Entrevista | Joseliyo Sánchez Experto en ciberseguridad e investigador de amenazas en BlackBerry

"Nadie está a salvo de un ciberataque, lo más importante es educar en prevención"

Joseliyo Sánchez, experto en ciberseguridad, trabaja en BlackBerry, una de las grandes empresas de ciberseguridad, detectando ataques a países

Joseliyo Sánchez.

Joseliyo Sánchez.

José Antonio Jarabo

Por qué confiar en El PeriódicoPor qué confiar en El Periódico Por qué confiar en El Periódico

Vivimos rodeados de tecnología, dormimos con un móvil a menos de un metro, hablamos con una caja negra del salón llamada Alexa y, hoy en día, hasta el frigorífico tiene un pequeño ordenador. Sin embargo, la realidad es que no sabemos nada sobre ciberseguridad y tenemos nuestros hogares plagados de dispositivos electrónicos que no sabemos proteger de los ataques de un cibercriminal.

Joseliyo Sánchez Martínez, oriundo de Córdoba, se dedica desde 2014 a combatir el crimen en línea y, frente a los 'hackers malos', él se encuentra en el lado de los buenos. Estudió un ciclo medio en el que descubrió la ciberseguridad gracias a Eduardo Sánchez, su profesor de la asignatura homónima en el IES Fidiana. Desde ese momento, se enamoró de esta materia y se convirtió en un experto de manera autodidacta.

Hoy trabaja en BlackBerry, una de las grandes empresas de ciberseguridad, detectando ataques a países. Además, participa en la Agencia de la Unión Europea para la Ciberseguridad (Enisa), junto con otros 17 expertos, entre los cuales solo hay un español más.

Joseliyo, que es imagen de nuestro país en este área en el extranjero, colabora con distintas organizaciones internacionales en pos de concienciar e instruir en la ciberseguridad.

Su puesto de trabajo principal es BlackBerry. ¿Qué funciones tiene en la empresa?

En BlackBerry nos encargamos de vigilar países. Detectamos problemas de seguridad, realizamos un informe de seguridad y lo devolvemos. No solo nos contratan los gobiernos, también nos pueden contratar grandes empresas. Nuestra labor es garantizar la seguridad.

¿Y en Enisa, cuáles son sus funciones?

Realizamos un informe anual de todo lo que ha pasado en Europa. Estudiamos cada caso y lo sectorizamos para clasificarlos. Luego se lo pasamos a cada sector. Lo hacemos así porque a un hospital, por ejemplo, le importa lo que ha podido ocurrir en otros hospitales más que lo que ha ocurrido en una fábrica de coches. En Enisa somos 18 y dos somos españoles.

Además de estas funciones, ¿a qué más se dedica?

También imparto charlas. Hace unos días tuve un congreso de ciberseguridad en Ávila para la Policía, tratando de instruirles en ciberseguridad y dar un poco de formación en la identificación proactiva de potenciales criminales. Además, he sido ponente en el congreso organizado por Mitre en Virginia, una organización que da soporte al Gobierno de EEUU. Además, he participado en el congreso organizado por SANS Institute en Washington D.C., la mayor plataforma de formación de ciberseguridad a nivel mundial, también estadounidense. Hasta donde yo sé, soy el primer cordobés que ha dado ponencia en persona allí para ambas empresas. Como anécdota, en la Mitre me presenté salmorejo master -agrega entre risas-. En estos congresos se exponen investigaciones de ciberseguridad, se estudian las nuevas amenazas y todo lo relacionado con ataques. Además, van grandes empresas como Google, Cisco, McAfee y diferentes gobiernos a publicar sus investigaciones.

"Android tiene muchos más usuarios, por lo que si un ciberdelincuente tiene que crear un malware, lo va a crear para Android porque tiene más víctimas potenciales"

Vamos a revisar mitos, para comprobar si son correctos o no: ¿Es más seguro iOS o Android?

Ambos son inseguros, la gente cree que iPhone es más seguro, pero sin ir más lejos el Spyware Pegasus afectó a estos teléfonos. La realidad es que Android tiene muchos más usuarios, por lo que si un cibercriminal tiene que crear un malware, lo va a crear para Android porque tiene más victimas potenciales. Eso no significa que no pueda aparecer mañana un malware que infecte todos los dispositivos de Apple.

¿Y Linux, es más seguro que Windows?

Pasa exactamente lo mismo. Windows tiene tantos usuarios que no es eficiente crear un malware para otro sistema operativo, pero obviamente es posible atacar a un dispositivo Linux.

Si ya estamos siendo atacados, ¿cómo podemos detectarlo? ¿Me baja la batería más rápido?

La mejor manera de detectarlo es no haciendo nada que pueda llevar a que te infecten, no abrir correos desconocidos, y en móvil, no descargando contenido fuera de la Play Store, no visitar sitios web sospechosos, etcétera. Sobre la batería, depende del malware, si este virus permite activar la cámara o el micrófono, ciertamente la batería bajará más rápido.

¿Cuáles cree que son los principales problemas de ciberseguridad actuales?

Para las empresas, el problema es que no lo tienen en cuenta. Consideran la ciberseguridad un gasto, cuando no es así. La ciberseguridad es una inversión y es rentable, porque luego, cuando tienes un problema de ciberseguridad, acabas teniendo que pagar más. El problema en las empresas es no entender el daño que pueden hacerles y creer que nunca les va a pasar a ellos.

¿Y para el ciudadano de a pie?

