Els ciberatacs a organitzacions són, malauradament, tendència. Han crescut de manera exponencial en els darrers anys i, segons diversos estudis, ho seguiran fent en el futur gràcies a la intel·ligència artificial i malgrat els esforços d'empreses i administracions per millorar la seva seguretat. En aquesta entrevista, Josep Domingo analitza el fenomen i insta a les organitzacions a no escatimar recursos en les seves polítiques de prevenció per evitar o minimitzar els danys d'una modalitat delictiva que representa una amenaça devastadora.
Sembla evident que el sector públic està patint més que el privat els ciberatacs amb software maliciós. Per què?
Una raó molt poderosa és que hi ha sectors empresarials on la seguretat és crítica, com és el cas de la banca, que si no és segura no és res. O les empreses que treballen al núvol, que estan obligades a tenir uns nivells de protecció elevadíssims i hi inverteixen molts diners. També és veritat que pot haver-hi empreses que no facin tan bé els deures, pateixin un ciberatac i no ho expliquin per protegir la seva reputació. En canvi, les administracions acostumen a tenir pressupostos més limitats.
Després dels darrers casos, s'estan posant les piles?
Si, com també el sector de la salut, que s'ha adonat que estan molt exposats i que tenen molta informació molt sensible. Per això estan fent els deures de manera accelerada.
Posava l'exemple de la banca. Tot i que a aquest sector tenen molt clar que la seguretat informàtica és fonamental, no estan exempts dels atacs...
El problema de la banca és que bona part dels atacs arriben pels seus clients, que cauen en el parany de facilitar l'accés als delinqüents, via correu electrònic o missatge de mòbil. Per això les entitats estan fent un esforç molt gran per fer pedagogia de quines són aquestes pràctiques i evitar que els particulars hi caiguin. Un exemple que hauran de seguir tota mena d'organitzacions.
Aquests paranys en els darrers temps han passat de ser molt evidents per a un usuari mitjanament atent a ser molt més difícil de detectar-se...
És cert, cada cop són més sofisticats, més difícils d'identificar. A més, les empreses de ciberseguretat ens demostren que sempre hi ha un percentatge de receptors que cauen al parany, entre un 15% i un 20% aproximadament. Cal fer molta pedagogia.
El pharming es basa en això: fer-te creure que estàs a una web d'e-commerce d'una marca coneguda quan en realitat és una rèplica maliciosa...
Si, però la rèplica està tan ben feta que no és estrany que els usuaris la donin per bona i hi posin les seves dades. A primera vista moltes d'aquestes web falses poden arribar a confondre.
A nivell empresarial, també és tendència el whaling: entrar a l'ordinador d'un directiu, trobar-li draps bruts per fer-li xantatge i obligar-lo a ser còmplice.
Això ha passat sempre. Abans era més complicat, perquè el delinqüent deixava més rastre. Ara accedint a informació sensible és relativament senzill robar informació, diners o fer mal i desaparèixer fent molt difícil la traçabilitat.
Com ens posem a l'aparador d'un ciberdelinqüent?
Tots hi som. Perquè aquests atacs són menys manuals del que sembla. La intel·ligència artificial obre moltes portes, perquè pot rastrejar determinades paraules que ens fan més atractius o vulnerables a les nostres converses per e-mail o missatgeria instantània. Son procediments molt aleatoris, gestionats per bots. És com un lladre que va porta per porta provant a veure quina està oberta.
El whatsapp o altres sistemes similars són un filó?
No hauria de ser-ho, perquè són sistemes xifrats. Som més vulnerables a través de les xarxes socials, a les que és més fàcil accedir.
I les connexions de wifi públiques? Els nòmades laborals estan més exposats?
És recomanable prendre precaucions. Però la tecnologia ha canviat molt i ara aquestes connexions són molt més segures, perquè les webs amb informació sensible, com les dels bancs, estan xifrades. És molt complicat que algú que comparteix el mateix wifi a una cafeteria o un hotel, per exemple, accedeixi a la nostra informació.
Parlem de precaucions. A grans trets, què han de fer les empreses per protegir-se d'aquesta onada de ciberdelinqüència?
Com a primer consell, empoderar els departaments de seguretat informàtica, no escatimar en recursos i fer-los cas. Tenir clar que allò que recomanen no és un caprici i ens pot salvar de problemes molt greus que poden amenaçar la supervivència de l'empresa. Cal tenir bons antivirus i permanentment actualitzats. I una bona segmentació de la xarxa per evitar que si un pirata entra per un ordinador des d'allà pugui accedir a tota la xarxa d'una empresa o organització. És el mateix que les portes antiincendis.
I si arribem al pitjor escenari, que malgrat tot els dolents t'entren a casa... pagar o no pagar?
No pagar. Primer, perquè estàs enriquint a uns delinqüents que podran utilitzar aquests diners per seguir endavant amb les seves activitats en contra del bé comú. Però també perquè està per veure si compliran el que diuen, si et donaran les claus per recuperar la teva informació.
Tenim agències que se suposa que treballen per protegir-nos, com l'Agència de Ciberseguretat de Catalunya, antic Cesicat. Què en podem esperar?
Hem de tenir clar que l'Agència de Ciberseguretat de Catalunya té competències sobre els organismes de la Generalitat. Només això, ja és una tasca titànica. El sector privat ha d'assumir que s'ha de protegir amb recursos propis, de la mateixa manera que, malgrat que hi ha una policia al servei de tota la societat, molts sectors contracten seguretat privada. Si això passa al territori físic, que és finit, com no ho ha de ser en l'àmbit digital que és infinit?
La porta oberta del castell
Josep Domingo és catedràtic distingit d'enginyeria informàtica de la Universitat Rovira i Virgili, on dirigeix la Càtedra UNESCO de Privadesa de Dades. És fundador i director del CYBERCAT, el Centre de Recerca en Ciberseguretat de Catalunya, que acull set grups de recerca de sis universitats catalanes. També es investigador associat a l'Institut Mines-Télécom de París. Entre altres distincions, ha guanyat tres vegades consecutives el Premi ICREA-Acadèmia, ha rebut la Medalla Narcís Monturiol al mèrit científic, és Membre numerari de l'Institut d'Estudis Catalans, i és IEEE Fellow i ACM Distinguished Scientist. És, per tant, una de les veus més autoritzades per parlar de ciberseguretat, actualment una de les principals preocupacions de les empreses i les administracions. Un àmbit en què cal filar molt prim amb la prevenció perquè, com ell diu "amb una petita porta oberta del castell n'hi ha prou" i on reconeix que "els delinqüents acostumen a anar per davant".