Carlos Fragoso es SANS Certified Instructor y Principal DFIR en One eSecurity

Carlos Fragoso, experto en ciberseguridad: “Otros países tienen mayores recursos, pero España ha hecho más con menos”

808
Carlos Fragoso, experto en ciberseguridad:
Carlos Fragoso, SANS Certified Instructor y Principal DFIR en One eSecurity

Carlos Fragoso es un profesor certificado por el Instituto SANS, un centro dedicado a reunir información sobre todo lo relacionado con la seguridad informática y la ciberseguridad, para posteriormente ofrecer capacitación y certificación en el ámbito de la ciberseguridad. Además, es el Principal DFIR (Digital Forensics Incident Response) de One eSecurity. Escudo Digital ha hablado con él para conocer las preocupaciones principales de la industria en materia de ciberseguridad en España.

¿Cuáles son las principales preocupaciones en materia de ciberseguridad entre las empresas españolas?

En los últimos años ha crecido tanto el volumen de empresas afectadas por incidentes de seguridad como el impacto de éstos. Desde One eSecurity, como empresa especialista en este campo, destacamos especialmente los de tipo ransomware, fraude financiero (suplantación del CEO y variantes) y espionaje industrial (BEC y otros).

Hay mucho temor al impacto en la imagen reputacional y a la disrupción en las operaciones del negocio

Además, los gobiernos y los diversos entes reguladores (agencias de protección de datos) están siendo más incisivos en el ámbito de notificación y respuesta. Por este motivo hay una preocupación tanto en evolucionar adecuadamente la arquitectura de seguridad para una mejor protección, como en la mejora de la detección temprana (vital para minimizar el impacto) así como en una respuesta y recuperación eficaz y diligente. Hay mucho temor al impacto en la imagen reputacional y a la disrupción en las operaciones del negocio por el robo o las multas de los reguladores mencionados.

Otra preocupación principal es una conveniente protección centrada más en los datos y menos en la infraestructura, en un entorno tan dinámico y a veces incluso fuera de nuestro ámbito administrativo, como es el caso de la nube.

¿Es la formación de los empleados en materia de ciberseguridad un factor clave entre las empresas españolas?

En la ciberseguridad, como en cualquier otro ámbito tiene que existir una equilibrada sinergia entre tecnología, procesos y personas. Invertir en tecnología o herramientas, cosa muy habitual, no es suficiente si descuidamos incorporar unos procesos adecuados, nuestro personal (no solo el que trabaja explícitamente en ciberseguridad) debe tener el conocimiento y habilidades adecuadas para desempeñar su trabajo y minimizar el riesgo y favorecer la detección y respuesta temprana a posibles brechas.

En la ciberseguridad, como en cualquier otro ámbito, tiene que existir una equilibrada sinergia entre tecnología, procesos y personas

Sin lugar a duda en los cursos impartidos desde SANS Institute vemos que la formación es clave porque no solo brinda conocimiento actualizado, sino que ayuda a desarrollar las habilidades (teóricas y prácticas) y proporciona mediante casos de estudio e historias reales, la experiencia que solo se consigue con el tiempo y centenares de batallas. Por desgracia en nuestro país siempre se ha visto a la formación como un premio al empleado cuando debería ser una obligación para garantizar que el correcto desempeño de los equipos.

Junto a la formación, hay un tema que siempre rodea a la industria: la falta de talento. ¿Es una realidad o simplemente es que al no estar lo suficientemente bien pagados, prefieren irse a otros países?

Es un tema complejo y que tiene múltiples vertientes. En España históricamente hemos tenido grandísimo talento en este campo, quizás por la combinación de la cultura ‘latina’ mezcla de pasión, motivación, curiosidad e incluso cierta “picardía” junto con una buena preparación pedagógica. Los puestos a cubrir en el ámbito gubernamental, gran empresa y consultoría/servicios, entre otros, han sido limitados y no todos han tenido salarios competitivos o bien pon una mala gestión de las carreras profesionales.

