El pasado 18 de octubre tuvo lugar la tercera edición del Foro de la Movilidad e IoT de ISMS Forum en el Auditorio Principal de CaixaForum Madrid (Paseo del Prado, 36. Planta -2). Profesionales de la seguridad de la información se dieron cita para abordar los retos a los que se enfrenta el sector en estos momentos, dando cuenta de experiencias y casos de éxito de compañías en su adaptación al entorno IoT.

Francisco Lázaro, director del Centro de Estudios en Movilidad e Internet de las Cosas; miembro de la Junta Directiva de ISMS Forum Spain; y CISO y DPO de Renfe, estuvo a cargo de la inauguración del evento, presentando las diversas iniciativas que lleva a cabo el Centro de Estudios en Movilidad e Internet de las Cosas actualmente.

Para la primera ponencia de la jornada contamos con la participación especial de Pasi Eronen, investigador principal en el Proyecto Rusia de la Fundación para la Defensa de las Democracias, centrando su labor en la coerción económica, las amenazas híbridas y su relación con la guerra cibernética.

Pasi Eronen / III Foro de la Movilidad e IoT.

El experto basó su charla en las tecnologías emergentes, cada vez más presentes y, en consecuencia, el reto que supone la ciberseguridad en este entorno para la privacidad de los individuos. Con tecnologías emergentes nos referimos, por ejemplo, a la Inteligencia Artificial que incluye vehículos autónomos y conectados, robots y asistentes virtuales; ecosistemas digitalizados tales como el blockchain y plataformas IoT; o experiencias inmersivas tales como la impresión 4D, los espacios de trabajo inteligentes y las casas conectadas. Estos desarrollos tecnológicos, por supuesto, aceleran el de todos los demás. Si bien el desarrollo conlleva grandes oportunidades, los avances tecnológicos suelen ir acompañados de momentos de incertidumbre económica y social, tal y como indicó Eronen.

El ponente, además, lanzó algunas conclusiones que debemos tener en cuenta de cara a enfrentar este reto que tenemos por delante: la privacidad de los individuos ante la aparición de nuevos entornos conectados. “La construcción de muros e islas imaginarias no funcionará en el ciberespacio y en el dominio de la información, ya que los atacantes encontrarán su camino y todo ello tiene un costo enorme en eficiencia. La construcción de resiliencia juega un papel clave en la operación de este entorno”.

Asimismo, destacó la importancia de la colaboración entre el sector privado y el sector público. El sector privado empuja los límites tecnológicos, posee infraestructura crítica y ejecuta los servicios de los que dependen las autoridades. Por lo tanto, “las asociaciones público-privadas profundas y amplias son una necesidad, no una opción”, apuntó.

Cabe señalar también la asistencia de Charlie McMurdie, experta en seguridad y ciberdelincuencia con alta reputación en la lucha contra el delito cibernético. Lo más destacado de su carrera son los 32 años que ha dedicado a trabajar en la Policía Metropolitana de Reino Unido, logrando ascender al rango de Detective Superintendente e implicándose en el establecimiento y construcción de la Unidad Central de Delitos Electrónicos de la Policía, un organismo nacional de investigación del Reino Unido con capacidad de actuación a nivel mundial.

McMurdie expuso casos reales de cibercrimen explicando las diversas maneras en las que una persona puede hacerse con cantidades millonarias a través del empleo de estas prácticas. Estos actores pueden ser tanto activistas hackers, grupos de crimen organizado, estados como sujetos que posean información privilegiada.

Además, la investigadora señaló cuáles son los impactos de un ciberataque, siendo costes directos la investigación y remediación de lo ocurrido, la sanción reglamentaria y el restablecimiento de los estándares de seguridad del cliente; costes indirectos el seguro, el fraude al cliente y la demanda colectiva; y los costes intangibles el daño a la marca y la desventaja competitiva, entre otros.

