Las historias del asalto a un casino hackeando el termómetro de la pecera o la intrusión en los sistemas de una organización desde el chip de la barrera del parking han pasado de película a crónica de sucesos. Aún así, en muchos aspectos estamos en la edad de la inocencia. “Los estudios dicen que en 2020 el coste de la ciberinseguridad será de 6 trillones de dólares, cuando la inversión global está en 80.000 millones. Invertimos mucho menos de lo que nos cuesta”, explica Xabier Mitxelena, que antes de ser responsable de Accenture Security para España, Portugal e Israel fue fundador de una de las principales empresas de ciberseguridad en España, S21sec.
La hiperconectividad a través de internet no se diseñó pensando en los riesgos que subyacen. Pero la tentación de volver a los mandos analógicos no pasa de pataleta fugaz o debate puntual en algún comité. La turbina gira en dirección contraria: “Se trata de potenciar la vida digital y el crecimiento económico acorde”, explicaba Yigal Unna, responsable del Directorio Nacional de Ciberseguridad de Israel, en el marco de la Cyber Week que se celebró en Tel Aviv en junio. Israel es uno de los países que más invierte en ciberseguridad y cuyas empresas especializadas reciben un 20% de la inversión global del sector, según datos oficiales. “Hace cuatro años el Gobierno inyectó fuertes cantidades para la creación de seis centros de élite, cada uno de ellos enfocado en diferentes áreas, desde la criptología a los campos interdisciplinarios”, explica Unna. El buque insignia es el hub tecnológico de Beerseba, en el desierto del Néguev, donde se concentran investigadores de la Universidad Ben-Gurion, especialistas de inteligencia israelíes, multinacionales tecnológicas que han instalado allí su sede regional, startups y generosas inyecciones de fondos públicos. El cóctel la convierte en un El Dorado de la ciberseguridad.
Sin duda, visión de futuro: el negocio mundial crece exponencialmente, a la vez que la falta de expertos. Y pragmatismo. Beerseba plasma la colaboración entre sectores que reclaman todos los analistas. “Esto no lo soluciona una empresa ni un Gobierno, esto es un concepto de colaboración público-privada”, afirma Mitxelena.
Una de las iniciativas europeas en este sentido en los últimos dos años ha sido potenciar la ECSO (Organización de Ciberseguridad Europea en sus siglas en inglés), una asociación público-privada que reúne a las empresas, las universidades y los centros de información de los países miembros. “Se han definido grupos de trabajo que nos permiten reducir la brecha de seguridad que tenemos en este momento, generar un modelo de certificación y un sistema de confianza”, afirma Mitxelena.
- Trabajar en el todo, no solo en las partes
Inversión, formación y cooperación son parte de las medidas, pero no van a la raíz. Al margen de preparar y contratar ejércitos de expertos, el problema se empieza a abordar de modo holístico. Porque la ciberseguridad no va solo de manejar código, sino de entender la complejidad de un negocio, de saber dónde está el valor más sensible para poder defenderlo y de saber reaccionar a situaciones complejas con implicaciones múltiples. Como explica Rosa Kariger, CISO de Iberdrola, “hay que empezar a entender que la ciberseguridad no es un problema de tecnología, de hackers, sino de comprender cómo la sociedad, las empresas y los negocios están soportados hoy por algo nuevo, que es la hiperconectividad”. Es la filosofía que ha aplicado en Iberdrola. Cuentan con los expertos, la formación continua, trabajan en simulaciones, invierten en capacidades de detección y están coordinados con agencias nacionales e internacionales. En las infraestructuras críticas no se arriesga. Pero, además de “tener un presupuesto multimillonario en ciberseguridad”, explica Kariger, trabajan con una visión global de equipo: “Hemos desplegado un modelo de traslado de la responsabilidad a todos los puntos de decisión. Hay dos perfiles que tiene que tener la compañía. Uno, para la detección, en la que necesitamos a los especialistas en ciberseguridad. Pero es muchísimo más importante que los equipos de todo el negocio tengan una buena comprensión de los riesgos que supone el uso de la tecnología”.
- Seguridad hasta en la pieza más pequeña
Aunque la organización sea un búnker de seguridad, siempre hay un eslabón débil en la cadena, sea el termostato de la pecera o el aparato de aire acondicionado. Las organizaciones cibercriminales capaces de ejecutar ataques de alta envergadura, como los que han costado millones a la banca, tienen estructuras similares a las de las empresas víctimas,estrategas y especialistas armados de una paciencia infinita que van a encontrar el punto débil. El botín merece la espera. Por eso, Mitxelena aboga por un cambio de paradigma que plantee la seguridad como una parte fundamental de la concepción de la tecnología desde su origen. El adiós a las piezas no seguras: “Hemos construido la seguridad desde fuera hacia dentro. El gran cambio y una de las claves es construir las cosas desde el concepto de security by design [seguridad por diseño]. Igual que hemos conseguido definir los estándares de calidad en nuestros productos y servicios, debemos incluir la seguridad como estándar”.
