Como ya hemos hecho en otras ocasiones con entrevistas a otros expertos como Deepak Daswani, Igor Lukic, David Meléndez o Carlos Seisdedos, os traemos a otra gran experta del mundo de la Ciberseguridad. La protagonista del artículo de hoy es una persona muy conocida dentro del ámbito del OSINT y más concretamente en el mundo de la reputación online. Hablamos de Selva Orejón, Directora de onBRANDING. Se encuentra afincada en Barcelona. Son muchas las personas que acuden a sus servicios después de haber sufrido un ciberdelito o un daño a su identidad digital. Entre sus clientes se pueden contar famosos y personas importantes tanto de España como de otros países del mundo. Lógicamente, por seguridad ella no nos ha desvelado ninguno. Si nos ha contado un poco su forma de trabajar, y los retos a los que se tiene que enfrentar en el día a día. Con una rutina tan curiosa no me pude resistir a decirle que sus labores diarias son similares a las del protagonista de la serie de Netflix «Ray Donovan», pero a lo Ciber jeje. Esto es lo que nos contó:
REPUTACIÓN ONLINE.
RDT. Cada vez más se viene repitiendo tu nombre en los principales encuentros de Ciberseguridad, donde nos has ido concienciando en mantener una adecuada identidad digital, pero… ¿Qué es eso de la identidad digital? ¿Puedes darnos algún ejemplo de un cliente que haya sufrido un gran perjuicio por una vulneración de su identidad digital?
Selva. Si,la identidad digital la divido entre 3 tipos de identidades: La social, la técnico y la analógica. Trato de explicarlo de forma clara.
La identidad digital es la suma de las apariciones de una persona, empresa, entidad pública o privada que tiene en internet. Ya sea de forma consciente, inconsciente, visible, de forma voluntaria o involuntaria. Por ejemplo: Un cliente (en este caso una multinacional) estaba sufriendo un leak masivo (por la cantidad de datos volcados) de información confidencial y sensible. En medio de estos leaks colaron informaciones falsas ¿Qué ocurre? Que al haber aportado información real (dejando de lado los delitos que cometieron) esto ya aportaba credibilidad y nadie se preguntaba si era real o no. Daba igual que comunicado emitiera la empresa desde sus redes sociales (identidad digital corporativa, y consciente). Por otro lado, el/la agresor/a tenía 3 identidades. La técnica (IP, user agent, geolocalización del dispositivo) era una, pero su identidad social era otra (mail, nickname, teléfono virtual, perfiles en twitter y forocoches). Finalmente está su identidad analógica, la que aparece en el DNI (nombres, apellidos y número de identificación).
INGENIERÍA SOCIAL.
RDT. Selva ¿Por qué es tan importante la ingeniería social en este mundo hiperconectado y en la reputación online? ¿Es algo exclusivo de peligrosos ciberdelincuentes, o en cambio se encuentra cualquiera expuesto a este tipo de ataques?
Selva. Entender los mecanismos psicológicos que nos hacen bajar las defensas es imprescindible para poder ser exitosos en cualquier ataque de ingeniería social. Mi especialidad es OSINT y este mismo va completamente ligado a la ingeniería social. De hecho cualquier investigación, pero especialmente cuando realizas acciones que van precedidas de técnicas de HUMINT. Por ejemplo, hemos hecho cursos de sinergología, de psicología criminal (profiling) y de PNL, por supuesto de ingeniería social como tal. Cuando estás en situación de obtención de información y de explotación de la misma, incluso únicamente en la generación de perfiles, debes tener conocimientos de este tipo de disciplinas porque nosotros las aprendemos estudiando, observando y practicando. No es algo único de grandes ciberdelincuentes, de hecho un psicópata narcisista o un delincuente que ha hecho de su forma de vida el robo, la estafa u otros delitos que requieran de engaño manipulación o persuasión también lo han aprendido a base de observación y práctica.
PERSONAJES PÚBLICOS Y FAMOSOS INTERESADOS EN MANTENER SU REPUTACIÓN ONLINE.
