Alejandro Russo, egresado de la UNR y flamante investigador de la Universidad Tecnológica Chalmers de Suecia, explicó los tipos de ciberataques más comunes y compartió recomendaciones para mejorar la protección.
La ciberseguridad se ha convertido en un tema central en la actualidad, dado que estamos expuestos de manera constante a riesgos de filtración y uso indebido de nuestros datos personales. Alejandro Russo, egresado de la Licenciatura en Ciencias de la Computación de la Universidad Nacional de Rosario y actual investigador y docente en la Universidad Tecnológica Chalmers de Suecia, explicó los tipos de ciberataques más comunes y compartió recomendaciones prácticas para mejorar la protección de nuestra información.
“Creo que los riesgos más relevantes son los más antiguos. Por ejemplo, el phishing attack, que es cuando te mandan un e-mail que parece legítimo pero no lo es con la idea de que el usuario tenga que hacer clic en algún lado y así revelar sus credenciales o la información que uno tiene en su computadora para autenticarse con algún servicio, sigue siendo una de las principales. A pesar de los filtros de spam, a pesar de que a veces las empresas hacen campañas internamente y simulan phishing attacks para levantar conciencia en los usuarios para ver quién hace clic, sigue siendo una manera común de vulnerar datos”, explicó Alejandro Russo.
El especialista advirtió que la mayoría de las plataformas actuales solicitan datos del usuario para que este pueda navegar por ellas, cosa que solemos brindar sin reparar en sus consecuencias. “Exigen como condición que el usuario entregue sus datos porque sino no te permiten utilizar el servicio, y en esos términos el usuario siempre termina cediendo. Creo que falta una gran toma de conciencia de conocer cómo los datos se van a utilizar. Por ejemplo, en Alemania se hizo un experimento donde se tomaba imágenes de un niño y se mostraba a sus padres en una pantalla como iba ser de adulto. Usaban inteligencia artificial, entonces el niño de adulto les decía que gracias a que compartieron imágenes y videos en la red, ahora podían ver como iba ser de grande. Los padres estaban shockeados. Por eso, es necesario conocer cómo se pueden llegar a usar los datos que proveemos”.
Si bien en Europa el manejo de datos personales está estipulado en la General Data Protection Regulation de Europa (GDPR), el investigador resaltó que con la introducción de la inteligencia artificial son muchos los nuevos interrogantes que aparecen. “En Europa se está comenzando a regular pensando en eso, hace poco entró en vigencia la regulación de inteligencia artificial, el AI Act. Pero más que nada para identificar los posibles riesgos de usar la misma, y yo creo que esto va a llevar varios escenarios. Por eso hay que entender para que se usan los datos, porque a veces los términos y condiciones nadie los lee”, relató y agregó: “Hace poco Adobe le solicitaba a sus usuarios que si quieren usar el producto, le tenían que dar todos los datos de todos los modelos y diseños. Y, con mucha razón, algunas personas se pusieron en contra porque afirman que van a usar toda esta información para entrenar su aprendizaje automático y en un futuro dejar sin trabajo a los diseñadores, lo que provocó que la empresa tenga que salir a aclarar que no era tan así para no generar un éxodo masivo de usuarios”.
En un mundo donde lo digital ha pasado a ser la principal puerta de entrada a nuestras actividades cotidianas, las contraseñas se han transformado en un elemento esencial para proteger nuestra privacidad y garantizar el acceso seguro a servicios y plataformas en línea. Russo recomendó utilizar la plataforma haveibeenpwned.com, que comprueba si la contraseña de tu correo está en peligro. “Yo creo que esa idea de que uno tiene 30 claves en la cabeza no va más, porque la cantidad de servicios que tenemos ahora es increíble. Entonces, lo que uno tiene que usar son password managers, donde uno se acuerda de una clave bastante larga y después este instrumento lo que hace es generar una clave random para cada servicio que vos querés registrarte. O sea que si alguna de esas claves de esos servicios se revela o se compromete, no pone en riesgo a las demás”, detalló y añadió: “Ahora vienen muchos USB keys, que salen un par de dólares, que lo que tienen es la clave principal en un dispositivo físico. Entonces, vos vas a llegar a la computadora, lo ponés, y con esa clave, ese dispositivo es la clave maestra para ese password manager”.
Otra cuestión que es muy importante, especialmente en lo que son sistemas de comunicaciones, es el cifrado de extremo a extremo, modelo de seguridad con la que cuentan múltiples aplicaciones como, por ejemplo, Whats App. “Básicamente significa que hay protocolos para que se realice una conversación entre dos personas sobre un canal público sin que nadie externo que esté mirando ese canal pueda adivinar qué clave se va a utilizar para encriptar la comunicación. Entonces, las dos personas empiezan a encriptar datos y a mandar mensajes, lo que garantiza el protocolo es que la información viaja encriptada por todo el sistema informatico y solo las pueden descifrar (leer) las personas que se estan comunicando”.
¿Qué tipo de medidas de seguridad básicas podemos tomar para proteger nuestra información personal en línea?
