El objetivo principal de la ciberseguridad es proteger todo sistema electrónico que esté conectado a la red, ya sean teléfonos móviles, ordenadores, etc. Según ISACA (Information Systems Audit and Control Association), “la ciberseguridad es la Protección de activos de información, a través del tratamiento de amenazas que ponen en riesgo la información que es procesada, almacenada y transportada por los sistemas de información que se encuentran interconectados”.
En el Programa Coffee Law, producido y conducido por su servidor, Rodolfo Guerrero (GR), entrevisté al CEO de DragonJAR, Jaime Andrés Restrepo (JAR), donde nos comparte sobre la Ciberseguridad.
¿Quién es Jaime Andrés Restrepo?
JAR: Yo soy ingeniero en Sistemas y en Telecomunicaciones de la Universidad de Manizales en Colombia, llevo muchos años trabajando en temas de seguridad informática, la mayoría de la gente me conoce por haber fundado una comunidad de seguridad informática de habla hispana que cumple este año 18 años en línea, y pues siempre un apasionado por aprender cosas nuevas, principalmente por seguridad informática que es el tema que más me llama la atención.
¿Qué es y de dónde surge DragonJAR?
JAR: Bueno, DragonJAR empezó como una página personal cuando yo tenía 15 años en el colegio, un profesor me incitó a subir un portal que había hecho para un concurso interno para la escuela, y ahí iba publicando lo que aprendía, a mí me apasionaba el tema de la Seguridad Informática, a la gente le gustó e iniciaron a participar activamente en el proyecto.
DragonJAR viene de mi NIP que es Dragón y mis iniciales JAR de Jaime Andrés Restrepo, el nombre ya estaba dado y ya era toda una comunidad, y desde el 2001 estamos en línea aportando información sobre la seguridad informática en español.
¿Qué es la ciberseguridad y cómo se puede aplicar?
JAR: Para mí la ciberseguridad, es una rama muy grande de todo lo que tiene que ver con la informática, aunque también está el tema de seguridad de la información, independiente por medio del que recuperan datos, también aplicaría. Para mí la seguridad básicamente es el arte que permite asegurar los temas de información de una organización o de una persona. A parte de que es un estilo de vida, es la forma en la que se puede asegurar nuestros activos digitales.
RG: Profesor Jaime, en ocasiones los ciudadanos creen que la ciberseguridad es un asunto más de empresas, de gobiernos; sin embargo, observamos que no es así, dado que todos podemos ser víctimas de un delito por el ataque a nuestra cuentas de redes sociales, etcétera.
En ese sentido, ¿la ciberseguridad aplica para todos?
JAR: La verdad es que, hoy en día, es muy difícil hacer una línea en la que se diferencie la vida real y nuestra vida digital, están muy unidas, pues hace algunos años estaba más marcada la línea que divide a los dos mundos, pero hoy en día esa línea es muy delgada. Ahorita no diferenciamos lo que es digital y lo que es real porque los dos mundos se encuentran unidos de forma inseparable.
En el día a día nosotros utilizamos sistemas de información para comunicarnos con nuestros seres queridos para comunicarnos con cualquier persona, toda nuestra vida está en la red, es muy difícil separar esos dos mundos y por eso es importante ponerle seguridad a este mundo digital porque si no lo hacemos estamos poniendo en peligro nuestra personalidad.
Comentabas, Rodolfo, que esto era importante para las personas que utilizan sistemas de información, pero yo creo que ni siquiera ellos porque al final, aunque tú no los uses, tus datos están en algún sistema de información, hace poco se filtró la base de datos de todos los ciudadanos ecuatorianos, y seguramente muchos de ellos nunca han tocado un computador en su vida o no tendrán teléfono, pero su información privada está publica, y no se sabe con qué intenciones una persona lo va utilizar para perjudicarte.
GR: Por otra parte, Profesor, en el 2015 se estaba analizando el tema del Programa Único de Monitoreo y Análisis (PUMA), en donde se hablaba de un espionaje gubernamental.
En ese sentido, ¿qué opinión tiene sobre el tema del espionaje?
JAR: Si bueno, eso se da en todos los gobiernos, en mayor o menor medida o de una forma más pública o menos pública. Es un programa que digamos que es necesario porque los delincuentes también están migrando al mundo digital, entonces si las fuerzas del orden no están a la par de los delincuentes va hacer muy difícil pelear contra ellos.