Los profesionales de la ciberseguridad son gente inquieta, inconformista, por ese motivo muchos han buscado nuevas aspiraciones económicas o inquietudes fuera de nuestras fronteras.

A nuestro sistema académico desde la Primaria hasta la Universidad/Formación Profesional le falta crear un mejor pilar en habilidades blandas combinado con una mayor adaptación a las demandas del mercado

Sin embargo, uno de los problemas de fondo es la demanda del mercado y cuantos profesionales cualificados se podrán generar para cubrirla. Además, hay que tener en cuenta que la ciberseguridad es un campo muy sacrificado a nivel personal, se necesita muchísima dedicación, autoaprendizaje, largas jornadas de trabajo, estrés; y eso a veces es una barrera de entrada para personas que prefieren unos puestos con una buena retribución y menor sacrificio.

En mi opinión, a nuestro sistema académico desde la primaria hasta la universidad/formación profesional le falta crear un mejor pilar en habilidades blandas (pensamiento crítico, comunicación, creatividad…) combinado con una mayor adaptación a las demandas del mercado, un mayor equilibrio entre lo académico y la experiencia profesional, nutrirse de la experiencia y no solo de la investigación.

¿Qué diferencias ves en materia de ciberseguridad entre España y el resto de los países? ¿Es cierto que España tiene un buen nivel?

Es difícil entrar en comparaciones, sin fijar cuales son los parámetros o varas de medir. Desde ciertos puntos de vista nuestro país puede parecer estar muy atrás y sin embargo en otros a un muy buen nivel. Creo que es positivo que haya una tendencia de mayor compromiso y mejora en este campo tanto en el ámbito gubernamental como en el sector privado, se puede ver en las numerosas iniciativas que se ponen en marcha.

Creo que, aunque otros países siempre han contado con mayores recursos o medios, nuestro país ha hecho “más con menos” explotando la creatividad de nuestros profesionales y siendo más eficaces en los resultados.

Aunque otros países siempre han contado con mayores recursos o medios, nuestro país ha hecho “más con menos” explotando la creatividad

Quizás el hecho de ser un país menos hostil o atractivo para ciertas naciones o grupos criminales nos ha mantenido en una segunda o tercera línea de interés. Lo que sí podemos apreciar es que de manera natural otras naciones (por ejemplo, los países anglosajones) han asimilado fácilmente la ciberseguridad como una parte más de la seguridad física/integral, y de la propia inteligencia, en nuestro país está costando mucho más unir ambos mundos.

¿Qué ciber-medidas deberían tomar las empresas españolas para proteger sus activos?

Lo primero y lo más importante, la concienciación y formación a los empleados, ellos son la primera línea de defensa en muchos de los ataques y evitarlos, detectarlos y responder a tiempo pasa por ellos. Esto va mucho más allá de explicar lo de no hacer clic en correos sospechosos, hablamos de cambiar su mentalidad (mindset) para aplicar conceptos de seguridad en todos sus procesos.

Por otro lado, desgraciadamente estamos viendo que no todas protegen adecuadamente su información, ni su perímetro, y cosas tan básicas como unos buenos respaldos (backup) son imprescindibles hoy en día.

Estamos viendo que no todas (las empresas) protegen adecuadamente su información, ni su perímetro, y cosas tan básicas como unos buenos respaldos

Uno de los principales problemas de seguridad viene por el uso inadecuado de credenciales de acceso, habitualmente con contraseñas, el fortificar este ámbito con buenas implementaciones de tecnologías de doble o triple factor puede evitar muchos de los vectores abusados. Todo ello sin olvidar unos buenos procesos de auditoría y gestión de las vulnerabilidades, muchos de los ataques utilizan vectores o problemas de seguridad conocidos que se podrían corregir para anticiparse a su explotación.

¿Es la tecnología cloud un nicho de ciberataques?

