Gustavo Herva: «Los cibercriminales están haciendo uso de muchas técnicas de IA»

La cibercriminalidad no ha dejado de crecer en los últimos años. Los métodos utilizados son cada vez más sofisticados y los ciudadanos tienen más dificultades para protegerse. Gustavo Herva, jefe de la subárea de Seguridad de la Amtega, resolvió ayer las preguntas planteadas por los lectores de la edición digital de La Voz.

—¿El uso de la IA influye de algún modo en la ciberseguridad?

—La inteligencia artificial, como toda tecnología, se puede utilizar para bien y para mal. En este caso nos encontramos con herramientas y sistemas de ciberdefensa que ya se están usando porque permiten hacer un trabajo que las máquinas resuelven con rapidez y precisión. Pero también es una tecnología que los ciberatacantes tienen a su disposición para, por ejemplo, suplantar la voz e imagen de una persona. Los cibercriminales están haciendo uso de muchas técnicas de IA.

—En los años 90, Xabarín Club tenía un personaje llamado Seguriño que concienciaba a los niños sobre seguridad vial. ¿Echa de menos algún personaje así en ciberseguridad?

—Desde hace varios años nos ha rondado la idea de tener una figura como esa para difundir buenas prácticas en ciberseguridad y, finalmente, hablando este tema con TVG, a finales del 2022, pusimos en marcha, dentro del programa Dígocho eu, una iniciativa en la que semanalmente se trasladan ese tipo de contenidos. Como novedad, el año pasado, al personaje de CiberEsther se ha incorporó el de Cibercarracho.

—Sufrí una estafa, a través de SMS y llamada telefónica, en 2021. En esos días, a cientos de clientes de mi entidad bancaria les pasó lo mismo. ¿Con todas las medidas de seguridad que tienen no pueden hacer nada más?

—Desgraciadamente, estas situaciones cada vez son más frecuentes y las entidades bancarias tampoco pueden proteger todos los casos que se pueden llegar a dar por suplantación de identidad, SMS o llamadas falsas y que, cada vez, son más sofisticados. Algo que se ve mucho últimamente es recibir un mensaje o una llamada y que, en tu teléfono, aparezca como emisor el número de tu oficina bancaria. Para la persona que recibe la llamada o SMS es difícil saber si es o no el banco. Por eso, en el caso de pagos o de entidades bancarias, yo diría que hay que ser paranoico, más que razonablemente escéptico, sobre todo, si te piden claves. Hay que desconfiar siempre y nunca facilitar ese tipo de datos porque los bancos nunca van a pedirte esas claves o códigos a través de esos canales. Esa sería la gran recomendación, pero es cierto que son estafas muy bien hechas y que es difícil no caer. Ahora mismo, está en marcha una iniciativa del Gobierno, en colaboración con la banca y los operadores de telecomunicaciones, que servirá para llevar a cabo una serie de modificaciones legislativas que permitirán hacer cosas que hasta ahora no eran posibles y que están encaminadas justamente a evitar ciertas situaciones que describen los lectores. Así, por ejemplo, no se podrá recibir una llamada generada en el extranjero y que parezca que realmente es de un número nacional. Estas son las prácticas que están utilizando en estos momentos los cibercriminales.

—¿En caso de una retirada de fondos ilícita de una cuenta bancaria se hace responsable la entidad?

—Hay una normativa de pagos que determina quién tiene que hacerse cargo cuando se da una situación de este tipo. Normalmente, esas guías exigen que el cliente utilice el instrumento de pago según las condiciones pactadas, que tome medidas razonables para proteger las contraseñas o códigos y que se notifique sin demora si hay una sospecha de fraude. Y por parte de la entidad tienen que poner encima de la mesa todas las medidas que están en su mano, incluyendo la difusión de buenas prácticas de ciberseguridad entre sus clientes. Luego cada caso es distinto, hay muchas particularidades, no siempre es el banco el que tiene que hacerse responsable ni tampoco el cliente. En caso de desacuerdo, es la justicia la que tiene que decidir.

—¿Cómo puedo proteger el móvil contra un hacker?

—En primer lugar, deberíamos tener restringido el móvil de alguna manera, bien a través de un pin o biometría, para que si lo perdemos no tengan acceso directo a nuestra información. Un segundo consejo, sobre las aplicaciones es que, por supuesto, se descarguen de tiendas oficiales e incluso deberíamos fijarnos en quién es el desarrollador o si está bien valorada. También es importante revisar el tema de los permisos. Respecto a la conectividad, la recomendación general es mantener los mecanismos apagados cuando no se usen, aunque entiendo que es poco práctica y exagerada. Y, por último, recordar que existe soluciones de seguridad tipo antivirus para móviles. Estamos muy acostumbrados desde siempre a verlas en los portátiles y ordenadores de sobremesa, tradicionalmente parece que se considera que los dispositivos móviles no necesitan de esos antivirus. Los hay y son específicos para teléfonos móviles. No son infalibles, pero nos ayudan a protegernos de ciertos problemas relacionados con la ciberseguridad y los ciberataques.

— Este año se celebra la IV edición de CIBER.gal, una cita consolidada como una referencia para el sector en Galicia, ¿cómo lo han planteado?

—Se estructura en dos partes. Una jornada que se celebrará este jueves en la Tecnópole de San Cibrao das Viñas y que está más dirigida al mundo profesional y de investigación en materia de ciberseguridad. Invitamos a todo el mundo a asistir, pero hay que tener en cuenta que tiene un enfoque más profesional. Este encuentro tiene una segunda parte, los días 6 y 7 de noviembre en la Cidade da Cultura, que está pensada para la ciudadanía en general, fundamentalmente a menores de edad, personal de las administraciones públicas y al sector empresarial. Durante dos días habrá ponencias, entrevistas y muchas actividades en las que se hablará, se debatirá sobre ciberseguridad y se difundirán buenas prácticas. Este año vamos a contar con la presencia del experto internacional Chema Alonso, tendremos una obra de teatro y también un monólogo que ofrecerá David Amor. El programa se hará público en breve y la inscripción para noviembre no está abierta por el momento.

—¿Y seguirá puesto el foco en los más jóvenes y su concienciación?

—En Santiago tenemos una parte muy dirigida a menores que llamamos Ciberseguridade no cole y que lleva años funcionando. Hay una fase previa en la que participan colegios de toda Galicia, en los niveles de 5ª y 6ª de Primaria y 1ª y 2º de ESO, y los que llegan a la final compiten en la segunda jornada del evento. Es algo que está generando interés. De hecho, el año pasado participaron 120 centro y 6.000 escolares. Está abierta la inscripción, así que animo a los interesados a apuntarse a través de la página web CIBER.gal.