“Tenemos una huella digital, que cuanto más extensa es, más fácil un ciberataque de ingeniería social”
entrevista a Fernando Acero
Hoy entrevisto para PETEC al Coronel en reserva y actual CISO Global en Grupo Oesía, Fernando Acero Martín, una personalidad difícil de definir en unas líneas por su vasto conocimiento en el sector civil y militar, en ámbitos privado y público, en materias de Ciberseguridad/ Ciberdefensa especializado en criptografía, seguridad informática, sistemas de información, aeronáutica (piloto civil y militar), tecnología militar, logística, inteligencia, voto electrónico, sistemas abiertos (Linux), estándares abiertos, e-Learning, un profesional cualificado y una persona de valores en lucha permanente contra el mal desde el conocimiento y la experiencia.
España figura como uno de los 6 países más ciber atacados, de hecho, nos colocan en el tercer puesto del ranking.
Los ciberataques llegaron a afectar a nivel mundial a una nueva víctima cada 10 segundos en el 2020 y en España se incrementaron un 125%. Según publicó Cinco Días, más de la mitad de las empresas españolas reconocen haber sufrido un ciberataque durante 2020, lo que supone que un 53% de estas empresas sufrieron algún tipo de ataque.
A nivel gasto en TI, el presupuesto de las organizaciones descendió en un 19,8% en 2020. El dato contrasta con el incremento en 7 puntos del presupuesto que las empresas dedican a ciberseguridad. Actualmente, las compañías españolas invierten un 22% de su presupuesto de TI a ciberseguridad, mientras que en 2020 la inversión era del 15%.
- ¿Cuál es el eslabón más débil de la cadena para colarse en las redes corporativas?
F.A.M. El principal vector de entrada en las organizaciones es el correo electrónico, mediante mensajes de phishing. Es decir, correos que intentan engañar al usuario para que abran un enlace, ejecuten un archivo o introduzcan información sensible en un formulario. Por ello, el eslabón más débil de la cadena de la ciberseguridad son las personas. Esto significa que una buena concienciación, formación y adiestramiento en ciberseguridad siempre tiene un impacto muy positivo en la ciberseguridad de las organizaciones. Pero que las personas sean el eslabón más débil no implica que toda la responsabilidad deba caer en los usuarios. Desde mi punto de vista, las personas son una capa más en lo que debe ser una ciberseguridad en profundidad, y esa capa debe ser la última línea de defensa cuando todo lo demás falla, no la primera, puesto que, si una persona es engañada, la organización está perdida. - ¿A más teletrabajo, más ataques a redes Wifi-domésticas? Y por consiguiente ¿Las VPN y RDP serán un gran objetivo?
F.A.M. Durante la pandemia, con el aumento del teletrabajo y el uso de RDP y VPN, se han incrementado de forma muy sensible el ataque a este tipo de infraestructuras. En las arquitecturas cliente-servidor, si controlamos el servidor, hay posibilidad de hacer las cosas bien y securizarlos adecuadamente, pero en el caso de las WIFI domésticas, muchas de ellas no tienen un nivel de seguridad adecuado (contraseñas débiles, router obsoleto, falta de actualizaciones, protocolos vulnerables, separación de clientes, cortafuegos no configurados, etc), lo que puede tener un impacto muy negativo en la seguridad de las organizaciones cuando se está teletrabajando. - ¿Cuáles son los mayores problemas provocados por las brechas de Ciberseguridad?
F.A.M. Creo que en este momento el mayor problema, incluso en los casos de ransomware, son las brechas de datos. Actualmente el ransomware, que es la amenaza más probable y peligrosa para las organizaciones, primero te roba los datos y luego los secuestra y si no se paga el rescate, esos datos, que pueden ser datos muy sensibles, como datos personales o financieros, pueden ser publicados o subastados. Lo malo de todo esto, es que una vez que se han filtrado los datos, no hay solución. Pensemos en la reciente filtración de Facebook, en la que se han filtrado millones de nombres y teléfonos. Pensemos en personas que tienen problemas de violencia doméstica, o de cualquier otro tipo, esa fuga ha podido ser devastadora. Lo peor de todo, es que esas personas afectadas no han sido informadas del problema, por lo que pueden estar expuestas. - ¿Qué papel está teniendo la ingeniería social en el aumento de ataques y en qué consiste? El 28 % dicen venir por esta vía.
