La Organización de Consumidores y Usuarios (OCU) ha presentado ante el Juzgado de lo Mercantil de Madrid una demanda colectiva contra Facebook por no haber informado ni solicitado autorización expresa a los usuarios para la utilización de sus datos. Por otro lado, el Parlamento Europeo ha exigido cambios a la tecnológica tras el escándalo del uso indebido de datos de sus usuarios por la consultora Cambridge Analytica. Por si esto fuera poco, WhatsApp acaba de corregir un fallo en sus videollamadas que permitía hackearlo.
El sector de la Ciberseguridad y de la Ingeniería del Software se convierten en protagonistas de un mundo cada vez más conectado y para el que se necesita concienciación de todos los sectores de la población de cara a proteger datos sensibles. Hablamos con Santiago Arellano, responsable comercial de Abanlex y Delegado de Protección de Datos certificado por AENOR, para entender las implicaciones que tienen estas últimas noticias. Por cierto, ya conversamos anteriormente con el profesional para entender en qué consiste la Directiva NIS.
¿Qué implicaciones tiene la demanda de la OCU a Facebook y las presiones del Parlamento Europeo?
Es la guerra de siempre entre la Corporación gigante y organismos nacionales como la Agencia de Protección de Datos o la OCU. Es David contra Goliat. En cualquier caso, creo que cualquier “presión” que se ejerza desde la Unión Europea hacia el mal uso o la falta de protección de los datos puede tener resultados positivos. Anteriormente ha habido sanciones a Facebook y Google con unas cifras que para este tipo de gigantes tecnológicos no son nada significativas. A pesar de ello, sirvieron para comprobar que los estados y administraciones públicas tienen mecanismos para hacer respetar y cumplir las normas a todo tipo de compañías, sean grandes o pequeñas, multinacionales o locales. No obstante, la seguridad absoluta no existe, por lo que los usuarios debemos tomar conciencia de esta situación y no confiar en exceso de estas plataformas y tener en cuenta qué datos les vamos a suministrar y el uso que queremos que hagan de dichos datos.
¿Qué debe tener en cuenta el usuario?
Sabemos que todo lo que publiquemos en redes sociales se queda allí de por vida, a pesar del ejercicio del derecho al olvido (que ya iremos viendo cómo se aplica). Vamos a ver cómo se va ejecutando el cumplimiento de la normativa de protección de datos y privacidad en cuanto al derecho al olvido, como bien sabemos, determinada información no se indexará en los buscadores pero, en cualquier caso, esa información no va a desaparecer.
Siendo conscientes de esta situación hay que tomar ciertas medidas. Si publicas una foto en Instagram, se va a quedar en Instagram, pues ten cuidado de lo que publicas… Tenemos que ver qué queremos que se sepa, qué no queremos que se sepa, marcar la frontera entre nuestra privacidad y el uso que se puede hacer de ella cuando compartimos información.
Además, también es importante tener en cuenta que las grandes tecnológicas pueden sufrir una brecha de seguridad, por muchas medida de seguridad que adopten. En muchas ocasiones, utilizamos la contraseña de Facebook – por ejemplo -para registrarnos en otras páginas, algo que hay que tratar de evitar. Si el Facebook de turno sufre un incidente de seguridad y nos hackean nuestras contraseñas, es muy probable que otras redes sociales o páginas webs que utilizamos se vean comprometidas.
¿Estamos poco concienciados?
Muy poco. Por ejemplo, en el metro de Madrid existe la posibilidad de recargar el teléfono móvil en el vagón, ¿quién nos asegura que esa conexión es segura?, ¿y la de la red WIFI gratis de un restaurante?. Hay que poner un límite entre la usabilidad o las ventajas a las que tenemos acceso y la seguridad. Tengamos sentido común: nada es gratis.
Si te conectas a la red gratis wifi de un establecimiento es muy probable que te pidan una serie de datos, a lo que tú estarás dando el consentimiento, pero posiblemente no hayas leído con suficiente detenimiento para saber que probablemente utilicen tus datos para otros fines o los compartan con terceros.
Tenemos mucha facilidad para adoptar todo lo que es gratis o lo que mejora e incrementa el uso de nuestros dispositivos. A lo mejor esa supuesta ventaja no es tal y estamos exponiendo nuestros datos e información en manos de un tercero que no sabemos cómo los va a utilizar. En el móvil llevamos todo: nuestra agenda, contactos, información…, no somos conscientes del riesgo real. El problema puede venirnos a la larga por no haber medido suficientemente las consecuencias.
