Francisco Luis de Andrés, experto en ciberseguridad: “Trabajar a día de hoy solo con contraseñas es un error garrafal”

Con más de 25 años de experiencia en ciberseguridad, Francisco Luis de Andrés habla con la serenidad de quien vive instalado en la emergencia permanente. Ingeniero informático, máster en Dirección de Empresas y consultor independiente para la Agencia Europea de Ciberseguridad (ENISA) y la Comisión Europea desde 2014, su trabajo consiste en resolver incidentes críticos en sectores como transporte, energía, finanzas o agua. En otras palabras: es la persona a la que uno querría llamar —o tener al lado— antes de conectarse al wifi de un aeropuerto.

“Vengo de una conferencia en Bruselas y de asistir a un incidente de seguridad en España, en una empresa grande”, explica. “Han sido más de doce horas diarias de trabajo, pero por suerte ya está contenido y en recuperación”. Escucharle es asumir, poco a poco, hasta qué punto nuestra vida digital es frágil.

No es que haya más ataques, es que reaccionamos tarde

Para De Andrés, la sensación de mayor peligro digital no se debe tanto a un aumento de amenazas como a la falta de prevención. “La concienciación llega cuando ya se ha sufrido el golpe. Muchas empresas ven la seguridad como un gasto y posponen la inversión… hasta que un ataque las obliga a gastar mucho más”. Esa reacción tardía, advierte, afecta tanto a pequeñas como a grandes organizaciones.

Hoteles, un caramelo para los atacantes

El sector turístico es especialmente vulnerable. De Andrés lo sabe bien: participó en decenas de aperturas de hoteles y tuvo acceso a sistemas internos como los PMS, terminales de recepción o redes wifi. De ahí surgió una idea tan simple como inquietante: el servicio de mystery hacker. “Llegábamos como huéspedes, pedíamos imprimir unas entradas con un pendrive y, así de fácil, tomábamos control del equipo de recepción y de la red del hotel”.

Los hoteles de alto nivel, explica, son un objetivo especialmente atractivo. “Un cinco estrellas es un caramelo para atacar a personas con altos cargos”. No es una hipótesis: grupos como el APT28, conocido como Fancy Bear, han orquestado campañas enteras desde hoteles para capturar cuentas privilegiadas. “Nuestros datos de viaje parecen una tontería, pero son muy golosos”.

Antes, durante y después del viaje

Para el viajero medio, los riesgos se concentran en tres fases claras. Antes del viaje, con reservas en webs fraudulentas, ofertas trampa en redes sociales o aplicaciones pirata. Durante, con el uso de wifis públicas y la pérdida o robo de dispositivos. Y después, cuando compartimos en redes sociales dónde hemos estado y cuándo, facilitando fraudes o robos en nuestra ausencia.

La contraseña ya no es suficiente

Si hay un punto en el que De Andrés es tajante, es en el de las contraseñas. “Cualquiera de ocho caracteres se rompe en segundos”, dice entre risas. “Muchas personas y empresas no han entendido que la contraseña se rompe con mucha facilidad. Sin doble factor, es papel mojado”.

Su diagnóstico es claro: “Trabajar a día de hoy solo con contraseñas es un error garrafal”. Lo mínimo aceptable, afirma, son trece caracteres combinados con un segundo factor —un código en el móvil o biometría—, aunque para estar realmente seguros habría que llegar a 25. El problema, reconoce, es que “a la gente le cuesta mucho recordarlas”.

Deepfakes, IA y ataques automatizados

El horizonte no es tranquilizador. La automatización de ataques mediante inteligencia artificial, los deepfakes de voz o imagen y la fatiga por exceso de alertas dibujan un escenario complejo. “Dentro de poco puedes recibir una llamada con la voz de un familiar pidiendo dinero. Con un vídeo y un fragmento de audio ya se puede generar”.

La defensa, explica, también tendrá que ser automatizada. De Andrés participa en el desarrollo del CACAO Framework dentro de un comité técnico de OASIS en Estados Unidos, un lenguaje que permite respuestas automáticas ante patrones de ataque. “No va a haber equipos humanos capaces de gestionar millones de ataques”.

Wifi pública: mejor no

La regla de oro es clara: “Cuando viajamos no deberíamos conectarnos a puntos de acceso wifi que no conocemos”. En hoteles y aeropuertos proliferan los puntos falsos que interceptan el tráfico. La alternativa más segura es usar el móvil como hotspot. Y si no queda más remedio que usar una red pública, recurrir a una VPN que cifre las comunicaciones.

Países, redes sociales y dinero

En regímenes autoritarios, advierte, las comunicaciones pueden ser monitorizadas. China, Cuba o Angola son ejemplos donde el uso de VPN se vuelve esencial, especialmente para periodistas o disidentes.

También las redes sociales entrañan riesgos: publicar en tiempo real dónde estamos puede violar leyes locales o delatar que nuestra casa está vacía. “Das mucha información sin darte cuenta”.

En cuanto al dinero, recomienda prudencia: efectivo en pequeñas cantidades, tarjetas de prepago para limitar el impacto y nunca perder de vista la tarjeta. “Nunca se la des al camarero o al recepcionista”. Con el móvil, activar el NFC solo en el momento del pago y desactivarlo después.

La idea clave antes de volar

Si hubiera que quedarse con un solo consejo, Francisco Luis de Andrés no duda: “Nuestros datos valen más que nuestros dispositivos. Protege primero la información y lo demás será reemplazable”. Una frase sencilla que resume una realidad cada vez más difícil de ignorar.

Sigue el canal de MeriStation en Twitter. Tu web de videojuegos y de entretenimiento, para conocer todas las noticias, novedades y última hora sobre el mundo del videojuego, cine, series, manga y anime. Avances, análisis, entrevistas, tráileres, gameplays, podcasts y mucho más.

¡Suscríbete! Si estás interesado en licenciar este contenido, pincha aquí.