Crónica 2017

Alrededor de 200 asistentes se dieron cita en las dos jornadas con las que contó el encuentro

Tendencias SIC muestra las nuevas estrategias que está desplegando la industria para la defensa efectiva frente al código malicioso

Los pasados 7 y 8 de noviembre, el evento organizado por Revista SIC y patrocinado por Barracuda, Eset, FireEye, Fortinet, Kaspersky Lab, McAfee, Palo Alto Networks, Panda Security, Sophos, Symantec y Trend Micro, congregó a un amplio plantel de profesionales del sector para reflexionar sobre la evolución de los ciberataques -especialmente el ransomware- así como las distintas estrategias que la industria especializada está poniendo en juego para ofrecer una protección integrada, continua y simple ante los nuevos desafíos IT y en los que sobrevienen con entornos industriales y la IoT.

Bajo el título 'Malware y ataques masivos: ¿cómo está cambiando la ciberdelincuencia?' se celebró una nueva edición de Tendencias SIC donde se dieron cita más de 200 asistentes para conocer de primera mano el panorama actual de las amenazas con malware, ya sus nuevas tipologías, ya las que son simples variantes de otras ya conocidas, pero cuya efectividad sigue siendo elevada. Ante tal realidad, se debatió sobre cuál es el mejor modo de afrontar el panorama poniendo de manifiesto la necesidad de avanzar en el despliegue de defensas bien gestionadas en las empresas y en la compartición de información por todos los interesados.

La primera jornada se inició con la intervención de David Barroso, CEO de Countercraft, quien trasladó a la audiencia su visión sobre la evolución de las ciberamenazas, las nuevas vías de ataque y los elementos que están abonando su futuro campo de acción, abogando por una estrategia de defensa activa para mitigar sus efectos.

David Barroso

Barroso comenzó con una frase esclarecedora: “el ransomware ha hecho más por la seguridad que los últimos 10 años de la RSA Conference”. De acuerdo con este reputado profesional, ataques como WannaCry han ayudado de forma notoria a la ciberseguridad puesto que por ejemplo, en este caso, “no habrá que volver a recordar la importancia de ‘parchear’ un programa”, apuntaba Barroso. “En realidad, no hay técnicas verdaderamente nuevas: solo un 1% de los ataques son realmente nuevos con técnicas de día cero, por ejemplo”. Pero las amenazas evolucionan y ante esta problemática Barroso destacó la necesidad de implementar una estrategia de defensa activa en las empresas. “Dejemos de resolver incidentes de forma masiva. Intentemos subir un nivel más y pasemos a gestionar a nuestros adversarios”, señaló.

En este sentido, Barroso hizo referencia a la propuesta de Ley de Certeza Activa estadounidense -de la que SIC se hizo eco en su número 127- como parte de esa defensa activa, entre cuyos beneficios Barroso describía “la disrupción de las actividades de nuestros adversarios, su monitorización, e incluso, llegar a la atribución permitiendo poner foco en lo que realmente importa”, determinó.

Jornada del 7 de noviembre 2017

Pablo López

Tras la intervención de Barroso, Pablo López, Segundo Jefe del Departamento de Ciberseguridad del Centro Criptológico Nacional (CCN), ilustró a la audiencia con una exposición sobre el estado actual de las amenazas cibernéticas y las claves que aplica el CCN para tratar de detectarlas y mitigarlas. Para este experto, la cantidad de ciberamenazas existentes en la actualidad resulta llamativa pero lo es más si cabe las técnicas utilizadas que se valen de la confianza de los usuarios para perpetrar sus ataques, entre las que destacan aquellas dirigidas a las cadenas de suministro, ataques de intermediario (MiM); o vectores de infección como los web exploits, además del cada vez más prolífico Cibercrimen como Servicio (CaaS). Pero resaltó que “el ransomware está contribuyendo a hacer la ciberamenaza real”. Como solución, López destacó “hacer auditorías de seguridad constantes, aumentar la capacidad de vigilancia y el intercambio de información tanto del incidente, como de la propia amenaza; de hecho, aquí es donde realmente podemos aportar valor añadido a la ciberinteligencia”. Al final, “la ciberseguridad necesita aplicar seguridad”, concluyó.

