Hablamos con el Coronel Fernando Acero, a quienes sus colegas definen como un "pata negra" mundial en el ámbito de la ciberseguridad.Coronel del Ejército del Aire en la Reserva, es CiSO y Consultor de Ciberseguridad e Inteligencia. Durante su carrera militar ha ocupado cargos tan importantes como el de director de Ciberdefensa del Ejército del Aire. Discreto y amable, está considerado como un auténtico gurú en el ámbito de la ciberseguridad, una persona que sabe de lo que habla y comparte conocimientos a través de las redes y también en libros y artículos.
¿Cómo se especializa alguien como usted en ciberseguridad?
Cuando yo empecé a pensar en la ciberseguridad, allá por el año 1997, solamente se podía ser autodidacta y curioso. Ahora las cosas han cambiado. Por ejemplo, este año se ha aprobado la creación de dos nuevos títulos de especialización de Formación Profesional (FP) de Grado Superior en Ciberseguridad en el entorno de las tecnologías de la información (IT) y en el de las de operación (OT). Además, se pueden cursar másteres en Ciberseguridad (civil) o en Ciberdefensa (militar) en varias universidades españolas, y también hay cursos de especialización en ciberseguridad o en ciberinteligencia en varios centros de formación.
Háblenos de su trayectoria.
He sido una persona que dentro de las Fuerzas Armadas he podido desarrollar lo que han sido mis dos grandes pasiones, volar y la seguridad informática. Durante los primeros años de mi carrera, como profesor de vuelo y jefe de Mantenimiento de Aeronaves en la Base Aérea de Getafe y, posteriormente, como jefe de Operaciones de Ciberdefensa y, finalmente, como Director de Ciberdefensa, que fue mi último destino como coronel. Durante el tiempo de piloto, siempre he tenido cometidos relacionados con las comunicaciones, seguridad de la información, la informática o la cifra, por lo que la rama tecnológica me ha acompañado durante toda mi carrera militar.
La ciberseguridad es uno de los sectores con más futuro en estos momentos de crisis y, sin embargo, había hasta ahora un desconocimiento general en amplias capas de la sociedad. La situación está cambiando. ¿A la fuerza ahorcan?
Con un 54% de las empresas españolas atacadas mediante ransomware el año pasado y con un 60% de las PYMES que han recibido un ciberataque con éxito, que cierran antes de los 6 meses de haberlo recibido, es algo muy a tener en cuenta. Probablemente, entre 30.000 y 60.000 PYMES, de un total de 3.330.000 censadas, cierran anualmente como consecuencia de ciberataques mayores.
¿Las pymes están suficientemente preparadas en nuestro país para afrontar los retos de la ciberseguridad?
La evidencia dice que no, tras la pandemia las pymes van a tener que optimizarse para sobrevivir y eso implica sufrir una transformación digital. Pero esa trasformación digital tiene peajes, como el coste inicial, el coste de mantenimiento de las licencias, el coste de la renovación tecnológica y gestión de la obsolescencia, y por supuesto, el coste de la ciberseguridad. Nada de lo anterior puede quedar a medias y ha de contemplarse en el plan de negocio. Si los números no salen, hay que considerar seriamente que la empresa puede que no sea viable.
¿Hay hueco para un marketplace de expertos en ciberseguridad?
En este momento ya hay una gran demanda de profesionales de la ciberseguridad, con los perfiles más diversos y, por lo que estamos viendo, esa demanda no puede más que incrementarse. De acuerdo con el estudio de febrero de 2017 Global Information Security Workforce Study, realizado por(ISC)2, se estima que en 2022 harán falta 1,8 millones de profesionales de seguridad, pero con las consecuencias de la pandemia, la transformación digital acelerada y el teletrabajo, es muy posible que esa cifra se quede corta.
Sigue leyendo la entrevista y sabrás la importancia del análisis de riesgos para una empresa a la hora de invertir en ciberseguridad.
