Grandes expertos en ciberseguridad en España muestran las mejores soluciones y enfoques para luchar contra él en ‘Tendencias SIC’
Inteligencia aplicada, compartición de información, uso de tecnología puntera y formación, las ‘llaves maestras’ para hacer frente al cibercrimen
Para 2019 se espera que el cibercrimen logre unos ingresos cercanos a los 1.800 millones de euros: el 0,8 del PIB mundial. La mala noticia es que el anonimato, la facilidad para acceder a todo tipo de redes empresariales y de actuar, de forma escalable a nivel global, ha propiciado que ya sea el tercer gran negocio delictivo por detrás del dinero que genera la corrupción política y el narcotráfico.
La buena es que compartir información, aplicar lo último en tecnología y formar a las personas podría evitar gran parte de los ciberataques que tienen éxito. Estas fueron algunas de las principales conclusiones de la nueva edición de ‘Tendencias SIC’, en esta ocasión con la leyenda ‘Ciberseguridad, geopolítica y economía. Ataques y amenaza híbrida: el tsunami que nos viene’, y que contó con la participación de expertos del CCN, Guardia Civil, One eSecurity y Zerolynx y las aportaciones de investigadores y especialistas de una potente representación de la industria de protección: Barracuda, Bitdefender, Check Point, Eset, Fortinet, Kaspersky Lab, McAfee, Panda, Sophos y Symantec.
Tendencias SIC celebró una nueva edición –la cuarta ya– los pasados 6 y 7 de noviembre, en Madrid, bajo el nombre de ‘Ciberseguridad, geopolítica y economía: Ataques y amenaza híbrida, el tsunami que nos viene’, un foro que reunió a más de una docena de expertos y responsables de organismos de ciberseguridad y contó con casi 300 asistentes entre ambas sesiones.
El Jefe del Departamento de Ciberseguridad del Centro Criptológico Nacional (CCN), Javier Candau, abrió la primera jornada del evento. “Para hacer frente a las amenazas nuestro trabajo se basa en inteligencia, resultando clave poder contextualizar un ataque”. Precisamente, para contar con la mejor información, destacó que “hace falta una plataforma de notificación única”, para evitar hacerlo en paralelo a varios organismos a la vez. En este sentido el CCN-Cert propondrá una plataforma basada en su herramienta de notificaciones, ‘Lucía’, con capacidad multinivel, en la que se integre tanto el sector público como el privado –este de forma voluntaria–.
“Será descentralizada, así que las empresas podrán elegir qué incidentes comparten y cuáles no, informando de lo que consideren más importante”. Además destacó que cabe esperar que el Real Decreto de la Directiva NIS esté aprobado para abril de 2019. También desveló que, seguramente, incluirá un artículo dedicado a definir el papel que deben jugar los CISOs “…aunque es pronto para saber qué profundidad tendrá “.
La importancia de aprender seguridad… tras un indicente
El CEO y analista de Seguridad de One eSecurity e instructor de SANS, Jess García, destacó la importancia de los análisis forenses para aprender de los ciberataques sufridos y mejorar la ciberseguridad de las empresas. “Se trata de un trabajo que lleva tiempo porque exige conocer bien una compañía”. Por ejemplo, investigar un incidente en una compañía pequeña lleva en torno a dos semanas pero en una grande puede suponer hasta seis meses. Y si es un ataque persistente avanzado –un APT– la investigación no acaba nunca”, advirtió de la dificultad para investigar este tipo de incidentes cibernéticos. Por eso recordó que acometer una inversión en planes de ciberseguridad y servicios forenses de forma proactiva siempre sale más barato que hacerlo tras sufrir un ataque.
El correo-e continúa siendo una ‘puerta de entrada’
Miguel López, Country Manager para Iberia de Barracuda, destacó el concepto de las amenazas conocidas como ‘ATO’: “la utilización de credenciales de acceso a correos electrónicos robadas para cometer algún tipo de fraude suplantando la identidad del usuario legítimo”. “Parece ser un vector de ataque más o menos controlado por todas las empresas pero un 74% de los que se sufren se basan en él”. Y es que, en muchos casos, las claves usadas por los empleados para sus sistemas empresariales… son las mismas que utilizan en sus redes sociales. “Así que cuando estas son robadas los criminales las usan para acceder a las redes de las empresas”. “Por eso es importante contar con herramientas que te permiten tener una trazabilidad y reportar anomalías como Barracuda Email Treat Scanner (ETS).
