• Home
• eTransformación
• Soluciones
• Productos
• Empresa
• Prensa

"La identidad digital va a jugar un papel muy relevante en la nueva era transaccional que vive Internet"

Marcos Gómez, subdirector de eConfianza del Instituto Nacional de Tecnologías de Comunicación (INTECO)

Marcos Gómez, subdirector de eConfianza de INTECO, dependiente del Ministerio de Industria, Turismo y Comercio, nos explica en esta entrevista la importancia que este nuevo concepto acuñado, junto con la identificación digital, tiene en el desarrollo de la Sociedad de la Información, así como la evolución que están experimentando las amenazas presentes en la Red, entre otros aspectos.

¿Qué se entendería por eConfianza?

eConfianza o Confianza Electrónica es la nueva denominación de Seguridad Informática en la Sociedad de la Información. Dentro del Plan Avanza, en el Área de Contexto Digital, se definió la línea de eConfianza para desarrollar las distintas actuaciones en materia de seguridad informática con los objetivos principales de prestar servicios a la pyme y el ciudadano español, elevar la cultura de seguridad y concienciación en esta materia. El objetivo principal es aumentar la confianza del ciudadano y la pyme española en Internet y sus ventajas.

En este sentido, INTECO ha sido designado en este Plan Avanza del Gobierno como principal organismo para desarrollar las actuaciones en materia de confianza electrónica, con proyectos como:

• El Centro Nacional de Respuestas a Incidentes en Tecnologías de la Información para pymes y ciudadanos (INTECO-CERT, Computer Emergency Response Team), que integra el exitoso proyecto del Centro de Alerta Temprana Antivirus (CATA), centro que prestará servicios de respuesta frente a incidentes.
   
• El Centro Demostrador de Seguridad para Pymes, que desarrolla un catalogo de referencia de soluciones de seguridad para la pyme, impulsa el uso de tecnologías de seguridad en el tejido industrial español y la concienciación de la pyme en materia de seguridad informática, es decir, la principal actuación en materia de política industrial en el sector de las tecnologías de seguridad.
   
• El Observatorio de Seguridad de la Información, proyecto que desarrolla numerosos estudios e indicadores que describen el panorama de la seguridad en España y que apoya la puesta en marcha de políticas publicas en este ámbito.

La eConfianza, ¿sería por tanto el principal punto de apoyo de la conocida como Sociedad de la Información?

Sería uno de los principales puntos de apoyo desde luego, pero al tratarse la seguridad de la información una línea horizontal que influye en toda la cadena, deben tenerse en cuenta otros puntos de apoyo en los que ya se está haciendo un gran esfuerzo como la Administración Electrónica, el comercio y banca online, el DNIe, etc.

¿La usabilidad podría englobarse dentro de la eConfianza?

Es un factor a tener en cuenta, pero de nuevo nos encontramos ante un tema muy horizontal que afecta a otras líneas. No se puede entender la integración de sistemas o aplicaciones que integran seguridad sin una componente ineludible de usabilidad que hace que dichos sistemas o aplicaciones sean de uso fácil o intuitivo. Una aplicación, sea o no sea de seguridad, sin la virtud de la usabilidad pierde muchos enteros porque complica la configuración, el uso diario, la explotación de sus funcionalidades. Es un factor de éxito que está siendo muy bien entendido por los fabricantes para conseguir convencer al mercado que no es un obstáculo para la utilización de los productos.

Las previsiones apuntan a que el número de intentos de fraude a través de Internet va a superar, este año, las cifras de 2006. Durante estos primeros meses de 2007, asimismo, estamos asistiendo a los primeros ataques maliciosos de phishing a entidades no financieras. ¿Consideraría, por tanto, que el usuario debe actuar cada día con mayor cautela?

Ya en el año 2004, desde INTECO se tuvo conocimiento de un ataque contra organismos o entidades que no son espacialmente del mundo de la banca online o el comercio electrónico, como por ejemplo proveedores de servicios de correo electrónico gratuito o administraciones electrónicas. Estos nuevos incidentes en los comienzos del 2007 nos hace pensar que de nuevo el mundo del fraude online gira hacia nuevos focos para hacer dinero por parte de los ciberdelincuentes. La evolución del ciudadano deber ser lo más en sintonía posible con estas nuevas amenazas.

INTECO, gracias a los estudios que realiza, a la potente Red de Sensores de seguridad que tiene desplegada(mas de 100 organismos públicos y privados que colaboran con INTECO a los que no cansamos de agradecer su colaboración e inestimable ayuda para detectar nuevos incidentes en la red española) y a la experiencia de los técnicos en el día a día, pone a disposición del ciudadano la información más actual y contrastada en materia de seguridad, con consejos, herramientas de seguridad gratuitas, noticias de seguridad, alertas y boletines, etc. Los nuevos fraudes son mas sofisticados, pero un factor de éxito del atacante sigue siendo el uso de ingeniería social acudiendo al engaño del usuario, por lo que si disponemos de herramientas de seguridad y somos cautos es bastante más difícil que nos afecte un incidente de esta índole.

