Cuando se incorporó a Check Point, el 3 de enero de 2001, muchos de los profesionales de seguridad IT se conocían personalmente. Eran casi una familia. Eusebio llegó a Check Point desde una multinacional norteamericana que distribuía el hardware de su actual empresa y se convirtió en el primer técnico de la compañía. Tres o cuatro años después era ya la cabeza visible de un equipo cada vez más numeroso. Desde hace quince años, en su tarjeta de visita aparece el cargo de “director técnico de Check Point para España y Portugal”. Tiene experiencia y una gran capacidad para transmitirla de manera interesante y convincente.
¿Cómo está ahora el sector, casi veinteaños después de llegar usted a Check Point?
Ha cambiado mucho. Se ha convertidoen un sector boyante, donde se mueven muchas empresas, y no sólo deciberseguridad. Hay otras empresas que intentan meterse en este mercado paraasegurarse los ingresos. El negocio online es fundamental para un gran númerode compañías. Eso significa que la seguridad para ellas es muy importante. Antesno era así. Decían: tengo una página web y si no me funciona tampoco pasa nada.No pierdo negocio. Pero, ahora, si tu página web no funciona, dejas de tener ingresos.El acceso a Internet y la seguridad de ese acceso ha dejado de ser un temasecundario y se ha convertido en algo fundamental. El sector de laciberseguridad ha explotado y también han aumentado los ataques y losincidentes. Allí donde se mueve dinero se mueven los delincuentes. Algo tansencillo como eso.
Sin embargo, todavía hay empresas queoponen cierta resistencia a invertir en seguridad informática.
Hay mucha gente que no tiene unaapreciación correcta del nivel de peligrosidad. Una empresa como Telefónica, queestá abordando nuevos proyectos tecnológicos, sabe cuáles son los posiblespeligros. Sin embargo, una empresa familia, donde Internet o la comunicaciónson cosas secundarias, no tienen esa concienciación. Pero, aunque no tengan inclusouna web, simplemente por el correo electrónico, pueden ser atacados. Ese es precisamenteuno de los puntos de entrada a las compañías. Y, en un momento determinado, te puedenrobar mucho dinero.
¿Se refiere a la falsificación deemails?
A la EMT de Valencia le robaron haceunos años por esa vía varios millones de euros. Simplemente, con unainvestigación de la empresa, con la falsificación del correo de ciertaspersonas, engañaron a la persona responsable de los pagos y consiguieron que loshiciera donde no debía. Se trata de unataque muy común, de bajo nivel tecnológico. Lo que sí requiere es mucha investigaciónpor parte de los delincuentes sobre esa empresa, para saber quiénes son laspersonas claves de la misma.
¿Quiénes son más vulnerables lasempresas privadas o la Administración?
El problema que tiene laAdministración es, en muchas ocasiones, de falta de presupuestos y de exceso deconfianza. No existe una asunción de responsabilidades si ocurre un ataque deeste tipo. ¿Cuántos alcaldes han caído porque su municipio haya sido atacado? ¿Aquién han despedido? ¿Quién ha dimitido?
La banca sigue siendo uno de losgrandes objetivos de los ciberdelincuentes.
La banca sabe perfectamente que tiene algo que todo el mundo quiere: dinero. Por eso los bancos siempre han estado protegidos. Con mayor o menor éxito, invierten grandes cantidades de dinero en protección. Muchas veces, basta con que los usuarios sepan reconocer los ataques y amenazas. Cuando veas un correo sospechoso, no pinches o ponlo en duda. La formación es fundamental.
“Cuando veas un correo sospechoso, no pinches o ponlo en duda. La formación es fundamental”
De hecho, se realizan ataquesinternos en algunas compañías para ver cómo responden los empleados. Paracomprobar qué nivel tienen. No para sancionarlos, sino para saber cuál es el gradode protección que demuestran. En la Administración esto no se hace y la inmensamayoría de los ataques que han sufrido las corporaciones locales y organismosgubernamentales han sido triviales. Ataques muy conocidos y poco complicados.En los próximos años veremos un incremento de los ataques e intentos deextorsión a municipios. Se está viendo ya en Estados Unidos y eso quiere decirque llegarán aquí en muy poquito tiempo. Ni estamos preparados tecnológicamente,ni los usuarios tienen los recursos mentales para detectar cuándo hay unataque.