"El primer activo de las empresas digitales son los datos y, como activo, se han de proteger adecuadamente, por lo que la ciberseguridad se ha de considerar siempre como una inversión y no como un gasto"
¿Qué importancia tiene el análisis de riesgos para una empresa a la hora de invertir en ciberseguridad?
La ciberseguridad implica trabajar con riesgos abstractos no muy intuitivos, y es un problema complejo y holístico, por lo que solamente se puede acometer con una tecnología adecuada. El análisis de riesgos forma parte de esa metodología y nos permite una adecuada gestión de los riesgos remanentes. El análisis de riesgos es la única forma de tomar decisiones de ciberseguridad con conocimiento de causa y de acometer la inversión en ciberseguridad, con eficiencia y eficacia, gastando en aquello que realmente se necesita y priorizando lo más urgente.
Hay quien ha disminuido el gasto en las partidas de informática y ciberseguridad… ¿No le parece suicida?
Pues, si no es como consecuencia de haber realizado un análisis de riesgos y se ha recortado en todo aquello que no fueran riesgos calificados de muy altos, altos o medios, efectivamente esa disminución en la inversión en ciberseguridad puede tener unas consecuencias muy serias. También hay que decir que el primer activo de las empresas digitales son los datos y, como activo, se han de proteger adecuadamente, por lo que la ciberseguridad, se ha de considerar una inversión y no un gasto. Asimismo, es imposible la digitalización o la transformación digital para ser más productivos, sin invertir en informática y en ciberseguridad, por lo que reducir el gasto en informática y ciberseguridad parece, como poco, paradójico.
¿Cuáles son en su opinión los sectores con mayor futuro?
En ciberseguridad hay muchos perfiles y especialidades, como analistas de malware, ciberinteligencia, informática forense, monitorización, pentesting, aplicación de plantillas de seguridad, etc. Todos ellos son necesarios para que la ciberseguridad funcione adecuadamente,y por tanto, todos ellos tienen futuro.
¿De qué sirve el balance de cuentas, el plan de negocio y la auditoría independiente ante los riesgos que acechan a algunas empresas?
Creo que el riesgo financiero es importante y hay que gestionarlo adecuadamente, pero en una empresa que ha sufrido una transformación digital, los datos son su principal activo y cualquier ciberataque que afecte a su confidencialidad, integridad o disponibilidad, puede tener consecuencias catastróficas que pueden llevar la empresa a la quiebra.
¿Cómo ha de ser el análisis de riesgos cibernéticos?
El análisis de riesgos cibernéticos, y la gestión que se haga de los mismos, debe ser un documento necesario para conocer el valor real de la empresa, si vale la pena invertir en ella, o los gastos que hay pendientes de acometer para que sea razonablemente segura desde el punto de vista cibernético.
Sigue leyendo para conocer su opinión sobre la supuesta desactivación de Emotet con un Gif
"La 'Mitigación expuesta' implica un ciberataque a la infraestructura de emotet y el ejercicio de la violencia es potestad exclusiva de los estados"
Diversos medios han publicado la noticia de que se podía desactivar Emotet con un Gif. ¿Qué opina?
Lo que ha pasado realmente es que un 'hacker' ha logrado acceder a la infraestructura que usa el troyano Emotet y ha sustituido el archivo ejecutable que contiene el “malware”, un gráfico inocuo en formato gif con el fin de mitigar su alcance e impacto. La segunda lectura es que esa “mitigación” implica un ciberataque a la infraestructura de Emotet y el ejercicio de la violencia es potestad exclusiva de los Estados, tras la paz de Westfalia. Es decir, si ese “hacker” es un particular, aunque despierte simpatía en la sociedad y su resultado sea bueno, se podría considerar su acción como ilegal y punible, puesto que nadie se puede tomar la justicia por su mano.
¿Es la banca el sector más perjudicado ante los ciberataques?
