CyberSecurity
Especial Mobile Commerce Congress 2015
NEWS
Revista especializada en ciberseguridad. Ejemplar gratuito.
Nº0 abril 2018
¿Cómo ha cambiado el sector de la ciberseguridad en el último año?
Javier Candau, Jefe del Departamento de Ciberseguridad del CCN-CERT
Alberto Hernández, Director General de INCIBE
Juan Cobo, CISO de FERROVIAL
Los usuarios de tu empresa...
¿Saben detectar y evitar ciberamenazas? ¿Tienen nociones básicas de GDPR? Entrena a tus usuarios con los cursos on-line SafeUser para aumentar su Concienciación en Seguridad Digital SafeUser te ayuda a reducir los riesgos derivados del phishing, ransomware y otras vulnerabilidades que dependen de la Formación en Seguridad Digital de los usuarios de empresas y organizaciones.
CURSOS DISPONIBLES Phishing y Ransomware Passwords Navegación Segura Public Wifi Seguridad Redes Sociales Seguridad en el Móvil GDPR nivel básico Ficheros en la Nube
Prueba ahora un curso SafeUser: https://safeuser.com/test/
BARCELONA · Rambla Iberia, 97 · Sabadell
MADRID · Calle Sta. Leonor, 65
MIAMI · Brickell City Centre 78 SW 7th Street
3
Editorial
V
CyberSecurity News: Nace un nuevo medio especializado en ciberseguridad
iajemos atrás en el tiempo. Exactamente un año desde que suscribo estas palabras (finales de abril). Eso es, justo antes de Wannacry y NonPetya. Para quien vive inmerso en el día a día de este sector tan vibrante y cambiante, quizás poco o nada haya cambiado: el sector sigue el frenético e imparable ritmo que maneja desde hace décadas. O quizás sí. La lectura más profunda que se puede hacer de la repercusión de los malwares más famosos de 2017 fue la injerencia de los medios de comunicación; uno tras otro haciéndose eco - casi en constante 24 horas, como si de unos comicios se tratara – de algo que parecía ser el preludio del fin del mundo. No fue para tanto: apenas 100.000$ ‘ransonizados’ y unos cuantos (millones) de equipos y dispositivos parcheados. La peor parte se la llevaron quienes les tocó “pringar” las 48 horas de aquel fin de semana. Más allá de si fue una prueba de concepto, y en el aire queda si algo peor está por llegar (110% seguro), la “democratización” que supuso su cobertura mediática ha cambiado bastante el panorama de la ciberseguridad: ya no es cosa de unos pocos, sino que poco a poco, muchos empiezan a ver la ‘cosa’ con ojos más considerados. Hoy en día el sector de la ciberseguridad mueve en España cerca de 1.200 millones de euros, apenas la punta del iceberg de lo que será este segmento en los próximos años. Según estimaciones de la revista Business Insider en el lustro entre 2015 y 2020 el tamaño del mercado de la ciberseguridad en todo el mundo se duplicará, pasando de 75.000 millones de dólares a 150.000 millones de dólares; esto supone una velocidad de crecimiento anual del 20%, algo fascinante y positivo para cualquier sector, pero que en la ciberseguridad CYBERSECURITY NEWS Edita: Digital Tech Communications Group S.L. C/ Núñez Morgado, 5 (local) 28036 MADRID CIF: B87917563 Depósito legal: M-11022-2018 www.cybersecuritynews.es info@cybersecuritynews.es
se torna todo un reto si atendemos al por qué de semejante crecimiento. Coches conectados, Wearables, Smart TV’s, Internet de las Cosas… toda una nueva oleada de dispositivos inteligentes empieza a entrar con velocidad absurda – como en aquella escena de la película que parodiaba a su hermana mayor “La loca historia de las Galaxias” - en nuestras vidas. Internet para todo, para mejorar nuestra calidad de vida dicen los fabricantes y marcas. Pero también nuevos crack-points donde la ciberdelincuencia puede tener un nuevo modelo de negocio que explorar. Y es aquí donde reside el reto para el sector, parchear y crear estándares de seguridad para esta nueva era del Internet de las Cosas y la Inteligencia Artificial. Estas páginas que tienes en tus manos forman el primer número de la revista CyberSecurity News, un nuevo medio de comunicación especializado en Ciberseguridad y Fintech que nace con el objetivo de informar de todo lo que acontece en el sector. Pero no solo informar, sino también con la premisa de formar a todos los profesionales y nuevos profesionales comprometidos con un sector en constante evolución y aprendizaje como es este de la ciberseguridad. Para ello ponemos a disposición de nuestros lectores un portal de noticias con información de actualidad, entrevistas, casos de éxito, nuevas soluciones, etc., al que acompaña esta revista en edición tanto impresa como digital, y a la que se sumarán eventos profesionales ¡y mucho más!
.
Samuel Rodríguez Socios directores: Pedro Pablo Merino y Samuel Rodríguez. Redactor Jefe: José Luis Arcángel. Redactores: Mónica Gallego. Álvaro Gutiérrez, Laura Quelle y Vicente Ramírez. Relaciones Públicas: Angie Parra. Director Comercial: Luis Rincón. Publicidad: luisrincon@cybersecuritynews.es
CyberSecuritynews | Abril 2018
4
Sumario 06. Ten Topics
Los cinco hackers más buscados por el FBI
36
8
08. En Portada
Javier Candau, Jefe del Departamento de Ciberseguridad del CCN-CERT 12. En Portada
Alberto Hernández, Director General de INCIBE 15. Reportaje
Cybersecurity Ventures de INCIBE
24
22. Entrevistas
Miguel Juan, CEO y Co-Fundador de S2Grupo 24. Entrevistas
David González, jefe de ventas y marketing de G+D Mobile Security Iberia 26. Entrevistas
Félix Muñoz Astilleros, Director General de InnoTec System
40
42
29. Entrevistas
Juan Cobo, CISO de FERROVIAL 32. Informe
Economic Impact of Cybercrime-No Slowing Down 34. Krack Attack
Deepak Daswani, experto en Hacking & Ciberseguridad 36. Web Oscura
34
12 37
¿Conoces la diferencia entre Dark Web y Deep Web? 37. Web Oscura
La cara más oculta de Internet 38. Cyberterrorismo & Telegram
Carlos Seisdedos, Analista de Inteligencia y experto y ciberseguridad 40. Fintech
World Fintech Report 2018 42. Blockchain
Jorge Lesmes Head of Blockchain de Everis Banking Practice en UK
22 29 CyberSecuritynews | Abril 2018
La protecciรณn digital mรกs completa del mercado Ayudamos tanto a empresas como a pymes a prevenir amenazas y a poner soluciรณn a los ciberataques que puedan llegar a poner en riesgo la viabilidad de un negocio.
91 121 16 00 dpto.comercial@cpp.es www.cpp.es
6 Ten Topics
Los cinco hackers más buscados por el FBI El cibercrimen es algo que con la llegada de Internet, la proliferación de las nuevas tecnologías y los dispositivos conectados, no ha parado de crecer. De hecho, el cibercrimen mueve hoy en día ya más dinero que el tráfico de drogas. Solo el tráfico de armas y de personas le supera. Así lo destacaba el Ministerio del Interior en un estudio. Hoy en día, y únicamente a través de un click, los delincuentes pueden robar millones de dólares, datos personales, extorsionar e incluso suplantar identidades, con los beneficios considerables que todo eso conlleva. El FBI tiene actualmente un website en el que informa de los hackers más buscados de todo el mundo, llegando a ofrecer suculentas recompensas, como la que ofrecen por Evgeniy Mikhailovich Bogachev, el cibercriminal más buscado del mundo; 3 millones de dólares. Éstos son algunos de los más buscados.
#01. Texto: Pedro
Pablo Merino Mikhailovich Bogachev. Bogachev es un ciudadano ruso de
34 años, que bajo los seudónimos “lucky12345” y “slavik”, es buscado por el FBI por su presunta participación en una organización que instaló, sin autorización, un software malicioso denominado “Zeus” en ordenadores. Con ello, pudieron capturar números de cuentas bancarias de sus víctimas, contraseñas, números de identificación personal, así como otras informaciones necesarias para iniciar sesión en cuentas online. La recompensa por su localización es de 3 millones de dólares, aunque parece algo complicado, ya que vive, según el New York Times, en Anapa, una ciudad turística del Mar Negro, y como no hay convenio de extradición entre EE.UU. y Rusia, no pueden extraditarle. En Anapa disfruta de una buena vida y de una de sus aficiones: la navegación. Y es que posee un imponente yate, en el que surca el Mar Negro. Posee además de un apartamento cerca de la costa y se pasea en coches de lujo, entre los que se encuentran un Jeep Grand Cherokee, según el diario, que indica que tiene además mujer y dos hijos. Poco más se sabe de él.
CyberSecuritynews | Abril 2018
7
Ten Topics
#02.
Alexey Belan. Alexey Belan es un joven nacido en Letonia en 1987 aunque
también tiene ciudadanía rusa. Habla ruso y puede viajar dentro de la propia Rusia, además de haber sido visto en Grecia, Letonia, las Maldivas y Tailandia. Su última ubicación conocida fue en Krasonar, Rusia. Alexsey Belan ha sido acusado tres veces por delitos relacionados con intrusiones informáticas. Según el FBI, desde enero de 2014, y hasta diciembre de 2016, Belan conspiró con oficiales de inteligencia rusos para obtener acceso no autorizado a redes de computación y cuentas de usuario alojadas en las principales compañías que brindan servicios de webmail y de Internet situadas en diferentes lugares de EE.UU. El 28 de febrero de 2017, un Tribunal de Distrito de los Estados Unidos emitió una orden de arresto federal contra Belan, basado en una acusación contra él por conspirar para cometer fraude informático y abuso; acceder a ordenadores sin autorización con el propósito de obtener ventajas comerciales y ganancias financieras privadas; dañar un ordenador a través de la transmisión de código y comandos; espionaje económico; robo de secretos comerciales; fraude de dispositivos de acceso; y fraude electrónico.
CONSPIRACY TO COMMIT COMPUTER INTRUSIONS; CONSPIRACY TO COMMIT WIRE FRAUD; COMPUTER FRAUD - UNAUTHORIZED ACCESS FOR PRIVATE FINANCIAL GAIN; WIRE FRAUD; AGGRAVATED IDENTITY THEFT
Gholamreza Rafatnejad
Ehsan Mohammadi
Sajjad Tahmasebi
Seyed Ali Mirkarimi
Mohammed Reza Sabahi
Abdollah Karima
Roozbeh Sabahi
Mostafa Sadeghi
Abuzar Gohari Moqadam
CAUTION On February 7, 2018, a grand jury sitting in the United States District Court for the Southern District of New York, indicted nine Iranian nationals for their alleged involvement in computer intrusion, wire fraud, and aggravated identity theft offenses. As alleged in the indictment, the men were involved in a scheme to obtain unauthorized access to computer systems, steal proprietary data from those systems, and sell that stolen data to Iranian customers, including the Iranian government and Iranian universities. Each individual was a leader, contractor, associate, hacker for hire, or affiliate of the Mabna Institute, a private government contractor based in the Islamic Republic of Iran that performed this work for the Iranian government, at the behest of the Islamic Revolutionary Guard Corps. Victims of the scheme included approximately 144 universities in the United States, 176 foreign universities in 21 countries, five federal and state government agencies in the United States, 36 private companies in the United States, 11 foreign private companies, and two international non-governmental organizations.
#03.
Iranian Mabna Hackers. El 7 de febrero de 2018, un jurado del
Tribunal del Distrito sur de Nueva York en los Estados Unidos acusó a nueve ciudadanos iraníes por su presunta participación en intrusiones informáticas, fraude electrónico, y delitos de robo de identidad agravados. Según el FBI, y tal y como se alega en la acusación formal, los hombres buscados participaron presuntamente en un plan para obtener accesos no autorizados a sistemas informáticos, robar datos de esos sistemas y vender esos datos robados a clientes iraníes, entre los que se encontrarían el propio gobierno y universidades.
#04.
Nicolae Popescu. Nicolae Popuescu nació en Alexandria, Ruma-
nia, en el año 1980. Mide 1,78m y pesa 85 kg. Se busca a Nicolae Popescu por su presunta participación en un sofisticado plan de fraude por Internet mediante el cual unos conspiradores pertenecientes a una empresa delictiva, radicados en Rumania y en otras partes de Europa, publicaron anuncios para vender mercancía en sitios de subastas online. Dichos anuncios contenían imágenes y descripciones de vehículos y otros artículos en venta que en realidad no existían. Los conspiradores, que se hacían pasar por vendedores, luego negociaban por medio de correo electrónico con compradores desprevenidos que se encontraban en los Estados Unidos. Estos “vendedores” les enviaban facturas fraudulentas, que aparentaban ser de servicios legítimos de pago online, a los compradores víctimas con instrucciones para que hicieran pagos a las cuentas bancarias de otros conspiradores en los Estados Unidos. Estos abrieron cuentas bancarias en los Estados Unidos con identidades falsas utilizando pasaportes falsos hechos en Europa por otros conspiradores. Cuando las víctimas realizaban la transferencia electrónica de dinero a una cuenta identificada en las facturas fraudulentas, se le informaba al conspirador asociado a esa cuenta y luego ese individuo retiraba el dinero y lo enviaba por medio de una transferencia electrónica a otro, según instrucciones enviadas por correo electrónico. El Tribunal Federal de Distrito para el Distrito Este de Nueva York en Brooklyn, Nueva York, dictó una orden de arresto contra Nicolae Popescu el 20 de diciembre de 2012 luego de que se le acusara, por medio de una acusación formal, de conspirar para cometer fraude electrónico, lavado de dinero, fraude de pasaportes y tráfico de marcas de servicios falsas; y de fraude electrónico; lavado de dinero; fraude de pasaportes y tráfico de marcas de servicios falsas
THESE INDIVIDUALS SHOULD BE CONSIDERED AN INTERNATIONAL FLIGHT RISK If you have any information concerning this case, please contact your local FBI office, or the nearest American Embassy or Consulate. Field Office: New York
Iranian-9-criminals-Wanted8.5x11.indd 1
www.fbi.gov
2/13/18 2:04 PM
#05.
Firas Dardar. Firas Dardar es un ciudadano nacido en la ciudad
de Homs, Siria, en el año 1989 y es buscado por su presunta participación junto al Syrian Electronic Army (SEA), un grupo de individuos que supuestamente cometieron hackeos en apoyo del régimen sirio. Se alega que entre septiembre de 2011 y enero de 2014, Dardar cometió docenas de ciberataques contra agencias del gobierno de los Estados Unidos, medios de comunicación y organizaciones privadas bajo el manto del SEA mientras utilizaba el apodo online, “The Shadow”. El 12 de junio de 2014, se presentó una denuncia penal en el Tribunal de Distrito de los Estados Unidos, Distrito Este de Virginia, Alexandria, acusando a Dardar de conspirar para violar numerosas leyes relacionadas con la comisión de intrusiones informáticas. Además, Dardar también es sospechoso de ser responsable de una serie de esquemas de extorsión cibernética dirigidos a una variedad de empresas estadounidenses e internacionales. El 29 de septiembre de 2015 se presentó una demanda penal por separado que acusa a Dardar de estos esquemas de extorsión cibernética. CyberSecuritynews | Abril 2018
8 Cybersecurity News Magazine / En Portada: CCN-CERT
“El mayor problema es cuando se paga en el mercado negro hasta 1.500.000 dólares por encontrar vulnerabilidades” El CCN-CERT es la Capacidad de Respuesta a Incidentes de Seguridad de la Información del Centro Criptológico Nacional (CCN). Este servicio se creó en el año 2006 como el CERT Gubernamental/Nacional español. Entrevistamos a Javier Candau, Jefe del Departamento de Ciberseguridad de esta entidad. Texto: Samuel
Rodríguez
Cybersecurity News (CSN): Enhorabuena por la parte que le toca en la detención del famoso Denis K… ¿Qué rol ha podido jugar su institución? Javier Candau (JC): El CCN-CERT
no participa en estas acciones, que son responsabilidad de las Fuerzas y Cuerpos de Seguridad del Estado (FCSE). Sí que hace dos años, durante la campaña de Carbanak, estuvimos muy involucrados y analizamos muchas muestras de este malware. Ahora hay otra campaña en curso, asociada a un grupo llamado COBALT GAN en la que si se ha realizado una alerta a todo el sector bancario para avisar de una posibilidad de ataques inminentes. Muchos nos preguntan si está asociada con la detención de Denis K., pero no tienen nada que ver.
