Al utilizar este servicio y el contenido relacionado, aceptas el uso de cookies para análisis, contenido personalizado y publicidad.
Estás usando una versión más antigua del explorador. Usa una versión compatible para obtener la mejor experiencia en MSN.

'Es una cuestión de tiempo que los 'ciberataques' tengan un impacto real en el mundo físico'

El Mundo El Mundo 31/05/2014 PABLO ROMERO

Hablar con sobre seguridad en la Red es todo un reto ya que una vez que empieza a hablar la pasión por su trabajo le posee y no hay manera de pararle. Es el máximo responsable de investigación de , una de las grandes compañías de seguridad informática del mundo.

© Proporcionado por elmundo.es

Poco queda ya del chico tímido, pálido y delgado al que le gustaba 'romper cosas' y destripar sistemas; ahora nos encontramos ante un hombre atlético, deportista, con el pelo rubio cuajado de rizos y una sonrisa permanente. Ha dado , sus conferencias están llenas de ejemplos gráficos y energía, ha sido incluso calificado como una en el mundillo de las compañías de seguridad.

En una hora de entrevista, este joven experto desgrana sus puntos de vista sobre el panorama de la 'ciberseguridad', los más recientes agujeros en la Red, las tendencias del 'cibercrimen' e incluso si estamos inmersos ya en una 'ciberguerra' mundial.

A continuación publicamos la entrevista íntegra en la que entre otros asuntos Lyne reflexiona sobre el uso intensivo de tecnología en todos los aspectos de la vida diaria y sus consecuencias para la seguridad.

¿Estamos seguros? En una palabra: no. Hay sin lugar a dudas un enorme desafío y mucho trabajo que tiene que desempeñar la sociedad en general y en todas partes del mundo para generar un internet más seguro, una tecnología más segura. Encima, si miro hacia atrás unos cuatro o cinco años, nos encaminamos hacia una menor seguridad. Los delincuentes tienen cada vez más poder en el mundo, tanto digital como físico; los daños económicos son potencialmente mayores, y hay cada vez menos confianza 'online'. A mí me gusta decir que la estructura de la seguridad está construida sobre cimientos débiles, y deberíamos volver atrás y reconstruir los pilares fundamentales de esa confianza, educar a la sociedad y reforzar la tecnología que nos rodea. Todo ello como premisas para darle la vuelta a esta situación. ¿Cuáles son esos cimientos, esos fundamentos que crees que hay que 'reparar'? Son muy básicos. Mira, te voy a dar una referencia de un proyecto reciente que estamos desarrollando y que se llama . Básicamente lo que hemos hecho es recorrer calles de un par de ciudades (de momento, Londres, Las Vegas y San Francisco, pronto en Hanoi) con varios sensores capaces de escanear redes WiFi con diferentes niveles de seguridad para construir un mapa en el que se mostrara cómo la gente está aplicando o no la configuración de seguridad de dichas redes. Hay un estándar 'wireless' llamado WEP, que es 'crackeable' desde nada menos que 2001 y sobre el que existen herramientas desde 2004 que facilitan a cualquiera romper esta barrera de acceso en menos de 60 segundos. En San Francisco, por ejemplo, cerca del 10% de las redes que encontramos estaban 'protegidas' por WEP; en Londres, más del 6%. También controlamos los puntos de conexión abiertos 'Free Public Internet'; en Las Vegas, 2.712 personas se conectaron a través de uno de ellos en tan solo tres horas: banca 'online', redes sociales, etc... En resumen, la sociedad no está tomando ni siquiera las más elementales precauciones para garantizar un mínimo de seguridad en la red, se depende de unas ideas sobre seguridad realmente anticuadas como considerar que una identificación y una contraseña es suficiente. El escalón que existe entre la tecnología que la gente usa y la seguridad real es cada vez más grande. Todo esto puede indicar lo retrasada que está la sociedad en este asunto. ¿Es por tanto el factor humano clave cuando hablamos de seguridad informática? La seguridad depende sin duda de una combinación entre gente, procesos y tecnología. Hay que abordar estos tres factores para tener éxito. Siempre digo que no existe la seguridad al 100%, no hay "seguridad absoluta". Pero si te fijas en lo que se puede conseguir de la gente simplemente con un poquito más de educación, y un adecuado control de los procesos más simples, podríamos obtener una enorme mejoría en cuestiones de seguridad, y de forma casi inmediata. En cualquier caso, estoy de acuerdo con la pregunta, el factor humano es clave. Hemos trabajado mucho con algunos Gobiernos, como por ejemplo aquí en el Reino Unido, para mentalizar a la gente acerca de estos asuntos, y creo que se debería hacer algo parecido en otros países en Europa. Y ojo, la educación no sólo para adultos, creo que los niños en las