La identidad digital nos acompaña en nuestro día a día, pero no solemos reparar en ella excepto si se ve afectada. La consultora en ciberseguridad y perito judicial Selva Orejón es una de las mayores expertas en estas lides y, a través de su empresa OnBRANDING, se ha posicionado como la principal recuperadora de cuentas sociales hackeadas en España. En esta entrevista, la especialista explica cómo actuar ante un secuestro de identidad digital, pero también expone el desconocimiento que aún existe sobre los peligros (y los derechos) en las redes.
–Pregunta: Para romper el hielo, ¿por qué todavía se nos da tan mal protegernos en las redes? ¿Es por falta de formación, experiencia de uso...?
–Respuesta: Nos falta formación y nos falta algún anclaje emocional. Cuando te toca muy de cerca o a ti mismo ese recuerdo no se te olvida. Todas las personas que conozco que han tenido un problema están predispuestas a todo lo que se les vaya a proponiendo para protegerse.
–Ha comentado en alguna ocasión que los problemas no proceden tanto de la seguridad de la red o del propio dispositivo como del propio usuario. El fallo empieza por las bajas defensas que nosotros mismos aplicamos.
–Hay una parte importante que se puede salvar fácilmente si se llevan a cabo una serie de medidas de perímetro, pero hay fallos humanos infinitamente más difíciles de resolver. Porque a pesar de que hayan recibido formación o la empresa tenga muchas medidas de seguridad, si estudias bien a tu target vas a poder franquearle por sus vulnerabilidades.
–El riesgo cero no existe...
–No, como tampoco existe la seguridad 100.
–En el caso del robo de identidad digital, ¿cómo les llegan los afectados?
–Normalmente las personas o empresas a las que les ha pasado algo, ya sea una campaña de desprestigio o una suplantación de identidad, vienen a nosotros referenciados por alguien a quien le ha ocurrido lo mismo. Nunca hemos buscado un cliente. Si se han sentido bien tratados o cómodos se lo referencian a alguien y ese alguien nos contacta.
–Pero hay un sentimiento de vergüenza, en ocasiones se tarda en ponerlo en su conocimiento.
–Depende del tipo de situación a la cual hayan estado expuestos. Si es un hackeo de una cuenta de Instagram, normalmente nos buscan y acaban encontrándonos por referencia de alguien. Cuando se trata de una campaña de desprestigio que afecta a un personaje público, al principio se ponen en contacto con la agencia de comunicación que no tiene por qué tener un conocimiento legal. En la mayor parte de veces se encuentran en un callejón sin salida y tratan de buscar otras soluciones. Hay un punto de vergüenza cuando son casos domésticos, porque piensan que a lo mejor ellos tienen la culpa de haber caído en una trampa de esas características. Y por eso trabajamos con psicólogos, para que la persona acepte la situación y a partir de ahí empiece a encontrar soluciones.
–¿Cómo es el proceso de recuperación de una cuenta robada?
–Por ejemplo una empresa a la que han hackeado todos los canales sociales, desde Facebook, Instagram, le han secuestrado la página... Lo primero que se hace es dejar constancia de lo que ha ocurrido certificando digitalmente la situación. En paralelo se protege el resto de infraestructuras que también podrían ser atacadas. Esto implica cambios de contraseña, activar dobles factores de verificación, ver si se tienen sesiones activas... Y, por otro lado, cuando se recupera la cuenta se verifica el conocimiento que tiene el departamento que va a estar al cargo de este tipo de situaciones. Siempre se les acaba dando algún tipo de formación.
–¿Cómo reaccionan las plataformas digitales ante su petición de ayuda?
–Al principio nos chocaba que no hubiera una respuesta tan inmediata como nos gustaría a nosotros y a los clientes. Las plataformas sociales no están dimensionadas como para poder asumir la cantidad de situaciones de riesgo que tienen. Sí hay departamentos y formularios, pero se va muchísimo más lento de lo que necesita el cliente. También se escudan en que ellos ponen todas las medidas para que esto no ocurra. Pero lo que ocurre es que hay mucho desconocimiento de base y, si se suma el hecho de que las empresas no tengan campañas de publicidad contratadas, las plataformas van poniendo los tickets a la cola. Pero tengo que decir que tenemos buena relación y, cuando hay algo muy serio, reaccionan.
–Al final ellos también están interesados en que en su plataforma no haya extorsiones, robos de identidad... ¿Se ha mejorado entonces la relación?
–Creo que sí. Facebook es una de las plataformas que te permiten más opciones porque han tenido una masa muy grande de usuarios que se han dado cuenta de que no estaban en un lugar seguro y se fueron mejorando esas medidas. Instagram va un poco a remolque, hay medidas, pero no tan avanzadas. En el caso de TikTok nos hemos encontrado con situaciones muy jorobadas con menores de edad y no había reacción inmediata. Y no te digo nada en el caso de OnlyFans.
–¿Sirve de algo denunciar ante la policía? Usted siempre dices que sí, aunque parezca que no vas a lograr nada de forma superinmediata.
–Si cuando a cada uno le ocurre algo no pone una denuncia no va haber suficientes recursos humanos, técnicos y económicos como para que se puedan dimensionar las diferentes unidades de policía y de las plataformas sociales. La gente desconoce la cantidad de delitos de las que está siendo víctima en las redes. Creo que hay muchas personas que como creen que eso no les va a devolver el dinero, pasan por alto el acceso ilícito a sus comunicaciones, que le están revelando secretos... Y otra cosa de la que me gustaría dejar constancia: cómo vas a pensar que cuando te hackean una red social te la están hackeando solo a ti. Estás poniendo a los pies de los caballos al resto de personas que forman parte de tu comunidad, que te han compartido sus secretos, confesiones, estados de ánimo, fotografía... Nadie se escribe en whatsapp consigo mismo.
