Alrededor de 200 asistentes se dieron cita en las dos jornadas con las que contó el encuentro
Tendencias SIC muestra las nuevas estrategias que está desplegando la industria para la defensa efectiva frente al código malicioso
Los pasados 7 y 8 de noviembre, el evento organizado por Revista SIC y patrocinado por Barracuda, Eset, FireEye, Fortinet, Kaspersky Lab, McAfee, Palo Alto Networks, Panda Security, Sophos, Symantec y Trend Micro, congregó a un amplio plantel de profesionales del sector para reflexionar sobre la evolución de los ciberataques -especialmente el ransomware- así como las distintas estrategias que la industria especializada está poniendo en juego para ofrecer una protección integrada, continua y simple ante los nuevos desafíos IT y en los que sobrevienen con entornos industriales y la IoT.

Bajo el título 'Malware y ataques masivos: ¿cómo está cambiando la ciberdelincuencia?' se celebró una nueva edición de Tendencias SIC donde se dieron cita más de 200 asistentes para conocer de primera mano el panorama actual de las amenazas con malware, ya sus nuevas tipologías, ya las que son simples variantes de otras ya conocidas, pero cuya efectividad sigue siendo elevada. Ante tal realidad, se debatió sobre cuál es el mejor modo de afrontar el panorama poniendo de manifiesto la necesidad de avanzar en el despliegue de defensas bien gestionadas en las empresas y en la compartición de información por todos los interesados.
La primera jornada se inició con la intervención de David Barroso, CEO de Countercraft, quien trasladó a la audiencia su visión sobre la evolución de las ciberamenazas, las nuevas vías de ataque y los elementos que están abonando su futuro campo de acción, abogando por una estrategia de defensa activa para mitigar sus efectos.
La primera jornada se inició con la intervención de David Barroso, CEO de Countercraft, quien trasladó a la audiencia su visión sobre la evolución de las ciberamenazas, las nuevas vías de ataque y los elementos que están abonando su futuro campo de acción, abogando por una estrategia de defensa activa para mitigar sus efectos.

David Barroso
En este sentido, Barroso hizo referencia a la propuesta de Ley de Certeza Activa estadounidense -de la que SIC se hizo eco en su número 127- como parte de esa defensa activa, entre cuyos beneficios Barroso describía “la disrupción de las actividades de nuestros adversarios, su monitorización, e incluso, llegar a la atribución permitiendo poner foco en lo que realmente importa”, determinó.

Jornada del 7 de noviembre 2017

Pablo López
Tras la intervención de Barroso, Pablo López, Segundo Jefe del Departamento de Ciberseguridad del Centro Criptológico Nacional (CCN), ilustró a la audiencia con una exposición sobre el estado actual de las amenazas cibernéticas y las claves que aplica el CCN para tratar de detectarlas y mitigarlas. Para este experto, la cantidad de ciberamenazas existentes en la actualidad resulta llamativa pero lo es más si cabe las técnicas utilizadas que se valen de la confianza de los usuarios para perpetrar sus ataques, entre las que destacan aquellas dirigidas a las cadenas de suministro, ataques de intermediario (MiM); o vectores de infección como los web exploits, además del cada vez más prolífico Cibercrimen como Servicio (CaaS). Pero resaltó que “el ransomware está contribuyendo a hacer la ciberamenaza real”. Como solución, López destacó “hacer auditorías de seguridad constantes, aumentar la capacidad de vigilancia y el intercambio de información tanto del incidente, como de la propia amenaza; de hecho, aquí es donde realmente podemos aportar valor añadido a la ciberinteligencia”. Al final, “la ciberseguridad necesita aplicar seguridad”, concluyó.
La visión de los fabricantes