Por su parte, el National Channel Country Manager para España de Bitdefender, Juan Jesús Merino, dio a conocer las próximas tendencias en ciberamenazas a partir de la red de inteligencia con la que cuenta la empresa –que usa datos de más de 500 millones de usuarios–. “Es preocupante el número de vulnerabilidades que han surgido en sólo un año. Por ejemplo, en Microsoft han crecido un 35% y en sistemas de Apple ¡un 50%!”. Bitdefender ha identificado en su centro de inteligencia cómo principales amenazas las del ransomware, el cryptojacking y los ataques que se realizan sin ficheros infectados –los conocidos como fileless malware–.
“El mercado demanda prevención y detección además de investigación y correlación de datos, respuesta ante incidentes y mejorar la capacidad de respuesta tras el ataque a través de los llamadas EDR. Fuimos pioneros en unir la protección del punto final y el EDR para hacerlo todo menos complejo”, destacó.
El Country Manager para Iberia de la israelí Check Point, Mario García, destacó la necesidad de “detectar en el menor tiempo posible”. En este sentido apostó por ser más proactivos y afirmó que queda mucho por hacer. “En el mundo, por ejemplo, aún hay más de 300 millones de faxes que están en las empresas conectados a la red corporativa y a través de los que es fácil acceder a ellas porque no tienen seguridad”. García también resaltó que las amenazas contra los móviles continúan siendo una de las grandes preocupaciones de las empresas. Además, recordó que “está llegando una nueva generación de ataques que buscan un ‘hueco’ en móviles, servidores, nube…En el mundo físico las armas no están al alcance de cualquier pero en el digital, sí’”.
Por su parte el responsable de Investigación y Concienciación de Eset, Josep Albors, habló de la importancia de la colaboración de la industria de la ciberseguridad con los cuerpos de seguridad y con plataformas comunes donde se comparte información, como hace Eset a través de Europol, Interpol o de la iniciativa ‘No more ransom’ “Nuestros laboratorios han encontrado estructuras criminales y hemos aportado datos a organismos como el FBI, que las han investigado deteniendo a los culpables”, resaltó. En este sentido destacó también la importancia de que la gente tenga claro que “colaborando entre todos la lucha contra las mafias cibernéticas es más eficaz”.
Albors explicó cómo ciberataques, como el sufrido por Ucrania en 2015, Black Energy, contra su red eléctrica, en pleno mes de diciembre, tiene consecuencias físicas –miles de personas se quedaron sin calefacción–. Y alertó que a veces no se usan métodos sofisticados, ya que en este caso “se utilizó un correo-e infectado que abrió una persona de la empresa”.
Redes maliciosas basadas en enjambres
David Castillo, Ingeniero de Sistemas de Fortinet, destacó que, según sus estudios, cada empresa ya tiene, de media, 13 malware distintos y que redes botnets que sólo afectan a un 5% de las empresas permanecen sin ser detectadas en ellas semanas. “Tanto a nivel mundial como en España se buscan vulnerabilidades sencillas para tirar abajo sistemas que tengan un gran impacto, porque aún hay muchas empresas que no parchean sus sistemas”. Así, explicó que el cibercrimen está apostando, cada vez más, por comercializar herramientas de ataque como servicio, que, incluso, “te las van actualizando mes a mes”. También comentó la tendencia de usar por parte de los cibercriminales herramientas que ya están dentro de la empresa pero que no han sido ‘securizadas’.
Entre otras técnicas de ataque novedoso habló de las botnets Swarm, basadas en enjambres de insectos “que actúan sin un sistema único de mando y control por lo que son muy complicadas de eliminar”.
Hacia un mundo con más delitos ciber que físicos
La intervención de apertura de la segunda jornada correspondió al Jefe del Departamento de Delitos Telemáticos de la Guardia Civil (de la UCO), el teniente coronel Juan Sotomayor. Comenzó recordando la importancia de “la persecución del delito” destacando que “hace falta invertir más, por parte de los poderes públicos”. Así recordó que, en 2017, el informe de delitos cibernéticos del ministerio de Interior reflejó un crecimiento de hechos delictivos de un 22,1%. Además, criticó que en la Estrategia Nacional de Seguridad no se mencionan ni el cibercrimen ni la ciberdelincuencia como amenazas que afectan a todos los españoles”.
