A vueltas con el Caso Sony Pictures

Abogado. CDPP. E|CISO.  Senior Manager. Grupo SIA.

Abogado. CDPP. E|CISO. Senior Manager. Grupo SIA.

Gonzalo Salas Claver
Abogado. CDPP. E|CISO. Senior Manager. Grupo SIA. 

 Los ciberataques es un tema que de un tiempo a esta parte acapara buena parte de la agenda informativa. No hay semana que no aparezca en prensa el caso Sony donde, según parece por las investigaciones llevadas a cabo por el FBI, la unidad 121 de la Oficina General de Reconocimiento de las Fuerzas Armadas de Corea del Norte ha “hackeado” sus sistemas de información con las consecuencias por todos conocidas.

Este hecho ha vuelto a poner de manifiesto, por un lado, la fragilidad de las compañías y la virulencia de los ciberataques, y por otro lado, la dificultad o imposibilidad en muchos otros casos de identificar a sus autores y llevarlos frente a la justicia. Me permito recordar a este propósito y pido perdón por la auto-cita[1]; que carecemos actualmente de mecanismos y procedimientos que aseguren una respuesta rápida a los grandes incidentes de esta naturaleza, que incluya una detención rápida, un juicio sin dilaciones y un castigo severo en esta materia.

Siguiendo el divertidísimo –a la vez que profundo- artículo de Jacobo de Salas: “Cuando la diarrea legislativa no es suficiente. ¿Qué pasaría en un hipotético ataque cibernético de Corea del Norte a la productora de cine El Deseo?[2]” creo que hay seguir profundizando en estas cuestiones y ver qué se hace en otras jurisdicciones.

El Gobierno de Estados Unidos, a través de su Secretario del Tesoro Jacob Lew, está aplicando nuevas sanciones que afectan a tres instituciones norcoreanas y a diez altos funcionarios del régimen. Se ha bloqueado cualquier activo de los afectados en territorio estadounidense y les deniega también otro tipo de acceso al sistema financiero norteamericano. Además, prohíbe a cualquier empresa o ciudadano de EEUU realizar cualquier tipo de transacción con los sancionados.

Casualidades o coincidencias de la vida (yo rara vez creo en ellas; la realidad es un campo de potenciales posibilidades infinitas), la red de comunicaciones móviles y de Internet de Corea del Norte  fue tumbada tres semanas después del ataque a Sony, acusando directamente de ello a Estados Unidos el Gobierno de Corea del Norte.

Por otro lado, la Comisión Nacional de Defensa Norcoreana ha avisado que su ejército está listo para utilizar cualquier tipo de ataque contra EE.UU. “Nuestro contraataque más duro se tomará contra la Casa Blanca, el Pentágono y todo el territorio estadounidense, ese pozo de terrorismo, superando con creces el “contraataque simétricodeclarado por Obama” [Agencia Estatal de Noticias Norcoreana]. Lo que pone de relieve una vez más el uso de los sistemas de información y las redes con fines bélicos.

Como pude leer recientemente en el brillante artículo del Coronel Auditor don Jerónimo Domínguez Bascoy; Ciberguerra y Derecho. El Ius ad Bellum y Ius in Bello en el Ciberespacio de la Revista Española de Derecho Militar (Núm. 100), el profesor en el King´s College de Londres Thomas Rid, mantiene que la ciberguerra nunca ha sucedido en el pasado, que tampoco se está desarrollando en el presente y que nunca tendrá lugar en el futuro. Para este autor, todos los ciberataques que responden a motivaciones políticas no son más que meras versiones sofisticadas de tres actividades que son tan antiguas como la guerra misma; el sabotaje, el espionaje y la subversión.