Más allá de estar atentos a posibles casos de phishing, el investigador marcó que otros de los problemas actuales es lo que se denomina ransomware, que es un tipo de malware que impide a los usuarios acceder a su sistema o a sus archivos personales y exige el pago de un rescate para recuperar el acceso. “Generalmente suceden cuando se utilizan máquinas viejas o que no están actualizadas, porque muchas veces las actualizaciones que nos proveen nuestros sistemas operativos nos cubren de nuevas vulnerabilidades. Por eso, es importante mantener el software actualizado, y tratar de usar algún password manager”.
Además, recomendó usar la autenticación en dos fases (2FA) que es un método de seguridad de administración de identidad y acceso que requiere dos formas de identificación para acceder a los recursos y los datos.”De esta manera, no alcanza solamente con el nombre del usuario y la clave para entrar a un sistema, sino que también uno tiene que poner más información para poder ingresar al mismo. Usualmente esto se hace por la autenticación en dos fases o pasos, y el proceso funciona de esta manera: le doy la clave al sistema, pero también este solicita ingresar un código numérico que nos envían por SMS al teléfono”.
Por último, resaltó que es necesario siempre tener en cuenta que cuando ponemos un dato en una página web no podemos tener completo control sobre los mismos. “Es necesario que cada uno se tome un minuto para pensar que quieren revelar de ellos mismos. En la vida real uno le cuenta un secreto a un amigo y le dice no se lo cuente a nadie pero puede pasar que uno hable de más. Es lo mismo en este caso: a las computadoras les decimos un montón de nuestros secretos y no sabemos si esas computadoras hablan de más o no.
Pasa lo mismo en las redes sociales que nosotros aceptamos tener condiciones creyendo que por ejemplo Facebook o Instagram son gratis y sin embargo no lo son. Lo que nosotros estamos proveyendo justamente son nuestros datos y comportamientos”.
Cumpliendo sueños y proyectos
Alejandro estudió la Licenciatura en Ciencias de la Computación, siendo integrante de la segunda promoción de este trayecto de formación. En tercer año, luego de una clase de programación funcional, comenzó a leer muchos artículos de la Universidad Tecnologica de Chalmers y decidió que era el lugar donde quería continuar sus estudios. “Era una época pre internet, pero cuando terminé la carrera en la UNR apliqué a esta Universidad, aunque no quedé seleccionado, porque la competición era bastante fuerte”, recordó y resaltó: “Al no haber aún doctores de informática en Rosario, yo no tenía posibilidad de hacer investigación, y todos los que yo competía ya habían hecho algo de ese estilo”.
De ahí partió a Estados Unidos seis meses, y antes de regresar, casi por cosa del destino, se encontró al que sería su supervisor de Chalmers, quién le contó que una de las personas que habían aplicado no iba a continuar sus estudios en la universidad sueca. “Ahí fue que me dieron la posición de doctorado y me vine para Suecia a estudiar. La carrera dura cinco años, pero la hice en tres. Luego me dieron la posibilidad de ser profesor asistente, que es la primera categoría. Sin embargo, a las dos semanas me llamaron de la Universidad de Stanford, que habían leído el último paper de mi tesis de doctorado, y habían hecho todo un proyecto de investigación del Departamento de Defensa basado en la idea que había descrito. Me preguntaron si quería trabajar con ellos porque les habían dado el financiamiento para hacer la investigación. Así que estuve trabajando mucho con Stanford, y eso me ayudó cuando me fui a vivir ahí un año y medio en Silicon Valley, y después a obtener mi posición permanente en la Universidad Tecnológica de Chalmers”.
Desde el año pasado, Alejandro se convirtió en profesor de categoría máxima, el rango más alto dentro de la Universidad. “Ahora tengo un grupo de investigación de dos estudiantes doctorados. Acá, para tener estudiantes doctorados tenés que competir, es decir, tenés que escribir propuestas de investigación relevantes, que sean útiles para la sociedad y que conlleven un desarrollo científico. De esa manera, el gobierno sueco te da el dinero y con eso podes contratar a los estudiantes”.
En la actualidad, Russo está desarrollando dos proyectos de investigación. El primero es sobre regulaciones de General Data Protection Regulation de Europa (GDPR). “Es básicamente técnicas de cómo escribimos software, que uno pueda chequear en forma automática, algunos de los requerimientos de GDPR. Entonces la idea es que cuando uno escribe software, se le puede avisar al desarollador cuando su sistema no está manejando los datos acorde a alguno de los principios de GDPR”.
El otro se trata de Cloud Security, o como se lo conoce en español: seguridad la nube. “Se basa en cómo pueden hacer los usuarios para compartir datos sensibles de forma segura. Son servicios que ya existen en Amazon y Microsoft, por ejemplo, pero lo que mi proyecto busca es profundizar cómo escribimos software para crear aplicaciones arriba de ese servicio y que tenga ciertas garantías de que los datos realmente no se comparten ni se revelan”.
Periodista: Gonzalo J. García
Fuente: Universidad Nacional de Rosario