A continuación Juan Antonio Calles, CEO de ZeroLynx, y Daniel González, Director de Operaciones de la empresa, explicaron los nuevos vectores de ataque ligados a la transformación digital. “La tecnología nos facilita la vida pero, aplicada al sector industrial, supone querer tenerlo todo, haciéndolo más complejo. ¿El resultado? Casi el 60% de las instalaciones industriales reconocen un ciberataque, según datos de Kaspersky”.
Durante su conferencia los representantes de ZeroLynx expusieron cuatro casos reales encontrados en entornos industriales y que han permitido realizar ataques con USB infectados, a través de la falta de seguridad de subcontratistas o de empleados descontentos. “Y no hacen falta grandes medios: un dispositivo ‘Keylogger’ –que permite acceder a las pulsaciones de un teclado– se vende en internet por 40 euros”.
¿Su consejo? “Para proteger estos entornos no basta con tener firewall, antivirus, es decir, tener un nivel de defensa pasiva. Hay que apostar por monitorizar. “Se trata de contar con un SOC que aporte información que pueda usarse para mejorar”.
Por su parte, el analista senior CREAT de Kaspersky Lab, Dani Creus, expuso qué amenazas digitales a día de hoy deben preocupar –y mucho– a las empresas, enfatizando los ataques híbridos que se plasman en malware con capacidades novedosas de exfiltración. “La barrera de entrada del cibercrimen en las empresas es cada vez más baja”.
En este sentido recordó que cada vez se lidia con ataques “más sofisticados. Hemos descubierto muchas APTs muy mediáticas que también nos han permitido contar con experiencia y conocimientos para detectar actores nuevos”. Pero también advirtió que “igual que aprendemos de los atacantes ellos también lo hacen de nosotros”. “Es preocupante que en muchas ocasiones los criminales sepan lo que buscamos y pongan trazas falsas para inducir a análisis erróneos y falsas atribuciones. Cada vez vamos a ver más ataques de bandera falsa”. Por eso hay que tener en cuenta el aspecto evolutivo de los adversarios para crear, gestionar y actualizar estrategias y doctrinas que permitan hacerles frente.
Marc Rivero, investigador de amenazas del McAfee ATR Team, habló de las últimas investigaciones de la firma en su lucha contra el cibercrimen. “Carlos Castillo, de nuestro equipo, descubrió hace poco una nueva familia de malware que se distribuía a través de SMS –infectó más de 5.000 teléfonos– que animaban a descargar un software de voz en el dispositivo que resultaba ser software malicioso. Hay que tener cuidado y recordar que nuestros móviles están siempre conectados y son objetivos como servidores intermedios para realizar campañas de phishing, para distribuir spam y otras aplicaciones”.
En su intervención habló de uno de los ransomware más conocidos este año, el GrandGrab V5, que “curiosamente tiene un código pobre y errores de desarrollo que les obliga a actualizar versiones para corregir fallos”. Otras de sus curiosidades es que sus creadores llegaron a poner anuncios para ofrecerlo como servicio. También resaltó la organización que tiene el cibercrimen poniendo como ejemplo el ransomware Kraken, que los propios delincuentes distribuyen a través de partners “a los que imponen condiciones, como usarlo en Siria”.
Josu Franco, asesor de estrategia de Panda Security destacó lo preocupante de los ataques actuales que no tienen software malicioso. “Para hacerles frente, desde 2015, desarrollamos nuevos enfoques detectando lo que es bueno y lo que es malo y que supone que todo lo que se ejecuta en las máquinas tiene que ser confiable. Y hasta que no se clasifica por Panda no se puede usar. Y a día de hoy nuestro resultados de equipos infectados son residuales”. Entre las cifras con las que trabaja la empresa destaca la detección, cada día, de 10 millones de URL maliciosas o hasta 10 millones de ficheros antes de ejecutarse. También comentó que “la mayoría de los ataques siguen siendo clásicos porque, desgraciadamente, pocas empresas se han movido a soluciones Next Generación que comportan más tecnología para la monitorización continua de lo que pasa, por ejemplo, en los dispositivos finales”. Por último, resaltó que “vender seguridad es vender confianza”, citando a Gartner.
Alberto Ruiz, Responsable del equipo de ingenieros para Iberia de Sophos, explicó que los ataques más conocidos… siguen siendo los más exitosos. “Es increíble pero WannaCry sigue afectando a empresas como Boeing o una conocida naviera china”. Así, evidenció que ‘La guerra por tener el mejor ransomware’ sigue y la actual tendencia es ofrecerlo para ‘ataques a medida’. “Uno de ellos, el Philadelphia, incluso, llegó a ofrecerse con anuncios a través de Youtube, donde se informaba de su facilidad de uso y se ofrecía con una licencia de por vida, con un pago único”.
