Hackers, punta de lanza en el combate contra la

Anuncio
Comunicación
Comunicado de prensa
Hackers, punta de lanza en el combate
contra la delincuencia cibernética
Zacatecas, Zac., 3 de octubre de 2014
Deepak Daswani, jefe de Investigación en seguridad cibernética del Instituto Nacional
de Tecnologías de la Comunicación del gobierno de España (Inteco), visitó Zacatecas
para participar en el tercer Congreso Internacional de Mejora de Procesos de Software
que organizó el Centro de Investigación en Matemáticas (CIMAT) con apoyo del
Centro Zacatecano de Ciencia y Tecnología y la Secretaría de Economía de Zacatecas.
Luego de ofrecer una conferencia magistral, el experto en ciberseguridad concedió
una entrevista para el CIMAT.
¿Cuáles son las principales amenazas cibernéticas que enfrenta el sector público?
Nosotros en Inteco somos el centro de respuesta de incidentes de ciudadanos,
empresas, operadores de sectores estratégicos y red académica. El sector público
implica desde la administración pública, estructuras críticas o las redes académicas.
La tendencia ahora mismo o el foco está puesto en la protección de infraestructuras
críticas que son las que afectan las necesidades básicas como tener luz, agua,
electricidad. Se ha comprobado que todo este tipo de centrales están conectadas a la
red y son posibles escenarios como los que se veían en las películas como que una
ciudad se quede sin luz, o una central deje de producir energía o que se produzca un
colapso de los semáforos. Este tipo de cosas podrían pasar y lo que se hace es
adelantarse para que no pasen o para poder responder ante un incidente.
¿Qué nos puede decir de las amenazas individuales?
Tenemos muchas amenazas focalizadas en menores que son muchas veces menos
técnicas pero son ciberamenazas como el grooming, el cyberbullying o el acoso que se
hace sobre menores por medios digitales. En cuanto a ciudadanos y empresas están el
Comunicación
robo de identidad, fraude, secuestro de cuentas, phishing, malware, robo de
credenciales online -de servicios o de identidades digitales- sustracción de dinero de
cuentas online. Otra de las amenazas muy peligrosas es el ransomware que es el tipo
de malware que lo que hace es secuestrar una sesión de tu equipo y cifrarte los
archivos del ordenador para que no te permita trabajar. Por ejemplo el “virus de la
policía” que lo tuvieron en México y en muchos países también era un virus que
secuestraba la sesión de tu ordenador y te presentaba un mensaje diciéndote que no
podías trabajar en tu ordenador hasta que pagases una multa de 300 euros por estar
viendo pornografía. Y no podías trabajar hasta que pagases la multa o quitases el
virus que al final del día era un fraude. Ahora hay versiones más avanzadas de ese
ransomware que lo que hacen ahora es cifrar el contenido del dispositivo o del disco
duro, todos los archivos del ordenador con una clave que no es igual para todos los
afectados sino una clave con criptografía simétrica, pública y privada, con lo cual en
esos casos la única posibilidad de rescatar tu información es pagar la multa y fiarte de
los ciberdelincuentes que en ocasiones podrán responderte y en ocasiones no. Hay
algunos que hasta te ponen una web para que tú metas un archivo que está cifrado y
veas que te lo devuelven descifrado en partes para que sepas que es verdad, que
tienen la clave y que son capaces de hacerlo. La otra opción es tener una copia de
seguridad pero si no la tienes pues has perdido toda tu información. Este tipo de
amenazas son bastante corrientes al día de hoy.
¿Qué perfil se espera de una persona que quiera incursionar en la ciberseguridad?
No hay una única vía para trabajar en ciberseguridad. Hay quienes se dedican al
análisis de malware, hay reversers que lo que hacen es reversar códigos para ver qué
es lo que hacen, hackers éticos, pen testers que buscan vulnerabilidades pero también
hay auditores de seguridad a nivel de gestión, metodología de riesgos y también están
las fuerzas y cuerpo de seguridad del estado dedicados a ciberseguridad… Hace
algunos años era difícil adquirir estas capacidades pero ahora hay muchos masters de
información especializada a nivel de universidad que están integrando ciberseguridad.
