Hablamos con Francisco Valencia, ingeniero en Telecomunicaciones, experto en ciberseguridad, así como CEO de Secure&IT, sobre los principales riesgos a los que estamos expuestos en la contratación de los servicios que comportan nuestras vacaciones. Este experto apunta en esta conversación además una serie de pautas y estrategias que aumentan nuestras opciones de no ser víctimas de una ciberestafa, entre las que destaca la importancia de verificar los datos legales de la empresa cuyos servicios contratamos, así como el valor de ir directamente a la página a la que queremos acceder, anotando correctamente sus señas.
P: Los ciberataques se incrementan en esta época del año alrededor de un 30%. ¿Cuáles son las agresiones digitales más frecuentes durante el periodo estival?
R: Los ataques más comunes en verano tienen que ver fundamentalmente con la suplantación de la identidad; es decir, con la suplantación de la propia página, que consiste en crear una página muy parecida o igual a la que se está intentando atacar, y ponerla en un spam o en redes sociales para que los usuarios, cuando hagan el clic, piensen que están accediendo a la página legítima, pero en realidad están conectando con la página de un delincuente, que tiene como objetivo robar los datos de la tarjeta de crédito, los datos personales o hacer un cobro de la tarjeta de crédito. Todo para desarrollar una estafa, ya que no hay ninguna reserva ni apartamento. Se trata pues de un señuelo para robarnos dinero o datos. Esto sucede no sólo con páginas de apartamentos sino también con restaurantes, con agencias de viajes, con ventas de billetes de avión, con las navieras en cruceros. En suma, con todas esas páginas a las que vamos a conectarnos para la búsqueda de las vacaciones.
P: ¿Cuáles son los ataques más frecuentes que se producen durante el verano a las plataformas digitales que alquilan vivienda?
R: No tenemos que confundir una estafa puesta en una plataforma digital legítima con un ciberataque, que consiste en crear una página ilegítima que se parece a la legal; son cosas distintas. Cuando hablamos de tratos entre particulares, puede darse el caso de que alguien ponga un anuncio falso y que otra persona pique. El usuario debe tener siempre muy claro que toda la transacción debe hacerla a través de los mecanismos que propone la propia plataforma. A veces hay que pagar una pequeña comisión para asegurar esa transacción, lo cual es un poco más incómodo, pero es muy importante desde el punto de vista de la seguridad, porque cuando la transacción se hace fuera de la plataforma, es muy probable que nos encontremos ante una estafa. En ese capítulo no solamente hablamos de apartamentos sino de todas esas páginas de compra-venta de bienes y servicios de particulares. Por otro lado, nos encontramos con los ataques propiamente dichos. En ese ámbito, nos encontramos bien páginas falsas que se parecen a la original, o incluso que no tienen nada que ver con la original. Esto sucede sobre todo cuando vamos a hacer compras en el extranjero, donde no conocemos las plataformas que operan allí. Por ejemplo, entramos en Google y buscamos una oferta para pasar 15 días en la playa y aparecen 50 páginas y vamos entrando en ellas y podemos interesarnos por lo que parece la página de un hotel, de una agencia de viajes o de un particular. En esa dinámica, queremos formalizar nuestros datos de pago o personales, y, si esas páginas son fraudulentas, estos pueden ser sustraídos por los cibercriminales, que primero nos roban esos datos personales y luego los ponen a la venta en la web oscura o dark web. De manera que los cibercriminales nos roban en esta época de verano sobre todo por medio de paquetes vacacionales, que funcionan de manera muy temporal.
P: ¿Cuáles son los aspectos en los que considera que las empresas dedicadas al turismo pueden afinar y mejorar su política de ciberseguridad?