La visión de los fabricantes

Miguel López

Durante el segundo módulo de la primera jornada, los asistentes tuvieron la oportunidad de conocer la visión de diferentes fabricantes sobre la evolución y las tendencias del código malicioso y las diversas medidas de protección existentes en el mercado. El profesional que abrió este bloque fue Miguel López, Country Manager para Iberia de Barracuda, para el cual el hecho de que determinados ciberataques hayan tomado la primera plana de los medios de comunicación, es un hecho que denota que “está empezando a surgir cierta conciencia en este sentido”. Y, al mismo tiempo, “este tipo de ataques está empezando a tener una repercusión muy seria para los accionistas, directivos, empleados y para aquellas personas que han puesto sus datos y confianza en una empresa”, alertó el directivo. Para evitarlo, López destacó la herramienta Barracuda Advanced Threat Protection (BATP) y señaló la importancia de “contar con la voluntad de la Directiva porque sin seguridad TI la supervivencia de la organización no es viable”, afirmó.

Josep Albors

Acto seguido, Josep Albors, Director de Concienciación e Investigación de Eset, hizo un repaso por las tendencias del malware de 2017 en España, llamando la atención sobre el hecho de que, a pesar de lo que se pueda percibir, el ransomware no es el mayor peligro, aunque sí que es verdad que ha evolucionado y se ha adaptado a las necesidades de los ciberdelincuentes. Para mitigar estas ciberamenazas, Albors resaltó que los fabricantes de antivirus ya no se basan solo en firmas, sino en múltiples capas de protección. En Eset, esas últimas incorporaciones multicapa se denominan Eset Threat Intelligence para identificar patrones pero, sobre todo, para evitar falsos positivos.

Por su parte, Álvaro García, Ingeniero de Sistemas para Iberia de FireEye, centró su exposición en las mínimas diferencias entre las técnicas de ciberespionaje (grupos APT) y las del cibercrimen (grupos FIN), en las que el 99% de las veces el vector de ataque es el correo electrónico. Para hacerlo frente, FireEye cuenta con una estrategia de protección erigida en tres pilares fundamentales: iSight, FireEye y Mandiant, que se retroalimentan entre sí aplicando inteligencia, ya que, para este experto, “la idea final es tener todas las piezas a mano para poder responder automáticamente cuando algo sucede”.

A continuación, David Castillo, System Engineer de Fortinet, describió las últimas tendencias dentro de software malicioso. Para Castillo, el futuro va a seguir plagado de “más malware y más sofisticado, donde el IoT se eleva como un problema presente y futuro”. Para Castillo, la clave para mitigar estos y otros tipo de amenazas es que “las herramientas de seguridad se integren entre sí para disponer de inteligencia colectiva y protección global”. En este sentido, este profesional recordó que Fortinet engloba todas sus herramientas de seguridad en la estrategia Security Fabric donde la inteligencia colaborativa es fundamental para dar una respuesta global.

Álvaro García

David Castillo

Daniel Creus

Carlos Muñoz

Dani Creus, Analista Senior, GReAT Team, de Kaspersky Lab, insistió en que la mayor parte de los ataques no se basan en técnicas nuevas. Por tanto, “no debemos tratar la inteligencia como algo emergente”, indicaba. “Es necesario seguir impulsando metodologías, alianzas, etc., muy ligadas a la cultura de la investigación y la cultura de la inteligencia porque sin colaboración la visibilidad no es real”, apostilló Creus.

Para cerrar la primera jornada del evento, Carlos Muñoz, Director Técnico para Iberia de McAfee, facilitó a los asistentes algunos datos para dimensionar los laboratorios de McAfee, que engloban a 250 investigadores en 13 países distintos, donde se publican la actividad relevante de las amenazas informáticas a través de McAfee Global Threat Intelligence (GTI). Asimismo, recordó que su compañía colabora activamente con asociaciones como No more ransomware y la Cyber Threat Alliance. Y es que, “los fabricantes no se deben de diferenciar en cuanto a contenido, sino en base a cómo aplican ese contenido”, afirmó Muñoz.