Miguel López

Josep Albors
Por su parte, Álvaro García, Ingeniero de Sistemas para Iberia de FireEye, centró su exposición en las mínimas diferencias entre las técnicas de ciberespionaje (grupos APT) y las del cibercrimen (grupos FIN), en las que el 99% de las veces el vector de ataque es el correo electrónico. Para hacerlo frente, FireEye cuenta con una estrategia de protección erigida en tres pilares fundamentales: iSight, FireEye y Mandiant, que se retroalimentan entre sí aplicando inteligencia, ya que, para este experto, “la idea final es tener todas las piezas a mano para poder responder automáticamente cuando algo sucede”.
A continuación, David Castillo, System Engineer de Fortinet, describió las últimas tendencias dentro de software malicioso. Para Castillo, el futuro va a seguir plagado de “más malware y más sofisticado, donde el IoT se eleva como un problema presente y futuro”. Para Castillo, la clave para mitigar estos y otros tipo de amenazas es que “las herramientas de seguridad se integren entre sí para disponer de inteligencia colectiva y protección global”. En este sentido, este profesional recordó que Fortinet engloba todas sus herramientas de seguridad en la estrategia Security Fabric donde la inteligencia colaborativa es fundamental para dar una respuesta global.
A continuación, David Castillo, System Engineer de Fortinet, describió las últimas tendencias dentro de software malicioso. Para Castillo, el futuro va a seguir plagado de “más malware y más sofisticado, donde el IoT se eleva como un problema presente y futuro”. Para Castillo, la clave para mitigar estos y otros tipo de amenazas es que “las herramientas de seguridad se integren entre sí para disponer de inteligencia colectiva y protección global”. En este sentido, este profesional recordó que Fortinet engloba todas sus herramientas de seguridad en la estrategia Security Fabric donde la inteligencia colaborativa es fundamental para dar una respuesta global.

Álvaro García

David Castillo

Daniel Creus

Carlos Muñoz
Dani Creus, Analista Senior, GReAT Team, de Kaspersky Lab, insistió en que la mayor parte de los ataques no se basan en técnicas nuevas. Por tanto, “no debemos tratar la inteligencia como algo emergente”, indicaba. “Es necesario seguir impulsando metodologías, alianzas, etc., muy ligadas a la cultura de la investigación y la cultura de la inteligencia porque sin colaboración la visibilidad no es real”, apostilló Creus.
Para cerrar la primera jornada del evento, Carlos Muñoz, Director Técnico para Iberia de McAfee, facilitó a los asistentes algunos datos para dimensionar los laboratorios de McAfee, que engloban a 250 investigadores en 13 países distintos, donde se publican la actividad relevante de las amenazas informáticas a través de McAfee Global Threat Intelligence (GTI). Asimismo, recordó que su compañía colabora activamente con asociaciones como No more ransomware y la Cyber Threat Alliance. Y es que, “los fabricantes no se deben de diferenciar en cuanto a contenido, sino en base a cómo aplican ese contenido”, afirmó Muñoz.
Para cerrar la primera jornada del evento, Carlos Muñoz, Director Técnico para Iberia de McAfee, facilitó a los asistentes algunos datos para dimensionar los laboratorios de McAfee, que engloban a 250 investigadores en 13 países distintos, donde se publican la actividad relevante de las amenazas informáticas a través de McAfee Global Threat Intelligence (GTI). Asimismo, recordó que su compañía colabora activamente con asociaciones como No more ransomware y la Cyber Threat Alliance. Y es que, “los fabricantes no se deben de diferenciar en cuanto a contenido, sino en base a cómo aplican ese contenido”, afirmó Muñoz.

Colonización de nuevos entornos
La segunda jornada del evento contó con la participación de dos solventes profesionales, como son Carlos Fragoso, Instructor Community de SANS Institute, y CTO y Consultor en Respuesta a Incidentes y Análisis Forense de One eSecurity, y Daniel Fírvida, Coordinador de Servicios de Ciberseguridad de INCIBE.
Carlos Fragoso

