Carlos Fragoso es un profesor certificado por el Instituto SANS, un centro dedicado a reunir información sobre todo lo relacionado con la seguridad informática y la ciberseguridad, para posteriormente ofrecer capacitación y certificación en el ámbito de la ciberseguridad. Además, es el Principal DFIR (Digital Forensics Incident Response) de One eSecurity. Escudo Digital ha hablado con él para conocer las preocupaciones principales de la industria en materia de ciberseguridad en España.
¿Cuáles son las principales preocupaciones en materia de ciberseguridad entre las empresas españolas?
En los últimos años ha crecido tanto el volumen de empresas afectadas por incidentes de seguridad como el impacto de éstos. Desde One eSecurity, como empresa especialista en este campo, destacamos especialmente los de tipo ransomware, fraude financiero (suplantación del CEO y variantes) y espionaje industrial (BEC y otros).
Hay mucho temor al impacto en la imagen reputacional y a la disrupción en las operaciones del negocio
Además, losgobiernos y los diversos entes reguladores (agencias de protección de datos)están siendo más incisivos en el ámbito de notificación y respuesta. Por estemotivo hay una preocupación tanto en evolucionar adecuadamente la arquitecturade seguridad para una mejor protección, como en la mejora de la deteccióntemprana (vital para minimizar el impacto) así como en una respuesta yrecuperación eficaz y diligente. Hay mucho temor al impacto en la imagenreputacional y a la disrupción en las operaciones del negocio por el robo o lasmultas de los reguladores mencionados.
Otra preocupación principal es una conveniente protección centrada más en los datos y menos en la infraestructura, en un entorno tan dinámico y a veces incluso fuera de nuestro ámbito administrativo, como es el caso de la nube.
¿Es la formación de los empleados en materia de ciberseguridad un factor clave entre las empresas españolas?
En laciberseguridad, como en cualquier otro ámbito tiene que existir una equilibradasinergia entre tecnología, procesos y personas. Invertir en tecnología oherramientas, cosa muy habitual, no es suficiente si descuidamos incorporarunos procesos adecuados, nuestro personal (no solo el que trabajaexplícitamente en ciberseguridad) debe tener el conocimiento y habilidadesadecuadas para desempeñar su trabajo y minimizar el riesgo y favorecer ladetección y respuesta temprana a posibles brechas.
En la ciberseguridad, como en cualquier otro ámbito, tiene que existir una equilibrada sinergia entre tecnología, procesos y personas
Sin lugar a duda en los cursos impartidos desde SANS Institute vemos que la formación es clave porque no solo brinda conocimiento actualizado, sino que ayuda a desarrollar las habilidades (teóricas y prácticas) y proporciona mediante casos de estudio e historias reales, la experiencia que solo se consigue con el tiempo y centenares de batallas. Por desgracia en nuestro país siempre se ha visto a la formación como un premio al empleado cuando debería ser una obligación para garantizar que el correcto desempeño de los equipos.
Junto a la formación, hay un tema que siempre rodea a la industria: la falta de talento. ¿Es una realidad o simplemente es que al no estar lo suficientemente bien pagados, prefieren irse a otros países?
Es un temacomplejo y que tiene múltiples vertientes. En España históricamente hemostenido grandísimo talento en este campo, quizás por la combinación de lacultura ‘latina’ mezcla de pasión, motivación, curiosidad e incluso cierta“picardía” junto con una buena preparación pedagógica. Los puestos a cubrir enel ámbito gubernamental, gran empresa y consultoría/servicios, entre otros, hansido limitados y no todos han tenido salarios competitivos o bien pon una malagestión de las carreras profesionales.
Los profesionales de la ciberseguridad son gente inquieta, inconformista, por ese motivo muchos han buscado nuevas aspiraciones económicas o inquietudes fuera de nuestras fronteras.
A nuestro sistema académico desde la Primaria hasta la Universidad/Formación Profesional le falta crear un mejor pilar en habilidades blandas combinado con una mayor adaptación a las demandas del mercado
Sin embargo, uno de los problemas de fondo es la demanda del mercado y cuantos profesionales cualificados se podrán generar para cubrirla. Además, hay que tener en cuenta que la ciberseguridad es un campo muy sacrificado a nivel personal, se necesita muchísima dedicación, autoaprendizaje, largas jornadas de trabajo, estrés; y eso a veces es una barrera de entrada para personas que prefieren unos puestos con una buena retribución y menor sacrificio.
En mi opinión, anuestro sistema académico desde la primaria hasta la universidad/formaciónprofesional le falta crear un mejor pilar en habilidades blandas (pensamientocrítico, comunicación, creatividad…) combinado con una mayor adaptación a lasdemandas del mercado, un mayor equilibrio entre lo académico y la experienciaprofesional, nutrirse de la experiencia y no solo de la investigación.
¿Qué diferencias ves en materia de ciberseguridad entre España y el resto de los países? ¿Es cierto que España tiene un buen nivel?
Es difícilentrar en comparaciones, sin fijar cuales son los parámetros o varas de medir.Desde ciertos puntos de vista nuestro país puede parecer estar muy atrás y sinembargo en otros a un muy buen nivel. Creo que es positivo que haya unatendencia de mayor compromiso y mejora en este campo tanto en el ámbitogubernamental como en el sector privado, se puede ver en las numerosasiniciativas que se ponen en marcha.
Creo que, aunqueotros países siempre han contado con mayores recursos o medios, nuestro país hahecho “más con menos” explotando la creatividad de nuestros profesionales ysiendo más eficaces en los resultados.