Es cierto que la mayor parte de los ciberataques busca el beneficio económico del atacante y en los bancos está el dinero, por lo que presumiblemente los bancos son objetivo de muchos ciberataques, pero también es cierto que la banca invierte mucho en ciberseguridad y esos ciberataques raramente tienen éxito. Por ello, los ciberatacantes, en lugar de ir directamente por los sistemas de la banca, van a por sus usuarios, que es un eslabón más débil. Y suelen usar para ello campañas de phishing orientadas al fraude o a la obtención de datos sensibles y utilizables para ciberataques posteriores.
¿Qué riesgos han asumido las empresas durante la pandemia al mandar a los trabajadores a sus casas?
Si no han realizando un análisis de riesgos ante la nueva situación y no han obrado en consecuencia, el riesgo es muy grande. Conozco empresas que han quitado el cortafuegos al no poder configurar servicios para el teletrabajo, como el escritorio remoto o las videoconferencias, o que han estado accediendo a servicios internos de la empresa, sin unaRed Privada Virtual (VPN) que les protegiera adecuadamente en la nueva situación. No cabe duda de que las empresas tenían que seguir trabajando, pero el riesgo de sufrir un ciberataque y tener que cerrar es demasiado grande, si no se hacen las cosas bien.
¿Cuál ha sido uno de los riesgos más acusados?
Quizás el problema más grave se ha producido cuando empresas, que no tenían medios propios para el teletrabajo, han tenido que recurrir a sistemas propiedad de los empleados para el teletrabajo. Eran sistemas que no estaban gestionados, que posiblemente no tenían la configuración y las aplicaciones de seguridad más adecuadas y que podían estar en una situación de seguridad mala y, cuanto menos, desconocida.
¿Puede ser divertido el aprendizaje en ciberseguridad?
La ciberseguridad es un tema de aptitud y de actitud. Puede que con mucha formación obtendremos aptitudes, pero si no tienes una buena actitud, lo que llamaba “la ética hacker” es mucho más difícil todo y es muy posible que, sin esa aptitud, la ciberseguridad y las técnicasde hacking no parezcan nada divertidas.Pekka Himanen, en su libro de culto titulado “La ética del hacker y el espíritu de la era de la información” aborda en profundidad este tema.
Sigue leyendo el resto de la entrevista, y sabrás cuál ha sido el ciberataque que más ha impresionado al Coronel Fernando Acero y sus opiniones sobre las teorías conspiranoicas sobre la pandemia y las características morales y psicológicas que ha de tener un buen CISO.
"Un CISO es una persona que frecuentemente tiene que saber nadar y guardar la ropa"
Para los expertos resulta todo muy sencillo de explicar, pero la información no acaba de llegar al usuario de la tecnología¿Qué conocimientos básicos ha de tener cualquier empleado yun ama de casa sobre ciberseguridad?
Cuando hablamos de ciberseguridad, comprobamos que uno de los principales problemas que tienen las empresas es la falta de concienciación en ciberseguridad de sus empleados, y nadie se puede defender de algo que desconoce, por lo que ese desconocimiento es un riesgo. Pero, aunque el problema parece empresarial, lo cierto es que es un problema social. Todos usamos la tecnología, pero pocos saben la forma de usarla de forma segura y eso nos afecta en el trabajo y en nuestra vida diaria. La ciberseguridad y la ciberhigiene, y no como especialidad laboral, deberían formar parte, al nivel que corresponda, de todos los ciclos formativos. Un estudio realizado en 2016 por McAfee y el Center for Strategic and International Studies (CSIS), mostró que un 82 % de las empresas participantes se quejaban de falta de conocimientos de ciberseguridad en sus organizaciones, y el 71 % reconoció que ese déficit facilitaba que fueran ciberatacadas.
¿El ciberataque que más le ha impresionado?