Al final un entorno cloud no deja de ser más que un dominio administrativo de un tercero, pasar de tener infraestructura propia a que la aloje un tercero en modo servicio junto a otros muchos clientes. Solemos decir en ciberseguridad que el cloud no es más que “el ordenador de otro”. Por este motivo son un entorno de interés para los atacantes porque saben que pueden ser más opacos o complejos de gestionar para la organización usuaria, además de la dificultad investigativa y forense que entraña su naturaleza dinámica y cambiante (pueden decrecer o crecer según la demanda).

Además, todavía falta una amplia experiencia práctica, que solo se consigue con el tiempo, en la gestión de incidentes en dichos entornos. Conseguir comprometer un entorno de cloud proporciona una posición dominante al atacante donde puede manipular su infraestructura ‘virtual’ con simples configuraciones (Software-Defined-Networks SDN) e incluso posibilitar comprometer la información de múltiples clientes.

¿Cómo puede una empresa pequeña, tipo pyme, proteger sus activos? ¿Es necesario un equipo dedicado a ello?

Un negocio tiene sentido si sus productos o servicios generan beneficios, por lo tanto, todo lo que una PYME tenga que invertir en ciberseguridad aporta calidad y seguridad, pero resta beneficio económico.

Por lo tanto, a una PYME le puede resultar complicado contar con las tecnologías necesarias o personas cualificadas dentro de sus márgenes económicos, por este motivo lo habitual es utilizar economías de escala es decir escoger productos o proveedores de servicio que a un precio razonable les puedan ayudar a reducir el riesgo de impacto ante posibles incidentes.

En muchas de ellas acaba siendo una combinación entre los servicios propios de su proveedor de telecomunicaciones combinado con los proveedores de cloud/alojamiento que esté utilizando para sus aplicaciones, todo ello sin olvidar una robusta y segura gestión de la microinformática.

Hace sólo unas semanas, la Comisión Europea hacía público un informe alertando de los riesgos de la 5G, ¿qué impacto crees que tendrá esta tecnología en la ciberseguridad de las empresas?

Estamos viviendo muchísimos cambios tecnológicos, por un lado, las tecnologías móviles nos han llevado a un nuevo paradigma donde los usuarios están siempre conectados desde múltiples dispositivos y con grandes anchos de banda antes inimaginables. Por otro lado, ya no solo las personas sino los propios dispositivos o máquinas tienen sus propias conexiones para ser operados remotamente o intercambiar datos.

Esto genera un escenario con muchísimos más dispositivos, con anchos de banda muy altos (similares a las redes corporativas) y con un perímetro cada vez más difuso. Esto nos genera una gran asimetría, las redes de servicio o corporativas pueden estar expuestas a grandes ataques, por ejemplo, de denegación de servicio, realizados desde millones de dispositivos de índole muy diversa (desde una nevera a un equipo de aire acondicionado) controlados/comprometidos por un tercero.

¿Qué tipo de ataques crees que van a marcar la agenda de los próximos meses?

A corto plazo no creo que la tendencia vaya a cambiar enormemente de la ya conocida, es decir espionaje industrial y extorsión/fraude utilizando los vectores que ya se han mencionado tales como ransomware, compromisos de credenciales con acceso a datos (correo o documentos) en la nube, etc.

Los atacantes están sacando un buen rédito económico sin estar obligados a cambiar su modus operandi. En todo caso en las diversas investigaciones forenses que hemos realizado en One eSecurity se aprecia que los atacantes cuentan con una mayor profesionalización y colaboración entre ellos y cada vez utilizan técnicas para pasar más desapercibidos, parecerse más al comportamiento de los usuarios o administradores (living of the land) dificultando su detección.

Seguramente empecemos a ver en el ámbito doméstico/pyme un mayor compromiso de dispositivos conectados ya sean cámaras web, altavoces, asistentes personales u otros, y en el entorno de empresa de otros dispositivos del ámbito industrial (OT).