Bitácora

Hablamos de Ciberseguridad con Alejandro Becerra

Redactado por Lucía Clemares el 18/06/2018 a las 10:00

¿Cuáles son nuestros básicos en seguridad informática, qué debemos saber- en calidad de empleados- en términos de Seguridad Digital? Hemos entrevistado a Alejandro Becerra, Director de Seguridad de la Información (CISO, en inglés Chief Information Security Officer), quien nos ha aclarado los principales puntos en torno a este tema, ¡os dejamos con él!

1. ¿Cuáles son los riesgos de ciberseguridad más habituales hoy en día?

A día de hoy, el principal riesgo que sufrimos como individuos es el robo de identidad, resultando en cargos indebidos contra nuestras tarjetas y cuentas bancarias, o en la violación de nuestra privacidad como ocurrió con los robos de fotos a famosas o de cuentas de Twitter para publicar noticias falsas.
Para las empresas, los riesgos son más diversos: fraudes con perjuicio económico directo, como los recientes robos de criptomonedas o el “fraude del CEO” por el que alguien se hace pasar por el CEO para ordenar al financiero realizar una transferencia bancaria urgente; interrupción de servicios, como ocurrió a diversas instituciones con el Wannacry; o robo de información sensible, como en el robo de información corporativa, películas y series a Sony.

2. ¿Cómo funciona el cibercrimen?

El crimen informático es una de las industrias más lucrativas hoy día, habiendo superado ya a otros crímenes como el de tráfico de drogas. Si el volumen del cibercrimen fuera el PIB de un país, estaría entre los 13 mayores del mundo (fuente Bromium, 2018). La realidad es que el cibercrimen ha pasado de ser un negocio criminal, a ser una realidad más amplia con motivación económica, búsqueda de notoriedad, acción política o terrorista, acciones de estado…

Lo que es común a todos los tipos es que los cibercriminales trabajan hoy día, según procesos muy bien estructurados, con horarios y condiciones laborales, en ecosistemas empresariales donde cada criminal se especializa en un tipo de ciberdelito o incluso en una parte de él y operan de forma global y coordinada. Por ejemplo, un criminal puede ser experto en buscar debilidades en las aplicaciones, mientras que otros usan esos hallazgos para robar identidades, o despliegan infraestructuras para hacer ataques que a su vez se alquilan por uso a través de sitios web accesibles solo por la Internet oculta (Darkweb). Se puede decir que los cibercriminales fueron los primeros en adoptar esquemas de servicios en la nube, esquemas de trabajo colaborativo remoto, pago por uso, utilización de criptomonedas, etc.

3. Seguridad y privacidad: ¿son lo mismo, son cosas opuestas?

Seguridad y privacidad son dos términos relacionados pero distintos, que van frecuentemente de la mano.

Coinciden en la mayor parte de sus objetivos y métodos de trabajo, buscando la protección de nuestra información frente a su abuso. Las áreas que en la compañía trabajan en ambos campos lo hacen de forma coordinada, compartiendo el uso de herramientas y procesos.

En ciertas ocasiones puede ocurrir que entre en conflicto la privacidad con la necesidad de análisis profundo de datos de tráfico, o comportamiento de los individuos para detectar ataques o fugas de información. Para esos casos se establecen salvaguardas suficientes sobre los propios controles de seguridad, con automatismos que actúan sin intervención de personas, y asegurando la auditabilidad de los procesos y segregación de funciones de las personas implicadas.

4. ¿Cuál podría ser la consecuencia de un incidente grave de ciberseguridad?

Ciber incidentes graves han dejado expuestos en muchas ocasiones datos bancarios, personales, médicos…; ejemplos son la filtración de datos de contacto de usuarios de Yahoo en 2013, datos financieros de Equifax en 2017 o la de los papeles de Panamá en 2016; otros ciber incidentes produjeron alteración de noticias, falseamiento de fuentes de información o alteración maliciosa de datos financieros y contables, como el falso tweet de las explosiones en la Casa Blanca en 2013 que produjeron una caída de la bolsa; por último, otros ciber incidentes afectaron a la disponibilidad de servicios esenciales como los correspondientes a hospitales o servicios básicos de servicio público (luz, agua, comunicaciones, …), ejemplos recientes fueron el ataque al proveedor de servicio DynDNS en 2016 que afecto/interrumpió el servicio de los principales servicios de internet (Amazon, Twitter, Paypal, Spotify…) o el efecto del Wannacry sobre hospitales en UK en 2017.

A los daños directos de un incidente, se suman los daños indirectos en la reputación de las organizaciones y las multas si se existía incumplimiento de las normativas obligatorias en lo relativo a seguridad y privacidad, por ejemplo, las establecidas en la nueva normativa europea de protección de datos, RGPD (Reglamento General de Protección de Datos).

Para hacernos una idea, la multa mayor según RGPD ante una brecha en los datos personales podría alcanzar el 4% de los ingresos anuales mundiales de la empresa afectada. Por dar un orden de magnitud, sería comparable a todo el gasto anual en sistemas (incluyendo centros de datos, software, personal, servicios técnicos, etc.)