CSN: Queda menos de un mes para la llegada del famoso GDPR. ¿Qué nivel de preparación observa que existe en España? ¿Qué herramientas ofrece el CCN-CERT en este sentido? JC: Se trata de un Reglamento, es
decir, no es necesaria una Ley para transponerla. Aun así, desde la AEPD se está promoviendo la publicación de una Ley Orgánica que en un punto aclare la nueva Regulación de Protección de Datos de la Unión Europea. Esta Regulación cambia bastante el concepto, ya que en la antigua LOPD de 1999 se establecía la obligación de declarar una serie de ficheros en los que se encuentran los datos de los usuarios, así como el tratamiento que iban a recibir CyberSecuritynews | Abril 2018
Javier Candau, Jefe del Departamento de Ciberseguridad del CCN-CERT
tales ficheros. Además, había una serie de medidas a aplicar en función del nivel de riesgo de estos datos (alto, medio o bajo). Con la nueva Regulación de la UE, deberemos asegurar que nuestro sistema protege adecuadamente los datos personales de los usuarios. Hay dos tipos de tratamientos, simples y complejos, que se determinan en función de un análisis
previo. En función de ello, la Regulación exige una serie de herramientas de protección a implementar necesariamente. La GDPR se inspira mucho en el ámbito del derecho anglosajón, por la cual se trata de una responsabilidad proactiva y demostrable, es decir, que la empresa responsable de esos ficheros, debe proteger los datos y posteriormente
10 Cybersecurity News Magazine / En Portada: CCN-CERT demostrar que estaban adecuadamente protegidos si sufre algún incidente. Otro de los aspectos que cambian son las sanciones: muchísimo más duras con la nueva normativa especialmente en los incidentes graves. Como novedad, también estaremos obligados a notificar las quiebras de seguridad a la Agencia de Protección de Datos. Esto se solapa con la nueva Directiva de Seguridad de Redes de la Unión Europa (Directiva NIS), que sí necesita una Ley de Transposición que deben aprobar los parlamentos (en España también en mayo de 2018). Esta Directiva NIS también obliga a notificar quiebras de seguridad a la Autoridad competente correspondiente. Desde el CCN-CERT hemos lanzado la versión 7 de PILAR, nuestra herramienta de análisis de riesgo gratuita para las Administraciones Públicas. Con esto conseguimos que los organismos que estén cumpliendo el ENS también tengan recorrido para demostrar cumplimiento de protección de datos personales. El sector privado también puede adquirir la herramienta y utilizar el esquema nacional de seguridad como el conjunto de medidas de seguridad a aplicar en los sistemas. Durante 2018 vamos a iniciar una campaña para ayudar a algunos Ayuntamientos a cumplir en materia de ENS y GDPR – como proyecto piloto – y todo lo que aprendamos en esta experiencia será publicado para ayudar a los Ayuntamientos, CCAA y la Administración General del Estado (AGE). CSN: Casi un año después, ¿cómo ha cambiado el país y el sector desde entonces? JC: Es cierto que los poderes públicos
se han sensibilizado mucho más. No fue solo Wannacry, fue primero Struts al que siguieron Wannacry y NonPetya, más los ataques alrededor de la Operación Cataluña. No es que hicieran excesivo daño, pero sí han sensibilizado mucho. Precisamente en nuestro congreso anual, inaugurado por la Vicepresidenta del Gobierno, Soraya Sáez de Santamaría, se anunció la creación del Centro de Operaciones de Ciberseguridad de la Administración General del Estado para ser todavía más proactivos. La Directiva NIS también se ha hecho eco de todo esto, y define mucho en nuestra Ley de Trasposición los CERT que van a ser referencia en caso de incidentes críticos. CyberSecuritynews | Abril 2018
“Estábamos ante una vulnerabilidad muy grave que se recrudeció cuando el grupo Shadow Broker decide hacer pública la vulnerabilidad, ampliando a cualquier individuo o grupo hacer uso de ella” En definitiva, nos estamos estructurando y se ha potenciado un grupo llamando CSIRT que es un espacio que reúne a los CERT Públicos y Privados Nacionales para mejorar las comunicaciones directas y la respuesta conjunta en caso de incidentes de este tipo.
CSN: Infraestructuras críticas. Londres avisaba recientemente de que Wannacry era solo la punta del iceberg… que se esperaba a la vuelta de la esquina algo verdaderamente más grande. JC: No estoy muy de acuerdo en que
fuera una prueba de concepto. Lo que sí es cierto es que en Wannacry se repitió lo mismo que sucedió en Struts. En enero de 2017 se produce una vulnerabilidad que permitía escalar privilegios utilizando las librerías Struts dentro de los servidores Apache. Muchas administraciones públicas y empresas utilizan el servidor web Apache, por ser gratuito. Tenemos dos meses para parchear hasta el ataque de marzo de 2017. Cuando llega el ataque tenemos incidentes en casi 75 organismos. ¿Qué sucedió para no actualizar en esos dos meses? Alrededor de nuestro servidor web creamos aplicaciones que pueden tener 6 ó 7 años de antigüedad y que no
fueron desarrolladas con los actuales criterios de seguridad. Cada vez que se actualizaba Apache dejaban de funcionar estas aplicaciones que hacía el administrador. Se creía que esta vulnerabilidad no iba a ser un ataque masivo. Pero sí lo fue. El resultado es que estuvimos semanas parcheando como locos y aislando aplicaciones, que no podían actualizarse y, por supuesto, haciendo planes de migración. En el caso de Wannacry pasa prácticamente lo mismo, pero con una salvedad, las vulnerabilidades utilizadas son vulnerabilidades robadas a Estados. Según la prensa, el Grupo Shadow Brokers ataca a un servidor de la NSA y roba estas dos vulnerabilidades: DoublePulsar y EternalBlue, una de las cuales te permite desplegarte por la red sin ser detectado. Estábamos ante una vulnerabilidad muy grave que se recrudeció cuando el grupo Shadow Broker decide hacer pública la vulnerabilidad, ampliando a cualquier individuo o grupo hacer uso de ella. Cuando en marzo Microsoft dice que esta es una vulnerabilidad crítica no se fue realmente muy consciente de la necesidad de parchear o actualizar sí o sí. Y ese fue el fallo más grave que
11
Cybersecurity News / Javier Candau, Jefe del Departamento de Ciberseguridad del CCN-CERT todas las organizaciones y empresas afectadas tuvieron. Así como un ransomware que va dirigido al usuario final se explota con intención de recolectar dinero, en el caso de Wannacry era un ransomware que estaba muy mal preparado para recolectar y recuperar el dinero, pues solo tenía tres monederos, además fáciles de seguir. Iba a tener problemas para recoger el dinero. Al final solo se recogieron cerca de 100.000 euros. CSN: ¿No hay ninguna pista sobre esta persona u organización un año después? JC: Siempre se ha apuntado a
Hidden Cobra, un grupo de ataque posiblemente vinculado a Corea del Norte, pero tampoco se puede afirmar rotundamente, ya que el país más afectado fue China. La lógica al ser un grupo vinculado a este país es que EEUU y Europa hubieran sido las zonas más afectadas. Durante el fin de semana del 12 de mayo estuvimos generando la vacuna para este malware, analizando el código y ayudando al sector público a protegerse ante posibles infecciones. De hecho, solo tuvimos casos aislados que afortunadamente no se propagaron en los organismos afectados. CSN: Vulnerabilidades: están creciendo cada vez más. Inteligencia Artificial y más sofisticación de los hakers. ¿Qué respuestas hay contra ello? JC: Las vulnerabilidades son fallos en
el software que afectan prácticamente a cualquier tecnología. En el CCN-CERT tenemos un servicio de comunicación de vulnerabilidades en nuestro portal al que pueden acceder los usuarios. Estas son las fáciles, las que se pueden dar a conocer y que publican empresas como Google, Apple, Cisco, Microsoft, etc. Pero luego existen otro tipo de vulnerabilidades que son las peligrosas, las vulnerabilidades de Zero Day. Normalmente estas vulnerabilidades cuando son descubiertas por algún experto se ofrecen y se venden en el mercado negro, pudiendo su precio llegar a alcanzar los 1,5$ millones (una vulnerabilidad compleja de iPhone), mucho más dinero que el que ofrece al propio fabricante en sus programas de recompensas. Como mucho un fabricante puede llegar – y han subido mucho los precios – a ofrecer hasta 50.000$. En el caso de Wannacry, aunque se trataba de una vulnerabilidad de Zero
“El primer objetivo de ATENEA es detectar talento, saber dónde están esas personas capaces de resolver los retos propuestos, con el objetivo final de reclutar talento en materia de ciberseguridad para el CCNCERT o las administraciones públicas” Day se hizo pública. Lo primero que hay que hacer en estos casos es seguir las recomendaciones del fabricante y parchear las vulnerabilidades conocidas y después ver cómo mitigar las desconocidas (que son las minoritarias). CSN: ATENEA. ¿Es España una potencia a nivel ciberseguridad? ¿Existe una demanda de profesionales no atendida? JC: ATENEA es una plataforma que
permite un juego tipo ‘capture the flag’, con el que se presentan retos al usuario y este debe tratar de resolver. Es de uso libre, abierto al público y cualquiera puede afrontar los retos y conseguir una serie de puntos a cambio. Se trata del primer módulo de ATENEA, cuyo objetivo es convertirse para el sector público en una plataforma de entrenamiento y formación. En un futuro se irán desarrollando módulos, bien de forma interna o con acuerdos con empresas privadas para seguir evolucionando la herramienta. Actualmente tenemos unos 3.400 usuarios. El primer objetivo de ATENEA es detectar talento, saber dónde están esas personas capaces de resolver los retos propuestos, con el objetivo final de reclutar talento en materia de ciberseguridad para el CCN-CERT o las administraciones públicas. Actualmente hay 56 personas que han superado la barrera de los 3.000 puntos, y con quienes estamos en conversaciones para iniciar una colaboración que beneficie a ambas partes. Además, hay un ranking de unas 100 personas que apuntan buenas maneras y estamos fijándonos en ellos. CSN: Anticipando lo que pueda ser 2018 en materia de ciberseguridad, ¿qué novedades veremos en la agenda de la 12ª edición de las jornadas STIC CCNCERT? JC: Aún no lo sabemos. Justo ahora
sacaremos el call-for-papers para que
la gente empiece a proponer temáticas y ponentes para las jornadas. Nuestra intención es mantener el formato de 2017, y repetir el éxito de convocatoria que cada año lleva a más y más personas a participar en estas jornadas. En cuanto a la temática, creo que muchas irán al hilo de ataques a hardware (que ahora están en boga por el reciente ataque a los chips de Intel, AMD y ARM: Meltdown y Spectre) un vector de ataque bastante interesante. Por otro lado, hemos tenido campañas de ataques empleando malware, para minar criptomonedas, por lo que con total seguridad se incluirá en la agenda. CSN: Desde su propio punto de vista, ¿cuál diría a medio-largo plazo (próximos 5 años) que será el futuro del sector de la ciberseguridad en España? JC: Es un sector que crecerá bastante.
Lo vimos en 2017 y lo estamos viendo en 2018. Cada ataque que sucede es cada vez más mediático y aunque la palabra de moda en tecnología sea “Transformación Digital” también debe ser “Ciberseguridad”, ya que nos encontramos en una sociedad cada vez más digital donde el peso estratégico de las empresas (y Administraciones) se deposita en las redes. Y en la misma medida que toda esa información y datos están en la red, hay un gran valor añadido en proteger toda esa información. Hay que invertir tanto en ciberseguridad como se hace en seguridad física. Las páginas webs son vulnerables, acceder a los sistemas internos es sencillo y asequible para cualquier experto… Estar bajo una campaña de ataque te conciencia y las inversiones se irán incrementado 100% seguro. Habrá mucha demanda. Lo que no estoy seguro es de si tenemos ahora mismo oferta de calidad para toda esa demanda, tanto en tecnologías como en servicio y especialmente recursos humanos.
.
CyberSecuritynews | Abril 2018
12 CyberSecurity News Magazine / En Portada: INCIBE
“La ciberseguridad mueve alrededor de 80.000 MM$, mientras que su peso en España estaría en torno a los 1.200 MM€” INTECO (Instituto Nacional de Tecnologías de la Comunicación) es el antecesor del actual INCIBE. Fue creado hace 14 años. Es en 2012 cuando se decide orientar a INTECO de un ámbito más generalista hacia la ciberseguridad, para dos años después pasarse a denominar INCIBE. Entrevistamos a Alberto Hernández, Director General de INCIBE. Texto: Samuel
Rodríguez
Cyber Security News (CsN): ¿En qué se parece España en materia de ciberseguridad a día de hoy con respecto a hace un año, antes de los famosos ataques o incluso la detención de Denis K? Alberto Hernández (AH):
Efectivamente. Podríamos decir que las crisis de Wannacry o Petya, o incluso la noticia de la detención de Carbanak, han generado un nivel de conciencia CyberSecuritynews | Abril 2018
sobre ciberseguridad en nuestro país. La mayor parte de la sociedad ha asumido que la ciberseguridad es algo que nos concierne a todos y debemos ocuparnos en trabajar y entender cuáles son los riesgos cuando utilizamos la tecnología. De un año a esta parte, la conciencia de este problema se ha expandido en España en todos los ámbitos. CsN: INCIBE nace en 2012, 6 años de vida para el Instituto. ¿Cuáles han sido los hitos que han marcado el devenir de la agencia?
AH: En cuanto a los hitos que han
marcado el devenir de la institución, además de los ya mencionados, fue el establecimiento de tres pilares o áreas de actividad que marcan los estatutos de INCIBE. En primer lugar, la prestación de los servicios públicos de ciberseguridad a nuestros ciudadanos y empresas. Servicios que van desde la prevención y detección, hasta propia detención y gestión de incidentes de ciberseguridad.
13
Entrevista a Alberto Hernández, Director General de INCIBE En segundo lugar, utilizar nuestra capacidad técnica y de conocimiento, para desarrollar, junto con la industria de ciberseguridad, herramientas para que las fuerzas y cuerpos de ciberseguridad puedan luchar contra el cibercrimen. Por último, el desarrollo de la industria de la ciberseguridad, en línea con nuestro rol dentro del Ministerio de Energía y Turismo y Agenda Digital (MINETAD). Desarrollo entendido para facilitar el impulso de nuevas empresas y, por ende, de nuevos puestos de trabajo, así como fomentar el talento. CSN: ¿Cómo han visto crecer la demanda, tanto por parte pública como privada? ¿Hay más ofertas de empleo que demanda? AH: Según datos de la Comisión
Europea, el sector de la ciberseguridad está creciendo a nivel mundial a ritmos del 13%, situándose España también en ese 13%, un punto por encima de la media europea del 12%. Es decir, estamos en un sector con un crecimiento importante. De hecho, si miramos 3 años atrás en el tiempo, las expectativas de crecimiento estaban en torno a esta cifra. En cuanto a la cifra de negocio, a nivel mundial, el sector de la ciberseguridad mueve alrededor de 80.000 millones de dólares, mientras que su peso en España estaría en torno a los 1.200 millones de euros. Es un mercado con muchas oportunidades, pero es cierto que la necesidad de talento es una necesidad real. Estudios de la Comisión Europea sitúan en más de 1 millón de puestos de trabajo la demanda en el sector digital, la cual podría no estar cubierta. CSN: ¿Cuáles serían los países modelo a seguir en materia de ciberseguridad? AH: Cuando analizamos el ámbito
internacional hay que tener en cuenta la visión estratégica que pueda tener cada país en materia de ciberseguridad. Esa visión puede estar enfocada exclusivamente a la seguridad nacional, al ser objetivo de terceros. Además, otros países lo ven como un brazo generador de riqueza en cuanto a la creación de empresas exportadoras de servicios y que, a su vez, empresas nacionales tengan influencia en otros mercados, es decir, existen diferentes visiones de la ciberseguridad. En nuestro país, y de acuerdo con la estrategia de ciberseguridad nacional del año 2013, existe una visión que refleja la prioridad de estar protegidos
“Es un mercado con muchas oportunidades, pero es cierto que la necesidad de talento es una necesidad real. Estudios de la Comisión Europea sitúan en más de 1 millón de puestos de trabajo la demanda en el sector digital, la cual podría no estar cubierta” y que para ello, debemos trabajar internamente y en colaboración con el sector privado. También que la ciberseguridad es un asunto de todos y que debemos trabajar en la mejora de la cultura. Finalmente, la necesidad de colaboración internacional. CSN: ¿Cuántos ataques se gestionaron durante el pasado 2017? WannaCry o Petya, ¿los más mediáticos han sido los más peligrosos? AH: Desde el CERT de Seguridad e
Industria (CERTSI) que operamos desde INCIBE en cooperación con el Ministerio del Interior (en concreto con el CNPIC) gestionamos en 2017 un total de 123.064 incidentes de ciberseguridad. Wannacry y Petya son solo 2 incidentes dentro ese número total, aunque es cierto que han sido los incidentes más mediáticos. Pero si nos fijamos bien, Wannacry en concreto, es un incidente relacionado con un ransomware, es decir, un malware que pide un rescate al usuario. De este tipo, ransomware, resolvimos más de 2.000 incidentes desde INCIBE el pasado año. CSN: ¿Qué tipologías son las más comunes? AH: Fundamentalmente hay tres
tipologías de ataques. • Malware ransomware: ciberataques que tienen como objetivo cifrar ordenadores y pedir un rescate. De estos tenemos muchísimos cada año. • Malware relacionado con redes botnets: las botnets son malware que tienen como objetivo infectar el mayor número posible de ordenadores, pasando desapercibido durante el máximo tiempo posible, mientras roban información o lanzan ataques a terceros. Además, están controlados con un panel central que los controlan. Estos podrían constituir el 30% de los ataques que sufrimos en nuestro país.
• El otro 30% tienen que ver con
fraudes de todo tipo, siendo el más extendido el phishing, que es de sobra conocido; acciones por e-mail encaminadas a suplantar la identidad del usuario con fines económicos.