En esta misma línea por ejemplo en el Memorándum del Instituto de Estudios de Seguridad Nacional de Israel, señala que dentro de las actividades de seguridad contra enemigos en el Ciberespacio, es común distinguir tres áreas:

  • Penetración en los sistemas enemigos con un propósito de espionaje.
  • Modalidades de lo que podría denominarse Soft Cyber Warface, entre las que se incluirían tanto las actividades de guerra psicológica, propaganda y revelación de información secreta, con las que se persigue influir en la opinión y conducta del enemigo y de quienes les apoyan, como las sanciones internacionales, con las que se trata de castigar a quien ha violado las reglas establecidas, con el fin de modificar sus conductas.
  • Ciberguerra, propiamente dicha, que abarcaría las actividades en el ciberespacio dirigidas directamente a causar daño o destrucción al enemigo.

El uso de las tecnologías con fines bélicos no reviste de una única modalidad y se distinguen entre tres conceptos cuya línea que los separa es muy difusa en muchos casos: Ciberguerra, Ciberoperaciones y Ciberataques. Indistintamente de la calificación que uno pueda establecer, el uso de la fuerza en el ciberespacio por el Ejército, se equipara al uso de la fuerza convencional y como tal debe estar sometido al régimen jurídico militar y lo que se denomina: (i) Ius ad bellum (normas que habilitan lícitamente a la apertura de hostilidades), (ii) Ius in bello (normas que gobiernan la conducción de las hostilidades, es decir, el derecho internacional humanitario y su plasmación operativa en las reglas de enfrentamiento de los beligerantes).

En lo que respecta al uso de la fuerza como el que ocurre en el ciberespacio, por otro lado, se encuentra sometido a dos principios:

  • Principio de distinción (Obligación de seleccionar los medios y métodos más apropiados, solo sobre objetivos militares, no civiles y sobre aquellas acciones que se consideren que producen graves daños a las personas, las infraestructuras críticas, el medio ambiente o la salud)
  • Principio de proporcionalidad (Escoger los métodos más idóneos para el cumplimiento de los objetivos)

Impaciente estoy en ver los siguientes pasos de los actores en conflicto, frente a lo que parece ser el incidente más grave acaecido hasta la fecha o por lo menos conocido por el público en general.

Como decían las series de mi infancia: Continuará

[1] La estrategia de Ciberseguridad Nacional. Línea de Acción 4 del Gobierno. Investigación y Persecución del Ciberterrorismo y la Ciberdelincuencia. https://ismsforumspain.wordpress.com/tag/gonzalo-salas/

[2] http://www.confilegal.com/tribunas/diarrea-legislativa-suficiente-29122014-1733

Nota del administrador:

Las opiniones contenidas en el Blog son de exclusiva responsabilidad de los autores y no necesariamente reflejan la opinión de la organización.

Ciberseguridad y Estrategia a largo plazo pero con recursos a corto… muy corto (Parte 2)

Gianluca D'Antonio
Gianluca D’Antonio
Presidente de ISMS Forum Spain y CISO de Grupo FCC. 

En este segundo post explicaré cómo diseñar una estrategia que, teniendo en cuenta los factores limitantes que hemos enumerado y descrito en la primera parte, defina los pasos a seguir para generar el cambio necesario en la organización para hacer frente a los nuevos desafíos que el ciberespacio presenta.

Iré por orden, definiendo las contra-medidas por cada factor limitante. Es preciso remarcar que algunas contra-medidas se aplican en más de un factor.

Apatía

Kevin Kelly, el fundador de Wired afirma que “en general, es mucho más fácil matar una organización que cambiarla significativamente” y con los años que he pasado trabajando en grandes y medianas organizaciones, tengo que reconocer que sigue teniendo razón. Existe todo un argumento para no salir de la zona de confort. Se trata de una inercia cultural que construye su trinchera con variaciones que giran alrededor del mismo argumento: “Nosotros no lo hacemos así porque somos distintos”. Y las variaciones cubren todo tipo de escenarios: distintos por mercado, por nivel de madurez, por organización, por regulación y, obviamente, por cultura.