–¿Se negocia con los delincuentes?
–No. Mira, las únicas veces que hemos tenido conversación con ellos se partían de la risa. Ya sabían que estaban cometiendo un delito, pero les daba lo mismo porque no les iban a pillar. Eso ya denota que como no hay un amparo judicial van a hacer lo que les da la gana. ¿Cómo vas a negociar con alguien al que le da igual lo que le pasa? Pero basándonos en lo legal, si cedes a una extorsión estás cometiendo un delito.
–Pero también es verdad que luego aparecen estudios, como uno reciente de Hiscox, en que se afirma que dos de cada tres estafados pagan el rescate en casos de phishing. Entonces sí se negocia realmente.
–Nosotros no. Y si yo tuviera conocimiento de que alguien de mi empresa se dedica a hacer algo así te puedes imaginar lo que le pasaría. En el formulario que tenemos para las cuentas hackeadas advertimos a los usuarios de que están siendo víctimas de varios delitos como acceso ilícito a las comunicaciones, suplantación de identidad, extorsión, posible acceso a monederos digitales, acceso a cuenta bancaria o posible revelación de secretos. Y aconsejamos denunciar estos hechos ante los cuerpos policiales o el juzgado de guardia para dejar constancia de que no eres tú quien está detrás de la cuenta por si se cometen otros delitos en tu nombre. En las cuentas hackeadas no se paga.
–Cambiando de asunto, ¿tienen suficientes recursos y formación los cuerpos de seguridad para afrontar estas situaciones?
–Desde que empezamos hace 10 años hasta ahora ha habido mucha más formación. Ha habido algo más de recursos humanos, pero no están dimensionados ni de broma para las necesidades que hay. Recursos a nivel de herramientas nada prácticamente. La comisaría de información sí tiene las máquinas de Cellebrite para webbing y tiene recursos para forensics, pero muchísimo menos de lo que es necesario.
–¿Y en el caso concreto de los Mossos están preparados?
–Sí, están preparados, pero necesitan muchos más recursos. Igual que la educación no puede ir en función del grupo político que haya, la seguridad tampoco. No puede ser que ahora le demos importancia y ahora se la quitemos, ahora vamos a abrir una comisaría y ahora la dejamos de montar... los que acaban palmando son los ciudadanos. Muchos cuerpos policiales, y en ellos meto a los Mossos, tiran para adelante con muy pocos recursos solo por las propias ganas de los miembros que están allí.
–¿Qué tasas de éxito tienen en casos de identidad digital robada?
–El servicio de social hack tiene una tasa de recuperación altísima. También depende de la complejidad: si hace ocho meses que te han hackeado va a ser más complicado. Pero también se ha conseguido.
–Pero no se consigue desenmascarar al extorsionador.
–La identidad técnica sí, pero la analógica no. No nos pagan para ello, si contratasen el servicio de ontrackers sí los podríamos desenmascarar. Pero la mayor parte de veces la gente piensa en el momento presente, no se piensa más para adelante.
–Pero también tienen un servicio de monitorización reputacional. ¿Quién les pide este servicio y en qué consiste?
–El rep track normalmente lo piden empresas medianas o grandes, de hecho quienes más lo piden son grandes empresas. También instituciones públicas o personajes públicos cuya agencia de representantes nos pide una monitorización. Si es a nivel reputacional se monitorizan los nombres de las empresas, si han tenido escándalos anteriores, cuáles son las posibles filtraciones que hay, si hay certificados SSL que no están actualizados. Luego se añade otra capa para saber si hay alguien que ha dado de alta el nombre de la marca en otro lado del mundo, si hay filtración de credenciales, correos electrónicos, documentación confidencial... y por último se baja otra capa más para ver todo lo que tenga que ver en la dark web.
–También hacen informes periciales y, aprovechando esto, quería saber si los operadores judiciales también están preparados para afrontar la delincuencia digital.
–En la vía civil están un poco más acostumbrados, pero cuando se va por la vía penal depende totalmente de los casos anteriores que han tenido los juzgados. Los que veo que no están preparados son claramente algunos fiscales, excepto el de delitos tecnológicos y odio. Y muchos abogados no rascan ni bola. En un juzgado de Cataluña me solicitaron hace seis meses que acreditase que una información había estado publicada en Facebook. Pero esa información había sido eliminada. Les dije que debían emitir una orden judicial contra Facebook para que fuera este quien les diera los datos. Muchas veces el abogado motiva con su escrito algo al juez y este solicita al perito unas acciones que alucinas.
–En este contexto, ¿cómo ve la explosión de los metaversos? Tengo la sensación de que cuando hablamos de estas plataformas jamás se repara en los datos personales que estamos vertiendo sin pensarlo.
–Me da la risa. Si la gente no tiene gestor de contraseñas, si lo básico no lo tenemos controlado, ¿dónde vas poniendo todavía más riesgos? Le veo muchos beneficios en temas fóbicos, por ejemplo, porque es verdad que trabajar con determinados escenarios puede ayudar a los afectados. Pero a nivel de usuario o de muchas empresas no hay ese conocimiento de gestión de lo más básico.