El acelerado avance e integración de Internet y las Tecnologías de la Información y Comunicación (TIC) en distintos ámbitos de nuestra vida han generado oportunidades sin precedentes para el intercambio sin fronteras y en tiempo real, permitiendo que los usuarios y usuarias se comuniquen, aprendan, socialicen y se expongan a nuevas ideas y fuentes de información.
Sin embargo, sus usos no están exentos de desafíos y tensiones. De acuerdo con informes de la ONU, los ciberataques han aumentado significativamente durante los últimos años, observando un incremento en el acoso y la exposición a riesgos en la red, lo que subraya la necesidad de reforzar las medidas de seguridad digital.
Pero, vayamos al comienzo. ¿Qué es la ciberseguridad? Nos explica Ivana Bachmann, profesora del Departamento de Ciencias de la Computación de la Facultad de Ciencias Físicas y Matemáticas U. de Chile e investigadora del Laboratorio de Estudios de Internet y Telecomunicaciones de NIC Chile - NICLABS.
"La ciberseguridad se refiere a la práctica de proteger a las personas o usuarios de ciberataques. ¿Qué sería un ciberataque en este contexto? Un ciberataque involucra, por ejemplo, robo de datos, ataques como phishing (donde se engaña a la persona para que crea que está accediendo a algo seguro cuando en realidad no lo es), malware (incluyendo los ransomware donde toman literalmente el equipo secuestrado), entre otros. Entonces, la ciberseguridad en general se refiere al acto de protegerse de estos ciberataques, tanto en prevención como en respuesta. Ahora, respecto a cómo lo manejamos desde el laboratorio NICLABS, lo estudiamos desde las redes tipo Internet, interconectadas. La seguridad tiene una componente inherentemente asociada al acceso a Internet. Y aquí estudiamos cómo podemos proteger estas redes, cómo podemos detectar amenazas a nivel de, por ejemplo, los nombres de dominio, o incluso el manejo de recursos en términos de privacidad, cuando uno tiene anuncios".
Para la Ingeniera Civil en Computación y también Jefa de Proyectos de NICLABS, la ciberseguridad es un ámbito que está sumamente presente en nuestro cotidiano, no importa qué tanto uno pueda creer que está desconectado de Internet, "como las personas mayores, mi abuelo, mi mamá o gente que quizás no siente que esté tan conectado a Internet. En el momento en que nosotros tenemos acceso a la telecomunicación, nosotros ya estamos en riesgo, entonces esto es algo que es fundamental y que está constantemente presente. O sea, no hay mucho escape. Incluso si en nuestros lugares de trabajo necesitamos acceder a una red de Internet interna, sigo estando expuesto. Entonces, es algo que está sumamente presente y que como sociedad tenemos que apuntar a educar", enfatiza la profesora.
Programas malicios más comúnmente utilizados en ciberataques
Un ciberataque es algo que pone en riesgo la seguridad y privacidad, en particular de los datos personales. En este contexto, encontramos distintos agentes que pueden provocarlos. Así encontramos el malware, definido como cualquier programa o extracto de un código diseñado para infiltrarse, dañar o robar información de dispositivos sin consentimiento, actuando de forma sigilosa. Entre los más conocidos están los famosos “virus” (daña archivos, roba información o altera el funcionamiento del sistema); “gusanos” (explotan vulnerabilidades de seguridad para enviar copias de sí mismos a otros equipos); y los “ransomware” (secuestra datos, restringiendo el acceso a archivos o sistemas operativos mediante cifrado y exigiendo un rescate económico).
"Y es algo que uno pensaría '¿a quién le pasa?'. A los servicios de salud en Chile les pasa. Los servicios de salud son los que están más dispuestos a pagar lo que se pide por este secuestro. Porque tienen demasiada información, información demasiado sensible y necesitan tener constantemente acceso a ella. Entonces, un ciudadano que quizás no trabaja en eso, no lo ve. Pero es común que el ransomware sea utilizado en ese tipo de servicios, donde en realidad uno no se puede dar el lujo de esperar a resolverlo de la forma tradicional", indica la profesora de nuestro plantel.
A esto se suma el phishing, técnica de ciberdelincuencia que suplanta la identidad de empresas o personas de confianza para engañar a las víctimas y robar información confidencial, señala la ingeniera: "El phishing se aprovecha de la ingeniería social y para esto engaña a la víctima. O sea, se hace pasar por algo que se ve seguro. Por ejemplo, hace algunos meses ocurrió que llegaban mensajes de Correos de Chile diciendo 'Hola, tu encomienda se perdió. Métete aquí'. Y lo que hacen es generar sitios y correos que se ven 'oficiales', sin embargo siempre tienen indicadores de que algo está mal. Pero si uno realmente tiene algo que estaba esperando por Correos de Chile y quizás no leyó muy bien, uno se asusta y actúa. Y ¿qué hacen este tipo de ataques? Hacen que uno voluntariamente le regale datos como usuarios y contraseñas, tu ubicación incluso, donde vivo o donde trabajo. Todo esto cae en este paraguas de 'ingeniería social'".
Los ataques de ingeniería social se aprovechan de la psicología humana, utilizando el engaño y la suplantación de identidad para manipular a las personas a que revelen información sensible o realicen acciones que comprometan la seguridad. La ingeniería social no se limita al mundo digital. Los atacantes suelen combinar tácticas en línea y fuera de línea para parecer creíbles. Pueden utilizar llamadas telefónicas, correos electrónicos o incluso visitas en persona para generar confianza.