Ante estos obstáculos, en mi opinión, la mejor estrategia es objetivar cuanto más posible el enfoque. En primer lugar, es necesario identificar los elementos de resistencia así como aquellos que puedan favorecer el cambio. En segundo lugar, hay que objetivar la necesidad del cambio. Tratando de Ciberseguridad, hay que determinar el gap existente entre la situación actual y la deseada por la organización. Los resultados del gap análisis irán acompañados por un estudio de mercado (que comúnmente denominamos benchmarking) y las buenas prácticas del Sector. El objetivo de este trabajo es desmitificar los argumentos arriba mencionados. Ninguna organización es única si la consideramos como la interrelación de Personas, Procesos y Tecnología, ámbito en el cual tenemos que definir la estrategia de ciberseguridad.

Infancia

Quizá este sea el factor que menos resistencias ofrece. Si es cierto que nos encontramos ante una disciplina todavía en fase de desarrollo, es también cierto que su consolidación está siendo favorecida por múltiples factores entre los cuales destacaría los siguientes:

  1. La adopción de Estrategias Nacionales de Ciberseguridad por parte de muchos países.
  2. El desarrollo de normas legales que contemplan aspectos de ciberseguridad en varios ámbitos de actuación de la iniciativa privada como la protección de infraestructuras criticas, la privacidad, la legislación penal, etc.
  3. La creciente entidad de los ataques e incidentes.
  4. El incremento de la cobertura mediática de los eventos arriba mencionados

Queda, sin embargo, recorrido para sistematizar de forma integral y coherente el conjunto de competencias y habilidades requeridas para una gestión idónea de las ciberamenazas.

En este ámbito es de fundamental relevancia la estructura que se dé a una unidad organizativa dedicada al dominio de la ciberseguridad. Tratándose de una práctica todavía en fieri, es importante planificar detenidamente todos los elementos del Programa de Ciberseguridad. Con este término quiero referirme a un conjunto ordenado de actividades encaminadas a conseguir los objetivos de la organización.

El orden de las actividades que componen un Programa de Ciberseguridad podría ser enumerado de la siguiente forma:

  • Definición de la Visión, Misión y Objetivos de la organización para el tratamiento de los ciber-riesgos.
  • Análisis contextualizado de la ciber-situación de la organización.
  • Delimitación del GAP y del ámbito de aplicación del Programa de Ciberseguridad.
  • Elaboración del conjunto de competencias y capacidades necesarias.
  • Definición de la estrategia de ciberseguridad.
  • Reclutamiento y formación del equipo.
  • Desarrollo del programa de acuerdo con la estrategia de ciberseguridad.
  • Revisión del estado de ejecución del programa.
  • Acciones correctivas y de mejoras.

Miopía.

Quizá sea este el factor limitante más difícil de reducir por ser intrínsecamente ligado a la naturaleza del razonamiento humano. “¿Cómo podemos conocer el futuro teniendo en cuenta nuestro conocimiento del pasado?” esta frase de Nassim Nicholas Taleb[1] introduce, en su forma original, el problema de la previsibilidad de los Cisnes Negros. En este contexto, las consecuencias de lo que aquí estamos clasificando bajo el paraguas de Miopía, mantienen una estrecha relación con nuestro sucesivo factor limitante, el de Primigenia. La falta de un dilatado y consolidado conjunto de series estadísticas sobre ciber-incidentes y ciberataques, que hayan influido de forma relevante y reconocida sobre hechos históricos, determina por parte de la mayoría de las personas una infra ponderación del riesgo. Ante este hecho, que el autor del Cisne Negro denomina falacia narrativa solo cabe una afirmación: “la naturaleza humana no está programada para los Cisnes Negros[2].

¿Qué recursos tenemos a nuestro alcance para intentar revertir esta situación de pesimismo ontológico? Yo diría que principalmente dos. El primero consiste en replantear el proceso de análisis de riesgos para transformarlo en análisis de impacto. Partiendo de la evidencia que el cálculo de probabilidad ante un escenario novedoso, como es el ciberespacio, se antoja indeterminable, mi propuesta es pivotar este análisis sobre las demás variables de la ecuación que sí podemos determinar y delimitar: vulnerabilidad e impacto.