Colonización de nuevos entornos

La segunda jornada del evento contó con la participación de dos solventes profesionales, como son Carlos Fragoso, Instructor Community de SANS Institute, y CTO y Consultor en Respuesta a Incidentes y Análisis Forense de One eSecurity, y Daniel Fírvida, Coordinador de Servicios de Ciberseguridad de INCIBE.

Carlos Fragoso

Fragoso abordó el problema de la ciberseguridad desde varios prismas destacando los peligros que acechan en una serie de escenarios alrededor del mundo doméstico, el entorno corporativo y el de las infraestructuras críticas, que comparten en general una misma problemática: el ‘hackeo’ del firmware. En este sentido, destacó que el ámbito domestico está siendo expuesto a los atacantes a medida que la domótica y el IoT ganan terreno, sin olvidar el desarrollo de los robots, drones y vehículos autónomos. Dentro del ámbito corporativo, Fragoso destacó que el malware se diseña para comprometer los procesos productivos del software a través de los equipos de desarrollo y operaciones, DevOps, a lo que se le unen los ciberataques a terceros de confianza y servicios gestionados (MSSPs), como el waterholing. Respecto al ámbito de los sistemas industriales destacó el creciente números de ciberamenazas a través de la implantación de librerías en los protocolos SCADA. Como conclusión, Fragoso afirmó que “como comunidad hay mucho trabajo que hacer” porque “al final, el objetivo de los atacantes es la información y el dinero”.

Daniel Fírvida

A continuación, Fírvida complementó la visión de Fragoso haciendo un repaso a los ciberincidentes recogidos por INCIBE a través del CERT-SI que, hasta septiembre de 2017, había registrado 108.696 incidentes y que prevé alcanzar cuando termine este año los 120.000 incidentes. La gran mayoría se relaciona con el malware, los accesos no autorizados, el fraude y el spam. “En lo que llevamos de año, se repite el mismo esquema que en 2016, aunque están aumentando los escaneos de red”. También, “nos preocupa mucho la explosión de distintas familias de ransomware, especialmente dañinas entre las pymes, que son organizaciones que suelen tener recursos escasos para su mitigación”.

Asimismo, resaltó que “WannaCry tuvo en España y en el mundo tal repercusión por afectar a Telefónica; aunque nuestro país no fue el más perjudicado, ya que ocupamos la posición 20 dentro de los afectados”. “Petya y Bad Rabbit no tuvieron la misma repercusión que los anteriores, pero sí nos mantuvo igual de ocupados durante unos días”, terminó destacando Fírvida.

Previsiones de la industria

Al igual que la jornada anterior, el segundo bloque lo protagonizó la industria especializada, cuyos representantes explicaron su visión y estrategias para responder a las necesidades de protección de las compañías. El primer en subir a la palestra fue Jesús Díaz, Manager Systems Engineering para España de Palo Alto Networks, quien resaltó cómo se obtiene y procesa la información en su compañía de forma que sea verídica y útil a través de su plataforma WildFire. En su análisis destacó el “hiperpolimorfismo” de los atacantes, ya que “reutilizan mucho código de su propio malware para generar nuevo”. Además, Díaz reveló la más reciente propuesta de la compañía: “la creación de un marketplace de ciberseguridad nutrido por los todos los sensores de Palo Alto Networks al que queremos empezar a conectar aplicaciones propias o de terceros”.

Jesús Díaz

Vicente Martín

Alberto Ruiz

Por su parte, para Vicente Martín, Director de Preventa para España de Panda Security, el punto de entrada del software malicioso está en el puesto de trabajo, “porque nos proporciona acceso a la información y a toda la red; además, tiene movilidad y las protecciones tradicionales no bastan”. Como medida de defensa, para Martín, el antimalware tradicional necesita complementarse con una protección avanzada como la de la solución de Panda Adaptive Defense que ejecuta solo lo que es conocido y ofrece una motorización real, ayuda forense e integración SIEM, complementado con el servicio que realiza el equipo de analistas de la compañía.

