La firma invitada de esta semana es Eddy Williams, Evangelista de Seguridad de G Data Software AG. En tus más de dos décadas dedicadas al mundo de la seguridad informática has alcanzado hitos como ser cofundador de la EICAR, trabajar con fuerzas de seguridad y grandes empresas de seguridad, escribir la entrada sobre virus para la enciclopedia Encarta o publicar un libro, entre otras cosas.

P- ¿Qué sueño le queda a Eddy Williams por cumplir?

R- Mi objetivo desde el principio siempre ha sido procurar que el mundo (digital) sea un lugar mejor y más seguro. Este trabajo todavía no ha llegado a su fin. Para alcanzar a un público diverso, desde los principiantes hasta los usuarios más experimentados, escribí mi libro ‘Cybergevaar’ (que significa ‘cyber peligro’ en holandés) originalmente en mi lengua materna. Después se tradujo al alemán. Pero para que tuviera un efecto máximo, realmente me gustaría que se publicase en los idiomas más hablados del mundo, como el inglés, el español, o incluso el chino. Ese de verdad es un sueño que me gustaría que se convirtiera en realidad. Sería bueno lograr que el mundo sea un poco más seguro y a la vez hacer que el trabajo de los ciberdelincuentes sea un poco más difícil con la ayuda de este libro.

Otra aspiración que encaja en mi sueño de hacer del mundo un lugar más seguro es deshacernos de pruebas deficientes y aumentar la calidad de las pruebas de productos de seguridad. Las pruebas correctas son muy importantes para los usuarios pero también para los vendedores que crean los productos. Estas son las que conducirán finalmente a productos de seguridad mejorados y luego a un mundo más seguro. Por eso estoy involucrado en AMTSO (Anti Malware Testing Standards Organization). Aún queda mucho que hacer en ese ámbito.

P- Desde principios de 2010 trabajas como Evangelista de Seguridad para la empresa de seguridad G Data Software AG, ¿cómo definirías tu puesto y cuáles son tus tareas como tal?

R- En mi papel de Evangelista de Seguridad en G Data, estoy creando el vínculo entre complejidad técnica y el ciudadano común y corriente. Soy responsable de llevar a cabo una comunicación transparente con la comunidad de seguridad, prensa, fuerzas policiales, distribuidores, vendedores y usuarios finales. Esto implica, entre otras cosas, que soy responsable de organizar programas de formación sobre el malware y la seguridad, hablar en conferencias, y consultar con empresas y asociaciones. Otra parte importante de mi trabajo consiste en dar entrevistas con la prensa. El público que alcanzo es muy diverso. Abarca desde chicos de 12 años hasta gente de 92 años, desde nuevos usuarios a legisladores de ciberseguridad

P- Los datos recogidos a lo largo del año nos permiten concluir que el 18% de las empresas han sufrido infección por malware por culpa de las redes sociales. ¿Qué medidas se pueden tomar para evitarlo? ¿Son realmente las redes sociales una de las principales puertas de entrada de malware en las compañías?

R- Las redes sociales son nada más que un vector de los muchos mecanismos de infección que podemos ver hoy en día. Por supuesto, no se puede negar que las redes sociales siguen siendo responsables de algunas infecciones recientes: a finales de noviembre, una variante de Locky Ransomware se propagó ampliamente a través de Facebook Messenger. Pero bueno, Facebook, Google, LinkedIn y otros ya disponen de algunas buenas medidas para detener mucho malware. La navegación por la web y los correos electrónicos de spam o ‘phishing’ siguen siendo los principales puntos de entrada para el malware en las empresas. El retraso en la actualización y el parcheo de programas y sistemas operativos, así como los excesivos derechos de administración en los ordenadores normales de los usuarios dentro de una empresa, son el desencadenante de los problemas relacionados con la seguridad.

Las redes sociales no son más que un vector de los muchos mecanismos de infección de hoy.

eddy-willems-pandaP- ¿Cuál crees que es el mayor problema de seguridad de las empresas en Internet? ¿Virus, robo de datos, spam…?

R- La mayor amenaza de seguridad para las empresas son los correos de ‘phishing’ dirigidos a empleados específicos de la empresa. Un correo de ‘phishing’ profesional, bien escrito (en su idioma nativo) en el que el usuario se anima a abrir el correo y archivos adjuntos, o hacer clic en un enlace específico, se ha visto en un montón de grandes casos de APT (amenazas avanzadas persistentes) como el punto de entrada principal a toda la empresa.

En estos días, incluso un experto en seguridad puede ser engañado para abrir tal correo.

Otra gran amenaza es la filtración de datos. La mayoría de esos errores son involuntarios y cometidos por los empleados. La falta de conocimiento y la falta de comprensión de las tecnologías y sus riesgos inherentes están en el fondo de esto.