escuelas deberían aprender cómo navegar seguros en Internet y qué significa la privacidad 'online'. Y hablo de edades entre cuatro y seis años, cuando realmente empiezan a tener contacto con la Red. Me imagino que si la idea de privacidad 'cala' entre la población se va a convertir en un pequeño problema para algunos gobiernos y administraciones que 'vigilan' las redes... Bueno, sí [risas] Hablemos primero de Heartbleed. ¿Puedes explicar en pocas palabras por qué es un problema serio y qué consecuencias puede llegar a tener este agujero tan importante? Heartbleed es básicamente un defecto de 'software', un error de programación que se cometió al desarrollar un determinado 'software' llamado OpenSSL. Permite a un atacante conectarse a un servidor o cualquier otra solución 'online' y robar pequeños trozos de información personal desde un ordenador desde cualquier parte del mundo. La clave es que este problema permite robar un poquito de información cada vez, pero puedes hacerlo una y otra vez, con lo que el resultado es como un puzle de información. Como obtienes la información de la memoria de un sistema remoto determinado, quizá puedas tener acceso a detalles de diferentes usuarios, como sus nombres y contraseñas, e incluso alguna clave para resolver la encriptación de la información bancaria de otros usuarios; e incluso se podría acceder a un control total de un servidor de forma remota. En resumen, Heartbleed permite a un atacante sobrepasar muchas de las medidas tradicionales de seguridad y robar potencialmente la información más valiosa de un usuario, como la que se encuentra en los perfiles bancarios o en los de los sitios sociales que usa. Eso es esencialmente lo que significa este agujero de seguridad. Fue 'parcheado' muy rápidamente una vez fue detectado, pero desgraciadamente la naturaleza del 'software' afectado, que es muy utilizado en todas partes, ha convertido este problema de seguridad en todo un reto. Se estima que cerca del 70% de los servicios de Internet podrían estar usando esta tecnología OpenSSL. Te puedes imaginar la pesadilla de actualizar todo aquello ante posibles ataques. Este problema parece que tiene una especial incidencia en el llamado 'internet de las cosas'. ¿Puedes explicar por qué? Seguro. Este es uno de los principales problemas. Cuando se anunció por primera vez la existencia de Heartbleed, hubo dos preocupaciones principales, sobre todo: por un lado, la constatación de que el problema había estado ahí durante nada menos que dos años y nadie se había dado cuenta de ello; de hecho, nadie sabe cuántas personas habrán explotado este agujero. Puede incluso que algunos gobiernos pudieran haber extraido información gracias a este problema. Por otro lado, hubo un problema de pánico e ineficacia en los primeros momentos tras descubrirse este fallo. Muchos titulares eran erróneos, hubo 'expertos' en medios que gritaban sobre "el virus Heartbleed"... [risas]. , por ejemplo. No, en serio, hubo muchísima desinformación, muy confusa además. Con Heartleed pasó exactamente lo mismo que con cualquier asunto de 'ciberseguridad' 'sexy': llega a los titulares, se mantiene arriba durante un par de semanas o tres, y luego desaparece. Quiero decir, nadie habla más del tema realmente, quitando algún artículo de fondo. Y eso es un problema enorme. Te explico por qué, y es que los grandes sitios web ya han implementado los parches, todos los proveedores de internet social, etc... es decir, mientras existe una preocupación real se dan prisa para arreglar el problema. Luego, se pide a los usuarios que cambien las contraseñas, lo que está bien. El problema es que hay una 'larga cola' ('long tail') de dispositivos afectados por este 'agujero', y ese hecho nos lleva a pensar en el problema de Heartbleed en la llamada 'Internet de las cosas'. Te explico un ejemplo: Fui a Amazon y compré 11 cámaras de videovigilancia (CCTV) diferentes: un par de dispositivos pensados para controlar la salud de tus plantas, un monitor para bebés, y un par de dispositivos móviles para localizar tus llaves en caso de que las hubieras perdido... es decir, unos cuantos ejemplos de dispositivos conectados a internet, ejemplos de los que llamamos 'Internet de las cosas'. De las cámaras de vigilancia domésticas que compré, tres de ellas se veían afectadas por el agujero Heartbleed y no ha habido ninguna señal de que los fabricantes vayan a 'parchear' el problema pronto. Estas cámaras se conectan de forma automática a Internet, de modo que en el momento en el que las conectas quedan también conectadas a la Web a través de un puerto abierto, y un estudio sugiere que hay 540.000 de estas cámaras conectadas a la Red. Imagina, si tan sólo un pequeño porcentaje de ellas (tres de 11, en mi caso) funcionan con un sistema