¿Alguna vez te has preguntado qué ocurre después de pulsar el botón “Aceptar” en los términos y condiciones para usar un filtro que te pone orejas y nariz de perrito? En Surfshark, empresa europea de ciberseguridad, sí lo han hecho. Y la respuesta no te va a gustar.
El pasado 4 de septiembre visitamos la sede central de esta compañía dedicada a la ciberseguridad en Vilna, capital de Lituania. Ubicados en la Ciber City, una antigua zona industrial rehabilitada para albergar a los nuevos gigantes del sector, asistimos a una presentación de los productos y servicios en los que trabajan sus distintos equipos. La propuesta de Surfshark se basó en explicar qué ocurre con los datos de los usuarios cuando navegan por internet o utilizan aplicaciones móviles.
Lee tambiénMarques Brownlee, experto en tecnología: “Nunca le hagas fotos a según qué coches, si no quieres arruinar tu móvil y quedarte sin cámara”
Todo lo que hacemos en la red queda registrado. Todo. Por eso, el primer paso que propone el equipo de investigación, liderado por Luis Costa — doctor en psicología de origen portugués afincado en Varsovia—, es concienciar al usuario sobre lo valiosos que son sus datos para las empresas tecnológicas y lo lejos que estas están dispuestas a llegar para obtenerlos. Los datos son la materia prima —como si fuera petróleo— con la que operan estas compañías. Si tuvieran que pagar por ellos, muchas se arruinarían antes de empezar.
De izquierda a derecha, Donatas Budvytis, CTO de Surfshark, Sarunas Sereika, Alternative ID product Manager, y Justas Pukys, VPN product manager.
Información expuesta
Todos tus datos, en la puerta del baño
Así, cuando una aplicación móvil nos ofrece un juego gratuito de puzles, un filtro estilo Ghibli o un trend para comparar nuestras fotos de hace cinco años con las actuales, en realidad nos está ofreciendo un suculento trozo de queso para atrapar lo verdaderamente valioso: a nosotros y nuestros datos. ¿Escribirías voluntariamente tu número de teléfono, nombre completo y dirección en la puerta del baño de un bar de carretera? Si la respuesta es no, entonces ¿por qué proporcionas esa información a empresas que no conoces y que no sabes qué harán con ello?
¿Escribirías voluntariamente tu número de teléfono, nombre completo y dirección en la puerta del baño de un bar de carretera?
La educación en este tipo de asuntos es uno de los pilares fundamentales de Surfshark. Si el usuario no comprende qué tipo de información está regalando, tampoco será consciente de lo fácil que resulta para empresas de dudosa ética —o directamente ciberdelincuentes— causarle un perjuicio económico o reputacional.
Si un atacante sabe que estás buscando regalos navideños, conoce tu edad y tus intereses, le será mucho más fácil enviarte un correo con un supuesto descuento en esas zapatillas de marca que querías o en esa cafetera automática con la que sueñas. Pero ese correo puede contener un enlace que te redirija a una web idéntica a la de Amazon, donde te pedirán tu correo y contraseña. Si la página es idéntica, ¿sospecharías que estás siendo víctima de phishing?
Cualquiera puede ser víctima de un ataque de phishing.
Según la opinión de Miguel Fornés, responsable de ciberseguridad en Surfshark de origen malagueño, las probabilidades juegan en nuestra contra. Este tipo de estrategia es, según sus palabras, “la más burda y antigua de todas las estafas conocidas, y aun así seguimos cayendo en ella”.
Para Miguel, los ciberdelincuentes se aprovechan de la propia naturaleza humana y confían en que sus víctimas —nosotros— “hayan tenido un día agotador, estén cansadas y bajen sus defensas ante este tipo de ataques”, especialmente si estos están bien dirigidos y cuentan, además, con nuestros datos de consumo, edad, localización, género y capacidad adquisitiva.
Lee tambiénMaría Aperador, experta en ciberseguridad: “Los CAPTCHAs falsos están siendo utilizados para infiltrar nuestros dispositivos, el 'modus operandi' es así”
Tanto Miguel Fornés como Bartosz Moskowik, ingeniero senior de ciberseguridad en Surfshark, ofrecieron una breve demostración de lo fácil y rápido que resulta programar este tipo de ataques. Con un ordenador de apenas 100 € y un software fácilmente localizable en internet, cualquiera puede empezar a pescar incautos. En palabras de Bartosz: “Los ciberdelincuentes juegan con la probabilidad. Tú tienes que defenderte siempre, pero ellos solo necesitan tener éxito una vez para acceder a tus dispositivos”.
Bartosz Moskowik, durante su sesión.
Según los equipos de investigación y de ciberseguridad, los objetivos más frecuentes de estos ataques son tanto usuarios particulares como pequeñas y medianas empresas que no pueden permitirse contratar personal especializado para ocuparse de estos asuntos. Una vez mordido el anzuelo, el ciberdelincuente solo tiene que recoger el sedal y hacerse con el premio: tu usuario y contraseña. El daño es especialmente importante si utilizas el mismo email y contraseña en varios sitios web o servicios.