Ambos riesgos se reducen a la misma cosa: el eslabón débil siempre resulta ser un empleado desprevenido o con falta formación. ‘El factor humano’, como me gusta llamarlo.

El eslabón más débil siempre resulta ser un empleado desprevenido o con falta de formación.

P- Los criminales buscan siempre poder atacar al mayor número de víctimas posible, ya sea a través de la creación de nuevo malware para terminales Android como para versiones antiguas que puedan estar desprotegidas. ¿Son vistos con los mismos ojos del cibercriminal las infecciones a los nuevos y a los viejos dispositivos? ¿Cuál puede resultar más jugoso?

R- En lo que a malware se refiere, Android se ha convertido en el sistema operativo ‘número dos’ después de Windows de Microsoft. Nuestro informe de G Data más reciente (véase este artículo) fue testigo de un gran aumento en malware relacionado con Android en 2016. G Data encontró  una nueva muestra de malware de Android cada 9 segundos. Eso lo dice todo sobre la importancia de la plataforma. Los análisis actuales de nuestros expertos demuestran que las infecciones ‘drive-by’ están siendo utilizadas por atacantes para infectar smartphones y tablets Android. Los agujeros de seguridad en el sistema operativo Android, por lo tanto, representan una amenaza aún más grave. Los largos períodos hasta que una actualización para Android llegue a los dispositivos de los usuarios puede agravar aún más el problema. Uno de los mayores inconvenientes es que muchos de los viejos dispositivos Android no recibirán más actualizaciones, poniendo los dispositivos más antiguos al mismo nivel de (falta de) seguridad que los equipos con Windows XP. Los ciberdelincuentes recurrirán al viejo y al nuevo sistema operativo Android en el futuro. El malware para las versiones antiguas de Android será destinado a las masas, pero el malware para las versiones nuevas de Android tendrá que ser más inteligente y será más lucrativo si se utiliza para ataques dirigidos a las empresas o gobiernos.

P- En la revolución tecnológica en la que vivimos inmersos se inventan servicios sin pensar que se pueda hacer un mal uso de él, así que no se protegen adecuadamente. ¿Es el Internet de las Cosas ahora mismo el principal reto en materia de ciberseguridad? ¿Entra en conflicto el uso de esta tecnología y la privacidad del usuario?

R- Escribí sobre el Internet de las Cosas hace ya un par de años en el blog G DATA, donde predije que esta plataforma se convertiría en uno de los principales retos de la ciberseguridad. En mi opinión, IoT (Internet of Things) significa más o menos Internet of Trouble (Internet de Problemas). La seguridad por definición es muy necesaria, pero desfortunadamente hemos visto lo contrario en muchos casos.

Internet of Things significa más o menos Internet of Trouble.

Por desgracia, el Internet de las Cosas está afectando gravemente a nuestra privacidad. La cantidad de datos que los dispositivos conectados a la red están creando es asombrosa y esos datos se están reusando (o mejor dicho, se está abusando de ellos). Has aceptado los términos de servicio en algún momento, pero ¿alguna vez has leído realmente todo ese documento? Por ejemplo, una compañía de seguros podría recopilar datos acerca de tus hábitos de conducción a través de un coche conectado al calcular su tarifa de seguro. Lo mismo podría suceder para el seguro de salud gracias a los seguidores de ‘fitness’. A veces el proveedor declara en la licencia que no es responsable de la fuga de datos. Se plantea la cuestión de si esto no está en conflicto con el nuevo RGPD (Reglamento General de Protección de Datos).

Estoy convencido de que el Internet de las Cosas llevará consigo muchas cosas buenas. Yo ya casi no puedo vivir sin él. Pero el Internet de las Cosas es mucho más grande de lo que pensamos. Además, está integrado en nuestras ciudades e infraestructuras. En este momento tenemos la oportunidad de incorporar funciones de seguridad fundamentales en la infraestructura de nuevas tecnologías mientras están todavía en la fase de desarrollo. Y tenemos que aprovechar esta oportunidad. Eso se puede llamar “inteligente” en mi opinión. Además de las redes eléctricas inteligentes y las fábricas inteligentes, las ciudades inteligentes, los coches inteligentes y todo lo “inteligente”, también necesitaremos seguridad inteligente. Mi única esperanza es que el mundo tenga suficientes ingenieros de seguridad para ayudar a crear esa seguridad inteligente.

P- Tendencias como la huella dactilar y otras técnicas de biometría aplicadas al ámbito de la seguridad están implantándose, sobre todo en el ámbito empresarial, ¿qué opinas sobre su uso? ¿Cuál sería para ti la contraseña perfecta?