¿Falta educación tecnológica desde las escuelas?
Debemos pensar que la tecnología es extremadamente útil: salva vidas, ayuda a la evolución de la humanidad, pero también tiene sus riesgos y esto no se pone sobre la mesa. Este mensaje debe calar un poco en los más pequeños, porque cuando se toma conciencia de las cosas o cuando se aprenden mejor las cosas es cuando somos pequeños.
Yo no estoy en contra de la tecnología, todo lo contrario, pero somos un poco esclavos de ella. Lo que tenemos que hacer es concienciar a las generaciones futuras para que asuman fronteras en este aspecto, que pongan límites y que en ellas domine el sentido común. Hay que enseñar dónde llegan las consecuencias de no pensar en nuestros actos y en el uso indiscriminado que hacemos de la tecnología. El acceso es muy fácil, no te cuesta nada, y cuando algo es gratis el producto eres tú, pero eso aún no se nos ha metido en la cabeza.
¿Qué recomendaciones darías para llevar una vida más sana en un mundo tan digital?
Es difícil. Por ejemplo, limitar el uso de la tecnología es un poco complicado. Recuerdo que hace años no le comprábamos un móvil a un niño hasta una determinada edad. Ahora los utilizan desde pequeños, nuestros pequeños son nativos digitales.
Si se está utilizando un dispositivo móvil, una tableta o un ordenador, habrá que activar al menos un antivirus. Los padres, deberían hacer un control parental del uso de dispositivos, marcar que no todo vale. Está muy bien que tu hijo aprenda a usar la tecnología porque va a tener que convivir con ella, pero debe aprender también que tiene que controlar ese uso. También es necesario el sentido común, el concienciarnos de que los riesgos existen, que hay que manejarlos y convivir con ellos, nuestro apetito al riesgo no puede ser ilimitado.
En este escenario son muy necesarios los expertos en ciberseguridad y, sin embargo, no tenemos suficientes profesionales formados, ¿verdad?
Sí, es verdad. Deberíamos incrementar la inversión para formar en este sector. El problema es que no somos capaces como país – España – de retener ese talento, así que el poco que tenemos, en muchos casos, se nos va fuera. Si continuamos así el déficit seguirá existiendo o se incrementará. Está claro que la necesidad de este tipo de profesionales de cara al futuro es enorme porque el uso de tecnología va a suponer una serie de riesgos y esos riesgos se van a cubrir, no solo con personal de ciberseguridad, sino también con expertos en regulaciones.
Actualmente los gobiernos ya están haciendo un esfuerzo enorme por tratar de controlar o de defenderse de los riesgos que supone también la tecnología. La siguiente combinación es esencial: unas regulaciones más estrictas, que se cumpla la normativa que se promulga y que se vigile su cumplimiento… Y faltan recursos para poder vigilar que las compañías cumplen con estas regulaciones.
Creo que habrá solución, soy optimista. Quiero pensar que formaremos a profesionales en ciberseguridad que se quedarán con nosotros, no se irán fuera de nuestras fronteras y nos ayudarán a incrementar esos niveles de seguridad que deben tener las compañías y las personas para garantizar la evolución tecnológica.
La formación que las empresas demandan
El ‘Máster Indra en Ciberseguridad’ de U-tad ofrece una formación práctica, actualizada y muy orientada a la ocupación profesional. Impartido por profesionales de la industria, aporta un conocimiento actualizado a las problemáticas reales que sufren esos mismos profesores en su día a día en las empresas en las que trabajan. (Indra, Roche, Ministerio de Defensa, entidades de control del tráfico aéreo, Administraciones Públicas o bancos, etc.)
El programa del Máster es extraordinariamente completo, cubriendo desde los fundamentos de la ciberseguridad y sus áreas tradicionales como técnicas de intrusión o forense hasta las nuevas tendencias en el mercado, incorporando nuevos contextos como sistemas IoT, auditoría de redes inalámbricas, aplicaciones móviles o ciberinteligencia aplicada a la investigación de ciberincidentes. El Máster cuenta además con un bloque dirigido a la comprensión del Gobierno de la Ciberseguridad a nivel empresarial y de las principales normativas o estándares, como GDPR o el marco NIS, que deben ser conocidos para lograr una visión completa de dicho sector.