Daniel Fírvida
Asimismo, resaltó que “WannaCry tuvo en España y en el mundo tal repercusión por afectar a Telefónica; aunque nuestro país no fue el más perjudicado, ya que ocupamos la posición 20 dentro de los afectados”. “Petya y Bad Rabbit no tuvieron la misma repercusión que los anteriores, pero sí nos mantuvo igual de ocupados durante unos días”, terminó destacando Fírvida.
Previsiones de la industria
Al igual que la jornada anterior, el segundo bloque lo protagonizó la industria especializada, cuyos representantes explicaron su visión y estrategias para responder a las necesidades de protección de las compañías. El primer en subir a la palestra fue Jesús Díaz, Manager Systems Engineering para España de Palo Alto Networks, quien resaltó cómo se obtiene y procesa la información en su compañía de forma que sea verídica y útil a través de su plataforma WildFire. En su análisis destacó el “hiperpolimorfismo” de los atacantes, ya que “reutilizan mucho código de su propio malware para generar nuevo”. Además, Díaz reveló la más reciente propuesta de la compañía: “la creación de un marketplace de ciberseguridad nutrido por los todos los sensores de Palo Alto Networks al que queremos empezar a conectar aplicaciones propias o de terceros”.
Jesús Díaz

Vicente Martín

Alberto Ruiz
Por su parte, para Vicente Martín, Director de Preventa para España de Panda Security, el punto de entrada del software malicioso está en el puesto de trabajo, “porque nos proporciona acceso a la información y a toda la red; además, tiene movilidad y las protecciones tradicionales no bastan”. Como medida de defensa, para Martín, el antimalware tradicional necesita complementarse con una protección avanzada como la de la solución de Panda Adaptive Defense que ejecuta solo lo que es conocido y ofrece una motorización real, ayuda forense e integración SIEM, complementado con el servicio que realiza el equipo de analistas de la compañía.
Seguidamente, Alberto Ruiz, Ingeniero de Ventas de Sophos, desgranó las tendencias que ha registrado la compañía a lo largo de 2017 y que se traducen en el aumento del Ransomware as a Service, la explosión del malware para Android, los intentos de infección a sistemas MAC y las amenazas Windows potenciadas por los paquetes de explotación que hacen cada vez más sencillo atacar vulnerabilidades de Microsoft Office. Para atajar esta problemática, destacó la sincronización y la colaboración entre todos los elementos de defensa. Dentro de este contexto, resaltó la protección del endpoint de nueva generación a través de técnicas de post-explotación. Y, dando un paso más allá, resaltó el uso del aprendizaje profundo tras la adquisición de Invincea, que ha proporcionado a Sophos redes neuronales en el puesto de trabajo para la detección del malware.
Seguidamente, Alberto Ruiz, Ingeniero de Ventas de Sophos, desgranó las tendencias que ha registrado la compañía a lo largo de 2017 y que se traducen en el aumento del Ransomware as a Service, la explosión del malware para Android, los intentos de infección a sistemas MAC y las amenazas Windows potenciadas por los paquetes de explotación que hacen cada vez más sencillo atacar vulnerabilidades de Microsoft Office. Para atajar esta problemática, destacó la sincronización y la colaboración entre todos los elementos de defensa. Dentro de este contexto, resaltó la protección del endpoint de nueva generación a través de técnicas de post-explotación. Y, dando un paso más allá, resaltó el uso del aprendizaje profundo tras la adquisición de Invincea, que ha proporcionado a Sophos redes neuronales en el puesto de trabajo para la detección del malware.

