Mar López Gil, experta en ciberseguridad

“Si por la calle no exponemos nuestra cartera, en internet no debemos mostrar nuestros datos”

Fue la primera jefa de la Oficina de Ciberseguridad y Lucha contra la Desinformación del departamento de Seguridad Nacional de España cuando se creó en 2019. Ahora, habla de la importancia de la ciberseguridad tanto en la vida cotidiana como a escala nacional y europea.

Mar López Gil
La experta en ciberseguridad y directora ejecutiva de Sofistic, Mar López Gil. / FECYT

Mar López Gil es malagueña y experta en la seguridad de la información. En 2012 entró a formar parte del departamento de Seguridad Nacional de la Presidencia del Gobierno de España y se quedó ahí durante nueve años.

Pasó por varios puestos en Moncloa, y llegó a ser la primera jefa de la Oficina de Ciberseguridad y Lucha contra la Desinformación cuando se creó en 2019. En 2022, se aprobó el Plan Nacional de Ciberseguridad que ella había impulsado, con el fin de intensificar la vigilancia del ciberespacio y preparar respuestas rápidas.

También es vicepresidenta de W4C Spain, una asociación sin ánimo de lucro que persigue el equilibrio de género en el mundo de la ciberseguridad.

Desde 2021, ya de vuelta en Málaga, ha trabajado primero en el área de seguridad de la consultora Accenture y, desde el pasado 3 de julio, como nueva directora ejecutiva de la unidad de ciberseguridad Sofistic de la tecnológica Cuatroochenta. Desde esta ciudad andaluza habla con SINC en una entrevista telefónica para analizar el estado de la ciberseguridad en España y si la ciudadanía está realmente alerta de los peligros que entraña la red.

El objetivo es prevenir, detectar, responder y, si pasa, que nos podamos recuperar de manera rápida y con el menor impacto posible. Y, por supuesto, anticiparse, que es lo más complicado de todo.

¿Cuál es la importancia de la ciberseguridad en nuestro día a día? Al final, todos hemos recibido los típicos mensajes falsos que nos regalan viajes o que se hacen pasar por seres queridos para que les mandemos dinero.

Es imprescindible. Uno de los pilares fundamentales de la ciberseguridad es la concienciación de cómo se usa la tecnología y cuáles son los riesgos que plantea. Igual que al andar por la calle ponemos nuestra cartera y nuestro bolso a buen recaudo, en el ciberespacio tenemos que copiar este comportamiento con nuestro dinero y nuestros datos: dónde vivimos, con quién, nuestros datos bancarios, etcétera.

Es decir, tenemos que ser conscientes de que hay amenazas por usar la tecnología de manera incorrecta y que nuestros hábitos en internet tienen que parecerse a los que tenemos en nuestro día a día.

Lo que hace la ciberseguridad es intentar proteger todo eso que exponemos cuando navegamos en internet, cuando trabajamos o cuando estamos con nuestro móvil en redes sociales.

Uno de los pilares fundamentales de la ciberseguridad es la concienciación de cómo se usa la tecnología y cuáles son los riesgos que plantea

En este sentido, ¿crees que los ciudadanos en España son conscientes de los datos que deja en internet?

Se han hecho muchos esfuerzos y se ha logrado cierta sensibilización en los últimos años, pero muchos ciudadanos siguen sin ser conscientes de manera plena de su rastro digital, de cuáles son los riesgos y cómo protegerse.

De hecho, muchas veces saben que usar la tecnología plantea un riesgo, pero no conocen cómo la ciberseguridad puede ayudarles a estar más seguros.

¿Qué pueden hacer los ciberdelincuentes con los datos que roban? ¿A qué nos enfrentamos si tienen tantos datos nuestros?

Como decía antes, por la calle te pueden robar la cartera y quitarte el dinero e incluso pueden coger tu DNI y suplantar tu identidad. O coger tu tarjeta de crédito y sacar dinero o hacer alguna compra.

En internet pasa lo mismo. Los ciberdelincuentes, si tienen acceso a tus datos, pueden cometer fraude financiero. O pueden suplantarnos la identidad si consiguen copias de nuestro DNI, si lo hemos compartido en internet. También pueden suplantarnos en nuestro correo electrónico, y mandar correos en nuestro nombre, o robar nuestras cuentas de redes sociales.

Incluso, cuando los criminales ya tienen algunos datos, pueden lanzarnos ataques dirigidos de phishing para robarnos información bancaria o contraseñas. También están los ataques de ransomware, donde te secuestran datos de tu ordenador a cambio de un rescate.

Cuando los criminales ya tienen algunos datos, pueden lanzarnos ataques dirigidos de phishing para robarnos información bancaria o contraseñas

Entonces, ¿qué prácticas básicas se deben aplicar para evitar estas amenazas?

