“No os equivoquéis. Éste no es un artículo sobre el 11-M”

Andreu_Bravo
Andrés Bravo Sánchez
CISO en Gas Natural Fenosa.

No me gusta que el atentado de Atocha sea recordado como el 11-M.

Puedo entender que una cifra y una letra sean fáciles de recordar y que, al pronunciarlas, rápidamente sea más sencillo evitar sentirse afectado por lo que sucedió aquél día, pero no me gusta esa notación.

No me gusta, porque ni siquiera es una fecha completa y eso nos hace olvidar una cronología que, bien analizada, dice mucho de lo mal preparados que estamos para adaptarnos a las nuevas amenazas.

Hablar de 11-S, 11-M y 7-J es lo mismo que hablar de 2001, 2004 y 2005 pero no parece que seamos conscientes de ello.

Está claro que un intervalo de 4 años no fue tiempo suficiente para desarrollar mecanismos de defensa contra este tipo de atentados; sin embargo, la causa de esa incapacidad no fue la falta de presupuesto ni de talento innovador. Basta recordar que en esos cuatro años Apple presentó el primer ipod, Dean creó el Segway PT, salieron los primeros teléfonos con cámara, Microsoft creó la Xbox, se abrió el itunes music store y se inventó youtube.

Lo que de verdad está fallando somos nosotros, las personas.

Ignoramos que las reglas de la guerra han cambiado, que el campo de batalla ya no es una zona abierta donde sólo luchan los soldados. Que Internet y las nuevas tecnologías han hecho que las armas sean mucho más baratas, más anónimas, más silenciosas y más dañinas. Que los servicios esenciales más básicos como la luz o el agua pueden ser controlados o manipulados a miles de kilómetros de distancia provocando envenenamiento, caos y muerte. Y que, como dijo Francis Bacon en 1605, “El conocimiento es poder”; aunque a mi, personalmente, me parece mucho más adecuada la reflexión que hizo Quinn Mc Donald en 2007: “La información es poder y está a la venta”.

Y es que nuestra vida entera y nuestras identidades se han convertido en información. Desde lo más público e inocuo hasta nuestros secretos más íntimos. Somos números, datos, documentos, sentimientos expresados de mil formas, fotos, vídeos, ideas…, somos sólo eso, información. O peor aún, somos información fuera de control. Porque aunque no queramos publicarla, siempre habrá alguien que lo hará por nosotros; y porque aunque queramos eliminarla, nunca sabremos si otras personas ya la han visto y la han copiado.

Querer creer que toda esa información puede clasificarse como pública o privada es un error, porque siempre habrá alguien con capacidad para acceder a ella, que podrá modificarla y que podrá destruirla. Que podrá suplantarnos, que podrá copiarnos, que podrá utilizarla en contra nuestra, o peor aún, que podrá utilizarla como un medio para alcanzar un fin mayor.

Hace unos días hemos sabido de la existencia de Uroburos, también conocida como “The snake campaign”. Otra ciberarma de espionaje y control. En este caso, diseñada por Rusia y desplegada con intensidad sobre Ucrania, capaz de comunicarse con su panel de control incluso estando instalada en un equipo, ¡sin conexión directa a Internet! Y hace unas horas, un grupo de hackers ucranianos han paralizado los servidores públicos de la asamblea parlamentaria de la OTAN.

Como decimos en nuestro sector, tenemos que actuar como si estuviésemos comprometidos. Pensar que toda la información que manejamos es importante y que siempre hay alguien interesado en utilizarla para hacer daño.

¿Aún no os lo creéis? Pues daros un paseo por la website de la empresa mSpy y podréis comprar teléfonos móviles nuevos con software precargado para grabar las conversaciones de quién los utilice. El regalo ideal para quedar como un señor y tener el control de vuestra pareja, hij@s o emplead@s.

Y ya que me lío a daros ejemplos, ni se os ocurra abrir los vídeos, fotos y noticias recién publicados en Internet sobre los restos del avión encontrado ni los supervivientes del vuelo MH370 de Malaysian Airlines. Si lo hacéis corréis el peligro de que vuestros ordenadores se conviertan en pasto del malware!

