Iñigo Perona Balda: "Zibereraso arrakastatsuen ehuneko handi baten atzean giza errore bat egon ohi da"
2026ko urtarrilaren 12a
"Eraldaketa Digitalerako gakoak: Zibersegurtasuna" ikastaroa emango dute online Iñigo Perona Baldak (Orio, 1985) eta Josu Arakistain Aizpirik UEUren GOI Ikastegiak abian jarritako "Eraldaketa Digitalerako gakoak" ikastaro-sortaren barruan. 40 orduko ikastaroa da eta otsailaren 25ean hasiko da. Ikastaroari buruz hitz egiteko izan gara Peronarekin. Informatika Ingeniaritzan doktorea da eta irakaslea EHUko Konputagailuen Arkitektura eta Teknologia (KAT) Sailean, Donostiako Informatika Fakultatean.
Zibersegurtasunaren gaia jarriko duzue erdigunean. Zergatik da garrantzitsua?
Zorionez ala zoritxarrez, Euskal Herriaren testuinguruan behintzat, teknologia digitala gizarte eta antolakundeen geruza guztietan txertatzen ari da, ziztu bizian gainera. Bestalde, jakina da ezen, pentsamendu askea izateko, komunitatearen eta norberaren testuingurua ulertzeko gakoak barneratuta izatea beharrezkoa dela, hala nola animalion sistema-zapalkuntza bazterrekoenetik hasi eta zentrokoenera, eta era berean, gurutzatzen gaituzten arriskuak. Tenore horretan, teknologia horiek teknikoki dituzten arriskuak identifikatzea eta horiekiko gerizatzeko neurriak ezagutzea baliotsua da, bai maila pertsonalean baita enpresa-munduan ere. Adibidez, jada, enpresa txiki-ertainek lurra jo eta ixteko zio nagusia zibererasoa da.
Ziberkrimenak (estatuek finantzatutakoak ere bertan sartuz) dirutza handia mugitzen du, hainbesteraino ezen estatuen barne-produktu gordinaren rankingean buruan daudenekin lehiatzen baita. Horregatik, gure herria mendean duten bi estatuak zibersegurtasun-praktiken aplikazioa derrigortzen dabiltza, zibererasoengatik ahalik eta diru kopuru txikiena galtzeko. Alegia, nahi izan ala ez, gero eta intentsuago ukituko gaituen gai bat da hau, eta hori dela eta, zibersegurtasunaren oinarriak ezagutzea funtsezko zeharkako jakintza bilakatzen ari da.
Azkenik aipatu ezen zibereraso arrakastatsuen ehuneko handi baten atzean giza errore bat egon ohi dela, alegia, ziberkrimenen egileentzat segurtasun-katea puskatzeko katebegi ahulena, gehienetan, gizakia bera izaten dela.
Gure ekipoak babestuz, sistema zeharkaezin bilakatzea ezinezkoa da, beraz helburua, ziberkrimenen egileei erasoa konplikatzea da, sisteman sartzeak denbora asko kontsumituko dietela ikustean, gu bakean utzi eta helburu errazagoetara mugi daitezen lortuz.
Laburbilduz, gure bizitzan ernamuineraino sartu zaigun teknologiak ingurune mehatxaberak edonon egotea eta edozer izatea dakarkigu. Horrenbestez, zibersegurtasunaren oinarriak ezagutzea garrantzitsua da, inguratzen gaituen errealitatea hobeto ulertzen lagunduko digulako.
Zibersegurtasunaren zer arlo landuko dituzue ikastaroan?
Lehenik GNU/Linux-eko komando-lerroan moldatzeko oinarri batzuk landuko ditugu; izan ere, hortik zehar komando bidezko tresna pilo bat dago eta horiei esker gure tresnategia asko handituko baitugu. Bidenabar, aipatu, software libre eta kode irekikoak erabiliko ditugula, ingelesez Free and Open Source Software (FOSS) deritzenak.
Ondoren, kriptografiaren oinarriak landuko dira, non konfidentzialtasuna, osotasuna eta eskuragarritasunaren printzipioak nola bermatu ikasiko dugun. Kriptografia hiru printzipio horiek aurkezteko esparru ideala da, berau ongi definitua eta ongi mugatua delako.
Alabaina, hiru printzipio horiek bermatzearen helburua zibersegurtasunaren muina da eta bere esparru guztietara zabaltzen da. Adibidez, ransomware batek ordenagailuko datuak zifratzen dituenean erreskate-diru baten truk, konfidentzialtasuna (baimenik gabe datuak atzituz) eta eskuragarritasuna (datuak konfiskatuz) apurtuko ditu; zentral elektriko bat gelditzen dutenean, eskuragarritasuna (ekoizpena geldituz) apurtuko dute; eta mezu zifratuak komunikazio-kanalean erroreren bat jasaten edo erdibidean den sudurluzeren batek manipulatzen duenean, osotasuna izango da kaltetua.
Horrenbestez, ondorengo gaietan, zibersegurtasunaren eremu zabal horretara mugituko gara eta hiru printzipio horiek bermatzeko teknikak landuko ditugu. Betiere, gogoan izanez ezen teknologia-sistemek hamaika ertz ustiagarri dituztela eta horiek guztiak kontrolpean edukitzea ezinezkoa dela, alegia, sistema zeharkaezin bilakatzea. Beraz, ziberkrimenen egileei gauzak zail jartzen saiatzeko defentsarako neurri nagusiak ikusteaz gain, intzidenteak daudenean horiei nola erantzun ere landuko da.
Hala ere, babes-neurri zehatzak ikusi aurretik, eraso ohikoenak aurkeztuko dira; izan ere, zibererasoetatik defendatzeko zibererasotzaileen larruan jarri eta beren eginbideak eta pentsatzeko moduak ezagutzea oso lagungarria baita.
