La ciberseguridad del futuro son los jóvenes de hoy

Queridos lectores, espero que todos hayáis descansado y cogido fuerzas estas vacaciones, porque los cibercriminales también lo han hecho y preveo un curso interesante en cuanto a eventos y temas que comentar. Para iniciar bien el curso, en el artículo de hoy os quiero traer una reflexión respecto a la tarea que tenemos de educar a los jóvenes en ciberseguridad, ya que de ello depende la ciberseguridad futura de las empresas.

Permitidme que os ponga en situación del origen de esta reflexión: un día de este pasado mes de agosto voy paseando por mi pueblo y veo a un grupo de jóvenes caminando. De repente, a una de las chicas le suena el móvil (el mítico sonido que todos conocemos de los iPhone) indicando que le está entrando una llamada de FaceTime (una aplicación de videollamadas si es que alguno no lo conoce). La chica descuelga y se encuentra con una pantalla en negro y comienza a decir las frases habituales en una situación similar: “¿Quién eres?”, “No te tengo guardado”, “Ponte la cámara que no veo nada” y “¿Hola?” hasta que, finalmente, desiste al ver que la persona al otro lado no se identifica y sus amigas comienzan a pasarse el móvil para ver si alguna consigue descubrir la identidad del interlocutor. Al final, cuelgan la llamada al no obtener respuesta y siguen tan felices.

Lo que os he narrado es, en apariencia, inofensivo y algunos os preguntareis por qué esta situación invita a reflexionar sobre la ciberseguridad. Es posible que la llamada pudiera ser una equivocación, una broma o similar, no digo que no. También es posible que a esa chica nadie le haya explicado los posibles riesgos de ciberseguridad que yo os voy a enumerar a continuación:

1. Que permitas que desconocidos interactúen contigo en aplicaciones, como en este caso FaceTime, es algo de lo que es recomendable desconfiar, cuanto menos. Igual que esa persona te puede llamar, seguramente puede mandarte mensajes por iMessage o intentar compartirte información por AirDrop. Todos estos son utilizados, y lo han sido en el pasado, como puntos de entrada para conseguir infectar los iPhone con malware como Pegasus.
2. Que atiendas una videollamada y, al ver que tu interlocutor no se identifica, no sospeches, y lo menos que hagas sea bloquear el número o el AppleID desde el que te llaman, abre la puerta a que vuelvas a tener una interacción, quién sabe si en ese siguiente caso algo menos inocente o con fines más maliciosos.
3. Me atrevo a aventurar, en este caso, que esa chica además desconoce que basta con unos pocos segundos o minutos de grabación para poder realizar montajes virtuales muy realistas con Inteligencia Artificial, llamados Deep fakes. Aparecer en un vídeo diciendo o haciendo ciertas cosas puede ser muy dañino para una persona, sea adulto o joven.
4. Incluso en el más inocente de los escenarios, le estás dando información a alguien sobre tu aspecto, tu edad aproximada, tu nacionalidad o tu localización (por los alrededores e incluso por la propia conexión). También le estás validando que la información de contacto que ha usado de inicio es veraz, además de validarle que haces uso de sistemas operativos de Apple. Todo esto se puede usar para enriquecer bases de datos que se vendan, posteriormente, a empresas de marketing para publicidad o spam o a cibercriminales para posteriores intentos de ingeniería social, entre otros escenarios que se me ocurren.

En resumen, creo que, si el día de mañana vamos a necesitar empleados que entiendan los riesgos digitales y que no atiendan llamadas desconocidas, que no den sus datos libremente y que conozcan los mecanismos de seguridad de la tecnología que utilizan, no podemos esperar a que aprendan todo en un curso de introducción a la ciberseguridad obligatorio que les dé la empresa, sino que debemos entender que eso pasa, imprescindiblemente, por poner ya mismo el foco en esas personas más jóvenes, para ayudarles a que interioricen esas ideas desde su origen.

Como siempre, espero que os sea útil esta reflexión y, si bien seguramente muchos discrepéis en mi análisis por considerarlo paranoico, lo importante es que reflexionemos y debatamos sobre este ámbito y que, y esto es tarea de todos, empecemos a trabajar, ya, en educar en esta materia a los trabajadores del futuro. ¡Os espero el mes que viene aquí!