Alberto Cita

José de la Cruz
Para todo ello, de la Cruz afirmó que “los sistemas de protección tradicionales no son suficientes porque son reactivos”. En este sentido, resaltó la técnica de parcheado virtual que la compañía ofrece a través de Zero Day Initiative. “Se trata de una solución que proporciona un patrón que nos permite desplegar el parche mucho más rápido que a través de los procesos tradicionales reduciendo, por tanto, el riesgo provocado por el tiempo de parcheado”, concluyó el directivo.
El Debate
La seguridad multicapa, el papel de los MSSPs y la posible Ley de Certeza Activa, a examen
Como es habitual, Tendencias SIC contó al final de cada una de sus dos jornadas con sendos debates. En del primer día dio la oportunidad a los presentes de aclarar las posibles dudas que surgieron en el transcurso de la inicial sesión matinal. La primera de las cuestiones recaló en la constante evolución de las ciberamenazas que los participantes no dudaron en confirmar, señalando que los ciberdelincuentes también tienen su hoja de ruta para atacar y que van modificando ante las medidas de protección que la industria desarrolla. Y es que, de acuerdo con los profesionales presentes, los ciberdelincuentes se rigen por los criterios que tiene cualquier empresa: originar el mayor retorno de inversión posible. Por este motivo, atacan a lo que consideran que es más débil, aunque para ello juega un papel clave los recursos que poseen.
Para Josep Albors y Dani Creus, sin embargo, es posible conseguir un marco legal pero mientras no haya concienciación a todos los niveles es muy complejo que la seguridad sea efectiva.
El punto de inflexión lo marcaba Álvaro García, quien no estaba de acuerdo con Barroso, porque las medidas contraofensivas abren una puerta que se puede dar la vuelta con grave consecuencias, ya que “se estará más expuesto y se reduce el tiempo de reacción”. David Castillo, por su parte, opinó que no existe una bala de plata como ésta que solucione este problema: “es interesante que se cambie la legislación, pero lo es más los medios y los recursos de los que se disponen”. Finalmente, Carlos Muñoz indicó que está cambiando la situación de concienciación de los usuarios poco a poco. Además, el hecho de la notificación también se utilizará para tener más control.
Acto seguido, la audiencia se interesó por la seguridad simplificada frente al modelo multicapa, así como la gestión de la ciberseguridad de los MSSPs. Para la mayoría, la simplificación de la seguridad debe hacerse de cara al usuario primando la transparencia.
Acto seguido, la audiencia se interesó por la seguridad simplificada frente al modelo multicapa, así como la gestión de la ciberseguridad de los MSSPs. Para la mayoría, la simplificación de la seguridad debe hacerse de cara al usuario primando la transparencia.

No obstante, quedó también constancia de la necesidad de evolución y revolución de este tipo de proveedores de servicios gestionados.
El debate terminó con una cuestión acerca de las capacidades reales de la inteligencia artificial, el deep learning y el machine learning. Técnicas que los ponentes consideraron una moda más allá de lo que realmente se utiliza. Y es que en realidad no son técnicas novedosas, pese a que los departamentos de marketing quieren hacer ver lo contrario, aunque sí que pueden suponer un complemento a otras metodologías de ciberseguridad, ya que depender solo de ellas puede ser contraproducente ante la existencia de errores que pueden generar falsos positivos.
Como colofón al evento, el segundo día también contó con un panel de discusión que tuvo como protagonistas a los profesionales que intervinieron en las diferentes ponencias de la jornada y que nuevamente respondieron a las preguntas de la audiencia. La primera de ellas supuso una reflexión sobre las ciberamenazas que nos esperan. En este sentido, los participantes se mostraron escépticos ante la posibilidad de llegar a hacer realidad una internet segura. La razones a las que aludieron es que mientras exista alguna motivación seguirá habiendo interés por explotar o hacer mal uso de elementos físicos o lógicos para conseguir ese objetivo, algo que esto no va a parar. Además, crear una ciberamenaza cada vez es más sencillo ya que ahora no se precisa tener grandes conocimientos técnicos, a lo que se le une la mayor exposición de entornos, como el IoT, y el hecho de que la reutilización de tecnologías con pequeñas variantes por parte de los ciberdelincuentes sigue siendo efectivo. Junto a esta cuestión la audiencia se interesó por las medidas de defensa a través de señuelos para evadir a los ciberdelincuentes, que los participantes en el debate consideraron una barrera de ciberseguridad más, pero no suficiente por sí misma.
Al igual que la jornada anterior, también hubo interés en conocer qué pensaban los participantes presentes en el escenario sobre la propuesta USA de Ley de Certeza Activa, así como la posibilidad de poner balizas para la atribución de los ciberataques. Para la gran mayoría, dicha Ley podría tener sentido en un marco normativo homogéneo, pero para llegar a este tipo de compromisos hay que superar las diferentes leyes internacionales y compatibilizar los diferentes intereses existentes a escala global. En cuanto al balizamiento, la opinión vertida es que puede ser una técnica a considerar pero, al final, sería descubierta y contrarrestada. Además, es difícil saber exactamente saber quién está realmente detrás de cada caso, especialmente, cuando el ataque se produce desde fuera.
Como colofón al evento, el segundo día también contó con un panel de discusión que tuvo como protagonistas a los profesionales que intervinieron en las diferentes ponencias de la jornada y que nuevamente respondieron a las preguntas de la audiencia. La primera de ellas supuso una reflexión sobre las ciberamenazas que nos esperan. En este sentido, los participantes se mostraron escépticos ante la posibilidad de llegar a hacer realidad una internet segura. La razones a las que aludieron es que mientras exista alguna motivación seguirá habiendo interés por explotar o hacer mal uso de elementos físicos o lógicos para conseguir ese objetivo, algo que esto no va a parar. Además, crear una ciberamenaza cada vez es más sencillo ya que ahora no se precisa tener grandes conocimientos técnicos, a lo que se le une la mayor exposición de entornos, como el IoT, y el hecho de que la reutilización de tecnologías con pequeñas variantes por parte de los ciberdelincuentes sigue siendo efectivo. Junto a esta cuestión la audiencia se interesó por las medidas de defensa a través de señuelos para evadir a los ciberdelincuentes, que los participantes en el debate consideraron una barrera de ciberseguridad más, pero no suficiente por sí misma.
Al igual que la jornada anterior, también hubo interés en conocer qué pensaban los participantes presentes en el escenario sobre la propuesta USA de Ley de Certeza Activa, así como la posibilidad de poner balizas para la atribución de los ciberataques. Para la gran mayoría, dicha Ley podría tener sentido en un marco normativo homogéneo, pero para llegar a este tipo de compromisos hay que superar las diferentes leyes internacionales y compatibilizar los diferentes intereses existentes a escala global. En cuanto al balizamiento, la opinión vertida es que puede ser una técnica a considerar pero, al final, sería descubierta y contrarrestada. Además, es difícil saber exactamente saber quién está realmente detrás de cada caso, especialmente, cuando el ataque se produce desde fuera.

