«Mi misión es cuidar de las personas más vulnerables, y en el ámbito de la ciberseguridad, eso nos incluye a todos.»
Hoy te traigo un artículo enfocado en ciberseguridad y divulgación. Hace unos meses, tuve el honor de entrevistar a Sonia Fernández Palma, educadora y divulgadora de ciberseguridad, además de cuidadora no profesional. Es importante destacar que muchas mujeres, tanto en el ámbito tecnológico como fuera de él, asumimos este rol adicional al de nuestro trabajo principal.
Sonia se dedica a proteger a las personas más vulnerables. A nivel personal, esto se traduce en el cuidado de sus mayores, y a nivel profesional, se manifiesta en su labor educativa en ciberseguridad. Como veremos a lo largo de la entrevista, actualmente todos somos vulnerables y estamos expuestos a riesgos en el entorno digital. El objetivo de Sonia es reducir esa vulnerabilidad y minimizar los riesgos en el mundo conectado, de la misma manera que hemos logrado hacerlo en el mundo físico. Su misión es clara: hacer que nuestro entorno digital sea lo más seguro posible.
¿Qué es la ciberseguridad?
Como ya sabemos la ciberseguridad no es algo nuevo. Su auge comenzó en los años 50 con la creación de redes informáticas y módems, tomando forma en la década de 1960. Uno de los primeros incidentes notables fue en 1971, cuando Bob Thomas creó el programa «Creeper» que infectó la red ARPANET, antecesora de Internet.
Según Sonia Fernández Palma, «Ciberseguridad y seguridad van de la mano. La ciberseguridad es una parte de la seguridad que se preocupa por las actividades que realizamos bajo Internet».
¿Cuál es el mayor reto en el ámbito tecnológico respecto a la ciberseguridad?
El desarrollo de nuevas tecnologías nos impulsa a una era de sobreinformación, en la que a menudo no sabemos cómo protegernos ni proteger a otros de los peligros presentes en la red. Esta sobrecarga de información puede llevar a la desinformación y a la falta de conciencia sobre las medidas de seguridad necesarias.
Sonia considera que el mayor reto en el ámbito tecnológico es la inteligencia artificial (IA). En ciberseguridad, las tecnologías no son ni buenas ni malas, ni tampoco neutrales; su impacto depende del uso que se les dé y de los intereses y objetivos de las personas detrás de ellas. La IA tiene un enorme potencial tanto para el bien como para el mal. Ya está facilitando que los ciberataques sean más sofisticados y, por tanto, más exitosos.
Por otro lado, no podemos dejar de lado la educación. El principal reto estratégico es educar a la población en la cultura de ciberseguridad, para que sepan enfrentar tanto los beneficios como los riesgos y amenazas del mundo conectado. La educación es clave para identificar y manejar estos desafíos.
¿Qué datos crees que no deberíamos dar nunca?
«Para proteger nuestra privacidad, debemos ser prudentes con la información que compartimos. Evitemos dar datos personales como nuestro domicilio, correo electrónico, número de teléfono, datos bancarios, tarjetas de crédito y DNI a menos que sea absolutamente necesario y la entidad que los solicite tenga legitimidad. Nunca debemos enviar nuestro DNI por medios electrónicos como WhatsApp, ya que esto puede facilitar la suplantación de identidad.
Además, debemos proteger nuestros datos biométricos, como huellas dactilares y reconocimiento facial. Estos datos pueden identificarnos con total certeza y, en manos equivocadas, pueden ser utilizados de múltiples maneras perjudiciales.
Proteger nuestra privacidad debe ser un pilar en el mundo conectado. Cuanta más privacidad perdemos, más seguridad necesitamos. Si no exponemos nuestra privacidad, nuestro nivel de riesgo tiende a cero y no será necesario invertir en costosas soluciones de seguridad.»
La mejor herramienta de la que disponemos es la prudencia
Ser prudentes y conscientes es crucial, especialmente cuando nos ponen en una situación de urgencia o nos hacen solicitudes inesperadas. Es fundamental verificar esa información por otro medio. Utilizar herramientas alternativas de comunicación para confirmar la autenticidad de una solicitud es esencial para evitar ser engañados. Según Sonia, en el mundo conectado de hoy, la prudencia combinada con la verificación es nuestra mejor herramienta de protección.
