Deirdre K. Mulligan (Brooklyn, 1966) cree que la ciberseguridad se tiene que elevar a la categoría de la sanidad. Debe ser tratada como un bien de interés público. Igual que las personas están educadas para reconocer los síntomas derivados de enfermedades, defiende que tienen que disponer de las herramientas para conocer la vulnerabilidad de sus dispositivos electrónicos, de todos los que se conectan a Internet. Mulligan, que es la directora del centro de Derecho y Tecnología de la Universidad de California Berkeley, sostiene que no instalar las actualizaciones en los móviles, tabletas y ordenadores es un acto irresponsable. “Por evitar que el aparato sufra modificaciones, como que funcione más lento, se está poniendo en peligro al resto”. Esos móviles con software obsoleto pueden ser fácilmente hackeados y usados para ataques masivos.

Coautora de una nueva doctrina para la ciberseguridad, junto a otro investigador de la Universidad de Cornell, Mulligan explicó los puntos clave de ese marco teórico en unas jornadas internacionales de seguridad de la información celebradas en Madrid. Educar sobre los riesgos y las consecuencias de los ciberataques y concienciar a los estados para que desarrollen una estrategia conjunta para detectar a tiempo las amenazas son las líneas principales de la doctrina, que destierra algunas estrategias planteadas hasta ahora como poner el foco en la identificación de los cibercriminales para después juzgarlos.

Pregunta. Teniendo en cuenta el alcance de los últimos ciberataques [esta entrevista se realizó antes de la alerta lanzada el pasado lunes por el FBI por un ataque de hackers para apropiarse de los routers domésticos], ¿cree que los gobiernos están lo suficientemente volcados en la búsqueda de soluciones?

Respuesta. Los gobiernos, las empresas y los individuos están cada vez más preocupados. El ciberespionaje relacionado con documentos clasificados, el ataque a webs y el robo de contraseñas y datos personales está creciendo. Hasta ahora se ha puesto el foco en desarrollar nuevas tecnologías para frenar ese avance, pero la solución requiere políticas públicas. Nos tenemos que plantear una intervención en decisiones que hasta ahora han recaído en los individuos, como por ejemplo, la instalación de las actualizaciones en sus dispositivos móviles. Hacer caso omiso o posponerlas es irresponsable. Esas actualizaciones tienen sentido desde el punto de vista técnico: son parches de seguridad para solucionar vulnerabilidades del sistema.

Todos los países tienen normativas de seguridad, pero el problema es que no existe una coordinación. Aunque no vayamos a actuar de la misma manera, compartir información y prever amenazas de forma conjunta sería un avance.

P. ¿Cree que parte de la solución pasa por educar a los ciudadanos para que sean conscientes de esos peligros y hagan lo posible por remediarlo?

R. Nunca vamos a tener sistemas perfectos. La gente no se va a comportar de forma ejemplar, hay personas que están continuamente intentando atacar sistemas, algunos por razones económicas o políticas y otros solo para demostrar que pueden hacerlo. Podemos educar, enseñar que si tienes muchos dispositivos electrónicos que ya no usas, los tienes que apagar o podrían estar comunicándose con redes externas y desconocidas. El primer paso para gestionar la inseguridad es asumir la responsabilidad y no mirar hacia otro lado cuando te llega a tu ordenador una actualización del sistema operativo, cuya misión es poner un parche de seguridad al código de tu ordenador para hacerlo más seguro.

“Quizá no les deberíamos dar la oportunidad de decidir, sino directamente actualizar sus equipos de forma automática.”

P. ¿Cuáles pueden ser las consecuencias de no instalar esas actualizaciones?

R. Si te pregunto cuánta batería tiene tu móvil o qué potencia tiene el wifi es fácil que respondas. Solo tienes que mirar las barras en la parte superior del dispositivo. Pero, ¿qué seguridad tiene? ¿cuántas veces han intentado dañarlo o acceder a él a lo largo del día? No tenemos ni idea de la seguridad de nuestro móvil. Cuando se produce un ataque a una web gubernamental o corporativa, el culpable no es un individuo desde un ordenador, sino los llamados botnets, la utilización de millones de ordenadores de diferentes usuarios para dirigir tráfico a unos sites concretos y tumbarlos, deshabilitarlos.

Como ciudadana o ciudadano, no quieres que tu aparato se use con ese fin, pero no dispones de ninguna herramienta para medir la salud del dispositivo. A eso se suma que mucha gente tiene miedo de actualizar su móvil por si se queda colgado, por si se borran mensajes o por si le empieza a funcionar más lento. Otras veces están de viaje y no tienen suficiente banda ancha y lo posponen. En ese momento, su teléfono es vulnerable y puede que alguien esté intentando obtener datos de él o que lo quiera usar para un ataque. Irracionalmente y por su propio interés no lo hacen, y están permitiendo que terceras personas sean atacadas en masa. Cuanta más gente actualiza, mejor es el sistema de seguridad para todos.

Imagen: Ministerio de Energía, Turismo y Agenda Digital del Gobierno de España/ Incibe

P. Igual el motivo de que muchos se relajen es precisamente que no temen ser atacados por no ser personajes famosos con material susceptible de ser robado.