El daño económico estimado por este tipo de ataques asciende a cientos de miles de millones de euros al año. Para colmo, el desarrollo de la inteligencia artificial está provocando que estos ataques sean cada vez más automatizables, lo que permite que un solo dispositivo pueda capturar los datos de millones de víctimas al día. Es de esperar que se vuelvan más sofisticados y personalizados en el futuro, gracias a la proliferación de estas nuevas herramientas.
La inteligencia artificial está provocando que estos ataques sean cada vez más automatizables: un solo dispositivo puede capturar los datos de millones de víctimas al día
El panorama para el usuario que no sabe —o no quiere— preocuparse por su seguridad en internet no es nada halagüeño. El equipo de desarrollo de producto de Surfshark nos presentó los nuevos servicios en los que están trabajando para reforzar la protección de sus clientes.
Entre ellos destaca Incogni, un servicio automatizado para la eliminación de tus datos personales en internet. Otra de las tecnologías presentadas fue Alternative ID, una herramienta que genera una identidad digital ficticia para enmascarar tu verdadera identidad online. Por último, el producto que logró captar especialmente nuestra atención fue Surfshark Alert, un servicio que monitoriza la red en busca de filtraciones de tus datos más sensibles
Lo más llamativo de todos estos servicios es que están pensados para integrarse en una sola aplicación móvil o como extensión para el navegador, con una interfaz “cercana y amigable para el usuario”. Donatas Budvytis, CTO, junto con el resto de su equipo, nos aseguró que están trabajando para que “ni el rendimiento de tu dispositivo ni la velocidad de tu internet se vean afectados. Presenta muchos desafíos técnicos, pero estamos trabajando en ello”.
Código informático.
Herramientas de protección
VPN, reina de la seguridad
Todos estos productos planean ser implementados por completo en el último tercio de este 2025 y durante 2026, no obstante, el producto principal de la empresa sigue siendo su servicio de VPN. Estas, históricamente, han sido utilizadas como herramientas para esquivar restricciones locales y censura.
Un ejemplo de ello fue las protestas en Hong Kong de 2019, durante las cuales muchos usuarios recurrieron a este tipo de servicios para evitar la censura impuesta por el gobierno chino, informar al mundo sobre lo que estaba ocurriendo en las manifestaciones y, al mismo tiempo, ocultar su verdadera identidad para evitar represalias.
Las VPN, históricamente, han sido utilizadas como herramientas para esquivar restricciones locales y censura
En Europa, especialmente este verano, las VPN se han empleado para eludir la verificación de edad en el acceso a contenido para adultos. Desde Surfshark son conscientes de que su herramienta también se utiliza con estos fines, pero preguntando a Regimantas Urbanas, CMO, evitó posicionarse al respecto, ya que según sus palabras “no podemos basar nuestro modelo de negocio en una base de clientes tan volátil, siempre sujeta a los cambios legislativos”.
Esta falta de definición puede interpretarse como una oportunidad perdida para que el público perciba con claridad que el servicio que está contratando —y al que confía todo su tráfico— está realmente comprometido con un internet más libre y con un ecosistema virtual accesible e igualitario en todo el planeta.
Lee también
Infraestructura mundial
Impacto ecológico cuestionable
Asimismo, se echó en falta una explicación sobre el impacto ecológico de las infraestructuras que Surfshark asegura tener repartidas por todo el mundo para garantizar la calidad de su servicio. ¿Qué medidas adoptan en cada territorio? ¿Se ajustan únicamente a la legislación local o están igualmente comprometidos en todas partes con un valor tan europeo como la sostenibilidad ecológica?
Los centros de datos suponen un importante reto para la sostenibilidad.
Un territorio hídricamente estresado como España es especialmente sensible al cambio climático, como se ha podido comprobar este verano con las olas de calor y los incendios que han devastado buena parte de la península. Una empresa que se enorgullece de estar “del lado de los buenos” en la batalla contra los ciberdelincuentes tiene que ser igual de clara en otros aspectos. Sus empleados afirman tener la sensación de “estar trabajando en algo que puede marcar la diferencia” y “hacer algo bueno para todos los usuarios”.
La compañía lituana no puede permitirse ignorar que los centros de datos y la infraestructura tecnológica que utiliza requieren agua para refrigerar los servidores y electricidad que puede provenir de fuentes no sostenibles. Se estima que los centros de datos suponen, actualmente, el 2% del consumo mundial de electricidad. Esa responsabilidad medioambiental no puede ser obviada por los usuarios que ya estamos sufriendo los efectos del cambio climático.
Lee tambiénEspaña quiere convertirse en uno de los principales países donde albergar centros de datos, pero tiene un grave problema que no puede resolver: el calor extremo
Surfshark es plenamente consciente de que la relación con sus clientes se basa en la confianza: una confianza que cuesta mucho construir y que puede romperse con facilidad. Desde nuestra posición, seguiremos de cerca su evolución para comprobar si su servicio está realmente a la altura de las expectativas que nos generaron. El tiempo dirá si son capaces de surfear la ola de la inteligencia artificial y los desafíos que plantea para la ciberseguridad, o si acaban naufragando en un mar de datos y sueños rotos.