Protección de datos personales y biométricos
Le preguntamos a Sonia sobre la legalidad de permitir ciertos datos personales o biometricos.
Solicitar información sensible como una foto del DNI o una huella dactilar es denunciable y, en muchos casos, infringiría el Reglamento General de Protección de Datos (RGPD) de la Unión Europea. En España, esta normativa se ha transpuesto en la Ley Orgánica de Protección de Datos y Garantías de Derechos Digitales.
El RGPD establece que el uso de datos biométricos constituye un tratamiento de datos de alto riesgo y pone límites muy claros para su manejo. En esencia, las entidades no pueden solicitar información que no sea estrictamente necesaria para prestar el servicio ofrecido. Por ejemplo, si un gimnasio pide una huella dactilar para el acceso, esto podría infringir la normativa ya que existen métodos menos invasivos para verificar la identidad.
La Agencia Española de Protección de Datos (AEPD) es muy clara en sus recomendaciones: no debemos permitir que nadie tome una foto o escanee nuestro DNI. En su lugar, es suficiente con mostrar el documento y permitir que anoten los datos necesarios. Esta precaución se basa en el principio de proporcionalidad, que exige que solo se soliciten los datos estrictamente necesarios para el servicio. Cualquier solicitud de información adicional puede ser considerada abusiva y no conforme con la normativa vigente.
Además, Sonia subraya la importancia de ser conscientes de nuestros derechos en materia de protección de datos. Es fundamental estar informados sobre cómo nuestros datos pueden ser utilizados y cuáles son las medidas de seguridad que las entidades deben implementar para proteger nuestra información. La educación y la concienciación sobre la protección de datos son esenciales para garantizar que nuestros datos personales sean manejados de manera segura y conforme a la ley.
Protegiendo nuestra privacidad, protegemos también nuestra seguridad en el mundo conectado.
¿Pueden hackear una empresa sin que se den cuenta?
Según Sonia, sí, es posible que una empresa no se dé cuenta de que ha sido hackeada sufrido un ciberataque, dependiendo de los objetivos de los atacantes. Por ejemplo, si los cibercriminales tienen un objetivo económico, la empresa atacada lo descubrirá rápidamente porque los atacantes se pondrán en contacto con ellos, como en el caso de un ransomware, donde exigirán un rescate a cambio de desbloquear los dispositivos y permitir el acceso a la información.
Sin embargo, existen otros tipos de ataques con objetivos económicos más elaborados, como el fraude del CEO. Este fraude consiste en engañar a una persona con autoridad para llevar a cabo operaciones financieras, haciéndole creer que ha recibido un mandato de su jefe. Los criminales estudian a la empresa, su estructura, sus procesos y a las personas con autoridad para ejecutar operaciones económicas. Una vez que tienen suficiente información, perpetran el ataque y contactan con la persona haciéndose pasar por un directivo. En estos casos, la víctima no se dará cuenta de que ha sido atacada hasta que se descubra que el dinero transferido no era para un proveedor legítimo ni para un negocio de confianza.
Además, hay otro tipo de ataques conocidos como ataques persistentes avanzados (APT), donde el objetivo es robar propiedad industrial, patentes, marcas o información sensible. En estos casos, los atacantes se infiltran en los sistemas de la empresa u organismos públicos de manera sigilosa y permanecen allí filtrando información poco a poco sin hacerse notar. Una vez que han obtenido toda la información deseada, salen de la empresa de la misma manera sigilosa y borran todas las huellas que puedan haber dejado. Estos ataques son muy sofisticados y generalmente realizados por actores estatales, lo que los hace difíciles de detectar y atribuir.
En resumen, dependiendo del tipo de ciberataque y del objetivo que persigan, las empresas pueden no enterarse nunca de que han sido víctimas.
Oportunidades y desafíos en Ciberseguridad
Sonia comparte su perspectiva sobre la ciberseguridad, una disciplina que atraviesa todas nuestras actividades diarias, tanto a nivel personal como profesional. Ella enfatiza que la ciberseguridad va más allá de la tecnología, abarcando diversas vertientes. Como educadora en este campo, ha observado cómo ha evolucionado en los últimos años.
