Silvia Barrera es inspectora jefa de la Sección Técnica de la Policía Nacional. Trabaja en cibeseguridad desde el año 2007: ha ocupado puestos en ciberinteligencia, redes sociales, cibercrimen y, en la actualidad, forensia digital. También ha participado en grupos de trabajo internacional en Europol e Interpol. Su primer libro “Claves en la Investigación de Redes Sociales” ha sido galardonado con el Premio de la editorial Círculo Rojo 2017 al Mejor Libro de Aprendizaje. Además, siempre que puede, imparte clases y ofrece ponencias y charlas divulgativas con el objetivo de prevenir y enseñar sobre ciberseguridad.

• Sueles decir que la realidad siempre supera a la ficción. ¿Crees que la gente consciente de los peligros de Internet?

Por supuesto que no. No lo son hasta que no lo viven. Son hechos que, como no causan alarma social ni suelen tener difusión por parte de la víctima, pasan desapercibidos. Hasta que el usuario lo sufre en sus propias carnes y, entonces, comprende hasta dónde puede llegar las consecuencias de una simple estafa.

• ¿Hasta qué punto se sorprenderían los usuarios si supieran lo que pasa “detrás”?

Serviría mucho. El motivo por el que yo participo en eventos y hago difusión es precisamente este. No puedo hablar de casos concretos, pero sí advierto a la gente de que hay investigaciones muy dolorosas. Sobre todo, cuesta mucho decirle a una persona que no puedes hacer nada en 72 horas porque, según funciona Internet, no puedes hacer las cosas tan rápido. Es un proceso largo, del que, en muchos casos, se desconoce la autoría.

• Seguramente los niños dominan más el mundo digital que sus padres. Es un reto al que los padres se enfrentan. ¿Cómo se debe “acompañar” a los niños en este proceso que, a veces, a los padres se les escapa?

Tenemos que ponernos las pilas y hacernos con una cierta base de cómo funciona la Red; conocer que hay unas normas tácitas en cuanto a navegación y que existen unos límites. Y una vez que sepamos cuál es el impacto de la tecnología, hay que tratar de hablar con ellos sobre el tema como algo natural (no criminalizarlo, ni prohibirlo, como solemos hacer con las cosas que desconocemos). Hay que ser conscientes de que va a ser su instrumento de trabajo diario. Es su presente y va a ser su futuro y, por lo tanto, tenemos que guiarlos de forma natural en el uso y estar con ellos, e ir –incluso- descubriendo cosas con ellos.

• Las redes sociales son utilizadas por todos, mayores y pequeños. Tu primer libro “Claves de la Investigación en Redes Sociales” habla de ellas. ¿Qué papel juegan cuando hablamos de peligros en Internet?

Todos. Por un lado, tenemos el escaneo masivo de red de sistemas, que hacen los cibercriminales para saber cuál es la “salud” de nuestras redes. Por otra parte, hay sistemas vulnerables, para los que existen exploits y códigos maliciosos que se aprovechan de esas vulnerabilidades y que se lanzan de forma masiva. Y, además, está la exposición a las redes sociales, que es un factor más de ataque. Esta última es una vía fundamental –sobre todo cuando hablamos de ataques dirigidos–, porque le damos a los atacantes una información muy valiosa (es una forma de entrada de ataques más sofisticados).

• ¿Se puede decir que no sabemos utilizar las redes sociales?

Depende de lo que entendamos. Lógicamente, un perfil lo puede hacer todo el mundo, hasta un niño de 5 años. El problema es saber las consecuencias que tiene; entender que las publicaciones tienen un impacto, que hay que tener una estrategia y que no nos valen todas las redes sociales. Una cosa es la posibilidad de usar la tecnología, que todo el mundo la sabe usar, y otra cosa es conocer en qué mundo se mueve y las consecuencias que generan las publicaciones.

• ¿Qué aspectos debería tener en cuenta una persona antes de publicar en una red o de, simplemente, descargársela o hacerse usuario?

Yo me daría primero una vuelta por Internet. Es necesario hacer búsquedas de esa red social, ver qué tipos de usuarios la tienen y qué comentarios hacen de ella. Es un trabajo laborioso, pero es lo mismo que hacemos cuando compramos un producto: mirar primero si es bueno, las opiniones, etc. En definitiva, hay que hacer un análisis: ver para qué sirve, qué peligros tiene, la configuración de la seguridad, qué rentabilidad le podemos sacar, etc., y luego decidir.

• ¿Pensamos que somos inmunes a los ciberdelitos?