F.A.M. Aunque el tener los sistemas actualizados y con una adecuada configuración de seguridad es algo muy importante para la ciberseguridad, de nada sirve si los usuarios son engañados y hacen algo que no deben. Eso es algo que conocen perfectamente los atacantes y lo explotan. Es mucho más complicado obtener y usar una vulnerabilidad de día cero o buscar un fallo en la configuración, que intentar engañar a un usuario mediante un phishing (correo electrónico), smishing (SMS), o vishing (llamada telefónica). - ¿Es cierto que la automatización de procesos podría facilitar la creación de numerosas campañas de spear phishing con gran precisión?
F.A.M. Creo que más que la automatización de procesos la Inteligencia Artificial. Sistemas conversacionales avanzados podrían hacer mucho daño. No todos los usuarios intentarán hacer pasar un test de Turing a todo lo que se intenta poner en contacto con ellos a través de Internet. Por otra parte, una Inteligencia Artificial, puede aprender de ataques previos y analizar puntos débiles de una gran cantidad de los usuarios de una organización. Pero en un plano más sencillo, se podrían automatizar procesos de Inteligencia de Fuentes Abiertas (OSINT), lo ya se usa en muchos ciberataques, como en el ataque de CEO, en el que un atacante se hace pasar por el CEO de una empresa para engañar a los empleados y obtener un beneficio económico. Todos, tanto organizaciones como personas, tenemos una huella digital, un footprint, que cuanto más extenso es, más sencillo es explotarlo en nuestra contra en un ciberataque de ingeniería social, como es el caso del phishing. - Si cada dispositivo conectado es un punto de vulnerabilidad digital, ¿qué pasará cuando se expanda el internet de las cosas (IoT)?
F.A.M. Aquí hay dos factores, la cantidad y la calidad. Es evidente que cuantos más sistemas conectados, más posibilidades hay de que alguno tenga problemas. Pero creo que el gran problema de los sistemas IoT es el ciclo de vida y la falta de actualizaciones de seguridad a partir de cierto momento. Pensemos en un móvil, que puede funcionar sin problemas durante más de 6 años, especialmente si hay repuestos como las baterías, que pueden tener un deterioro más prematuro, pero que a los dos o tres años de salir al mercado, ya no tienen actualizaciones de seguridad y que cualquier vulnerabilidad que aparezca a partir de ese momento, afectará de forma permanente y sin solución al dispositivo. - El efecto 2000 fue el hito más importante en ciberseguridad, ¿Estás de acuerdo?
F.A.M. Aquí hubo mucho sensacionalismo mediático, se hablaba de satélites o de aviones que caerían del cielo, de centrales nucleares fuera de control. Afortunadamente no pasó nada de eso. Evidentemente era un problema en los sistemas en los que el tiempo era una parte importante del proceso de la información, pero se corrigió en tiempo y forma y no se detectaron efectos adversos de ese problema. Este no ha sido el único “efecto 2000” que se ha vivido sin grandes consecuencias, también lo han sufrido los GPS por el “Week Number Rollover”, que se materializó el 6 de abril de 2019 y que hacía que los GPS “viajasen” 20 años atrás en el tiempo.En 1999 la amenaza de un colapso a nivel tecnológico por el “Efecto 2000” o “Error del milenio” provocó un temor generalizado en la sociedad ante el fallo que provocaría que tras el 31 de diciembre de 1999 los sistemas informáticos pasarían al 1 de enero de 1900 en vez de al 1 de enero de 2000 debido a que muchos sistemas codificaban el año en dos dígitos. Este “Efecto 2000” que se corrigió nos sirve para explicar el “Efecto 2038” o “Y2K38”.En el horizonte ya asoma el próximo ‘bug Y2K’ que afecta principalmente a los ordenadores bajo en el sistema Unix (entre los que se encuentran todos los de Apple), que almacenan el tiempo como la cantidad de segundos que han pasado desde 1970. El límite de capacidad se cumple en 2038. - ¿Estamos mejor preparados ahora que entonces?