Hay dos, el de Stuxnet y el de WannaCry, pero, en relación con este último, lo más impresionante fue la excelente reacción de Telefónica a la hora de contenerlo y mitigarlo, seguido del notable éxito de la empresa a la hora de recuperarse del mismo, y todo ello, sin afectar a sus clientes, a pesar de que era una amenaza desconocida, global y muy peligrosa.
No nos enteramos ni de la mitad de los incidentes que ocurren… ¿Es normal? ¿Se hace para proteger las investigaciones o hay un exceso de celo a la hora de ocultarlos?
La ciberseguridad implica convertir amenazas desconocidas en conocidas, lo que se materializa en Indicadores de Compromiso (IOC) e Indicadores de Ataque (IOA). Una vez compartidos, se comportan como una vacuna para todo el mundo. El no compartir información va en contra de la seguridad colectiva. Creo que la falta de comunicación, tras un incidente o evento de ciberseguridad, se debe más a la falta de cultura de ciberseguridad que a una acción premeditada u orientada a proteger investigaciones. Para evitar este problema, la normativa europea contempla la obligatoriedad de comunicar los ciberataques cuando afecten a derechos y libertades de los usuarios.
El CISO es a veces un personaje incómodo en las empresas, o digamos que su labor es difícil… ¿Qué características psicológicas y morales ha de reunir?
Un CISO es una persona que frecuentemente tiene que saber nadar y al mismo tiempo guardar la ropa. Cuando hay un ciberataque con éxito a una organización, todo el mundo mira al CISO, pero es raro que haya sido algo que se haya producido por su culpa, me consta que todos los CISOS saben perfectamente lo que hay que hacer, otra cosa es que puedan hacerlo. Un CISO además de tener unos buenos conocimientos técnicos, tiene que saber comunicar y convencer y tomar medidas que no afecten de forma significativa a la productividad de la empresa de otro modo, tendrá problemas. La seguridad y la comodidad van reñidas y ese es otro de los problemas con los que tienen que lidiar los responsables de seguridad y ciberseguridad de las organizaciones y no es sencillo.
¿Qué opina sobre las teorías conspiranoicas sobre la pandemia, guerra bacteriológica, Club Bildberger, intereses de farmacéuticas, Bill Gates, etc?
Las teorías de la conspiración han existido siempre y es fácil montarlas cuando no está toda la información disponible para el público, o se puede poner en duda una fuente. Pero realmente, lo que pasa es que nuestro cerebro tiende a creer lo que parece más simple y la realidad suele ser más compleja que la mayor parte de las teorías de la conspiración.
¿Qué recomendaría en estos momentos de crisis a los emprendedores?
Que su modelo de negocio se base en la digitalización o en la transformación digital, y que contemplen todas las inversiones que sean necesarias para que todo funcione bien y que lo haga de forma segura.
Sigue leyendo si quieres saber la opinión de Fernando Acero sobre la deslocalización de las empresas y su experiencia como paciente de la sanidad que sufrió la pandemia del Covid-19
"El personal sanitario de este país ha dado un paso al frente y ha salvado miles de vidas, entre las que estaba la mía, por lo que todo mi eterno agradecimiento y reconocimiento es para ellos"
Como experto en inteligencia, ¿qué opina de la deslocalización de determinadas empresas vitales para cubrir determinadas necesidades básicas delos países?
Aunque la deslocalización parecía una buena idea cuando se pensaba en reducir costes y aumentar la productividad, con la pandemia hemos comprobado que hay una serie de capacidades industriales críticas que no se deberían deslocalizar.
¿Con qué ventajas cuenta España para afrontar lo que nos viene encima?
