1. En la actualidad, la ciberseguridad es un tema prioritario en el ámbito tecnológico: ¿es posible hablar de avance tecnológico sin ciberseguridad?
El avance tecnológico hasta el día de hoy no ha podido preverse de forma exacta, pudiendo incluso afirmar que es imparable. Aunque es cierto que ese adelanto se ha producido sin control y priorizando la funcionalidad antes que la seguridad.
Uno de los principales errores al aplicar soluciones basadas en nuevas herramientas tecnológicas es el de colocar un escalón por debajo a la seguridad, y más correctamente la seguridad en el mundo digital: las operaciones de comercio electrónico, las mega bases de datos de tipo Big Data o el envío de información cifrada, son una realidad contemporánea de la cual empezamos a ser partícipes en nuestro día a día.
No por el mero hecho de diseñar a medida, esa securización suele incluirse «por defecto»; una directriz que guarda un estrecho paralelismo con los principios marcados por el Reglamento General de Protección de datos en relación a la privacidad. Por ello, también deberíamos plantearnos la posibilidad de desarrollar conceptos como «Security by design» o «Security by default».
La mayoría de fabricantes se están dando cuenta de que es insostenible tapar los agujeros del barco con las manos y, posiblemente, no prevén unos mínimos de seguridad desde una fase temprana; vulnerabilidades que acabarán saliendo a la luz. Dos casos muy famosos fueron Spectre y Meltdown, donde ya se vieron debilidades, no solo dentro de la arquitectura de un protocolo o un sistema, sino de inseguridad en la arquitectura del hardware; donde el riesgo se agrava en mayor medida.
Creo que no podemos supeditar la validez de un avance tecnológico en sí mismo a las medidas de seguridad que puedan y deban aplicarse: a día de hoy surgen nuevas aplicaciones en el campo de la inteligencia artificial o del Big Data con el Machine Learning, que suponen una nueva solución a viejos problemas a través de nuevos medios de los que oíamos hablar hace escasos diez años y nos parecían sacados de una novela de ciencia ficción futurista.
Por citar un ejemplo, los coches autónomos son una realidad, pero independientemente de lo seguros que puedan ser, esa «seguridad» no va a ser el criterio definitorio de su existencia: el hecho de que un automóvil llegue a su destino sin apenas intervención humana ya es en sí mismo una mejora tecnológica. Considero que hoy en día cometemos un error muy grave, que es pensar que la ciencia lo puede todo; recientemente he escuchado que «la muerte es un mero problema técnico», dejo abierta esa reflexión.
En el proceso de creación de nuevas soluciones tecnológicas suele trabajarse con una documentación de versiones en donde indiscutiblemente debería revisarse el nivel de seguridad de cada una de ellas. No puedo evitar pensar en que el mayor riesgo en seguridad actualmente sigue siendo el factor humano, ello sumado a que la seguridad al 100 % es un concepto cuasi metafísico inexistente.
2. ¿Podrías decirnos cuáles son los riesgos y ciberataques más amenazantes a día de hoy?
Existe innegablemente una infinidad de riesgos en el entorno digital, pero sin lugar a dudas el mayor de ellos es el centrado en el eslabón más débil de la cadena: el ser humano. Somos confiados por naturaleza.
El phising es una de las técnicas de ataque clásicas y más extendidas y ese carácter confiado por naturaleza que solemos tener, permite que existan tipos distintos, con diferentes propósitos: usurpación de identidad, robo de credenciales; en la mayoría de casos buscando un objetivo económico.
Uno de los más curiosos son los ataques al CEO, a través del cual se intenta suplantar la identidad de la dirección de la empresa, ordenando por ejemplo a través de un e-mail, muy similar al atacado, el ingreso de cantidades en concepto de pagos una cuenta externa a la organización.
El ransomware es otro de nuestros favoritos. El famoso ataque a Wannacry, y a otras cientos de empresas en todo el mundo en 2017, incrementó la conciencia de la gravedad de estar expuesto a estas intrusiones, ya que se llegó a afectar a más de 300.000 equipos en 150 países. Lo que se hacía era encriptar todos los datos de esas máquinas a los que sólo se podría acceder con una clave, por la que había que pagar un rescate (ransom) en criptodivisas.
Los malware APT o Amenazas Avanzadas Persistentes se están viendo en los últimos meses con un fin similar a los anteriores, pero con la característica de que este tipo de malware tiene un objetivo específico y de que suelen ser financiados por Estados en busca de información privilegiada.
En general, la creación de entornos no seguros, en el que información privada como cuentas de correos, el contenido de los mismos, e incluso credenciales de acceso quedan expuestos al alcance de aquellos que saben donde mirar, es otro de los supuestos más extendidos en numerosas empresas, pequeñas y medianas, incluso en esos casos de grandes corporaciones que tienen el estado de seguridad de sus sistemas comprometidos. Existe la falsa concepción de pensar que por ser una empresa pequeña, no soy foco de un posible ataque. Hoy en día, la información se ha definido como el nuevo petróleo, independientemente de dónde tenga su origen.
Con la entrada en vigor del Reglamento Europeo de Protección de datos se exige a todas estas empresas que empiecen a tomar en el nivel de consideración adecuado en relación a la Seguridad de la información y la Privacidad. Una fuga de información personal, ya sea por un ataque o negligencia, debe ser notificada a la Agencia Española de Protección de datos en unos plazos muy estrictos.