R- Fácil, la contraseña perfecta es la contraseña que puedo olvidar. En un mundo ideal, ya no necesitaría autenticarme con otras herramientas, sólo con parte(s) de mi cuerpo. Es increíble cuánto tiempo se tarda en implementar esto de una buena manera. La teoría está ahí desde hace muchísimo tiempo y ahora tenemos la tecnología, no es lo suficientemente perfecta, lo que hace que sea costoso de implementar en todos nuestros dispositivos. Luego hay que considerar los problemas de privacidad que lleva consigo, lo que posiblemente pospondrá su implementación de nuevo.

También tenemos que pensar en la desventaja de las técnicas biométricas. Si mi huella digital o iris se copia de alguna manera, no tengo la opción de restablecerla o cambiarla. Por lo tanto, siempre necesitaremos tener una combinación de factores de autenticación.

P- Tu libro titulado Cybergevaar se presenta como un manual de información sobre seguridad IT para todo el mundo, presentando diversos consejos y trucos. ¿Qué te ha resultado particularmente complicado en el planteamiento de un libro que va orientado a todo tipo de usuarios de Internet? ¿Cuál de los consejos expuestos es para ti el más importante?

R- Uno de los grandes desafíos en la escritura del libro fue dejar de lado la mayoría de los detalles técnicos y aún permanecer en un nivel que todo el mundo, los expertos y personas no técnicas incluidos, quiera leer. Traté de mantener un buen nivel al incluir un montón de ejemplos, anécdotas personales, opiniones de expertos y un cuento de ficción. Mantener todos los programas y sistemas operativos actualizados así como usar el sentido común con todo lo que haces cuando usas tu ordenador e Internet, ¡este es el mejor consejo que puedes dar a cualquiera! En la mayor parte de los casos, el verdadero problema, como he mencionado antes, es el factor humano.

P- Se ha llegado a hablar de una nueva realidad, el Internet omnipresente en todos los ámbitos de nuestra vida. Desde tu punto de vista, ¿es este fenómeno realmente una necesidad?

El Internet de las Cosas es nada más que un comienzo. Creo que estamos muy cerca de esa ‘nueva realidad’ incluso si no es muy agradable pensar en ello. Nuestra sociedad será empujada a ella automáticamente, fíjate por ejemplo en la Industria 4.0 y las ciudades inteligentes. En el futuro sólo se te permitirá comprar un coche si dispone de estas características específicas inteligentes, sino no se le permitirá conducir en ciudades específicas. Una bandeja de cocina inteligente que automáticamente controla calorías y registra tus recetas deliciosas en tiempo real mientras cocinas sólo funcionará con tu nueva plataforma de cocina inteligente que está conectada a la red. Quizás el Internet omnipresente no es realmente necesario, ¡pero serás empujado a él de todos modos! El único lugar en el cual se podría escapar será tal vez una isla de vacaciones específicamente creada para ese motivo.

P- ¿Cuáles han sido para ti las mayores violaciones a la seguridad que han marcado un antes y un después en la historia de los ciberataques? Previsión para un futuro no muy lejano

R- El virus Elk Cloner y el virus Brain en los años ochenta… todo lo demás es simplemente una evolución de estos. Probablemente no tendríamos esta entrevista si nada hubiera pasado hace 30 años… ¿o tal vez era sólo cuestión de tiempo? Stuxnet fue creado para sabotear el programa nuclear de Irán. Regin demuestra aún más el poder de una herramienta de recopilación de datos multi-propósito. Agencias estatales crearon ambos, lo que demuestra que el malware es mucho más que una herramienta de excavación de dinero para los ciberdelincuentes. Y, por supuesto, las revelaciones de Snowden, ya que nos mostró lo problemática que es la vigilancia masiva y cómo se relaciona con nuestra privacidad que poco a poco se va desvaneciendo.

El malware es mucho más que una herramienta de excavación de dinero para los ciberdelincuentes.

Malware siempre estará presente mientras existen los ordenadores – en cualquier forma, ya sea un reloj, un refrigerador o una tableta – y eso permanecerá así mucho tiempo, creo. La ciberdelincuencia y la delincuencia ‘normal’ se combinarán cada vez más (por ejemplo, robos de bancos modernos). El malware influirá mucho más en nuestro comportamiento (por ejemplo, compra, votación, etc.) e ideas, lo que resultará en la pérdida de dinero o de inteligencia. Los dispositivos inteligentes se utilizarán de forma masiva (de nuevo) en ataques DDoS y ransomware (por ejemplo, en los SmartTV). Y todo esto pensando únicamente a corto plazo.

La única forma de seguir delante que le queda a la industria de la seguridad, a los fabricantes de sistemas operativos, a los proveedores de aplicaciones y diseñadores del Internet de las Cosas, es trabajar aún más en conjunto para poder manejar todo tipo de ataques y problemas relacionados con la seguridad y el malware. Ya lo estamos haciendo en cierta medida, pero debemos invertir mucho más en ello.