¿Se deberían dar más cursos deformación?
Nosotros, en Check Point, organizamoscursos en la enseñanza secundaria para que los jóvenes reconozcan el problema.La policía también da sus charlas, para que detecten los timos por Internet yqué es lo que deben hacer en esos casos. Por ejemplo, todo el mundo sabe que nodebe utilizar la misma clave – password – para todos los servicios, pero lohace. Y, cuando te pillan en uno de esos servicios, caen todos detrás.
Tal y como está el patio, todas lasprecauciones son pocas…
Efectivamente. Hace dos o tres años cayó mucha gente en el timo de Unión Fenosa, a pesar de no tener contratado el servicio con esa compañía. La gente iba y lo miraba. Pero, ¿por qué lo abres? Le estás dando la oportunidad de atacarte a alguien que ni siquiera te ha investigado. Son correos que se mandan a todo el mundo, esperando que alguno pique. Y alguno siempre pica. Por eso se sigue haciendo. Uno de los problemas más comunes hoy en día es el robo o secuestro de datos (ransomware).
“Todavía hay gente que cae en el timo del 'príncipe nigeriano'”
¿Tendríamos que ser más desconfiados?
Claro. Si te ofrecen por 20 euros un producto que vale 500 lo primero que tienes que hacer es sospechar. Si ves en whatsapp que Mercadona hace una oferta, mira a ver dónde pinchas y comprueba lo que estás haciendo. Si es una noticia de España y el sitio que te aparece en el navegador es Colombia tienes que empezar a sospechar. Todavía hay gente que cae en el timo del “príncipe nigeriano”.
“El ataque al whatsapp de Jeff Bezos no era un ataque trivial, ni común, como los que puede recibir todo el mundo”
¿Cómo se explica la vulnerabilidaddel whatsapp de Jeff Bezos?
Primero, porque en ese caso la fuente es una fuente de la que tú te fías. El caso de Bezos es muy complejo. Utilizaba una vulnerabilidad específica de whatsapp que se activaba cuando recibías algún vídeo mal formateado. No era un ataque trivial, ni común, como los que puede recibir todo el mundo. Para esos ataques tan complicados hay que tener otro tipo de medidas de seguridad incorporadas, a parte de una buena formación.
¿Usted también cree que las guerras,como ahora las conocemos, se ganarán o perderán muy pronto en el ciberespacio?
La verdad es que siempre ha habido espionajeindustrial y este tipo de cosas entre las superpotencias. Lo que ocurre ahoraes que hay un nuevo canal de comunicación y un nuevo escenario de guerra, entrecomillas, que es el ciberespacio. Agencias gubernamentales contratan a alguien enuna gran compañía para que haga la puerta atrás. Ahora mismo estamos asistiendoa una guerra comercial por la supremacía tecnológica entre China y EstadosUnidos. La lucha por el ciberespacio es otra forma de hacer la guerra y tenemosque estar preparados para combatir con otro tipo de armas. El ejército deIsrael ya ha anunciado la creación de un cuerpo de cibernautas. En EE.UU,dentro de cada cuerpo del ejército, ya existen secciones de ciberespacio, loque llamaríamos de inteligencia militar.
¿WannaCry marca un antes y un despuésen la lucha contra los ciberataques?
Sin duda, WannaCry – mayo de 2017 - cambióel juego de la ciberseguridad porque fue un evento global. Un evento que enEspaña se vivió en primera persona por algunas empresas tecnológicas, y no solopor Telefónica. Hubo otros afectados que se callaron. Nosotros lo sufrimos conellos, con un cortafuegos que se estaba cayendo continuamente, aunque lonegaban. ¿Seguro que tú no has sufrido un ciberataque? Es que ha subido tantoel tráfico… Nos estáis engañando. Si queréis hacemos confidencialidad, pero nonos engañéis. Lo más novedoso de WannaCry es que no atacaba a un solo usuario, sinoque a partir de ese usuario se expandía la infección por todos los lados. WannaCrycambió completamente la escala de este juego.