CSN: ¿En lo que va de 2018 cuántos incidentes se han solucionado? AH: Llevamos apenas un trimestre de
2018, y con datos cerrados de febrero, hemos gestionado ya 9.744 incidentes. Si podemos decir que en el año 2014, desde el CERTSI resolvimos unos 18.000 incidentes de seguridad; en 2015 en torno a 50.000 incidentes; en 2016 la cifra creció hasta los 115.000 incidentes, mientras que el pasado 2017, resolvimos desde el CERTSI más de 123.000. CSN: ¿A q se debe ese salto entre 2015 y 2016? AH: En primer lugar, porque realizamos
importantes inversiones para mejorar nuestras capacidades de detección. En segundo lugar, porque es cierto que están ocurriendo más cosas, hay más ataques y el negocio del cibercrimen es más lucrativo. Al mismo tiempo, cada vez tenemos más aparatos conectados (Internet of Things), lo que multiplica los puntos de acceso para los ataques. Otro aspecto importante es que cada vez más empresas y particulares confían en organismos como INCIBE para resolver este tipo de problemas. CSN: Y más trabajo que llegarán con el GDPR y la Directiva NIS… AH: Efectivamente. Más con la Direc-
tiva NIS, puesto que el GDPR son más datos de carácter personal, pero en muchos de los incidentes de ciberseguridad no se ha vulnerado la privacidad de los datos de carácter personal. Muchos de los ataques podrían ir orientados a ataques DDoS, extorsiones, fraudes, etc. En este tipo de incidentes, cuando afecten a servicios esenciales, CyberSecuritynews | Abril 2018
14 CyberSecurity News Magazine / En Portada: INCIBE la Directiva NIS obliga a notificar a las autoridades competentes. La buena noticia es que aunque esta obligatoriedad aún no existe (tendremos que esperar a que la transposición de la directiva se apruebe), nosotros estamos viendo un incremento en el número de notificaciones que los operadores de servicios esenciales nos están trasladando en los últimos años. CSN: Casi un año después, ¿cómo recuerda aquellas 48 horas del famoso Wannacry? AH: Fueron muy intensas y muy
estresantes en muchos momentos. Fundamentalmente porque el incidente estaba más en los medios de comunicación que en la realidad. No solo había que coordinarnos entre todos los organismos públicos que trabajamos en ciberseguridad; sino coordinarnos e intercambiar información con todas las empresas de ciberseguridad que estaban trabajando en esta crisis, así como los propios operadores estratégicos. Al mismo tiempo, teníamos que tener la capacidad de reportar e informar a la sociedad pública a través de los medios de comunicación para que los propios usuarios pudieran resolver posibles problemas y estar protegidos. En esas 48 horas, desde INCIBE, atendimos más de 50 entrevistas. CSN: Con la perspectiva del tiempo, ¿cree que aquel ataque pudo ser una prueba de concepto, que hay más por llegar y mucho más peligrosos? AH: La ciberseguridad no ha empezado
con Wannacry o Petya. En los últimos 18 años (desde el año 2000) se han producido decenas de millones de ataques en todo el mundo y muchísimos más graves que los comentados. Recuerdo como uno de los más graves, uno sufrido por Estonia que durante varias semanas tuvo a gran parte del sistema financiero bloqueado por hackers; tuvo un impacto bastante considerable a nivel país. De esto ya han pasado 11 años. Wannacry y Petya generaron mucha alerta social, pero con impacto mínimo. Si miramos el ranking de países afectados por el Wannacry, España está por debajo del número 20. Otro incidente grave y que tuvo menor recorrido social, fueron los acaecidos en Ucrania en 2015, donde miles de personas se quedaron sin acceso a la energía eléctrica durante varias horas por un incidente de ciberseguridad. O el sabotaje producido en Australia con el CyberSecuritynews | Abril 2018
“Llevamos apenas un trimestre de 2018, y con datos cerrados de febrero, hemos gestionado ya 9.744 incidentes” vertido de aguas residuales que desembalsaron de forma no autorizada, o el descarrilamiento de tranvías en Polonia, cuando un chico de 14 años, modificando un simple mando de TV, hizo que cambiaran las traviesas de las vías, provocando múltiples accidentes. ¿Qué es lo que se espera de aquí en adelante? El ciberespacio se ha convertido en un espacio más en el que nos relacionamos y accedemos a los datos, lo que hace cada vez más atractivo este tipo de delitos por “simetría”, es decir, conseguir impactos muy grandes con poco esfuerzo. CSN: Málaga será el escenario del próximo CyberCamp. ¿Qué esperan en esta edición? AH: Es la quinta edición del evento.
Las dos primeras se hicieron en Madrid, la siguiente en León y la cuarta en Santander. El objetivo de Cybercamp es acercar la ciberseguridad a las familias y los jóvenes talentos. Se trata de un evento que pretende ir por todos los rincones de nuestro país, acercando de una forma lúdica y amigable la ciberseguridad a todos los colectivos de la sociedad. Esta quinta edición en Málaga esperamos que tenga una buena acogida por todo el mundo en general y que los ciudadanos puedan aprender jugando en talleres a estar más protegidos en Internet. Además, que los jóvenes talentos sientan más curiosidad por orientar su vida profesional a este sector, que tendrá muchas salidas y un horizonte profesional muy bueno.
.
15
CyberSecurity News Magazine / CYBERSECURITY VENTURES by INCIBE
74 candidatos, un jurado y 120.000€ en premios; así fue el último Cybersecurity Ventures de INCIBE Los diez proyectos finalistas del programa Aceleradora Internacional de start-ups en Ciberseguridad ‘Cybersecurity Ventures’ se dieron cita el pasado mes de febrero en Madrid para presentar sus iniciativas empresariales ante inversores, empresas e instituciones públicas, en el ‘Demo Day’, un evento que puso el broche final al programa ‘Cybersecurity Ventures’ que desarrolla el Instituto Nacional de Ciberseguridad (INCIBE) con el objetivo de incentivar el desarrollo de nuevas empresas de base tecnológica en el ámbito de la ciberseguridad.
D
Texto: Samuel
Rodríguez
urante cuatro meses este programa de aceleración ofreció apoyo intensivo a diez empresas de reciente creación (de un total de 74 candidatos presentados) para que pudieran madurar sus negocios, atraer inversiones y captar clientes, todo ello a través de la formación, mentorización y networking con inversores y empresas. Durante el Demo Day, las 10 start-ups finalistas tuvieron ocasión de presentar sus propuestas ante un jurado compuesto por representantes de fondos de inversión, grandes corporaciones e instituciones públicas que valoraron el grado de innovación y ventaja competitiva, la identificación del mercado objetivo, el
modelo de negocio y escalabilidad, la tracción comercial actual y futura, y la adecuación del equipo promotor para la consecución de hitos futuros. El director general de INCIBE, Alberto Hernández, ha destacado la importancia de la aceleradora de empresas para convertir a España en un país innovador a nivel europeo e internacional y ha recordado el compromiso del Instituto Nacional de Ciberseguridad con los emprendedores de empresas con base tecnológica y con la captación y promoción de talento en ciberseguridad. Además, Hernández ha aprovechado la ocasión para agradecer el compromiso de las 36 entidades que han apoyado el programa de la aceleradora.
Las start-ups seleccionadas han ganado premios por un valor total de hasta 120.000€ para lo que su iniciativa necesite. El proyecto ganador fue Smartfense, que se llevó – además del reconocimiento – un premio de 34.000 euros. En segundo lugar quedó el proyecto Dinoflux ha (24.000 euros) y cerró el podio la iniciativa empresarial Kymatio (dotado de 20.000 euros). Entre el resto de proyectos finalistas se encuentran Syneidis, Securekids, Dualogy Security, Newraers, Ensotest, Keyn etic y Ironchip. Cada una de estas iniciativas ha recibido un premio de 6.000 euros. En este reportaje,
conoceremos más sobre algunos de ellos.
.
CyberSecuritynews | Abril 2018
16 CyberSecurity News Magazine / Reportaje Cybersecurity Ventures de INCIBE
And the winner was… Smartfense Smartfense es una empresa con origen en Argentina, pero ahora erradicada en León. No con muchas esperanzas – nos cuentan - se presentaron al concurso celebrado por INCIBE. Quedar entre los 10 finalistas ya era una sorpresa para ellos. Pero una vez en la final, viéndose en el ‘Demo Day’ en Madrid fueron a por todas y ganaron. Conocemos más de Smartfense con su CEO y fundador, Mauro Graziosi. Texto: Samuel
Rodríguez
CyberSecurity News (CSN): ¿Qué es SMARTFENSE y con qué objetivo se crea? Mauro Graziosi (MG): SMARTFENSE
nace cuando yo era Responsable de Seguridad de la Información de una organización de 5.000 empleados. Como responsable también de concienciación a los empleados en materia de Seguridad, me di cuenta de que era totalmente inviable hacerlo vía presencial por el volumen de trabajadores. Cuando salimos en búsqueda de herramientas que nos ayudasen en este desafío, vimos que eran demasiado académicas, no estaban pensadas para empresas. Buscamos proveedores globales que satisficieran esta demanda, pero tampoco encontramos nada que se adecúe, CyberSecuritynews | Abril 2018
principalmente por la barrera idiomática y cultural. Tratamos de adaptar alguna, pero al ser muy estructuradas no permitían mucho grado de cambio. Esto nos llegó a la conclusión de que había que hacer una plataforma ‘ad hoc’ totalmente desde cero. CSN: ¿Por qué concienciar a los usuarios finales? MG: Las principales amenazas de hoy
en día ya no están afectando tanto a los aspectos técnicos (ya protegidos por las empresas, en los que se vienen invirtiendo mucho desde hace años), sino al usuario final, precisamente en quienes los hackers encuentran mayores brechas de seguridad. Estas nuevas amenazas, por tanto, suponen el mayor riesgo y nuestro principal target. CSN: ¿Habéis contado siempre con financiación propia o inversores terceros?
MG: Al detectar esta necesidad en el
mercado nos juntamos los 3 socios fundadores y decidimos romper con nuestra entonces vida laboral para dar vida a este proyecto; eso sí, con un emprendimiento previo que nos sirvió como generador de recursos económicos para poder alimentar el proyecto SMARTFENSE, que necesitaba de más recursos. El siguiente punto de inflexión en el aspecto financiero de la compañía en su fase inicial vino por ayudas oficiales del Gobierno de Argentina, que nos permitió empezar a generar una cartera de clientes y tirar por nuestra cuenta. El programa de aceleración CYBER SECURITY VENTURES de INCIBE llega justo en ese instante, cuando comenzamos a acariciar el break even. En breve abriremos una ronda de inversión para apalancar la empresa, ya que
17
CyberSecurity News Magazine / Proyecto SMARTFENSE contamos con un track record suficiente para ser atractivos para ello y con un grado de madurez acorde al estadío de la empresa. CSN: Números. ¿Cuál fue el volumen de facturación en 2017? ¿Países en los que están presentes? ¿Cartera de clientes? MG: En 2017, nuestro primer
año comercializando el producto, alcanzamos unos 55.000 $ de facturación, con una cartera de 8 clientes que actualmente ha engrosado hasta pasar a los 13. La compañía opera en Argentina y desde hace ya unos meses en España. CSN: ¿Cuál es el perfil de vuestros clientes? MG: En lo referente a tipología de
industrias, SMARTFENSE puede considerarse transversal en su target: contamos con clientes y prospectos clientes en sectores como energía, seguros, manufacturas, salud, empresas de tecnología o incluso de ciberseguridad. No hay un segmento en particular, pero entendemos más que la herramienta se adapta más y es más afín a sectores como la banca o seguros, es decir, aquellas organizaciones mayormente reguladas. En definitiva, organizaciones de medianas a grandes con más de 200 empleados de oficina (200 en el caso de mercados más maduros, como en España, mientras que 1.000 empleados en el caso de nuestra matriz Argentina). A ellos llegamos a través de nuestra red de canales comerciales,
que son mayoristas, resellers e integradores.
CSN: Los recientes ataques mundiales como WannaCry o Petya… también han sido positivos para vosotros… MG: Si, en tanto que al final se
demuestra que las soluciones de ciberseguridad siguen siendo complementarias. Evidentemente queremos que aumente el nivel de concienciación entre los profesionales de la industria, los directivos y cualquier usuario final. CSN: ¿Qué solución plantea SMARTFENSE? MG: Nuestra plataforma se enfoca en
modificar los hábitos de los usuarios o generar hábitos seguros, que integra la parte de formación, concienciación y evaluación de esos dos aspectos. De hecho, la evaluación a través de simulaciones de phishing y ransomware es una de nuestras herramientas más aplaudidas. Todo esto entregado desde una interface sencilla y flexible para que en minutos se puedan programar todas las acciones anuales. Las métricas y registros de auditoría son también un factor de peso en nuestra solución, tanto sea por aspectos de auditoría o de seguimiento de la evolución de hábitos. CSN: ¿Cree que el nivel de concienciación de los usuarios es baja? MG: Hoy en día el usuario tiene
desconocimiento sobre lo que tiene que saber. Es doblemente ignorante, por así decirlo. Muchas veces no llega
información en el formato curado que éste lo requiere, sino que le llega información demasiado técnica que descarta por que no sabe qué hacer con ella. Encontramos que los usuarios y todas las personas a las que llegamos están interesados en saber cómo proteger su información, no tanto así en conocer las políticas de su organización. Es por eso que nuestro contenido se basa en explicar el porqué de estas buenas prácticas y que aplicarlas no sólo será beneficioso para la organización, sino también para ellos mismos en otros ámbitos. CSN: ¿Objetivos a medio/largo plazo? MG: El segmento de negocio de
SMARTFENSE se identifica claramente en un estudio de mercado reciente de la consultora Gartner. Sabemos también quiénes son nuestros competidores globales, e incluso que dos de ellos en particular, acaban de realizar un Exit (venta de la compañía) por un valor de 225 millones de Dólares en un caso y los 400 millones en el otro. Nosotros nos vemos como líderes dentro del Mercado Latinoamericano, mientras que en Europa nos enfocamos más a los países del arco sur : Italia, Francia, España y Portugal. Nuestro enfoque es hacia el cambio del comportamiento del usuario, con una visión empresarial, dándole al responsable de seguridad una herramienta sencilla y flexible que le permita gestionar este recurso de forma elegante.
.
CyberSecuritynews | Abril 2018
18 CyberSecurity News Magazine / Reportaje Demoday de INCIBE sobre Kymatio
Conociendo a Kymatio En la edición 2017-2018 de la prestigiosa aceleradora internacional CyberSecurity Ventures del Instituto Nacional de Ciberseguridad (INCIBE) se han presentado 76 proyectos de ciberseguridad, siendo Kymatio seleccionado por el jurado como uno de los ganadores de la edición con clasificación #top3. Conocemos más sobre este proyecto de la mano de su CEO, Fernando Mateus. Texto: Samuel
Rodríguez
Cybersecurity News (CSN): ¿Qué es Kymatio y cómo comienza su andadura? Fernando Mateus (FM): Somos un
equipo de profesionales en los que una parte importante desarrolla su actividad en el ámbito de la ciberseguridad. En nuestro desempeño habitual identificamos la necesidad, por lo que el origen de la idea está en nuestro día a día asistiendo a problemáticas vistas en diferentes proyectos y clientes. En nuestro enfoque de proyecto se puede encontrar tanto la pasión por la neurociencia y la psicología aplicadas como nuestra visión tecnológica para el tratamiento de las distintas problemáticas. Ahora que las tecnologías de aprendizaje automático y Big Data pueden considerarse democratizadas, la diferenciación viene de la base que sustenta el proyecto, y en nuestro caso es una potente algoritmia basada en estudios científicos y de campo que después hace uso del Machine Learning. CSN: ¿Qué servicios ofrecen y cuál es su target al que van dirigidos? FM: Kymatio es una plataforma de
ciberseguridad para la prevención del riesgo de origen interno (Insider). Insider es aquel empleado, ex empleado, subcontratado u otras terceras partes CyberSecuritynews | Abril 2018
que, por la naturaleza de su trabajo, dispone de acceso a los activos de la empresa. El insider tiene el potencial de hacer un uso indebido de dicha capacidad. De acuerdo con IBM, el 60% de los incidentes de ciberseguridad tiene origen insider. El impacto de la amenaza interna alcanza los 5M$ por evento insider (Fuente SANS) y únicamente su investigación y resolución 350.000$ (Fuente Ponemon Institute). El 74% de las empresas reconoce que sus medidas no son efectivas y los esfuerzos son únicamente reactivos. Kymatio ayuda a identificar las áreas críticas y los riesgos por departamento. También protege a la empresa ayudando al empleado. Proporcionamos una visión del riesgo de forma holística y facilitamos la implantación o mejora del modelo gestión riesgo interno, muchas veces inexistente. Somos un apoyo fundamental en elementos como el reclutamiento o fortalecimiento de los empleados (Hardening). Proponemos 3 niveles de servicio (Kymatio Enterprise, Agile y Now) en función del tamaño y características de las empresas. Somos pioneros en el mercado con un enfoque preventivo, el resto de soluciones buscan la detección cuando ya se está produciendo el incidente; lo cual es necesario, pero no suficiente. Destacamos por nuestros estudios neurocien-
tíficos, algoritmos de predicción riesgo insider y la evolución de la inteligencia artificial basada en aprendizaje automático.
CSN: ¿Qué objetivos se ha marcado la compañía a corto/ medio plazo? FM: Estamos iniciando la andadura, con
los primeros pilotos comerciales que nos permitirán en la segunda mitad del año afrontar la búsqueda del breakeven y cerrar una ronda de inversión con un socio inversor adecuado y comenzar a trabajar en escalar el negocio.
CSN: ¿Cree que actualmente las empresas dan más prioridad a los problemas o ataques externos dejando de esta manera un poco al margen los riesgos internos? FM: Los datos avalan nuestro enfoque,
los incidentes de origen insider siguen creciendo de forma exponencial. A medida que va madurando la protección perimetral se hace más necesario proteger los activos humanos internos que serán un objetivo claro para los ciberataques, por eso el eslogan de Kymatio es “Activa tus firewalls humanos”. Las empresas necesitan disponer de un potente enfoque de prevención del riesgo interno de origen insider, solo hay 2 tipos de empresa: la que conoce que sufre estos incidentes y la que hoy desconoce que los sufre..
.
19
CyberSecurity News Magazine / Reportaje Demoday de INCIBE sobre SecureKids
AI para combatir el cyberbulling SecureKids comenzó en el año 2014 en la Universidad de Málaga en la asignatura de Ingeniería Informática, cuando el profesor docente invita a los alumnos a realizar un sistema de control parental. El proyecto – y el interés del profesor - ‘pica’ a estos alumnos que enseguida ven una oportunidad de negocio, por lo que deciden desarrollar la idea a nivel profesional, creando lo que hoy es SecureKids. Texto: Samuel
“U
Rodríguez
no de los principales motivos que nos mentalizó a continuar con esta idea adelante fue la experiencia vivida por uno de nuestros socios fundadores”, explica Manuel Gómez, otro de los fundadores de la compañía. Con 11 años recibió un ordenador en el colegio – en principio sin acceso a internet, pero sí a juegos y otras aplicaciones -. Su afición llegó al extremo de pasarse las horas muertas delante del ordenador, aislándose de su familia, amigos y abandonando por completo los estudios. Con tan solo 11 años acabó en proyecto hombre. Afortunadamente la historia tiene un final feliz, y aunque hoy trabaja delante de un ordenador muchas horas al día, lo hace de una forma totalmente diferente. “Este es uno de los principales motivos que nos empujan a luchar contra los peligros de las nuevas tecnologías para los menores”, comenta Manuel Gómez. Desde entonces SecureKids ha tenido la oportunidad de participar en varios programas de aceleración “gracias a los cuales hemos adquirido conocimientos necesarios para el crecimiento de la empresa”, continúa. En cuanto al servicio, SecureKids comenzó como un sistema de control parental para dispositivos Android, con el que se puede
gestionar todas las funcionalidades de los dispositivos, desde bloqueo de páginas web, aplicaciones o la localización del dispositivo. Todo ello con el objetivo de otorgar seguridad extra a los dispositivos de los menores sin que ello perjudique a la privacidad de los mismos. “En este sentido ya tenemos más de 50.000 familias que confían en nosotros”, apunta Gómez. “Además, en la actualidad nos encontramos desarrollando el servicio hacia las empresas y colegios los cuales también tienen necesidades de
Samuel Ramírez, Manuel Gómez, Micaela Rossi e Ismael Torres; Rubén Ruiz, Álvaro Racero y Daniel Otalecu (abajo).
controlar y gestionar los dispositivos pertenecientes a las organizaciones con sistemas de control”, expone. Entre los objetivos que se han marcado en la empresa “es combatir el cyberbulling, algo para lo que estamos empezando a utilizar inteligencia artificial con el fin de poder ofrecer un servicio capaz de alertar este tipo de peligros”. Los dispositivos móviles pueden ser una herramienta fantástica para los menores, ya que pueden ser una fuente de información muy valiosa, o incluso para poder desarrollarse en el mundo actual tanto a nivel social como personal, pero hay que tener en cuenta la existencia de peligros que pueden hacer de esta experiencia un auténtico calvario si no se hace de esto un uso responsable. Hoy en día los menores están expuestos con mayor riesgo a problemas de adicción a las nuevas tecnologías, autismo y exclusión social, ciberacoso… y otras formas más complejas como el phishing o el grooming, “el cual ayudamos a los padres y madres a entender y evitar a través de nuestro blog, donde damos información
sobre cómo poder evitarlos”, apunta Gómez. Servicios de SecureKids Los servicios que en la actualidad dispone SecureKids es la gestión de todas y cada una de las funciones que tienen los dispositivos móviles en la actualidad, como: • Control de acceso a contenido web • Bloqueo de llamadas desconocidas o internacionales • Bloqueo de aplicaciones, así como creación de límites de tiempo del dispositivo completo o de aplicaciones concretas • Geolocalización de los dispositivos • Creación de alarmas • Sistema de emergencias, con el que los menores puedan avisar a sus padres o madres en caso de que se encuentren en peligro. El target se encuentra muy diferenciado entre familias con hijos o hijas menores de edad, empresas con dispositivos móviles con necesidad de protegerlos, o colegios donde promueven el uso de dispositivos en clase o incluso tienen dispositivos propios para su utilización en las aulas.