El principal problema para el ciudadano de a pie es creer que no es el objetivo. A veces no lo somos, entramos en un sitio ilegítimo y nosotros mismos nos infectamos, pero hay otras muchas veces que sí lo somos. Ejemplo de esto último: quieren infectar a otra persona, por ejemplo, a tu jefe, y para llegar a él, te infectan a ti, te suplantan la identidad para enviar un correo a tu jefe haciéndose pasar por ti y este, confiando en que se lo has mandado tú, lo abre y se infecta. De esta forma cae la empresa entera, contraseñas, documentos, etcétera.

¿Cómo podemos protegernos entonces?

La concienciación en ciberseguridad es lo principal. En temas de contraseñas, si solo tienes contraseña, esta es el 100% de tu protección. Sin embargo, si tienes la doble verificación, la contraseña solo es el 50%, por lo que aunque la acierten, se lo pones más difícil. La doble verificación es muy importante. Además, es bueno no repetir la misma contraseña en todos los sitios, e igual de importante, no meterse en webs ilegítimas, porque puedes descargar malware sin darte cuenta. O el vector de entrada más común, el correo electrónico. Ante la duda de un correo electrónico, se recomienda no descargar ni hacer clic en ningún enlace.

¿Cómo hacemos que nuestra contraseña sea segura?

No repitiéndola, usando una diferente para cada sitio, además, lo ideal es que sea una contraseña larga, de entre 8 y 14 caracteres, que incluya símbolos y números. Esto se debe a que hay ataques que consisten en generar números e ir probando; cuanto más larga, menos probabilidad tienen de dar con ella.

¿Y el mito de que poner una 'ñ' hace que no te puedan robar la contraseña?

Ese es bueno también. Depende mucho, hay webs que te lo admiten, otras ni siquiera lo reconocen, lo peor que puede pasar es que te dejen ponerlo y, luego, se cambie por otros caracteres y no puedas acceder. Aunque lo cierto es que con las indicaciones anteriores, debería ser más que suficiente.

"No utilizamos la palabra hacker, ya que esta en realidad se refiere a una persona buena con conocimientos en ciberseguridad"

El último mito: ¿es cierto que los expertos en ciberseguridad habéis sido hackers previamente? ¿Ha coqueteado alguna vez con el lado oscuro?

No, no, hay de todo -comenta entre risas-. Los hay que vienen del mundo del hacking, pero, desde luego, no todos. Algunos se ven más atraídos por este mundo más oscuro, ven dinero fácil y demás, pero no todos somos crackers. No utilizamos la palabra hacker, ya que esta en realidad se refiere a una persona buena con conocimientos en ciberseguridad. Por mi parte, he conseguido acceder a información confidencial de algunas empresas españolas, pero no con fines delictivos, sino para mostrarles las brechas de seguridad que tenían. Este poder invisible sirve para algo más que chantajear a una empresa a cambio de dinero. Los gobiernos demandan la ciberseguridad y atacan mediante hackeos. Yo trato de observar los ataques, de esta forma puedo alertar a los sistemas para frenarlos, estudiarlos y prevenirlos en un futuro.

Pasemos ahora a la ciberseguridad aplicada a la política. ¿Qué ocurrió con el caso Pegasus?

Pegasus es un malware desarrollado por la empresa israelí NSO, y se ha usado para espiar a figuras políticas. En el caso de España atacó a Pedro Sánchez, quizás por ser el presidente del Gobierno español. Emmanuel Macron también fue objetivo de este malware. En España hubo otros casos como, por ejemplo, figuras políticas de partidos independentistas, sin embargo no se vio nada relacionado con algún líder del PP, quizás porque no fuesen perfiles interesantes para los que estaban detrás de esta infección masiva. En este caso, el malware funcionaba para iPhone. Como te dije antes, esto no es común, ya que es más habitual crear malware para Android al tener más usuarios.

¿Pegasus es el gobierno israelí?

No es directamente el gobierno israelí. Fue desarrollado por una empresa tecnológica Israelí. Que hubiese alguna relación con el Gobierno israelí es algo que no puedo confirmar, ya que no tengo evidencias.

¿Cómo se aplica la ciberseguridad en guerras?

La ciberseguridad es importante para evitar tener problemas. Un ejemplo de un malware muy perjudicial y muy destructivo es el de tipo 'RAT' o Troyano de Acceso Remoto, este permite que el cibercriminal pueda controlar el sistema desde otro dispositivo. Este tipo de malware no se creó para hacer el mal, pero puedes imaginarte lo que se puede hacer con él: suplantar identidades, remover archivos, introducirlos... En definitiva, tienes el acceso completo al dispositivo infectado. 

¿Qué papel está teniendo la ciberseguridad en la guerra de Ucrania?

En mi trabajo en BlackBerry estamos vigilando los ataques rusos al país. Nos encargamos de identificar los ataques y de pasar la información a la propia Ucrania, Estados Unidos y el FBI para que lo solucionen. Rusia es un país que ha invertido mucho en esta área.

"Hubo un ataque a una central nuclear en Irán en 2010 para frenar el progreso del programa nuclear iraní y detuvo por completo el país"

¿Algún gran ciberataque que recuerde?

Hubo un ataque a una central nuclear en Irán en 2010. Se usó el virus llamado Stuxnet. Atacó a la central para frenar el progreso del programa nuclear iraní y detuvo por completo el país. Pudo haber habido víctimas mortales, ya que dejó inoperativa la central. Ataques como este último son solo el principio de una nueva forma de hacer guerras. Si bien, hace más de 10 años de este ataque. En caso de una escalada bélica, este tipo de ataques podrían volver a repetirse. Por estos motivos, es recomendable que los ciudadanos estén instruidos en ciberseguridad, no solo para evitar una catástrofe nuclear, sino para evitar que un cibercriminal pueda amenazar con borrar el contenido del ordenador de casa en caso de no pagar.