La fundadora d’onBRANDING, Selva Orejón, experta en ciberseguretat i identitat digital, serà una dels ponents que intervingui en la jornada «Com reduir un ciberatac?». La sessió organitzada per Diari de Girona i Prensa Ibérica amb la col·laboració d’Icatel Network, Brontobyte Cloud i ENTI Escola de Noves Tecnologies Interactives, centre adscrit a la Universitat de Barcelona, tindrà lloc el 30 de novembre, a partir de les 10 del matí, a l’Auditori Manel Xifra i Boada del Parc Científic i Tecnològic de la Universitat de Girona. Les inscripcions són gratuïtes, però cal fer la reserva aquí.

Doni’m idees bàsiques per detectar a primer cop de vista quan em volen estafar amb una suplantació d’identitat.

Donar una resposta simple és impossible. Per exemple, si rebem una trucada des d’un número de telèfon identificat com a entitat bancària (BBVA, Santander…) caldrà que pengem i truquem nosaltres al número de la nostra entitat, però mai rebre’l directament. Podem estar caient en una suplantació d’identitat. Un altre cas, si rebem un SMS tipus el teu compte ha estat obert des de la ubicació… aquí podem estar sent víctimes d’un SMShing, i si a més té un enllaç, compte! Podem estar descarregant un troià que pren el control dels nostres contactes, fa un mirroring de la nostra aplicació bancària i intercepta els SMS i podria buidar-nos el compte bancari en poca estona.

Un dels principals reptes de les empreses en seguretat és evitar les suplantacions de la seva marca. Són evitables?

La clau és escurçar el temps de reacció, detectant de forma ràpida vulneracions de les nostres marques registrades que poden perjudicar el nostre nom de marca, i per descomptat eliminar-los ràpidament. A onBRANDING tenim un sistema de detecció, alerta i eliminació. El sistema classifica quin tipus de dany i risc pot suposar i, per tant, saber informació a temps, és evitar-te maldecaps, ensurts i finalment pèrdues d’energia i de diners absurdes.

Habitualment, amb les estafes per «pishing», s’atribueix la culpa a l’usuari per haver caigut en el parany. És sempre culpa seva?

No m’agrada gens parlar de culpa. La responsabilitat és dividida en quatre parts. Una, l’usuari per no estar protegit perquè ningú li ha explicat, però, en canvi, porta un mòbil de 2.000 euros que seria equivalent a conduir un Ferrari sense tenir el carnet i anar per una comarcal a 200 per hora. Segona, les entitats bancàries, plataformes socials, empreses de telecomunicacions… i d’altres empreses, també podrien tenir un millor servei al client amb millors coneixements de ciberseguretat i vies de comunicació ràpides i eficients. Tercera, els cossos policials també podrien tenir equips més nombrosos i serien més eficients: falten recursos humans, tècnics i econòmics. El motiu és més un tema polític d’on es distribueixen els recursos. I en quart lloc, les lleis, els acords internacionals i els tractats. Hi ha molts països que no col·laboren, no tenen acords i els grups criminals ho saben. A més, hi actuen sota una ment psicopàtica que no els importa gens el mal que estan generant en altres éssers humans.

Quin és el cas d’estafa per pishing o suplantació més «elaborat» amb què s’ha trobat?

Molts i de molts tipus. Potser aquell que ha usat l’enginyeria social per fer-se passar per un empleat d’una empresa d’inversions en criptomonedes i ha aconseguit tot el que volia, fent veure a la persona afectada que havia aconseguit ser milmilionari, en euros, quan en realitat, ni existia l’entitat, ni mai veurà l’import, ni pot tenir evidències per poder demostrar el frau.

Ha augmentat el mètode de crear perfils falsos a xarxes socials per intentar estafar. Com ens podem protegir d’això?

Des de 2015 això se n’ha anat cada vegada més de les mans, i fa dos o tres anys vàrem veure l’eclosió amb la pandèmia. O la darrera broma a Twitter i les implicacions en borsa de les empreses que varen ser falsament verificades en els perfils, o les identitats com la de George Bush.

Quina és la clau més important per mantenir una bona seguretat de la identitat digital?

Tenir controlada la identitat digital, és a dir, paraules de la marca personal o corporativa, números d’identificacions, marques registrades, dominis, credencials, etc. Encara que estiguin obsoletes, si no es netegen són carn de canó de notícies enganyoses per a periodistes o bé persones del món del SEO que busquen clics. És molt important demanar l’eliminació immediata i tenir un bon escut reputacional que sigui el nostre múscul quan els vents bufen fort i ens volen atacar.

Un altre dels problemes que es pot trobar una empresa és la filtració de dades. Quin sistema de protecció es recomana?

Prevenir de forma activa, detectar els incidents, informar a l’AEPD, informar els clients o parts interessades afectades i posar en marxa les alertes i les eliminacions de contingut. També mantenir sempre la pròpia alerta continuada, encara que hi ha espais d’internet on no es podrà eliminar.