Entrevista

Javier Candau, jefe de Ciberseguridad del Centro Criptológico Nacional

No debemos ser paranoicos al navegar por Internet, pero sí estar vigilantes y seguir unas pautas para estar seguros
Por Eva San Martín 28 de marzo de 2018
Img javiercandau ccn securm etica

Imagen: Centro Criptológico Nacional
¿Ha consultado su correo electrónico en un cibercafé u otra red wifi comunitaria? ¿Es de los que repiten su contraseña en el móvil, cuenta bancaria online e incluso en sus redes sociales? Pues debe saber que
su identidad digital corre peligro. Javier Candau, jefe de Ciberseguridad del Centro Criptológico Nacional, da en esta entrevista varios consejos para protegerse en Internet: entre ellos, cómo crear una clave más segura, saber cuándo un ciberdelicuente puede haberse apropiado de sus credenciales y nunca consultar cuentas personales -como el correo electrónico- en sitios poco seguros.

El 60% de los usuarios repite su contraseña en distintos medios y aparatos, según un estudio del gestor de claves Keeper Security. ¿Somos demasiado ingenuos al utilizar Internet?

¿Si somos demasiado confiados? Debido a la facilidad de uso, no nos planteamos la seguridad como una tarea diaria y pecamos de exceso de confianza. Un hacker no es una amenaza per se. La amenaza son los ciberdelincuentes que utilizan sus habilidades de hacking para aprovecharse de nuestro exceso de confianza o de nuestra falta de conocimiento de las nuevas tecnologías para obtener un beneficio. Aunque no debemos ser paranoicos al navegar por Internet, sí que hay que estar vigilantes y seguir unas pautas mínimas para estar razonablemente seguros. Todos aquellos actos delictivos del mundo real que sean susceptibles de ser cometidos en el mundo virtual son una oportunidad para los atacantes que se escudan en el anonimato que les permite la Red.

Google ha admitido que los ciberdelincuentes roban un millón de cuentas de correo electrónico cada mes. ¿Cómo saber si somos víctimas de este delito?

“No hay una fórmula mágica que nos permita estar seguros al 100% en Internet, la única fórmula es convertir la seguridad en un hábito”

A priori no es fácil saber si nuestra contraseña ha sido comprometida. La detección de algún tipo de código dañino en nuestro ordenador o en la red a la que estemos conectados debe hacernos sospechar de que tanto las credenciales como otro tipo de información sensible se han podido ver comprometidas. Igualmente, una mala praxis, como acceder a ciertos servicios (correo electrónico, banca online, etc.) a través de equipos de terceros (cibercafés, hoteles, etc.) o conectarse a Internet mediante redes wifi públicas, susceptibles de ser explotadas, debe mantenernos alerta. En otras ocasiones, es posible que detectemos pequeños comportamientos anómalos en nuestro equipo -como lentitud, apertura de ventanas, etc.- que nos deben hacer sospechar de que algo anómalo está sucediendo.

¿Existen herramientas para saber si nos han robado la contraseña?

Existen algunas salvaguardas proporcionadas por los proveedores de programas. Además, muchos servicios de correo electrónico, como Gmail o Windows Live, notifican cuando el acceso de la IP (el número que identifica a cada dispositivo dentro de una red) no corresponde al país origen o generan otras alertas basadas en comportamientos no habituales, que deben alertarnos.

Además, hay numerosos servicios web que recopilan información de filtraciones masivas públicas de credenciales procedentes de diferentes entidades. Habitualmente se trata de información sobre cuentas de correo electrónico, de servicios en la nube o de plataformas de streaming, entre otras. Algunos de estos servicios son: Have I been pwned?,
Hacked-emails, We Leak Info o
IsLeaked. Pero hay que tener en cuenta que la información que manejan puede no estar completamente actualizada ni verificada. Tampoco podemos estar seguros de que los datos de búsqueda que introduzcamos en estas páginas sean manejados con el nivel de protección requerida por parte del propietario. Por ello, la recomendación es no buscar datos completos ni utilizar comodines con el asterisco (*) para una búsqueda más anónima y genérica.

Y cuando confirmamos que la contraseña ha sido robada, ¿qué hay que hacer?

En el caso de que sospechemos o tengamos seguridad de que nos han robado las contraseñas, es imprescindible cambiarlas.
Asimismo, es importante realizar un ejercicio de memoria para recordar en qué lugares, ordenadores, páginas web, etc. se han utilizado. El objetivo es intentar encontrar el origen del robo.

¿Tiene datos de este tipo de delito en España?

No existe un dato concreto a nivel nacional, pues muchos de estos robos o no se denuncian o pasan inadvertidos para la propia víctima. Además, los datos habitualmente publicados corresponden al volcado de bases de datos de grandes proveedores de diferentes servicios de ámbito global.

¿Existe la contraseña perfecta?

“La contraseña perfecta no existe, pero sí podemos crear contraseñas que sean difícilmente vulnerables”

La respuesta rápida es no, porque se ha demostrado que lo que era imposible robar antes sí es posible robar ahora. En cualquier caso, hay que diferenciar entre la dificultad para poder averiguar la contraseña mediante fuerza bruta (probando todas las combinaciones posibles) y los medios de almacenamiento de las contraseñas.

El Centro Criptológico Nacional recomienda el empleo de claves que sean difícilmente vulnerables: contraseñas largas, que incluyan caracteres en mayúscula y números, así como caracteres especiales. Como contrapartida, el uso de una clave muy segura que no sea fácil de recordar puede ponerla en cuestión. De nada nos sirve tener una contraseña robusta, si la apuntamos en un pósit a la vista de todo el mundo. Por ello, debemos buscar un equilibrio apoyándonos en gestores de contraseñas o emplear frases para poder recordarla con mayor facilidad.

¿Es aún frecuente usar contraseñas tan sencillas como “123456” o “abcdef”?

Sí, es más frecuente de lo deseable, especialmente si el sistema en cuestión no impone ninguna limitación. Por fortuna, muchas aplicaciones y sistemas de control de acceso a redes informáticas ya no permiten introducir contraseñas “de diccionario”, fácilmente adivinables, sino que obligan a que tengan una cierta robustez.

¿Cuál es su consejo para navegar seguros por Internet, sin temer a los ciberdelicuentes?

En las guías del Centro Criptológico Nacional de buenas prácticas, dirigidas al público en general, realizamos una serie de recomendaciones para manejarnos de una forma un poco más segura por Internet: ‘CCN-CERT BP-01/16 Principios y recomendaciones básicas de ciberseguridad‘, ‘CCN-CERT BP-06/16 Navegadores web‘ y ‘CCN-CERT BP-02/16 Correo electrónico‘. Asimismo, el centro ha creado recientemente una plataforma de desafíos de ciberseguridad, llamada Atenea, para que cualquier persona que tenga inquietudes en este campo y quiera aprender más pueda de hacerlo de una forma entretenida. Con todos estos recursos intentamos transmitir los conceptos y pautas que hay que tener en cuenta para que la ciberseguridad sea algo cotidiano, y desmitificar que esta sea solo para unos pocos. No hay una fórmula mágica que nos permita estar seguros al 100%, la única fórmula es convertir la seguridad en un hábito.

Sigue a Consumer en Instagram, X, Threads, Facebook, Linkedin o Youtube