Aventuras de un CISO en Rooted

Roberto Baratta
Roberto Baratta
CISO en Novagalicia Banco.

Tengo que reconocer que, tras dos experiencias en Rooted, no solo le he cogido cariño si no que me siento como en casa. Quién lo iba a decir hace un año, cuando me convencieron para dar una ponencia…., ¡y repetir este año!

Desde la posición de un CISO de una “gran empresa”, Rooted no deja de suponer una mezcla de desconfianza, curiosidad y excitación. El talento por metro cuadrado es deslumbrante, la juventud (bueno, hay de todo ya…) insultante y el desparpajo arrebatador. En definitiva, un cóctel explosivo para los que nos dedicamos más a la gestión que a la técnica y el “counterfeiting”.

En mi reciente segunda experiencia he constatado para mi deleite que el nivel nacional del ramo es excelente, por ser comedido. Uno ya ha pateado mundo en esto y siempre tenemos ese deje de que lo de fuera…, yo que sé…  Y lo que más me ha gustado, y le da una perspectiva y futuro a la profesión (y a Rooted), es que la orientación empresarial es muy relevante. Sin dejar la investigación y el “pure hacking”, nuestros profesionales (y los que están en ciernes) ya van mostrando una buena vocación empresarial, orientación al servicio y al cliente, que me hubiera costado creer de no haberlo constatado con estas, mis orejas. A ver si somos capaces de dar cabida a este talento en la piel de toro, sin proselitismos ni demagogias, que por ahí fuera también se está muy bien, se aprende mucho y ellos vienen aquí también, ¡qué caray!

Dicho esto, la fase de transformación del I+D+i en seguridad a productos y servicios aún tiene camino por delante. Supongo que el emprendimiento es una buena vía, a pesares de los pesares, de lo tremendamente complejo que es iniciar un negocio o una empresa en esta querida tierra nuestra. Esta transformación también requiere de normalización en la cualificación y formación. Tenemos un guirigay de títulos, nombres, cursos, masters que poco ayudan a dejar claro al mercado quiénes somos, qué hacemos y de qué sabemos. Condición sine-qua-non para ser reconocidos como sector y que el regulador ampare las competencias y funciones que otros, como la seguridad física o seguridad privada, si tienen. Iniciativas hay, talento y ganas también, ¿qué falta? Quizás sentido común…

De lo más relevante, bajo mi punto de vista, la proliferación de canales de exflitracion en APT’s avanzados utilizando técnicas muy novedosas. Incluso diseñando protocolos propietarios para aprovechar WiFi, por ejemplo, como canal. APT’s por cierto que están cobrando un nuevo protagonismo al pasar del mercado más “tradicional” del ciberdelito y fraude, a formar parte de un hipotético arsenal para la ciberguerra. Cabría pensar en un futuro que crear, disponer o estar en disposición de utilizar uno de estos artefactos, pudiera ser un delito de posesión de “armas de guerra” como hoy en día ya constituye prueba en los casos más relevantes de hacktivismo o ciberdelito.

Divertido también encontrar a mis colegas del mundo más “serio”; permitidme la expresión, de consultoras, operadoras, partners, bancos “camuflados” tras dejar el traje de diario y aparecerme en camiseta negra y vaqueros…, vamos que estábamos todos. Que satisfacción, además, me resultó comprobar que entiendo la mayor parte de las ponencias…, ¡no hay como esforzarse!!

Larga vida y salud a Rooted, tenéis un incondicional en mí, ya lo sabéis.

Echo de menos cuando nos robaban la cartera o el coche

Andreu_Bravo
Andrés Bravo Sánchez
CISO en Gas Natural Fenosa.

Recuerdo una mañana de hace quince años. Salí de mi casa dispuesto a iniciar mi jornada laboral, caminando hacia el aparcamiento, casco en mano, con la intención de subirme a mi moto y dirigirme a la oficina.

Desbloqueé el ascensor y descendí hasta el sótano en que aparcaba habitualmente. Una vez allí, sin esperar a llegar al vehículo, pulsé el mando a distancia para desactivar la alarma anti robo, una maravilla tecnológica que disparaba un festival de luces y sonidos por el mero hecho de pasar una mano sobre la moto sin ni siquiera tocarla.

