Director técnico para España y Portugal

Eusebio Nieva (Check Point): “La protección de los móviles es un gran negocio, porque tenemos la vida metida en ellos”

256

Cuando se incorporó a Check Point, el 3 de enero de 2001, muchos de los profesionales de seguridad IT se conocían personalmente. Eran casi una familia. Eusebio llegó a Check Point desde una multinacional norteamericana que distribuía el hardware de su actual empresa y se convirtió en el primer técnico de la compañía. Tres o cuatro años después era ya la cabeza visible de un equipo cada vez más numeroso. Desde hace quince años, en su tarjeta de visita aparece el cargo de “director técnico de Check Point para España y Portugal”. Tiene experiencia y una gran capacidad para transmitirla de manera interesante y convincente.

¿Cómo está ahora el sector, casi veinte años después de llegar usted a Check Point?

Ha cambiado mucho. Se ha convertido en un sector boyante, donde se mueven muchas empresas, y no sólo de ciberseguridad. Hay otras empresas que intentan meterse en este mercado para asegurarse los ingresos. El negocio online es fundamental para un gran número de compañías. Eso significa que la seguridad para ellas es muy importante. Antes no era así. Decían: tengo una página web y si no me funciona tampoco pasa nada. No pierdo negocio. Pero, ahora, si tu página web no funciona, dejas de tener ingresos. El acceso a Internet y la seguridad de ese acceso ha dejado de ser un tema secundario y se ha convertido en algo fundamental. El sector de la ciberseguridad ha explotado y también han aumentado los ataques y los incidentes. Allí donde se mueve dinero se mueven los delincuentes. Algo tan sencillo como eso.

Sin embargo, todavía hay empresas que oponen cierta resistencia a invertir en seguridad informática.

Hay mucha gente que no tiene una apreciación correcta del nivel de peligrosidad. Una empresa como Telefónica, que está abordando nuevos proyectos tecnológicos, sabe cuáles son los posibles peligros. Sin embargo, una empresa familia, donde Internet o la comunicación son cosas secundarias, no tienen esa concienciación. Pero, aunque no tengan incluso una web, simplemente por el correo electrónico, pueden ser atacados. Ese es precisamente uno de los puntos de entrada a las compañías. Y, en un momento determinado, te pueden robar mucho dinero.

¿Se refiere a la falsificación de emails?

A la EMT de Valencia le robaron hace unos años por esa vía varios millones de euros. Simplemente, con una investigación de la empresa, con la falsificación del correo de ciertas personas, engañaron a la persona responsable de los pagos y consiguieron que los hiciera donde no debía.  Se trata de un ataque muy común, de bajo nivel tecnológico. Lo que sí requiere es mucha investigación por parte de los delincuentes sobre esa empresa, para saber quiénes son las personas claves de la misma.

¿Quiénes son más vulnerables las empresas privadas o la Administración?

El problema que tiene la Administración es, en muchas ocasiones, de falta de presupuestos y de exceso de confianza. No existe una asunción de responsabilidades si ocurre un ataque de este tipo. ¿Cuántos alcaldes han caído porque su municipio haya sido atacado? ¿A quién han despedido? ¿Quién ha dimitido?

La banca sigue siendo uno de los grandes objetivos de los ciberdelincuentes.

La banca sabe perfectamente que tiene algo que todo el mundo quiere: dinero. Por eso los bancos siempre han estado protegidos. Con mayor o menor éxito, invierten grandes cantidades de dinero en protección. Muchas veces, basta con que los usuarios sepan reconocer los ataques y amenazas. Cuando veas un correo sospechoso, no pinches o ponlo en duda. La formación es fundamental.

“Cuando veas un correo sospechoso, no pinches o ponlo en duda. La formación es fundamental”

De hecho, se realizan ataques internos en algunas compañías para ver cómo responden los empleados. Para comprobar qué nivel tienen. No para sancionarlos, sino para saber cuál es el grado de protección que demuestran. En la Administración esto no se hace y la inmensa mayoría de los ataques que han sufrido las corporaciones locales y organismos gubernamentales han sido triviales. Ataques muy conocidos y poco complicados. En los próximos años veremos un incremento de los ataques e intentos de extorsión a municipios. Se está viendo ya en Estados Unidos y eso quiere decir que llegarán aquí en muy poquito tiempo. Ni estamos preparados tecnológicamente, ni los usuarios tienen los recursos mentales para detectar cuándo hay un ataque.