Es posible que más adelante exista ya una ingeniería especializada en eso por como
se están separando los itinerarios académicos… A veces piensa uno que lo que
aprende en la universidad no sirve de nada pero al final te das cuenta que por
ejemplo un conocimiento fuerte de arquitectura de computadores, teoría autómata,
del modelo ozzy, redes, ese tipo de cosas te sirven muchísimo para defenderte de
estos ataques y comprender mejor técnicamente cómo funcionan las cosas; lo mismo
sirve leer mucho y aprender mucho.
Comunicación
¿Qué tan extenso es el campo de la ciberseguridad?
Si la informática en sí es un campo muy amplio, la ciberseguridad o el hacking es casi
tan amplio como la propia informática. Si dedicara todos los días de mi vida a estudiar
este campo todavía me quedarían cosas por saber; es un tema de dedicarse a ello y
sobre todo experimentar con la tecnología para aprender. Esto desde el punto de vista
de querer entrar a nivel técnico en un puesto de ethical hacker, de pen tester, de
auditor de seguridad, pero hay diferentes perfiles y niveles como los cuerpos de
seguridad que no tienen que entrar a esos niveles. También ahora hay toda una rama
de derecho relacionada con la ciberseguridad que toca más a la gente que viene de
otras ramas. Pero hay diferentes tipos de perfiles que se están empezando a ver en
este panorama de la ciberseguridad que yo estoy convencido que dentro de unos años
incluso estarán más estandarizados porque es todo un proceso que a todos nos ha
cogido por sorpresa pero ha sido una evolución de lo que algo antes era underground
sobretodo los conocimientos de hacking ahora se ha convertido en una industria de la
ciberseguridad que tiene muchísimos tipos de perfiles por ejemplo los exploiters que
desarrollan los exploits. Hay muchísimas ramas…
¿Qué opinas de la estrategia de Estados Unidos que violó la privacidad de sus
ciudadanos en nombre de la seguridad?
Esta es una controversia que da para muchos debates y no se puede emitir una
opinión de “sí” o “no” pues es muy complejo. Yo creo que la vigilancia está justificada
si sirve para evitar atentados terroristas, de hecho todo esto surgió a raíz de lo de las
torres gemelas. Lo que sí es verdad es que viendo las herramientas que despliegan o
viendo que incluso aparentemente han interferido en el desarrollo de estándares de
cifrado y que hablan incluso de poner backdoors en sistemas propietarios parece una
medida un poco exagerada y que espiar por espiar las comunicaciones de todos los
ciudadanos sí que es una cosa que no se debería hacer y contra la que todos
parecemos estar un poco en contra por violar nuestra privacidad. Asumir que más allá
de que tengamos malware en nuestros dispositivos, que seamos infectados o que
seamos comprometidos que ya de por sí con un dispositivo de serie que integra
tecnologías propietarias que ya han sido interferido por una agencia y que permite
que alguien pueda ver todos los datos que yo manejo, todas las fotografías que yo
realizo, todas las conversaciones que yo tengo es un poco perturbador. En las
publicaciones que salieron a raíz de lo de Snowden… cuando tú veías una gráfica de
Comunicación
los empleados que trabajaban en la NSA, las comunicaciones que habían espiado de
personas que no eran objetivo por parte de la agencia de manera errónea… Ese tipo
de cosas no tienen justificación y no deberían producirse pero cuando tienes ese tipo
de herramientas es muy difícil controlar quienes van a ser espiados y quienes no…
Siempre se ha hablado de espionaje. En la guerra fría se pinchaban los teléfonos y
ahora se usa internet.
¿Cuánta infraestructura y recursos usan los ciberdelincuentes?
