Experto: La clave ante las amenazas cibernéticas es concientizar a la ciudadanía

Cada día crecen más las amenazas en el ciberespacio y se requieren herramientas tecnológicas más avanzadas para hacerle frente al crimen organizado.

Para hablar de este y otros temas, CR Hoy entrevistó a Carlos Basteiro Bertolí, abogado y auditor Legaltech de Tactic Legal.

El especialista español en Derecho Digital cuenta con más de 20 años de experiencia en cumplimiento normativo sobre protección de datos y privacidad en el ámbito internacional, Inteligencia Artificial, comercio electrónico y ciberseguridad.

Esta es la entrevista con el abogado especialista en Tecnologías de Información y Comunicación (TICs), quien participó en el Digital Trust Summit: Banca y Ciberseguridad 2025.

¿Cómo hacerle frente a esta creciente cantidad de amenazas en el ciberespacio?

Se necesita mucho la intervención de los estados, del apoyo, no se puede hacer solo desde una empresa privada o pública, lo que es muy importante es la concienciación de la ciudadanía.

Por eso digo que tiene que haber un soporte de los estados, porque es necesario que el ciudadano sepa qué es este tipo de tecnología y los riesgos que tienen sin asustarles, o sea, que se familiaricen con esta tecnología, pero que sepan cuáles son las medidas mínimas que tiene que tomar antes de utilizarla, o qué hacer ante una llamada que es aparentemente de un desconocido.

Costa Rica es un país muy digitalizado bancariamente, todo el mundo tiene Sinpe y hace transacciones. Eso también significa riesgos, ¿cómo proteger a los usuarios?

Algunas instrucciones: Siempre es la doble comprobación, el doble check. Pero hay algo que es importantísimo, tu banco nunca te va a pedir por teléfono datos personales, ¿por qué? Porque la banca ya te conoce, la banca sabe quién eres.

No pedirá ni tu clave de acceso personal, ni la clave de la tarjeta de crédito, ni ningún dato de estos.

¿Qué instrucciones daría? Si recibe una llamada que no es normal que la banca te realice, lo que solicitará será, pues que se presente en alguna de sus oficinas, pero no que haga una acción digital a través de un enlace, ni que facilite información a viva voz.

Ante la proliferación de los deepfakes, ¿cómo saber que la persona que afirma que está al otro lado del teléfono es realmente quién dice ser?

Es un cambio de mentalidad, tenemos que cambiar de hábitos.

Igual que nos hemos acostumbrado con la banca online, la facilidad de hacer una transferencia a través del número de teléfono y utilizando el número de cuenta, es lo mismo cambiar hábitos de concienciar al cliente de lo que puede y lo que no debe hacer.

Hay una parte de responsabilidad de gestionarlo bien, informarnos de lo que puede pasar y lo que no puede pasar, pero también desde un punto de vista social, que se tendría que llevar otro tipo de instituciones sociales, o sea, hacer campañas de protección de consumidor financiero, ONGs y las instituciones políticas también deberían hacerlo.

En lo que se está haciendo muchos movimientos en Europa que puede servir de ejemplo, no es tanto este dirigido a la banca, pero sí en los sectores digitales de Internet: es en las escuelas.

Es sensibilizar desde pequeño porque las nuevas generaciones han tomado mucha confianza en las redes, confían en la red y lo es importante educarlos de que la información tiene un valor y tienen que cuidarla, porque si se es el titular de esa información, tiene que cuidar cómo la facilita y a quién se la facilita. Y desde las escuelas también se puede enseñar como módulos formativos.

¿Qué elementos se están utilizando para proteger más el acceso a cuentas bancarias?

La tendencia es el doble factor de autentificación.

Se debe asegurar, el proceso y los dobles o los triples factores de autentificación son un buen medio, que puede ser desde reconocimiento facial, pero este también tiene sus riesgos o con PIN específico a su teléfono con código por uso por una única vez.

Utilizar la banca online está muy bien, pero también tiene que saber que utilizar un SMS y equivocarse en una cifra en una transferencia tiene sus consecuencias.

Es verdad que en este tipo de transferencias entre las ventajas que tiene es que se pasa el dinero inmediatamente y tendría que conseguir un tiempo de retención de ese dinero, como un doble factor también de verificación para poder recuperar el dinero, retornarlo si ha habido algún error.

Y esto se podría hacer por ejemplo como fondos que aseguren este dinero y aunque el usuario lo reciba inmediatamente, quede reservado para ciertas incidencias de recuperar el monto; cuando el usuario que ha recibido el dinero no quiere devolverlo y no es el autorizado, pues se pueda recuperar, no a lo mejor el 100%, pero sí un porcentaje de esto.

En cuanto a legislación, Europa sí la tiene en materia de privacidad de datos. ¿Cuál ha sido la experiencia?

Ha calado muy bien y se ha hecho un proselitismo sobre los derechos de ciudadano, pero ha sido un trabajo en paralelo de muchos agentes protectores de este sector, tanto desde público, como el sector, así como desde la educación al ciudadano, cuando ha entendido la importancia de que él es el titular de esos datos y que es responsable de que los da.

Por ejemplo, ¿qué contamos de las redes? Si yo estoy publicando a todo el mundo en Instagram, que estoy en las islas Seychelles, si saben que yo vivo en tal calle, saben que no hay nadie en esa casa, entonces, yo soy responsable también de esto, esa es privacidad.

Ha sido todo un compendio de situaciones que ha facilitado tanto que la sociedad esté más sensibilizada de sus derechos, pero que el sector privado también tenga obligaciones, porque ha habido unas sanciones muy altas económicamente, porque se ha incumplido la normativa de protección de datos.

Quizás lo que es necesario no gusta, pero es que el sistema de inspección pública y de sanción sea más contundente también para que haya buena reacción por parte de otros sectores.

En su experiencia, ¿la gente se está volviendo más consciente de la privacidad de sus datos?

Tenemos estadísticas no solo de Europa, sino fuera de ella, que la ciudadanía cada vez más consciente; ha habido, como hemos explicado, un desarrollo normativo a nivel global, a nivel mundial, enorme de normativa de privacidad y eso implica que cada vez hay más interés y a los gobiernos les interesa la regulación porque también hay una presión por parte de la ciudadanía de que esto está regulado.

Pero es tiempo al tiempo como se dice, se necesita ser constante en esta materia desde lo que pasa.

La legislación no siempre va al mismo ritmo de la tecnología. ¿Qué se puede hacer?

Tenemos que avanzarnos antes de que el Estado, donde el proceso legislativo es lento y complicado, pero también por unas garantías democráticas -no nos engañemos- que necesita ese proceso, no lo podemos acortar, pero como ya tenemos elementos, ya sean de organizaciones como son bancarias, que es la normativa del PCI Compliance, que es sobre el uso de los datos de las tarjetas de crédito, tenemos normativa, por ejemplo, la europea para tomar esos estándares y los podemos aplicar en nuestro ámbito societario, nuestra empresa.

No tenemos que tener miedo de que esto no me aplica, pero si se aplica a ellos, si está funcionando, ¿por qué no me puede funcionar a mí? Y adelantarnos con estos estándares adaptándolos a nuestra realidad.

Pensemos que igualmente la normativa actual de Costa Rica que se está modificando sobre privacidad es la que replicaba a la normativa europea, que era una directiva anterior que se modificó en el 2016 y ahora lo que está haciendo es adaptándose porque está funcionando.