¿Se deberían dar más cursos de formación?

Nosotros, en Check Point, organizamos cursos en la enseñanza secundaria para que los jóvenes reconozcan el problema. La policía también da sus charlas, para que detecten los timos por Internet y qué es lo que deben hacer en esos casos. Por ejemplo, todo el mundo sabe que no debe utilizar la misma clave – password – para todos los servicios, pero lo hace. Y, cuando te pillan en uno de esos servicios, caen todos detrás.

Tal y como está el patio, todas las precauciones son pocas…

Efectivamente. Hace dos o tres años cayó mucha gente en el timo de Unión Fenosa, a pesar de no tener contratado el servicio con esa compañía. La gente iba y lo miraba. Pero, ¿por qué lo abres? Le estás dando la oportunidad de atacarte a alguien que ni siquiera te ha investigado. Son correos que se mandan a todo el mundo, esperando que alguno pique. Y alguno siempre pica. Por eso se sigue haciendo. Uno de los problemas más comunes hoy en día es el robo o secuestro de datos (ransomware).

“Todavía hay gente que cae en el timo del ‘príncipe nigeriano’”

¿Tendríamos que ser más desconfiados?

Claro. Si te ofrecen por 20 euros un producto que vale 500 lo primero que tienes que hacer es sospechar. Si ves en whatsapp que Mercadona hace una oferta, mira a ver dónde pinchas y comprueba lo que estás haciendo. Si es una noticia de España y el sitio que te aparece en el navegador es Colombia tienes que empezar a sospechar. Todavía hay gente que cae en el timo del “príncipe nigeriano”.

“El ataque al whatsapp de Jeff Bezos no era un ataque trivial, ni común, como los que puede recibir todo el mundo”

¿Cómo se explica la vulnerabilidad del whatsapp de Jeff Bezos?

Primero, porque en ese caso la fuente es una fuente de la que tú te fías. El caso de Bezos es muy complejo. Utilizaba una vulnerabilidad específica de whatsapp que se activaba cuando recibías algún vídeo mal formateado. No era un ataque trivial, ni común, como los que puede recibir todo el mundo. Para esos ataques tan complicados hay que tener otro tipo de medidas de seguridad incorporadas, a parte de una buena formación.

Eusebio Nieva, en las oficinas de Check Point en Pozuelo de Alarcón (Madrid)

¿Usted también cree que las guerras, como ahora las conocemos, se ganarán o perderán muy pronto en el ciberespacio?

La verdad es que siempre ha habido espionaje industrial y este tipo de cosas entre las superpotencias. Lo que ocurre ahora es que hay un nuevo canal de comunicación y un nuevo escenario de guerra, entre comillas, que es el ciberespacio. Agencias gubernamentales contratan a alguien en una gran compañía para que haga la puerta atrás. Ahora mismo estamos asistiendo a una guerra comercial por la supremacía tecnológica entre China y Estados Unidos. La lucha por el ciberespacio es otra forma de hacer la guerra y tenemos que estar preparados para combatir con otro tipo de armas. El ejército de Israel ya ha anunciado la creación de un cuerpo de cibernautas. En EE.UU, dentro de cada cuerpo del ejército, ya existen secciones de ciberespacio, lo que llamaríamos de inteligencia militar.

¿WannaCry marca un antes y un después en la lucha contra los ciberataques?

Sin duda, WannaCry – mayo de 2017 – cambió el juego de la ciberseguridad porque fue un evento global. Un evento que en España se vivió en primera persona por algunas empresas tecnológicas, y no solo por Telefónica. Hubo otros afectados que se callaron. Nosotros lo sufrimos con ellos, con un cortafuegos que se estaba cayendo continuamente, aunque lo negaban. ¿Seguro que tú no has sufrido un ciberataque? Es que ha subido tanto el tráfico… Nos estáis engañando. Si queréis hacemos confidencialidad, pero no nos engañéis. Lo más novedoso de WannaCry es que no atacaba a un solo usuario, sino que a partir de ese usuario se expandía la infección por todos los lados. WannaCry cambió completamente la escala de este juego.  