La primera mesa redonda del día, bajo el nombre de “Ciberseguridad y protección de datos en la carretera del futuro”, estuvo a cargo de representantes del Centro Nacional de Protección de Infraestructuras Críticas (CNPIC), Dirección General de Tráfico (DGT), Applus+ Laboratories y el Centro de Estudios en Movilidad e IoT de ISMS Forum Spain. En ella conversaron sobre la forma en la que la aplicación de las nuevas tecnologías al sector del transporte por carretera está contribuyendo en la reducción de los accidentes.

David Hernández, Ana Isabel Blanco, Alberto Francoso, Paloma Llaneza y Abel Carbonell, respectivamente / III Foro de la Movilidad e IoT.

El último estudio RoadTech realizado por The Economist Intelligence Unit (EIU) para Abertis, estima en un 90% la reducción de víctimas mortales mediante el uso de vehículos autónomos. Sin embargo, la implantación de estas tecnologías entraña nuevos riesgos tecnológicos procedentes tanto de los vehículos conectados y autónomos como de los dispositivos instalados en la infraestructura viaria. Un ciberataque a este ecosistema IoT en la carretera puede llegar a representar una amenaza para la seguridad de las personas.

David Hernández, responsable de I+D del departamento IT Labs de Applus+ Laboratories, afirmó que la ciberseguridad debe tenerse en cuenta desde las primeras fases del desarrollo del vehículo y que los vectores de ataque de un dispositivo IoT que esté controlando el tráfico no van a diferir de un dispositivo IoT que tengamos en casa. “Lo que sí va a cambiar mucho son los riesgos, porque al final el impacto no es el mismo”.

Ana Isabel Blanco, subdirectora adjunta de Circulación de la DGT, se mostró positiva ante la disrupción de tecnologías emergentes conectadas. “Este modelo de transformación nos va a permitir dar servicio más allá de la infraestructura física desplegada, ligada a la conectividad y a modelos de seguridad vial”.

De reconsiderar los modelos habló Paloma Llaneza, Líder del área Legal del Centro de Estudios en Movilidad e IoT. “Se necesitan nuevas leyes que entiendan estas tecnologías. Debemos replantearnos todo el sistema legal porque el conductor ya no va a ser el responsable de la conducción”. Por otra parte, se abordó la cuestión de los datos personales en este escenario del futuro en las carreteras y, para la experta, se prevé “una recogida de datos salvaje”. Y añade: “a mí me preocupa más qué se hace con esos datos cuando se recogen. No concibo que Google nos vaya a dejar montar en un coche conectado sin que demos nuestros datos o sin saber quiénes somos”.

La siguiente ponencia la protagonizó Eduardo Di Monte, Cybersecurity Board Advisor for Utilities, en la que habló sobre la convergencia de IT y OT, diseñados ad-hoc para las entidades y las compañías, así como de la importancia de tener cuidado con el entorno IoT, no diseñado de la misma forma. En línea con la temática presentada por Di Monte, Juanjo Martínez, director general de Infoblox SEUR, explicó posteriormente en su charla que, debido a la heterogeneidad y al volumen masivo de los dispositivos IoT, necesitamos algo totalmente transversal, escalable, que funcione en tiempo real, híbrido y automatizado para dar seguridad en estos entornos IoT. Ante esto, los servicios DNS parecen ser la herramienta más adecuada porque están pensados para actuar con escalabilidad masiva, ya que el DNS ha nacido para el mundo de Internet y reúne las características anteriormente mencionadas para conseguir dar esa seguridad.

La segunda mesa redonda del día, bajo el título “Ciberseguridad como eje de la hiperconectividad”, estuvo representada por Francisco Lázaro, Jesús Mérida (CISO de Técnicas Reunidas y miembro de la Junta Directiva de ISMS Forum), Federico Dios (Senior Manager Solutions Engineering de Akamai Technologies), Bosco Espinosa de los Monteros (EU Presales Manager de Kaspersky Lab) con Jorge Hurtado (Líder del área de Certificación del Centro de Estudios en Movilidad e IoT) como moderador.

Francisco Lázaro, Jesús Mérida, Jorge Hurtado, Bosco Espinosa de los Monteros y Federico Dios, respectivamente / III Foro de la Movilidad e IoT.