con la vulnerabilidad Heartbleed, son muchas cámaras a las que se puede acceder de forma no autorizada. Aún peor, el resto de cámaras no eran vulnerables a Heartbleed porque directamente no usaban para conectarse un protocolo seguro 'https', no había encriptación de ningún tipo, directamente se conectaban a través del protocolo 'http'. ¡No sé qué es peor! Cuatro de esas cámaras tenían nombres de usuarios y contraseñas ya grabadas por defecto. Muchas de ellas eran "admin-admin", "admin-password", "admin-default", etc. Otras tres tenían fallos de seguridad web muy básicos, de modo que es relativamente fácil 'crackear' el interfaz de usuario y extraer información. Una vez comprobado todo eso, yo he llegado a encontrar alguna cámara de entre esas 540.000 conectadas a Internet. Una de ellas, que ni siquiera estaba protegida por contraseñas, estaba una gasolinera y apuntaba directamente a un cajero automático, con gran definición de imagen; se podía ver perfectamente la información completa de las tarjetas de crédito y cómo los usuarios marcaban su número PIN. Todo eso abierto, en la Red, al alcance casi de cualquiera. Vamos, que la clave del problema es que Heartbleed puede que se haya resuelto para las páginas web más importantes, pero durante dos, tres, cuatro años, puede que 10 años, estaremos encontrando ese fallo en dispositivos médicos, sistemas conectados, en la banca 'online', y en general cualquier dispositivos englobado en la 'Internet de las cosas'. De hecho, sobre la 'Internet de las cosas' a mí me gusta decir que parece que estamos en 2001. Todas las técnicas antiguas, las vulnerabilidades viejas, que pensábamos que ya estaban superadas, están ahí. Estamos dando pasos hacia atrás. Y da un poco de miedo, la verdad. Hablemos de los 'cibetataques' que lideran los gobiernos. Muchos espían, se aprovechan de vulnerabilidades para espiar o incluso para dañar sistemas... Y vosotros, por la naturaleza de vuestra actividad, andáis en mitad de todo este 'fuego cruzado'. Seguro que sabéis un montón de cosas que no contáis, además. ¿Cuál es vuestra responsabilidad aquí? ¿Cómo actuáis en estas situaciones? Bueno, éste es el reto: creo que todos sabemos que los gobiernos llevan a cabo operaciones de inteligencia. Por supuesto, usan espías, físicamente y ahora también en el ciberespacio. Y no creo que nadie esté alarmado por ello. Dicho esto, creo que cualquiera se sentiría sorprendido por la escala que estas operaciones en todo el mundo. No se trata de un país o dos, es que todos los países lo están haciendo. Todos. Algunos más que otros, no sé si queda más o menos claro [risas]. Solíamos poder distinguir entre las actividades de los gobiernos y la industria del espionaje, el cibercrimen y los 'script kitties' (los intrusos que usan programas de otros para atacar redes y modificar páginas web). Vaya, se podía separar claramente los 'piratas' y los que trabajaban por la seguridad nacional. Quiero dejar claro que el hecho de tratar de evitar, por ejemplo, un ataque terrorista, es en sí una cosa buena. Por eso esta cuestión no es simple. Y por eso cuando uno pone en la balanza la seguridad y la privacidad no puede afirmar que es mejor un 100% de privacidad (porque podría comprometer la seguridad), o un 100% de seguridad (porque lógicamente, y especialmente en Europa, apreciamos la privacidad, por supuesto). Desde los laboratorios de Sophos vemos 150.000 programas de 'malware' diferentes cada día, y cerca de 30.000 sitios web infectados también cada día, lo que implica miles y miles de ordenadores comprometidos. Y ya no se puede notar la diferencia entre un ataque de un 'script kitty' y un ataque proveniente de algún grupo organizado de 'cibercriminales' e incluso un gobierno. Todos parecen lo mismo. Lo único que pueden diferenciarlo es el objetivo, es qué es lo que tratan de conseguir. Para mí, creo que todos los ataques parecen iguales porque así lo quiere la industria del 'cibercrimen'. Hay ahora cerca de 50 productos disponibles como 'servicios comerciales en la nube', en donde puedes pagar cerca de 40 dólares al mes y puedes alojar ahí tu servidor para tareas de 'cibercrimen' y con la garantía de que ninguna fuerza de seguridad va a acceder a él o lo va a cerrar. Proveen de servicio técnico, documentación, y poner en marcha un espacio así está a tres 'clics' de facilidad. Todo el mundo, desde el chaval solitario hasta la industria del 'cibercrimen', usan esas mismas plataformas. Y de hecho para la policía y para las fuerzas de seguridad es 'bueno' que todo parezca lo mismo porque pueden entrar ahí y 'esconderse'. Los 'script kitties' compran programas para atacar y la industria del 'cibercrimen' desarrolla sus propias herramientas. Así es como funciona, a grandes rasgos. Ahora bien, para nuestra