«Puede que tu cuenta bancaria se haya quedado a cero varias veces y ni te hayas enterado»

Cada vez que uso la banca móvil, doy un suspiro de alivio cuando veo que los hackers no me han dejado el saldo a cero.

• No es cuestión de volverse paranoico. Como usuario, no tienes por qué preocuparte. La responsabilidad es de tu banco. Pero puede que tu cuenta se haya quedado a cero unas cuantas veces y ni te hayas enterado.

Ahora, sí que me voy a volver paranoico…

• Tú ves una cosa, pero el banco ve otra. Tú ves un dato, pero a saber dónde está tu dinero. Lo que ves es un número que hay en una base conectada a otras que, a su vez, están conectadas a diferentes servidores. Hay muchísimos ataques, pero se resuelven antes de que los usuarios se den cuenta.

• Quiere decir que me comporto y pienso igual que un hacker, pero utilizo mis habilidades sin malicia. Lo único que me diferencia de los malos es la intención. Busco agujeros en el sistema no para aprovecharme, sino para taparlos.

Vale, pero un hacker, por ético que sea, tiene acceso a tanta información que el riesgo de pasarse al lado oscuro siempre está ahí.

• Claro, existe un riesgo, pero es muy bajo porque se trabaja en equipo. Estamos entrenados para darnos cuenta de los comportamientos maliciosos. Si haces algo inusual, tus compañeros se dan cuenta.

¿La han tentado alguna vez?

¿Cómo se prepara alguien para su trabajo?

• Antes, los hackers eran autodidactas. En los niveles en los que me muevo, como mínimo tienes que ser ingeniero.

¿Alguna vez ha visto un ataque tan ingenioso que ha dicho «me quito el sombrero»?

¿No buscan los hackers el aplauso de sus colegas?

• Eso era antes. Tu motivación era presumir, subir tus ataques a chats especializados y que los elogiasen. Esa época pasó. Ahora, todos se mueven por dinero.

¿Puede ser porque antes todos los hackers eran hombres y tenían ese afán de impresionar?

• No. Actualmente, casi todos son hombres también. Es un cambio de mentalidad. El perfil ha cambiado.

¿En qué?

• Antes eran gente apasionada por la computación. Algunos, incluso auténticos genios. Se estaban poniendo los cimientos de Internet. Aquellos hackers eran mucho más inocentes, unos ingenuos en comparación con los de ahora. Se movían por desafíos, como superar una barrera de seguridad. Hoy, todos son criminales.

¿Hay piratas que dejan su ‘firma’ en un ataque a modo de tarjeta de visita?

• Yo hace mucho que no lo veo. Pero el modus operandi te sirve para saber si el ataque viene de un país o de un grupo concreto. Además, entre los ‘buenos’ compartimos mucha información. Porque cuando te atacan es fundamental identificar rápido al agresor.

Usted es la impulsora de la organización Girls Can Hack, cuyo objetivo es llevar el mundo de la ciberseguridad a niñas y jóvenes.

• Sí, intentamos atraer a más mujeres. Hacen falta porque no puedes tener al mismo tipo de persona pensando igual todo el tiempo. En un equipo de ciberseguridad hacen falta diferentes mentalidades y capacidades.

• Las mujeres tienen un alto grado de intuición cuando investigan. Son muy buenas haciendo análisis. Al final se hace mucha tormenta de ideas y hacen falta muchos ojos sobre la misma cosa. Si todos piensan lo mismo, no es un buen equipo.

Hace poco cayeron Facebook, Instagram y WhatsApp; al parecer, fue un error de los ingenieros. ¿Puede caerse todo Internet?

• Internet está totalmente descentralizado. Te dan acceso diferentes empresas de telefonía, la información circula por infraestructuras distintas, todo está respaldado… Se pueden tumbar trozos de Internet, incluso muy grandes, pero todo es casi imposible.

¿Casi?

• En este trabajo aprendes a no descartar nada.

¿Van ganando los malos o los que persiguen a los malos?

• Depende de la capacidad de protegerse de cada cual. Hay organismos, empresas y países que destinan muchos recursos. Pero el riesgo se mide por dos parámetros. No basta con tener una vulnerabilidad, debe haber alguien dispuesto a atacarla. Si a nadie le interesa explotar tu punto débil, el riesgo es bajo. Pero, si eres una farmacéutica en plena pandemia y tienes brechas de seguridad, entonces es muy alto.

De hecho, se ha informado de ataques a laboratorios que investigaban en vacunas, en algunos casos procedentes de grupos que trabajan para gobiernos.

• Algunos países tienen una capacidad cibernética muy potente y la emplean para lanzar ataques. Es el espionaje industrial de toda la vida, solo que ahora no tienes que viajar ni sacar fotos de planos o documentos. Lo haces todo en remoto.

• Correcto.

¿Quién tiene el mejor ciberejército?

• Estados Unidos, por delante de China. Todas las agencias federales tienen su rama de ciberseguridad. Es una prioridad nacional, con independencia de la administración que gobierne.

Pues a Estados Unidos también le meten goles. Hace meses le tumbaron el gasoducto de Colonial.

• Ya, pero que antes no se publicaran noticias sobre ataques a infraestructuras no quiere decir que no sucedieran.

Pero un daño con tantos afectados como el de Colonial, con colas en las gasolineras, marca un hito.

• Es un hito periodístico. Por ejemplo, hace unos años, cuando hubo apagones de manera simultánea en Nueva York, San Francisco y Los Ángeles… Han pasado muchas cosas que la opinión pública sigue sin saber que han sido culpa de los hackers.

¿El ransomware (secuestro de datos por los que se pide un rescate) es la mayor amenaza?

• Va por tendencias. Comenzó a proliferar a partir de 2018, con la pandemia se dejó de lado y los piratas se dedicaron a robar información. Ahora ha vuelto.

Cuando uno se conecta a Internet, ¿siempre hay un riesgo?

• Sí. El riesgo cero no existe. A no ser que no estés conectado.

¿Desconectar es su sueño?

• ¡Para nada! [Se ríe]. Yo me dedico a esto.