Respecto a la seguridad multicapa, cuestión que también se debatió en la jornada anterior, todos los profesionales coincidieron en que la solución no está en quitar capas o técnicas de prevención de amenazas ya que los ciberdelincuentes siguen reutilizando muchas de las técnicas ya inventadas, sino que la clave está en su coordinación e integración y en la transparencia, de forma que el usuario sea capaz de ver dónde está el problema independientemente de la complejidad que exista detrás.
Para finalizar, y como broche de oro, cada participante ofreció un consejo a la audiencia. Así, para José de la Cruz, “dentro de la ciberseguridad lo más importante es la visibilidad”; Alberto cita, por su parte, abogó por “tener mejores prácticas”; Alberto Ruiz, indicó que existen múltiples frameworks públicos que tienen multitud de mejores prácticas: revísense y aplíquense”; Vicente Martín manifestó que “lo importante es la simplicidad” además en concienciar a todos aquellos que tienen que manejar información; Jesús Diaz recomendó “estar preparados constantemente para lo peor”; y, por último Daniel Fírvida afirmó que “no existe una bala de plata, lo que significa tener una estrategia multidefensa y no dejar abandonado ningún frente”.
Para finalizar, y como broche de oro, cada participante ofreció un consejo a la audiencia. Así, para José de la Cruz, “dentro de la ciberseguridad lo más importante es la visibilidad”; Alberto cita, por su parte, abogó por “tener mejores prácticas”; Alberto Ruiz, indicó que existen múltiples frameworks públicos que tienen multitud de mejores prácticas: revísense y aplíquense”; Vicente Martín manifestó que “lo importante es la simplicidad” además en concienciar a todos aquellos que tienen que manejar información; Jesús Diaz recomendó “estar preparados constantemente para lo peor”; y, por último Daniel Fírvida afirmó que “no existe una bala de plata, lo que significa tener una estrategia multidefensa y no dejar abandonado ningún frente”.