Si bien el phishing es el intento de fraude con mayor peso en la Red, ¿a qué respondería que, tal y como reflejan las cifras, las actividades fraudulentas cometidas a través de troyanos estén aumentando en relación a las realizadas por medio del phishing?

En INTECO disponemos ya de datos a nivel nacional que describen este fenómeno. La tendencia de virus informáticos como se conocían hace 3 o 4 años ha disminuido considerablemente. Ahora tan sólo un 18% de las amenazas son virus informáticos (gusanos, virus de puerta trasera, bulos y hoax, etc.), mientras que los troyanos, con un 40%, y el spyware, con otro 40%, son las amenazas más extendidas. INTECO las cataloga como amenazas silenciosas ya que ocultan su actividad al usuario y persiguen el robo de credenciales personales para su uso fraudulento y otras acciones maliciosas como convertir ordenadores o servidores en máquinas comprometidas que pueden dar lugar a los famosos zombies, botnets, etc., que pueden servir para el envío de spam, ataques de denegación de servicio, alojamiento de contenidos maliciosos o inadecuados, etc.

Ante esta variedad y proliferación de las amenazas, ¿el mayor esfuerzo para combatirlas debe centrarse en crear una cultura de seguridad adecuada y al alcance de todos los usuarios? ¿El factor humano es más importante que el tecnológico en este ámbito?

Los consejos en este caso son mantener el sistema protegido con soluciones que integren varias funcionalidades de seguridad (antivirus, antispam, cortafuegos, antispyware, antiphishing, etc.) disponibles todas ellas por ejemplo en www.inteco.es o en las páginas de fabricantes, actualizar nuestro sistema con los parches y actualizaciones que recomiendan los fabricantes, hacer un uso adecuado o con sentido común del correo electrónico, navegación, mensajería instantánea, P2P, etc.

El factor humano se mide en cuanto a lo informado que está el ciudadano, el sentido común con el que usa la red, la cautela, es decir, la cultura de seguridad. La tecnología es segura y cuando se descubren agujeros de seguridad el fabricante reduce al máximo la ventana de inseguridad de la aplicación o producto sea cual sea el software o el hardware, y el atacante intenta buscar "agujeros" mas vulnerables como la confianza del usuario.

El correo electrónico es una de las herramientas que más sufren este tipo de acciones malintencionadas. ¿Cree que todavía le queda un largo camino para que sea una forma de comunicación totalmente segura y confidencial?

En este mundo tan cambiante es difícil expresarse en términos de tiempo, unos meses en la red pueden significar años en otros ámbitos como la investigación por ejemplo en materia de salud. La integración de la firma electrónica, el uso de tecnologías como SPF (Sender Policy Framework), el papel de las operadoras, el uso adecuado por parte del usuario, la llegada del DNIe, las tecnologías cada vez más avanzadas en materia de antispam, la regulación adecuada, etc., son ejemplos de mejora de esta ventajosa herramienta de comunicación. Quizás utilizar el adjetivo de "totalmente" sea inadecuado, la máxima de que no existe el 100% de seguridad se cumple también en este campo.

Usted participó en la última edición del Internet Global Congress como moderador de una mesa redonda dedicada a la Identificación Digital. ¿Cuáles fueron las principales conclusiones que se extrajeron de este coloquio?

Las principales conclusiones que se obtuvieron de esta interesante sesión fueron:

• La identidad digital va a jugar un papel muy relevante en la nueva era transaccional que vive Internet.
   
• Las bases nacionales en cuestiones de impulso a la identificación digital y la certificación electrónica en la red están suficientemente aposentadas con proyectos como el DNIe o las plataformas de interconexión de la Administración Pública entre distintos certificados por ejemplo. El siguiente paso es una labor ineludible del sector privado para integrarse en esta línea de impulso para apoyarse en la identidad digital.
   
• La identificación digital va más allá de los atributos clásicos de un ciudadano en Internet como su nombre, apellidos, correo electrónico, etc. La nueva identidad digital contempla los aspectos realmente relevantes de la identidad, es decir sus capacidades como ciudadano en la red (un médico, un abogado, un notario, un consultor, etc.) y como herramientas de identificación y el traslado de sus aptitudes a la red.
   
• La identidad digital contempla en sus distintos desarrollos y servicios añadidos múltiples funcionalidades de seguridad o confianza electrónica, y debe ser una herramienta de barrera al robo de identidad en la red, a la suplantación y la sustracción de credenciales personales.

En una sociedad en la que cada vez están al alcance del ciudadano un mayor número de trámites y gestiones en formato electrónico, parece lógico que uno de los mayores esfuerzos se concentre en el campo de la identidad digital. A nivel tecnológico se están dedicando grandes esfuerzos para desarrollar certificados robustos y seguros, pero ¿cree usted que el conjunto de la ciudadanía está preparada para operar con ellos?