5. Ya no se habla de Seguridad Informática, sino de Seguridad Integral, ¿es así?

La seguridad siempre debe ser integral. Ya no existen ámbitos estancos como la seguridad informática o la seguridad física, pues cada vez más una y otra están interrelacionadas. Se pueden ver en los medios de comunicación los efectos 'físicos' de la seguridad informática (el ejemplo más sonoro fue el virus Stuxnet que afectó a las centrifugadoras de material nuclear en Irán) o los problemas informáticos debidos a errores o deficiencias en los controles de acceso y en las protecciones de la infraestructura física, o los ciber incidentes que han tenido su origen en papeles impresos mal custodiados.

Además, esta integración será cada vez mayor puesto que nuestra realidad ‘física’ está crecientemente integrada con el mundo digital, controlado, medido y gobernado de modo que es impensable tener dos seguridades separadas. Se trata de la seguridad en la Internet de las Cosas (IoT).

6. ¿Cuál es el papel de los empleados en la seguridad, podemos hablar de co-responsabilidad?
Se puede pensar que los ciber incidentes se producen mediante ataques complejos que solo se pueden impedir con tecnologías avanzadas; pero la realidad es que la mayor parte de los incidentes de ciberseguridad se producen sobre carencias y fallos muy muy básicos.

Son las organizaciones, a través de sus áreas de seguridad, las que deben poner los medios para impedir que los incidentes ocurran; pero resulta imprescindible la concienciación y colaboración de todos los profesionales de una organización, no solo los responsables de seguridad, tecnología u operaciones.

7. ¿Qué es la ingeniería social? ¿Cómo debo tenerla en cuenta?

La ingeniería social es el termino técnico para referirse a cualquier técnica para engañar a las personas y hacerles ceder información sensible, de acceso privilegiado a los sistemas y aplicaciones, o para hacerles actuar de alguna forma que facilite al cibercriminal realizar su intrusión o ataque. Un ejemplo muy sencillo es un ciberdelincuente que llama a un empleado haciéndose pasar por el departamento técnico y pidiéndole usuario y contraseña. O incluso, un ciberdelincuente ganando la confianza de un empleado mediante un perfil falso en una red social personal o profesional.

Un ejemplo muy reciente fue el incidente por el que la operadora británica Talktalk sufrió en 2015 robo de detalles personales y bancarios de sus clientes. Esos datos fueron aparentemente usados por los criminales en llamadas telefónicas haciéndose pasar por servicios de sus bancos para obtener más datos (claves de acceso) y así retirarles fondos sus cuentas.

Por increíble que pueda parecer, estas técnicas son tremendamente efectivas porque atacan al eslabón más débil (las personas) cuando éstas menos se lo esperan, siguiendo patrones de normalidad; realmente esta forma de incidente se encuentra en el inicio de gran parte de los incidentes que ocurren hoy día en todo el mundo.
8. ¿Es cierto que uno de nuestros activos más delicados es la información que manejamos?
Por supuesto, y es que no se trata únicamente de los datos personales, si bien éstos tienen una sensibilidad fundamental. También existen otros datos financieros, técnicos, estratégicos, legales, etc., que también hay que asegurar y cuya pérdida pueden suponer daños muy severos para la compañía. De nuestro discurso estratégico de las plataformas se deriva un mandato fundamental de proteger la información que manejamos, con controles tan estrictos como recomiende la relevancia/sensibilidad de los datos y para cada cual según el rol que desempeñe en la compañía. Siempre hay que mantener la conciencia de que cualquier descuido o imprudencia puede significar que la información que está en nuestras manos acabe llegando a las de otros que no deberían tenerla.

9. ¿Qué riesgos existen en mis dispositivos y las redes a las que me conecto?

Nuestros teléfonos inteligentes, tabletas y ordenadores portátiles almacenan con frecuencia datos sensibles que suponen un riesgo en caso de su pérdida.

Los terminales y las aplicaciones modernas se diseñan ya con este factor de riesgo en mente, que puedan perderse o que nos conectemos a través de redes abiertas, y los protegen apropiadamente. No obstante, siempre existe un riesgo en esas circunstancias por lo que debemos ser cuidadosos con los datos que almacenamos en nuestros terminales o las redes por las que nos conectamos, adoptando medidas típicas como proteger con PIN los dispositivos o usar VPNs cuando nos conectamos desde redes públicas. Ya lo hacemos en nuestra vida personal y no es diferente en el ámbito de nuestras actividades profesionales.

Otro riesgo viene derivado del uso frecuente de aplicaciones diversas en dichos dispositivos para acceder a redes sociales; existe el riesgo de publicación inapropiada de información de la empresa, datos que pueden ser usados directa o indirectamente para facilitar un incidente de seguridad. Tenemos que ser conscientes de la importancia de mantener la discreción suficiente, equilibrando presencia pública con confidencialidad de la información sensible.
18/06/2018







| Comentarios