El fundador de Vapasec, Pablo San Emeterio, en una ponencia del congreso RootedCON. | RootedCON

TW
0

Las estafas, los ciberataques y los robos en la nube están a la orden del día. El fundador y director de la empresa de ciberseguridad Vapasec, Pablo San Emeterio López, se presenta este viernes a las 20 horas en la Biblioteca Rubió de Maó para hablar sobre los desafíos que atañen a este cibercaos y las soluciones que existen en la Era Digital.

¿Siempre le ha despertado interés la rama informática de la ciberseguridad?
—Sí, me lleva picando desde hace tiempo. Empecé a estudiar Ingeniería Informática porque la ciberseguridad era mi pasión y al final son muy útiles todos los conocimientos que adquieres durante la carrera, como sistemas operativos, redes de comunicaciones, bases de datos, Inteligencia Artificial… Son herramientas que se usan en el día a día de la ciberseguridad. Después hice un máster en Auditoría y Ciberseguridad y desde entonces he estado trabajando en diferentes empresas españolas, como por ejemplo Telefónica, en soluciones de seguridad, hasta que hace un año y medio decidí lanzar mi propia compañía, Vapasec, donde ofrecemos productos y servicios de seguridad propios.

Hace poco participó en el RootedCON, el mayor congreso ‘hacker' de España, donde se hizo pública una investigación que advierte de la vulnerabilidad de los dispositivos Bluetooth. ¿En qué consiste esta brecha exactamente?
—Se trata de un problema en el enlace Bluetooth de los cascos con los teléfonos. Hoy en día, casi todos utilizamos auriculares inalámbricos y esta vulnerabilidad permitía a los atacantes escuchar las conversaciones que tienes con los cascos. La forma de remediarlo, como casi siempre ocurre en estos casos, es mediante una actualización que corrija el fallo dentro del código que evita este problema.

¿Los ciberataques son algo exclusivo de nuestro tiempo o han estado siempre presentes?
—Hay cuatro ciberataques que para mí son muy reseñables. Uno de los primeros fue el gusano «I love you» en torno a 1999, un virus que se replicaba a través del correo electrónico en todas las cuentas de correo que tuviera almacenada esa persona. Es decir, se enviaba un correo que decía «I love you» y se iba replicando. No tenía ninguna carga maliciosa más allá de la autorreplicación, pero ya nos puso en alerta. Posteriormente aparecería Stuxnet, el inicio de lo que conocemos como ciberguerra. Era una campaña que se hizo para evitar el enriquecimiento de uranio que hacía Iran en 2011, es decir, tenía como objetivo centrales nucleares. Se lanzaban pendrives que, al introducirlos en el ordenador, comprometían su seguridad, ejecutaban código y conseguían desestabilizar las centrifugadoras de uranio y hacer que se rompieran, mandando al traste todo el presupuesto del programa de uranio iraní. Otro muy mítico para mí fue la botnet Mirai, un ataque que tumbó internet durante unas horas en 2016 al comprometer millones de routers y cámaras IP. Un atacante los estaba usando para intentar acceder a DynDNS, un servicio que soporta la resolución de nombres. Por tanto, no se podía acceder a Whatsapp, Facebook y otras grandes compañías porque esos dispositivos estaban colapsando los servidores. El último sería Wannacry, que utilizaba un fallo que permitía una ejecución remota de código en los ordenadores y se autorreplicaba, cifrando el contenido de los ordenadores. Apagó casi todas las empresas del IBEX35 durante todo un fin de semana de 2017.

Estos serían los ataques más sofisticados. Pero, ¿cómo nos podemos proteger de los más básicos y habituales?
—Estos van dirigidos contra empresas. Contra las personas, los más habituales son las estafas. En estas se suele poner un gancho como un piso de alquiler vacacional a un precio muy bajo, una videoconsola por 50 euros... algo demasiado bueno para ser cierto. Tradicionalmente, si los atacantes eran extranjeros se notaba mucho en la redacción, que estaba mal hecha. Pero con los nuevas herramientas de IA como ChatGPT, la redacción es bastante creíble. Muchas veces te piden pagos por adelantado o similares.

¿Algún ejemplo?
—Estas últimas Navidades a un chico le robaron dinero en ING porque falsificaron el número de teléfono desde el que le llamaron. Ahí, lo importante es que cuando te dicen que te llaman de tal sede de tal banco y compruebas si el número de teléfono coincide, debes pedir un número de caso y una persona con la que hablar. Ya sea un banco, una entidad eléctrica... lo que sea. En ese momento, cuelgas y les llamas tú. Los malos siempre pueden falsificar el número desde el que están llamando, pero en el momento en el que llamas a la sede original, cortas el problema de raíz. Nunca van a estar ahí.

¿Las empresas le están dando últimamente una mayor importancia a la ciberseguridad?
—Están invirtiendo cada vez más, pero muchas acuden a nosotros cuando ya han sufrido un ataque.
Estamos muy concienciados con la seguridad física del negocio, pero en algunos casos sigue faltando concienciación y prevención sobre la parte digital.