En España, efectivamente, se están realizando esfuerzos muy importantes desde el ámbito público y privado. Afortunadamente la cultura sobre el uso de un identificador a través del DNI hace que de forma natural el ciudadano se incorpore a la identidad digital con el nuevo DNIe, el cual gracias a los esfuerzos de toda la administración, especialmente del Ministerio del Interior, dispondrá del mismo en un plazo razonable. Hace unos 10 años nos preguntábamos si el ciudadano estaba preparado para el uso de otras tecnologías como los dispositivos móviles, las cámaras digitales, etc.

Es lógico pensar que cuando se haya producido el despliegue habrá como siempre sectores minoritarios a los que les cueste más el uso de esta identidad digital, pero se están sentando las bases para que esta incorporación a operar con nuestra identidad digital sea natural y eficiente. España cuenta actualmente con numerosos servicios asociados al DNIe o a otras formas de identidad digital en la red, e industrias como la administración electrónica, el comercio y la banca online, la eSanidad, etc. serán facilitadores del uso de dicha identidad digital. Debemos ser optimistas y positivos y pensar que aunque en otras iniciativas el ciudadano dispuso de tecnologías que llevaba en el bolsillo pero que no usaba porque no sabía usarlas o porque no existían servicios para usarlas, en este caso la inercia es muy distinta.

En mayo se presentó el CERT (equipo de respuesta a emergencias informáticas) para Pymes y ciudadanos del INTECO. ¿Cuál será su misión? ¿Tendrá un papel más bien reactivo o preventivo ante los incidentes de seguridad?

La misión del CERT de Inteco o INTECO-CERT será la de elevar el grado de confianza de las pymes y ciudadanos en las TIC e Internet. Nace de la demanda de dar servicio al tejido industrial español, del cual el 94% está formado por pymes. Dispondrá de los servicios clásicos de un Computer Emergency Response Team o CERT, que son servicios reactivos ante nuevos incidentes que ayuden a recuperar sistemas o información, y con servicios preventivos y de formación que aumenten la cultura de seguridad, la confianza y el grado de sensibilización de pymes y ciudadanos.

Pero INTECO está trabajando, apoyándose una vez más en los estudios que ha realizado de la demanda de necesidad, del diagnostico de seguridad en España, para desarrollar servicios diferenciales que sitúen al Centro como referente a nivel nacional y mundial. Ya se están elaborando protocolos de coordinación con el IrisCert, CCN-Cert, etc. para trabajar en la misma dirección, se va a participar muy activamente en el FIRST  y en los grupos de trabajo de Terena y la ENISA a través de la SETSI del Ministerio de Industria, Turismo y Comercio, referentes mundiales de seguridad de la información y equipos de respuesta, etc.

Los datos que obtiene INTECO de sus diferentes estudios a través del Observatorio de Seguridad de la Información, la Red de Sensores de INTECO y un amplio equipo experto en seguridad informática serán los puntos fuertes de este Centro de Respuesta. Además INTECO ha tenido en cuenta que ya existe un mercado que presta servicios de seguridad a pymes y ciudadanos por lo que otro de sus objetivos es potenciar e impulsar el uso de tecnologías de seguridad para estos públicos objetivos.

¿Las pymes dedican, en general, suficientes recursos a la seguridad informática?

Los datos que posee INTECO sugieren que queda todavía un camino importante por recorrer. En el uso de herramientas básicas de seguridad como el antivirus, España está a la cabeza de Europa con más del 85% de pymes que disponen de estas soluciones, pero necesitamos crecer en uso de herramientas mas completas, en disponer de políticas de seguridad o sistemas de gestión de seguridad e la información, en disponer de responsables de seguridad o técnicos que protejan la infraestructura de las pequeñas y mediana empresas.

Las iniciativas de INTECO y del Gobierno van encaminadas a elevar la cultura de seguridad de pymes y ciudadanos, a generar la confianza para que se apoyen cada vez más en las TIC para el desarrollo de su negocio, a potenciar las tecnologías de seguridad y a seguir estudiando de manera dinámica la evolución de la seguridad informática para proveer de políticas y actuaciones acordes con la situación en cada momento.

¿Le gustaría añadir algún comentario más?

En el pasado Día de Internet se invitó a los ciudadanos que aún no eran usuarios de la red a participar en ella, a formar parte de la misma, a empezar a disfrutar de las ventajas. INTECO está en sintonía con este mensaje, debemos empezar a nadar, soltarnos, tragar un poco de agua, y comenzar a manejarnos en un ámbito lleno de posibilidades.

Compartir esta información:

¿Qué son estos iconos?

• Acerca de netfocus

  • Quienes somos
  • Nuestra misión
  • Nuestro inversor
  • Dónde estamos

• Sala de Prensa

  • Noticias y Eventos
  • Newsletters
  • Artículos
  • Netfocus en imágenes
  • Apariciones en Medios
  • Información corporativa
  • Libro de Estilo
• Bolsa de Trabajo

• Contactar