Intuitiva, avispada, sensible, tenaz y una trabajadora incansable. Hace ya varios años que la conozco, primero a través de la red y de manera virtual como invitada en varios debates que he organizado y desde hace un tiempo en persona. Desde el primer momento en que supe de su existencia tuve claro que cerca de ella siempre hay que activar el modo esponja para impregnarse de todo lo bueno que desprende. Su bagaje es tanto y su claridad a la hora de transmitirlo tan grande que siempre se aprende. Si tenéis oportunidad de estar cerca y escucharla, aprovechad. El aprendizaje está garantizado.
Si hay algo que valoro en esta vida es sumar momentos al baúl de los recuerdos vividos con gente auténtica que merece la pena, de esa que siempre aporta, suma e incluso endulza los momentos a base de piña. Aún siendo encuentros breves pero intensos, con ella he sumado.
Por su experiencia en temas de seguridad digital, identidad digital y reputación online me siento muy identificada con ella especialmente cuando ambas insistimos en la importancia que tiene que usuarios y empresas presten la suficiente importancia a estos temas. Tomarse en serio el tema de la concienciación y la formación en seguridad y privacidad todavía es más reactivo que preventivo, por eso todo esfuerzo que hagamos en ese terreno es importante para que esta tendencia cambie.
¿Que de quién estoy hablando? Pues hoy comparte su experiencia personal, sus inquietudes sobre el mundo de la seguridad y sus mejores consejos Selva Orejón ya que por fin pude engancharla en persona para realizarle el cuestionario ciberseguro de Palabra de hacker.
Tras la transcripción de la entrevista que se muestra a continuación está disponible tanto el vídeo como el podcast y desde este enlace se puede acceder a la lista de reproducción con todas las entrevistas que he realizado hasta la fecha a diferentes profesionales relacionados con la ciberseguridad desde diferentes disciplinas. Y como recomendación está el ciberdebate «Sextorsión ¿cómo afrontar el chantaje sexual por Internet?» en el que participó junto a otros profesionales y las recomendaciones que dejó y que están recogidas en el artículo «Qué es la sextorsión y consejos para actuar ante este chantaje en alza«.
Un hacker es… Selva Orejón
Selva Orejón. Twitter: @selvaorejon
Perfil profesional: Licenciada en Ciencias de la Comunicación y diplomada en Inteligencia al Servicio del Estado y la Empresa. Directora ejecutiva de OnBranding empresa especializada en reputación online, vigilancia y seguridad digital. Formadora en Ciberinvestigacion e identidad digital para cuerpos de seguridad del estado además de perito judicial. Autora del libro: «La identidad digital: qué es, métodos de análisis, investigación y valoración de pérdida de imagen en la red«.
«La mayor parte de los ataques vienen por la información obtenida de la identidad digital tanto personal como corporativa»
¿Qué es un hacker?
Bueno para mí un hacker es una persona que tiene muchísima curiosidad en general, por diferentes temáticas que generalmente también le dedica muchísimo tiempo a poder investigar y que normalmente iría más allá de lo que iría una persona normal. Por ejemplo si yo tengo una aplicación móvil y veo que en teoría está hecha o diseñada para un uso en concreto, intentaría buscarle si además de un uso comercial se le podría dar un uso de investigación.
¿Qué consejos darías a las personas que están comenzando en el terreno de la seguridad?
Pues precisamente que no dejen de tener curiosidad, que no crean que todo está inventado porque todavía hace falta no solo concienciación sino también echarle muchísimas ganas y muchísimo tiempo. Que hay algunos libros que son de cabecera y probablemente también les diría que intenten tener diferentes tipos de dispositivos, que sepan trabajar con diferente tipo de software y que no solo tengan el ojo puesto en España sino que intenten abrir las antenas y que estén recibiendo información de diferentes países.
Tú una persona con formación en comunicación el mundo audiovisual, el mundo periodístico. Eres todo un referente en identidad digital en España y reputación online y todo esto, muy relacionado con temas de seguridad y con brechas de seguridad. ¿Cómo fue ese giro? ¿cómo acabaste relacionándote con este mundo de la seguridad?