.
CyberSecuritynews | Abril 2018
20 CyberSecurity News Magazine / Reportaje Demoday de INCIBE sobre Ironchip
Conociendo a Ironchip Ironchip fue uno de los finalistas de la pasada edición DemoDay organizada por INCIBE (Instituto de la Ciberseguridad). Fundada por cuatro ingenieros en Bilbao presentó dos proyectos en los ámbitos de la prevención y la ciberseguridad como son Cyclebot y Domekey (objeto de la candidatura en este DemoDay). Sobre estos proyectos y el desarrollo de la compañía entrevistamos a José Fernando Gómez, uno de sus fundadores y actual CEO. Texto: Samuel
Rodríguez
Cybersecurity News (CSN): ¿Qué es Ironchip y cómo funciona? José Fernando Gómez (JFG):
Ironchip es una startup de un año de vida ubicada en Bilbao y formada por 4 ingenieros de telecomunicación con amplia experiencia en tecnologías Big Data y Machine Learning. Ironchip nació como una empresa consultora que se orientó al mundo de las Fintech, desarrollando una plataforma adhoc para un fondo de inversiones americano. Ese proyecto, nos aportó los fondos necesarios para empezar y cuando acabamos dicho proyecto, pivotamos y nos orientamos al desarrollo de productos propios, utilizando técnicas de Machine Learning y Big Data orientadas al mundo de la seguridad. Actualmente trabajamos en dos líneas de producto bien diferenciadas; Safety and security, prevención y ciberseguridad. En el ámbito de la prevención, contamos con Cyclebot: Prevención de accidentes de ciclistas por medio de un dispositivo IoT integrado en la propia bici, una solución que pretendemos distribuir con la ayuda de mayoristas como Orbea o Decathlon. Por otro lado, tenemos la línea de ciberseguridad, con la que presentamos Domekey, una solución que permite definir emplazamientos secretos insuplantables desde los cuales permitimos realizar CyberSecuritynews | Abril 2018
transacciones o acciones críticas o confidenciales. Es un producto orientado a los mercados de las fintech y el blockchain. Actualmente nuestros principales clientes son empresas dentro del mundo de la ciberseguridad, estatales e internacionales, a los que realizamos servicios como auditorías y desarrollo de reglas de seguridad para protocolos industriales. Pretendemos con estas relaciones abrir más mercado para nuestros productos, conociendo las problemáticas de diferentes mercados y tratando de adaptar nuestras soluciones a dichas problemáticas. CSN: ¿Qué puede aportar el machine learning en materia de ciberseguridad? JFG: Normalmente romper algo es más
fácil que protegerlo, haciendo que la mayoría de veces los nuevos ataques tarden un periodo de tiempo importante en ser detectados y reparados por los desarrolladores. Por esta razón, creemos que es imprescindible adaptar las nuevas tecnologías y hacerlas inteligentes para que aprendan por ellas mismas de los intentos de ataques recibidos. Sin embargo, puede ser utilizada de manera innovadora. Utilizando algoritmos de Machine Learning en Domekey, conseguimos determinar si una zona es segura sin tener que almacenar esas zonas seguras (llamadas dome) en ninguna base de datos. Esto hace el trabajo mucho más difícil a los hackers.
Esto es lo que se ha hecho, pero aún queda mucho camino y muchos ingenieros como nosotros encontrarán aplicaciones dentro del sector que a nadie se le ha ocurrido hasta ahora. CSN: ¿Objetivos para el medio largo plazo? JFG: Nuestro principal objetivo, tras
ser finalistas en el INCIBE, es pilotar Domekey en alguna plataforma bancaria antes de que finalice el año. Tenemos preacuerdos con algunas empresas dentro del sector de las pasarelas de pago, y estamos en conversaciones con algunos bancos importantes. Además, conocemos muy bien el sector industrial, ya que nos dedicamos a prestar servicios para garantizar la seguridad de estos sistemas. Por eso, pretendemos utilizar Domekey para garantizar la seguridad en el sector industrial, creando una solución que presentaremos en BIND4.0. Por otro lado, en referencia a Cyclebot, estamos a la espera de los datos de accidentalidad ciclista nacionales tras reunirnos en el 4YFN con el Ministro de Energía, Turismo y Agenda Digital de España, Álvaro Nadal. Con esto, conseguiremos mejorar la plataforma que actualmente funciona en Euskadi, ampliándola a nivel nacional. No solo eso, sino que disponemos de unos prototipos de dispositivos IoT que se acoplan a la bicicleta para garantizar la seguridad del ciclista.
.
21
CyberSecurity News Magazine / INCIBE – Syneidis
Syneidis y HushApp, la alternativa a WeTransfer Syneidis, otro de los finalistas del Venture Day de INCIBE, es una Startup del sector tecnológico enfocada en el desarrollo de soluciones de ciberseguridad enfocada a la privacidad, seguridad y protección de datos. Para conocer más sobre la compañía, entrevistamos a Frederic Thenault, Fundador y CEO de la compañía. Texto:
Samuel Rodríguez
Cybersecurity News (CSN): ¿Qué es Syneidis y cómo comienza su andadura? Frederic Thenault (FT): Iniciamos
nuestra andadura en el 2015 con el objetivo de proteger a las empresas de la Unión Europea contra los piratas informáticos; y a nuestra humilde escala, para defender el modelo Europeo de sociedad. A lo largo de estos 3 años hemos destacado en variedad de eventos y competiciones del sector, establecido relaciones estratégicas con partners importantes como la ESA (Agencia Espacial Europea), Ministerio de la Presidencia y Caixa Capital Risc, y consolidado nuestro producto estrella HushApp. CSN: ¿Qué servicios ofrecen y cuál es el target al que van dirigidos? FT: Nuestro buque insignia HushApp,
una alternativa segura a WeTransfer. Se centra en la privacidad y la comunicación confidencial, permitiendo el cifrado de extremo a extremo para que los usuarios de la aplicación siempre puedan estar seguros de que su contenido está protegido y es privado. La capa de cifrado es transparente para el usuario, así la app es más fácil de usar.
HushApp está pensada especialmente para el mundo empresarial, donde diariamente es necesario enviar y recibir archivos y en el que se maneja información sensible y sujeta a la ley de protección de datos. Los sectores donde ponemos el foco inicialmente son: legal, creativo, salud, educación, finanzas, defensa, entre otros. CSN: ¿Dónde reside el valor añadido de Syneidis y la diferenciación con su competencia? FT: El valor añadido de HushApp es
que permite un alto nivel de seguridad sin perder la usabilidad del producto. A diferencia de otros servicios de la competencia mantenemos el archivo cifrado en local y durante el proceso de envío. Para una mayor privacidad usamos tecnología de conocimiento cero, con lo que no podemos acceder ni a las contraseñas ni a los archivos de los usuarios. Además, en los planes enfocados a negocio ofrecemos a las empresas un panel de administración donde pueden manejar a los usuarios asociados y ofrecer permisos según el nivel de acceso que deba tener cada empleado, y pueden auditar cualquier operación.
CSN: ¿Qué objetivos se ha marcado la compañía a corto/ medio plazo? FT: Estamos enfocados en seguir
aumentando el número de usuarios activos de la aplicación, y desarrollar nuevas funcionalidades. Paralelamente esperamos cerrar más acuerdos con distribuidores del sector IT para que ofrezcan nuestro producto a las empresas en las que realizan consultorías. Así como también, continuar con el proceso de internacionalización del producto, sobre todo en países de la Unión Europea.
CSN: ¿Cuáles son los principales problemas en materia de ciberseguridad que más se enfrentan sus clientes? FT: Las principales preocupaciones de las
empresas con las que tratamos se centran en el cumplimiento de las regulaciones de protección de datos, en especial el nuevo reglamento europeo “GDPR” que entra en vigor el próximo 25 de mayo. También en la necesidad de proteger sus archivos confidenciales y las comunicaciones con sus clientes de posibles ciberataques que están a la orden del día y que causan un gran daño financiero a las empresas que lo sufren.
.
CyberSecuritynews | Abril 2018
22 CyberSecurity News Magazine / En Portada (S2Grupo)
“No ocurren más ataques porque los ciberdelincuentes no han encontrado aún la forma de conseguir más dinero” S2Grupo nace en Valencia en 1999 como empresa desarrolladora de software, pero no es hasta 2003 cuando decide especializarse en materia de ciberseguridad, una época en que era poco conocida. Cuando comenzaron apenas existían empresas especializadas en este ámbito, por lo que tocaba mucho trabajo de concienciación a su plantilla de alrededor de 15 personas. Hoy S2Grupo es una empresa mediana con 250 profesionales en nómina y oficinas en Madrid, Barcelona, Valencia, Bruselas, Lisboa, Colombia y México. Sus planes a futuro pasan por crecer más en Europa y alcanzar una plantilla de 400 trabajadores y duplicando su facturación, focalizándose en el desarrollo de tecnología basada en machine learning e inteligencia artificial. Texto: Samuel
Rodríguez
Cybersecurity News (CSN): Después de estos 15 años en el mercado, ¿cuál diría que han sido los hitos que han ido marcando la historia del grupo? Miguel Juan (MJ): El primer hito
relevante fue cuando decidimos traspasar el mercado de Valencia, estableciendo oficina en Madrid. Actualmente, de la facturación de España, probablemente el 70% de facturación proviene de Madrid. El segundo de los hitos más relevante fue la primera vez que presentamos un proyecto de I+D a la Comisión CyberSecuritynews | Abril 2018
Europea y nos lo aprobaron. Para mí, los proyectos de I+D son como el Erasmus de las empresas, nos permiten salir al exterior y relacionarnos con las entidades más importantes de Europa. También cuando empezamos a establecernos fuera de España. Primero fue Colombia y después nos metimos de lleno en Europa donde actualmente como he dicho antes, contamos con sedes en Bruselas y Lisboa.
CSN: Hoy en día, si tuvieras que definir la compañía en una frase, ¿cómo la definiría? MJ: De hecho, tenemos un eslogan que
lo resume a la perfección `Anticipando un mundo ciberseguro´. Digamos que
representa lo que somos. Si tuviera que extenderme un poco más, diría que somos una empresa que siempre se ha planteado trabajar como una gran empresa dándole mucha importancia a la investigación y al desarrollo porque creemos que es la única forma de posicionarnos. Igualmente somos una empresa que establecemos un grado de confianza muy grande con el cliente. CSN: Y en este sentido, ¿cómo se anticipa hoy en día un mundo ciberseguro? MJ: La tecnología cada vez va más
deprisa y nosotros que estamos en un entorno suficientemente avanzado, no nos damos realmente cuenta de
23 CyberSecurity News Magazine / Miguel Juan, CEO y Co-Fundador de S2Grupo lo rápido que va porque estamos acostumbrados. De hecho, si echamos la vista atrás, hace 5 años no existían muchas tecnologías a las que hoy estamos muy acostumbrados.
vamos a tener conectados a internet casi todos los dispositivos y elementos que tengamos en casa. Aquí sí que existe un problema general de ciberseguridad. Lo que se está intentando hacer en este sentido, es establecer algún tipo de protocolo que permita darle un cierto nivel de ciberseguridad a cualquier dispositivo que se conecte, aunque aún queda mucho por hacer. En el ámbito de la autenticación, lo que pasará será que utilizaremos mecanismos que sean una combinación de uno o varios elementos simultáneos y no siempre los mismos. A veces, jugarán un papel más importante los patrones biométricos, mientras que en otros entornos podremos usar dispositivos físicos. De momento tendremos que convivir con diferentes mecanismos de autentificación.
CSN: ¿Cómo afrontáis la normativa del GDPR? MJ: Llevamos años pendientes de estas
legislaciones y reglamentos, por lo que ya sabíamos su planteamiento y no nos ha pillado de improvisto. Ahora esto va a tener un mayor impacto en las organizaciones que van a tener que prestar más atención al modo de hacer ciertas cosas. En este sentido, vemos que ya no habla sólo de sanciones importantes, sino de sanciones que varían en función del beneficio que una determinada empresa pueda obtener por un incumplimiento, lo que está muy bien ya que significa que no sale rentable el incumplimiento. Para nosotros, esto es una oportunidad. CSN: Echando la mirada atrás, ¿cómo asumisteis la llegada del Wannacry? MJ: Respecto al wannacry, llevamos
tiempo diciendo que este tipo de cosas iban a ocurrir. Se dijo que esto fue un malware que se les escapó, que no fue intencionado, ya que se obtuvo poco beneficio, pero realmente el impacto fue muy fuerte, ya que dejó ver a todo el mundo que cualquier empresa es vulnerable de este tipo de ciberataques. También hay que tener en cuenta que muchos ataques son realizados automáticamente ya que no van buscando alguien en concreto, sino que buscan determinadas vulnerabilidades. Y no se trata sólo de wannacry, sino que antes hubieron otros y habrá muchos más. Realmente creo que no ocurren
más cosas porque los delincuentes no han encontrado aún la forma de conseguir más dinero. El día en
que enfoquen y vean claro el negocio, se incrementará notablemente el número de ataques. CSN: ¿Cómo ve personalmente el mundo de la ciberseguridad? MJ: Uno de los problemas más
importantes que tenemos en ciberseguridad es la falta de profesionales especializados. Pero no sólo le pasa al mundo de la ciberseguridad sino a cualquier ingeniería. Lo que es incomprensible es que teniendo en España una tasa de empleo alta, vemos cómo el número de matriculados en carreras o grados
23
Miguel Juan, CEO y Co-Fundador de S2Grupo. técnico no crece. Y concretamente, en ciberseguridad por su dificultad, se ha agravado. La solución desde mi punto de vista va a pasar por la automatización de muchas de las tareas, es decir, hablamos ya de inteligencia artificial. En el lado de los “malos” va a ocurrir lo mismo. CSN: Citando al Mobile World Congress, y siendo el móvil el dispositivo que siempre nos acompaña, ¿qué tipo de soluciones tenéis para ellos? MJ: Realmente trabajamos más en el
ámbito empresarial que en el ámbito particular. Aquí una de las cuestiones es que uno mismo debería de ser muy cuidadoso con el uso de los dispositivos que utiliza. Concretamente el móvil por llevarlo siempre encima, alberga mucha más información personal y sobre nuestros hábitos de vida. Por lo tanto, una de las primeras soluciones sería ser más cauteloso con la información que damos. Además, añadiría algún tipo de protección profesional como un antivirus. También recomendaría no instalar más aplicaciones de las necesarias.
CSN: ¿Y respecto a la revolución en los medios de pago? MJ: No sólo tiene impacto en los
medios de pago, podemos verlo desde un punto de vista más amplio, como es el internet de las cosas, es decir,
CSN: ¿Cuál diría que es el nivel de concienciación por parte de las empresas en ciberseguridad? MJ: Depende del sector. Realmente en
el sector de la banca, finanzas o seguros lo tienen clarísimo y las empresas son bastante maduras. Las empresas más pequeñas digamos que tienen otras preocupaciones. En términos generales, el nivel es medio alto en las grandes empresas, y medio bajo en las empresas más pequeñas. En retail diría que el nivel de concienciación es medio, tienen mucho recorrido aún que hacer.
CSN: En el sector del comercio electrónico, una de las advertencias que nos vienen haciendo está relacionada con las fechas clave, es decir, días como el Black Friday que tantas ventas genera, son días potencialmente vulnerables en los que los ecommerce pueden ser atacados quedando bloqueadas sus páginas... MJ: Si, pero además este tipo de
ataques a empresas, otro de los ataques más frecuentes en este sentido son los phishing, ataques que cada vez son más frecuentes y sofisticados.
CSN: Dentro del comercio electrónico, ¿tienen clientes de este sector que comienzan a tener más preocupación? MJ: Todo el mundo que tienen
un ecommerce tienen claro que pueden correr riesgos por lo que siempre cuentan con un apoyo en ciberseguridad. El problema quizás será más para las empresas pequeñas.
.