Más allá del dinero y los bienes, en un ciberataque perdemos privacidad
Muchas de estas prácticas están motivadas por el robo de dinero o bienes. Pero lo que las personas no toman en cuenta es que también pierden el derecho a la privacidad. "Lo que suele pensar la gente es 'bueno, estas son las fallas en la ciberseguridad, solo voy a perder plata' tras un ciberataque. Pero lo que la gente no toma en cuenta es su privacidad también, que uno tiene derecho a una vida privada, y por lo tanto, tiene derecho a resguardarla. Entonces, si te están haciendo tracking, si sales en fotos que tú nunca pediste, te puede traer problemas, por ejemplo, en el trabajo si alguien dice 'mira, esa foto de Juanito Pérez que está metido acá'. Entonces, la gente no tiene conciencia de que tiene derecho a su privacidad. Y ese es un derecho que deberían resguardar mucho mejor de lo que se hace hoy en día", señala Javier Bustos-Jiménez, también académico del Departamento de Ciencias de la Computación de la Universidad de Chile y Director Ejecutivo de NICLABS.
Un caso común ocurre cuando hackean nuestro celular, por ejemplo. En él, no solo se encuentran datos bancarios, también está disponible toda nuestra información de vida: fotografías de dónde vivimos, con quiénes compartimos, qué lugares frecuentamos, qué nos interesa, etc. Así mismo, en el contexto de las redes sociales, muchas veces compartimos información sin dimensionar los riesgos a los que estamos expuestos.
"Uno de nuestros proyectos efectivamente es explicar los términos y condiciones de ese documento de 800 páginas que vienen en todas las aplicaciones en términos simples y para ver quiénes lo están cumpliendo y quiénes no también. Y descubrimos que había un artículo que decía que Facebook dentro de sus términos y condiciones, decía que si tú no tienes cuenta en Facebook, pero la tuviste alguna vez, o si tuviste Instagram y lo cerraste, pero quedó tu foto dando vueltas, entonces ellos se reservan el derecho de seguir haciéndote tracking, aunque tú ya no tengas tus cuentas de Facebook e Instagram activas. Yo lo leí y casi se me cae el pelo. Tuve que leerlo tres veces y efectivamente así lo decía el artículo. Hacer tracking es cuando, por ejemplo, te identifican en una foto. Y después analizan con quiénes estás. Entonces, identifican a aquellas personas con las que hablas más seguido, los lugares o eventos a los que fuiste, etc. Esto, en un 'buen' sentido podríamos decir, se podría usar como publicidad para ofrecerte cosas que tengan las personas que están al lado tuyo. Por ejemplo, a ti te gusta el jazz, y ellos no lo saben pero resulta que sales en muchas fotos con tres usuarios, y esas tres personas salieron en los registros de los últimos conciertos de jazz en Santiago. Entonces, quienes están detrás de Facebook van a suponer que a ti te gusta el jazz y te van a empezar a ofrecer conciertos de jazz. Esa sería una manera de mirarlo. Pero hay otras formas mucho más nocivas o peligrosas", profundiza el profesor Bustos.
Tal como comenta el profesor de nuestro plantel, un caso común ocurre frecuentemente con los anuncios en redes sociales u otras páginas digitales. Allí, lo que está actuando es un spyware, que monitorea el comportamiento de un equipo o usuario, traqueando clicks, palabras u otros datos. Sin embargo, existen otros modos de usar dicha información maliciosamente, por ejemplo, interviniendo fotografías con Inteligencia Artificial para crear versiones falsas que expongan o pongan en riesgo a los usuarios.
Consejos prácticos para evitar ser víctima de un ciberataque
Ante esta realidad, lo importante es informarse sobre ciberseguridad y tomar medidas cotidianas que permitan protegernos. Así nos detalla la profesora Ivana Bachmann de NICLABS.
"Entonces, un comportamiento súper simple, como abrir un programa que llegó en un correo. Si uno no está 100% seguro del origen, no debería abrirlo. Los típicos correos de phishing suelen tener algún código o dato sospechoso, como 'a, b, c, d,' o '1, 2, 3, 4,,,,'. Otro aspecto en que debemos fijarnos es en las claves. Usar datos que son demasiado fáciles de adivinar o de conseguir, usar claves repetidas a través de múltiples plataformas nos pone en riesgo, porque yo adivino una y las adiviné todas. Dejar estos post-its o elementos físicos escritos en lugares sin que tengan algún componente de encriptado. Por ejemplo, 'voy a escribir esta clave porque no me puedo acordar y quería tener muchas claves para poder ser una persona que se preocupa por su seguridad'. Entonces, ¿qué hago? La dejo escrita en los mensajes a mí misma de WhatsApp, en una nota en el celular, en Google Drive. Entonces, dejar cualquier cosa anotada en texto plano, ya sea físico o virtual, es un comportamiento de riesgo y en el que se suele caer porque también uno se olvida. Y lo otro es usar claves que tienen información como cumpleaños, nombres de mascotas, comunas donde vive, calles, fecha del matrimonio. Todos esos datos son relativamente fáciles de conseguir hoy en día, lamentablemente. Y claro, la gente se imagina al hacker, pero en realidad, gracias a la ingeniería social, el hacker está haciendo adivinanzas muy razonables".
Si quieres saber más al respecto, te invitamos a revisar el capítulo 201 de Universidad de Chile Podcast. Ya disponible en Spotify, Tantaku, Apple Podcast y YouTube.