compañía funciona de la siguiente manera: 'malware' es malo. Siempre. Si alguien entra en tu sistema e instala un programa que no has pedido, es malo, y vamos a tratar de pararlo. Da igual quién haya desarrollado el ataque. Podríais estar en medio de una operación gubernamental, en determinados casos... Seguro que pasa constantemente. Seguro. En cualquier caso, yo siempre he pensado que nunca hay un buen momento para que un gobierno utilice 'malware'. Creo que a veces sí podría ser bueno que lo hagan, pero no me corresponde mí ser quién elija cuñado algo así es bueno o no. Lo cierto es que no tenemos leyes lo suficientemente claras, tampoco una guía que nos indique esto... En los últimos meses hemos visto casos en los que fue bien y en los que fue mal. Todo lo que podemos hacer es decir, desde nuestra compañía: El 'malware' es malo. Y eso es todo un reto para los gobiernos, para tratar de hacer lo que nosotros combatimos. Honestamente creo que ayudaría que las leyes europeas evolucionasen y fueran más consistentes, más claras, que indicasen sin duda en qué casos esa manera de actuar es buena y cuáles es mala. Mira, en el Reino Unido, si la policía tiene una "sospecha fuerte'" de que estás haciendo algo malo, pueden intervenir la comunicación. Quizá alguien se sorprenda, pero yo estoy de acuerdo con ello como ciudadano. Es un precio que estoy dispuesto a pagar por la seguridad. En España se necesita una orden judicial antes, siempre. En cualquier caso, en esta tensión entre seguridad y privacidad, pueden abrirse puertas muy peligrosas y terminar interviniendo o grabando cualquier comunicación en aras de la seguridad, ¿no? Completamente de acuerdo, por eso es tan importante encontrar un equilibrio. Mira, hasta ahora si la policía tenía pruebas de que alguien podría ser un riesgo para la seguridad se obtenían permisos para investigarle más a fondo. Si las pruebas no eran suficientes, pues imperaba su derecho a la privacidad. Pero es que ahora este esquema, este modelo, no funciona de forma consistente. Quizá porque pueden obtener una enorme cantidad de información sin necesidad de espiar, sólo a través del análisis de los datos personales y de comportamiento que ya existen y que son fácilmente -e incluso legalmente- accesibles, analizados (lo que se llama ahora 'big data'), cruzándolos... Eso es, y aquí la cosa se complica. Si miramos la idea de privacidad-seguridad y los fines de ciertas organizaciones, parece fácil dibujar una línea. Pero si nos fijamos en la inmensa cantidad de datos 'online', y en la habilidad para relacionarlos entre ellos, y luego pueden compararse con fuentes más privadas, como las escuchas... La ley opera justo a ese nivel. Pero la realidad te está diciendo que pueden usar tu nombre, tu fecha de nacimiento, otros datos por el estilo, pero no puedes usar unos determinados datos, a un nivel muy, muy específico. Lo malo es que la realidad está constantemente cambiando, a veces de una semana para otra, y para cambiar una ley a veces se requieren años. Supongo que la ley juega un papel de marco, no de una sita cerrada de qué y qué no puedes hacer con cada cambio tecnológico semanal... Sí, claro, si no no sería eficiente. Lo que me preocupa es las recientes revelaciones de lo que los gobiernos pueden hacer con los datos. Creo que muchos se han quedado anonadados con esto. Incluso la idea del uso de 'metadatos' o del análisis 'big data' para localizar potenciales riesgos parece un poco 'Gran Hermano', es preocupante. No importa las veces que el gobierno diga: "No te preocupes, no escucharemos tus conversaciones, podemos deducir con otros datos si eres un terrorista pero no escucharemos tus conversaciones". Creo que la confianza se ha roto. Y creo que daña la misión última del Gobierno, que es que nos sintamos seguros. Ojo, yo estoy muy a favor de esa finalidad, no soy de los que piensan que no deberían existir, creo que juegan su papel. Por tanto, cómo podemos resumir esto: es muy confuso, parece que seguiremos viendo problemas de confianza en los próximos años, creo que hay importantes diferencias e inconsistencias entre los países en estos asuntos, y creo que tienes razón al apuntar que existe en gran medida una 'ciberguerra' en estos momentos -naciones 'amigas' europeas espiándose entre ellas-, y encima cada vez menos podemos distinguir entre operaciones de Gobiernos y del 'cibercrimen'. Así que lo único que podemos hacer desde nuestra compañía es seguir protegiendo a nuestros clientes y tratar de detener el 'malware', no importa su origen. Es una posición muy dura, y estamos haciéndolo lo mejor que sabemos. Hablando de 'ciberguerra', algunos expertos no están muy cómodos con el término 'ciberguerra' en sí. Muchos, especialmente desde los gobiernos, niegan que tal cosa