«HOY PRIMERO SE REALIZAN CIBERATAQUES ANTES QUE OTRO TIPO DE OFENSIVAS MILITARES.»
Hugo Scolnik es Doctor en Matemática, fundador del Departamento de Computación de la Facultad de Ciencias Exactas de la UBA y empresario. Pero sobre todo es uno de los de los máximos expertos en criptografía. Acaba de publicar ¿Qué es la seguridad informática? (Editorial Paidós), un libro de divulgación que explica los peligros a los que estamos expuestos, tanto ciudadanos como los diferentes Estados, en el universo digital y la manera en la que podemos protegernos de posibles ataques cibernéticos
Por Laura Cukierman
¿Vivimos en un mundo inseguro en términos de informática?
Si. La mayoría de los ataques exitosos se deben a la debilidad de las passwords elegidas por los usuarios, pero hay muchos más como no tener software actualizado (antivirus, cortafuegos, navegadores y sistemas operativos, etc)
¿Cómo está la Argentina en términos de seguridad informática? ¿Cuáles deberían ser sus grandes desafíos por resolver?
A nivel general está como casi todos los países. O sea mal.
Los grandes desafíos son: educación informática de los usuarios, asegurar la Defensa Nacional (infraestructuras críticas por ejemplo) y darle la importancia necesaria a la seguridad informática en el desarrollo e implementación de los sistemas. En nuestro país se invierte en el tema mucho menos que en los países industrializados
¿El Estado se preocupa por estos temas?
Sí, pero sufre de falta de continuidad en la creación y mantenimiento de equipos técnicos. Además está asfixiado por la burocracia que impide tomar decisiones vitales en tiempo y forma.
¿Hay algún país que sea ejemplo en esto?
Hay varios con políticas muy serias. Por ejemplo en Estados Unidos existe el NIST (National Institute for Standards and Technology que fija las normas para la administración federal, recomienda métodos de encripción (a veces incluso contra la NSA), etc. Israel ha desarrollado una gran industria de defensa cibernética. Otros países destacados son Alemania, Australia, Francia, Inglaterra, Suiza.
¿Estamos preparados para enfrentar ataques informáticos de otros lugares del mundo?
No.
Hay quienes afirman que estamos viviendo en una especie de guerra donde ya no se usan armas convencionales sino que va utiliza otras como la informática, la criptografía. ¿Esto es así?
Así es. Hoy primero se realizan ciberataques antes que hacer otro tipo de ofensivas militares.
En su libro hay una cita de Kevin Mitnick que dice que «las empresas gastan millones en seguridad informática, pero tiran el dinero porque ninguna medida cubre el eslabón más débil: la gente que usa las computadoras». ¿El usuario “común” presta atención a esta problemática?
No, ni el usuario común ni gran parte de las organizaciones.
¿Se está dejando ahí un agujero peligroso?
Efectivamente es imprescindible tener una mínima formación en seguridad. Casi todas las organizaciones que conozco presentan problemas por falta de formación de sus miembros que dejan vulnerabilidades varias. Si uno se sube a un auto para conducir se supone que debe tener un registro. No pasa lo mismo con las computadoras.
¿Qué es lo primero que usted enseñaría al respecto?
Primero enseñaría los aspectos principales de los ataques y los correspondientes mecanismos de defensa. El usuario debe aprender a usar antivirus serios, a escanear con frecuencia sus sistemas, a tener un cortafuego eficiente, a usar un password manager que le permita generar claves seguras, a no abrir mails y/o archivos sospechosos, a tener backups, etc.
¿Y las empresas privadas son conscientes de la necesidad de invertir en seguridad informática o lo ven como un gasto más?
La seguridad informática es tan molesta como los seguros y sólo se siente su falta cuando ocurre un desastre. Algo usual es que las empresas no generan código seguro, o sea que sus sistemas presentan vulnerabilidades explotables por los hackers. Y no lo hacen sea por ignorancia o por ahorrar costos. Las medidas que deben considerar las empresas deben ser más estrictas que las de los usuarios hogareños.
¿Se puede alcanzar un máximo de seguridad informática/infalible?
No. Un objetivo razonable es lograr una eficiencia de al menos 95%.
• ¿QUE HACE UN CRIPTOGRAFO? •
Un criptógrafo puede dedicarse a una gran variedad de cosas como ser investigación de nuevos métodos, quiebre de los conocidos, seguridad de sistemas, redes, celulares, etc. También puede ocuparse de normas y mecanismos de protección y/o estudiar métodos de penetración de sistemas.
Cuando yo comencé a estudiar Matemática un profesor me prestó lo que se suponía que era el primer texto de criptografía, y desde esa época ya muy lejana el tema me interesó. Luego de trabajar investigando en otros temas me concentré más en la criptografía en los últimos veinte años.