Manel Medina: "Navegar por la red es como ir por la calle"

Catedrático de la Universitat Politècnica de Catalunya (UPC), dirige el centro español de incidencias de seguridad informática (EsCERT), que él fundó. Es director del comité científico del Anti-Phishing Working Group de la Unión Europea y creador de varias empresas de seguridad informática, como Safelayer.

- ¿Estamos seguros en internet? 

- La gente tiene más asumido que debe de usar el preservativo para tener sexo seguro que la protección en internet. No hay conciencia de que hay que actualizar programas y dispositivos. Y eso que hay mecanismos, como listas de webs contaminadas, antivirus… pero el 70% de los usuarios entra en una página aunque su navegador le diga que no es segura porque se ha acostumbrado a que la mayoría de avisos sean sin motivo.

- ¿Y con el móvil hemos perdido la sensación de seguridad? 

- Lo que antes era un teléfono móvil ahora es un ordenador de bolsillo que también sirve para hablar. Fabricantes y operadores nos están concienciando de que hay que instalar antivirus para protegerse. Comprobar si una aplicación es segura es casi tan costoso como crearla. El móvil ya no es un canal alternativo para acceder a internet sino que para muchos es el principal.

- La mayoría de los problemas del ordenador ya no vienen por virus, sino de malware o programas espías.

- El concepto de virus también se está deteriorando. Los ataques permanentes ya no los hacen virus que se expanden como epidemias para hacer daño sino programas pensados para robar información, capaces de seleccionar el tipo de dispositivo en que se instalan o de moverse a otras máquinas si no responden a su objetivo de ataque. Son muy selectivos.

- Se van abriendo frentes.

- Antes, si querías seguridad hacías una transacción con el móvil. Ahora hay métodos de ataque que entran en la aplicación de un banco, averiguan el número del móvil y le envían un SMS con un enlace desde donde descargar el virus. Por eso algunas aplicaciones móviles de bancos no registran el número, porque si lo hacen quedan expuestas. Las entidades financieras son servicios críticos en internet pero los gobiernos no les obligan a cumplir una serie de normas. El Banco Central Europeo estudió si emitir recomendaciones pero optaron por no publicarlas.

- ¿Ni siquiera después del escándalo del espionaje masivo de la NSA?

- Hay acuerdos internacionales de cooperación para compartir información de ataques entre países. No tenemos ni confidencialidad ni privacidad si no ciframos la información. Si te pueden ver en la calle, te pueden ver en internet. Un correo electrónico es como una postal: lo puede ver cualquiera. El caso más evidente es Gmail, que rastrea el correo para poner publicidad, pero se puede hacer con todo. Las personas anónimas se supone que no tienen interés para un delincuente pero un político o un empresario…

- ¿Qué pasaría si un día hubiera un apagón general de internet?

- Hay que intentar que esto no ocurra, que las redes sean lo más robustas posibles porque dependemos mucho de ellas. Existen criterios sobre incidentes de seguridad informática que obligan a informar sobre cobertura y número de afectados. E igual que un hospital ha de tener dos suministradores de energía, los equipamientos críticos deberían tener dos proveedores de acceso a internet.

- ¿Qué lección hay que sacar del caso Heartbleed y la NSA? 

- Que lo que no hagamos nosotros no lo hará nadie. Hay que cerrar con llave y usar contraseñas seguras.