esté sucediendo. ¿Qué opinas? ¿Sabes? Hay un montón de definiciones de 'guerra' incluso sin el 'ciber' delante. Para mí tiene un significado específico: 'guerra' se da, en una definición convencional, cuando tiene un impacto directo en la vida de las personas, o bien se manipulan factores -como las finanzas- hasta un punto tal que tienen un impacto en la vida o la integridad física de las personas. En resumen, si yo vuelo algo, si impacto en la vida de las personas con una acción que pueda causar hambre, o muerte, es un acto de guerra. La razón de esta definición es que hay una serie de actos que las naciones han estado llevando a cabo durante cientos de años que separamos del término 'guerra' -por ejemplo, actividades de inteligencia o incluso de espionaje- porque de otro modo estaríamos siempre en riesgo de pulverizarnos los unos a los otros con ataques nucleares, lo que no estaría bien. Por tanto, normalmente el uso de la palabra 'ciberguerra' es peligroso porque normalmente no nos estamos refiriendo a una 'guerra', sino a inteligencia o, por qué no, delitos o crimen. Dicho eso, creo que la 'ciberguerra' es algo muy real. No hay duda de que se puede acceder a las infraestructuras de telecomunicaciones, a las infraestructuras de los mercados financieros, de hecho hemos visto cómo puede existir 'ciberintrusismo' en las redes de energía (un ejemplo de ello fue el ataque protagonizado por ), es decir, hay muestras de que la 'cibertecnología' puede tener un impacto real en el mundo físico, y entraríamos en los dominios del término 'guerra'. Hasta ahora, parece que las consecuencias de los ataques no han llegado a niveles considerados convencionales de 'guerra', pero honestamente se trata de una cuestión de tiempo. Mientras más tecnología nos encontremos en nuestros hogares, en nuestra vida diaria, en nuestros negocios y en nuestras infraestructuras nacionales... Piensa en las ciudades 'inteligentes', en donde todo está conectado a redes, en los controles domóticos, en casa, en donde sistemas diferentes se encargan de encender la tele o tirar de la cadena del retrete... En mis presentaciones hago ejemplos prácticos de cómo se puede entrar sin permiso en un gestor domótico y activar y desactivar electrodomésticos o sistemas eléctricos a voluntad. De hecho, es posible hacer estallar una lámpara, vaya, puedo hacer que se queme, físicamente. Vamos a ser más y más dependientes de estos sistemas en la próxima década. Mientras esto sucede, es muy probable que en los planes de grupos 'ciberterroristas' o incluso algunos estados planeen acciones a través de estos canales. ¿Y cuáles son las consecuencias de este escenario para ciudadanos, empresas y especialmente para las compañías de seguridad? Para mí, creo que una creciente preocupación. Ahora, los problemas más comunes y realistas en cuanto a la seguridad informática son daños financieros, ataques contra la reputación y pérdida o secuestro de datos. Son problemas serios, completamente, puedes perder una enorme cantidad de dinero, incluso puedes arruinarte. Y como ciudadanos puedes verte implicado en situaciones muy sucias, como cuando secuestran 'webcams' y monitorizan la actividad de los niños o de personas en su actividad doméstica, íntima. Es daño social. Y es grave. Pero hacia donde nos estamos encaminando como sociedad los daños pueden ser muchísimo más graves, peores. Cuando la tecnología está a nuestro alrededor, cuando puedes controlar la energía eléctrica, por ejemplo, o cualquier otro factor en el que confiamos nuestra actividad normal, como los sistemas de reparto de comida... Imagínate. O incluso los datos de salud, que tienen por cierto la máxima protección legal. Estoy pensando incluso en la moda de los 'wearables', los dispositivos que uno se coloca y monitoriza tus funciones vitales para luego mandarlo a una aplicación, y vista la seguridad de ciertos dispositivos... Los datos de salud son una auténtica pesadilla en términos de seguridad. Normalmente las bases de datos centralizadas de los sistemas de salud están fuertemente custodiados y a salvo, pero cuando uno baja a hospitales, clínicas y centros de investigación la verdad es que es para horrorizarse: sistemas médicos encargados de monitorizar tu corazón, por ejemplo, que funcionan con Windows XP, que ya no tiene actualizaciones de seguridad. También encuentras claves y contraseñas extremadamente débiles, fallos de seguridad muy, muy antiguos y que pensábamos superados. Hice una investigación en una instalación en una central eléctrica recientemente, y si se desconectaba uno de los controladores no había manera de controlar la seguridad de esta central; y si aquello pasaba, había que reiniciar todo el sistema y un ingeniero tenía que reconfigurarlo. Había un UPS (sistema de alimentación