La tecnología ha evolucionado a un ritmo vertiginoso, y con ella, las oportunidades para las empresas y la sociedad. Pablo González Pérez, Technical Manager y Security Researcher en Telefónica, y anteriormente experto en ElevenPaths, la Unidad de Ciberseguridad del grupo, observa que estos avances también han traído consigo nuevos riesgos y amenazas en el sector de la ciberseguridad.
Pablo, con una amplia experiencia en la industria, es Director del Máster Universitario en Seguridad de Tecnologías de la Información y de las Comunicaciones de la Universidad Europea, Microsoft MVP en los años 2017-2018 y 2018-2019, y escritor de libros como “Ethical Hacking: Teoría y práctica para la realización de un pentesting”.
¿Qué tendencias consideras importantes durante los últimos años en el panorama de la ciberseguridad?
En mi opinión, estas son las tendencias más relevantes:
- Los delincuentes aprovechan las criptomonedas para lograr un beneficio a través de acciones maliciosas. Hace apenas unos pocos años pasaban inadvertidas.
- La aparición del ransomware y el modelo de negocio que hay detrás ha marcado un antes y un después. También la sociedad ha entendido este tipo de amenaza, ya que se ha dado cuenta de los riesgos en Internet.
- Los casos de robos de datos a empresas. Esto es algo que ha crecido y que, por desgracia, seguiremos viendo en un futuro.
- La aparición del nuevo reglamento de datos para la protección de los ciudadanos.
- Ataques a infraestructuras críticas.
- La aplicación de la inteligencia artificial en el campo de la ciberseguridad. Sin duda, irán de la mano en los próximos años.
- El incremento del conocimiento y la concienciación. Es algo que poco a poco ocurre y se va notando, sobre todo en las nuevas generaciones.
¿Qué diferencias has visto en el tipo de ataques y de amenazas?
La principal diferencia es el uso de diferentes tecnologías que han ido surgiendo. Un ejemplo sencillo es el caso del phishing, siempre ha estado ahí, pero hoy en día vemos como debido a técnicas de QRLJacking o al uso de Apps OAuth se da un enfoque distinto al engaño y se consigue el acceso a la cuenta, en estos casos sin necesidad de contraseña. Con cada nueva tecnología que aparece van asociados nuevos riesgos o una evolución de estos.
¿Es posible prevenir brechas de seguridad recientes como la de Facebook, que expuso la información personal de más de 50 millones de usuarios?
Hay una frase que muchos profesionales del sector han comentado y es que “todo es hackeable”, es decir, toda empresa puede ser víctima de un incidente de seguridad. Es importante que la sociedad y las empresas tengan este hecho en mente y entenderlo. Implantar medidas de prevención con el objetivo de disminuir el riesgo lo máximo posible es algo vital a día de hoy, pero no todo puede ser preventivo, debe existir una alineación de riesgos entre medidas preventivas y reactivas. La seguridad 100% no existe, por lo que se debe seguir trabajando de forma iterativa en la manera en la que las empresas se protegen, sumar medidas preventivas, alinear reactivas y crear una base en la que las personas de la organización queden involucradas en la seguridad de la organización.
El IoT aumentará los vectores de ataque. ¿Cómo podemos proteger un mundo en el que todo está conectado?
La protección debe ser compartida entre proveedor y consumidor. En mi opinión, la seguridad no debe ser abordada por un solo rol, ya que en la ecuación tenemos, al menos, dos. Si ambas partes asumen su responsabilidad en la protección de la información estaríamos ante una robustez mucho más asumible en lo que a términos de riesgo se refiere.
Por un lado, la inclusión de la seguridad desde la captura de requisitos, desde el diseño de los sistemas es algo que aportaría un grado de madurez al proceso muy interesante. Es algo que afecta al coste directo de fabricación, pero que a la larga favorece a todos y un retorno que se puede cuantificar. Un ciclo de vida de desarrollo seguro aporta madurez al proceso, es un punto mínimo al que debemos acudir. En cada etapa del proceso se pueden añadir elementos como:
- Captura de requisitos de seguridad.
- Modelado de amenazas.
- Análisis de superficie de ataque.
- Análisis estático y dinámico.
- Revisiones de código.
- Pentesting
- Fortificación con configuraciones seguras.
Lógicamente, los elementos comentados van apareciendo en diferentes fases de este tipo de metodologías y aportan un valor más que interesante a la creación de software y de sistemas. La idea es sencilla, pensar en la seguridad desde el principio. Por otro lado, cuando el consumidor hace uso de los sistemas debe entender los riesgos y amenazas a los que se expone, simplemente por el hecho de utilizar tecnología. Esto es algo que la sociedad va aprendiendo, aunque no a la velocidad que nuevas amenazas y riesgos aparecen en nuestras vidas.
Tal y como destaca Pablo, el IoT y otros avances tecnológicos están generando nuevos vectores de ataque y una evolución de los mismos. Para poner coto a estas amenazas, el experto destaca la necesidad de aplicar la inteligencia artificial en el ámbito de la ciberseguridad y aumentar el nivel de concienciación. Estos son dos de los temas principales que abordaremos en la segunda parte de esta entrevista. ¡No te la pierdas!
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