Yo me fuí a Alemania porque una compañera mía de piso mandó mi currículum sin que yo tuviese conocimiento de ello. Esta empresa, después de que yo fuese a trabajar a Berlín durante dos años, tuvo un incidente de seguridad brutal y se apropiaron de su base de datos y estuvieron retransmitiendo a través de YouTube toda la información que habían podido obtener y eso me generó a mí probablemente los días de mayor trabajo de mi vida. Entonces a partir de ahí lo que hice fue intentar por un lado contener la información en medios de comunicación, por otro lado también el poder tener la interlocución directa con el departamento de seguridad de la empresa, las informaciones que en ningún momento podían salir de la empresa.
Entonces fue a través de un incidente gravísimo, que acabó muy mal y luego cuando volví a España. Trabajando en multinacionales veía que cada vez más tenía que acabar convirtiéndome yo en la traductora entre departamentos, el departamento jurídico, en este caso el departamento de seguridad corporativa, los de comunicación, los de la agencia y mis jefes. Entonces a partir de ahí ya me especialicé en análisis de inteligencia, estuve formándome en un curso en el que había muchos miembros de cuerpos de seguridad y ahí ya fue derivando todo hasta la parte de seguridad barra comunicación barra legal y psicología.
Sí, a la seguridad hay que ponerle muchas barras últimamente porque no es solamente la parte técnica que se cree muchas veces sino que es multidisciplinar. De diferentes disciplinas hay mucho que contar en este terreno ¿verdad?
Sí. A mí por ejemplo me gusta mucho el tema de la ingeniería social y todo lo que sea intentar entender por qué los humanos respondemos ante diferentes situaciones de una manera bastante común. Entonces eso tiene completamente que ver con la seguridad porque tú puedes ser muy buen técnico pero si no tienes olfato para poder intentar vulnerar la mente de esa persona o intentar en muchas ocasiones también pedirle a los técnicos, a mí me pasa con mi equipo, yo le pido a los técnicos lo que yo necesito para luego poder hacer investigación, entonces tenemos que estar completamente de la mano.
¿Qué es la identidad digital y por qué es tan importante que todo el mundo le prestemos la atención adecuada?
Bueno la identidad digital yo siempre la defino como toda aquella información que hay sobre una persona o sobre un grupo de palabras en Internet. Esa identidad digital puede ser que sea activa, es decir, que se haya escogido voluntariamente que esté ahí o puede ser que sea pasiva, que sea lo que terceros dicen de nosotros o lo que nosotros mismos no tenemos conocimiento que está publicado porque ni siquiera hemos sido nosotros quien lo ha publicado o no nos hemos dado cuenta.
Tiene mucha importancia porque la mayor parte de los ataques que sufren nuestros clientes muchas veces viene por haber obtenido información de ellos y si fuese de un total de un 100%, un 10% ha sido el ataque técnico y el 90% el resto de información que han obtenido de ellos, de su identidad digital tanto personal como corporativa.
Exacto corporativa. ¿Las empresas están preparadas en este mundo digital en el que nos hemos lanzado para cuidar esa reputación online, esa identidad corporativa?
Yo creo que la mayor parte de las empresas reaccionan, como cualquier persona, ante una situación en la que se han visto vulneradas porque la sensación de vulnerabilidad solo viene cuando dejas de tener algo que das por supuesto que existe. Entonces como cada vez hay incidentes más conocidos, las empresas que son más avispadas, bueno en realidad, las personas que forman empresas y son más avispadas, consiguen avanzarse un poco y tomar ciertas medidas de prevención. Pero la mayor parte de ellas o han sufrido un ataque o en ningún caso están preparadas para poder hacer. Umm realmente para poder hacer frente al ataque sí, ahora para poder hacer frente mitigando el máximo posible los daños no.
Incidentes ¿cuáles son los más comunes que te vas encontrando ¿O por dónde la gente o las empresas acaban pilladas un poco, ya se les pillan los dedos?
Mira los ataques que más estamos viendo son aquellos en los que probablemente los atacantes creían que solo iban a encontrar una información de carácter personal que podían explotar, pero luego se dan cuenta que la identidad de esa persona también tiene toda una faceta profesional y que por lo tanto puede ser que también no solo tengan un objetivo sino que se les amplia el objetivo y por lo tanto el éxito pueda ser mayor si consiguen más información de una organización. En algunos casos también los ataques que nos encontramos son alguien que está intentando hacer un ataque en masa o en red pero luego ve que hay uno de los peces que es más gordo y que es el que más le interesa.