ininterrumpida, SAI, unsistema que proporciona electricidad en caso de un fallo de la corriente) para poder seguir funcionando, y la el usuario y la contraseña para acceder a panel de control de este sistema de alimentación auxiliar era sencillamente: 'UPS-UPS'. Podrías entrar de esa manera y podías apagar ese sistema, con lo que al final podía pasar que absolutamente nada estuviera monitorizando la seguridad de la central. Estos son fallos de seguridad muy básicos, pero en lugares en los que dichos fallos pueden causar muchísimo daño. Y se me ocurre... ¿qué sucedería si alguien entra en los sistemas de un hospital local y modifica la información de tu tipo de sangre, pone otro completamente diferente? Imagina que entras por Urgencias por un accidente grave... Da miedo. Y buen, no se trata de que ahora mismo entremos en pánico, pero en cinco, diez años, viendo hacia dónde está evolucionando la sociedad en términos de uso intensivo de tecnología, es muy factible que estos ataques terminen produciendo. Tenemos que hacerlo mejor antes de que esto suceda. El significado verdadero de 'ciberguerra' (no el 'hype' '¡ciberguerra!', así a gritos) es una posibilidad genuina que podría ocurrir en los próximos años. ¿Cómo manejamos esta realidad en Europa? ¿Tenemos las normativas adecuadas, los convenios bilaterales y los marcos adecuados para saber qué hacer en caso de una 'ciberguerra'? ¿Cuándo saber si hay 'ciberguerra' o no? ¿Cómo distinguir un ataque 'cibercriminal' de un 'ciberataque' proveniente de un estado como China o Rusia? Yo creo que ahora mismo la gente no está preparada, no comprenden el término 'ciberguerra', se usa muy alegremente y con la misma velocidad se descarta como algo que no está pasando. Bien, pues yo creo que es un paisaje preocupante y muy serio. ¿Tiene sentido lo que acabo de decir? Es que el tema me apasiona... [risas] Hablemos de los mercados de '0-day exploits' (o 'ataque de día-cero' un ataque contra un sistema a partir de una vulnerabilidad normalmente desconocida, y que termina circulando por foros y sitios de compra-venta, los citados mercados) . Sobre este asunto y relacionado con lo anterior, es muy curioso cómo los gobiernos son los principales compradores en estos mercados de vulnerabilidades... Completamente, están considerados como los mayores compradores de 'exploits'. ¿Por qué crees que esto es así? ¿No están alimentando de alguna manera esa industria del 'cibercrimen' que ya existe? ¿Qué está pasando ahí? Bueno, estos 'mercados' de vulnerabilidad se han desarrollado muy rápidamente en los últimos años. Comenzaron de forma muy 'ruidosa', por eso se veían venir. Podías acceder a los acuerdos, incluso hay quien aún anuncia su 'mercancía' claramente. Mucho de todo eso se ha vuelto más oscuro, ha pasado a un plano más discreto. Es decir, ahora mismo es más 'lo que no vemos' que 'lo que vemos' en el '0day market'. Por supuesto que hay estados compradores en este mercado, de hecho son de los mejores pagadores dado que buscan sobre todo ataques de día-cero de alta calidad, que supongo que usarán en misiones de 'ciberinteligencia'. No obstante, a veces adquieren ataques que les dan acceso a un número enorme de sistemas, en todo el mundo, lo que hace que sea complicado deducir cuál es la finalidad real o concreta de dichos ataques. Y da un poco de miedo. Por otro lado, tenemos este tipo de mercados para 'cibercriminales', en donde se 'empaquetan' estas vulnerabilidad y se ponen a la venta. Y de nuevo, no se sabe necesariamente quién o con qué fin se compran. Mira, un ejemplo: hubo un ataque contra tres agencias europeas de defensa, las tres atacadas en un espacio muy breve de tiempo. El 'malware' usado estaba diseñado para buscar información militar muy específica, por lo que no parecía en principio una acción 'cibercriminal' sino otra cosa. Menos de tres horas después del ataque -que tuvo éxito, por cierto-, este 'malware' fue empaquetado junto con otra serie de herramientas en un 'exploit pack' con el que cualquier 'cibercriminal' podía atacar PC domésticos en todo el mundo en busca de números de tarjetas de crédito. Ojo, ¡en menos de tres horas! O sea, que o bien la misma persona está trabajando para ambas actividades, o bien alguien lo construyó y lo vendió a múltiples partes, o bien alguien del mundo del 'cibercrimen' vio el ataque, hizo ingeniería inversa para reproducir el ataque y luego lo incluyó en su 'pack'. Y esto sucedió en muy poco espacio de tiempo, estamos hablando de gente muy inteligente. Y cualquier escenario es malo, sin duda da miedo. Creo que este tipo de mercados van a continuar, van a seguir creciendo, pero también creo que van a cambiar. Deja que exponga una idea: Tenemos Windows XP en un lado y Windows 8.1 en otro lado, ¿vale? Yo tengo