Selva Orejón: “No som conscients de la quantitat de dades personals que hi ha a la xarxa explotables per un criminal!”

Selva Orejón és pèrit judicial especialitzat en identitat digital, reputació i ciberinvestigació. És una dona en un sector que, a priori, el lector podria pensar que està dominat per perfils masculins. Pionera en ciberseguretat a Espanya, Selva Orejón va ser una de les guardonades als Premis DonaTIC 2022, atorgats pel Govern de la Generalitat de Catalunya, que van néixer amb la finalitat d’aixecar el sostre de vidre existent en el sector tecnològic pel que fa a la presència de les dones. 

Llicenciada en Ciències de la Comunicació per la Universitat Ramon Llull (Facultat Blanquerna), Selva Orejón està especialitzada en Publicitat i Relacions Públiques i Gestió de Crisis. A més, és Diplomada en Intel·ligència al Servei de l’Estat i l’Empresa per Universitat Internacional d’Andalusia (UNIA) i Diplomada a Business Organization and Environment per la University of Cambridge. Recentment, va participar en un col·loqui organitzat pels Estudis de Dret i Ciència Política de la UOC sota el títol “Seminari d’inserció professional: què poden aportar les persones expertes en ciberdelinqüència?”, on va intervenir al costat dels experts Tomás Roy, de l’Agència Catalana de Ciberseguretat, i Marc Nieto. Fa 15 anys va crear onBRANDING, una consultora especialitzada en protecció de la identitat digital d’empreses i personatges públics. Ella i el seu equip acompanyen els seus clients en la gestió de crisis digitals, campanyes que afecten la ciberseguretat i la reputació online. 

Dona i ciberseguretat. No són dos conceptes que poden semblar difícils de casar?

Doncs no! Està ple de dones en el món de la ciberseguretat i més encara en el món de la ciberinvestigació. De fet, a l’equip d’onBRANDING som més dones que no pas homes. Als cossos policials també hi ha moltíssima paritat, en matèria de ciberseguretat. Potser, si mirem les dades des d’una perspectiva macro, és una altra història, però la meva realitat és aquesta. Segurament em relaciono amb moltes més dones que no pas homes, en l’àmbit professional. 

L’anàlisi de la intel·ligència és de les dones!

Jo vinc del vessant de comunicació i he virat a poc a poc cap a la seguretat i la investigació, i per això sempre he tractat amb moltes dones. Abans, en els congressos de ciberseguretat, sobretot en enginyeries informàtiques i telecomunicacions, hi havia molts homes, però no passava el mateix en ciberseguretat i superintel·ligència. 

Guanyadora dels Premis DonaTIC 2022. Enhorabona! Què significa per a tu aquest guardó?

Per mi va ser molt satisfactori. Mai havia estat conscient de la quantitat d’anys que portava tirant endavant l’empresa fins que em van donar el premi. Això també implica una certa responsabilitat, i em va donar molta alegria perquè vaig compartir-ho amb persones amb les quals fa molts anys que treballo. De fet, va ser com una espècie de tancament d’etapa: vaig mirar enrere i em vaig adonar que tancava l’etapa d’startup i començava a caminar de ple cap a una empresa gran i consolidada. Som 26 treballadors, en aquests moments… i vaig començar jo sola ara fa setze anys!

Per què vas decidir introduir-te en aquest món?

Mai he sabut fer només una sola cosa. L’any 2006 vivia a Berlín, i vaig viure una situació molt crítica que vaig preveure que podria passar a Espanya en un futur pròxim. Ens van hackejar la base de dades de l’empresa on treballava. La conseqüència va ser que un noi de tan sols vint-i-un anys va fer pública la base de dades dels nostres clients, del qual va penjar un vídeo a xarxes amb dades molt sensibles. Va demanar un rescat a canvi de les dades, però al cap de poc el va trobar la policia i es va acabar suïcidant. 

A banda d’una enorme desgràcia, això va generar un canvi dins meu. Quan vaig tornar a Espanya, em van localitzar diverses empreses que eren clara competència de la nostra. Vaig treballar, primer a Planeta i després a Repsol, com a responsable de comunicació i reputació online. Vaig començar a estudiar com repercutien reputacionalment certes accions materials o digitals a les empreses. La meva especialitat ha estat sempre la gestió de crisis: i la seguretat hi està molt lligada. Com ara aquesta seguretat també és digital, els riscos es multipliquen. Tota la vida m’ha encantat l’anàlisi d’intel·ligència i el mercat del crim: saber què és el que es fa amb les dades que es roben, per exemple, quan hackegen una empresa. 