Para mi sorpresa no sonó, ¿se estaría agotando la batería? Recorrí los metros que quedaban mientras buscaba las llaves para desactivarla manualmente y desmontar la “U” antirrobo, sin imaginarme lo que iba a encontrar al girar la última curva; o mejor dicho, lo que no iba a encontrar. El resto de la escena os la podéis imaginar: No había moto.

Supongo que cualquiera de vosotros a quien le hayan robado una cartera, un vehículo, un teléfono móvil, o cualquier otra posesión, ya sabe lo que se siente en ese preciso instante: estupefacción, decepción, ira, rabia, impotencia… ¿Sabéis lo que siento al recordarlo?

Nostalgia. Nostalgia de cuando el hurto era un delito fácil de detectar, denunciar e investigar.

Si te desaparecía la moto o la cartera, te dabas cuenta de inmediato por un principio físico incuestionable: “Ahora la ves, ahora no la ves”. Y a partir de ahí, reaccionabas con la máxima premura y diligencia, denunciándolo, bloqueando tarjetas bancarias y tramitando la documentación necesaria.

Desgraciadamente, esos procedimientos han dejado de servir en el ciberespacio. Un lugar en el que los activos que manejamos, nuestras posesiones, son intangibles.

Las vemos y las seguimos viendo aunque nos las hayan robado.

En los últimos días han salido a la luz dos nuevas ciberamenazas no detectadas hasta el momento, y que, según las evidencias recogidas, han estado sustrayendo información a diestro y siniestro sin que ningún ser viviente ni máquina inteligente lo supiese a excepción, como no, de las mentes creativas y malvadas que los han desarrollado, desplegado y utilizado.

El primero de ellos es “Careto”. Un nombre muy apropiado si nos intentamos imaginar el rostro de estupefacción del millar de usuarios y ordenadores pertenecientes a los gobiernos de los treinta y un países afectados.

Un malware que, como cada nuevo malware que se descubre, supera con creces en complejidad, sofisticación y malas intenciones a todos sus predecesores.

Entre sus novedades destaca la posibilidad de robar claves PGP, espiar conversaciones skype, funcionar sobre todo tipo de plataformas (Windows, Mac, Linux, Nokia, Android e IOS) y utilizar protocolos de encriptación muy robustos al montar sobre HTTPS algoritmos de cifrado simétricos (AES) y asimétricos (RSA) combinados entre emisor y receptor durante los procesos de control y robo de información.

De sus capacidades para robar credenciales de las victimas, capturar pulsaciones de teclado, copiar documentos, capturar pantallas, analizar tráfico de red o acceder al correo electrónico, no hace falta que diga nada por ser funciones que ya vienen de serie con la versión más básica de cualquier malware de hoy en día.

Mucho se ha de hablar todavía de su origen e intenciones dado que, curiosamente, “careto” no es una palabra empleada en muchos idiomas y que, transcribiendo literalmente una nota de prensa, los países afectados “coinciden con los ejes de la política exterior española”. ¿Ciberespionaje, tal vez? Quizá nunca lo sepamos, como con el curioso bug del ‘gotofail’ de Apple.

Pero el carrusel de las ciberamenazas ni se detiene ni parece tener fin. Este viernes mismo se ha presentado en sociedad ”Chamaleon”, el primer malware orientado al  robo de información sobre redes inalámbricas. La sutileza de este nueva creación radica en que no contagia a los ordenadores ni a los dispositivos de los usuarios, sino que ataca directamente a los puntos de acceso inalámbricos. Se instala en ellos robando y descifrando todo lo que pasa por ahí sin miedo a ser detectado por ningún sistema de seguridad ya que, cosa curiosa, a nadie se le ha ocurrido aún desarrollar antimalwares para proteger estos dispositivos.

Está claro que los malos son muy malos y están muy motivados para continuar siéndolo y que los buenos tenemos que hacer muchos deberes para aprender a combatirlos; a ser posible adelantándolos.

El interrogante que me surge ahora es… ¿Los buenos tenemos que ser malos para poder ganar las batallas del ciberespacio?