“La clave para estar protegido es tener diferentes capas de seguridad. El problema es que si sólo te basas en el análisis tradicional y fallas… está comprometido. Por eso hay que defender el puesto de trabajo con capas y usando inteligencia artificial que permita defenderse, o al menos, mitigar zero days”.
Por último, el Systems Engineer Manager para Iberia de Symantec, Alberto Cita, habló de la importancia de no separar “el mundo virtual y el físico. “Vemos ataques a dispositivos IoT o sistemas industriales. Atacar lo virtual supone con consecuencias en nuestro mundo, en un alto horno, por ejemplo”.
“El cibercrimen evoluciona buscando nuevas formas de monetización y no va a dejar de hacerlo porque también apuesta por la transformación digital, con la nube y la inteligencia artificial… y ofreciendo sus productos como ‘servicio”.
Para hacerle frente, Symantec lleva mucho tiempo colaborando con gobiernos y agencias gubernamentales. “Damos tecnología a gobiernos como el irlandés para detectar y cerrar botnets. En este sentido destacó su proyecto Dolphin. “Una herramienta que correlaciona eventos de phishing para evitar la suplantación de páginas web alertando a sus propietarios reales e indicándoles cómo actuar. En un día llegamos a detectar más de 5.000 web falsas”. Además, recordó que para ofrecer seguridad la compañía cuenta con un data lake con ocho trillones de entradas de inteligencia”.
LOS DEBATES, A ESCENA
PRIMERA SESIÓN
Despliegue de tecnologías, IA, mejor colaboración y noticias falsas, retos de la ciberseguridad
El primero en romper el hielo fue Jess García, quien afirmó que, aunque vamos por detrás de la ciberdelincuencia, se ha avanzado mucho: “hay nuevos retos, pero la inversión en ciberseguridad ha crecido y la comunidad ha mejorado”. Para Juan Jesús Merino “la delincuencia es una práctica de hace miles de años. En la actualidad, están surgiendo nuevas formas de cometer delitos y por eso, es una carrera que no se va a acabar”, manifestó. Mario García añadió que el problema no reside en que se carece de tecnología sino en la rapidez en desplegarla. “Mientras esto no suceda, los ciberdelincuentes van a tener las casas abiertas y van a entrar a robar”, argumentó. David Castillo consideró la concienciación como un elemento clave para evitar un ciberataque.
La misma opinión compartía Miguel López, para el que existen tecnología y soluciones suficientes para tener un buen nivel de protección, “lo que no existe es un nivel adecuado de concienciación, especialmente a la hora de invertir y disponer de un presupuesto acorde a los recursos que son necesarios”. Josep Albors añadió un elemento más: la inteligencia de amenazas que, para este experto, ha reducido la distancia existente con la ciberdelincuencia. “Tenemos más fuentes, más recursos y más gente preparada que antes. El problema está en la implementación que se hace de la seguridad, especialmente en el punto final, por falta de recursos, conocimiento, concienciación, y esa brecha es demasiado grande”, apuntó.
De hecho, la inteligencia se ha convertido un aspecto importante dentro de cualquier estrategia de ciberseguridad. Sin embargo, García consideró que los procesos y la complejidad de las organizaciones hacen que, incluso con la mejor tecnología, el atacante busque huecos y fallos, ya que la tecnología no se despliega correctamente”.
La lucha contra la ingeniería social continúa siendo una prioridad
“Podemos proteger vectores con tecnologías como las de endpoint pero hay otros problemas que requieren gran inversión y dedicación”. Miguel López añadió, no obstante, “que hay malware y amenazas de ingeniería social a los que es difícil hacer frente si no se dispone de herramientas que vayan más allá”.
Otra las cuestiones que más interesaron a la audiencia tuvo que ver con la inminente creación de una plataforma única para la notificación de incidentes, asunto que Javier Candau (CCN) trató durante la jornada. Todos los representantes de los fabricantes presentes en el evento se mostraron favorables a la existencia de una ‘ventanilla única’ y trasladaron su proactividad a la hora de compartir información, tanto con otras empresas -a través de iniciativas como nomoreransom.org-, como con organismos públicos a nivel nacional e internacional para la mejora y enriquecimiento de la información recopilada y tratada.