Es fundamental que tengamos contraseñas fuertes y únicas para cada sitio. Muchas veces se ponen contraseñas como 1234, la fecha de nuestro cumpleaños o el nombre de nuestra mascota. Pero esas no son contraseñas fuertes.

Necesitamos letras, números y símbolos, es decir, contraseñas que realmente sean difíciles de averiguar. Y no solo en nuestras redes sociales, sino también en nuestra banca online y nuestros dispositivos móviles.

La experta en ciberseguridad y directora ejecutiva de Sofistic Mar López Gil. / FECYT

La experta en ciberseguridad y directora ejecutiva de Sofistic Mar López Gil. / FECYT

Pero eso, en la práctica, es algo complicado. Tendríamos que acordarnos de decenas de contraseñas.

Por supuesto. Por eso recomiendo los gestores de contraseñas, que proponen contraseñas complejas y difíciles de hackear. De hecho, ya hay muchos navegadores que proponen estas contraseñas directamente y se guardan en la memoria del teléfono.

Otra cosa importante es la doble autenticación o verificación en dos pasos. Este proceso es como dos contraseñas. Primer accedes al servicio con tu contraseña habitual y luego tienes que confirmar desde un segundo sistema, por ejemplo, desde tu móvil a través de un SMS. Es un sistema de seguridad mucho más difícil de hackear.

Luego, por supuesto, no debemos hacer clic en enlaces sospechosos ni descargar archivos que nos mandan personas que no conocemos o que, si les conoces, no tiene sentido el mensaje o el contexto. Pueden ser archivos infectados.

Además, es importante estar al día de las actualizaciones del software de los teléfonos y los ordenadores, porque suelen tapar agujeros de seguridad y vulnerabilidades del sistema que los desarrolladores van descubriendo.

Es importante estar al día de las actualizaciones del software de los teléfonos y los ordenadores, porque suelen tapar agujeros de seguridad

¿Y si alguien ya ha sido víctima de alguna de estas situaciones, qué puede hacer?

Lo primero es denunciar. Estos actos son crímenes. Además de las fuerzas de seguridad del estado, hay otros organismos que te pueden ayudar, como el Instituto Nacional de Ciberseguridad (Incibe). Tienen un número de teléfono gratis, el 017, para guiar sobre qué hacer en estos casos.

Entiendo que la ciberseguridad va más allá del ámbito individual. ¿Qué retos tiene la ciberseguridad frente a amenazas en empresas y gobiernos?

En el ámbito internacional, también se trabaja en que el ciberespacio sea seguro. En un principio, no se esperaba que internet tuviese el impacto que tiene ahora, y no fue diseñado para ser así. Ahora tenemos que esforzarnos para que sea transparente, porque esas vulnerabilidades pueden tener consecuencias internacionales.

Lo hemos visto en el conflicto entre Rusia y Ucrania, donde se atacan infraestructuras críticas, como el sector de la energía, la salud o el transporte, a través de ciberataques.

Los estados llevan mucho tiempo trabajando para mejorar la ciberseguridad de sus infraestructuras, por ejemplo, en el ámbito europeo y la OTAN. Se trata de hacer una acción conjunta frente a las ciberamenazas, porque es un problema de seguridad nacional.

Los estados llevan mucho tiempo trabajando para mejorar la ciberseguridad de sus infraestructuras, por ejemplo, en el ámbito europeo y la OTAN

¿Qué estrategia tiene España en este sentido?

Necesitamos desarrollar la tecnología de manera adecuada y segura, y la concienciación de la ciudadanía y de las empresas ante estas amenazas.

En nuestro país tenemos varios órganos que se dedican a la ciberseguridad, como el Mando Conjunto del Ciberespacio del Ministerio de Defensa y el Centro Criptológico Nacional. Y llevan mucho tiempo trabajando en una hoja de ruta de ciberseguridad estratégica y política.

En 2013 se presentó la primera estrategia nacional de ciberseguridad, y se actualizó en 2019. El plan muestra cómo tenemos que trabajar de manera conjunta con Europa para hacer frente a estas amenazas, no solo a escala nacional. Sobre todo, se centran en materia de seguridad de las redes de información y la protección de infraestructuras críticas.

En 2022 se aprobó en Plan Nacional de Ciberseguridad, y hace poco se autorizó la partida de 1 157 millones de euros para precisamente reforzar las capacidades de España en ciberseguridad y ciberdefensa. También, en enero, se creó el Centro Nacional de Ciberseguridad para seguir avanzando en este sentido.

El objetivo es prevenir, detectar, responder y, si pasa, que nos podamos recuperar de manera rápida y con el menor impacto posible. Y, por supuesto, anticiparse, que es lo más complicado de todo.

Fuente:
SINC
Derechos: Creative Commons
Artículos relacionados