Un 'hacker': “Con un simple 'pendrive' se puede entrar en un banco”

Se define como un “investigador” o “cerrajero” y se queja de la “mala prensa” que tiene el término hacker. Con más de veinte años de experiencia en este campo, Alfonso Arjona, consultor senior en Outpost24, se dedica a cubrir de debilidades a grandes y medianas compañías españolas. Desliga su trabajo del de los “atacantes” o “ciberdelincuentes” y advierte de que “2016 ha sido un año brutal en ataques, y la cosa va a más”.

La amenaza de los ciberataques parece cada vez mayor: ¿Son tan importantes o estamos magnificando su influencia los medios de comunicación?

La cantidad de comunicaciones [de ataques] que he recibido en 2016 respecto a 2015 es brutal, y la cosa va a más. La gente demanda cada vez más productos, que se conectan a internet, como neveras, teléfonos, consolas, reproductores, televisiones, relojes, cámaras de seguridad… Cada aparato tiene usuario y contraseña. Y te sorprenderías con la cantidad de contraseñas de configuración por defecto que hay, con el usuario Admin y el password 1234. Cualquiera puede acceder a ellos. Hay programas que te dicen la contraseña por defecto de cualquier router. Cualquiera puede usar un dispositivo tuyo para subir archivos ilegales.

Una de las cosas que más preocupa a los usuarios es si su dinero está seguro. ¿Cómo de preparados ve a los bancos españoles frente a posibles ciberataques?

Yo no los he probado. Les recomendaría lo mismo que a cualquier empresa: un pentesting (ataque externo controlado) continuo. Un atacante puede llegar a robar dinero de los bancos. Las entidades tienen distintos puntos de entradas, multilaterales. Más allá de su página web, que están bien protegidas, tiene oficinas, delegaciones y una red privada virtual. Todas esas entradas son puntos por donde los atacantes van a internar acceder. Y también está el empleado. Una cosa tan tonta como coger un pendrive con un bicho y usarlo en el trabajo da acceso a un atacante. Algo que ayudaría es algún tipo de certificación o guía ISO para medir el nivel de seguridad.

La gente tiene cada vez más productos vulnerables a ataques, como relojes inteligentes, televisiones, frigoríficos, cámaras de seguridad y consolas"

Y desde el punto de vista de usuario, ¿cómo de desprotegidos estamos?

Pongamos un ejemplo. Si usas una WiFi gratis con 50 personas más conectadas, no sabes si hay alguien más observando. A priori las páginas web de la banca están cifradas y son seguras, por lo que los delincuentes no pueden ver la contraseña. Pero mucha gente usa un mismo usuario y contraseña para todo: correo, banco, redes sociales... Si estando en esa WiFI, cualquiera es capaz de coger tus contraseñas, estás vendido. Aunque hay códigos para autorizar transferencias y otras operaciones, con toda la información que saben de ti podrían consumir en tiendas sin que lo sepas.

¿El pago con móvil aumenta esta desprotección?

A mí me da miedo. Nos gusta cada vez más la inmediatez, y es muy fácil traspasar los sistemas. Pero más que el dinero, a los delincuentes les interesa robar información. Tu identidad es muy valiosa. En la deep web se vende lo peor, y entre lo que se comercia hay identidades. Tus datos pueden ser comprados por alguien en otro continente, que se acerque un consulado con pocos medios y consiga un pasaporte. El sentido común es clave es clave para evitar ser atacado.

Más que el dinero, a los ciberdelincuentes les interesa robar información. Tu identidad es muy valiosa"

Además de tener cuidado con los WiFis abiertos, ¿hay algún tipo de consejo que seguir por ejemplo con las contraseñas?

Muchas empresas obligan a usar un patrón: con un número concreto de caracteres, una mayúscula, números… Con esa información y un diccionario que dé todas las posibles combinaciones, se puede realizar un ataque de fuerza bruta [robot que pruebe una a una todas las posibilidades] para descubrir la contraseña. Lo mejor es salirse de patrones y usar contraseñas largas que no lo parezcan. Por ejemplo, comprar2litrosdeleche. Así es más fácil recordarlas y son menos vulnerables. Y hay que cambiarlas frecuentemente.

¿De dónde vienen los ataques? ¿Algún país en concreto?

Hace unos años venían de China y Rusia sobre todo. Hay un dicho que es tengo un ruso en mi ordenador. Todo eso ahora ha cambiado. Un atacante de Asia se puede meter desde un ordenador de España para lanzar alguna ofensiva.

Hay que evitar usar la misma contraseña para todo y que éstas no usen patrones fáciles de descifrar"

¿En qué consiste el Hacker High School al que perteneces?

Es una ONG que diseña contenidos para gente de 15 o 16 años. Les enseña a protegerse del spam, de posibles engaños, y de atacantes que les mande invitaciones.