El problema que le vemos la mayoría de los ciudadanos es que se abuse de ese poder o del conocimiento que se tenga de los ejes gubernamentales para otros fines que no sea pelear contra la delincuencia.
Lo que mencionabas del espionaje gubernamental o, de pronto si yo no estoy muy a la par con tus ideales políticos, que me empieces hacer persecución política, pues a lo que todos tenemos temor cuando se habla de esos programas de espionaje gubernamental, todos los países lo tienen, es una forma muy eficiente de pelear contra la delincuencia, y si se usa bien, no tendríamos que tener miedo.
¿Cuál era el problema con PUMA?
JAR: El principal problema es que se ponía en un solo ente mucho poder, entonces no se requería una orden judicial para poder realizar las escuchas o realizar las intervenciones, y es ahí donde se puede dar pie a que se use para malos fines. Finalmente, aunque mucha gente se opuso, el programa se llevó acabo, y está funcionando, y gracias a ese programa se han hecho muchos avances contra la delincuencia.
¿Qué medidas son las pertinentes para no ser víctimas de un ciberataque?
JAR: Definitivamente, como ciudadanos podemos velar por la protección de nuestra información y de nuestros activos digitales.
Una de las medidas es la clásica contraseña o el padrón de acceso, y ese es uno de los puntos clave que debemos de mantener para estar más seguros, la mayoría de los dispositivos y de las redes sociales tienen la función del doble factor de autenticación; es decir, que aunque alguien tenga mi contraseña sino ingreso un código numérico o una validación externa aparte de mi contraseña no pueden acceder a mi red social, a mi dispositivo o cualquier elemento de mi vida digital.
Si ustedes activan eso, van a bajar en gran medida los problemas relacionados con los accesos indebidos a sus cuentas.
Otro punto es el uso de las cuentas seguras, y cuando me refiero a esto, significa que son fáciles de recordar, y difíciles de adivinar, es la forma más simple que he encontrado para explicarle a la gente como debe ir una contraseña.
Ejemplo de lo anterior: Si a usted le gusta una canción, usted sabe de memoria el coro, podría utilizar eso como contraseña, añadirle un número y un carácter especial al final, y haces una contraseña larga. Difícil de adivinar para una máquina o para una persona, y muy fácil de recordar para ti porque es tu canción preferida.
¿Qué debería hacer un gobierno para no ser víctima de ciberataque?
JAR: Para mí lo más importante es el capital humano, por más que se tenga que hacer inversión en software y en hardware, si cuentas con un buen capital humano, al momento de las puertas de vender la institución, su organización o su gobierno como tal, va a ser todo mucho más simple.
Y es ahí donde fallan muchos gobiernos que se dedican a comprar aparatos o software de defensa o de ataque, pero no hacen la más mínima inversión en el capital humano que tiene para realizar esas tareas. Entonces se vuelven monos que teclean, y no personas pensantes que están preparados para cualquier eventualidad.
¿Cuáles son los retos en la ciberseguridad?
JAR: El problema principal es la falta de conciencia, cuando hay conciencia de seguridad, un producto no sale a producción, no sale al aire sin haber pasado las pruebas de seguridad mínimas, y eso pasado en casi todos los entornos.
Hay países que están un poco más adelantados en el tema, por ejemplo, nosotros tenemos la fortuna de auditar empresas en Estados Unidos o que tiene relaciones directas con empresas en ese país, y allá es muy común que para poder ser proveedor de una organización tengas que entregar las últimas pruebas de seguridad que hiciste a tu organización, que tengas que entregar cuáles son tus políticas de seguridad. O sea, si yo estoy seguro, yo solamente me puedo relacionar con empresas que sean seguras, y eso lo tienen muy interiorizado en esos países donde ya han pasado por muchos incidentes y que hace que estén más maduros en el tema de seguridad, y por eso se empiezan a proteger entre ellos.
Porque comprar a proveedores que tengan pruebas de seguridad realizadas, lo que a ver a resultar es que todos los proveedores inicien a hacer pruebas, porque si no, no pueden negociar, y de esa forma el mercado se vuelve un poco más seguro. Es una de las cosas que hemos notados al hacer ese tipo de auditorias a grandes corporaciones.
