No suele recomendarse empezar un libro por el final. Pero, a veces, romper las reglas tiene sentido. En el caso de Mentalidad inhackeable (2025, Penguin Random House), merece la pena comenzar por el epílogo. En él, su autora, María Aperador, cuenta cómo llegó al punto vital en el que se encuentra como una de las divulgadoras de ciberseguridad más populares de habla hispana.
De su periplo vital, Aperador destaca que, de pequeña, la reprendían en clase por hablar demasiado. Pero que, precisamente, esa habilidad que le intentaron hackear es la que la ha llevado a informar exitosamente, con claridad y sencillez, sobre un tema bastante áspero para el común de los mortales.
Lee tambiénLa 'sextorsión' es más habitual que nunca en verano: cómo puedes escapar de esta estafa digital que ataca a tu privacidad más íntima
Charlamos con la criminóloga de 28 años sobre la importancia de un cambio de mentalidad en nuestro día a día como clave para nuestra autoprotección, de la importancia de desarrollar un buen juicio crítico y de cómo el crimen de siempre ha terminado por asentar el prefijo ciber-.
¿Qué significa tener una “mentalidad inhackeable”?
“Mentalidad inhackeable” era una expresión que me parecía empoderante. Sí que es verdad que corrí el riesgo de que resultara una palabra demasiado técnica, que pudiera echar un poco para atrás a las personas a quienes precisamente va dirigido el libro, pero creo que tomé la opción correcta. Entonces, tener esta mentalidad significa conocer las habilidades que tienen los ciberdelincuentes y quienes intentan engañarnos por internet. Es un libro que, más allá de trucos antifraude, sirve para entender cómo logran desarticular nuestro paradigma mental para que caigamos en sus trampas. Si somos conscientes de esas tretas, se lo pondremos más difícil
María Aperador junto a su libro 'Mentalidad inhackeable'.
Entonces se trata de un libro para un público generalista.
Gracias a mi formación y experiencia, con el tiempo he aprendido a detectar cuando me están intentando engañar en internet. Así que pensé: ¿por qué no transmitir todo ese conocimiento en un libro para que todo el mundo pueda desarrollar también esa capacidad de detección? Así que sí, la gran mayoría de mi contenido —por no decir todo— está dirigido a la población en general.
No hace falta entonces ser un hacker para tener una mentalidad inhackeable.
Para nada. Simplemente, se trata de conocer cómo actúan para poder protegernos.
Para tener una mentalidad inhackeable primero hay que empezar por conocer nuestras debilidades. Hay que saber por dónde nos pueden atacar
El libro se desglosa de menos a más. Primero se enfoca en una especie de “conócete a ti mismo” antes de llegar a consejos más concretos de protección en Internet. ¿Por qué? ¿Por qué no limitarse a dar un decálogo de buenas prácticas defensa?
Yo vengo de la rama de la criminología, donde estudiamos la parte sociológica del comportamiento de las personas. Después estuve dos o tres años profundizando en cómo funcionan las estructuras sociales, lo cual me ha dado una visión muy holística de los problemas. Los criminólogos somos capaces de analizar una misma situación desde diferentes perspectivas, de entender de dónde vienen los problemas y cómo se conectan distintos factores. Por eso, para mí es importante que las personas no se centren solo en vectores micro.
¿Qué significa eso?
Lo micro, por ejemplo, sería cambiar las contraseñas cada tres meses. Eso está bien, pero si no entiendes realmente de dónde viene el problema ni la magnitud que tiene, no vas a incorporar esas estrategias de protección. Te va a parecer absurdo. Te dicen: “Cambia las contraseñas cada tres meses” y tú piensas: “Uf, qué pereza”. Pero si entiendes el problema desde una perspectiva global, desde un nivel macro, entonces eres capaz de ver el impacto que puede tener el no hacerlo. Por eso decidí empezar por la introspección. Para tener una mentalidad inhackeable primero hay que empezar por conocer nuestras debilidades. Hay que saber por dónde nos pueden atacar.
Lee también
Las posibles víctimas tienen que empezar a responsabilizarse de su propio cuidado.