CyberSecuritynews | Abril 2018
24 CyberSecurity News Magazine / G+D Mobile Security
“Vamos a empezar a ver ataques más sofisticados en el Internet de las Cosas” Entrevistamos a David González, uno de los máximos responsables de la empresa alemana G+D Mobile Security Iberia. Aprovechamos para conocer las últimas novedades en ciberseguridad y cómo afectan las intrusiones al Internet de las Cosas, la industria 4.0 y la identidad digital. Texto: José
Luis Arcángel
Cyber Security News: ¿Cuáles son las tendencias en ciberseguridad en sectores críticos como IoT, ciberespionaje, mobile security, etc? David González: Estamos en un
momento en el que los ataques cibernéticos van a seguir estando “en la cresta de la ola”. Seguiremos viendo ataques tipo WannaCry que fueron una tendencia importante el año pasado. ¿Por qué? Porque realmente tienen mucha repercusión. Más allá del daño final que se hace, es impactante que una empresa como Telefónica o Iberdrola CyberSecuritynews | Abril 2018
tenga que dejar a sus trabajadores días sin trabajar por este tipo de ataques. Pero más allá de estos ataques tan visibles, creo que donde vamos a empezar a ver ataques más sofisticados y nos va a costar más darnos cuenta de que están ahí, es en el Internet de las Cosas. Cuando realmente todas las cosas empiezan a estar conectadas a internet, nuestra nevera, la aspiradora, el sistema de control de la calefacción y el aire acondicionado, los coches… es una tendencia que los próximos años va a ir en aumento. Seguramente, a medida que vayamos renovando los electrodomésticos, vamos a tener esa conectividad. Ahí es donde realmente
se va a producir en nuestra opinión, un aumento de los ciberataques. Hoy en día es muy típico que todos tengamos en nuestros ordenadores la cámara tapada, y eso no es que seamos personas paranoicas, es que es una realidad. En el fondo, hay buenos, hay malos y hay gente que está muy aburrida y no tiene muchas cosas que hacer. Para ellos decir vamos a hackear el sistema de aire acondicionado del hotel Hesperia y vamos a poner la temperatura a cincuenta grados, les hace su gracia. Otra tendencia que veo importante es en la industria. Cada vez más estamos influidos por los datos, la industria 4.0, las máquinas para tener una mejor
25
CyberSecurity News / David González, jefe de ventas y marketing de G+D Mobile Security Iberia productividad están conectadas y son accesibles desde la nube. Ahí es donde realmente también vemos otra tendencia que poco a poco se va a ir dando. Lo que puede ser el espionaje industrial o simplemente hacer daño por hacerlo. No todo el mundo y no todas las empresas son conscientes de esas amenazas latentes que están ahí. No simplemente es el acceso a manejar con mi teléfono móvil el aire acondicionado, si no también es importante darle una seguridad. Hay empresas que lo hacen, por supuesto. Las empresas de seguridad que te colocan una alarma que puedes manejar desde tu casa, son conscientes de que tienen que tener unos mínimos de seguridad para que no llegue el ladrón y la utilice para desactivarla. Hay mucha gente que quizá porque no tienen ese bagaje o porque no vienen de este mundo, no son conscientes de esa necesidad. CSN: ¿Qué soluciones propone vuestra empresa? DG: El objetivo de nuestra empresa es
“Cada vez los usuarios queremos conectarnos más a nuestras cuentas bancarias por Internet y ahí lo importante es que nadie pueda suplantar la identidad del cliente” importante es que nadie pueda suplantar la identidad del cliente. Una vez que lo hayan conseguido, ya estás perdido. No vas a ser capaz de evitar que tengan acceso a todas las operaciones que tú puedas hacer. Ahí estamos ofreciendo soluciones basadas en biometría para que solamente la persona que es pueda acceder a sus cuentas. CSN: ¿Estamos concienciados en ciberseguridad en Europa y España? DG: Creo que poco. España es un país
garantizar la identidad. Tenemos distintas soluciones en función de los campos. En el caso de la industria 4.0 ofrecemos unas pequeñas cajitas, que lo que hacen es que únicamente aquellas personas que realmente tengan el derecho de acceder a esa información, lo puedan hacer. Muchas veces los sistemas informáticas que se utilizan en las industrias no son como los ordenadores, que se van actualizando cada año para ir venciendo las vulnerabilidades. Son sistemas antiguos que no son fáciles de actualizar, entonces lo que hacemos es aislar de tal manera que solamente los usuarios que deban puedan acceder. En el caso del automóvil, cuando hablamos de vehículos conctados también es importante que nadie te pueda hackear tu software. Imagínate que vas conduciendo y empiezas a tener situaciones raras. Por eso blindamos para que sólo aquel software que realmente es legal, se pueda instalar en los automóviles.
en el que hemos aumentado mucho más que en Europa, pero realmente la idea de la ciberseguridad no está tanto en nuestro ADN como en otros países. Mi empresa es alemana y allí el tema de la protección de datos está en el ADN y es intrínseco a cada ciudadano alemán. Aquí estamos menos concienciados, pero si es cierto que se ha producido un incremento significativo. En las grandes empresas estoy convencido de que se está concienciado totalmente. El director de ciberseguridad es una persona que tiene un respeto, que muchas veces forma parte del comité estratégico de la empresa. El problema que tenemos en España es en la pequeña y mediana empresa. Ahí las administraciones públicas se tienen que volcar para que tengan los mismos sistemas. Y también estas empresas van a tener un problema con las nuevas normativas europeas de protección de datos, les van a exigir unos requerimientos bastante importantes y van a tener que ser capaces de adaptarse a las mismas.
automóvil, que es un sector en alza. También el que comentaba de la industria 4.0 y por supuesto el financiero. Cada vez los usuarios queremos conectarnos más a nuestras cuentas bancarias por internet y ahí lo
sólo puedan ser utilizados si tu has dado el consentimiento. Entonces hay determinados datos que por su naturaleza se consideran especialmente críticos. Por ejemplo los biométricos, si estás utilizando tu iris o tu huella para
CSN: ¿Qué sectores son los más afectados por las vulnerabilidades? DG: Por un lado está el sector del
CSN: ¿Cómo afecta ese nuevo reglamento de protección de datos a la identidad digital? DG: El objetivo es que los datos tuyos
acceder a un servicio, eso tiene una determinada privacidad. La solución que se propone es que los datos no salgan del ecosistema del usuario, ya sea tu teléfono móvil o el dispositivo que estás controlando. De tal manera que la empresa no pueda utilizar tú huella para cualquier otro acceso. En ese sentido tenemos una solución que hemos presentado en el Mobile World Congress para poder utilizar la autenticación biométrica de acuerdo al nuevo reglamento y a la directiva PSD2.
CSN: ¿Qué otras novedades habéis presentado en Barcelona? DG: En el tema del vehículo conectado,
una de las tendencias es el concepto del e Sim. Es decir que a diferencia del pasado que tu tenías una pequeña tarjetita que ibas insertando en distintos dispositivos, ahora ya van a venir los teléfonos y coches con una Sim electrónica donde se van a cargar tus credenciales. El problema que hay hoy en día es que no vas a tener cinco líneas de datos, una para el Smartphone, otra para el automóvil, otra para casa… La solución que hemos presentado junto a BMW es la posibilidad de transferir tu línea de datos al automóvil pero tenerlo de una manera compartida. Cuando estas dentro del vehículo la utilizas con él y cuando sales sigues usándolo con tu teléfono. Otro tema de actualidad es la directiva PSD2 , que intenta que haya nuevos actores en el sector financiero. Que no solamente las entidades financieras, sino también otra serie de operadores puedan ofrecer operaciones de pago o de agregación de cuentas para gestionar todos tus servicios financieros con un tercero. Ahí la directiva europea ofrece unos sistemas de reconocimiento de usuario y autorizaciones en los cuales es necesaria la utilización de un doble factor, algo que sabes y algo que tienes intrínseco a ti, y es algo en lo que estamos trabajando.
.
CyberSecuritynews | Abril 2018
26 CyberSecurity News Magazine / Grupo Entelgy
“Para nosotros la innovación es parte fundamental de nuestra identidad y define cómo entendemos la seguridad” InnoTec es una empresa de ámbito internacional, perteneciente al Grupo Entelgy y especializada en ciberseguridad, inteligencia y gestión y prevención de riesgos. Presentes en el mercado desde el año 2002, cuenta con más de 350 profesionales altamente cualificados y un Centro Avanzado de Operaciones de Seguridad (SmartSOC) de los más desarrollados del sector. Texto:
Samuel Rodríguez
CyberSecurity News (CSN): ¿Cuál es el posicionamiento de InnoTec dentro del mercado de la ciberseguridad? Félix Muñoz Astilleros (FMA): Son
varios los aspectos que mejor definen a nuestra compañía. El primero, ser pioneros en el mundo de la ciberseguridad. Llevamos más de 16 años en un sector al que han llegado últimamente numerosas empresas, pero muy pocas con la experiencia y el conocimiento de InnoTec (Grupo Entelgy). Precisamente, esta trayectoria y el
conocimiento de nuestros profesionales sería otra de las caracterís-
ticas que mejor nos definen. Tenemos un equipo que posee las principales CyberSecuritynews | Abril 2018
certificaciones internacionales y que, además, son unos apasionados de la materia lo que les ha llevado a ganar numerosos concursos y retos que se plantean a nivel nacional e internacional (el último el International CyberEx 2017). Este hecho es fundamental para poder compartir conocimiento y experiencias con los mayores expertos de todo el mundo. Hay que tener en cuenta que las ciberamenazas son globales y no conocen de fronteras, por lo que mantener relación con los principales grupos internacionales te permite estar en constante actualización de conocimientos y conocer de primera mano, la situación, origen y medidas más adecuadas, en función del tipo de ataque. La flexibilidad de nuestras soluciones y la independencia tecnoló-
gica conforman el posicionamiento de
InnoTec. Fruto de todo ellos, son los más de 250 clientes en España y Latinoamérica, entre ellos el Centro Criptológico Nacional, adscrito al Centro Nacional de Inteligencia (somos sus principales socios tecnológicos); la ONU y las principales empresas del IBEX español. CSN: Dentro de sus servicios ofrecen un producto de detección del fraude online (kraken). ¿Qué es y en qué consiste? FMA: En el caso del fraude online es
una de las principales ciberamenazas que pueden afectar a una empresa y su imagen de marca. Por este motivo, desarrollamos Kraken, como una herramienta de protección avanzada, de identificación y respuesta al fraude online. Lo que conseguimos con ella es
CyberSecurity News Magazine / Félix Muñoz Astilleros, Director General de InnoTec System proteger de manera proactiva a clientes y las transacciones que se realizan en línea contra las ciberamenazas que puedan comprometer su seguridad: phishing, spearphishing, pharming, malware, fraudulent mails, customer credential markets, etc. También se pueden hacer análisis de malware específico bajo demanda, así como informes de tendencias e inteligencia del fraude.
CSN: Dentro de sus servicios ofrecen un producto de análisis automático de malware ¿Qué es y cómo se pueden beneficiar de él las empresas? FMA: Si antiguamente la creación
de código malicioso se debía principalmente a la búsqueda de notoriedad, la realidad actual ha cambiado radicalmente. Actualmente se crea malware con fines criminales y lucrativos que van desde el fraude económico al robo de información, pasando por el consumo de recursos. Por ello hemos desarrollado REMAT, la herramienta que permite la detección, el análisis y el reporte de malware de manera totalmente automática. De esta manera se facilita el trabajo a los analistas. Las principales características son Detección Temprana a través de sondas/colectores, Análisis Estático y Dinámico Avanzados, Generación de Informes Personalizados, Envío de Alertas y Avisos, Almacenamiento de Evidencias para Post-Análisis, Categorización por Etiquetas y Detección de Comportamiento a través IOC/Yara. CSN: Dentro de sus servicios ofrecen un producto de tratamiento integral de metadatos. ¿Qué es y qué beneficios aporta a sus clientes? FMA: Debido a que, en numerosas
ocasiones, las fugas de información sensible son realizadas a través de los metadatos de los ficheros y documentos que desvelan patrones, relaciones, comportamientos o vulnerabilidades de una organización, hemos desarrollados la herramienta MIST. Este producto de Tratamiento Integral de Metadatos hace que nuestros clientes puedan confiar la información sensible de sus ficheros y documentos manteniéndose la confidencialidad y privacidad, evitando fugas de esta información y evitando el riesgo de amenazas adicionales a través de los datos ocultos de los ficheros. CSN: Dentro de sus servicios ofrecen un portal de gestión de
“Desde InnoTec estamos más que satisfechos con nuestro equipo de Red Team; un servicio de intrusión avanzada, en donde nos ponemos en la mente del atacante para identificar las vulnerabilidades de una organización” vulnerabilidades (portal hacking). ¿Qué es y para qué tipo de empresas está dedicado? FMA: El Portal Hacking de InnoTec es
un servicio que permite a los clientes tener una herramienta de detección y gestión del ciclo de vida de las vulnerabilidades posibilitando priorizar esfuerzos y facilitar la gestión. Esta gestión de las vulnerabilidades es clave para cualquier organización porque permite conocer las posibles debilidades que puede haber en las redes y sistemas, dispositivos, tecnologías, aplicaciones web y usuarios conectados a la red corporativa permitiendo realizar una labor proactiva de seguridad. Para lograr todo ello, los expertos que forman nuestro Red Team se ponen en la piel del enemigo para identificar las vulnerabilidades que pueden ser utilizadas para atacar los activos de una organización. Realizan, de manera controlada, múltiples comprobaciones físicas, digitales y también sobre el personal de una organización. El análisis de los resultados de estas comprobaciones ayuda a corregir fallos de seguridad en los sistemas y procesos, y optimizan los recursos humanos y tecnológicos existentes para proteger de forma más efectiva a una empresa. CSN: Innotec cuenta con un avanzado SOC. ¿Qué es y qué servicios ofrece a sus clientes? FMA: Un SOC es un Centro Avanzado
de Operaciones de Seguridad, en nuestro caso lleva por nombre SmartSOC y es uno de los más avanzados a nivel nacional. En él se encuentran nuestros profesionales que trabajan ofreciendo un servicio de 24x7 para prestar servicios y soluciones de ciberseguridad eficaces contra las amenazas que puedan comprometer la actividad de una organización. Son expertos que cuentan con experiencia en las diferentes áreas que
intervienen en la seguridad de los sistemas de información y que cuentan con las principales certificaciones, nacionales e internacionales, en materia de ciberseguridad. Lo que hacemos en el SmartSOC es llevar una gestión unificada de todos los servicios y herramientas ofreciendo servicios de monitorización y gestión de incidentes, intercambio de conocimiento y ciberinteligencia, hacking ético, detección y prevención de malware, detección de ataques avanzados e identificación y prevención del fraude online. CSN: Una de las patas en las que trabaja Innotec System continuamente es en su departamento de I+D. ¿Qué herramientas han desarrollado en este departamento y en cuáles están trabajando ahora? FMA: Para nosotros la innovación es
parte fundamental de nuestra identidad y define cómo entendemos la seguridad en cada una de las áreas de InnoTec. De igual manera que las nuevas amenazas se suceden continuamente, las organizaciones necesitan estar protegidas y contar con soluciones innovadoras que se anticipen y den respuesta a cualquier amenaza, es por ello que le damos tanta importancia a esta continua innovación. Nuestros servicios están respaldados por nuestra área de I+D+i, que desarrolla soluciones de seguridad flexibles y adaptadas a cada tipo de necesidad, cubriendo las “lagunas” que existen en el mercado. El equipo de I+D+i ha desarrollado más de 50 herramientas destinadas a optimizar los procesos y recursos que intervienen en la seguridad de los activos de una empresa. Los productos que hemos comentado antes: Kraken, Remat, Mist y Portal Hacking han sido desarrollados íntegramente por nuestro equipo. También destacaría otros CyberSecuritynews | Abril 2018
27
28 CyberSecurity News Magazine / Félix Muñoz Astilleros, Director General de InnoTec System proyectos de innovación y herramientas de seguridad que hemos desarrollado en colaboración con el Centro Criptológico Nacional como es el caso de MARTA, un motor de Análisis Remoto de Troyanos Avanzados que permite el análisis avanzado de malware, y REYES, un sistema de intercambio de información y conocimiento sobre ciberamenazas. CSN: Durante el pasado 2017 dos hitos importantes han marcado el sector de la ciberseguridad: WannaCry y Petya. ¿De qué forma afectó a los clientes de Innotec y cómo ayudó a gestionarlo? FMA: El SmartSOC de InnoTec,
trabajó a doble rendimiento desde que en la mañana del viernes 12 de mayo comenzaran a detectarse los primeros casos del ransomware WannaCry. Desde ese momento, todo el equipo de profesionales que conforman nuestro centro neurálgico de servicios de ciberseguridad centró su actividad en identificar, proteger, detener y mitigar un incidente que, ya desde los primeros minutos, se preveía de una virulencia inusitada. Se reforzó nuestro servicio 24x7 con el fin de redoblar la protección de nuestros más de 250 clientes de esta campaña de malware que cifra los archivos del equipo infectado para pedir un rescate. A través de nuestro servicio de monitorización, nuestras reglas de detección (contamos con más de 70.000) actualizadas continuamente, la correlación de eventos, el trabajo de investigación de nuestros expertos, el análisis de los sistemas y equipos que pudieran ser vulnerables y la compartición de información con los principales centros de referencia de todo el mundo (el incidente fue global), trabajamos para frenar el ataque y, sobre todo, para tomar las medidas de mitigación más indicadas para cada caso. Del mismo modo, colaboramos con el Centro Criptológico Nacional para frenar el ataque en la Administración Pública y le ayudamos a la elaboración de un informe que recogía las medidas para la detección y desinfección de este malware. En el caso de Petya la operativa fue similar, aunque, en este caso, las principales repercusiones se dieron fuera de España. CSN: ¿En qué momento se encuentra la ciberseguridad en nuestro país? A todos los niveles: CyberSecuritynews | Abril 2018
Oficinas de la Avenida Llano Castellano en Madrid. concienciación, soluciones, profesionales cualificados, etc. FMA: En general creo que estamos en
un momento de desarrollo importante, donde se está empezando a invertir la tendencia y, desde todos los ámbitos (directivos, profesionales y usuarios finales), ha crecido el nivel de concienciación de los riesgos y amenazas existentes en el ciberespacio. Seguramente, campañas con tanta repercusión mediática como WannaCry hayan favorecido esta sensibilización. Todo ello ha hecho que las inversiones en seguridad hayan crecido (evidentemente, siempre hay sectores más maduros que otros) y que las defensas para protegernos de ataques de nivel bajo sean buenas. Sin embargo, contra los ataques con una complicidad mayor, todavía no se ha conseguido un nivel óptimo de defensa. Hay que tener en cuenta, además, que los “malos” tienen cada vez más capacidad de ataque y están continuamente actualizando sus métodos y herramientas, buscando vulnerabilidades y grietas en las barreras defensivas. No olvidemos que este tipo de ataques son muy lucrativos y difícilmente imputables (la inexistencia de barreras en Internet complica el saber quién está detrás de ellos). Otra dificultad con la que nos encontramos es que cada día más servicios dependen o se desarrollan a partir de Internet (Internet de las Cosas, Sistemas de Control Industrial, etc.), no siempre con las debidas medidas de seguridad implementadas. En ocasiones, la urgencia
de sacar un nuevo producto o un nuevo servicio le puede al establecimiento de las debidas garantías. No obstante, no hay que ser pesimista. En nuestro país contamos con muy buenas soluciones y muy buenos profesionales que están consiguiendo unos resultados más que aceptables. Partiendo del hecho de que la seguridad 100% no existe, sí que es posible frenar y contener cualquier tipo de ataque y, sobre todo, adoptar medidas preventivas para que, llegado el caso, se pueda contener cualquier intento de intrusión. En este sentido, por ejemplo, desde InnoTec estamos más que satisfechos con nuestro equipo de Red Team; un servicio de intrusión avanzada, en donde nos ponemos en la mente del atacante para identificar las vulnerabilidades de una organización. Así, nuestros expertos simulan una intrusión en una empresa (en todos los ámbitos: digital, físico y humano) y, de este modo, detallamos todos los puntos débiles por los que podría ser atacado. CSN: ¿Qué objetivos a medio y largo plazo se ha marcado la compañía? FMA: En general, desde InnoTec
pretendemos seguir ofreciendo a nuestros clientes la confianza que da el vivir seguro. Queremos darles la tranquilidad necesaria para que se centren en lo que realmente les importa: su negocio. Para ello seguiremos apostando por el I+D, por la cualificación de nuestro personal y por la actualización y revisión constante de técnicas, métodos y prácticas.