Zibersegurtasuneko azpigai horietaz gain, besteak beste, anonimotasuna eta arriskuen analisi formala ere landuko dira.
Arlo teorikoaren alderdi praktikoari ere garrantzia emango diozue.
Arlo teorikoan landutakoa tresna konkretuak praktikan jartzeak ezagutzak geure buruetan hobeto bermatzea dakar. Ikasketa-metodologia bezala bere efikazia izateaz haratago, teoria hori praktikan jartzeko gaitasuna da etorkizunean gehien baliatuko dutena.
Gaur egun, alegiazko makinak eta kontainerrak erabiliz eszenatoki kalteberak edo bulneragarriak prestatu daitezke horietan gure gaitasunak trebatzeko. Ikastaro honen kasuan alegiazko makinez baliatuko gara eta ariketa batzuk horien gainean egingo dira. Horrela, esperientzia praktikoa ere eramango dute ikastaro honetan, eta uste dugu, euren teknologia-ibilbideetan baliagarri eta lagungarri izango zaiela.
Zer da ikastaroarekin lortu nahi duzuena?
Zibersegurtasuneko aipatu gaietan pixka bat barneratzea, eta ikasleari horietan sakontzeko harra sorraraztea, non, sortuko balitzaio, gaia bere kaxa lantzeko baliabideak ere eskainiko zaizkion. Alegia, zibersegurtasunari sarrera bat emango zaio ikastaro honetan, exhaustiboa izateko pretentsiorik gabe.
Hori esanda, aipatu gaietan oinarri teoriko batzuk eramango ditu ikasleak eta abilezia praktikoei dagokienez, besteak beste honako hauek lortuko ditu: komando-lerroari beldurra galdu, makina birtualak erabiltzeko gaitasuna (aukera berri pila irekiko dizkiena), komunikabide batera sabotaje baten edukia pribatuki eta anonimoki bidali, kode maltzurreko Word dokumentuak zein erraz sor daitezkeen ikasi (penetrazio-testa), su-hesietan oinarrizko erregelak eratu (defentsa), sareko trafikoa aztertu (aditzea), sistemako lorratz- eta konfigurazio-fitxategiak ikertu (analisi forentsea), babes-kopiak egiteko protokoloak (intzidenteei erantzuteko) eta enpresa bateko aktibo guztien arrisku-maila neurtu (lehentasunak identifikatu).
Nori dago zuzenduta?
Zibersegurtasunak kezkatzen duen ororentzat eta babes-neurri batzuk aplikatu nahi dituen horrentzat, bai bere antolakundean bai bere ekipo pertsonaletan.
Ikastaro honek ezagutzen aldetik ez du aurre-baldintza berezirik, ordenagailuen ohiko erabiltzaile izatearekin nahiko da. Beharkizun teknikoei dagokienez, disko gogorrean toki dezente libre izatea komeni da (50 GiB inguru); izan ere, alegiazko makinek espazio dezente okupatzen dute. Hala ere, beti munta daitezke alegiazko makina horiek kanpoko disko solido batean.
Ikastaroa tresnak erabiltzera mugatuko da, alegia, ez da programatzen jakin behar. Tarteka-marteka informatikako kontu teknikoxeagoak agertuko dira, baina horren ideia orokor bat emango da eta hori nahikoa izango da tresnak erabiltzeko. Hala eta guztiz ere, edozein zalantza argitzeko ikasgela birtualeko foroan galdetu eta erantzungo dizugu.
Nabarmentzeko zerbait?
Informatikaren historia laburrean kasu gutxi egin zaion gaia izan da zibersegurtasunarena. Garatzen zen teknologiak bere eginkizuna egiten bazuen, non zibersegurua izatearena ez baitzen kontuan hartu ere egingo, teknologia hori eszenatoki errealetara zabalduko zen.
Stuxnet (2010) eta WannaCry (2017) software maltzur arrakastatsuek erakutsi digute ezen, ziberkrimenak, izan kortsario ala pirata izpirituarekin, gerra-arma eta diru-iturri efikazak direla. Horrelako kasuei esker edo horien erruz zibersegurtasun-praktiken ezarpena bizkortu da, bai Informazio Teknologietako aplikazioetan, bai Operazio Teknologietako sistemetan.
Horren adibide da honako hau: enpresek urtero diru bat bideratzen dute sistemak gotortzera (hardening). Orain arte gotortze hori diru-galtze bat bezala ikusten zen, baina ikuspuntu hori aldatzen ari da, alegia, enpresen kontu-orrietan kontenplatzen da balizko zibererasoen erruz galdu lezaketen diru hori, eta beraz, gotortzea hori saihesteko inbertsio moduan ikusten da. Horrez gain, legedia ere exijente jartzen ari da eta exijenteago jartzen joango da, hasi enpresa kritikoenetatik (argindarra, ura, gasa...) eta diren teknologia guztiak ukitzeraino.
Egia esan, informatikaren bilakaerak (eta oro har gizakiarenak) errespetua merezi du: zibererasoek, zibergerrek, gure pribatutasunaren galtzeak, Interneteko zerbitzu nagusiak lau multinazionalen esku egoteak, monopolio horiek etekin ekonomikoak damaizkieten hizkuntza armatuak soilik kontsideratzeak, software eta hardware itxiek, lehengai-meatzeen kontrola edonoren gainetik pasaz... Distopia bat dirudi. Pertsonalki, espero dut, korronte horien aurrean eraldaketa-gako batzuk ere eramango dituztela ikasleek “Eraldaketa Digitalerako gakoak” ikastaro-sortan.