Esto es algo que desde la victimología se ha estudiado mucho. Es cierto que hay personas que, a veces, se colocan a sí mismas en situaciones de riesgo. Por ejemplo, si ahora te vas a un barrio conflictivo a las cuatro de la mañana y te pones a dar vueltas, estás aumentando las probabilidades de que te ocurra algo malo. En ese caso, eres tú quien se ha puesto en esa situación de vulnerabilidad. Lo cual no excusa, por supuesto, al maleante. También es verdad que hay personas que, por el momento vital en el que se encuentran, por sus capacidades cognitivas, sociales, sus conocimientos tecnológicos o muchas otras variables, son más propensas a ser engañadas en internet. Y además, los ciberdelincuentes saben muy bien con qué tipo de personas están tratando.
¿Podrías exponer un caso de este tipo de aprovechamiento de las vulnerabilidades?
Hace apenas un par de semanas, conocí el caso de un chico que fue estafado a través de una supuesta inversión en criptomonedas. La chica con la que estuvo hablando logró crear con él una relación casi de amistad. No le preguntaba tanto por inversiones como por su vida personal. Y cuando identificó sus puntos débiles, sus carencias emocionales, empezó a explotarlas para que él fuera invirtiendo cada vez más dinero. Entonces, si utilizan nuestras vulnerabilidades para engañarnos y sacar provecho de nosotros, tenemos que conocernos bien. Saber en qué punto estamos y por dónde pueden atacarnos. Si yo, por ejemplo, soy una persona a la que le gusta que le alimenten el ego, tengo que ser consciente de que si alguien empieza a decirme ciertas cosas, quizá no lo hace por admiración sincera, sino como estrategia para manipularme. Conocerse a uno mismo es clave para poder protegerse.
Lee también
¿En qué sector poblacional detectas más vulnerabilidad a la hora de sufrir una estafa en internet?
Pues es una muy buena pregunta. Habría que separar a la población según el nivel de conciencia que tienen respecto a la seguridad digital, y también por segmentos de edad… Muchas veces, las personas mayores, por lo general, tienen menos habilidades tecnológicas y, por tanto, no son las más capaces de detectar las amenazas. Pero, sorprendentemente, los adolescentes y los adultos jóvenes también tienden a ser engañados con facilidad. ¿Por qué? Porque tienen una menor aversión al riesgo, se arriesgan más, y acceden a páginas o sitios dudosos para conseguir cosas como entradas para discotecas, conciertos, etc., lo que los expone mucho más.
En el libro hablas de protegerse de “los malos”. ¿Quiénes exactamente pertenecen a esta categoría? Porque no todo hacker es necesariamente maligno.
Estoy de acuerdo. Dentro del colectivo de personas que se dedican al hacking, está muy mal visto —y es algo contra lo que llevan luchando mucho tiempo— que se utilice la palabra hacker para referirse a un ciberdelincuente. No sé si es una cuestión más del idioma, porque en Estados Unidos sí se usa la palabra hacker de forma más general, pero en el ámbito hispanohablante molesta mucho.
Si estamos acostumbrados a que tal o cual periódico publique siempre titulares exagerados o alarmistas, acabamos normalizándolo. Así, cuando topamos también con una página web falsa, que imita esa misma lógica, es fácil caer, porque ya estamos habituados a ese lenguaje
¿Por qué crees que ocurre esto?
Bueno, un hacker, en realidad, es una persona con pensamiento lateral, con capacidades técnicas, con habilidades muy desarrolladas, que es capaz de acceder a un sistema. Y esta persona puede dedicarse a causas positivas, como hacer un pentest —una simulación de ataque— en una empresa para analizar vulnerabilidades y reforzar la seguridad. Luego está el ciberdelincuente, que es esa persona que usa esas mismas capacidades, pero con fines maliciosos. Ese sería “el malo”, por simplificarlo. Para mí, el malo es quien aprovecha sus conocimientos técnicos y su dominio de la tecnología para robarle a las personas, para quitarles dinero, sus datos, o para atacar a empresas.
Hacen falta cinco capítulos antes de meternos de lleno en los ciberdelitos. Justo antes haces pasar al lector, por una parte, sobre cómo detectar la desinformación y las noticias falsas. ¿Por qué es tan importante para una experta en ciberseguridad incidir en este aspecto?