.
29
CyberSecurity News Magazine / Juan Cobo, CISO de FERROVIAL
“Hoy es más fácil tener la atención de un Consejo de Administración, en parte, gracias a la mediatización de casos como el de Wannacry” Aeropuertos, construcción, carreteras, servicios a la ciudadanía; Ferrovial es una de las mayores empresas españolas. Con cerca de 100.000 empleados en todo el mundo gestiona recursos críticos (como el aeropuerto de Heathrow en Londres), estratégicos y de vital importancia para cualquier país. La seguridad y la ciberseguridad es piedra angular en este tipo de compañías. Por ello, hemos querido hablar con Juan Cobo, CISO de FERROVIAL. Texto:
V. Ramírez y S. Rodríguez
Cybersecurity News (CSN): ¿Cuáles han sido los retos en la transformación digital de una empresa como Ferrovial? Juan Cobo (JC): La transformación
digital es una palanca de valor en cualquier empresa. Y para un player como Ferrovial no puede ser menos, puesto que la digitalización otorga ventajas competitivas importantes para quienes la acometen. Ferrovial apuesta en sus cuatro principales áreas de negocio: Aeropuertos, Construcción, Autopistas y Servicios por la digitalización de sus procesos, siendo conscientes de que el despliegue de soluciones innovadoras y disruptivas supone una ventaja competitiva y diferencial con respecto a otras empresas. Nuestro reto pasa por obtener el mayor beneficio de la tecnología emergente para crear valor en nuestras líneas de negocio.
CSN: ¿Cómo ha sido la transición en materia de protección de datos GDPR para Ferrovial? JC: Partimos de la base de que Ferrovial
es una empresa con cerca de 100.000 empleados. Nuestro tamaño nos exige, per se, acometer cualquier cambio relevante con modelos uniformes. En este sentido, desde Ferrovial ya llevábamos mucho tiempo trabajando con un modelo para gestionar la protección de datos esgrimida en la LOPD. Este modelo se ha adaptado para cumplir con la regulación del GPDR; un modelo formal y uniforme con responsabilidades claras en todas las áreas que tienen competencia (como puedan
Juan Cobo, CISO de Ferrovial. ser: sistemas de información, recursos humanos, asesorías jurídicas, departamento de compliance, etc.). El cambio que supone GDPR para una compañía como Ferrovial son una serie de nuevos requisitos ya conocidos por todos a los que nos hemos tenido que adaptar e incorporar a nuestro modelo de gestión de la Privacidad. En Ferrovial, operativamente, estas actividades están
externalizadas, existiendo una empresa tercera que nos ayuda en la operación de nuestro modelo.
CSN: ¿Y la Directiva NIS, afecta a Ferrovial en tanto ser una empresa que gestiona infraestructuras críticas? JC: Ferrovial en España, a día de hoy,
no gestiona infraestructuras/ servicios críticos sujetos a NIS conforme a la
CyberSecuritynews | Abril 2018
30 CyberSecurity News Magazine / FERROVIAL
Construcción del puente sobre el río Nambucca para la Pacific Highway en Australia. definición establecida. Fuera de nuestras fronteras, en Reino Unido, gestionamos, entre otros, el aeropuerto de Heathrow (Londres; uno de nuestros principales activos en el país) que sí es una infraestructura crítica y, como tal, estamos sujetos, no solo a la Directiva NIS a nivel europeo, sino también a las regulaciones locales en materia de infraestructuras críticas. CSN: Construcción, Aeropuertos, Servicios, Autopistas… son los sectores de actividad de Ferrovial. Infraestructuras críticas. ¿Cómo recuerda la gestión aquel fin de semana del famoso Wannacry o la crisis NonPetya? JC: En dos palabras. Muy intensa. Afor-
tunadamente, no hubo infecciones, pero sí hubo impacto en la medida en que se aislaron entornos y se cortaron temporalmente los accesos a Internet. Fueron horas en las que tuvieron que tomarse decisiones complejas y de carácter sensible, si bien, afortunadamente, la cadena de mando y la depuración de instrucciones está consolidada, siendo de gran ayuda, para estos casos la realización periódica de simulacros internos en los que se escenifican situaciones de crisis. Esto nos permitió ser bastante ágiles a la hora de afrontar esta “crisis” con resultados positivos, en tanto que – aunque se tuvieron que detener servicios durante el fin de semana – no hubo CyberSecuritynews | Abril 2018
Más que hablar de infraestructuras críticas, en nuestro caso hablamos de activos críticos, que pueden estar sujetos o no a regulación por parte de un país. Desde Ferrovial tenemos un mismo modelo de gestión, ya que nuestra visión de la seguridad es global. infecciones. No obstante, siempre hay cosas que mejorar, y la lectura – entre comillas – positiva de aquel episodio es que ha permitido medir nuestros niveles reales de preparación y reacción e identificar las áreas donde se necesita mejorar. CSN: Este tipo de infraestructuras, por su especial sensibilidad, comienzan a ser objeto de ataque para los hackers. ¿Qué hay de extra en materia de ciberseguridad para este tipo de compañías como Ferrovial? JC: Más que hablar de infraestructuras
críticas, en nuestro caso hablamos de activos críticos, que pueden estar sujetos o no a regulación por parte de un país. Desde Ferrovial tenemos un mismo modelo de gestión ya se traten de críticas o no críticas, ya que nuestra
visión de la seguridad es global sobre todos nuestros activos. El hecho de que una infraestructura sea crítica porque así lo consideren las regulaciones de un país, supone adecuar las medidas de protección a la normativa establecida, si bien no por ello el nivel de seguridad es necesariamente mayor que en infraestructuras no consideradas críticas conforme a regulación.
CSN: La ‘democratización’ de la ciberseguridad también ha llevado a una mayor preocupación interna, ¿es más fácil ahora para un CISO que “le hagan caso” dentro de una compañía? JC: Seguramente cada CISO tengo su
propia realidad. Lo que puedo decir en el caso de Ferrovial es que, desde mi incorporación, muchas cosas han cambiado drásticamente, empezando
31 CyberSecurity News Magazine / Juan Cobo, CISO de FERROVIAL por los nombres que una misma función ha tenido a lo largo de los años hasta llegar a la fórmula mágica del término “ciberseguridad”. Hoy en día es mucho más sencillo tener la atención de un Comité de Dirección o de un Consejo de Administración, en parte por el evidente protagonismo y la relevancia que ha tomado la ciberseguridad en la sociedad actual, y también gracias a la propia mediatización provocada, con razón, por la progresión exponencial de los incidentes sufridos, tales como el propio Wannacry. CSN: Integración de plataformas de seguridad. ¿El abrumador número de soluciones son demasiadas? ¿Se necesita simplificar en este sentido las herramientas disponibles en el mercado? En un escenario idealistas, ¿qué sería lo ideal para un CISO? JC: Aquí hablamos de dos aproxi-
maciones. Cuando gestionas ciberseguridad para una empresa, lo puedes hacer desde la tecnología (el producto) o desde el servicio. Desde Ferrovial vemos la ciberseguridad como un proceso que está soportado por un servicio: servicios de seguridad, no tecnología de seguridad. Efectivamente hay mucha tecnología de ciberseguridad en el mercado, pero, al contrario, este es un aspecto que considero positivo. Para Ferrovial esto no es un problema, ya que tratamos de ser agnósticos con la tecnología, en el sentido que confiamos estas soluciones a terceros que nos prestan servicios de seguridad soportados por dicha tecnología. Me preocupa más un buen servicio que un buen producto. CSN: Nuevos perímetros de seguridad. ¿Cómo han cambiado las cosas el mobile y el cloud? JC: Radicalmente. Progresivamente,
todo se vuelve móvil y/o se mueve a la nube y nuestra visibilidad o control directo es menor. La forma de gestionar seguridad ha cambiado por ello, lo que te obliga a tener modelos con los que gestionar cómo controlas entornos que de manera natural y directa no controlas. En estos modelos, aspectos tales como la selección de los proveedores de cloud y movilidad con los que trabajas, sus certificaciones, sus modelos de auditoría, tus capacidades de revisión y traza o las garantías contractuales se vuelven fundamentales. Son, sin duda, entornos sujetos, por
31
Hoy es más fácil tener la atención de un Consejo de Administración, en parte por el propio protagonismo que ha tomado el sector de la ciberseguridad en la sociedad, también gracias a la propia mediatización que han supuestos casos como Wannacry defecto, a más riesgos, pero no necesariamente por ello menos seguros.
CSN: ¿Cómo cambiará la industria con el IoT y la Inteligencia Artificial? JC: Más problemas, más trabajo y
más retos. En Ferrovial contamos con funciones específicas dedicadas en exclusivo al estudio, el desarrollo y la explotación de tecnologías disruptivas y emergentes que puedan aportar valor a nuestros negocios. Nuestra coordinación con estas funciones y nuestra involucración en sus iniciativas se ha vuelto fundamental. Desde el punto de vista de la ciberseguridad, se trata de un reto que abarca entornos donde la ciberseguridad, tradicionalmente, no ha estado focalizada y que constituyen, por defecto, escenarios de riesgo. Aunque a la vez, toda esta disrupción supone también una oportunidad única para empresas como Ferrovial, donde el Internet of Things o la Inteligencia Artificial aplicados a conceptos como la Movilidad o las Smart Cities son nuestras apuestas de presente y futuro, que consideramos nos pueden posicionar de una manera diferencial con respecto de nuestros competidores. Desde luego, como digo, tiempos retadores. CSN: ¿Qué más cosas preocupan a un CISO? ¿Qué es lo más preocupante? JC: Muchas cosas, máxime en compa-
ñías como Ferrovial. Me preocupa conocer con detalle el estado de la seguridad en todos los países en que operamos, para lo cual trabajamos con un modelo homogéneo. Me preocupa el estar los suficientemente preparados para el día que nos toque – porque algún día nos tocará – responder a un ataque o incidente masivo. Me preocupa que mis capacidades de detección y reacción sean todo lo buenas que deban ser y, por supuesto, me preocupa seguir contando
con presupuesto para seguir mejorando nuestras capacidades preventivas. Hemos hablado de los retos que suponen mobile, cloud, IoT, regulación… son muchos frentes abiertos que preocupan al CISO de cualquier empresa en mayor o menor medida.
CSN: ¿Cómo ve el papel de las criptodivisas en todo esto? ¿Benefician más al lado oscuro? JC: Hoy en día es lo que parece. No soy
un experto en esta materia, pero – al margen de la burbuja que parece que vive el mercado con las criptomonedas– con respecto al Blockchain, estamos ante otra de las tecnologías que toda empresa en proceso de digitalización está explorando, aunque todavía no se vean grandes resultados tangibles de aplicación directa. Con respecto a las criptodivisas, son una solución que sí favorece a aquellos que quieren que sus operaciones permanezcan en el anonimato y con escasa trazabilidad, lo que normalmente encaja perfectamente con los “chicos malos del otro lado”. CSN: ¿Capacitación en ciberseguridad? ¿Es fácil encontrar perfiles? ¿Dónde se buscan nuevos talentos? ¿En qué promedios se mueven las cifras de sueldos de estos perfiles tan técnicos? JC: Es difícil buscar el talento en ciber-
seguridad. Es una profesión al alza y en la que todas las empresas quieren tener a los mejores profesionales. Si están bien remunerados o no, depende de cada empresa, pero al no haber mucha oferta de mano de obra, los sueldos obviamente tienden a subir. En mi opinión, España siempre ha tenido gran talento en ciberseguridad, aunque como tradicionalmente parece que no siempre ha estado bien remunerado, mucho de este talento ha buscado oportunidades laborales fuera de nuestras fronteras. Vamos, que tendemos a perder el talento que tenemos, y esto preocupa.
.
CyberSecuritynews | Abril 2018
32 Cyber Security News / Informe “Economic Impact of Cybercrime - No Slowing Down”
El cibercrimen cuesta casi 600.000 millones de dólares a la economía mundial McAfee, en colaboración con el CSIS (Center for Strategic and International Studies), ha publicado recientemente el informe “Economic Impact of Cybercrime-No Slowing Down”, un estudio a nivel global centrado en el enorme impacto del cibercrimen en las economías de todo el mundo. El estudio revela que el cibercrimen cuesta a las empresas alrededor de 600.000 millones de dólares, o lo que es lo mismo, el 0,8% del PBI global. Se observa, por tanto, un incremento en comparación con el estudio realizado en 2014, que revelaba pérdidas globales de aproximadamente 445.000 millones de dólares. Texto:
E
Pedro Pablo Merino
l informe atribuye este crecimiento registrado en tres años a la capacidad de los ciberdelincuentes de adoptar de forma rápida las nuevas tecnologías, la facilidad para involucrarse en ciberdelitos y la creciente sofisticación de la actividad financiera de los cibercriminales de primer nivel. Un ejemplo de ello es el uso del ransomware, donde los ciberdelincuentes ya pueden subcontratar parte de su trabajo a agentes especializados. Los proveedores en la nube de ransomware-as-a- service escalan de forma eficiente los ataques para alcanzar a millones de sistemas, al tiempo que estos se automatizan de forma que requieren una mínima interCyberSecuritynews | Abril 2018
“Rusia, Corea del Norte e Irán son los países más activos en el hackeo de instituciones financieras. Por su parte, China es el país más activo en ciberespionaje.” vención humana. Si añadimos a estos factores la aparición de criptomonedas que facilitan la monetización rápida y minimiza el riesgo de arrestos, el resultado es una cifra de cibercrimen de unos 600.000 millones de dólares. Sin duda, esto refleja hasta qué punto nuestros logros en tecnología han transformado la economía criminal tan radicalmente como lo han hecho
con cualquier otra parte de nuestra economía. Según el informe, los bancos continúan siendo el blanco favorito de los cibercriminales. Además, los estados-nación son la fuente más peligrosa de cibercrimen. En este sentido, Rusia, Corea del Norte e Irán son los países más activos en el hackeo de instituciones financieras. Por su parte, China
33
Cyber Security News / Informe “Economic Impact of Cybercrime - No Slowing Down” es el país más activo en ciberespionaje. “Nuestra investigación ha confirmado el liderazgo de Rusia en el cibercrimen, lo que refleja la habilidad de su comunidad de hackers y su desprecio por el cumplimiento de la ley”, señala James Lewis, Senior Vice President en CSIS. “Además, Corea del Norte ocupa
el segundo lugar debido al robo de criptomonedas para ayudar a financiar su régimen. Por último, estamos viendo cómo el número de centros de cibercrimen continúa creciendo no sólo en Corea del Norte, sino también en Brasil, India o Vietnam.” El informe analiza el cibercrimen en América del Norte, Europa, Asia Central, Asia Oriental y el Pacífico, Sur de Asia, América Latina y el Caribe, África Subsahariana, Oriente Medio y África del Norte. No es sorprendente que las mayores pérdidas por cibercrimen estén localizadas en los países más ricos. No obstante, los países con las mayores pérdidas (en relación al porcentaje de ingreso nacional) son países de nivel medio digitalizados, pero sin competencias suficientes en ciberseguridad. Metodología El informe no intenta medir el coste de todas las actividades maliciosas en Internet. En este sentido, el estudio se centra en los ciberdelincuentes que obtienen acceso ilícito a la red o al sistema de la víctima. Los elementos del cibercrimen que los autores incluyen son: • La pérdida de IP y de la información confidencial de la empresa. • Fraude online y delitos financieros. En ocasiones, el resultado del robo de información personal. • Manipulación financiera dirigida a empresas que cotizan en bolsa.