Cuando hay un problema es porque hay un error en una pieza de determinado
software, un error de configuración, un error humano de parte del usuario, una mala
práxis o un error en un sistema operativo, en una aplicación que se ejecute y todo
depende del grado de exposición de esa plataforma, del nivel de accesibildad y de la
magnitud de la vulnerabilidad que se descubre y que se pueda explotar. Hay
vulnerabilidades que a lo mejor pueden permitir atacar cierto tipo de privilegios o un
recurso pero sólo en unas condiciones determinadas. Por ejemplo, para el acceso a un
FTP debes estar logueado con una cuenta de usuario. Evidentemente un exploit que
se puede aplicar en un dispositivo de manera remota, desde cualquier sitio en
Internet y que pueda tener acceso a ejecutar códigos remotos en un sistema es lo
máximo, 10, en criticidad, entonces si un fallo de esos afecta una plataforma cualquier
persona con conocimiento de ese fallo y de la explotación pues podría en teoría
dedicarse a cometer actos de este tipo de ataques. No tiene qué ver con la
infraestructura con la que pueda contar el ciberdelincuente detrás sino con el tipo de
vulnerabilidad que hay, la criticidad de la misma, la posibilidad de explotación y el
conocimiento que se tenga de todo esto. En la industria de la seguridad, una de las
cosas de las que siempre se habla son los exploits zero-day que son vulnerabilidades
que no se han descubierto, que ni el propio fabricante conoce. Si soy un investigador
de seguridad y detecto una vulnerabilidad en Microsoft Office que me permita ejecutar
códigos remotos y nadie las conoce o ha descubierto estamos hablando de que tienes
un impacto muy grande con valores de mercado terribles porque con un exploit que
yo podría desarrollar al tener una vulnerabilidad podría en teoría ejecutar códigos
remotos en todas las máquinas del mundo que ejecutasen esa versión de office y ese
fallo no lo conoce nadie.
¿Cuánto dinero implican los ciberdelitos?
Comunicación
Hay todo un mercado negro de compra y venta de exploits en el que se paga
muchísimo dinero por eso porque esos exploits son las famosas ciberarmas que a
veces valen incluso más que un ejército porque si estas me permiten afectar todos los
ordenadores del mundo eso tiene mucho valor. Hay empresas especializadas en la
compra y venta de exploits hay incluso tradings y brokers de exploits que ponen en
contacto a organizaciones que quieran proteger su confidencialidad porque aquí
estamos hablando de muchísimo dinero y de organizaciones grandes que son las que
compran y venden este tipo de exploits y hay empresas especializadas sólo en buscar
vulnerabilidades e intentar desarrollar esos exploits para atrapar a los atacantes.
La evolución en ciberseguridad, ¿cómo incide en el hacking?
El hacking es algo que hace unos años era una afición y ahora es nuestro trabajo y es
una suerte que podamos dedicarnos a esto que nos gusta y que antes era un poco
mas difícil de trabajar o acceder. Por ejemplo, antes para probar herramientas tenías
que probar con sistemas reales y sin permiso. Ahora en cambio hay incluso empresas
que contratan servicios de profesionales para auditar la seguridad de sus sistemas e
intentar romperlos para prepararse ante este tipo de ataques. Los ataques siempre
van a existir pero se trata de estar preparados. Es el concepto de la resiliencia que se
maneja en ciberseguridad. Se trata de saber qué tan resilientes son nuestros sistemas
ante los ataques que se puedan producir.
Concluye CIMPS2014
Hoy viernes concluyó el tercer Congreso Internacional de Mejora de Procesos de
Software que agrupó a empresarios, representantes gubernamentales, estudiantes de
informática y expertos en ingeniería de software.
El CIMPS sirvió para mostrar las últimas tendencias en el desarrollo de software y los
principales campos donde los ingenieros podrán incursionar en el futuro cercano,
especialmente el big data y la seguridad cibernética.
Deepak Daswani, jefe de ciberseguridad del Instituto Nacional de Tecnologías de la
Comunicación de España, destacó las oportunidades que representa este campo e
invitó a los alumnos a hacer del estudio una práctica de toda la vida.
Ángel Jordán, experto en procesos de software, dijo que el big data es un campo que
Comunicación
demanda ingenieros con formación multidisciplinar pues requiere de conocimientos en
software, matemáticas, robótica e inteligencia artificial.
Durante las conclusiones, los panelistas, entre quienes estaban Deepak Daswani y
Ángel Jordán, experto en procesos de software, hicieron un llamado a los estudiantes
para incursionar en el emprendimiento y la innovación como los motores que pueden
impulsar a México en el escenario de la informática mundial.
Ttambién destacaron el trabajo conjunto que realizaron en este foro empresarios y
académicos para impulsar a empresas de software mediante esquemas de apoyo
gubernamental y privado
Cuauhtémoc Lemus, director de la Unidad Zacatecas del CIMAT, agradeció al Consejo
Zacatecano de Ciencia y Tecnología y a la Secretaría de Economía por el apoyo
brindado al evento así como a los 210 asistentes que se dieron cita durante los tres
días del evento.
El tercer Congreso Internacional de Mejora de Procesos de Software incluyó 16
conferencias plenarias, mesas de trabajo académicas y empresariales, así como
sesiones de pósteres y artículos.
Descargar