Entonces bueno se podría decir que muchos, muchos son de sextorsión, extorsión contra personas que son conocidas y también personas que son anónimas. Estafas, muchísimas estafas no solo por compras sino estafas en las que hay una implicación personal muy grande de las personas que hay.
Nos encontramos también casos de violencia de género que tienen todo un componente tecnológico que si no se puede demostrar a través de diferentes informaciones en chats, correos electrónicos, llamadas, fotografías… no se podría dar el caso como tal porque demostraría en este caso que ha habido una agresión psicológica.
Nos encontramos también casos en los que hace falta hacer forenses a equipos porque se están filtrando informaciones corporativas o personales y muchísimos de acoso y de boicots. Boicots a empresas y luego grupos de personas que se organizan porque van contra una causa o porque ha habido una fake new (noticia falsa) y un montón de personas sin criterio están intentando apoyar esa fake new y acaba generándole problemas económicos gravísimos a las empresas, psicológicos a las personas y cuando se mezcla pues es una debacle corporativo o personal.
Entre todas las cosas que has detallado has hablado de la sextorsión que sí que es un tema que cada vez preocupa más, que hay muchas más víctimas cada vez, que lo están pasando muy mal. Tú has tratado con muchas víctimas de sextorsión. Los consejos habituales son cortar relación y denunciar obviamente por mucha vergüenza que les de pero tú qué les dirías, porque has tratado con muchas víctimas, sabes cómo lo pasan. A esas personas que están siendo víctimas en estos momentos ¿qué consejos les dejamos?
Mira la primera parte cuando nos llega alguien que está así generalmente se le atiende a las puertas de la comisaría o ya en la comisaría porque es casi una condición sine qua non para poder llevar el caso. Entonces lo primero de todo es que no borre nada, lo más importante que se certifiquen los perfiles rápidamente. Se pone a trabajar el equipo en la parte de OSINT para poder ver si es un caso en concreto o si forma parte de una red que es más amplia, que utilizan la misma forma de hacer los perfiles y de ejecutar la extorsión. Se intenta conocer también cuál es el origen para saber si el país, en este caso España, tiene tratado internacional o no con ese país porque si no lamentablemente es mucho más difícil poder hacer algo. Que nunca paguen, eso está clarísimo, que nunca paguen porque como empiecen a pagar no van a dejar de pagar.
Por otro lado que se olviden de la culpa porque la culpa paraliza mucho y les hace sentirse muy mal con lo cual ya dejan de pensar, que se avancen a las situaciones por ejemplo ponemos muchas alertas con nombres y apellidos, con el nombre de perfil que tenía en este caso el cliente o la cliente y luego también super importante que de toda la identidad digital que tenían anterior, intenten hacer modificaciones para que no sea tan fácil que puedan llegar a ellos ni a su entorno.
Si es a nivel corporativo se deberían de hacer cambios en los correos electrónicos que son públicos en Internet con ese dominio. Que se hagan alertas con los nombres de la empresa y también en ese caso que se haga una prevención desde el punto de vista del SEO, o sea que se publique y que se genere contenido con una serie de palabras negativas relacionadas también con la extorsión, sextorsión, sexo, vídeo sexual, una serie de palabras para que cuando alguien vaya a hacer la búsqueda no se encuentre con la información que potencialmente puede ser publicada.
Sí eso está bien para muchas víctimas corporativas pero está habiendo un repunte en menores y hay veces que digamos el contrarestar generando contenido nuevo para digamos ir bajando eso… ahí es especialmente delicado.
Sí en el tema de menores sobre todo muy importante es casi primero, bueno casi no, siempre primero hablar con los padres, que los padres dejen de transmitirle la culpa y el ‘ya te lo dije‘, ‘como se te ocurre‘ etcétera, porque como muy bien dice Angelucho son huérfanos digitales completamente (vídeo de la charla-taller «Los menores y su cibermundo») con lo cual si encima los padres o los tutores legales van de que ‘lo ves ya te lo dije‘ la mayor parte de los padres no saben ni dónde están los niños con lo cual no tienen demasiado criterio para poder decirlo.