RDT. ¿Qué lleva a personajes públicos y famosos a requerir servicios como los que presta onBRANDING? ¿Son los VIP potenciales víctimas para ciberdelincuentes a pesar de su elevado poder adquisitivo?
Selva. No sólo los VIP. Tenemos clientes de todo tipo. Desde el usuario doméstico, pasando por una ejecutiva, un grupo de menores, una multinacional, asociaciones, cantantes consagrados, celebridades emergentes… Aquí no se salva nadie. Eso sí, una celebridad como tal puede tener un vector de ataque fácilmente identificable como es la reputación y éste está por encima de su gran capacidad económica que a veces está mal percibida. Sería más fácil hacerles ceder por decir que se tienen informaciones sensibles de ellos. De hecho hay quien recibe ataques y no quieren nada a cambio de cesar porque no les mueve el dinero, sino el hecho de hacer daño. Cometen delitos, aunque no sea robo sino calumnias e injurias, o incitación al odio. Lo sorprendente es que incluso sabiendo que son personajes públicos y que por ese mismo hecho están en riesgo, resulta que no hay buenos seguros de protección de la identidad digital para celebridades emergentes como youtubers, instagramers, creadores de contenido… Por otro lado hay un gran desconocimiento por parte de agentes y representantes en materia de protección de la identidad, privacidad y seguridad (la seguridad física la llevan mejor). Hay más años de tradición y mayores casos conocidos de ataques a esta misma. Por ejemplo ¿Cómo es que una app como «Beblab» salió al mercado tan tranquilamente cuando estaba realizando stalking selectivo de famosos? ¿Cuánto tardaron en cerrarla? Son situaciones que deben ser detectadas de forma inmediata y solucionarlas, así como la gestión de eliminación de perfiles y de contenidos nocivos para las marcas personales especialmente cuando su privacidad y seguridad va en riesgo (ya sea física o psicológica).
MÉTODOS APLICADOS EN OTROS PAÍSES Y AUTO-PROTECCIÓN.
RDT. Hemos observado que te mueves por el entorno de muchos países, no sólo impartiendo formación sino también conociendo nuevas técnicas relacionadas con la protección de la identidad digital ¿En tu opinión, qué países o entorno de países está más concienciado en combatir los ciberdelitos?
Selva. Si, viajo mucho y en cada país hay formas de trabajo diferentes muy vinculadas a la cultura. La cultura criminal, las necesidades económicas, la tradición, lo desarrollada o no que esté la tecnología en la zona. Cosas tan absurdas o aparentemente inofensivas como si los medios de comunicación se hacen eco o no de ciertas noticias producen efecto llamada o efecto contagio. Por ejemplo, USA da más importancia a la seguridad que a la privacidad. El caso de Israel es lo mismo. Brasil por ejemplo pone especial atención en casos de feminicidio y tienen unidades policiales que estudian y reaccionan con protocolos de violencia de género digital. Pero en cambio países como Marruecos y Argelia, está la cosa más parada, además son grandes receptores de telefonía que proviene de canales ilegales. En otros países como Alemania y Francia la tecnología OSINT en materia de terrorismo está más desarrollada que en otros países y las policías locales son grandes aportes en esta materia. En España, las policías locales, regionales o provinciales tienen grandes papeles en materia de terrorismo aunque sus competencias estén en entredicho. La realidad es que allá donde vayas se hace lo que se puede. Es cierto que hay algo en común, se va por detrás de los criminales, bueno, de los grupos organizados. No por falta de conocimiento, sino por falta de recursos y esto es común en todas. Principalmente viajó para aprender, encontrar nuevos y mejores proveedores, tecnología que se pueda adaptar a las necesidades de España. Todo siempre dentro del marco legal actual.
CONSEJOS PARA MANTENER LA REPUTACIÓN ONLINE.
RDT. ¿Puede ponerse a salvo el usuario medio de las amenazas del siglo XXI en materia “ciber”?