Aunque otros países siempre han contado con mayores recursos o medios, nuestro país ha hecho “más con menos” explotando la creatividad
Quizás el hecho de ser un país menos hostil o atractivo para ciertas naciones o grupos criminales nos ha mantenido en una segunda o tercera línea de interés. Lo que sí podemos apreciar es que de manera natural otras naciones (por ejemplo, los países anglosajones) han asimilado fácilmente la ciberseguridad como una parte más de la seguridad física/integral, y de la propia inteligencia, en nuestro país está costando mucho más unir ambos mundos.
¿Qué ciber-medidas deberían tomar las empresas españolas para proteger sus activos?
Lo primero y lo más importante, la concienciación y formación a los empleados, ellos son la primera línea de defensa en muchos de los ataques y evitarlos, detectarlos y responder a tiempo pasa por ellos. Esto va mucho más allá de explicar lo de no hacer clic en correos sospechosos, hablamos de cambiar su mentalidad (mindset) para aplicar conceptos de seguridad en todos sus procesos.
Por otro lado,desgraciadamente estamos viendo que no todas protegen adecuadamente suinformación, ni su perímetro, y cosas tan básicas como unos buenos respaldos(backup) son imprescindibles hoy en día.
Estamos viendo que no todas (las empresas) protegen adecuadamente su información, ni su perímetro, y cosas tan básicas como unos buenos respaldos
Uno de losprincipales problemas de seguridad viene por el uso inadecuado de credencialesde acceso, habitualmente con contraseñas, el fortificar este ámbito con buenasimplementaciones de tecnologías de doble o triple factor puede evitar muchos delos vectores abusados. Todo ello sin olvidar unos buenos procesos de auditoríay gestión de las vulnerabilidades, muchos de los ataques utilizan vectores oproblemas de seguridad conocidos que se podrían corregir para anticiparse a suexplotación.
¿Es la tecnología cloud un nicho de ciberataques?
Al final un entorno cloud no deja de ser más que un dominio administrativo de un tercero, pasar de tener infraestructura propia a que la aloje un tercero en modo servicio junto a otros muchos clientes. Solemos decir en ciberseguridad que el cloud no es más que “el ordenador de otro”. Por este motivo son un entorno de interés para los atacantes porque saben que pueden ser más opacos o complejos de gestionar para la organización usuaria, además de la dificultad investigativa y forense que entraña su naturaleza dinámica y cambiante (pueden decrecer o crecer según la demanda).
Además, todavía falta una amplia experiencia práctica, que solo se consigue con el tiempo, en la gestión de incidentes en dichos entornos. Conseguir comprometer un entorno de cloud proporciona una posición dominante al atacante donde puede manipular su infraestructura ‘virtual’ con simples configuraciones (Software-Defined-Networks SDN) e incluso posibilitar comprometer la información de múltiples clientes.
¿Cómo puede una empresa pequeña, tipo pyme, proteger sus activos? ¿Es necesario un equipo dedicado a ello?
Un negocio tiene sentido si sus productos o servicios generan beneficios, por lo tanto, todo lo que una PYME tenga que invertir en ciberseguridad aporta calidad y seguridad, pero resta beneficio económico.
Por lo tanto, auna PYME le puede resultar complicado contar con las tecnologías necesarias opersonas cualificadas dentro de sus márgenes económicos, por este motivo lohabitual es utilizar economías de escala es decir escoger productos oproveedores de servicio que a un precio razonable les puedan ayudar a reducirel riesgo de impacto ante posibles incidentes.
En muchas deellas acaba siendo una combinación entre los servicios propios de su proveedorde telecomunicaciones combinado con los proveedores de cloud/alojamiento queesté utilizando para sus aplicaciones, todo ello sin olvidar una robusta ysegura gestión de la microinformática.
Hace sólo unas semanas, la Comisión Europea hacía público un informe alertando de los riesgos de la 5G, ¿qué impacto crees que tendrá esta tecnología en la ciberseguridad de las empresas?
Estamos viviendomuchísimos cambios tecnológicos, por un lado, las tecnologías móviles nos hanllevado a un nuevo paradigma donde los usuarios están siempre conectados desdemúltiples dispositivos y con grandes anchos de banda antes inimaginables. Porotro lado, ya no solo las personas sino los propios dispositivos o máquinastienen sus propias conexiones para ser operados remotamente o intercambiar datos.
Esto genera unescenario con muchísimos más dispositivos, con anchos de banda muy altos(similares a las redes corporativas) y con un perímetro cada vez más difuso.Esto nos genera una gran asimetría, las redes de servicio o corporativas puedenestar expuestas a grandes ataques, por ejemplo, de denegación de servicio,realizados desde millones de dispositivos de índole muy diversa (desde unanevera a un equipo de aire acondicionado) controlados/comprometidos por untercero.
¿Qué tipo de ataques crees que van a marcar la agenda de los próximos meses?
A corto plazo nocreo que la tendencia vaya a cambiar enormemente de la ya conocida, es decirespionaje industrial y extorsión/fraude utilizando los vectores que ya se hanmencionado tales como ransomware, compromisos de credenciales con acceso adatos (correo o documentos) en la nube, etc.
Los atacantes están sacando un buen rédito económico sin estar obligados a cambiar su modus operandi. En todo caso en las diversas investigaciones forenses que hemos realizado en One eSecurity se aprecia que los atacantes cuentan con una mayor profesionalización y colaboración entre ellos y cada vez utilizan técnicas para pasar más desapercibidos, parecerse más al comportamiento de los usuarios o administradores (living of the land) dificultando su detección.
Seguramente empecemos a ver en el ámbito doméstico/pyme un mayor compromiso de dispositivos conectados ya sean cámaras web, altavoces, asistentes personales u otros, y en el entorno de empresa de otros dispositivos del ámbito industrial (OT).