En esta ocasión nuestro experto invitado es Herbert Lin, Senior Research Scholar de Políticas Cibernéticas y Seguridad en el Center for International Security and Cooperation de la Universidad de Stanford. Lin es también parte del Hank J. Holland Fellowship en Cyber Policy and Security en The Hoover Institution, un prestigioso centro de estudios e investigación para políticas públicas. Además de dedicarse a las políticas cibernéticas y la seguridad, Lin es doctor en física por el Massachusetts Institute of Technology (MIT). El especialista responde:

  • ¿Cuál es tu visión general sobre el estado de la ciberseguridad empresarial en 2017?

HL: Creo que es complicado hablar de ciberseguridad empresarial. La mayoría de las empresas entienden que deben prestar cierta atención a este tema, pero otros muchos están poco preparados, ya que no entienden cómo hacer inversiones en ciberseguridad. Si eres el Chief Information Security Officer (CISO) de una compañía y tu manager te dice que te dará un millón de dólares, ¿en qué lo gastarías? Creo que la mayoría no sabría en qué gastarlo.

Un segundo punto es que a menudo se subestiman los riesgos implicados. Los senior managers en ocasiones no comprenden cuáles son sus activos principales, qué tiene que ser protegido. Ya que no podemos protegerlo todo, debemos priorizar qué es lo más importante, y esto resulta difícil para las empresas.

Un tercer punto es que las empresas que sí manejan sus riesgos de negocio correctamente, lo hacen según las necesidades de su propia empresa. Sucede que la empresa puede ser más crítica de lo que piensan para el funcionamiento de la sociedad. Así que el impacto social de tu negocio es mucho mayor si eres, por ejemplo, una empresa de electricidad. Si tu negocio se ve perjudicado, afecta también a un hospital en tu calle o a cualquiera que tenga un frigorífico con comida dentro, no afecta solo a tus accionistas. En mi opinión, estos son tres de los riesgos principales que afectan a la ciberseguridad empresarial.

Herbert Lin
  • ¿Crees entonces que la infraestructura esencial está siendo protegida adecuadamente?

HL: Depende de qué significa “adecuadamente”. Yo abogaría por hacer más de lo que hacemos hoy, pero en Estados Unidos existe el hecho innegable de que más interrupciones eléctricas han sido causadas más frecuentemente por ardillas que por ciberataques. ¿Continuará siendo así en el futuro? Es difícil saberlo. Es una comparación curiosa en alguno de los sentidos, ya que las ardillas no actúan maliciosamente y los atacantes sí. El miedo es que estos atacantes, al actuar maliciosamente, pueden hacer más daño que las ardillas.

  • Hablando de ciberataques, el ransomware sigue en auge. ¿Qué podemos aprender de los recientes WannaCry y Petya?

HL: Las instituciones deben ser capaces de trabajar en medio del caos, de prepararse y actuar. Hay que realizar copias de seguridad cuando toque hacerlas, aunque sean una molestia constante. Hay que saber operar bajo amenaza y bajo presión. ¿Hace cuánto que no actualizas tu ordenador?

  • ¿Dirías que habrá otro ataque ransomware global?

HL: No sé si global, pero la pregunta sería si volverá a pasar a larga escala, y creo que sí. En general habrá más de estos ataques porque el ransomware es una manera fácil de ganar dinero.

  • ¿Qué rol jugarían o juegan las empresas en una ciberguerra?

HL: Las empresas pueden tener, según mi opinión, dos tipos de roles. El primero sería uno inadvertido o involuntario. Éste tiene lugar cuando tienes un bug en tu sistema y no lo arreglas. Estás formando parte del problema porque creas las vulnerabilidades en el software aunque no lo estás haciendo a propósito.

También, las empresas tienen la oportunidad de configurar sus sistemas de maneras distintas para hacerlos más o menos seguros. En ocasiones, estas compañías utilizan configuraciones de usuario muy básicas que hacen que su programa sea inseguro. La razón por la que escogen el camino fácil es, generalmente, para la conveniencia del usuario. Así que ésta es una decisión de negocio:  en ocasiones hacer programas fáciles de utilizar es también hacerlos inseguros.

El rol deliberado, intencionado, es en cambio cuando las empresas cooperan para facilitar operaciones ofensivas. Por ejemplo, una agencia de inteligencia podría acercarse a una compañía de antivirus y decirle que ignore una señal durante tres días y que por ignorarla le pagará 10 millones de dólares.  Las agencias de inteligencia lo harían para atacar a alguien que utilice este antivirus. Creo que ésta es una forma – aunque no diría que es exactamente legal – en la que han funcionado las agencias de inteligencia en el pasado, y en este caso las empresas colaboradoras facilitan una ofensiva, contribuyendo a una posible ciberguerra.

  • ¿En 10 años crees que el mundo será más o menos seguro? ¿Por qué?

HL: Creo que se pondrá un poco peor pero que no será catastrófico. Es el desenlace más probable. ¿Cómo de mal? No lo sé. También tendría que responder a estas dos preguntas: ¿por qué peor? ¿Por qué solo un poco?

Pienso que se pondrá peor porque las personas quieren los beneficios de la informática, pero no están dispuestos a asumir sus costes. La consecuencia de esto es la inseguridad de la red. Creo que a la larga la gente empezará a prestar atención a estos factores. Se pondrá un poco peor porque no creo que estemos aún en el punto crítico, aquel en el que los costes exceden los beneficios, pero estamos llegando. Sucede lentamente. Y cuando llegue ese momento, el juego será distinto.

¿Por qué solo un poco peor y no catastrófico? Porque creo que el resto del mundo todavía depende de ello. A los ciberatacantes no les beneficia desmantelar toda la red mundial de internet. Solo quieren hacer pequeñas fisuras. Cuando eres un parásito, no quieres matar a tu huésped, quieres robarle energía para debilitarlo.

  • ¿Qué consejo de ciberseguridad le darías a una empresa?

HL: Diría que la ciberseguridad es una batalla interminable. Nunca resolverás el problema de una vez por todas, así que debes estar dispuesto a invertir en ella más de lo que ahora crees necesario.