El segundo consiste en evidenciar todas las estrechas relaciones de interdependencia que unen los procesos de negocio de cualquier organización de hoy con sus ecosistemas tecnológicos, así como la vulnerabilidad y exposición de estos últimos antes ciberamenazas.

No quiero negar que pasar de la teoría expresada en estas líneas a la práctica no sea un ejercicio sencillo. Probablemente sea todo lo contrario. Antes del 27 de abril de 2007 nadie hubiera imaginado un ciberataque a gran escala y de las consecuencias que luego conocimos contra de un país como Estonia. Las probabilidades eran muy bajas, por no decir casi inexistentes, según el criterio de la mayoría de los seres humanos. El atentado terrorista del 11 S y el desastre nuclear de Fukushima han vuelto a poner en evidencia la incapacidad del hombre de estimar y prevenir el evento primigenio. Lo que pone de manifiesto que ante las amenazas del ciberespacio no vamos a estar preparados por nuestra misma forma de subestimar lo que no hemos visto todavía. Sabemos que nuestra sociedad es cada vez más dependiente de su infraestructura tecnológica, del suministro de fuentes de energías, de sus comunicaciones en tiempo real, de sus servicios online…, lo que no sabemos y tendremos que aprender por la vía de la “prueba y error” es el coste y las consecuencias del incidente o ataque cibernético.

[1] [2] El cisne negro; Nassim Nicholas Taleb, edición Paidós.

La estrategia de Ciberseguridad Nacional. Línea de Acción 4 del Gobierno. Investigación y Persecución del Ciberterrorismo y la Ciberdelincuencia

Abogado. CDPP. E|CISO.  Senior Manager. Grupo SIA.

Abogado. CDPP. E|CISO. Senior Manager. Grupo SIA.

Gonzalo Salas Claver
Abogado. CDPP. E|CISO. Senior Manager. Grupo SIA. 

El Presidente del Gobierno aprobó el pasado año el documento que contiene la Estrategia de Ciberseguridad Nacional (ECN) como piedra angular del Gobierno para el desarrollo de acciones de prevención, defensa, detección y respuesta frente a las Ciberamenazas.

Aprovechando que el pasado 26 de febrero de 2014 se constituyó el Consejo Nacional de Ciberseguridad, qué mejor momento procesal para escribir este breve ensayo, haciendo una breve critica a una de sus líneas de acción, por considerarla inconsistente y, por tanto, ineficaz. Si bien atrevido de mí, debería seguir al ingenioso hidalgo Don Quijote, cuando éste le dijo a su inseparable Sancho: ¿Qué locura o qué desatino me lleva a contar las ajenas faltas, teniendo tanto que decir de las mías?

La ECN gira sobre la definición de unos principios rectores y objetivos de la Ciberseguridad, junto con la descripción de un conjunto de líneas de acción. Ahora bien, hoy en día es difícil de entender que las acciones prescritas para conseguir un marco jurídico y operativo eficaz en esta materia  (contenidas en la Línea de Acción 4 de la ECN)) se limiten única y exclusivamente a:

  • Integrar los tipos penales según los problemas que surjan relacionados con la ciberseguridad.
  • Mejorar las capacidades de investigación y persecución del ciberterrorismo y ciberdelincuencia.
  • Fortalecer la cooperación policial y ciudadana.
  • Asegurar a los profesionales del derecho, el acceso a la información y el conocimiento para la mejor aplicación del marco legal.

Nos parece decepcionante que, además de la sempiterna pretensión de mejora sustancial de las leyes, no se establezcan o prevean como eje principal de la ECN una mejora fundamental de los mecanismos y procedimientos que aseguren una respuesta rápida a los grandes incidentes, que incluya una detención rápida, un juicio sin dilaciones[1] y un castigo severo. Elementos todos ellos de la ecuación, que no se dan dentro de nuestro sistema y nuestro ordenamiento jurídico. Y es doblemente decepcionante por cuanto en la National Strategy to Secure Cyberspace de 2003 del Presidente de los EE.UU. se establecía como uno de sus principios principales “mejorar las capacidades para determinar la fuente del ataque y la respuesta”.