F.A.M. Creo que muchos sistemas Unix están corriendo software libre y hacer una actualización de esos sistemas es menos onerosa que el tener que migrar otros sistemas que usan software privativo por el coste de las licencias y las frecuentes incompatibilidades asociadas al hardware y software. Si hablamos de Linux, una Ubuntu reciente sigue soportando hardware de hace mucho tiempo. Por ejemplo, yo tengo un escáner HP del año 1992, con una tarjeta SCSI, que todavía funciona perfectamente y está soportado por una Ubuntu reciente. Creo que la migración o el parcheo de esos sistemas, no va a ser un problema demasiado grave si se acomete con diligencia y con cabeza, pero sin duda, que sean sistemas Unix los afectados, facilita mucho las cosas a la hora de solventar un problema de obsolescencia. - La Ciberseguridad es fundamental para proteger nuestras compañías e instituciones ¿se invierte poco a nivel empresarial y gubernamental?
F.A.M. Desgraciadamente, aunque cada vez hay más cultura de ciberseguridad y más responsables que ven que la ciberseguridad es realmente una inversión y no un gasto, las organizaciones suelen tener problemas, especialmente, cuando las inversiones en ciberseguridad tienen un encaje contable complicado (diferencia entre OPEX y CAPEX en la contabilidad). La mayor parte de las inversiones en ciberseguridad es OPEX, es decir “Operational Expenditures”, es decir, unas cantidades permanentes que son necesarias para el funcionamiento de la organización y eso tiene impacto negativo en la cuenta de resultados. CAPEX son inversiones, normalmente asociadas a bienes físicos, por lo que suele ser más sencillo llevar a cabo proyectos basados en CAPEX que en OPEX y eso es un serio problema para la ciberseguridad. Por lo general creo que todavía hay que avanzar en este concepto de ciberseguridad como inversión, sobre todo, si tenemos en cuenta los enormes daños económicos y reputacionales asociados a un ciberataque mayor, que suelen superar en más de en un 90% las inversiones necesarias para reducir su ocurrencia a niveles razonables.“El ciberespacio se vislumbra como un escenario de conflicto mayor en el que las actuales escaramuzas pudieran evolucionar a enfrentamientos de mayores dimensiones que posiblemente combinados con otras actuaciones constituyan la que ha dado en llamarse ciberguerra” dice en su prologo José Ramón Casar Corredera hablando de: “El Ciberespacio como nuevo escenario de confrontación”. - Según su punto de vista, ¿Qué papel juega España en este nuevo paradigma del ciberespacio?
F.A.M. El ciberespacio es un lugar artificial en el que también se disputan conflictos entre naciones y entre diversos actores y las naciones. Podemos decir que se ha roto la paz de Westfalia y que otra vez el monopolio de la violencia no está exclusivamente en los estados. Actualmente, un actor malicioso, una persona o un grupo reducido de personas, puede poner en jaque a un país y eso lo hemos visto recientemente en un ciberataque masivo a Polonia. Ahora no hay diferencias, cualquier país puede sufrir un ciberataque por motivos geoestratégicos ya sea por parte de otro gobierno, por grupos interpuestos o por grupos espontáneos con la capacidad y ganas de hacerlo. España es consciente de todo esto y está muy bien posicionada en el entorno global de la ciberseguridad, tiene una buena estructura y una excelente regulación, como el Esquema Nacional de Seguridad, pero como en todos sitios, pueden faltar recursos (humanos y materiales) y concienciación del problema y las consecuencias.A nivel geopolítico se han producido ataques patrocinados por estados, sobre todo a supercomputadores de países europeos, con el objetivo de robar información sobre las posibles vacunas contra el coronavirus. - ¿Ha habido una explosión de actividad en el ciberespacio al respecto tras el COVID, centrando sobre todo los ataques en laboratorios y en el sector salud?