Es también curioso comprobar laresistencia de algunas empresas y particulares a denunciar las extorsiones yataques.
Hay muchos casos que se ocultan. Elproblema es que no se puede perseguir algo que no ha sido previamentedenunciado. Los que están aseguradosdicen: prefiero no dar a conocer este ciberataque, pagar lo que haya que pagar yme sale más rentable que la pérdida de credibilidad. Pero sería bueno que sedieran a conocer estos casos para que la concienciación fuera mucho mayor.
¿Lo más novedoso?
Una compañía israelí, que luego lacompró NS Group, hizo una investigación de vulnerabilidades en iOS y en Android,infectando los móviles con un software de espionaje. En teoría, el software sevendía a los gobiernos para realizar investigaciones contra el crimen. Pero locierto es que esa herramienta también parece ser que la compró Arabia Saudí yque fue utilizada para investigar a ciertos periodistas y activistas políticoscontrarios al régimen. Cualquier herramienta puede ser mal utilizada. Frente aella es muy difícil protegerse porque se trata de vulnerabilidades que nosotrosllamamos de vía cero.
¿Se atreve a hacer un diagnóstico delsector?
Ahora hay una tendencia a que las empresas desarrollen productos específicos para los diferentes tipos de ciberataques. Para proteger la nube hay una especialización, para proteger los móviles otra… Hasta hace unos años, la protección de los móviles no era negocio. Hoy es un negocio, y muy bueno, porque todo el mundo tiene uno o dos dispositivos móviles y en ellos tiene metida su vida. Es probable que la próxima oleada de ataques venga a través de los móviles. En Internet de las Cosas (IoT), en empresas médicas, en infraestructuras y en entornos industriales ocurre algo parecido. Hay un campo en el que se aplican medidas de seguridad estándares, pero cada vez se tiende más a la especialización.
“Aconsejamos que no se paguen los rescates, porque al hacerlo teconviertes en un objetivo de por vida y encima promocionas ese tipo deciberdelincuencia”
¿Tenemos suficientes profesionalespara afrontar estos nuevos retos?
Hay una carencia de especialistas, enEspaña y en otros países. El entorno de la ciberseguridad, dentro de latecnología, es probablemente el más complejo. ¿Por qué? Porque es muy dinámicoy exige conocer bien y saber adaptarse a las innovaciones. Hoy es la nube,mañana IoT, después redes de móviles, luego otra cosa… La ciberseguridad eshorizontal en todos los aspectos y los profesionales tenemos que saber de todo.
¿No habría que ser más exigente conlos fabricantes en el tema de la seguridad de sus productos?
Pero en muchas ocasiones lavulnerabilidad no es del fabricante. Uno de los ataques más grandes se produjohace un par de años y fue causado por las cámaras IP, que van por la red. Pordefecto, esas cámaras tienen un usuario y un password que la gente no cambiaba.Que tú no cambies el usuario y el password estándar que viene en el manual noes problema del fabricante. Por supuesto que hay que forzar a los fabricantes aque diseñen con seguridad, pero también hay que forzar a los usuarios a queactúen de otra manera.
¿Qué nuevas tendencias deciberataques se vislumbran en el horizonte?
Cada vez veremos más ataques ainfraestructuras críticas. Ataques muy dirigidos, incluso por los propiosEstados. El ransomware será menos aleatorio y estará más pensado para secuestraruna entidad concreta. Veremos ataques contra empresas concretas, pidiéndoles unrescate si quieren recuperar su infraestructura.
¿Es partidario de que se opongaresistencia al pago de esos rescates?
Nosotros aconsejamos que no sepaguen, porque al hacerlo te conviertes en un objetivo de por vida y encimapromocionas ese tipo de ciberdelincuencia. Si les sale rentable, seguiránhaciendo nuevos ataques. Además, en muchas ocasiones, tampoco hay garantía deque vayas a recuperar tus datos, si pagas ese rescate. Lo primero que hay quehacer cuando te ocurra una cosa de este tipo es ponerte en manos deprofesionales y denunciarlo a la policía. Caso que no se denuncia, caso que noexiste, ni aparece sumado en las estadísticas.