Con el caso de los menores sobre todo que tengan el apoyo psicológico desde el minuto uno porque como no lo tengan, si se van encerrando cada vez más en sí mismos pueden acabar teniendo consecuencias muy nefastas.
A corto plazo, en tres, cinco años ¿cuáles son tus mayores miedos en el terreno de la seguridad?
Pues yo creo que hay una serie de delitos que por ejemplo los robos en domicilios y todo lo que tenga que ver con seguridad física que si estás en un nivel social medio-alto normalmente has tenido en cuenta pero los malos, que se dedican a ello, si empiezan a mirar cuáles son las herramientas que pueden utilizar para que esos robos que estarían digamos en la escala social ya más media-baja pueden empezar a obtener más resultados, los van a empezar a utilizar.
Pues por ejemplo no sé utilizar cuando has marchado de casa, los dispositivos que tienes activos, cosas que se están dando muchísimo en Venezuela, Colombia y México como por ejemplo que tú vas a un banco y está prohibido que tú vayas al banco con el móvil. Esto va a empezar a ocurrir aquí, porque ya está pasando que tú por ejemplo estás en un lugar, levantas WiFi y miras cuáles son WiFi o Bluetooth, miras cuáles son los dispositivos que están en un radio en concreto y que ya cada vez más la delincuencia callejera empieza a utilizar más tecnología y que sea más fácil el que al final puedan tener éxito con sus delitos.
¿Qué hay que hacer para jugar en la línea del mal, intentando hacer el bien y no cruzarlo?
No solo pensar como un malo que es de las cosas que a mí más me gustan de mi trabajo el pensar cómo pensaría ese ‘malo’, como normalmente se le dice, si no también de tu entorno más cercano cuál sería la parte más vulnerable. Yo siempre, siempre, siempre intento pensar en cualquier situación igual que cuando recibes clases de artes marciales o cuando te enseñan a ir por la vida con algo de autoprotección, tú sabes dónde sentarte en una cafetería, qué hacer cuando giras una esquina, cuando te vas a meter en un ascensor, cuando bajas unas escaleras pues eso ir integrándolo mucho más en la parte digital.
Y normalmente también intento ver cuáles son las formas de, cómo diría yo, las formas de delinquir de otros países que puedan ser más o menos parecidas a lo que podemos tener en España. Entonces intento pues eso avanzarme para saber siempre, nunca jamás cruzar la línea pero sí asomarte para ver qué es lo que pasa ahí, qué es lo que están haciendo, sin cruzarla.
Finalmente, si te tuvieras que quedar para dar tres consejos de seguridad digital básicos a las personas ¿con cuáles te quedarías?
Con que sepan en todo momento qué es lo que está ocurriendo con su identidad digital y la de su entorno con lo cual alertas siempre levantadas. Consejos de seguridad física aplicada al mundo digital, esto sería siempre tener los dispositivos cerca, nunca tener compartida ni Bluetooth ni WiFi. Y la tercera probablemente sería el que no digitalicen nada que luego pueda acabar perjudicándoles en su vida.
Desde aquí le doy las gracias a Selva Orejón por su cercanía y generosidad al someterse al cuestionario ciberseguro.
Ella ya ha pasado la entrevista ¿quién será el siguiente?
Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!
Vídeo
Podcast
¿Tienes Telegram? Suscríbete al canal de Palabra de hacker: https://t.me/palabradehacker
Periodista y formadora especializada en ciberseguridad de tú a tú y competencias digitales. Fundadora del canal divulgativo HangoutNEO y del canal especializado en ciberseguridad Palabra de hacker. Autora del libro «Ciberseguridad de tú a tú. Lo que tienes que conocer para sentirte más seguro» de la editorial 0xWord. Si quieres adquirir un ejemplar del libro y que te lo envíe firmado, escríbeme.
Me defino curiosa por naturaleza, apasionada de la comunicación, abanderada de la educación y amante del social media. Soy la profesional que te puede ayudar a mejorar tu seguridad digital, tu identidad digital y tus competencias digitales así que ¡lánzame un reto!