Cibercrimen
Actividad diaria estimada
Escaneos maliciosos
80 billones
Nuevo malware
300.000
Phishing
33.000
Ransomware
4.000
Registros perdidos por hackeo
780.000
Actividad diaria estimada de cibercrimen. • Costes de oportunidad, incluidos la
interrupción en la producción o los servicios y una menor confianza en las actividades online. • El coste de asegurar las redes, comprar seguros y pagar por la recuperación de ciberataques. • Riesgo reputacional y riesgo de responsabilidad para la compañía afectada y su marca. Para ayudar a determinar el coste de la ciberactividad maliciosa, los autores han analizado otro tipo de delitos para los que existen algunas estimaciones. Estos delitos incluyen; la piratería marítima, el hurto y el crimen transnacional. Los autores de este informe sostienen que los datos sobre el ciberdelito continúan siendo deficientes debido a la falta de informes y laxitud en la mayoría de gobiernos de todo el mundo que dificultan la recopilación de datos sobre el ciberdelito. Para hacernos una idea; • Piratería marítima: Algunas estimaciones indican que el costo anual de la piratería marítima se encontraría entre 5.700 y 6.100 millones de dólares, y para África Occidental y Oriental en su conjunto, 4.200 millones en 2016. • Hurto: Las empresas aceptan el “hurto” como parte de su negocio. Usando tasas de hurto como una
Región (Banco Mundial)
PIB Regional (Trillones de Dólares)
Coste del Cibercrimen (Billones de dólares)
Pérdidas por cibercrimen (% del PIB)
Norte América
20.2
140 a 175
0.69 a 0.87%
Europa y Asia Central
20.3
160 a 180
0.79 a 0.89%
Este de Asia y Pacífico
22.5
120 a 200
0.53 a 0.89%
Sur de Asia
2.9
7 a 15
0.29 a 0.52%
Latinoamérica y Caribe
5.3
15 a 30
0.28 a 0.57%
África subsahariana
1.5
1a3
0.07 a 0.20%
Oriente Medio y norte de África
3.1
2a5
0.06 a 0.16%
Mundial
75.8
445 a 608
0.59 a 0.80%
Distribución regional del cibercrimen en 2017.
analogía, el coste de los delitos cibernéticos en Estados Unidos se encuentra entre el 0,5 y el 2% de los ingresos nacionales. • Delincuencia transaccional: La Oficina de las Naciones Unidas contra la droga y la delincuencia estimaba en 2012 el costo de todo el crimen organizado global en 870.000 millones de dólares, lo que representa el 1,2% del PIB mundial. 600.000 millones tienen relación directa con el narcotráfico. • El Foro Económico Mundial
(utilizando datos de 2011) estima el costo total de la delincuencia mundial en 1,8 billones de dólares, o aproximadamente el 1,5% del PIB mundial. La organización de investigación Global Financial Integrity estimó que el crimen transaccional le costó al mundo de 1,6 a 2,2 billones de dólares en 2017. El cibercrimen representaría una séptima parte de estos costes.
Recomendaciones El estudio también incluye algunas recomendaciones para hacer frente al cibercrimen: • Implementación uniforme de medidas de seguridad básicas e inversión en tecnologías defensivas. • Mayor cooperación entre las agencias policiales internacionales. • Mejora de la recopilación de datos por parte de las autoridades nacionales. • Mayor estandarización y coordinación de los requisitos de ciberseguridad. • Avances en el Convenio de Budapest, un tratado formal sobre cibercrimen. • Presión internacional sobre los santuarios estatales para el cibercrimen.
.
CyberSecuritynews | Abril 2018
34 CyberSecurity News Magazine / Krack Attack
“Krack Attack: vulnerabilidades críticas del WPA2” Los Krack Attacks hacen referencia a una serie de vulnerabilidades descubiertas por el investigador Mathy Vanhoef sobre el protocolo WPA2, considerado como un estándar seguro en lo que a comunicaciones inalámbricas se refiere desde hace más de una década. Conocemos más sobre este tipo de vulnerabilidades de la mano de Deepak Daswani, Experto en Hacking y ciberseguridad. Texto: Samuel
Rodríguez
CyberSecurity News (CSN): Uno de los conceptos de los que se comienza a hablar mucho en ciberseguridad es el Krack Attack. ¿Qué significa y cómo se ha descubierto? Deepak Daswani (DD): El acrónimo
Krack proviene de la conjunción de palabas “Key Reinstallation Attacks”. Se trata de una serie de vulnerabilidades de carácter crítico que ponen en entredicho la seguridad del algoritmo de cifrado WPA2, debido a la reinstalación de la clave de cifrado por CyberSecuritynews | Abril 2018
parte del cliente de una red wifi por un problema en la implementación de lo que se conoce como el 4-way handhsake. Se trata del mecanismo utilizado para la autenticación del cliente en una red inalámbrica por la que se garantiza que ambos, tanto cliente como punto de acceso, conocen la clave y establecen una comunicación segura. Los Krack Attacks demuestran que debido a un fallo en este y otros handshakes los clientes pueden reinstalar la clave de cifrado y con ello algunos parámetros criptográficos utilizados para garantizar la confidencialidad de los datos. Esto hace que dos paquetes
diferentes puedan ser cifrados con la misma keystream dando lugar a escenarios donde el tráfico puede ser completamente descifrado y monitorizado por un atacante sin acceso a la red. CSN: ¿Qué consecuencias puede tener tanto para usuarios como para empresas? DD: Las consecuencias que los Krack
Attacks pueden tener inciden en la confidencialidad de los datos transmitidos por clientes, tanto usuarios como empresa en cualquier red inalámbrica que utilice WPA2. Recordemos que se trata del estándar que a día de hoy
35
CyberSecurity News Magazine / Entrevista a Deepak Daswani, experto en Hacking & Ciberseguridad es considerado como seguro pues el cifrado WEP fue roto hace ya muchos años. De ahí que surgiera el WPA como pre-estándar hasta que se consolidó el WPA2 como estándar. Con el descubrimiento de los Krack Attacks, la seguridad de este estándar queda en entredicho. El ataque no viola las propiedades de seguridad probadas formalmente respecto al 4-way handhsake, considerado como seguro hasta ahora. Pero debido a la implementación de este handhsake, hace que si un cliente recibe varias veces el tercer paquete de este proceso de autenticación, éste reinstale la clave de cifrado reiniciando los contadores nonce y el replay counter que se utilizan para evitar dos paquetes cifrados con la misma “keystream”. Esto quiere decir que dependiendo de las circunstancias un atacante podría descifrar algunos paquetes de datos de manera arbitraria, así como en otros casos descifrar e inyectar también tráfico malicioso. Por otra parte, este ataque es realmente devastador para algunas versiones de Android. En estos casos, los dispositivos al reinstalar la clave la inicializan a cero, por lo que no hace falta romper los paquetes por estadística, sino que al reinstalar una “All-zero-Key” se pueden descifrar todos los datos transmitidos por el dispositivo en cuestión.
CSN: ¿Cuántos tipos de Krack Attack existen y cuáles son los más peligrosos para usuarios, por un lado, y empresas por otro? DD: En total se asignaron 10 CVEs para
las vulnerabilidades descubiertas por los Krack Attacks. Cada identificador CVE representa una vulnerabilidad específica del protocolo y que hay muchos fabricantes afectados por cada CVE individual. Más que distinguir entre ataques destinados a empresas o usuarios, sí que existen ataques que se realizan sobre los clientes o sobre los puntos de acceso. En este sentido, aquellos puntos de acceso que soportan 802.11r son vulnerables al ataque sobre el BSS FT Handhsake. Estos sí que son puntos de acceso típicamente utilizados en el ámbito corporativo, por lo que la afección va más dirigida a empresas. Como hemos dicho, los ataques más peligros son los que se pueden realizar sobre determinados dispositivos Android que reinstalan la clave a cero,
haciendo más fácil la monitorización del tráfico por parte de un atacante malicioso.
CSN: ¿Cómo protegerse ante estas amenazas? ¿Solo esperando a parches de fabricantes? DD: En este sentido, es necesario
encomendarse a las actualizaciones que publiquen los fabricantes. Tanto los fabricantes de clientes como también los de puntos de acceso. Ya que tanto unos como otros son vulnerables a los ataques de reinstalación de clave en una u otra modalidad. CSN: ¿Ha habido algún ataque de importancia destacable? DD: Al tratarse de ataques que se
producen en un radio determinado correspondiente al de una red wifi concreta, este tipo de ataques no salen a la luz de manera mediática como pudieran ser otros en los que se filtran millones de identidades o registros de datos robados, o que una empresa es víctima de cualquier tipo de ciberataque. Hasta la fecha no se conoce ningún incidente público en el que se hayan explotado los Krack Attacks, pero eso no quiere decir que no se estén produciendo. Tampoco se han conocido en todos estos años incidentes concretos en los que se exploten vulnerabilidades en WEP o ataques al WPS. Son ataques que se perpetran casi a diario en multitud de entornos pero que como están restringidos a un área geográfica determinada no suelen tener repercusión mediática. CSN: ¿Qué les puede llegar a ocurrir a los usuarios (especialmente Android) vulnerables a Krack Attacks? DD: Esto lo hemos comentado anterior-
mente. Los dispositivos Android vulnerables a la variante All-Zero-Key que reisntalan la clave a cero permite que un atacante pueda interceptar y manipular todo el tráfico emitido por dichos dispositivos. En otras palabras, tanto monitorizar como modificar todas sus comunicaciones. CSN: ¿Qué diferencias hay con los hackeos a redes Wifi locales? DD: Estos ataques también se efectúan
evidentemente en redes Wifi de área local. Pero a diferencia del resto de ataques, en estos no se obtiene la contraseña de la red ni la clave de cifrado. Los ataques se efectúan desde fuera y no atentan contra la red Wifi en concreto, sino contra clientes determinados o puntos de acceso. Luego, dependiendo de las circunstancias y condiciones de
cada caso, se pueden descifrar arbitrariamente paquetes para monitorizar información, así como manipular el tráfico inyectando paquetes.
CSN: Recientemente hemos estrenado el WP3 con aquel anuncio en el CES Las Vegas. ¿Qué cambios conlleva? y ¿por qué es más segura que WPA2? DD: Según la Wifi Alliance, el WPA3
mejorará en configuración, autenticación y cifrado. La característica más importante es que el nuevo protocolo de seguridad contará con un cifrado de 192 bits y resolverá entre otros, los problemas que se han identificado con los Krack Attacks. Entre otras mejoras, según se afirma en el comunicado de la Wifi Alliance, incorporará protección robusta incluso en casos donde los usuarios elijan contraseñas débiles que no cumplan los requisitos mínimos de complejidad, así como mejoras a la hora de configurar la seguridad para dispositivos con interfaz de visualización limitada. Contará con un nuevo handhsake diseñado para prevenir ataques de diccionario en configuraciones PSK (Pre-shared Key). Otra nueva funcionalidad pasa por la posibilidad de proveer una manera de implementar redes públicas o de invitados que cuenten con seguridad sin que el usuario tenga la necesidad de disponer de su propia VPN, mediante un sistema llamando Opportunistic Wireless Encryption (OWE).
CSN: Mientras se democratiza y normaliza el WP3, ¿qué recomendaciones para controlar el tráfico de las redes sugiere? DD: Las recomendaciones para fortificar
la seguridad de las redes Wifi son básicamente las mismas que hemos venido siguiendo hasta ahora: • Hasta que se normalice el WPA3, establecer WPA2 con una contraseña robusta que no pueda ser obtenida mediante un ataque de diccionario. • Modificar la contraseña por defecto del router y de las redes Wifi que se implementan de fábrica. • Deshabilitar el WPS. • Actualizar el firmware del router e instalar cualquier actualización de los fabricantes con respecto a los Krack Attacks. • Actualizar todos los dispositivos con los parches de seguridad emitidos por los fabricantes.
.
CyberSecuritynews | Abril 2018
36 CyberSecurity News Magazine / La web oscura
¿Conoces la diferencia entre Dark Web y Deep Web? La presencia de Affinion en la Semana de la Seguridad celebrada en Madrid ha tenido a los robos de identidad como protagonistas. Su stand ha contado con la presencia de Alberto Casares, Product Manager de 4iQ. Este granadino ha atendido a Cyber Security News para poner luz sobre este asunto. Texto: José
Luis Arcángel
Cyber Security News: ¿Qué diferencia hay entre Public Web, Dark Web y Deep Web? Alberto Casares: Podemos definir
como Public Web o Surface Web aquella parte de internet que está indexada. Es una forma muy resumida de decir que es el internet que conoce cualquier usuario como páginas de noticias, blogs, algunos foros… A partir de ese internet existe la Deep Web, que es aquella parte de internet que comúnmente no está indexada por los buscadores. Aquella información que aunque quisiera encontrarla un usuario normal, no podría acceder a ella sin saber específicamente donde está. Y por último la Dark Web, es aquella parte de la Deep Web, a la que para acceder necesitas un software específico como pueda ser TOR o I2P. Con ese software lo que haces es anonimizar tu conexión, evitando ser trazado. CSN: ¿Cuál es el riesgo de sufrir un robo de identidad? AC: Según la agencia Reuters cada
dos segundos, una persona es víctima de un robo de identidad. Nosotros el año pasado detectamos más de cuatro billones de identidades expuestas. Eso quiere decir que aproximadamente, cada segundo se exponen 140 identidades. Por dar otro dato, la población activa de internet se estima que son tres billones de usuarios. Así que por estadística podemos decir que cada uno de nosotros ha sido expuesto una vez. CSN: ¿Qué datos pueden circular por el Mercado Negro? ¿A qué precio? AC: En el mercado negro o Black
Market vamos a encontrar información de todo tipo. Dejando a un lado drogas y estupefacientes, actualmente está muy demandado conseguir identidades. Se pueden utilizar para hacer una suplantación de identidad, CyberSecuritynews | Abril 2018
Alberto Casares, Product Manager de 4iQ falsificar un pasaporte o crear una cuenta en un banco entre otras muchas cosas. Aquí podemos encontrar varias categorías: • Información personal, cuyo valor medio oscila entre 1 a 10 dólares. • Tarjetas de crédito, con un valor entre 5 y 20 dólares. Aquí varía mucho el precio en función del saldo que tenga y el tipo de tarjeta que venda el ciberdelincuente. Hay unas entidades financieras que tienen un límite mucho mayor, con lo cual el precio es mayor. • Cuentas para comercio electrónico o compra online como
pueden ser Amazon, Market places, PayPal… Aquí nuevamente el precio va a variar dependiendo del saldo que tengan esas cuentas asociado. Y suele estar entre 5 y 20 dólares. • El mayor precio que he encontrado yo son 250.000 dólares por una vulnerabilidad Zero Day desconocida por la empresa. CSN: ¿Cuál es el ciclo de vida de una fuga de datos? AC: Cuando nos roban la información
se produce una exfiltración. El hacker
la descarga en su sistema. Estamos en la primera fase que es un ciclo de enriquecimiento personal. El ciberdelincuente lo que intenta es explotar esa información por sí mismo. Llegado este momento el delincuente no puede explotarlo muchas veces por falta de medios, lo que hace es pasara a un segundo ciclo, un ciclo de intercambio. Lo que hace es cambiar esa información por otra que sea de su utilidad. En esta fase es como el patio del colegio con el intercambio de cromos, se cambian datos por otros parecidos o de valor similar. A partir de esta fase pasamos a otra en la que se produce una publicación en los black markets, oficialmente hay un enriquecimiento económico. Nuestros datos han sido robados en esa primera fase y se busca obtener una recompensa económica. Finalmente una vez que se publica, por propia estadística, la gente adquiere de forma más o menos pública esa información y la publican en la web abierta o en diferentes sitios de Deep Web o Dark Web. Entonces pasa a la última fase que es publicación de la información. CSN: ¿Hay alguna forma de saber si tus datos están circulando? AC: Es muy complicado por la enver-
gadura de internet, esos tres niveles Surface, Dark y Deep Web son inmensos. Es como medir el tamaño del universo, con lo cual un usuario tendría que tener accesos a esos tres niveles, o al menos al primero y al tercero y también tener conocimientos técnicos para acceder a esos sitios. En segundo lugar ser capaz de infiltrarse, porque en esos foros de intercambio, en esa segunda fase del ciclo que comentábamos antes, son círculos de confianza, no todo el mundo puede acceder. Y en tercer lugar tendría que ser capaz de adquirir esa información, sin dejar huella, porque adquirir esa información puede ser ilegal.
.
37
CyberSecurity News Magazine / CPP – Web Oscura
La cara más oculta de Internet Dicen que la web que todos conocemos supone solamente alrededor del 10% de todo lo que existe en Internet. El resto, como si estuviéramos ante un iceberg, es lo que se llama Internet profunda, Invisible Web, Web Oscura, Dark Web o Hidden Web. Niveles Internet Ciberseguridad.pdf
I
Texto: Samuel
1
10/4/18
12:55
Rodríguez
nternet tiene varios niveles, que por lo general para distinguirlos suele utilizarse el esquema del iceberg, en los cuales puedes encontrar diferente tipo de información y a los que se tiene acceso de manera distinta. Vale la pena conocer cada uno, descubrir el tipo de contenido y los riesgos que encontrarás. La parte que sobresale en la superficie del iceberg es la web tal cual la conocemos, la Surface Web o también conocida como Clear Web. Todo lo que hay debajo del agua es la Deep Web, y la parte más profunda de ella es la de la Dark Web.
C
M
Y
CM
MY
CY
La Dark Web Muchas veces es confundida con la Deep Web, y en realidad es que forma parte de ella. Es el área más profunda de la Deep Web y se refiere a las regiones que se ocultan de manera totalmente deliberada. La Deep Web supone en torno al 90% de del contenido de la World Wide Web, como hemos comentado anteriormente. Sin embargo, la Dark Web ocuparía
CMY
K
solamente el 0,1% de ella.
Aquí se puede encontrar una gran cantidad de contenido ilegal. En esta región, la clave es el anonimato: numerosas páginas en las que trafican con pornografía, venta de armas, drogas, blanqueo de capitales a través de Bitcoins, compra-venta de docu-
mentación falsa y robada, páginas de juego ilegales, se proveen servicios de hackeo avanzados y un sin fin de actividades más ilícitas.
Su objetivo es ocultar la localización y utilización de contenido del usuario, de cualquiera que esté vigilando las redes o realice análisis de tráfico. Las páginas de la Dark Web solo pueden accederse mediante herramientas específicas como Tor, siglas de The Onion Router. Es un software de encriptación que utiliza una red de servidores que redirigen de manera continua cualquier conexión entrante. Tu dirección de IP pasará por una serie de encriptaciones y se camuflará
detrás de otra IP diferente. Lo que logra mantener el anonimato de las personas que navegan en ella y su actividad online. De este modo, tus datos personales se mantendrán en secreto. No obstante, aunque la navegación a través del Tor Browser es privada, sí que puede monitorizarse de forma externa. Es más, así han conseguido cerrar famosos mercados negros de la Dark Web como el llamado Silk Road, oficialmente desactivada en la actualidad, que se hizo famoso por
funcionar como mercado negro de drogas recreativas. También es conocido el caso de la web de citas Ashley Madison, que iba dirigida
a gente casada. Los datos de sus
usuarios fueron robados y los hackers acabaron publicándolos en la Dark Web. No todos los usos que podemos encontrar en la Dark Web son ilegales, también existen casos de aquellas personas que viven en dictaduras y que la utilizan para comunicarse con el mundo exterior. Si alguna vez llegaras a aventurarte en alguna de las áreas más profundas de Internet, debes tener mucha precaución. Si en la Clear Web es importante mantenerte alerta y no compartir tu información personal, imagina lo importante que es hacerlo en zonas en donde el anonimato les da a los usuarios la libertad de hacer, publicar, vender y estafar como deseen.