Diplomada en Intel·ligència al Servei de l’Estat i l’Empresa. Això sembla de pel·lícula!

Que va! És el meu dia a dia. Ara sí que hi ha màsters, postgraus, estudis diversos… Quan jo estudiava la carrera ningú em va dir que hi havia totes aquestes possibilitats. Crida molt l’atenció, però l’anàlisi d’intel·ligència s’ha utilitzat des de sempre al llarg de la història. L’anàlisi estratègica, de fet, ve de la intel·ligència militar: el DAFO, perquè et facis una idea, ve d’allà! Quan una persona treballa en una agència d’intel·ligència, pot tenir un perfil de camp o pot ser un analista d’intel·ligència, que pot dedicar-se a l’anàlisi de satèl·lits, l’anàlisi de les imatges tradicionals…

Les persones que estudien aquesta disciplina poden triar tant el vessant del funcionariat o poden ser, dins de l’empresa, un analista d’intel·ligència pur. A onBRANDING tenim una unitat d’operacions que està formada per la unitat de ciberinvestigació (assetjament, extorsió o cibercrim), la unitat de ciberintel·ligència (un vessant que tracta les oportunitats de les empreses que poden ser explotables, com ara la compra de dominis web molt semblants als originals o documents filtrats) i la unitat de reputació online (que es dediquen a trobar qui són els detractors de la marca o, per contra, qui pot esdevenir un potenciar influenciador).

Com a experta en ciberseguretat, quins problemes tenim avui dia?

No em considero experta, sinó especialista. El principal problema que tenim i que és enorme és que no sabem quina és la nostra identitat digital. No hi ha gens de consciència a nivell ni empresarial ni domèstic. No sabem la quantitat de dades que hi ha a la xarxa explotable per un govern aliè, una persona qualsevol o un grup criminal aliè. Hi ha molt de desconeixement, i també succeeixen molts fets que denoten que la nostra societat encara és molt confiada. 

Jo soc de poble, i recordo fer la migdiada amb les portes obertes. Al cap d’uns anys vam començar a tancar les portes de casa, i després vam passar a posar alarmes de seguretat. Ens està passant el mateix en l’àmbit digital. La realitat està canviant, però encara som molt ben pensats. A més, la gent no és conscient de la gravetat dels problemes. Només dos cops a la vida ha vingut gent a fer un treball de prevenció, la majoria que ens arribem ja venen en situacions d’alt risc. 

Ciberseguretat i geopolítica. Sembla que van de bracet el dia d’avui, oi? Em pot posar algun exemple?

Avui he fet una reunió de gestió de crisis d’una empresa que necessita estar al corrent de la geopolítica perquè té moltes filials a països en guerra o preguerra. Solució: hem de tenir informants sobre el terreny que ens actualitzin sobre la situació en aquests països perquè l’empresa pugui prendre les decisions adequades i preveure els diferents escenaris. 

Fa poc, per exemple, me n’havia d’anar a Ruanda per presentar el CyberTech. Finalment, no ho vam fer, ja que no ens donava suficient confiança el fet que jo marxés allà amb la situació que s’estava vivint al país. Ara ens hem d’apropar a Níger, i estem valorant si hi podem anar. Durant el procés, sense anar més lluny, vam tenir molta feina en el boicot de productes catalans. També durant les manifestacions que van convocar-se a Barcelona: per poder preveure si els bancs havien de protegir les seves oficines o no del vandalisme.

Què recomanaria Selva Orejón en l’àmbit d’usuari? Estem molt desinformats i desprotegits?

Algunes de les coses més essencials que caldria fer són: activar alertes de contingut amb el teu nom i cognoms del DNI, els teus números de telèfon, les matrícules dels cotxes o el teu número de la Seguretat Social. També és interessant fer-ho amb alguna paraula negativa associada a la teva persona o professió, i activar el doble factor de verificació a totes les xarxes i canals que facis servir. Mirar molt bé la configuració de privacitat de tots els xats, mai connectar-se a la xarxa sense una VPN, tenir un duplicat de totes les SIM que utilitzis per no perdre mai de forma definitiva el teu telèfon o posar un protector de pantalla a les càmeres dels dispositius.