“No os equivoquéis. Éste no es un artículo sobre el 11-M”

Andreu_Bravo
Andrés Bravo Sánchez
CISO en Gas Natural Fenosa.

No me gusta que el atentado de Atocha sea recordado como el 11-M.

Puedo entender que una cifra y una letra sean fáciles de recordar y que, al pronunciarlas, rápidamente sea más sencillo evitar sentirse afectado por lo que sucedió aquél día, pero no me gusta esa notación.

No me gusta, porque ni siquiera es una fecha completa y eso nos hace olvidar una cronología que, bien analizada, dice mucho de lo mal preparados que estamos para adaptarnos a las nuevas amenazas.

Hablar de 11-S, 11-M y 7-J es lo mismo que hablar de 2001, 2004 y 2005 pero no parece que seamos conscientes de ello.

Está claro que un intervalo de 4 años no fue tiempo suficiente para desarrollar mecanismos de defensa contra este tipo de atentados; sin embargo, la causa de esa incapacidad no fue la falta de presupuesto ni de talento innovador. Basta recordar que en esos cuatro años Apple presentó el primer ipod, Dean creó el Segway PT, salieron los primeros teléfonos con cámara, Microsoft creó la Xbox, se abrió el itunes music store y se inventó youtube.

Lo que de verdad está fallando somos nosotros, las personas.

Ignoramos que las reglas de la guerra han cambiado, que el campo de batalla ya no es una zona abierta donde sólo luchan los soldados. Que Internet y las nuevas tecnologías han hecho que las armas sean mucho más baratas, más anónimas, más silenciosas y más dañinas. Que los servicios esenciales más básicos como la luz o el agua pueden ser controlados o manipulados a miles de kilómetros de distancia provocando envenenamiento, caos y muerte. Y que, como dijo Francis Bacon en 1605, “El conocimiento es poder”; aunque a mi, personalmente, me parece mucho más adecuada la reflexión que hizo Quinn Mc Donald en 2007: “La información es poder y está a la venta”.

Y es que nuestra vida entera y nuestras identidades se han convertido en información. Desde lo más público e inocuo hasta nuestros secretos más íntimos. Somos números, datos, documentos, sentimientos expresados de mil formas, fotos, vídeos, ideas…, somos sólo eso, información. O peor aún, somos información fuera de control. Porque aunque no queramos publicarla, siempre habrá alguien que lo hará por nosotros; y porque aunque queramos eliminarla, nunca sabremos si otras personas ya la han visto y la han copiado.

Querer creer que toda esa información puede clasificarse como pública o privada es un error, porque siempre habrá alguien con capacidad para acceder a ella, que podrá modificarla y que podrá destruirla. Que podrá suplantarnos, que podrá copiarnos, que podrá utilizarla en contra nuestra, o peor aún, que podrá utilizarla como un medio para alcanzar un fin mayor.

Hace unos días hemos sabido de la existencia de Uroburos, también conocida como “The snake campaign”. Otra ciberarma de espionaje y control. En este caso, diseñada por Rusia y desplegada con intensidad sobre Ucrania, capaz de comunicarse con su panel de control incluso estando instalada en un equipo, ¡sin conexión directa a Internet! Y hace unas horas, un grupo de hackers ucranianos han paralizado los servidores públicos de la asamblea parlamentaria de la OTAN.

Como decimos en nuestro sector, tenemos que actuar como si estuviésemos comprometidos. Pensar que toda la información que manejamos es importante y que siempre hay alguien interesado en utilizarla para hacer daño.

¿Aún no os lo creéis? Pues daros un paseo por la website de la empresa mSpy y podréis comprar teléfonos móviles nuevos con software precargado para grabar las conversaciones de quién los utilice. El regalo ideal para quedar como un señor y tener el control de vuestra pareja, hij@s o emplead@s.

Y ya que me lío a daros ejemplos, ni se os ocurra abrir los vídeos, fotos y noticias recién publicados en Internet sobre los restos del avión encontrado ni los supervivientes del vuelo MH370 de Malaysian Airlines. Si lo hacéis corréis el peligro de que vuestros ordenadores se conviertan en pasto del malware!

Aventuras de un CISO en Rooted

Roberto Baratta
Roberto Baratta
CISO en Novagalicia Banco.

Tengo que reconocer que, tras dos experiencias en Rooted, no solo le he cogido cariño si no que me siento como en casa. Quién lo iba a decir hace un año, cuando me convencieron para dar una ponencia…., ¡y repetir este año!

Desde la posición de un CISO de una “gran empresa”, Rooted no deja de suponer una mezcla de desconfianza, curiosidad y excitación. El talento por metro cuadrado es deslumbrante, la juventud (bueno, hay de todo ya…) insultante y el desparpajo arrebatador. En definitiva, un cóctel explosivo para los que nos dedicamos más a la gestión que a la técnica y el “counterfeiting”.

En mi reciente segunda experiencia he constatado para mi deleite que el nivel nacional del ramo es excelente, por ser comedido. Uno ya ha pateado mundo en esto y siempre tenemos ese deje de que lo de fuera…, yo que sé…  Y lo que más me ha gustado, y le da una perspectiva y futuro a la profesión (y a Rooted), es que la orientación empresarial es muy relevante. Sin dejar la investigación y el “pure hacking”, nuestros profesionales (y los que están en ciernes) ya van mostrando una buena vocación empresarial, orientación al servicio y al cliente, que me hubiera costado creer de no haberlo constatado con estas, mis orejas. A ver si somos capaces de dar cabida a este talento en la piel de toro, sin proselitismos ni demagogias, que por ahí fuera también se está muy bien, se aprende mucho y ellos vienen aquí también, ¡qué caray!

Dicho esto, la fase de transformación del I+D+i en seguridad a productos y servicios aún tiene camino por delante. Supongo que el emprendimiento es una buena vía, a pesares de los pesares, de lo tremendamente complejo que es iniciar un negocio o una empresa en esta querida tierra nuestra. Esta transformación también requiere de normalización en la cualificación y formación. Tenemos un guirigay de títulos, nombres, cursos, masters que poco ayudan a dejar claro al mercado quiénes somos, qué hacemos y de qué sabemos. Condición sine-qua-non para ser reconocidos como sector y que el regulador ampare las competencias y funciones que otros, como la seguridad física o seguridad privada, si tienen. Iniciativas hay, talento y ganas también, ¿qué falta? Quizás sentido común…

De lo más relevante, bajo mi punto de vista, la proliferación de canales de exflitracion en APT’s avanzados utilizando técnicas muy novedosas. Incluso diseñando protocolos propietarios para aprovechar WiFi, por ejemplo, como canal. APT’s por cierto que están cobrando un nuevo protagonismo al pasar del mercado más “tradicional” del ciberdelito y fraude, a formar parte de un hipotético arsenal para la ciberguerra. Cabría pensar en un futuro que crear, disponer o estar en disposición de utilizar uno de estos artefactos, pudiera ser un delito de posesión de “armas de guerra” como hoy en día ya constituye prueba en los casos más relevantes de hacktivismo o ciberdelito.

Divertido también encontrar a mis colegas del mundo más “serio”; permitidme la expresión, de consultoras, operadoras, partners, bancos “camuflados” tras dejar el traje de diario y aparecerme en camiseta negra y vaqueros…, vamos que estábamos todos. Que satisfacción, además, me resultó comprobar que entiendo la mayor parte de las ponencias…, ¡no hay como esforzarse!!

Larga vida y salud a Rooted, tenéis un incondicional en mí, ya lo sabéis.