontrar con tutoriales que luego los ponen en práctica chicos de 8 años ¡y que además funcionan!
Por eso estoy convencido de que gran parte de la solución es la educación de los usuarios. No es opcional tener que aprender las nociones generales de seguridad de la información, sino que tiene que ser prácticamente obligatorio tanto para chicos, como para adultos y educadores. Somos la primera generación en la historia que tiene que enfrentar esto y estamos aprendiendo a los tumbos ya que no hubo generación anterior que nos haya capacitado. Y mientras aprendemos, tenemos la obligación de capacitar a la generación de nuestros hijos. La responsabilidad es muy grande.
En Informática Legal, a través de la iniciativa Internet Responsable estamos dando desde 2008 charlas en colegios, instituciones educativas y empresas sobre el uso seguro y responsable de Internet y redes sociales, con el fin de que las nuevas herramientas sean utilizadas con mayor eficacia, conciencia y responsabilidad. Si a uno le gusta agregar a medio mundo, subir toda su vida a la web u opinar sin filtros después no debe sorprenderse si los extraños saben demasiado de uno o si en un futuro les cuesta conseguir trabajo por la mala reputación online que tienen.
En la web podemos encontrar problemas muy habituales como el “phishing” que es un tipo de fraude similar al “cuento del tío” pero en Internet. Generalmente comienza con la recepción de un correo o mensaje falso, pero con la apariencia verdadera de alguna entidad reconocida, generalmente bancaria. El contenido apelará a afectar tus emociones para que no pienses demasiado ya que buscará que te asustes, que te de curiosidad, euforia o lástima, con la intención de que descargues algún archivo o que hagas click en un enlace. Por ejemplo, te llega un email de un falso banco diciéndote que te vaciaron la cuenta y que por favor corrobores la información haciendo “click aquí”. Y cuando hacés click vas a ir a un sitio igual al del banco, pero clonado, con una URL que si realmente la chequearas te darías cuenta que es falsa. Te van a pedir usuario y contraseña, vos ponés esos datos y esa info le llega directamente al delincuente quien se queda con tus credenciales digitales para tomar control sobre tus cuentas.
En estos casos, primero que nada, deberemos ser siempre desconfiados y tener mucha precaución a la hora de navegar. No hay que tener temor, sino precaución, al igual que cuando se sale a la calle. Si uno ve un link en un sitio, correo, chat o red social nunca jamás debe hacer click de manera automática sino tomar la precaución de deslizar el cursor hasta quedar por encima de ese link y de esa forma podrá ver el nombre del sitio real al cual uno se dirigirá si finalmente clickea.
Hay que saber que uno accede a la tecnología antes de informarse acerca de los riesgos, y lo peor de todo es que los riesgos en Internet son intangibles, incoloros e insípidos… no se sienten ni se perciben fácilmente. Navegar por Internet para muchos es como estar en Disney pero deben saber que existen algunos juegos peligrosos.
También existe una falsa creencia de que hoy estamos más seguros que antes porque no notamos nada raro en nuestros dispositivos. Cabe recordar que en los 90’ o principios del 2000, era bastante común prender la computadora y que, para tu estupor, te apareciera una pantalla azul o negra diciéndote que no se reconocía el disco rígido y que se te había borrado todo. Pero… ¿hace cuánto que no pasa esto? La gente cree que no pasa más porque está más segura, pero en realidad no es así ya que cambió el modelo del cibercrimen. Hoy no es negocio romperte la máquina o borrarte los datos, hoy el negocio consiste en espiarte, robarte información o usar tu dispositivo infectado para múltiples actividades delictivas. Si te voy a espiar, obviamente no te voy a decir que te estoy espiando ni te voy a hacer nada raro o llamativo para que vos te des cuenta.
Gracias a esta nueva realidad, la gente se relajó, no cambia nunca las contraseñas, no instala antivirus y tiene la falsa sensación de seguridad ya que “no notan nada raro”. Pero esa es justamente la sensación que quieren los ciberdelicuentes: que estés tranquilo y confiado.
Así, la gente sin quererlo instala archivos infectados en su computadora, celular o tablet que se esconden en programas o aplicaciones llamativamente atractivas o beneficiosas y que en casi todos los casos son gratuitas. Lo peor de todo es que el juego o programa va a funcionar, pero a la vez la máquina va a ser controlada de forma remota desde cualquier parte del mundo y sin que se den cuenta. A estos archivos maliciosos se los conoce como “troyanos” ya que ingresan luego de que el propio usuario se tienta con usar el “hermoso caballo” que encontró en la web (con soldados adentro) y le abre las “puertas de Troya”, es decir, abre las puertas de su dispositivo electrónico. A un conjunto de dispositivos infectados con troyanos que están a merced del delincuente se los conoce como “red zombie” o “botnet”.
Claro, uno automáticamente se pregunta ¿para qué un delincuente querría controlar tantas máquinas?. Si bien podría leer todos los documentos, correos y fotos de las máquinas infectadas, no le alcanzaría ni diez vidas para hacerlo. Así que básicamente uno de los principales objetivos del cibercrimen es comercial. Cuantas más máquinas estén dentro de esa red zombie, más plata hacen ya que se suelen alquilar a otros delincuentes para que cierto producto sea distribuido masivamente por las máquinas controladas, o para espiar información confidencial y después venderla, o para saturar el ancho de banda de un sitio web rival y que este deje de funcionar durante el tiempo que se quiera.
Una de las formas más básicas de prevención es comenzar teniendo instalado un buen antivirus con licencia original porque si te descargás uno crackeado seguro que ese antivirus tiene un virus. Y tiene que estar actualizado todos los días porque se desarrollan miles de nuevos “malware” por día, o sea, programas maliciosos para nuestros dispositivos. Además recomiendo que adquieran algún producto que integre antivirus más firewall, que es como poner en tu casa una reja y un guardia de seguridad que te avisa si autorizas la entrada de algún programa o conexión que quiera interactuar con tu dispositivo.
Tampoco hay que olvidar que se deben instalar siempre las actualizaciones del sistema operativo y de los programas o aplicaciones de la máquina. También es muy importante tener contraseñas fuertes, sin lógica y una para cada cuenta. Pero por sobre todas las cosas hay que saber que el eslabón más débil en la seguridad es el ser humano, así que por eso hay que navegar con inteligencia sabiendo que no todo en Internet es tan lindo como aparenta.
Por último hay que mencionar que los usuarios se frustran automáticamente cuando se le dice que para tener una buena contraseña hay que utilizar mayúsculas, minúsculas, números y símbolos, que deben tener un mínimo de 8 caracteres, que no hay que usar palabras del diccionario, que hay que tener una contraseña por cada cuenta y encima cambiarlas periódicamente. Pero todos deben saber que existen reglas nemotécnicas fantásticas para poder armar una contraseña fuerte con todas esas características y recordarlas sin problemas y sin necesidad de anotarlas. Una de esas reglas más simples consiste en pensar en una frase representativa y utilizar las iniciales de cada palabra. Por ejemplo si la frase elegida es “Ahora voy a ingresar mi contraseña para Facebook del 2015!”, la contraseña sería “AvaimcpFd2015!”, si es la de Twitter la contraseña sería “AvaimcpTd2015!” y así sucesivamente…