Me preocupa mucho el hecho de que estemos constantemente expuestos a titulares sensacionalistas que buscan provocar emociones negativas y polarizadas en quienes los leen. Todo esto va moldeando nuestra forma de relacionarnos con la información, y lo hace de una manera perjudicial, porque va en contra del pensamiento crítico que deberíamos tener al enfrentarnos a ciertos contenidos. Si estamos acostumbrados a que tal o cual periódico publique siempre titulares exagerados o alarmistas, acabamos normalizándolo. Así, cuando topamos también con una página web falsa, que imita esa misma lógica, es fácil caer, porque ya estamos habituados a ese lenguaje.
María Aperador, criminología y experta en ciberseguridad.
Buscan la trampa constantemente.
Los ciberdelincuentes se fijan precisamente en eso: estudian lo que es considerado “normal”. Analizan cómo redactan los periódicos, cómo estructuran sus noticias, cómo crean los titulares… y luego lo imitan al milímetro. Por eso es tan importante desarrollar ese pensamiento crítico, contrastar la información y no creerse lo primero que aparece en internet.
Quizá el capítulo más grueso del libro sea el relativo a quién está detrás de los delitos. Desde los lobos solitarios hasta las granjas de ciberesclavos, pasando por el romance scam. ¿Qué patrones o motivaciones comparten todos ellos?
¿Motivaciones? Lucro económico, 100%. Dependiendo de las habilidades que tengan y de lo que quieran hacer, los ciberdelincuentes van a cometer una tipología delictiva u otra. Pueden ser estafadores del amor, pueden duplicar páginas web para que caigas en la trampa... Hay muchas modalidades distintas, pero el objetivo final siempre es el mismo: obtener beneficio económico. Ese beneficio puede venir directamente, por ejemplo, cuando introduces los datos de tu tarjeta y te roban el dinero, o cuando te llaman y consiguen que hagas una transferencia. O de forma indirecta, a través de la venta de nuestros datos robados. Pero siempre, o casi siempre, la ciberdelincuencia viene motivada por el lucro.
Lee tambiénMaría Aperador, experta en ciberseguridad: “Si te llaman 'del banco' diciendo que tu cuenta tiene un problema, ¡cuelga enseguida! Podría ser la nueva estafa que suplanta a ING”
¿No hay grises? El caso de Assange o el de Snowden, por ejemplo. Son los estados los que los consideran delincuentes, pero, desde su punto de vista, el delincuente real se encuentra en la cima del sistema.
Claro, aquí entra en juego la cuestión ética: qué consideramos bueno o malo, y desde qué perspectiva. Hay personas que justifican ciertas acciones porque su autor hizo, supuestamente, un acto revolucionario a sus ojos, aunque en términos estrictos del Código Penal, cometiera un delito. De todas formas, son una minoría. El objetivo en general de todo ciberdelincuente hoy en día es el lucro. Puede que, en los inicios del hacking, muchos empezaran por pura curiosidad, por desarrollar habilidades técnicas.
¿Conoces algún caso?
Claro. Conozco a varios compañeros que empezaron así, hace años, simplemente por pura diversión. Se metían en el Wi-Fi del vecino, y de repente acababan en la web de algún gobierno porque estaba mal protegida. Y claro, veías que podías hacer un montón de cosas, que tenías ese poder técnico, y te lo pasabas bien. Pero todo eso ha ido cambiando. Esa figura más lúdica, más curiosa, ha evolucionado hacia estructuras criminales organizadas. Ya no es un hobby ni una travesura: ahora estamos hablando de organizaciones con fines claramente delictivos y con motivaciones económicas muy marcadas.