En efecto, toda la ECN parece que se centra en la prevención, y deja de absolutamente de lado la reacción. Echo en falta unas claras líneas de acción para cuando las medidas preventivas  sean claramente superadas. En efecto, el Manual de Tallin (2013) de la OTAN sobre el derecho internacional aplicable a la ciberguerra contiene una Regla 13 que establece que un Estado que es objeto de una ciberataque que alcanza el nivel de ataque bélico puede ejercitar su derecho intrínseco a la legítima defensa. Este mismo año se ha publicado también por la OTAN el libro Peacetime Regime por State Activities in Cyberspace como guía doctrinal frente a ataques cibernéticos que no alcancen la categoría de ataque bélico.

No creo, que bajo estas líneas de acción, encontremos la capacidad de respuesta a los retos frente a los que nos encontramos, y se dé o se consiga una protección real y efectiva a los ciudadanos frente  a los contundentes riesgos y amenazas que se ciernen sobre nosotros.

Los ciberdelitos[2] presentan éstos aspectos característicos:

  • Se cometen fácilmente.
  • Se ejecutan bajo una percepción de anonimato.
  • Percepción de impunidad.
  • Posibilidad de obtención de rápidos beneficios/ daños.
  • Requieren escasos recursos en relación al perjuicio que pueden causar.
  • Pueden cometerse desde cualquier lugar, generando problemas de jurisdicción, lo que supone una dificultad en la persecución del delito por las restricciones territoriales.
  • Se benefician en algunos casos de lagunas de impunidad, por ser ejecutados desde territorios donde ni se tipifica la sanción, por tanto no se persigue el delito ni hay posibilidad de extradición.

Bajo toda esta aureola de beneficios, el elemento de tolerancia cero y medidas severas siempre son una buena herramienta. Sanciones efectivas, proporcionadas y sobre todo disuasorias. Para ello solo hay que ver el régimen sancionador de la Administración Pública, donde cada vez es más notorio el importe de las sanciones como elemento disuasorio frente al administrado.

Resulta interesante ver, como en Estados Unidos se ha incrementado notablemente las penas si se atacan ordenadores protegidos, con condenas de hasta 10 años de prisión en primera condena y de hasta 20 años cuando haya reincidencia, cuando nuestro tipo general, el de revelación de secretos va de 1 a 5 años y/o el de daños[3]  con pena multa de 6 a 24 meses.

Es difícil encontrar, invito al lector a que me rectifique, supuestos de condena penal superior a 2 años, que suponga el ingreso efectivo en prisión, por delitos informáticos, excluyendo indiscutiblemente los relativos a la difusión de pornografía infantil.

Por otro lado, nos encontramos frente a unas normas y procedimientos, que encorsetan la lucha contra la ciberdelincuencia. Así difícilmente se podrán obtener unos buenos resultados cuando:

  • Contamos con sistemas descentralizados de la administración de justicia, por el traspaso de competencias por los distintos Estatutos de Autonomía, que junto a su falta de interoperabilidad, a pesar del esfuerzo que se está llevando a cabo a través del Esquema Judicial de Interoperabilidad y Seguridad, redunda en una merma en términos de eficiencia y calidad de la justicia.
  • Falta de consolidación de los sistemas y las infraestructuras de los distintos Cuerpos y Fuerzas de Seguridad del Estado, lo que supone claras y manifiestas ineficiencias. Un modelo de “silos” que en la práctica supone mermas en la capacidad de respuesta entre los distintos cuerpos policiales dedicados a la persecución de este tipo de delitos (La Brigada de Investigación Tecnológica del Cuerpo Nacional de Policía,  el Grupo de Delitos Telemáticos de la Guardia Civil, y a nivel autonómico; la Unidad de Delitos Económicos e Informáticos de la Ertzaintza y los Mossos d’Esquadra desde la Unidad de Central de Delitos Informáticos).
  • Unos cuerpos policiales que cooperan poco entre ellos, rompiendo la máxima que en seguridad se colabora no se compite.
  • Unos procedimientos en materia de cooperación judicial vía comisión rogatoria, excesivamente lenta. Nuestra Ley de Enjuiciamiento Criminal del año 1882 poco podría prever sobre estas conductas tan dinámicas que requieren respuestas ágiles.
  • Una normativa en materia de privacidad, intimidad y protección de datos, que limita o restringe la actuación policial, que debe verse sometida al principio de proporcionalidad, que deba ser idónea para la investigación del delito, imprescindible para el caso concreto (que no existan otras menos gravosas), y ejecutada de tal modo que el sacrificio del derecho fundamental a la intimidad no resulte desmedido con la gravedad de los hechos y las evidencias existentes.