F.A.M. Nietzsche dijo que una causa no justifica una guerra, pero una guerra justifica cualquier causa. Sin embargo, en este caso no ha sido así, la COVID19 ha sido el catalizador de una gran cantidad de ciberataques de todo tipo y con las intenciones más diversas.La COVID19 ha sido la excusa y el vehículo perfecto para ciberataques ya que ha generado sentimientos de temor, curiosidad, ira, morbo o urgencia, que se han podido explotar muy fácilmente por los atacantes en una sociedad muy impactada con la pandemia.Desde el principio de la pandemia ha habido una geoestrategia asociada a la misma y con la llegada de las vacunas, apareció lo que se denomina la geoestrategia de las vacunas, o política de las vacunas. Hemos visto mucha información del tipo, mi vacuna es mejor que la tuya y tú no me dejas venderla en tu territorio. Que ese conflicto se haya pasado al ciberespacio y que aumentase el interés en obtener información técnica clave de las vacunas en curso, era algo que cabía esperar. Si ese interés, lo unimos a la facilidad de ejecución y la dificultad de atribución de las acciones de ciberespionaje, está claro que se iban a producir este tipo de ciberataques, que como es lógico, se han centrado en los laboratorios, centros de investigación y en la Agencia Europea del Medicamento. Desde mi punto de vista, era algo previsible y para lo que deberíamos haber estado preparados. PETEC Asociación de Peritos de Nuevas Tecnologías ha creado la medalla “al mérito en Ciberdefensa”. La Medalla al Mérito en Ciberdefensa se administra por la Comisión de Grados y Premios que integran el Presidente D. Fernando Mairata de Anduiza, la Vicepresidente Dña. Eva Álvarez del Manzano, y como Vocales, usted Coronel D. Fernando Acero y Martín; D. Jorge Juan Ruiz y Saiz, D. Alfredo Leonard y Lamuño de Cuetos. - ¿Es vital reconocer la importancia de esta labor, enfocada en ciberseguridad, ya sea en el sector privado o público ysobre todo, aumentar la inversión a nivel ministerial y dar visibilidad a tan importante labor?
F.A.M. En este momento hay una gran cantidad de personas que están dedicadas en cuerpo y alma a defender sus organizaciones, tanto públicas como privadas. Considero que es fundamental que existan mecanismos para reconocer esa labor, en muchas ocasiones invisible, y más, en los convulsos tiempos que corren. Jornadas muy largas, vacaciones con la cabeza puesta en el trabajo, mucha preocupación, presupuestos muy limitados, formación continua, etc, hacen que el trabajo de esas personas sea muy duro y sobre todo, complicado, ya que los atacantes son muchos y cada día son más ingeniosos a la hora de atacar las organizaciones.
En España se dice que nos acordamos de Santa Bárbara cuando truena y en la ciberseguridad eso es completamente cierto. Cuando todo va bien, casi nadie se acuerda de que eso es así por el trabajo de los responsables de IT y de ciberseguridad de las organizaciones y que cuando algo va mal, en muchas ocasiones no es por culpa de ellos, sino por la organización en su conjunto, por sus procedimientos , sus prioridades e inversiones, es decir, por no haber sabido ver los problemas de ciberseguridad de la forma en la que deberían haberlos visto y gestionado.Fernando Acero Martin un hombre que siempre está en el lado del bien, que ha combatido en numerosos frentes y vencido en todos ellos, incluido en su lucha contra la Covid 19
Autora: Elena Marcos Bueno