Para finalizar se preguntó a los ponentes si sería factible, ante lo que se avecina, crear ‘insecticidas digitales’ capaces de afrontar y repeler la eventual llegada de ‘marabuntas’ que, a modo enjambres digitales, agredieran con ciberataques masivos. La gran mayoría estuvo de acuerdo en que la ciberseguridad, a día de hoy, tiene que ir por defecto y por diseño en cada uno de los sistemas. Además, no es cosa de uno, todas las partes tienen que hacer su trabajo; empresas de seguridad TIC, forense, fabricantes…, a fin de dar una respuesta adecuada a cada amenaza, máxime si su sofisticación, automatización y complejidad son crecientes.
SEGUNDA SESIÓN
Despliegue de tecnologías, IA, mejor colaboración y noticias falsas, retos de la ciberseguridad
Inteligencia artificial para lo bueno y lo malo
Por su parte, tras las exposiciones en la segunda y última jornada del encuentro, un nuevo debate reunió en el estrado a los ponentes, a fin de contestar a las preguntas de la audiencia, para la que la inteligencia artificial volvió a suscitar gran interés. En este caso, Josu Franco explicó que “se trata de una herramienta más.
“Nosotros la usamos pero, como cualquier otra tecnología, puede tener dos caras”. Para Alberto Cita “la ciberdelincuencia tiene razón de ser por su negocio, por lo que incrementando el coste de sus ataques con defensas robustas, se reduce el riesgo de ser atacado”. De igual forma, Alberto Ruiz explicó que “saliendo de la media, nos tienen que hacer un ataque dedicado, mucho más costoso, y que nos quita del objetivo de los ataques masivos lanzados contra todas las empresas”. Juan Antonio Calles añadió una nueva dimensión a la problemática: “últimamente –indicó-, estamos viendo ataques a plataformas OT a través de dispositivos sin protección o excesivamente básica. Y observamos cómo se usan tecnologías de machine learning para predecir amenazas en función de millones de muestras. Es cierto que no hay que actualizarlas, pero no son la panacea”, indicó.
Protección de entornos OT frente a TI
A colación surgió una cuestión sobre cómo proteger los entornos OT que no se actualizan como los de TI. Para Cita “es importante que para estos entornos la filosofía no sea de una seguridad negativa sino positiva: bastionar sistemas sin importar si son clásicos o nuevos”. Para Ruiz, la clave está en quién te asegura que no se están intoxicando tus datos. “Nosotros recibimos 400.000 muestras al día y usamos machine learning para analizarlas -si son nuevas, sí precisa de un analista-. Por eso, vamos hacia redes neuronales, un concepto que se habló ya en los años ‘40 y que nos permitirá detectar envenenamientos en los procesos de entrenamiento. No obstante, es importante tener claro que esto es únicamente una capa de seguridad más”, indicó.
Y, si se evoluciona hacia sistemas que toman decisiones, ¿habrá ingeniería social automatizada?, se preguntó la audiencia. En este sentido, Ruiz indicó que, sin duda, va a haber una nueva generación de ataques. “En la actualidad, existen sistemas de inteligencia que son capaces de crear obras de artes que nunca imaginamos. Es posible que un sistema de inteligencia desarrolle un exploit que puede ser incompresible para nosotros y que de lugar a ataques impensables”.
¿Son las fake news un problema de ciberseguridad?
Para concluir, los asistentes también se hicieron eco de un problema de candente actualidad, las fake news, y la cuestión estribó en si se pueden considerar las noticias falsas como un asunto que concierna a la ciberseguridad. “Ya hay compañías de nuestro sector que estamos estudiando este tipo de amenazas”, afirmó Franco. “Y es que, en países, como por ejemplo la India, hay casos de muertes causadas, al hacerse un uso perverso de la facilidad de difusión de mentiras y acusaciones a través de WhatsApp“. Para Cita, “si la seguridad tiene como reto proteger activos, como la democracia, entonces, sí que afecta a su protección”. Calles manifestó que “también los proveedores tienen datos, como Facebook o Twitter, y han de trabajar en eliminar esos falsos mensajes”. Ruiz indicó que “en la época de Gutemberg, cualquier cosa impresa se consideraba cierta, y antes, cuando te llamaban por teléfono, uno se creía todo lo que se le decía. Ahora dudas. Al final esta época será recordada por las fake news”, concluyó.