Seguidamente, Alberto Ruiz, Ingeniero de Ventas de Sophos, desgranó las tendencias que ha registrado la compañía a lo largo de 2017 y que se traducen en el aumento del Ransomware as a Service, la explosión del malware para Android, los intentos de infección a sistemas MAC y las amenazas Windows potenciadas por los paquetes de explotación que hacen cada vez más sencillo atacar vulnerabilidades de Microsoft Office. Para atajar esta problemática, destacó la sincronización y la colaboración entre todos los elementos de defensa. Dentro de este contexto, resaltó la protección del endpoint de nueva generación a través de técnicas de post-explotación. Y, dando un paso más allá, resaltó el uso del aprendizaje profundo tras la adquisición de Invincea, que ha proporcionado a Sophos redes neuronales en el puesto de trabajo para la detección del malware.

Alberto Cita

Por su parte, Alberto Cita, Systems Engineer Manager para Iberia de Symantec, describió cómo está cambiando la ciberdelincuencia en los últimos 12 meses desde el punto de vista de la compañía, cuya información recogen a través de la plataforma Symantec GIN. De acuerdo con Cita, “los cibercriminales se están centrando en métodos simples pero efectivos”. En este sentido, el número de ataques web sigue siendo muy elevado, con un uso escaso de exploits de día cero, repunta el uso de URLs maliciosas que se propagan vía correo-e o malvertising, así como un incremento de los ataques al eslabón más débil en que se está convirtiendo la cadena de suministro. Además, Cita ahondó en las tendencias del malware bancario que considera “un fenómeno global con grandes robos mucho mayor que el ransomware, con notables fluctuaciones de actividad de diferentes familias y regiones atacadas”.

José de la Cruz

El módulo de la industria en esta segunda y última sesión del evento concluyó con la intervención de José de la Cruz, Director Técnico de Trend Micro, el cual explicó cómo llegó a producirse WannaCry a través de un repaso por los ataque más sonados, desde el gusano Morris en 1988 hasta la aparición de los shadow brokers y la creciente publicación de exploits.

Para todo ello, de la Cruz afirmó que “los sistemas de protección tradicionales no son suficientes porque son reactivos”. En este sentido, resaltó la técnica de parcheado virtual que la compañía ofrece a través de Zero Day Initiative. “Se trata de una solución que proporciona un patrón que nos permite desplegar el parche mucho más rápido que a través de los procesos tradicionales reduciendo, por tanto, el riesgo provocado por el tiempo de parcheado”, concluyó el directivo.

El Debate

La seguridad multicapa, el papel de los MSSPs y la posible Ley de Certeza Activa, a examen

Como es habitual, Tendencias SIC contó al final de cada una de sus dos jornadas con sendos debates. En del primer día dio la oportunidad a los presentes de aclarar las posibles dudas que surgieron en el transcurso de la inicial sesión matinal. La primera de las cuestiones recaló en la constante evolución de las ciberamenazas que los participantes no dudaron en confirmar, señalando que los ciberdelincuentes también tienen su hoja de ruta para atacar y que van modificando ante las medidas de protección que la industria desarrolla. Y es que, de acuerdo con los profesionales presentes, los ciberdelincuentes se rigen por los criterios que tiene cualquier empresa: originar el mayor retorno de inversión posible. Por este motivo, atacan a lo que consideran que es más débil, aunque para ello juega un papel clave los recursos que poseen.

Otra de las cuestiones planteadas recayó en la Ley de Certeza Activa que tiene en mente desarrollar Estados Unidos. En este sentido, David Barroso afirmó que tiene sentido para conseguir una disrupción y una atribución de una amenaza cibernética. De igual forma, para Pablo Lopez y Miguel López, el marco normativo tiene que elevarse como una medida de disuasión y de protección para las organizaciones.

Para Josep Albors y Dani Creus, sin embargo, es posible conseguir un marco legal pero mientras no haya concienciación a todos los niveles es muy complejo que la seguridad sea efectiva.

El punto de inflexión lo marcaba Álvaro García, quien no estaba de acuerdo con Barroso, porque las medidas contraofensivas abren una puerta que se puede dar la vuelta con grave consecuencias, ya que “se estará más expuesto y se reduce el tiempo de reacción”. David Castillo, por su parte, opinó que no existe una bala de plata como ésta que solucione este problema: “es interesante que se cambie la legislación, pero lo es más los medios y los recursos de los que se disponen”. Finalmente, Carlos Muñoz indicó que está cambiando la situación de concienciación de los usuarios poco a poco. Además, el hecho de la notificación también se utilizará para tener más control.

