Manel Medina: "Navegar per la xarxa és com anar pel carrer"

Catedràtic de la Universitat Politècnica de Catalunya (UPC), dirigeix el centre espanyol d'incidències de seguretat informàtica (EsCERT), que ell va fundar. És director del comitè científic de l'Anti-Phishing Working Group de la Unió Europea i creador de diverses empreses de seguretat informàtica, com Safelayer.

- ¿Estem segurs a internet? 

- La gent té més assumit que ha de fer servir el preservatiu per tenir sexe segur que la protecció a internet. No hi ha consciència que s'han d'actualitzar programes i dispositius. I això que hi ha mecanismes, com per exemple llistes de webs contaminades, antivirus… però el 70% dels usuaris entren en una pàgina web encara que el seu navegador els digui que no és segura perquè s'han acostumat al fet que la majoria d'avisos siguin sense motiu.

- ¿I amb el mòbil hem perdut la sensació de seguretat? 

- El que abans era un telèfon mòbil ara és un ordinador de butxaca que també serveix per parlar. Fabricants i operadors ens estan conscienciant que ens hem d'instal·lar antivirus per protegir-nos. Comprovar si una aplicació és segura és gairebé tan costós com crear-la. El mòbil ja no és un canal alternatiu per accedir a internet sinó que per a molts és el principal.

- La majoria dels problemes de l'ordinador ja no són culpa de virus, sinó de malware o programes espies.

- El concepte de virus també s'està deteriorant. Els atacs permanents ja no els fan virus que s'expandeixen com a epidèmies per a fer mal sinó programes pensats per robar informació, capaços de seleccionar el tipus de dispositiu en què s'instal·len o de moure's a altres màquines si no responen al seu objectiu d'atac. Són molt selectius.

- Es van obrint fronts.

- Abans, si volies seguretat feies una transacció amb el mòbil. Ara hi ha mètodes d'atac que entren en l'aplicació d'un banc, esbrinen el número del mòbil i li envien un SMS amb un enllaç des d'on descarregar el virus. Per això algunes aplicacions mòbils de bancs no registren el número, perquè si ho fan queden exposades. Les entitats financeres són serveis crítics a internet però els governs no les obliguen a complir una sèrie de normes. El Banc Central Europeu va estudiar si emetre recomanacions però van optar per no publicar-les.

- ¿Ni tan sols després de l'escàndol de l'espionatge massiu de la NSA?

- Hi ha acords internacionals de cooperació per compartir informació d'atacs entre països. No tenim ni confidencialitat ni privacitat si no xifrem la informació. Si et poden veure al carrer, et poden veure a internet. Un correu electrònic és com una postal: el pot veure qualsevol. El cas més evident és Gmail, que rastreja el correu per posar-hi publicitat, però es pot fer amb tot. Les persones anònimes se suposa que no tenen interès per a un delinqüent però un polític o un empresari…

- ¿Què passaria si un dia hi hagués un apagada general d'internet?

- Hem d'intentar de totes les maneres que això no arribi a passar, que les xarxes siguin al màxim de robustes possibles perquè en depenem molt. Hi ha criteris sobre incidents de seguretat informàtica que obliguen a informar sobre cobertura i nombre d'afectats. I igual que un hospital ha de tenir dos subministradors d'energia, els equipaments crítics haurien de tenir dos proveïdors d'accés a internet.

Notícies relacionades

Una fallada en el cor del 'software' lliure

Internet, seguretat en dubte

- ¿Quina lliçó s'ha de treure del cas Heartbleed i la NSA? 

- Que el que no fem nosaltres no ho farà ningú. Hem de tancar amb clau i usar contrasenyes segures.