Rick Echevarria, vicepresidente de la división de Seguridad de Intel, empresa cuyos chips revelaron este año una vulnerabilidad que puso en riesgo millones de terminales, reconoce que la prioridad es asegurar la integridad de los ordenadores, los algoritmos y el software. Y apunta una solución especialmente dirigida a la inteligencia artificial (IA) y los datos: “¿Cómo conseguimos que sean eficientes los sistemas de IA si no se puede acceder a los valiosos datos? La respuesta es operar con ellos de un modo seguro y privado: cifrado homomórfico [un sistema que permite cifrar datos, compartirlos y operar con ellos sin descifrarlos]”.
- Educación e identidad digital
La nube y los móviles son las partes más débiles de la seguridad y solo el 1% de los usuarios protege sus móviles contra el malware. Lo afirma rotundamente Gil Shwed, una autoridad en el sector, fundador y CEO de la empresa Check Point. Aquí es donde entra la educación del usuario final: que levante la mano el que lleve un antivirus en el móvil, esa caja conectada que contiene información y conversaciones de empresa además de todo tipo de datos, fotos y cuentas privadas. Kariger aboga por una doble responsabilidad. Por un lado, por parte del usuario: “Hay que aprender a ser consciente del riesgo que se asume al estar conectado y poner barreras”. Y por otro, por parte de los fabricantes de la tecnología: “Lo que no puede ser es que es estés operando con un router o un dispositivo que pienses que es seguro y no lo sea”.
Xabier Mitxelena va un paso más allá y defiende un concepto de identidad digital única, alineada con los derechos de intimidad y protección de datos. “Es el trabajo más complejo y más apasionante que tenemos ahora mismo, cómo generar un modelo tecnológico que nos identifique: ¿a través de una IP, de un número de teléfono que sea único, inviolable e invulnerable? Ese es el gran reto”.
Cronología. Algunos de los ciberataques más conocidos
1988. Robert Tappan Morris diseñó el primer gusano, un virus ideado para replicarse infi nitamente y esparcir su daño por Internet. Morris, según su versión, estaba intentando mapear el tamaño del Internet precoz y afectó a 6.000 servidores Unix.
1999. El 26 de marzo David L. Smith libera el virus Melissa —nombrado en honor a una bailarina de topless de la que estaba enamorado— y causa más de 68 millones de euros en pérdidas. Smith fue condenado a 10 años de cárcel, de los que cumplió 20 meses.
2000. El gusano ILOVEYOU, creado por un estudiante fi lipino como parte de su tesis, infecta millones de ordenadores en todo el mundo a las pocas horas de su diseminación online.
2007. Estonia, exrepública soviética, sufrió un brutal ataque informático que tumbó webs gubernamentales, medios de comunicación, bancos y hasta el parlamento. El Gobierno acusó al Kremlin, aunque luego admitió que no tenían evidencias tangibles de tal implicación. Pero en 2009, en un foro tecnológico, un político del Kremlin, Sergei Markov, afi rmó que los ataques habían sido orquestados “por su asistente”.
2007. Como parte de su Operation: Bot Roast, dedicada a la detección de botnets, el FBI anuncia la detección de un millón de ordenadores infectados por hackers. La mayoría de sus dueños no eran conscientes de la posesión remota de sus computadoras.
2009. Entre junio y diciembre de 2009 Google sufrió un ataque masivo, supuestamente desde China, que robó propiedad intelectual del gigante digital. Otras compañías también fueron atacadas y el caso se conoció como Operación Aurora.
2010. Israel y EE UU niegan tener nada que ver con él, pero el caso es que un programa informático llamado Stuxnet acabó con un quinto de las centrifugadoras iraníes, frenando radicalmente su programa nuclear.
2012. Kaspersky, una de las principales empresas de ciberseguridad, desvela que ha descubierto la red de ciberespionaje más poderosa de la historia, bautizada como Octubre Rojo: mil ordenadores gubernamentales afectados en decenas de países, con los que se robó información de sectores críticos.
2014. The interview, una película satírica de Sony Pictures en la que dos periodistas (James Franco y Seth Rogen) intentan asesinar al líder de Corea del Norte, provocó un brutal ciberataque que desveló una ingente cantidad de información sensible de Sony, incluyendo emails de sus ejecutivos y estrellas.
2014. Una de las entidades de cambio de bitcóin más importantes, la japonesa Mt. Gox, se declara en bancarrota tras el robo de más de 850.000 bitcóins de su sistema, una cifra cuyo valor equivalía en el momento del robo a 380 millones de euros.
2017. 200.000 ordenadores en 150 países. Y una idea detrás: la obsolescencia en la que muchas empresas tienen su software. La debacle creada por el gusano Wannacry explotaba un defecto de seguridad de Windows para el que ya existía un parche, pero que, como sabían los hackers, muchos equipos no tendrían instalados. Fueron infectados bancos, grandes empresas y hasta hospitales. Algunos países concuerdan en que los ataques fueron dirigidos desde Corea del Norte.
Fuente: Retina El Pais