En ella se abordó la diferencia entre medidas de seguridad en el ámbito IoT, IT y OT, los campos comunes que hay entre la seguridad IT convencional, la seguridad IoT y la seguridad OT, y cómo debería potenciarse una mayor regulación de los dispositivos IoT. “El problema está en el acercamiento IT/OT que no se está dando porque hoy en día todavía cuesta”, comentó Jesús Mérida.

Los entornos IoT extienden una preocupación que comienza desde las primeras fases de elaboración del producto. Un 87% de los dispositivos IoT no son seguros y el 13% restante es simplemente suerte, según apunta Francisco Lázaro. Esto está ocurriendo ahora porque “hace 20 años nada estaba conectado y la seguridad en entornos OT era muy fácil: tenías un perímetro y colocabas a un guardia de seguridad”, explicó Bosco Espinosa.

No obstante, muchas son las compañías que ya están dejando de plantearse la seguridad de los productos a posteriori, empezando a aplicarla desde el inicio. Eso sí, tal y como explica Federico Dios, también hay muchas empresas que simplemente velan por ser las primeras en el mercado sin tener en cuenta la seguridad. “En las empresas del go to market veo un riesgo muy alto, creo que es una cuestión de cómo operan ese tipo de compañías”.

Otra de las intervenciones vino de la mano de Álvaro Castellanos, Security Manager de Orange, en la que habló sobre el marco de certificación de seguridad común que está impulsándose a nivel europeo. “Los gobiernos no pueden garantizar la seguridad de la sociedad por sí mismos y las empresas y usuarios no pueden defenderse de las amenazas solos”, afirmó. Es por ello que ENISA y ECSO tienen como objetivos evitar la fragmentación por iniciativas nacionales; promover el reconocimiento mutuo; mejorar la competitividad y calidad de los productos europeos; proporcionar confianza a los usuarios; dar soporte a competencias y desarrollo locales; y proteger las infraestructuras de ciberataques, entre otros.

Por último, tuvo lugar la participación de Pedro Cabrera, fundador Ethon Shield y miembro del área de Amenazas y Sensibilización del Centro de Estudios en Movilidad e IoT(CEMIoT). Bajo el título “Los drones son sólo para el verano”, el experto explicó de qué manera están empleando algunas organizaciones terroristas el potencial de los drones comerciales, llegando a poner en jaque al ejército de los Estados Unidos durante meses en Mosul, por ejemplo, donde el espacio aéreo controlado llegó a estar dominado por una flota de drones. Cabrera presentó los detalles del hardware hacking realizado a estos aviones no tripulados para llevar a cabo estas campañas, así como imágenes sobre el uso de drones contra infraestructuras críticas en todo el mundo.

Pedro Cabrera / III Foro de la Movilidad e IoT.

Sobre el Centro de Estudios en Movilidad

El Centro de Estudios de Movilidad (CEM) es una iniciativa de ISMS Forum Spain dirigida a profesionales de la seguridad, expertos legales, C-Level, ingenieros y tecnólogos, usuarios, inmigrantes y nativos digitales, que nace con el objetivo de generar y compartir conocimiento de todo aquello que gira en torno a la Movilidad y al Internet de las cosas.

Sobre ISMS Forum Spain

La Asociación Española para el Fomento de la Seguridad de la Información, ISMS Forum Spain, es una organización sin ánimo de lucro fundada en enero de 2007 para promover el desarrollo, conocimiento y cultura de la Seguridad de la Información en España y actuar en beneficio de toda la comunidad implicada en el sector. Creada con una vocación plural y abierta, se configura como un foro especializado de debate para empresas, organizaciones públicas y privadas, investigadores y profesionales donde colaborar, compartir experiencias y conocer los últimos avances y desarrollos en materia de Seguridad de la Información. Toda su actividad se desarrolla en base a los valores de transparencia, independencia, objetividad y neutralidad. ISMS Forum Spain tiene ya a más de 230 empresas asociadas y más de 1000 profesionales asociados. La Asociación es ya, por tanto, la mayor red activa de organizaciones y expertos comprometidos con la Seguridad de la Información en España.