Lee tambiénMar López Gil, experta en seguridad digital: “Ponemos contraseñas como 1234, la fecha de nuestro cumpleaños o el nombre de nuestra mascota, pero es fundamental que sean fuertes y únicas para cada sitio”
El caso de las mafias evolucionando hacia la creación de granjas de ciberesclavos me resulta especialmente sangrante…
Es que no es para menos. Una vez, recibí la llamada de una mujer que me confesó que había sido contratada por una empresa falsa y la estaban obligando a estafar a otras personas. Entonces, hay casos en los que estas personas que te llaman para estafarte también son víctimas. La trata de seres humanos ha evolucionado. La prostitución forzada, por ejemplo, se está trasladando a entornos digitales como OnlyFans o las plataformas de webcam. Y en el caso del trabajo forzado, se está viendo que muchas víctimas acaban en verdaderas “granjas digitales”, donde las tienen trabajando horas frente a un ordenador.
Parece un problema a gran escala.
Claro. Les engañan con ofertas de empleo falsas —como una supuesta startup tecnológica— y cuando llegan, les quitan el pasaporte y los aíslan, forzándolos a trabajar allí. Como comentabas, las grandes mafias y organizaciones criminales tradicionales se están digitalizando. Hace poco salió una noticia de que un cártel mexicano había contratado a un cracker para hackear una base de datos del FBI y localizar a un testigo protegido al que luego asesinaron. Entonces, claro, todo esto se está complicando. Las estructuras criminales que antes conocíamos como algo puramente físico ahora se están fusionando con el cibercrimen. O bien contratan técnicos para hacerlo, o ellos mismos aprenden. Es un nuevo nivel… Da para otro libro, desde luego.
Quienes ciberdelinquen es porque están ubicados en lugares donde no se les puede localizar fácilmente, y además tienen unos conocimientos técnicos muy, muy altos
Ya en este, tras enumerar los diferentes tipos de ciberdelincuentes, dedicas unas cuantas páginas a desglosar su psique. Intuyo que la criminóloga que hay en ti te impulsó a ello.
Es que me parece fascinante. Siempre me ha llamado muchísimo la atención todo lo relacionado con el misterio. Mira, cerca de donde vivo hay una casa que lleva muchos años con presencia policial constante. Y yo siempre pienso: “Seguro que ha habido un asesinato o algo así. Tengo que investigar qué ha pasado”. (Risas.) De hecho, todos los escape rooms que hago son de miedo, de investigación, de criminología… porque me encanta. Y, claro, en el libro hay también un poco de sesgo profesional en ese sentido. Me interesa muchísimo entender cómo piensan los ciberdelincuentes, por qué actúan, cómo se organizan… Si pudiera, ojalá pudiera entrevistarlos para saber mejor cómo funciona todo su mundo y comprender en detalle el germen de sus acciones.
¿Nunca te ha surgido la oportunidad?
No, porque no me no me he querido meter en según qué tipo de organizaciones, pero mi compañero Rafa López sí que ha hecho entrevistas a grupos de ciberdelincuentes que se consideran activistas políticos. Te recomiendo que le eches un vistazo a su contenido.
'Mentalidad inhackeable', nuevo libro de María Aperador.
¿Y tú? ¿Nunca te has sentido tentada por el lado oscuro?
No, no, para nada. Es que te acaban pillando. Al final, quienes ciberdelinquen es porque están ubicados en lugares donde no se les puede localizar fácilmente, y además tienen unos conocimientos técnicos muy, muy altos. Así que no, nunca. Yo estoy en ese punto en el que me gusta saber, me interesa mucho entender cómo funcionan, pero yo no haría nada por el estilo.
Hace poco entrevisté a Luis Corrons, de Avast, y hablamos de que su empresa describe su función como la de un evangelista de la ciberseguridad. ¿Tú te considerarías dentro de esta definición? ¿O prefieres más bien el término “mensajera”?
No sé, a mí me llaman de todo: que si influencer, que si tiktoker —lo cual no me gusta nada—. Yo creo que, si tengo que definirme, sería más bien como lo que dices: una mensajera, una transmisora. Ahora mismo, por ejemplo, llevo por bandera la aplicación que estoy desarrollando y que va en la línea de proteger a la ciudadanía: Bevalk.
Un antivirus es de las herramientas que menos conciencia genera. Te lo instalas y piensas que ya eres inmune, que no te va a pasar nada, pero no es así
Suena interesante.