Selva. Sí, y no. Depende de si hablamos de las amenazas masivas o las amenazas selectivas. De las masivas sí, siempre que dependa de nuestras configuraciones y del set up de dispositivos, conexiones y comportamiento. Pero no de las que se escapan de nuestras manos como las propias corporaciones (Apple, Google, Facebook, Twitter…) ¿Qué hacemos si nuestros datos están ahí y de repente sus bbdd o comunicaciones se franquean? Pues que acabamos vendidos.
TRABAJO CONJUNTO ENTRE SECTOR PRIVADO Y SECTOR PÚBLICO.
RDT. Muchas de tus investigaciones se centran en lo que son delitos castigados en la legislación. Siendo el ciberdelincuente de ámbito supranacional ¿Esclarecen más sucesos las empresas del sector privado, o en cambio no es posible sin la intervención de funcionarios de policía, jueces y tribunales?
Selva. Yo nunca trabajo sola, me gusta sentir que colaboramos porque así es. Nosotros ayudamos SIEMPRE en lo que podemos, tanto como profesores de academias de policía, como de cuerpos policiales, pasando por detectives privados o cualquier institución pública que nos lo solicite ¿Qué ocurre? Que algunas veces, de hecho muchas, las víctimas acuden al despacho porque sólo trabajamos para ellas/os. Jamás del lado del agresor o la agresora. Lo último es decisión mía como directora. Bien, éstas vienen desesperadas, hartas de esperar y que no encuentren una solución. A veces hay que explicarles algo que a mí ya me parece básico pero a la mayoría de la población no, porque nunca han vivido situaciones judiciales/ policiales antes. Nos dicen que la policía no está haciendo nada, pero desconocen que con el cambio de legislación si denuncias sin autor conocido hay muchas dificultades para que llegue a buen puerto. Es muy complicado y no siento que haya gran coordinación. Por otro lado, en unas semanas damos clases al Consejo del Poder Judicial. Son grandes actores. Siempre trato de “minar” o calar adecuadamente en los órganos responsables (cada uno en su margen de actuación) para que entre todos consigamos lo más parecido a la justicia. Todo ello para que las víctimas no se sientan doble o triplemente victimizadas. A los policías les tratamos de aportar los conocimientos que tenemos y las herramientas con las que trabajamos. A los jueces y fiscales les acercamos a situaciones reales de otros juzgados. Nosotros nos llevamos la satisfacción de ver que a veces las cosas salen mejor de lo esperado o por lo menos no salen tan mal como pintaban al principio.
PERSPECTIVAS DE FUTURO DE LA REPUTACIÓN ONLINE.
RDT. Casi todos los días tenemos noticias de alguna brecha de seguridad con pérdidas millonarias ¿Están las empresas formando a sus empleados en ciberseguridad?
Selva. Cada empresa es un Mundo, y además de verdad. Veo de todo, empresas bestialmente preparadas aún siendo medianas o pequeñas, casi siempre post incidente. También multinacionales que no entiendo como no han sido expuestas antes.
RDT. Para acabar, en un futuro cada vez más conectado ¿Cómo mantenemos nuestra reputación digital y nos alejamos de la posibilidad de convertirnos en víctimas de ciberdelitos?
Selva. El todo es imposible. Siempre podemos estar prevenidos. La clave como se diría: Estar prevenidos, nunca atemorizados. Nos podemos dar de alta en alertas con nuestros clásicos de identidad digital, nombres y apellidos, dni, números de tip, tim, emails, telefonos, nicknames… Básico es conocer bien los mecanismos de eliminación de contenidos de plataformas sociales y buscadores. Por supuestos los canales de certificación, métodos de denuncias en plataformas sociales, en juzgados, cuerpos policiales. Si no, siempre estaremos nosotros. Como anécdota, un cliente al que aprecio mucho me regaló una estampita de San Judas Tadeo, el santo de las causas perdidas, que siempre llevo encima…
Estás son las conclusiones que nos ha traído Selva orejón para mantener vuestra reputación online. Por mi parte como siempre, desearos un uso seguro de las tecnologías. Hasta el próximo artículo.