R: Las empresas que se dedican al turismo necesitan establecer tres líneas de actuación en la ciberseguridad del servicio que ofrecen. La primera de ellas tiene que ver con el compliance (cumplimiento normativo). Tienen que ser muy exquisitas en la gestión de datos de sus usuarios porque aquí están tratando datos que a veces son críticos, y que incluyen datos personales como nombre, dirección, y otros, bancarios como tarjeta de crédito con todos sus datos de pago, e incluso a veces datos de salud como necesidades de movilidad especial, alergias u otros. Un ejemplo simple pero real es que en la darkweb puedes comprar bases de datos de las personas que están de vacaciones en una fecha y zona determinada, y los compradores de esta información puede ser redes de ocupación, ladrones de pisos, etc. Las empresas que se encargan de la gestión vacacional, que tienen todos estos datos, tienen que ser muy escrupulosos por ejemplo en el cumplimiento de protección de datos. También deben establecer procesos corporativos de seguridad: disponer de políticas, procesos y procedimientos de seguridad estrictos, bien implantados, y que resuelvan temas como sobre quién tiene la información, cuando la tiene y para qué la tiene. Porque la agencia no tiene la información sin más, sino que se la hacen llegar a las navieras, a las líneas aéreas, a los distintos operadores, a taxis, a empresas de excursiones, a gestorías… Entonces, son datos que están dando vueltas y que tienen que ser gestionados de una manera muy escrupulosa. Y la tercera faceta que es fundamental es tener el ámbito de la seguridad informática muy bien cubierto. Hablamos de empresas que tienen páginas web muy expuestas, con muchísimas visitas de todos los países del mundo, y que por lo tanto son susceptibles a recibir ciberataques y tienen que establecer medidas técnicas avanzadas para la protección de este entorno.
P: ¿Qué claves favorecen una ciberseguridad competente en el ámbito de las plataformas digitales de alquiler de viviendas?
R: Creo que es importante señalar una clave bastante relevante: con frecuencia, las más conocidas no son las que más medios ponen para reforzar su ciberseguridad. Digamos que el riesgo siempre va asociado al uso que se hace de las plataformas, porque los ciberdelincuentes “son malos pero no tontos” y saben que para tener más probabilidades de éxito es más fácil si suplantan a una página más conocida que si suplantan a una con menor visibilidad (caso en el que las opciones de éxito de los cibercriminales serán menores). Muchas veces esas plataformas más conocidas no tienen, proporcionalmente hablando, unas medidas de seguridad acordes con la fama que disfrutan. De manera que se exponen a más riesgos y acaban siendo un entorno más peligroso para sus usuarios. En resumen: hay que extremar las precauciones como usuario si vamos a las páginas que creemos que son grandes, porque su ciberseguridad no siempre está a la altura de esa reputación.
P: ¿Qué riesgos suponen esta clase de ciberataques para empresas y clientes finales?
R: Para la empresa, fundamentalmente, supone un impacto reputacional, en la medida en la que se utiliza ese prestigio para crear una página falsa, similar, que simula la verdadera y se estafa a personas que acaban cayendo en el engaño. De manera que ese fraude daña la confianza de los usuarios en el sitio al que los piratas informáticos replican. Por otro lado, está el ataque que va dirigido contra la propia compañía, que en el ámbito de una empresa de viajes se podría traducir en el robo de las bases de datos, algo como lo que le pasó al Hospital Clinic en el entorno sanitario. Cuando suceden esa clase de ataques, el impacto no es solamente reputacional, sino que también puede ser jurídico, lo que puede tener un impacto grave que lleve a la compañía a consecuencias muy serias e incluso al cierre. En cualquier caso, en todos los casos, para quien esos ciberataques tienen un impacto muy real es para el ciudadano, para la persona que ha puesto en esos sitios web que son asaltados sus datos personales, los de sus familiares, así como la tarjeta de crédito y los datos bancarios y una serie de informaciones muy importantes. No sólo porque le fastidia las vacaciones (ya que pierdes el dinero que inviertes en las mismas; por ejemplo, alquilas un apartamento que no existe, por lo que en la práctica pierdes tu inversión sin disfrutarla) sino que además se generan daños y ulteriores pérdidas que pueden ser mucho mayores. Por ejemplo, si me pongo en la mentalidad del ciberdelincuente, si me he quedado con los datos de tu tarjeta seguramente no me conforme con lo que has pagado, sino que también aproveche para robarte muchísimo más dinero, generando así un perjuicio muy grave para la persona. Y si no te robo el dinero, pero sí tus datos y los pongo en internet para que todo el mundo sepa que tu vivienda está vacía en los próximos 15 días de agosto… Eso genera un riesgo enorme para tu bienestar y economía, ya que, a partir de esa información, estarás expuesto a las acciones delictivas de los ladrones de barrio, o de las redes de ocupación de viviendas, que sabrán que tu vivienda está vacía. De manera que el riesgo puede ser muchísimo mayor. Por lo tanto, estos ciudadanos tienen que tomar una serie de medidas preventivas.