experiencia en hacer ingeniería inversa de 'exploits', sé como destriparlos y rehacerlos -nunca los he vendido, pero sabría cómo [risas]- para comprenderlos. En Windows XP, tratar de desarrollar un 'exploit' es como tirarse por una ventana, dar un salto mortal, lanzar un dardo a la vez y acertar en la diana. Es duro, pero hay gente que lo puede hacer con éxito. Con Windows 8.1, tendrías que lanzarte desde la ventana, rebotar en un trampolín, dar tres mortales con los ojos tapados y dar en el centro de la diana tres veces seguidas. Lo que quiero decir es que es durísimo, este sistema tiene tantas medidas para evitar los 'exploits' comparado con XP... No digas que te lo he dicho yo, pero Microsoft ha hecho un buen trabajo en Windows 8.1 en este sentido. Y aun así, los fallos de código son cada vez más comunes, no menos. De hecho, la mayoría de desarrolladores o programadores novatos que conozco nunca han recibido formación en seguridad de desarrollo, lo que es malo y cada vez será peor. No obstante, es muy duro trabajar para construir un 'exploit', has de tener en cuenta y manejar un número altísimo de factores. En XP se tarda relativamente poco en encontrar el 'bug' o error de programación, escribir el 'exploit' y venderlo. En Windows 8.1, gente realmente inteligente y peligrosa encontrarán el error, y como pronto en seis meses podrán desarrollar algo que 'merezca la pena', y por supuesto a a ser algo raro, escaso. Naturalmente, cuando esto pasa quien lo haya desarrollado no lo va a desperdiciar empaquetándolo y vendiéndolo en cualquier parte, no lo van a distribuir alegremente, sino que lo van a usar en una forma selectiva e inteligente, van a buscar un comprador 'de alto nivel' que pague mucho dinero, dado que han trabajado mucho en ello. Por tanto, un error así en Windows 8.1 -algo en Internet Explorer, por ejemplo- va a valer millones y será usado de una forma muy, muy selectiva. Verás, la forma que la gente escribe 'exploits', los vende y los usa depende fundamentalmente del objetivo concreto para el que han sido concebidos. Y esto incluye, por supuesto, gobiernos, tareas de espionaje, grandes industrias -robo de propiedad intelectual-, y ciertamente algunos 'cibercriminales' que puedan permitirse pagar esas cifras. Y en mi opinión creo que no va a ser tan accesible este tipo de 'exploits' como hasta ahora, de hecho creo que vamos a ver una vuelta a técnicas más básicas como el viejo 'spam' de toda la vida, precisamente porque como hemos hablado antes la educación en temas de seguridad de la gente en general es aún muy limitada, así como el sentido de la precaución: si se vuelve al 'spam' engañoso, probablemente va a volver a funcionar. Ya lo estamos viendo, de hecho. Y no me refiero a bobadas como los correos con una famosa desnuda o los timos 'nigerianos', sino correos fraudulentos de alta calidad, inteligentemente realizados, como 'e-mails' muy verosímiles que te piden renovar la contraseña de algún servicio y que parecer realmente auténticos. Por tanto, creo que los mercados de 'exploits' se van a hacer más invisibles, más 'soterrados', con ataques más caros y más especializados que ahora, mientras que el 'cibercrimen' más común va a volver a las viejas técnicas, aunque más perfeccionadas. ¿Cuáles son las tendencias de la industria de la seguridad informática? ¿Se va a mantener la misma filosofía de poner vallas y más vallas para detener ataques, como programas antivirus, 'firewalls', etc? ¿O quizá se va a poner más el acento en tratar de gestionar mejor las consecuencias de los ataques? Yo creo sin duda que ese es el reto fundamental que tenemos a la hora de afrontar cuál es el modelo que tenemos que seguir desde que el PC se popularizó y surgieron los antivirus hace ya unos 27 años. Y creo que aún no nos encontramos en el momento en el que la industria pueda derribar completamente esas vallas. No estamos preparados para eso, peores cierto que tenemos que cambiar la idea de cromo la seguridad tiene que funcionar. Indudablemente las listas negras de los 'antivirus', los tradicionales firewalls' que te dicen lo que no puedes hacer, las propias listas de bloqueo web... son ideas ya anticuadas. No se ajustan a lo que los consumidores quieren, no funcionan en muchos de los nuevos dispositivos como móviles o tabletas, etc. Lo que creo es que se debería proporcionar todas las herramientas disponibles trabajando juntas. Si por ejemplo coges mi móvil, mi cuenta de Dropbox, en Salesforce, mi red, Internet, todas las diferentes tecnologías que uso a diario, hay un sitio mejor y uno sito peor para realizar mis tareas de seguridad. Y la clave no es realizar esas tareas de seguridad en un mismo sitio, con un programa terriblemente pesado y engorroso, sino distribuir las tareas en los diferentes