Desde la Unión quiere establecerse un marcó de referencia para ese estándar de seguridad a través del Reglamento de Ciberseguridad de la Unión (Security Act) que fue aprobado el 12 de Marzo de 2019, usando un framework europeo para generar un nuevo nivel de certificación de seguridad. El análisis que debería realizarse, tiene que centrarse en el actual estado de seguridad de nuestra empresa, en sí cumplimos con las medidas exigidas y en si tenemos en nuestra empresa mecanismos eficaces de respuesta ante posibles ataques. En seguridad es vital ser capaz de prever esas situaciones de riesgo y no solamente actuar cuando ya estamos en medio de ella.
Por supuesto todas estas amenazas van a seguir “mutando” de una forma u otra, e incluso veremos nuevos modelos. Todo esto con una concienciación en todos los ámbitos hace que el riesgo se reduzca considerablemente.
Ninguna medida de seguridad restaría en la protección de una organización, destacamos sobretodo la importancia de realizar pentesting recurrentes, unas fuertes medidas de seguridad perimetral, incluyendo firewalls, bastionados a los sistemas públicos más críticos, y soluciones endpoint y para reforzar una fuerte política de seguridad que debe seguir toda la organización.
3. ¿Crees que el experto en ciberseguridad es una pieza indispensable en las organizaciones y compañías en el momento actual y no sólo una «figura importante»?
Lo es. De la misma manera en que Europa nos exige a través del GDPR, no solo a empresas con base en territorio de la Unión sino a todas aquellas que presten servicios a particulares que transiten por la UE, que velen por la seguridad de la información.
Debe existir la figura del experto en ciberseguridad en toda empresa que trabaje con datos, no solo pensando en la seguridad de sistemas, sino en orientado al cumplimiento normativo.
La figura del CSO (Chief Security Officer) o el CISO ya está totalmente integrada en la estructura de muchas empresas, equiparándola al nivel de gerencia; el activo más preciado van a ser sin duda los datos. La pregunta es ¿si no puedo asegurar mi propia seguridad, qué ofrezco a mis clientes?
4. Háblenos de su experiencia en Auditech: ¿en qué se diferencian a la hora de prestar servicios de seguridad informática? ¿Cuáles son las tendencias en la materia?
Josué, Rafa y yo, hemos trabajado para configurar nuestros servicios mezclando tres áreas de experiencia que clásicamente han estado separadas. Desarrollo de soluciones a medida, una securización de lo creado y por último un repaso con la «lupa legal», de cara a garantizar la adecuación normativa en distintas áreas: protección de datos personales, Comercio electrónico, Derecho informático, etc.
Nuestro modelo de negocio es similar al del resto de consultoras, con la gran peculiaridad de que trabajamos de forma on-line, aunque no exclusivamente ya que cada proyecto exige ciertos requerimientos concretos. Conseguimos diferenciarnos de nuestra competencia en cuanto a nuestra forma de trabajo ágil ya que el hecho de no vernos supeditados a trabajar en un espacio físico en concreto, nos da un cierto margen para reducir el precio del servicio. Para nosotros es importante no trasladar costes innecesarios a nuestros clientes y eso lo conseguimos aplicando unas tarifas justas y claras.
Ahora mismo estamos trabajando en una herramienta que permitirá a nuestros clientes contratar nuestro servicio de Pentesting as a Platform, consistente en un análisis de pentesting automatizado que utilizando la Inteligencia Artificial, sera capaz de identificar amenazas que hayan encontrado otras herramientas.
5. Para algunos, 2019 va a ser el año de consolidación del blockchain: ¿qué nos dices de ciberseguridad y blockchain?
No podemos hacer tal afirmación de una forma tan absoluta. No empezamos más que a ver el verdadero potencial de Blockchain, desde su primera manifestación con Bitcoin en 2009. Solidity sigue en una versión 0.9. Aún queda mucho camino por recorrer.
Una de las herramientas que más auge está teniendo actualmente son los Contratos Electrónicos Inteligentes o Smart Contracts. Muchas empresas han empezado a ofrecer su implementación en un sin fin de casos concretos. Ahora bien, debe aclararse algo al respecto de vital importancia: por una lado existe la Blockchain o la cadena de bloques y por otro la seguridad aplicada a la misma.
A mediados de 2016 salió a la luz el famosísimo caso DAO (acrónimo de Distributed Autonomous Organization) que consiguió recaudar alrededor de 150 millones de dólares a través de una compañía virtual de crowfunding basada en blockchain, sin empleados, organización o existencia legal.
El problema vino cuando esta plataforma sufrió un ataque que sustrajo un tercio de los fondos incluidos en la misma; lo curioso es que de acuerdo al software DAO el desvío de fondos fue totalmente legítimo. La blockchain no tenía forma de distinguir entre los ladrones y los compradores y yendo más allá, la inmutabilidad de la cadena no fue suficiente para parar el robo.
Este incidente DAO es emblemático porque comenzó a plantear serios y más profundos problemas de seguridad en la cadena de bloques. La razón por la que la blockchain necesita a la ley es porque ambas son esencialmente mecanismos de confianza y deben complementarse recíprocamente.
Podemos encontrarnos las firmas digitales basadas en blockchain, la trazabilidad de mensajería, o un PKI basado en blockchain, “eliminando” las entidades certificadoras extras. Hasta el momento esta última aplicación es meramente teórica. Tiende a pensarse que esta tecnología es 100% segura e inmutable pues se pensó con esa capa de seguridad, pero existen diferentes defectos que no le dan el 100% en nivel de seguridad.
Actualmente en Auditech estamos trabajando en soluciones para mejorar la seguridad en la blockchain, en la trazabilidad, en la información que pueda contenerse en esos Contratos Electrónicos Inteligentes. Nuestra herramienta SoLint enfocada al SAST de Solidity, entre otras, se encuentra en fase de desarrollo, aunque confieso que pronto estará accesible a nuestros clientes a modo de suscripción.