P: En esa línea: ¿Qué pautas deben seguir nuestros lectores para realizar una reserva vacacional de la manera más segura posible?
R: Creo que los lectores de Escudo Digital deben seguir una serie de medidas preventivas. Una fundamental es que cuando vamos a entrar en una página no hagamos clic en un correo que nos ha llegado de la publicidad, sino que pongamos el nombre exacto de la página a la que queremos entrar, para evitar así que entrenemos en un sitio supuestamente fraudulento. Luego resulta fundamental que analicemos las conexiones legales de la página a la que queremos entrar, para evitar así que entremos en un sitio que pueda ser fraudulento. No solamente por el “blablablá” jurídico que viene, que también, sino sobre todo porque a veces encontramos otras señales de alarma. Por ejemplo, no viene un CIF, o no hay una dirección a la que responder o con la que contactar. En suma, no hay unos datos concretos de una empresa y eso puede ser crítico. Es importante, por tanto, hacer una investigación antes de poner nuestros datos en la página web de una empresa. Antes de poner esos datos, busquemos opiniones en Internet sobre esta empresa, porque lo fácil es que no seamos el primero al que engañan y alguien ya lo haya puesto. Entonces, cuando buscamos opiniones y referencias en redes sociales o en sitios de Internet, podemos encontrar pistas de que eso es una estafa. Y luego por supuesto hay que huir de las grandes ofertas: de los chollos, de las páginas que exigen inmediatez, del tipo "contrátalo ahora que tengo tres personas esperando, o la oferta caduca en 10 minutos…", porque lo que buscan es atentar contra nuestras ilusiones, y lamentablemente ese tipo de ataques están muy a la orden del día y hay que tener cuidado con ellos.
P: Por último, ¿cuáles considera que son las claves de un adecuado diseño e implantación de la infraestructura de las aplicaciones críticas de un negocio de una empresa que quiera operar con garantías en Internet?
R: Debe ser un diseño seguro. La seguridad debe entrar desde el principio del negocio. Pondré una alegoría para que lo entendamos mejor: cuando yo me compro un coche, yo lo compro con frenos. O lo que es lo mismo: no me compro un coche y a los años le pongo el cinturón de seguridad y los frenos. Las compañías que operan en Internet a veces no velan lo suficiente por la seguridad. Quieren arrancar de la manera más funcional posible, que funcione y ya está, y luego se preocupan de la seguridad después. Y eso es un error bastante abultado. Creo que las empresas deben cuidar la ciberseguridad desde el principio, evitando los riesgos desde el primer momento, garantizando la fiabilidad de tanto el desarrollo de código de tu plataforma como tus dependencias y relaciones con otros proveedores y otras compañías, así como con otros servicios en la nube (que nadie sabe si son seguros o no). También es clave garantizar la confiabilidad de tu arquitectura tecnológica y de sistemas de información, así como la ciberseguridad del proveedor que te aloja para que vaya rápido Internet. En suma, es clave, la respuesta en tiempo real que seas capaz de articular a las amenazas que hay en Internet por parte de los ciberdelincuentes. Todo esto tiene que ir de la mano. Debe ir asociado también al ámbito de procesos. Por ejemplo: ¿Quién hace la copia de seguridad del sistema? O ¿quién comprueba que la copia funcione? ¿O quién se encarga de que los datos estén de verdad cifrados y no sean accesibles a los ciberdelincuentes? Por lo tanto, ese ámbito de procesos debe estar acompañando a la parte técnica en ciberseguridad. Y además teniendo una recatada observación sobre el marco jurídico, que es más complejo de lo que parece, porque estamos en entornos multinacionales, con diferentes regulaciones. Por lo tanto, hay que proteger los datos de, por ejemplo, viajes internacionales.