Sergio de los Santos es consultor y auditor técnico de seguridad, coordinador de varios servicios en Hispasec: antifraude, SANA y responsable del boletín diario de seguridad más veterano en español, una-al-día.

Ingeniero técnico en informática de sistemas, certificado CISA y Auditor PCI (Qualified Security Assesor). Posee más de diez años de experiencia profesional en la seguridad, y ha trabajado y colaborado con diferentes empresas desde el año 2000. Es autor de cuatro libros sobre seguridad: "Hack paso a paso" (volumen I y II), el anuario "Una-al-día: 12 años de seguridad informática" y "Máxima seguridad en Windows, secretos técnicos". Ha participado en numerosas ponencias, conferencias y charlas organizadas por las más prestigiosas instituciones nacionales.

Uno de los mensajes que más repetís los especialistas en la lucha contra el malware es que las cosas han cambiado y ya no podemos pensar del mismo modo que hace unos años. Por ejemplo, ¿qué ha cambiado entre los atacantes y qué buscan ahora mismo?

Los atacantes buscan efectividad en su malware. Esto se traduce en ser poco detectados y recabar el máximo beneficio. El beneficio puede venir en forma de contraseñas del banco, visitas indeseadas a páginas de publicidad, o rescates por "secuestrar" tu ordenador. Todo vale. Y como cualquier negocio, cuando hay dinero de por medio y un beneficio, se reinvierte en mejorarlo. Esto ha propiciado toda una mafia y una industria del malware que genera ingresos para el atacante, pero que también invierte: descubridores de vulnerabilidades y creadores de exploits a tiempo completo, "marketing", programadores...

Debemos quitarnos de una vez de la cabeza que el malware es una molestia y pensar que es un problema grave, como los atracos, los robos y el crimen organizado.

En cuanto a la protección, ¿realmente la pareja antivirus + cortafuegos ya no funciona?

No funciona desde hace muchísimos años. Es la aproximación más ingenua que se puede adoptar contra el malware. Desde 2004 tener un cortafuegos entrante es como no tener nada. Lo interesante es configurar el saliente (desactivado por defecto). Y los antivirus... es tecnología de los 90. El antivirus es lo último, el antídoto de amplio espectro contra venenos que se conocen... pero lo que hay que evitar es envenenarse y procurar que ese veneno no sea desconocido. Con la inversión que hace en el malware, cada vez es más habitual que pase desapercibido.

Los "no técnicos" y las casas antivirus se han encargado durante años de meter en la cabeza de la gente que esta pareja por sí sola es la solución. E incluso que con sentido común basta. Eso es totalmente falso. Gracias a las vulnerabilidades, la persona más precavida del mundo puede acabar infectado, y ninguno de esos tres elementos le ayudará por sí solo.

Lo que es necesario es utilizar la seguridad proactiva de los elementos de software que se usen (navegadores, plugins, sistema operativo...), que es lo que realmente puede mitigar (que no solucionar) el problema.

¿Cuáles crees que son las tres o cuatro medidas de protección que todos los usuarios deberían tener o poner en marcha?

Estar informado. Actualizar sus sistemas y programas. Entender de qué medidas de seguridad proactivas dispone cada programa y usarlas. Dejar de pensar en el malware como una molestia y entenderlo como un riesgo grave.

¿Herramientas gratuitas o de pago?

Ambas son igual de (no) efectivas contra el malware, así que mejor las gratuitas. Lo importante de las herramientas no son las herramientas en sí, sino aprender a manejarlas. A veces no hacen falta tantas herramientas. Parece que cuanto más "anti-algo" tengamos instalado, más seguro se está. Las mismas funcionalidades de los programas, dispuestas en una buena combinación, pueden valer.

Por otro lado, no paramos de oír que algunos sistemas operativos son más seguros que otros, ¿realidad, mito o verdades a medias?

Ganas de discutir y fanatismo. ¿Se pueden programar programas para Linux, Mac y Windows? Obviamente. ¿Existen vulnerabilidades en esos sistemas operativos o en los programas que traen de serie? A centenas. Si sabemos que el malware no es más que un programa que la mayor parte de las veces (cuando no es el usuario el que lo ejecuta directamente) se ejecuta gracias a vulnerabilidades... ¿por qué iban a ser más seguros unos sistemas operativos que otros?

La diferencia, como he mencionado antes, está en la comodidad. Es más fácil programar para Windows porque la inversión dará más frutos. Pero las vulnerabilidades (las vías por las que entra el malware) están ahí para todos los sistemas operativos y programas.

Quizás muchos usuarios se sientan más seguros con su Linux o Mac navegando por la red. Y probablemente tengan menos problemas de malware sin estar especialmente preocupados por el asunto. Pero no son inmunes. Igualmente, cualquiera con una buena "higiene", hábitos, programas bien configurados y algo más de conocimiento en Windows puede navegar tranquilamente.

El mundo de los teléfonos móviles ha sufrido un cambio histórico con los smartphones, ¿hasta qué punto esto influye en lo que se refiere a la seguridad?

Se está tropezando en las mismas piedras que con los sistemas operativos en los 90. Android tiene un serio problema ahora mismo con el malware. Sin embargo la mayoría viene porque el usuario instala compulsivamente aplicaciones sin preocuparse de su procedencia o qué permisos requieren en realidad.

En estos momentos, los atacantes todavía no se están preocupando de aprovechar vulnerabilidades en el navegador de los smartphones (que las tienen) así que confían en que el usuario instale el malware en forma de aplicaciones... y lo hace. El hecho de que Google Play (la tienda de aplicaciones para Android) no pueda frenar que se incluyan de forma habitual malware disfrazado de aplicaciones legítimas, hace el resto. En este sentido, Apple es mucho más cuidadosa, además de que sus aplicaciones deben estar firmadas, con lo que mitiga eficazmente el malware.

Por último, diferentes estudios en los que habéis participado desde Hispasec demuestran que los usuarios a veces no saben lo que ocurre o tienen instalado en sus equipos. ¿Qué crees que no se está haciendo como se debería para que los usuarios desconozcan lo que tienen instalado o cómo tienen configurados sus ordenadores?

Es muy complicado entender los sistemas operativos, la seguridad y el malware. No se puede culpar a los usuarios. Las personas que hablan sobre el malware y cómo mitigarlo tienen una gran responsabilidad sobre la percepción que adquieren los usuarios. Si no se hace con rigor técnico y escepticismo, se envía un mensaje equivocado. Lo que se está haciendo incorrectamente es perpetuar los mensajes de hace años (por ejemplo lo que hemos mencionado de cortafuegos, antivirus y sentido común como combinación ganadora). Tampoco se anima a los usuarios a que exploren las posibilidades de su software, a que lo cambien o utilicen alternativas.

Los sistemas operativos, por otro lado, tienden a simplificar en extremo, lo que implica necesariamente ocultar opciones y relajar la seguridad buscando más comodidad y que "todo funcione". Este supone un grave problema, puesto que todo se configura de la forma más abierta posible con la esperanza de que el usuario tenga experiencias positivas (todo funcione) pero abre la puerta a la inseguridad.

El usuario no tiene más remedio que aprender que hoy en día, debe invertir tiempo y esfuerzo en conocer su sistema para asegurarlo, y los medios y responsables de comunicar incidentes deben también aprender a hacerlo de forma sencilla, directa y con rigor técnico. Los programadores deben también aprender a crear su código para que funcione perfectamente en entornos seguros, con opciones de seguridad restrictivas activas.