Por cierto, por si alguien está intrigado con el final de la historia de mi moto…, tuve suerte. La recuperé poco después tras poner denuncia, revisar las cámaras de seguridad del aparcamiento e identificar la matrícula trasera de una furgoneta que había entrado y salido del aparcamiento, haciendo uso de la técnica del piggyback. Un clásico para nostálgicos como yo.

Hoy soñé…

Carles Solé Pascual
Director del Instituto Español de Ciberseguridad.

Hoy soñé que me compraba un nuevo y flamante smartphone. No recuerdo la marca, ni el sistema operativo, pero sí algo que me llamó mucho la atención. En la parte posterior, bajo la lente de la cámara, llevaba serigrafiado un pequeño sello dorado en el que se podía leer “Cybercrime Proof”. Me resultó curioso, pues el logo no pertenecía a ninguna firma conocida.

Lo encendí. El dispositivo vibró levemente y apareció una barra de progreso en la pantalla que anunciaba “vinculando el dispositivo al propietario”. Un pequeño láser localizó primero mi rostro y me escaneó después de arriba a abajo. Iban apareciendo chequeos por pantalla: “Facial… Ok. Retina… Ok. Venas… Ok. ADN… Ok.”. En este último tan sólo noté un ligero cosquilleo sobre la palma de mi mano. Genial, ya no harían falta ni pines, ni contraseñas, ni secuencias de movimientos más o menos complicadas de recordar…, pero tan fáciles de robar.

Apareció la pantalla de inicio y se me ocurrió dejarlo un momento sobre la mesa y alejarme algunos pasos. Tal cómo sospechaba: se bloqueó. Al cogerlo de nuevo se encendió la pantalla, listo para empezar a instalar aplicaciones. Empecé por el WhatsThat, la app de mensajería de moda. Bajó de la tienda y apareció un nuevo mensaje en la pantalla, “Analizando App”. Un cuadro de diálogo me mostraba todo aquello que pretendía abrir la aplicación: mi agenda, mi correo, mi cámara, mi geolocalización. Y podía marcar lo que le iba a permitir, como propietario de mi intimidad, y lo que no. También mostraba, para mi sorpresa, qué información pretendía enviar a alguna nube y de qué modo. En una barra lateral se mostraba el nivel de confianza de la aplicación, que iba del verde tira-millas al rojo no-te-fíes. Resultaba hasta intuitivo, como si no lo hubiesen concebido expertos en seguridad sino los propios diseñadores del producto. El mito de la seguridad embebida se materializaba ante mis ojos.

No acabaron aquí las sorpresas. Soñar es gratis, ¿no? El trasto en cuestión ofrecía, desde la pantalla de inicio, una intrigante opción de multi-identidad. Curioso que es uno, me metí hasta el fondo del asunto. Y resultó ser el Santo Grial de la movilidad. Uno se podía crear espacios personales y corporativos, todos ellos aislados y con las necesidades particulares necesarias. Por fin podía, desde un mismo equipo, actuar como tipo normal con su familia y amigos, como empleado de una empresa y como miembro de alguna asociación o grupo de trabajo. Simplemente deslizando los dedos por la pantalla. Brutal.

Y sospeché. Gato viejo que es uno, claro. Pero todos los intentos para hackear las aplicaciones o para hacerme con el sistema resultaron infructuosos. Era como si los programadores hubiesen incorporado, en una especie de acto de rebeldía, las mejores prácticas de seguridad. Ni siquiera los cero day funcionaban. ¿Había triunfado por fin el ingenio humano?

La emoción me embargó. Incluso derramé un par de lagrimillas ante aquella maravilla. Había esperanza para la humanidad: la evolución progresaba adecuadamente. Iba incluso más allá de lo personal, pues abría la posibilidad de ofrecer a la empresa un entorno seguro donde combinar lo profesional con lo personal. Ya no necesitaría tantos bolsillos en mis americanas. Al menos para llevar los diferentes smartphones, uno por cada identidad.

Y desperté. Pero aunque los sueños, sueños son, busqué rápidamente mi entrada al MWC y me dispuse a visitar stand por stand con la esperanza de encontrarlo en el mundo real. Sin embargo, tenía poco tiempo y no lo encontré. Así que si habéis estado por ahí y habéis visto algo parecido, por favor hacédmelo saber enseguida que me lo quiero comprar.