Creo que debemos afrontar la transformación digital forzada por la pandemia como una oportunidad y hacerlo bien, para ser competitivos y tener una industria cibersegura. Por otra parte, existen muchas posibilidades de ser líderes en ciberseguridad y en sistemas IT/OT usando software libre. Hay muchos nichos de mercado, como, por ejemplo, el de un sistema operativo seguro, certificado y acreditado, con un ciclo de vida de más de 30 años, que se podría basar en Software Libre. Dicho sistema operativo se usaría para sistemas críticos, industria, automoción, naval, aeronáutico, militar, appliances de seguridad, sistemas IT/OT. Dicho sistema operativo se podría gestionar con un modelo basado en una fundación o en una cooperativa empresarial, reduciendo enormemente los costes de producción. No me cabe la menor duda, de que lo mejor que tiene España es su pueblo. Siempre ha sabido reaccionar bien, incluso en las circunstancias más adversas y la pandemia está siendo muy dura, pero también ha logrado sacar lo mejor de muchas personas, lo que abre la puerta a la esperanza.
Usted ha sufrido el Covid. Háblenos del tema sólo si quiere hacerlo. ¿Qué opina del sistema sanitario español?
Es cierto, estuve muy grave y acabé ingresado a principios de la pandemia, dos días antes de declararse el estado de alarma, por lo que se sabía muy poco del COVID-19 y del SARS-COV-2. Mi opinión solamente puede ser buena. A pesar de todo, con independencia de que fuera sanidad pública o privada, de los recortes en sanidad y de la falta de material y equipo, con grandes sacrificios personales y familiares, el personal sanitario de este país ha dado un paso al frente y han salvado miles de vidas, entre la que estaba la mía, por lo que todo mi eterno agradecimiento y reconocimiento es para ellos.
¿Sintió miedo?
Los pilotos tienen que tener las situaciones bajo control incluso en las condiciones más desfavorables. En mi caso, durante mi estancia en el hospital, veía que iba empeorando día a día y que las cosas estaban completamente fuera de mi control. A pesar de mi fe en el magnífico equipo de profesionales que me estaba atendiendo, es fácil caer en la desesperación. Pero también he de decir que cuando comenzaron los problemas graves, allá por el día 16 de marzo, una de las cosas que más temía era que el hospital en el que estaba ingresado en estado muy grave pudiera sufrir un ciberataque mayor, en un momento en el que los sistemas informáticos eran más críticos para salvar vidas y mantener la cadena logística funcionando adecuadamente. Los pilotos tienen que tener las situaciones bajo control, incluso en las condiciones más desfavorables, y el Covid-19 y hospitalizado no era algo que estuviera bajo mi control al tiempo que veía que iba empeorando día a día. A pesar de mi fe en el magnífico equipo de profesionales que me estaba atendiendo durante las largas horas de confinamiento, era fácil caer en la desesperación y el desánimo.
¿Le gustaría compartir algún pensamiento con las personas que han pasado por la misma situación?
Me gustaría comentar una cosa a las personas que han pasado el Covid-19 y siguen teniendo síntomas y secuelas. Yo, nada más llegar a casa, todavía en cuarentena, comencé a hacer rehabilitación respiratoria y, en cuanto tuve ocasión, comencé a hacer ejercicio aeróbico, en mi caso, bicicleta. A fecha de hoy puedo decir que he mejorado mucho y que tengo la esperanza de estar como antes en poco tiempo, recuperación que algunos médicos han calificado de milagro.
¿Por qué habla tanto la gente de Soros en estos tiempos?
Posiblemente, por la reciente publicación de libros sobre él. Eso siempre anima el ambiente.
En Serbia ha habido una rebelión. La gente no quería confinarse... ¿Qué opina?
Como en ciberseguridad, las medidas de seguridad sanitaria deben ser fruto de un análisis holístico que contemple todas las variables y maximice unos resultados óptimos con el mínimo coste. Si la población no lo percibe así, ya sea porque no se hace el análisis, no se hace correctamente, o no se comunica adecuadamente, es fácil que haya oposición al cumplimiento, aunque ello pueda ser un desastre para ellos. Lo más importante a la hora de tomar decisiones que nos puedan afectar gravemente es intentar tener los conocimientos y todos los elementos de juicio necesarios para no equivocarnos.
