Llorenç Huguet (Ferreries, 1953) ha sido conocido en los últimos años como rector de la UIB, pero, una vez dejada atrás la dirección de la máxima institución académica de las Islas, podríamos decir que ha vuelto a sus orígenes. Ahora dirige la Unitat d'Innovació Tecnològica en Ciberseguretat de la Universitat. Su tesis doctoral, en 1981, ya trataba sobre la criptografía y la seguridad computacional.
¿Cómo acabó en la ciberseguridad, allá a principios de los 80?
—Estudiaba en Lovaina, Bélgica, y mi director de tesis me condujo a la criptografía y a la seguridad computacional, una cuestión que sólo trataban los gobiernos en cuestiones defensivas. Más adelante se incorporaron las empresas con la comunicación entre ordenadores, pero por entonces ya podía haber intrusos.
Todavía no había internet.
—El sistema primigenio se llamaba Arpanet, desarrollado por el Departamento de Defensa de Estados Unidos. Con posterioridad se popularizó ya con el nombre de internet. Uno de los padres de internet, Vinton Cerf, fue investido doctor honoris causa por la UIB.
¿Cuándo llegó internet a la UIB?
—A principios de los años 90, a nivel interno.
¿La Universitat ha recibido ataques?
—Sí, con la intención de colapsar la web, pero el equipo de la UIB ha sido muy eficiente y no ha habido graves consecuencias. Las soluciones han sido rápidas, pero es muy difícil encontrar el origen de esos ataques. Nada que ver con el ataque del año pasado a la Autònoma de Barcelona, que tardó tres meses en ser solucionado.
En los años 80, usted debía ser de los pocos que se dedicaban a estas cuestiones. ¿No tuvo ofertas importantes de gobiernos?
—Después de la tesis, tuve una oferta privada de Estados Unidos, pero preferí quedarme aquí y siempre en el ámbito público.
¿Qué se puede hacer en caso de sufrir un ataque?
—A nivel de administraciones existe el Centro de Criptología Nacional, dependiente del Ministerio de Defensa. A nivel empresarial y de ciudadanía existe el teléfono de urgencia 017 del Instituto Nacional de Ciberseguridad, dependiente del Ministerio de Asuntos Económicos y Transformación Digital, que presta asesoramiento técnico y también psicosocial, sobre todo si el ataque tiene un componente de acoso sexual.
Y antes de sufrir un ataque, ¿qué medidas podemos tomar?
—Recomiendo las actualizaciones, la instalación de antivirus renovados cada año, las contraseñas seguras con doble verificación y las copias de seguridad externas. Todos podemos sufrir un ciberataque, de tal modo que podemos dividir la población entre los que ya lo han recibido y los que lo recibirán.
¿Qué tipos de ciberataques hay?
—Hay dos clases de ataques que son las más frecuentes. El primero sería el fishing, vía correo electrónico, con la suplantación de la identidad. Por ejemplo, la suplantación de la identidad de una empresa ante un banco. El segundo sería el ransomware, con el que se entra en el dispositivo a través de la red y se cifra la información de los archivos de la víctima. Ahora se suele pedir un pago en bitcoins. Si se paga, no hay ninguna garantía de no sufrir un segundo ataque.
¿Cuáles son las dimensiones de estos ciberataques?
—Datos del año pasado en España: el 51 % de las empresas españolas ha sufrido ciberataques. De estas, el 64 % ha pagado y el 47 % ha vuelto a ser atacada.
¿Y cuáles son las dimensiones económicas?
—La media de los pagos es de 100.000 euros, duplicándose respecto a 2020. La pandemia ha supuesto que había más gente conectada, pero no suficientemente protegida.
Ha explicado que hay recursos a los que acudir en caso de sufrir un ciberataque, pero los usuarios básicos nos sentimos muy vulnerables.
—Es cierto que, en estos casos, los que tienen más recursos son los malos, sean personas o empresas dedicadas al cibercrimen. Se adelantan a las protecciones. Precisamente por ello, lo mejor es seguir las recomendaciones anteriores. Al menos dispondremos de herramientas defensivas que pueden ser eficaces.
¿Qué podemos decir de Pegasus?
—Es un arma de guerra puesta en marcha por tres exmilitares israelíes. Su principal característica es que no hay que hacer nada para ser víctima. Es el llamado cero click. No hace falta clicar nada para ser atacado. El ataque es silencioso. Hace años que Pegasus funciona entre estados, pero parte de este spyware es accesible a particulares a través del denominado internet oscuro.
Había una orden judicial para espiar a independentistas.
—Sí. Y Pegasus tiene un coste importante. Alguien decidió que ese coste estaba justificado.
Y ahora el Gobierno dice que también ha sido espiado con Pegasus.
—Es muy difícil saber el origen. Siempre ha habido espionaje. De todos modos, el uso de un spyware como Pegasus no debe hacernos olvidar los grandes peligros a nivel global, como la suplantación de identidades y la actividad de pedófilos ante adolescentes que se muestran transparentes y no tienen sensación de riesgo cuando usan internet. Tampoco debemos olvidar que ha habido una pandemia biológica, pero también puede haber pandemias digitales que pueden crear graves problemas e incluso el caos. El cibercrimen ya maneja más dinero que el narcotráfico. Si el cibercrimen fuera un país, sería el tercero del mundo, por detrás de Estados Unidos y China.
En Ucrania no sólo hay una guerra convencional.
—En efecto. Los ciberataques a Rusia han aumentado un 4 %, pero a Ucrania lo han hecho en un 140 %.