Así lo ven los expertos
CCN-Cert
“La ciberseguridad debe ser una capacidad y un objetivo de Seguridad Nacional. Por tanto, es clave compartir información entre organismos y empresas”.
El responsable del CCN-Cert explicó que actualmente “estamos haciendo una guía conjunta de notificación de incidentes. Apostamos por una taxonomía común, compartida con la UE, para hablar de las mismas categorías, peligrosidad del impacto –con cinco niveles, de bajo a crítico– y criterios comunes para asignar el impacto, las ventajas de notificación y el cierre del incidente. Y todo apostando por las métricas que permitan medirlo todo. Si no podemos medir, no podemos mejorar. La idea es que cualquier empresa pueda participar en Lucía y decidir si quiere federarse o no con los beneficios que supone. De momento, ya cuenta con 187 organismos y más de 8.300 incidentes comunicados.
One eSecurity
“Las organizaciones tienen que estar preparadas para abordar ciberincidentes desde diferentes ámbitos e incorporar lo aprendido en el ciclo de mejora”.
El coste de investigar un ciberataque en una empresa, si no ha acometido planes de contingencia y recuperación, puede multiplicarse por 10. ‘Tener los deberes’ hechos en ciberseguridad te permite investigar qué ha pasado más rápido y aprender para estar más preparados ante la próxima amenaza. Y teniendo en cuenta que los ataques cada vez son más complejos es fundamental poder facilitar a los investigadores forenses la información que precisan de la forma más eficaz posible: en muchos casos también lo pedirá el regulador o el ciberseguro que tenga la empresa. Con una buena investigación se puede mejorar más que en seis meses de trabajo habitual en ciberseguridad”.
Barracuda
“Continuamos usando contraseñas débiles e iguales para servicios personales y cuentas corporativas. Ello facilita la suplantación y los ataques dirigidos”
En nuestro sistema, basado en la nube, inteligencia artificial y machine learning hemos detectado que, sobre el número global de ataques, los que afectan al correo electrónico son los que más volumen tiene y para hacerles frente no sirven las herramientas de seguridad habituales. Este tipo de ataques –conocidos como ATO– se basa en el robo de credenciales por lo que se hacen pasar por usuarios legítimos.
Bitdefender
“Para mejorar la ciberseguridad brindamos protección frente a ataques sofisticados, haciéndolo todo menos complejo y fácil de usar”
“El ransomware se mantiene como una amenaza estable con un crecimiento de un 16%. Y ha crecido el cryptojacking pero lo más alarmante es que no se dirige contra usuarios sino contra grandes empresas por la facilidad para infectarlas y sacar más beneficio. Los ataques son, en número, menores… pero suponen mayor rendimiento económico, incluso superior al ransomware. Además, ambas técnicas se están usando de forma combinada para exfiltrar información. También es importante el incremento de los ataques sin fichero”.
CheckPoint
“Todo lo que pares ahora será un gran ahorro respecto a lo que detengas dentro de cinco minutos. Hay que ver la seguridad desde todos los ángulos posibles”
¿Qué hacer? Pues creemos que se necesita un producto que reaccione en tiempo real. Todo lo que se pare hoy, en este segundo, es mejor que dentro de cinco minutos. Y contar con una visión global que permita anticiparte a las principales amenazas. Y para ello hay que evitar el error de aplicar los conceptos de la seguridad física a lo virtual, como la nube. Hay que tener claro que el peligro puede venir de un juego que alguien se quiera instalar en un móvil –el 78% del malware de teléfonos ha sido detectado por Check Point–.
Eset
“La IA o el machine learning no son la panacea, pero ahorra trabajo a los analistas, suprimen algunos fallos y permite abordar la complejidad”
“Muchos ataques usan variantes de software malicioso que se reutiliza. Y se aplican tanto enfoques clásicos como nuevos: en los últimos meses hemos detectado que se ha robado un certificado a un fabricante de sistemas industriales para hacerse pasar por él. Algo que es complicado de detectar. De momento, no se ha usado… pero ya hemos alertado de ello a Europol y las autoridades. Muchas veces incidentes aislados están conectados y terminan siendo ataques críticos y muy dirigidos –como pasó con Black Energy, Telebots, NotPetya, etc–.
