El Auditorio Principal Caixa Forum, una pieza esencial del “Eje del arte” madrileño, fue el escenario del III Foro de la Ciberseguridad, organizado por el Spanish Cyber Security Institute, el pasado 15 de octubre. Precisamente el director de este instituto y CISO La Caixa, entidad mecenas de este espacio, Carles Solé, dio la bienvenida a los más de 160 asistentes que allí se dieron cita.

El primero en tomar la palabra fue Joaquín Castellón, Director Operativo del Departamento de Seguridad Nacional (DSN), que abordó el “Estado actual y próximos retos en la lucha contra el cibercrimen”. Mucho se ha avanzado en España en materia de concienciación, como ha certificado la aprobación de la Estrategia de Ciberseguridad Nacional y la constitución del Consejo de Seguridad Nacional, liderado por el presidente del Gobierno y del que forman parte no sólo los Ministerios de Defensa e Interior –los clásicos en esta materia–, sino que también están involucrados Economía, Hacienda, Industria o el Centro Nacional de Inteligencia (CNI), según remarcó el ponente.

Joaquín Castellón desgranó cuáles son los principales objetivos de su departamento, que garantiza el cumplimiento de los objetivos marcados por el Consejo de Seguridad Nacional, presidido en este momento por Félix Sanz Roldán. “El primero de todos ha sido crear un plan de acción para atribuir cometidos más concretos a los organismos públicos más involucrados en ciberseguridad, como el CNI, Inteco y el Mando Conjunto de Ciberdefensa”, apuntó. “No queremos ser un CERT más, sino ejercer de paraguas de capacidades operativas, como sucede en el Reino Unido”.

La colaboración público-privada real es el segundo gran objetivo del DSN, promoviendo ejercicios conjuntos para reforzar políticas comunes y, por último, fomentar la cultura de la ciberseguridad en un país donde para muchos es algo nuevo: “Tenemos un gran trabajo que hacer para que la sociedad entienda la importancia de la ciberseguridad y de trabajar en la prevención”.

Por su parte, James Kretchmar, Chief Technology Officer (CTO) de Akamai, valoró los cambios que están experimentando los ciberataques recientemente. Su posición como compañía gestora de tráfico web (hasta un 30% del total global), permite a Akamai analizar cómo evolucionan las amenazas: “Aumenta el tamaño de los ataques (ancho de banda utilizado) y su frecuencia, aunque desciende la duración de los mismos”. En este sentido Kretchmar indicó que los ataques de Denegación de Servicio (DDoS) aumentan en la capa de infraestructura y se han visto reducidos en la capa de aplicación.

“En el mayor ataque que hemos detectado hasta ahora hemos visto cómo se combinan diferentes técnicas, elevando la sofisticación y la dificultad de afrontarlo”, afirmó. “Vamos a tener unos años estresantes en seguridad de la web, como muestra la vulnerabilidad detectada sobre la encriptación SSL 3.0 en la que todos confiábamos. Tenemos muchos retos por delante y uno de ellos es repensar lo básico”.

Aunque el panorama no invita demasiado al optimismo, Alberto Cita, System Engineer Manager de Blue Coat para el Sur de Europa, abundó en la detección precoz como una de las principales armas que las organizaciones tienen a su alcance para protegerse. “Hay dos tipos de infraestructuras, las que han sufrido una brecha y, por otro lado, las que la van a tener, pero la brecha no es el fin último del ataque; no se debe interpretar como un fracaso. Si no se gestiona bien, sí tenemos un problema, a lo que se añade que los buenos tardamos en aprender más tiempo que los malos”, refirió este profesional. La mejor respuesta, según Cita, es generar inteligencia a partir de las amenazas, para lo que es fundamental “poner las alertas en contexto a través de herramientas de Security Analytics”.

Desarrollo seguro y monitorización

Precisamente sobre el origen de estas amenazas y poner el foco en un desarrollo de software seguro basó su ponencia Juan Carlos Pascual, Security Lead de Sogeti. “Vamos a cuestionar lo que llevamos hecho porque es necesario analizar algunas metodologías de programación desde el principio, pues algunas son anteriores a Internet y no son seguras desde la base”, esgrimió Pascual. Según un estudio de Microsoft, más del 40% de los programadores no considera una prioridad el security by design, siendo India, Canadá o Brasil los más comprometidos con el desarrollo seguro. El directivo, como recomendación, abogó por un framework de desarrollo seguro: Building Security In Maturity Model (BSIMM) y monitorizar lo que ocurre con las medidas de mitigación necesarias.