Año a año crece este tipo de delincuencia. Nos encontramos en un escenario en donde la incoación de procedimientos judiciales  por hechos ilícitos asociados al uso de las TICs ha supuesto un incremento del de un 21,81%, según los datos publicados en la última Memoria de la Fiscalía General del Estado. Así el registro del último año (2012) asciende a 7.957.

Gráfica1

Fuente; Memoria Fiscalía General del Estado 2013.

Según el Ministerio del Interior, el 95% de los delitos relacionados con las nuevas tecnologías quedan impunes. Si bien por su informe de Cibercriminalidad, el año pasado detuvieron a más de 5.000 personas. En cuanto al volumen por tipología de delitos:

Gráfica2

Fuente; Ministerio del Interior.

Según Symantec, el promedio mundial de ataques dirigidos es de 116 diarios y su incremento en el año 2012 del 42%. El informe sobre Crimen Cibernético de Norton 2013, registra más de un millón de victimas al día, cada una de las cuales pierde € 220 por término medio.

Estos datos no dejan de ser la punta del iceberg,  ya que estamos frente a un problema de delincuencia global, en muchos casos, organizada y cada vez más tecnificada. Unos datos que a su vez nunca recogerán la realidad, dado que muchos delitos no son conocidos y por tanto ni registrados ni perseguidos.

Es por tanto necesario, abarcar nuevas iniciativas para reforzar la lucha contra la ciberdelincuencia,  y desarrollar y reforzar toda una serie de medidas destinadas a disuadir y combatir estas conductas. Para ello la revisión y mejora normativa y procedimental de nuestro ordenamiento jurídico, no solo es vital, sino fundamental.

Un gran primer paso ha llevado a cabo el Gobierno de España, buscando ampliar y mejorar las capacidades de detección y análisis de las ciberamenazas.  Aquellos que tienen el privilegio de saber, tienen ahora  la obligación de actuar (Replicando a Comte: “Saber para prever, a fin de poder” ).

[1] La principal queja o reclamación a los Juzgados y Tribunales, es la falta de una justicia ágil y tecnológicamente avanzada, destacando el derecho a la tramitación ágil de los asuntos y derecho a una organización racional de la oficina o servicio judicial.

Según las estadísticas del Consejo General del Poder Judicial,  los Juzgados de lo Penal tardan en resolver en primera instancia 10,4 meses.

[2] De las múltiples definiciones que han querido abarcar este concepto, la más apropiada es la descrita por Romeo Casabona: Conjunto de conductas relativas al acceso, apropiación, intercambio y puesta a disposición de información en redes telemáticas, las cuales constituyen un entorno comisivo, perpetradas sin  el consentimiento o autorización exigibles  o utilizando información de contenido ilícito, pudiendo afectar a bienes jurídicos diversos de naturaleza individual o supraindividual. (De los delitos informáticos al cibercrimen. Una aproximación conceptual y político criminal)

[3] Coste de un ciberataque: € 435.000 (Coste de mano de obra, hardware, software e indemnizaciones. No se computa lucro cesante). Fuente: Symantec. Coste del Cibercrimen.