.
CyberSecuritynews | Abril 2018
38 CyberSecurity News Magazine / Cyberterrorismo & Telegram
Telegram, la red social favorita del DAESH Telegram es una de las nuevas redes sociales que más adeptos está cosechando en todo el mundo. Los últimos datos cifran en 200 millones los usuarios que ya tienen cuenta en Telegram. ¿Por qué proliferan nuevas redes sociales si esta demanda está supuestamente satisfecha con los Facebook, Twitter o Instagram? Sencillo: proporcionan la encriptación de los datos al usuario. Ningún gobierno o empresa puede acceder a estos datos, algo de lo que se vanaglorian Pavel y Nicolai Durov, creadores de esta red social, así como otras tan populares en Rusia como VK. Esta promesa de anonimato ha seducido también a terroristas del DAESH, quienes han convertido a Telegram en su red social predilecta. Entrevistamos a Carlos Seisdedos, Analista de Inteligencia y experto en ciberseguridad. Texto: Samuel
Rodríguez
Cybersecurity News (CSN): ¿Por qué se ha convertido Telegram en la actualidad en la principal plataforma de difusión de contenido de carácter yihadista? Carlos Seisdedos (CS): La aplicación
de mensajería Telegram, pese a no ser la aplicación más utilizada por la población, se ha convertido en la aplicación que actualmente está considerada como el principal medio utilizado por los terroristas y sus fanboys para la difusión y propagación de contenido yihadista en redes sociales e Internet. Al Qaeda ya consideraba que Internet sería un espacio propicio donde poder conectar y difundir su mensaje, por lo que crearon y diseminaron foros, blog y páginas web donde “colgaban” su CyberSecuritynews | Abril 2018
propagada, videos y donde sus acólitos podían intercambiar mensajes. DAESH ha seguido y mejorado los pasos de Al Qaeda, utilizando el mundo ciber, como una extensión en la red en su labor proselitista, pero con técnicas mucho más depuradas con las que en sus inicios contaba la organización liderada por Bin Laden. Así, DAESH cuenta con sistemas actuales que permiten una encriptación y anonimificación, aspectos con las que Al Qaeda no contaba. Por ese gran dominio de las redes sociales, los medios de comunicación “crearon”, sin querer, el CiberCalifato, dando nombre al brazo propagandístico de DAESH en eliminar las redes sociales e Internet. La principal causa del incremento del uso de Telegram por parte de DAESH, es la combinación de diversos factores,
entre los que encontramos la capa de anonimato extra que proporciona, frente a otras aplicaciones o redes sociales, como Whatsapp, Facebook o Twitter, y la fuerte presión social a las que están siendo sometidas estas últimas para que aumenten los esfuerzos contra la utilización de sus empresas como foco de propagación de contenido yihadista. CSN: ¿Cómo funciona en este sentido Telegram? CS: Telegram es una aplicación que
permite comunicarse y compartir mensajes de voz, mensajes de texto, imágenes, videos, y cualquier tipo de archivo de hasta 1.5 GB con cualquier otro interlocutor, sin tener que facilitarle su número de teléfono; al contrario que los servicios de mensajería instantánea habituales como Whatsapp.
39
Carlos Seisdedos, Analista de Inteligencia y experto y ciberseguridad Esta particularidad de poder compartir conversaciones encriptadas, llamadas encriptadas, la creación de chats privados con autodestrucción de contenido, generación de tantos canales, grupos o supergrupos como se desee de hasta 100.000 usuarios, hacen que sea el lugar idóneo para convertir a Telegram en el punto neurálgico de la distribución de contenido yihadistas en Internet. CSN: ¿Qué diferencias tiene con respecto de otros servicios de mensajería instantáneo? CS: La principal diferencia entre
Telegram y los demás servicios de mensajería instantánea es la posibilidad de conectarse y poder intercambiar información, videos, imágenes, aplicaciones propias, etc., cualquier tipo de archivo de forma masiva y “anónima” mediante la creación de alias, así como la posibilidad la utilización de bots, lo que añade una capa más de anonimato en las comunicaciones o el intercambio de archivos. Los bots son pequeños programas, que suelen estar integrados en otra aplicación, que pueden encargarse de automatizar alguna de las acciones más habituales e interactuar con nosotros de la misma forma que lo harías con uno de tus contactos, abriendo un chat con el bot. Si están programados para ello, permiten mantener una conversación en lenguaje normal, e incluso ofrece una serie de acciones sobre las que puedes elegir, convirtiéndose en un primer escudo al iniciar comunicaciones con algunas personas con las que interactuar, o en meros distribuidores de contenidos de forma automática. CSN: ¿Qué elementos hace que sean más atractivo? CS: Como hemos comentado, el prin-
cipal atractivo de Telegram es ser una aplicación de mensajería instantánea cifrada, que, con una correcta configuración, permite a los usuarios dotarse de una capa de anonimato bastante importante, lo que les permite comunicarse, distribuir e intercambiar tanto mensajes de texto, videos, imágenes, archivos de hasta 1.5 GB y links que redireccionan de otras redes sociales donde también se ha distribuido contenido con una sensación de impunidad. CSN: ¿Cómo la utilizan? CS: Intentan reproducir el mundo
físico en el mundo virtual, por lo que además de los conocidos canales propagandísticos - que son los encar-
gados de difundir videos violentos con mensajes amenazantes, imágenes de decapitaciones y mensajes con la intención de captar y convencer a nuevos simpatizantes -, y los canales oficiales de DAESH, responsables de realizar los comunicados oficiales de las organizaciones terroristas en diferentes idiomas, también tienen canales donde muestran las bondades del Califato en su día a día lejos de los combates; canales tecnológicos donde publican manuales sobre cómo proteger sus comunicaciones; canales para los mal llamados “lobos solitarios” con manuales y videos sobre cómo fabricar una bomba casera, o cómo degollar a una persona… También existen canales de venta de armas u otros objetos, canales dedicados a la venta de Merchandising, donde puedes adquirir diferentes tipos de productos con los logos o leyendas de DAESH, de venta ilegal de antigüedades, canales solo para chicas, donde se las intentan captar para que se desplacen al Califato. En definitiva, cualquier cosa que puedas imaginar. CSN: ¿Se puede llegar a prevenir ataques? ¿Se ha conseguido alguno? CS: Es muy importante la detección
de indicios en Telegram y otras redes sociales para poder abortar posibles planes para atentar en España, Europa u otro lugar, y abortar la difusión de contenido yihadista que pueda ayudar convertir a otras personas. Fuerzas y Cuerpos de Seguridad del Estado hacen una labor muy importante en la prevención de futuros ataques. Por poner un ejemplo de su efectividad, desde el enero del año 2013 a septiembre del 2017, se detuvieron en España 222 personas relacionadas con el terrorismo yihadistas, de las cuales el 51,5% lo fueron por difusión de propaganda y enaltecimiento del terrorismo utilizando algún tipo de red social. Estoy convencido que con la detención de esas personas que se previno más de un ataque. CSN: ¿Según un análisis tuyo publicado recientemente se ha incrementado considerablemente el uso de esta plataforma por parte de yihadistas? CS: El uso de esta aplicación por
parte de los terroristas y de otros grupos criminales va en aumento, y ese aumento es el que se refleja en el informe cuantitativo que presenté sobre
los datos analizados compartidos en canales yihadistas o afines en la citada aplicación durante el año 2017, y donde se puede observar un resumen de forma visual en las dos infografías que publiqué en @CarloSeisdedos. Conforme la presión a Facebook, Twitter e Instagram, por decir las redes sociales más populares no disminuya, en Telegram continuará aumentando la presencia de canales de este tipo. A finales de marzo, concretamente el día 28, Telegram anunció que había llegado a los 200 millones de usuarios. CSN: ¿Conoce esto Telegram? ¿Puede parar su uso o colaborar? CS: No puedo hablar en nombre de
Telegram, pero la empresa es conocedora del mal uso que hacen diferentes grupos criminales y terroristas de su aplicación, y Telegram se vanagloria de no facilitar información de sus usuarios a las autoridades. Como ejemplo de la política de empresa, la negativa de Telegram a la petición de las autoridades rusas, quien le solicita las claves de cifrado para poder acceder a los mensajes enviados por los clientes de Telegram en Rusia, pero que ha sido ignorada por los hermanos Nikolai y Pavel Durov. Los terroristas también utilizan la Red TOR, aunque en menor medida, con páginas en inglés, árabe o castellano. O FREENET, aunque su presencia es anecdótica, motivo por el cual los seguidores de DAESH han creado canales tecnológicos específicos para la formación en seguridad y nuevas aplicaciones de comunicación, donde forman a sus miembros con video tutoriales y manuales, en diversos idiomas, de la utilización y configuración de VPN’s, TOR o la aplicación Orbot. CSN: ¿Qué otras redes sociales utilizan o forma de comunicarse? Deep web? Dark web? CS: Telegram es el principal foco de
distribución, pero DAESH es consciente de que necesita y debe expandir su mensaje en diferentes redes sociales, por lo que publica constantemente enlaces a Facebook, Twitter e Instagram para que los usuarios de dichas redes sociales puedan acceder a sus producciones audiovisuales y sus mensajes propagandísticos, aunque sus aspiraciones van más allá, incluso han creado diversas redes sociales propias, como Parrotbook, a imagen y semejanza de Facebook…
.
CyberSecuritynews | Abril 2018
40 CyberSecurity News Magazine / World Fintech Report 2018
El World FinTech Report 2018 señala las claves para el éxito futuro de los servicios financieros Para más del 70% de las fintech, la principal preocupación al colaborar con entidades tradicionales es su falta de agilidad, mientras que para trabajar con las startups tecnológicas lo son el potencial impacto negativo en la confianza del cliente, la marca y el cambio de cultura interna.
S
Texto: Vicente
Ramírez
egún el informe mundial de FinTech (World FinTech Report 2018) elaborado por Capgemini y LinkedIn en colaboración con Efma, el auge de las fintech continúa revitalizando la experiencia del cliente en el ámbito de los servicios financieros, sin embargo, muchas de ellas han comprobado que están solas en su batalla para lograr el éxito. Por ello, y debido a las fortalezas complementarias que aportan, las fintech están cada vez más interesadas en establecer una colaboración simbiótica con las empresas tradicionales de servicios financieros a las que, en su día, pretendían desbancar. El informe examina cómo las fintech están transformando la experiencia de usuario en los servicios financieros, con una mayor centricidad en el cliente y el CyberSecuritynews | Abril 2018
uso de las nuevas tecnologías, así como estudia el potencial de las relaciones simbióticas entre estas y las entidades financieras tradicionales y el papel creciente de las bigtech en este sector. revitalización de la experiencia del cliente
A través de sus innovaciones tecnológicas, este tipo de empresas están enriqueciendo la experiencia de los clientes respecto a los servicios financieros. La elevada competencia y las exigencias cada vez mayores del consumidor están generando una demanda cada vez más acusada de simplicidad y personalización. Las fintech utilizan los datos de los clientes para ofrecer soluciones personalizadas y, a la vez,
servicios digitales rápidos y disponibles 24/7 a través cualquier tipo de dispositivo.
No obstante, según los resultados recogidos en el World FinTech Report 2018, los clientes de servicios financieros confían más en las marcas tradicionales que en las fintech. Así lo explica Penry Price, vicepresidente de Soluciones Globales de Marketing de LinkedIn: “Las fintech están encon-
trando el éxito gracias a una filosofía de centricidad en el cliente que corrige las carencias de las entidades tradicionales. Estas deficiencias abrieron las puertas a las fintech, pero la confianza en las entidades tradicionales sigue siendo importante para los clientes”. oportunidad de colaboración
Libres del peso de los sistemas y culturas corporativas más tradicionales, las FinTech han aprovechado las nuevas tecnologías para responder con rapidez a las demandas de los clientes.
41
CyberSecurity News Magazine / World Fintech Report 2018 Según el informe, un 90% de las fintech señala que proporcionar agilidad frente a sistemas tradicionales (legacy) y mejorar la experiencia del cliente son sus ventajas competitivas fundamentales; y un 76% señala su capacidad de desarrollar nuevos productos y servicios y su aplicación de la innovación a los productos y servicios existentes. Su reto ahora es seguir creciendo
y crear modelos de negocio económicamente viables. A pesar de que las fintech han conseguido captar cerca de 110.000 millones de euros en financiación desde 2009, el informe se detiene en que muchas podrían acabar fracasando si no crean un ecosistema eficaz de colaboración ya que se enfrentan a retos como la expansión a otros mercados, conseguir la fidelidad del cliente y contener los costes operativos de escala. “Más del 75% de las fintech considera que su principal objetivo de negocio es colaborar con entidades tradicionales” Al mismo tiempo, las entidades financieras tradicionales están adoptando muchas de las mejoras propiciadas por las fintech en los servicios al cliente, sin descuidar sus fortalezas características como, entre otras, la gestión de riesgos, las infraestructuras, la experiencia en el ámbito regulatorio, la confianza del cliente y el acceso a capital. Ciertamente, fintech y entidades tradicionales ganarán al unísono con una relación colaborativa y simbiótica. “Más del 75% de las fintech considera que su principal objetivo de negocio es colaborar con entidades tradicionales. Por esto, es fundamental que tanto unas como otras transformen sus modelos de negocio a través de la colaboración para impulsar la innovación, manteniendo a
la vez la confianza del cliente”, explica Anirban Bose, responsable de la
unidad de Servicios Financieros de Capgemini a nivel mundial y miembro
del Comité Ejecutivo. “Sin un socio colaborador ágil y comprometido, las entidades tradicionales y las fintech se exponen al fracaso”.
Identificar al socio adecuado En esta edición anual, el informe de Capgemini pone de relieve que la colaboración será esencial para promover el éxito a largo plazo tanto para fintech como para las empresas financieras tradicionales. Y el éxito en una alianza depende de encontrar al mejor socio y el mejor modelo
de colaboración. Para crear alianzas sólidas, las empresas deberán superar las barreras que frenan la colaboración. Según el World FinTech Report 2018, más del 70% de las fintech señala que la principal preocupación que les plantea la colaboración con entidades financieras tradicionales es su falta de agilidad, mientras que, para las empresas tradicionales, lo son el potencial impacto negativo en la confianza del cliente, la marca y el cambio de cultura interna (gráfico adjunto). “Para conseguir una colaboración satisfactoria, ambas partes deberán mantener una mentalidad abierta y emplear esfuerzos específicamente destinados a la colaboración. Las entidades financieras deben respetar la cultura de las fintech y evitar la pérdida de su agilidad, que es uno de los activos más importantes que aportan a los proyectos. El siguiente reto será seleccionar la fintech más adecuada con la que establecer esa colaboración”, comenta Vincent Bastid, secretario general de Efma.
Acelerar la colaboración y prepararse para el futuro
El futuro de los servicios financieros está en manos de las fintech y de las entidades tradicionales, que pueden complementar sus respectivas fortalezas para satisfacer las expectativas de los clientes y redefinir su experiencia. Para apoyar al sector a acelerar su proceso de colaboración e impulsar las relaciones simbióticas, Capgemini ha creado un modelo de Certificación de Progresión (ScaleUp). Esta certificación crea un modelo de colaboración y de verificación mutua que promueve la alianza entre entidades tradicionales y fintech. Pese a que la gran incertidumbre es la relativa a las disrupciones que puedan llegar de las bigtech, lo que está claro es que es ahora cuando fintech y entidades tradicionales deben encontrar al socio colaborador más adecuado y redefinir su modelo de progresión. Capgemini y LinkedIn, en colaboración con Efma, ha realizado el World FinTech Report 2018 partiendo de una encuesta mundial entre empresas de servicios financieros tradicionales y fintech de banca y servicios de crédito, pagos y transferencias, gestión de inversiones y seguros. Las preguntas recogieron las opiniones acerca de diferentes aspectos relacionados con la experiencia del cliente y los principales factores a tener en cuenta para la mejorarla de forma acertada. El estudio arroja luz sobre la relación entre las entidades consolidadas y las de reciente creación, con especial atención a la perspectiva de las segundas, e incluye un análisis que puede ayudar a ambos grupos de entidades a alcanzar el éxito.
.
CyberSecuritynews | Abril 2018
42 CyberSecurity News / Jorge Lesmes Head of Blockchain de Everis Banking Practice en UK
“El Blockchain no va de confianza, es confianza” El sistema Blockchain fue protagonista en el evento Big Data to Action 2018 que la Madrid School of Marketing organizó en el Palacio de la Prensa de Madrid.
E
Texto: José
Luis Arcángel
l Head of Blockchain de
Everis Banking Practice en United Kingdom, Jorge Lesmes fue el encargado de presentar
el sistema Blockchain con una ponencia apta para todos los públicos dentro del evento celebrado en el escenario elegido en la céntrica plaza de Callao madrileña. En primer lugar definió Blockchain como: “Fuente de datos distribuidos entre múltiples participantes cuya información histórica es impermutable y es necesario consenso entre las partes para añadir nuevos registros que se incluirán de manera secuencial”. Sobre el blockchain explicó que es “una red centralizada y distribuida” y que lo que la hace más segura y fiable es que “no tenemos que confiar y tener fé en un regulador central, esto no va de confianza, es confianza”. Mayor rapidez y seguridad Para Jorge Lesmes los beneficios del Blockchain son: Descentralización, CyberSecuritynews | Abril 2018
Jorge Lesmes durante su intervención en el evento. transparencia, alta disponibilidad y seguridad. Uno de los beneficios del sistema es que “todos los nodos tienen toda la información y si se cae uno no pasa nada porque el resto mantienen viva la cadena”. A nivel usuario se va a notar en que “enviar euros al extranjero tarda a día de hoy entre 5 y 8 días. Se tarda menos en llevarlo en mano en un
avión. Con blockchain en 8 segundos lo haces”. Puso como ejemplo probado que Everis, su empresa, ha conseguido esa rapidez en una transferencia entre un banco de Londres y otro de Tokio. Por último Lesmes aconsejó a los presentes “pensar si el blockchain es óptimo para nuestra empresa. No es apto para todas. Solo es para casos puntuales”.
.