Sigue leyendo si quieres conocer la opinión de Fernando Acero sobre las puertas traseras en el hardware, en el firmware y el software y su valoración de los sueldos que se pagan en ciberseguridad.
"El sueldo de un analista de malware junior puede ser de 30.000 euros al año al empezar, pero cuando llegue a senior, con experiencia, puede llegar a cobrar 60.000 euros anuales"
¿Cree que hay fabricantes de software que dejan puertas traseras?
La historia reciente está llena de casos de distintos tipos de puertas traseras. Incluso ha habido “errores”, según los fabricantes afectados, que se han comportado como verdaderas puertas traseras. En el mundo actual el nuevo petróleo son los datos, y es normal, aunque no es algo generalizado, que este tipo de cosas ocurran y sigan ocurriendo. También es cierto que en muchas ocasiones es extremadamente complicado encontrar puertas traseras incluidas en el hardware, en el firmware o en el software.
Faltan expertos en ciberseguridad. Los posibles candidatos dicen que cobran más programando. ¿Cómo se soluciona el problema?
En ciberseguridad hay muchos perfiles, por ejemplo, el sueldo de un analista de malware junior puede ser de 30.000 euros al año al empezar, pero cuando llegue a senior, con experiencia y una formación avanzada, puede llegar a cobrar 60.000 euros anuales. En 2018, la directora ejecutiva de Michael Page Tecnología manifestó que el sueldo de un experto en Ciberseguridad en España podía variar entre los 80.000 y los 120.000 euros anuales. Supongo que se refería a consultores o CISOS, pero el sueldo va a depender mucho de la empresa y sector de actividad, puesto que no es lo mismo un CISO de un Banco , que en una pyme.
¿Por qué hay tan poca gente que use Linux?
Linux es un sistema operativo libre que permite que el usuario haga lo que desee, desde modificarlo a su gusto a solventar problemas con las aplicaciones, a crear cosas nuevas. Es normal que las personas con capacidad para hacer estas cosas, es decir, que tengan perfiles técnicos, prefieran usar Linux. Pero eso no significa que Linux no sea un sistema operativo apto para todos los públicos. De hecho, no es mejor ni peor que otros sistemas operativos, simplemente es un poco distinto y si avanzas en su uso y tienes esa aptitud y actitud hacker, te lo puedes pasar muy bien con él. Creo que no tiene mucho sentido decir que no te gusta Linux y luego tener un dispositivo móvil con Android.
¿Hace falta un coeficiente de 175 para ser criptógrafo?
Por definición, un criptógrafo es una persona que se dedica a romper códigos criptográficos, es decir se dedican realizar cripotoanálisis, que es el estudio de sistemas criptográficos con el fin de encontrar debilidades en los sistemas y acabar con su seguridad sin el conocimiento de información secreta. Para esta tarea hay que tener profundos conocimientos en varias disciplinas, como la misma criptografía, las matemáticas, electrónica o la física, lo que es muy demandante desde el punto de vista intelectual. Yo no digo que sea imprescindible, pero si vemos la historia del criptoanálisis no cabe duda esa cualidad personal puede ayudar bastante.
¿De qué le ha servido su experiencia como militar a la hora de abordar problemas y estrategias?
No me cabe la menor duda de que mi vida militar me ha aportado mucho, sobre todo experiencia en entornos cibernéticos críticos y muy demandantes sujetos a normativa STIC nacional y OTAN, o al Esquema Nacional de Seguridad. Asimismo, he tenido la oportunidad de adquirir conocimientos y experiencia en inteligencia y ciberinteligencia, que son dos áreas que también tienen mucha utilidad para trabajar en ciberseguridad, experiencia que es posible que sea complicado obtener en empresas de tipo medio. Por otra parte, mi experiencia como piloto, responsable de mantenimiento de aeronaves y de ciberseguridad, también me han proporcionado conocimientos y experiencia en un área que está tomando una gran relevancia en este momento, como es el caso de la ciberseguridad aeroespacial.
Fin de la entrevista