Sé que va a marcar la diferencia en la vida de muchas personas, que puede ayudarles a estar más seguras en internet. Por cierto: no tiene nada que ver con un antivirus. Para mí un antivirus es de las herramientas que menos conciencia genera. Te lo instalas y piensas que ya eres inmune, que no te va a pasar nada. Y no es así. Por eso hago mucho trabajo de concienciación. Ahora mismo no estamos en un punto tecnológico en el que exista una herramienta que detecte automáticamente un SMS de phishing y te lo elimine. Eso no existe aún, o al menos no de forma infalible. Hasta que llegue ese momento, necesitamos soluciones que dependan de nosotros mismos. Herramientas tecnológicas, sí, pero que nos hagan estar activos, presentes, atentos. Porque la verdadera protección empieza por uno mismo.
¿Crees que la gente se toma suficientemente en serio los riesgos que implica Internet?
Grosso modo no, pero para ser justos creo que hay diferentes niveles de concienciación. Por un lado, están las personas a las que todo esto les da absolutamente igual, que creen que nunca van a caer en una estafa, que son inmunes a todo tipo de riesgo y que nunca les va a pasar nada. Luego están quienes han sufrido una estafa en primera persona, o alguien cercano a ellos la ha vivido. Ahí empiezan a darse cuenta de que esto existe, que es real. Y finalmente están las personas que ya son súper conscientes, que están en búsqueda activa de soluciones para protegerse. Esas son las que entran de lleno en mi ecosistema: ven mis vídeos, están suscritas, se han comprado mi libro…
El Govern invertirá 18,7 millones de euros en los próximos doce meses para reforzar la ciberseguridad en todos los ámbitos de Catalunya.
¿Qué tal es la relación con tus seguidores?
La comunidad que tengo es maravillosa, la verdad. La gente agradece muchísimo todo lo que hago. Incluso hay muchos que ya están en la lista de espera de mi aplicación. De hecho, son ellos los verdaderos evangelistas. Son quienes me recomiendan, quienes comparten mis vídeos… Ellos son, en realidad, los grandes mensajeros de todo esto.
¿Crees que alguno de estos seguidores, tras leer tu libro y seguirte un tiempo en redes, podría pasar de ser un crédulo a volverse tan suspicaz con la tecnología como para querer desconectarse por completo?
Soy carne de cañón para recibir mensajes de todo tipo. Desde agradecimientos muy bonitos hasta personas que me dicen que se van a meter en un búnker. También me llegan casos más delicados: mensajes preocupantes de perfiles con claros rasgos paranoides o incluso esquizofrénicos. Hay quien asegura que lo están espiando, que tiene cámaras en casa o que le han metido un virus. Suelen escribir de forma caótica, con patrones que ya reconozco. Algunos incluso me dicen que la vecina los vigila o que escuchan en el supermercado conversaciones sobre cosas que han escrito en su móvil. Al principio intento seguir su hilo, pero rápidamente ves que son historias muy delirantes.
Lee tambiénMaría Aperador, criminóloga: “Si te llaman del banco diciendo que tu cuenta tiene un problema, cuelga enseguida. Podría tratarse de la nueva estafa viral”
¿Podrías darnos un par de claves para mantener nuestra privacidad y nuestra seguridad cuando navegamos por Internet sin tener que recurrir a ningún conocimiento o truco exageradamente técnico?
Yo diría que lo primero es pararse a pensar las cosas un minuto. Si recibes un mensaje que te genera una emoción muy fuerte, como miedo o urgencia, y además te pide que hagas algo, como pinchar un enlace o enviar algo, ahí ya deberías encender las alertas. Ese tipo de mensajes hay que empezar a descartarlos directamente como sospechosos. Y lo segundo es estar informado. No puedes tratar la ciberseguridad como algo ajeno a tu vida. No digo que me sigáis solo a mí, hay más profesionales compartiendo contenido útil; que cada uno elija a quien le genere más confianza. Lo importante es mantenerse al día: leer noticias, conocer nuevos métodos de estafa, entender qué está pasando. Igual que hay quien sigue a diario la actualidad política —que muchas veces solo sirve para ponernos nerviosos—, pues esto también deberíamos incorporarlo entre esas cosas que nos incomodan, pero que es importante conocer.