Acto seguido, la audiencia se interesó por la seguridad simplificada frente al modelo multicapa, así como la gestión de la ciberseguridad de los MSSPs. Para la mayoría, la simplificación de la seguridad debe hacerse de cara al usuario primando la transparencia.

Respecto a los MSSPs las opiniones vertidas se tradujeron en un valor para los fabricantes en cuanto a costes de analistas, expertise y estándares de seguridad con un nivel de complejidad más accesible que pueden ofrecer a los clientes finales.

No obstante, quedó también constancia de la necesidad de evolución y revolución de este tipo de proveedores de servicios gestionados.

El debate terminó con una cuestión acerca de las capacidades reales de la inteligencia artificial, el deep learning y el machine learning. Técnicas que los ponentes consideraron una moda más allá de lo que realmente se utiliza. Y es que en realidad no son técnicas novedosas, pese a que los departamentos de marketing quieren hacer ver lo contrario, aunque sí que pueden suponer un complemento a otras metodologías de ciberseguridad, ya que depender solo de ellas puede ser contraproducente ante la existencia de errores que pueden generar falsos positivos.

Como colofón al evento, el segundo día también contó con un panel de discusión que tuvo como protagonistas a los profesionales que intervinieron en las diferentes ponencias de la jornada y que nuevamente respondieron a las preguntas de la audiencia. La primera de ellas supuso una reflexión sobre las ciberamenazas que nos esperan. En este sentido, los participantes se mostraron escépticos ante la posibilidad de llegar a hacer realidad una internet segura. La razones a las que aludieron es que mientras exista alguna motivación seguirá habiendo interés por explotar o hacer mal uso de elementos físicos o lógicos para conseguir ese objetivo, algo que esto no va a parar. Además, crear una ciberamenaza cada vez es más sencillo ya que ahora no se precisa tener grandes conocimientos técnicos, a lo que se le une la mayor exposición de entornos, como el IoT, y el hecho de que la reutilización de tecnologías con pequeñas variantes por parte de los ciberdelincuentes sigue siendo efectivo. Junto a esta cuestión la audiencia se interesó por las medidas de defensa a través de señuelos para evadir a los ciberdelincuentes, que los participantes en el debate consideraron una barrera de ciberseguridad más, pero no suficiente por sí misma.

Al igual que la jornada anterior, también hubo interés en conocer qué pensaban los participantes presentes en el escenario sobre la propuesta USA de Ley de Certeza Activa, así como la posibilidad de poner balizas para la atribución de los ciberataques. Para la gran mayoría, dicha Ley podría tener sentido en un marco normativo homogéneo, pero para llegar a este tipo de compromisos hay que superar las diferentes leyes internacionales y compatibilizar los diferentes intereses existentes a escala global. En cuanto al balizamiento, la opinión vertida es que puede ser una técnica a considerar pero, al final, sería descubierta y contrarrestada. Además, es difícil saber exactamente saber quién está realmente detrás de cada caso, especialmente, cuando el ataque se produce desde fuera.

Respecto a la seguridad multicapa, cuestión que también se debatió en la jornada anterior, todos los profesionales coincidieron en que la solución no está en quitar capas o técnicas de prevención de amenazas ya que los ciberdelincuentes siguen reutilizando muchas de las técnicas ya inventadas, sino que la clave está en su coordinación e integración y en la transparencia, de forma que el usuario sea capaz de ver dónde está el problema independientemente de la complejidad que exista detrás.

Para finalizar, y como broche de oro, cada participante ofreció un consejo a la audiencia. Así, para José de la Cruz, “dentro de la ciberseguridad lo más importante es la visibilidad”; Alberto cita, por su parte, abogó por “tener mejores prácticas”; Alberto Ruiz, indicó que existen múltiples frameworks públicos que tienen multitud de mejores prácticas: revísense y aplíquense”; Vicente Martín manifestó que “lo importante es la simplicidad” además en concienciar a todos aquellos que tienen que manejar información; Jesús Diaz recomendó “estar preparados constantemente para lo peor”; y, por último Daniel Fírvida afirmó que “no existe una bala de plata, lo que significa tener una estrategia multidefensa y no dejar abandonado ningún frente”.