El Spanish Cyber Security Institute, órgano dependiente de ISMS Forum Spain, aprovechó la celebración de esta jornada para presentar el estudio “Incentivando la adopción de la ciberseguridad”.El presidente de ISMS Forum Spain, Gianluca D’Antonio, junto a Adolfo Hernández, miembro del Spanish Cyber Security Institute, fueron los responsables de introducir este análisis, que se presentará oficialmente el próximo 20 de noviembre, durante la celebración de una nueva Jornada Internacional de la Asociación. Una de las líneas maestras es fomentar la integración de todos los actores públicos y privados involucrados, “algo que ha sido refrendado con la publicación de una Estrategia Nacional de Ciberseguridad”, enfatizó Gianluca D’Antonio.

“Creemos que la aproximación es novedosa y tratará de ser un vector más de implementación práctica de la Estrategia”, aclaró Adolfo Hernández. “Debería haber incentivos públicos para aquellas empresas que adopten medidas de ciberseguridad frente al tradicional modelo sancionador”. En esta línea, el informe también aboga por la existencia de asistencia técnica por parte del Estado para aquellas compañías que necesiten ayuda a la hora implantar su marco de actuación.

Tras esta doble intervención llegó el momento para el intercambio de ideas, una mesa redonda de expertos en torno a un título tan sugerente como propicio para el debate: “La mejor defensa, ¿el ataque?”. Carles Solé ejerció de moderador en un intercambio de opiniones que arrancó el responsable de Seguridad de la Información de Renfe, Francisco Lázaro, que aludió a las dificultades que halla en su entidad: “Pasar una línea de banda ancha a tráfico limpio supone multiplicar por cuatro el coste y esto es un problema, igual que la dificultad de atajar ataques internacionales de redes bot”.

Por su parte, Francisco García Carmona, director de Seguridad de la Información y las Comunicaciones de Iberdrola, destacó la amenaza persistente de la Internet oculta, la que no perciben los proveedores de Seguridad TI, aunque no todos los peligros están fuera. “Desde dentro hay que empezar el cambio de conciencia porque hasta un 80% de los problemas se generan desde la propia organización”, explicó. “Tenemos mucha información, pero no la utilizamos de forma adecuada”.

La visión de las amenazas de Javier Santos, director de Ciberseguridad de KPMG, se fundamentó en su experiencia previa en la operadora ONO: “Las amenazas son mayores en volumen y en cantidad, por lo que necesitamos un entorno cada vez más colaborativo y si no compartimos información entre sectores no podremos hacer nada contra ellas”.

Marcos Gómez, subdirector de Programas del Instituto Nacional de Tecnologías de la Comunicación (Inteco), se refirió al tejido empresarial más pequeño y a los ciudadanos. ¿Cuáles son las principales amenazas que les pueden afectar? Para el directivo los “Zero Day” continúan preocupando mucho porque derivan en grandes robos de información confidencial. “Gigantes como Microsoft o Google han puesto sobre la mesa programas de recompensa para que los usuarios técnicos y no técnicos les ayuden contra las aplicaciones del mercado negro que permiten lanzas ataques “Zero Day”.

ParaMiguel Ángel Abad, jefe del Servicio de Ciberseguridad del Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC), la colaboración es un elemento esencial: “Necesitamos saber qué os está pasando (por las organizaciones presentes), necesitamos información para poder ayudaros, por ejemplo desde el CERT de Seguridad-Industria”. El portavoz del CNPIC manifestó que solo así será posible proponer mejoras y conocer aquellos ataques que no están aún tipificados.

Los invitados coincidieron en destacar los ciberejercicios impulsados por ISMS Forum e Inteco como una línea a seguir para lograr verdaderos avances, ya que permiten evaluar la capacitación de las organizaciones frente a amenazas reales y contrastar los resultados obtenidos respecto a ensayos anteriores.

Finalmente, el encargado de cerrar la jornada fue Julio Gómez Ortega, Senior Security Consultant de Telefónica, que compartió su experiencia ayudando a una pyme a resolver un serio incidente de seguridad. La empresa en cuestión había dado lugar a que se clonasen las tarjetas de crédito de sus clientes, generando así un problema especialmente a un gran banco. Aquí comenzó un trabajo exhaustivo por parte de Telefónica, para el que fue necesaria una transparencia total por parte de la pyme en la cesión de información (código fuente, logs, etc.).  “Hallamos inyecciones SQL que habían permitido acceder a las tarjetas, pero lo más sorprendente es que durante nuestro análisis forense identificamos que les seguían atacando”, relató Gómez Ortega. “Esto se debió a que el principal banco afectado les había estado auditando sin su consentimiento, motivo que impidió a la entidad sancionarles”. Finalmente, el banco alcanzó un acuerdo con la pyme para ayudarles a adoptar el estándar PCI para medios de pago, mientras que la pyme adoptó medidas específicas como la instalación de IDS o SIEM.

A modo de conclusión, de la ponencia y de la jornada, el experto abogó por la monitorización continua como la base de una sólida respuesta ante incidentes: “Si no se tiene la capacidad suficiente, lo más recomendable es externalizar estos servicios y confiar en las empresas que pueden aportar conocimiento”.