“Data, data, data, I can not make bricks without Clay”, decía Sherlock Holmes. Estamos en un momento donde la digitalización ha pasado de ser un lujo y algo para pioneros (nunca lo fue, pero así lo veían algunos), a una absoluta necesidad para el negocio. No importa si estamos hablando de grandes corporaciones, donde es un asunto muy obvio; o de pequeños comercios, donde la digitalización viene de mano de sus proveedores (internet, móvil, etc.). No obstante, esta digitalización también lleva aparejado, de forma ineludible, algunos riesgos.
Uno de los mayores desafíos es que los vectores de ataque han crecido de forma exponencial. Lo que antes eran interacciones puntuales con la web, ahora se ha convertido en disponer de un 'ordenador' que llevamos en el bolsillo y estamos conectamos de forma continua a multitud de sistemas, desde el correo a redes sociales, mensajería y apps.
Esto hace que todos, de una forma u otra, estemos expuestos. Más aún, cuando esta digitalización ha permitido que estos ataques se puedan cometer de forma remota y anónima desde países donde estos delitos no están igual de tipificados y/o penados. Es más, hay ataques que los puede estar haciendo tu vecino, pero parece que viene de Rusia, China o cualquier otra parte del mundo.
En definitiva, es muy fácil entender y aceptar los beneficios de la digitalización, pero ¿todos entendemos los riesgos y como protegernos? Hoy me gustaría centrar estas líneas en cómo se pueden usar los datos que todos generamos en nuestra actividad en el mundo digital para que nuestros proveedores, que son en gran medida responsables de nuestra propia seguridad, hagan los deberes y protejan a sus clientes (nosotros) de la forma más eficaz posible.
Un ejemplo que ilustra perfectamente los datos que generamos con cada movimiento, es cuando una persona hace una transferencia. Antes, cuando se iba a una sucursal bancaria para realizar esta operación, se generaban unos datos muy escuetos. Básicamente: importe, cuentas de origen y destino, comentario, ordenante, fecha y poco más. Pero, cuando la misma transferencia se hace a través de la banca electrónica, estamos proporcionando muchísimos más datos.
Datos que se usan para conocer mejor al cliente, pero también –aunque no todos los bancos lo hacen y deberían– para protegernos. Con cada operación, les estamos facilitando la ubicación a través de nuestra IP, el dispositivo, el idioma en el que está nuestro navegador, el sistema operativo que usamos y su versión, además de una gran cantidad de datos que se van arrastrando (con las famosas cookies) y que les permiten perfilarnos.
Este perfil, marketing aparte, permite que el banco sepa si alguien está operando en nuestro nombre y con las credenciales correctas (que habrán obtenido por cualquier método). Por simplificarlo, si en mi caso, que me conecto a mi banco con el navegador en castellano o inglés, desde un Mac o un iPhone y habitualmente desde España o EE.UU., el banco detecta una conexión desde Corea con el browser en coreano, e intenta hacer una transferencia internacional, está claro que no soy yo el que está al otro lado del teclado.
Este análisis de nuestro comportamiento individualizado permite elevar los niveles de detección de situaciones anómalas que merecen la pena ser investigadas por nuestro proveedor, o incluir medidas adicionales de verificación cuando algo en nuestro comportamiento no cuadre.
Estos datos operacionales suponen hoy en día la inmensa mayoría de los que se generan en el mundo IT. De su correcto análisis depende, no solo que nos ofrezcan productos más adecuados a nuestros gustos o necesidades, sino que nos podamos sentir más protegidos y vayamos entre todos, empresas, proveedores, software, vendors y usuarios, elevando nuestra protección.
Dicho esto, casi todo el mundo conoce, y es vox populi, el uso inadecuado de nuestros datos por parte de algunas empresas. Esto es totalmente inaceptable, pero, quizás, si tomamos conciencia, la próxima vez que se nos solicite trazar nuestra actividad, podremos intentar averiguar si es 'solo' para vendernos más o también para ayudar a nuestros proveedores a que protejan su servicio y nos protejan a nosotros. Esto debería de ser una exigencia. La seguridad de un servicio es la seguridad de su eslabón más débil y ese eslabón casi siempre es el usuario.
Avanzar en la digitalización trae grandes ventajas y nuevos riesgos que han de ser gestionados. Mirar hacia otro lado no es ni debe ser una opción, pero entonces… ¿Ahora qué hacemos? Una parte fundamental para avanzar en la digitalización de forma segura tiene que ver con el marco regulatorio, nuestras leyes y entidades públicas.
En estos años, se ha avanzado con las iniciativas de Incibe (Instituto Nacional de Ciberseguridad), pero, todavía estamos muy lejos de que nuestras leyes fuercen a las empresas a usar los datos de los que disponen para proteger a sus activos y a nosotros como usuarios.
Es una labor de todos, pero igual que se creó hace ya muchos años la APD (Agencia de Protección de Datos), ¿por qué no extendemos ese concepto a usar los datos para protegernos? De la misma forma que la APD audita que nuestros datos no se cedan de forma inapropiada o que se protejan adecuadamente los más confidenciales, se podría auditar que las empresas usen los datos operacionales (estos que vamos dejando por el mero hecho de visitar una web o usar una App) para protegernos a todos.
*** Pedro Castillo es fundador de Devo y CEO de Signalit.