En cuanto a las oportunidades que ofrece, Sonia destaca que la ciberseguridad requiere una variedad de perfiles profesionales. No se limita a expertos en hardware o software; se necesitan habilidades multidisciplinares. Desde psicología hasta marketing, cualquier disciplina puede incorporar la ciberseguridad y encontrar su espacio en este campo en crecimiento.
En España, según Sonia, el país lidera varios rangos en ciberseguridad, aunque también enfrenta desafíos. Por un lado, es uno de los países más atacados, con un aumento preocupante en los ciberataques críticos. Sin embargo, las capacidades en ciberseguridad de España están bien valoradas a nivel europeo y mundial.
En cuanto a la formación en ciberseguridad, Sonia señala que hay una amplia gama de opciones disponibles, muchas de ellas gratuitas. La iniciativa C1b3rWall de la Policía Nacional, por ejemplo, ofrece una academia online con cursos desde niveles básicos hasta avanzados, impartidos por profesionales en activo. Esto proporciona una visión completa del sector y ayuda a identificar áreas de interés para luego especializarse.
Sonia menciona que la especialización se puede lograr a través de escuelas o entidades educativas reconocidas en ciberseguridad, así como mediante certificaciones demandadas en el campo. Aunque esta etapa puede requerir una inversión, ella considera que vale la pena para seguir creciendo profesionalmente en un sector en constante evolución.
En resumen, Sonia concluye que la ciberseguridad es un campo multidisciplinario con numerosas oportunidades para aquellos que desean aprender y contribuir a la protección en internet. Es fundamental aprovechar las opciones de formación disponibles y seguir actualizándose para mantenerse al día con las demandas de un mundo digital en constante cambio.
Mujeres en Ciberseguridad
“Todavía somos pocas, muy pocas” Nos cuenta Sonia.
Sonia nos brinda una visión franca sobre la participación de las mujeres en el campo de la ciberseguridad, destacando la realidad actual y las iniciativas que buscan promover una mayor inclusión.
Las mujeres aún representan una minoría en la ciberseguridad, estimándose en aproximadamente un 20% dentro del sector. Esta cifra refleja la percepción errónea de que la ciberseguridad es una carrera exclusivamente técnica, lo cual no es cierto. Sin embargo, Sonia se muestra optimista debido a las diversas iniciativas que buscan motivar e incentivar la participación femenina en el campo.
Menciona dos iniciativas a las que pertenece: Women4Cyber Spain, un capítulo español de una iniciativa europea, y C1b3rWoman, una iniciativa que parte de mujeres miembro del Cuerpo Nacional de Policía. Estas comunidades ofrecen numerosas actividades para introducir a las mujeres en el ecosistema de la ciberseguridad.
Unirse a comunidades, asistir a ferias, congresos y eventos relacionados, y aprovechar el networking para posicionarse en el sector es fundamental.
Si aún no vas a eventos, te recomiendo encarecidamente que lo hagas.
El valor de la comunidad
Sonia relata cómo era el panorama cuando empezó en ciberseguridad:
«Al principio, no había muchas oportunidades de formación ni asociaciones. Tenías que ser autodidacta. Pero ahora, hay más información disponible y eso es positivo. Recibí una beca de Women4Cyber Spain para certificarme como CCSP con ISMS Forum y participé en un evento de C1b3rWoman en la Academia de Policía Nacional en Ávila. Fue enriquecedor reunirnos con otras mujeres interesadas en el tema y compartir experiencias. Unirse a comunidades es clave para crecer en este sector.»
En resumen
Para concluir, hace especial hincapié en la seguridad de nuestros menores en Internet. Insiste en la importancia de educar para el mundo actual, donde el nivel de riesgo de los menores es muy alto. Es crucial que los adultos responsables interioricen esta importancia y se formen para poder educar en este sentido. Además, es fundamental que los menores reciban una educación adecuada para el entorno digital en el que viven.
Sonia señala que, aunque todos los padres y adultos supervisan las actividades de sus hijos en el mundo físico, como en un parque donde se les indica que no se alejen demasiado o que no acepten regalos de desconocidos, este principio de protección a menudo desaparece cuando los menores están en línea. No hay supervisión ni acompañamiento, lo cual debe cambiar para garantizar una protección adecuada para nuestros menores.
¡Nos vemos en la comunidad!