Es también curioso comprobar la resistencia de algunas empresas y particulares a denunciar las extorsiones y ataques.

Hay muchos casos que se ocultan. El problema es que no se puede perseguir algo que no ha sido previamente denunciado.  Los que están asegurados dicen: prefiero no dar a conocer este ciberataque, pagar lo que haya que pagar y me sale más rentable que la pérdida de credibilidad. Pero sería bueno que se dieran a conocer estos casos para que la concienciación fuera mucho mayor.

¿Lo más novedoso?

Una compañía israelí, que luego la compró NS Group, hizo una investigación de vulnerabilidades en iOS y en Android, infectando los móviles con un software de espionaje. En teoría, el software se vendía a los gobiernos para realizar investigaciones contra el crimen. Pero lo cierto es que esa herramienta también parece ser que la compró Arabia Saudí y que fue utilizada para investigar a ciertos periodistas y activistas políticos contrarios al régimen. Cualquier herramienta puede ser mal utilizada. Frente a ella es muy difícil protegerse porque se trata de vulnerabilidades que nosotros llamamos de vía cero.

¿Se atreve a hacer un diagnóstico del sector?

Ahora hay una tendencia a que las empresas desarrollen productos específicos para los diferentes tipos de ciberataques. Para proteger la nube hay una especialización, para proteger los móviles otra… Hasta hace unos años, la protección de los móviles no era negocio. Hoy es un negocio, y muy bueno, porque todo el mundo tiene uno o dos dispositivos móviles y en ellos tiene metida su vida. Es probable que la próxima oleada de ataques venga a través de los móviles. En Internet de las Cosas (IoT), en empresas médicas, en infraestructuras y en entornos industriales ocurre algo parecido. Hay un campo en el que se aplican medidas de seguridad estándares, pero cada vez se tiende más a la especialización.

“Aconsejamos que no se paguen los rescates, porque al hacerlo te conviertes en un objetivo de por vida y encima promocionas ese tipo de ciberdelincuencia”

¿Tenemos suficientes profesionales para afrontar estos nuevos retos?

Hay una carencia de especialistas, en España y en otros países. El entorno de la ciberseguridad, dentro de la tecnología, es probablemente el más complejo. ¿Por qué? Porque es muy dinámico y exige conocer bien y saber adaptarse a las innovaciones. Hoy es la nube, mañana IoT, después redes de móviles, luego otra cosa… La ciberseguridad es horizontal en todos los aspectos y los profesionales tenemos que saber de todo.  

¿No habría que ser más exigente con los fabricantes en el tema de la seguridad de sus productos?

Pero en muchas ocasiones la vulnerabilidad no es del fabricante. Uno de los ataques más grandes se produjo hace un par de años y fue causado por las cámaras IP, que van por la red. Por defecto, esas cámaras tienen un usuario y un password que la gente no cambiaba. Que tú no cambies el usuario y el password estándar que viene en el manual no es problema del fabricante. Por supuesto que hay que forzar a los fabricantes a que diseñen con seguridad, pero también hay que forzar a los usuarios a que actúen de otra manera.

¿Qué nuevas tendencias de ciberataques se vislumbran en el horizonte?

Cada vez veremos más ataques a infraestructuras críticas. Ataques muy dirigidos, incluso por los propios Estados. El ransomware será menos aleatorio y estará más pensado para secuestrar una entidad concreta. Veremos ataques contra empresas concretas, pidiéndoles un rescate si quieren recuperar su infraestructura.

¿Es partidario de que se oponga resistencia al pago de esos rescates?

Nosotros aconsejamos que no se paguen, porque al hacerlo te conviertes en un objetivo de por vida y encima promocionas ese tipo de ciberdelincuencia. Si les sale rentable, seguirán haciendo nuevos ataques. Además, en muchas ocasiones, tampoco hay garantía de que vayas a recuperar tus datos, si pagas ese rescate. Lo primero que hay que hacer cuando te ocurra una cosa de este tipo es ponerte en manos de profesionales y denunciarlo a la policía. Caso que no se denuncia, caso que no existe, ni aparece sumado en las estadísticas.