sitios, cada uno con su tarea más adecuada y eficaz. Ese es el reto, hacer esto de forma simple y fácil para todo el mundo, encargados de seguridad de las empresas y consumidores en general, además. Por ejemplo, transmitir datos desde un móvil a Dropbox se puede hacer de forma encriptada, de forma que sólo yo tenga las claves para acceder a esa información. Y no me ha de importar en principio que Dropboz sea una compañía amerada sujeta a la Patriot Act o que el propio servicio tenga una brecha de seguridad, si mis datos están cifrados están en principio seguros y a salvo de intrusiones. Ese es un ejemplo del uso de diferentes soluciones para resolver un potencial problema de seguridad de forma mejor que la manera 'tradicional'. Se trata al final de un sistema de capas, de proteger cada uno de los procesos de la forma más adecuada. Se trata de mantener las vallas pero además de integrar mejor la seguridad en los procesos, de hacer que la gente abrace fácilmente estas tecnologías. Y creo que cualquier compañía que siga basando su seguridad en impedir hacer cosas, en decirte "no puedes hacer esto o lo otro" está condenada al fracaso porque los empleados encontrarán la forma de hacerlo de todas formas. Por tanto, sí creo que es mejor tener una aproximación positiva que andar poniendo vallas y muros. Y eso es lo que estamos tratando de hacer en Sophos, es una parte fundamental de lo que estamos haciendo -un ejemplo de ello es lo que estamos haciendo en la 'nube'-, generar capas de seguridad, y el reto es seguir haciéndolo muy simple y sable para el cliente. Finalmente, hablemos de ética. Hemos hablado extensamente sobre el 'cibercrimen', 'los malos'... ¿Alguna vez te has visto tentado a pasar al 'lado oscuro', a cruzar la línea? ¿Romper cosas? ¡Oh, me encanta romper cosas! [risas] ¿Sabes qué? Seguro que sería muchísimo más rico. Bueno, honestamente, cuando era muy joven fui consciente de que la tecnología me encantaba, podría 'desmontar' cosas y entender como funcionaba. Y eso es un requisito para convertirte en un buen 'hacker'. Es ese momento cuando te preguntas: '¿Qué pasaría si hago ésto?'. Insisto, me di cuenta de ello muy joven y comencé a desarrollar muchas de las habilidades útiles sobre seguridad que tengo hoy. Y tuve muchísima suerte. "Suerte" es la palabra, no cabe duda. No fue por ser inteligente o listo, sino porque tuve suerte. La razón es que me encontré con personas que trabajaban en el lado 'bueno' de la seguridad que creyeron en mis habilidades y me animaron, me contaron que podía tener un trabajo relacionado con este mundo, que podía andar rompiendo cosas todo el día y encima no iba a ir a la cárcel y me iban a pagar por ello. ¡Y me pareció fantástico! No me gusta la cárcel, me gusta romper cosas, y me gusta que me paguen, por lo que me pareció perfecto. Eso sí, si en aquella época hubiera entrado en contacto con algún grupo criminal ruso y me hubiera hecho la pelota un poco ("¡Hey, eres listo!"), me hubiera retado ("¿Te atreves a hacer esto?") o me hubiera ofrecido dinero -aunque más importante hubiera sido que me hubiera 'picado'-, probablemente no estaríamos teniendo esta entrevista hoy. Porque estamos hablando que yo entonces no era más que un adolescente bobo, y como todos los adolescentes bobos puedes ir hacia un lado o hacia otro. Es que además hay una parte de todo esto que cuando lo pienso me da miedo. Yo tuve Suerte. ¿Cuánta gente con gran talento no tienen tanta suerte? ¿O dan con las personas equivocadas? ¿O se sienten frustradas porque quieren hacer aquello para lo que tienen talento pero son apartadas, no les dejan? Sé de primera mano que, al menos en el Reino Unido y probablemente también en España, existe una gran escasez de profesionales de seguridad con talento y preparados. Aquí, el Gobierno ha hecho una estimación que dice que no tendremos el numero de profesionales cualificados en este campo que necesitamos hoy hasta 2030. Es una enorme brecha. Y la razón de que exista es que no encontramos a gente con talento, no estamos haciendo que esa gente se sientan con suerte. De hecho, me temo que no estamos haciendo de la seguridad algo atractivo, 'sexy', interesante, algo en lo que la gente quiera trabajar. Creo que es un error enorme. Nosotros tratamos de aportar con retos, competiciones, tratamos de buscar a esas personas y atraerlas pero tiene que pasar algo más. Por tanto, para quienes estén leyendo esto, si te gusta la tecnología, si te encanta romper cosas, si te interesa, hay trabajo aquí, es una profesión apasionante y que merece la pena, y aunque realmente no hay tanto dinero como en el 'cibercrimen' lo cierto es que no está nada mal pagada... ¡Y no irás a la cárcel!

Gestión anuncios
Gestión anuncios

Más el El Mundo

image beaconimage beaconimage beacon