Coste de pérdida de negocio por fallo de seguridad: € 350-€ 700 en PYME, €12.00- € 18.000 Gran Empresa. Fuente: Information Security Breaches Survey

Coste de pérdida de posicionamiento en motores de búsqueda (Código Malicioso en Web) y credibilidad: € 25.000-€115.000 en Pyme y € 29.000- €135.000 en Gran Empresa. Fuente: Information Security Breaches Survey

“No os equivoquéis. Éste no es un artículo sobre el 11-M”

Andreu_Bravo
Andrés Bravo Sánchez
CISO en Gas Natural Fenosa.

No me gusta que el atentado de Atocha sea recordado como el 11-M.

Puedo entender que una cifra y una letra sean fáciles de recordar y que, al pronunciarlas, rápidamente sea más sencillo evitar sentirse afectado por lo que sucedió aquél día, pero no me gusta esa notación.

No me gusta, porque ni siquiera es una fecha completa y eso nos hace olvidar una cronología que, bien analizada, dice mucho de lo mal preparados que estamos para adaptarnos a las nuevas amenazas.

Hablar de 11-S, 11-M y 7-J es lo mismo que hablar de 2001, 2004 y 2005 pero no parece que seamos conscientes de ello.

Está claro que un intervalo de 4 años no fue tiempo suficiente para desarrollar mecanismos de defensa contra este tipo de atentados; sin embargo, la causa de esa incapacidad no fue la falta de presupuesto ni de talento innovador. Basta recordar que en esos cuatro años Apple presentó el primer ipod, Dean creó el Segway PT, salieron los primeros teléfonos con cámara, Microsoft creó la Xbox, se abrió el itunes music store y se inventó youtube.

Lo que de verdad está fallando somos nosotros, las personas.

Ignoramos que las reglas de la guerra han cambiado, que el campo de batalla ya no es una zona abierta donde sólo luchan los soldados. Que Internet y las nuevas tecnologías han hecho que las armas sean mucho más baratas, más anónimas, más silenciosas y más dañinas. Que los servicios esenciales más básicos como la luz o el agua pueden ser controlados o manipulados a miles de kilómetros de distancia provocando envenenamiento, caos y muerte. Y que, como dijo Francis Bacon en 1605, “El conocimiento es poder”; aunque a mi, personalmente, me parece mucho más adecuada la reflexión que hizo Quinn Mc Donald en 2007: “La información es poder y está a la venta”.

Y es que nuestra vida entera y nuestras identidades se han convertido en información. Desde lo más público e inocuo hasta nuestros secretos más íntimos. Somos números, datos, documentos, sentimientos expresados de mil formas, fotos, vídeos, ideas…, somos sólo eso, información. O peor aún, somos información fuera de control. Porque aunque no queramos publicarla, siempre habrá alguien que lo hará por nosotros; y porque aunque queramos eliminarla, nunca sabremos si otras personas ya la han visto y la han copiado.

Querer creer que toda esa información puede clasificarse como pública o privada es un error, porque siempre habrá alguien con capacidad para acceder a ella, que podrá modificarla y que podrá destruirla. Que podrá suplantarnos, que podrá copiarnos, que podrá utilizarla en contra nuestra, o peor aún, que podrá utilizarla como un medio para alcanzar un fin mayor.

Hace unos días hemos sabido de la existencia de Uroburos, también conocida como “The snake campaign”. Otra ciberarma de espionaje y control. En este caso, diseñada por Rusia y desplegada con intensidad sobre Ucrania, capaz de comunicarse con su panel de control incluso estando instalada en un equipo, ¡sin conexión directa a Internet! Y hace unas horas, un grupo de hackers ucranianos han paralizado los servidores públicos de la asamblea parlamentaria de la OTAN.

Como decimos en nuestro sector, tenemos que actuar como si estuviésemos comprometidos. Pensar que toda la información que manejamos es importante y que siempre hay alguien interesado en utilizarla para hacer daño.