Sí, porque no los percibimos. Todo lo que no podemos ver de forma objetiva y palpable no lo entendemos como un delito. Apreciamos el miedo cuando está cerca, cuando se ve, cuando nuestros sentidos lo pueden captar. Y la tecnología no se ve, se siente.

Es algo muy nuevo y, además, -de forma errónea- se suele asociar a la víctima con conductas estúpidas, con desconocimiento, con falta de formación… y no es así. Víctimas podemos ser cualquiera, dependiendo de la especialidad y de lo dirigido que sea el ataque.

• Muchas veces pensamos que para qué nos van a querer atacar a nosotros. ¿Es uno de los motivos que nos hace caer en la trampa?

Tenemos que entender que pueden querer –simplemente- una foto nuestra, personal, que podemos guardar en nuestro móvil y que puede comprometer nuestra imagen reputacional en Internet. Acceder a esa información y hacerla pública genera unas consecuencias. Y el hecho de que nos pidan dinero por no publicarla hace que se convierta en una extorsión. Es información que, seguramente, no le interesa a nadie, pero es una forma de sacarte dinero a ti.

• Cuando ya nos encontramos ante un delito de estas características. ¿Cómo tenemos que proceder?

Situaciones de ataque se pueden dar de muchos tipos. En el caso de las empresas, se debería de contar con un protocolo estandarizado, igual que lo hay en caso de incendio o terremoto. Es necesario hacer simulacros y ejercicios; contar con unas pautas para los trabajadores. Los empleados necesitan saber cómo actuar en caso de incidentes (si detectamos un empleado desleal, si ocurre un ataque de ransomware, etc.). Reglas sencillas como apagar los ordenadores, desconectarlos de la red, avisar al responsable de seguridad, no conectar dispositivos externos que no sean de uso corporativo, etc., son fundamentales.

Son cosas que se pueden hacer (no cuestan tanto dinero) y que, aunque tienen un periodo de adaptación, son efectivas. Lógicamente, hay que tener presente que es necesario invertir en recursos humanos y técnicos, y ser conscientes de que la vulnerabilidad de la empresa es una parte importante y hay que trabajar en ella.

• ¿Y en el caso de los usuarios domésticos? Porque muchas veces no saben ni dónde acudir.

Hay tres creencias erróneas de los usuarios: “Esto no va conmigo”, “Esto no me va a pasar a mi” y “Si me pasa lo denuncio y ya está”. Pues nada de eso es así. Son tres cosas que no solucionan el problema. Si vas a estar en Internet, o vas a llevar determinadas acciones de intercambio de información, tienes que saber que hay unas normas y protocolos que cumplir para hacerlo de forma más segura. Pensamos que, como Internet ha llegado de esta forma tan rápida y radical, es un mundo sin normas. Tenemos que interiorizar que es una responsabilidad nuestra y que no podemos eludirla. Los daños que causa una crisis reputacional o un robo de información pueden ser irreversibles. La red no da segundas oportunidades.

• Igual que los usuarios necesitamos formación en este sentido, ¿también es necesario que los cuerpos y fuerzas de seguridad del Estado se formen?

Por supuesto, hay que seguir formando a la gente. La tecnología va muy rápido y tenemos que recibir formación, por un lado, como simples usuarios que pueden tener conductas de riesgo para la Administración Pública (acceso a webs peligrosas, intercambio de información, uso de aplicaciones inseguras, descarga de ficheros infectados, etc.). Pero, además, nosotros -a nivel policial- tenemos que estar preparados para dar respuestas a las conductas delictivas. Por tanto, no podemos tener la misma formación que un usuario medio. Tenemos que adelantarnos en la búsqueda de soluciones que, a veces, tienen que ser imaginativas y creativas. Lo cierto es que contamos con medidas judiciales, de investigación o el propio Código Penal, pero no tenemos un sitio en el protocolo que nos diga cómo hay que implementarlo. Por ejemplo, no existen protocolos de cómo rastrear o intervenir bitcoins o de cómo lanzar una botnet; no existe. Como medida, nos debemos formar constantemente y, en este punto, tenemos que colaborar y estar en contacto directo con la empresa privada. En ocasiones las compañías cuentan con tecnología y conocimientos que no tienen las fuerzas y cuerpos de seguridad de Estado, y nos pueden ayudar en este proceso.

Puedes seguir a Silvia Barrera a través de su página web o sus redes sociales:

Web: https://sbarrera.es/

Twitter: @sbarrera0

Facebook: @sbarrera0

by