Fortinet
“Automatizar al máximo la seguridad es fundamental para detectar amenazas, remediarlas y hacer que todos los elementos de seguridad actúen a la par”
“Las herramientas de sandboxing no son la panacea pero sirven para protegerse de muchos ataques, igual que contar con herramientas que permitan detectar anomalías en la red con inteligencia artificial e integrar todos los dispositivos de seguridad para que pongan en cuarentena cualquier posible amenaza. Además, es fundamental contar con productos que se puedan integrar con otros dispositivos para actuar de forma conjunta ante cualquier ataque”.
Guardia Civil
“En España el número de ciberdelitos es muy alto y crece a un ritmo preocupante. Y las bandas que se aprovechan del ciberespacio lo saben”.
“Se necesita crear un centro de lucha contra el cibercrimen. Hay países donde las denuncias por delitos digitales ya superan a las de los físicos. Y también ayudaría contar con una ventanilla única para poner las denuncias. No hay que olvidar que, en ocasiones, la tecnología afecta también a la vida física de la gente, aunque a veces la calle tenga una falsa sensación de seguridad en su mundo digital”.
ZeroLynx
“Toda la seguridad física que había en entornos industriales se ha roto al conectar en ellos sistemas sin la seguridad mínima, facilitando los ataques”.
“Muchos de los problemas de las empresas industriales es que no tienen bien segmentadas sus redes, con lo que tampoco las tienen suficientemente protegidas. Además, es más habitual de lo que parece que las compañías tengan puertos expuestos y sean vulnerables. Calculamos que en torno a un 20% de las redes industriales sólo tienen un firewall y, una vez que se ha saltado, es muy fácil moverse por la red”.
KasperskyLab
“Las APT cada vez tienen menos patrones definidos, por lo que la investigación, la inteligencia y la búsqueda son críticas para obtener una foto correcta del ataque en su totalidad”.
“Es preocupante que, en muchas ocasiones, los criminales sepan lo que buscamos los investigadores e intenten engañarnos. Los ataques persistentes avanzados cada vez buscan más técnicas personalizadas según la víctima. Ello supone que ya no utilizan los patrones que indagamos para detectarlos. Y lo preocupante es que esto se está viendo cada vez en grupos criminales no tan sofisticados. Además, se usan de forma masiva dispositivos no protegidos, como routers, fáciles de infectar, y muy útiles para los ataques”.
McAfee
“La clave del ‘ransomware as a service’ es que todo está subcontratado, ya no hay un producto que monta un grupo criminal sino en un ‘pack’ inter-mafias”.
Los criminales cada vez se fijan más en dispositivos móviles, incluso para utilizarlos sólo como servidores para distribuir de forma masiva sus campañas; crecen las familias de ransomware, que se desarrolla con acuerdos de criminales que buscan sinergias para obtener el máximo beneficio. También hay grupos APT que siguen, de forma intensa, con sus labores de espionaje pero que también realizan operaciones para robar bitcoins como fuente de financiación.
Panda Security
“Los ataques se van democratizando porque cada vez es más fácil acceder a este tipo de herramientas maliciosas”
Si las empresas tuvieran que tener una medida básica de seguridad esta sería contar con una buena política de gestión de parches. Y hay que hacerlo de forma ordenada e inteligente. Hay que priorizar los parches frente a las vulnerabilidades conocidas. Porque van a ser las primeras atacadas. Incluso se puede hacer fijándonos en hacerlo sobre los sistemas críticos. Y esto es una asignatura pendiente para gran parte de las empresas.
Sophos
“El modelo clásico de seguridad sirve, pero hay que integrarle capacidades avanzadas y defensa del endpoint, con IA y más concienciación del usuario”
El problema del ransomware es que funciona, así que los criminales lo siguen usando. La gente sigue sin tener copias de seguridad de sus datos; tampoco las tienen las empresas, por lo que muchos terminan pagando. Así que su uso es una tendencia que no cambiará mientras genere dinero. No hay que olvidar que las cibermafias trabajan con criterios de negocio empresarial.
Symantec
“La democracia es imposible sin ciberseguridad. Por eso es importante colaborar entre empresas, organismos y gobiernos”.
El problema es que cometer delitos en internet conlleva más ventajas de enriquecerse que de ser encarcelado. El vacío legal es tremendo. Por eso existe la necesidad de ayudar a los organismos públicos a luchar contra el cibercrimen. Y para ello nosotros contamos con uno de los mayores data lake del mundo, que nos permite correlacionar todo tipo de eventos y anticiparnos a amenazas”.