R. Si te hackean el ordenador, pueden extraer información, detectar lo que estás tecleando o acceder al micrófono. Las consecuencias pueden recaer directamente sobre tu privacidad. Ciertas contraseñas conducen a información de tu situación financiera, datos de la tarjeta de crédito, números de teléfono, direcciones de correo electrónico… Esos datos de cientos de personas pueden ser muy útiles para operaciones de fraude con tarjetas de crédito o suplantación de identidad, que es uno de los delitos que más está creciendo en el mundo. Un criminal que obtiene tus datos puede abrir nuevas cuentas con tu nombre, o vender esa información personal en la darknet (red oscura).

P. ¿Qué tipo de cambios legislativos propone?

R. Hoy, la gente puede decidir si actualiza su teléfono. La pregunta es ¿deberíamos aprobar otras políticas? Teniendo en cuenta que sus decisiones de seguridad afectan a terceros, igual no les deberíamos dar la oportunidad de decidir, sino directamente actualizar sus equipos de forma automática. Si consideramos que hay un riesgo público real y que hacen todo el ecosistema más débil. Hay muchas diferencias entre el interés individual y el público y tenemos que reflexionar sobre eso. Es como el coche: en algunos países el cinturón de seguridad es automático. No es el caso de Estados Unidos porque allí valoramos la libertad.

P. En ese caso, los gobiernos tendrían que confiar en el criterio de las tecnológicas a la hora de lanzar las actualizaciones de los sistemas operativos. Confiar a ciegas en que van a llegar a tiempo.

R. Las compañías están interesadas en abordar esas vulnerabilidades; para ellas es una cuestión de tiempo y dinero. Además, se enfrentan al reto de asegurar que esos parches de seguridad serán compatibles con otros servicios. Por ejemplo, en el caso de Microsoft, cerciorarse de que no entorpecerán la última versión de Microsoft Office. También de que los aparatos soportarán la actualización. En el caso de Apple, es más fácil porque no hay muchos usuarios con sistemas operativos iOS antiguos. Han sido forzados a cambiar el terminal para poder estar al día. Los ordenadores de casa funcionan de forma diferente; se suelen mantener durante más tiempo y las aplicaciones que se descargan no están tan constreñidas por el sistema operativo como las de los móviles. Es otro ritmo.

“Nuestra doctrina propone conseguir que la gente instale los parches de seguridad, que entiendan cuando sus máquinas están infectadas.”

P. Con el Internet de las cosas muchos aparatos están conectados entre sí. ¿Esos sistemas tan abiertos son más vulnerables a los ataques?

R. Son aparatos inteligentes que están conectados a internet y pueden ser hackeados. Ahora se está dando un giro en el planteamiento de esos productos para dar prioridad a la seguridad desde el momento del diseño y de la fabricación. El gran problema es que muchos de esos dispositivos no permiten actualizaciones. Pantallas táctiles desde las que se controla el termostato, el cierre de puertas o las luces de la casa. Son fáciles de instalar y cómodos, pero sabemos que son vulnerables desde el punto de vista de la seguridad y que pueden ser usados de forma conjunta para crear una infraestructura que dé soporte a diferentes tipos de ataques.

En Estados Unidos se ven como productos de usar y tirar y no han sido fabricados para lidiar con vulnerabilidades. No tienen la capacidad de admitir parches de seguridad. No hablo de Alexa, sino de aparatos que normalmente han sido lanzados al mercado por pequeñas compañías.

P. ¿El problema son las pequeñas compañías?

R. Intentan sacar productos al mercado de forma rápida que resulten atractivos e innovadores. La seguridad cuesta dinero y los consumidores no están dispuestos a pagar más por una cámara para controlar a su bebé que sea segura desde el punto de vista de los ciberataques. Piensan, ¿quién va a querer ver a mi bebé? En términos de desarrollo del producto es más caro y además cuanto más seguro es un aparato menos posibilidades hay de conectarlo con otros. La gente quiere sacar el aparato del embalaje, enchufarlo y poder hacerlo todo a la vez. El mercado de la seguridad no es rentable.

P. ¿Qué novedad incorpora su doctrina para la ciberseguridad con respecto a las tres anteriores?

R. Se centraban en dos aspectos que resultan ineficientes. Dejaban el peso sobre el avance de la tecnología y el desarrollo de sistemas de seguridad más sólidos. Es imposible. Pensemos en una casa. Para que sea segura la construiremos de metal, con una sola ventana, pequeña, con una puerta de acceso con huella digital. Muy segura pero muy poco atractiva para vivir, sin luz. Podemos construir sistemas muy seguros, pero la gente quiere descargar aplicaciones, que sea compatible con otros aparatos, usar wifi. Construir un sistema que sea seguro en todos esos entornos es un gran problema de ingeniería. Otro problema añadido es que hay quienes quieren atacar y acceder a esos sistemas; buscan continuamente las ventanas, los huecos de vulnerabilidad por los que colarse.

Otro de los defectos es centrarse en el castigo a los cibercriminales. Encontrar la máquina original y a la persona que hay detrás es muy complicado. Luego está la cuestión de si el país lo extraditará para que sea juzgado. Esa es otra doctrina que no funciona. Nuestra doctrina propone conseguir que la gente instale los parches de seguridad, hacer que entiendan cuando sus máquinas están infectadas, y asegurar que las mantienen lo más seguras que pueden.Similar al escenario sanitario: tu salud contribuye a la salud general.