¿Aún no os lo creéis? Pues daros un paseo por la website de la empresa mSpy y podréis comprar teléfonos móviles nuevos con software precargado para grabar las conversaciones de quién los utilice. El regalo ideal para quedar como un señor y tener el control de vuestra pareja, hij@s o emplead@s.

Y ya que me lío a daros ejemplos, ni se os ocurra abrir los vídeos, fotos y noticias recién publicados en Internet sobre los restos del avión encontrado ni los supervivientes del vuelo MH370 de Malaysian Airlines. Si lo hacéis corréis el peligro de que vuestros ordenadores se conviertan en pasto del malware!

Aventuras de un CISO en Rooted

Roberto Baratta
Roberto Baratta
CISO en Novagalicia Banco.

Tengo que reconocer que, tras dos experiencias en Rooted, no solo le he cogido cariño si no que me siento como en casa. Quién lo iba a decir hace un año, cuando me convencieron para dar una ponencia…., ¡y repetir este año!

Desde la posición de un CISO de una “gran empresa”, Rooted no deja de suponer una mezcla de desconfianza, curiosidad y excitación. El talento por metro cuadrado es deslumbrante, la juventud (bueno, hay de todo ya…) insultante y el desparpajo arrebatador. En definitiva, un cóctel explosivo para los que nos dedicamos más a la gestión que a la técnica y el “counterfeiting”.

En mi reciente segunda experiencia he constatado para mi deleite que el nivel nacional del ramo es excelente, por ser comedido. Uno ya ha pateado mundo en esto y siempre tenemos ese deje de que lo de fuera…, yo que sé…  Y lo que más me ha gustado, y le da una perspectiva y futuro a la profesión (y a Rooted), es que la orientación empresarial es muy relevante. Sin dejar la investigación y el “pure hacking”, nuestros profesionales (y los que están en ciernes) ya van mostrando una buena vocación empresarial, orientación al servicio y al cliente, que me hubiera costado creer de no haberlo constatado con estas, mis orejas. A ver si somos capaces de dar cabida a este talento en la piel de toro, sin proselitismos ni demagogias, que por ahí fuera también se está muy bien, se aprende mucho y ellos vienen aquí también, ¡qué caray!

Dicho esto, la fase de transformación del I+D+i en seguridad a productos y servicios aún tiene camino por delante. Supongo que el emprendimiento es una buena vía, a pesares de los pesares, de lo tremendamente complejo que es iniciar un negocio o una empresa en esta querida tierra nuestra. Esta transformación también requiere de normalización en la cualificación y formación. Tenemos un guirigay de títulos, nombres, cursos, masters que poco ayudan a dejar claro al mercado quiénes somos, qué hacemos y de qué sabemos. Condición sine-qua-non para ser reconocidos como sector y que el regulador ampare las competencias y funciones que otros, como la seguridad física o seguridad privada, si tienen. Iniciativas hay, talento y ganas también, ¿qué falta? Quizás sentido común…

De lo más relevante, bajo mi punto de vista, la proliferación de canales de exflitracion en APT’s avanzados utilizando técnicas muy novedosas. Incluso diseñando protocolos propietarios para aprovechar WiFi, por ejemplo, como canal. APT’s por cierto que están cobrando un nuevo protagonismo al pasar del mercado más “tradicional” del ciberdelito y fraude, a formar parte de un hipotético arsenal para la ciberguerra. Cabría pensar en un futuro que crear, disponer o estar en disposición de utilizar uno de estos artefactos, pudiera ser un delito de posesión de “armas de guerra” como hoy en día ya constituye prueba en los casos más relevantes de hacktivismo o ciberdelito.

Divertido también encontrar a mis colegas del mundo más “serio”; permitidme la expresión, de consultoras, operadoras, partners, bancos “camuflados” tras dejar el traje de diario y aparecerme en camiseta negra y vaqueros…, vamos que estábamos todos. Que satisfacción, además, me resultó comprobar que entiendo la mayor parte de las ponencias…, ¡no hay como esforzarse!!

Larga vida y salud a Rooted, tenéis un incondicional en mí, ya lo sabéis.