Reforzar la inversi¨®n y la formaci¨®n, clave para proteger a las empresas
El primer paso hacia la soluci¨®n es siempre admitir el problema. En ciberseguridad, los siguientes pasan por reforzar la inversi¨®n y la formaci¨®n, compartir inteligencia, exigir productos con est¨¢ndares de seguridad y tomar conciencia de la identidad digital
Las historias del asalto a un casino hackeando el term¨®metro de la pecera o la intrusi¨®n en los sistemas de una organizaci¨®n desde el chip de la barrera del parking han pasado de pel¨ªcula a cr¨®nica de sucesos. A¨²n as¨ª, en muchos aspectos estamos en la edad de la inocencia. ¡°Los estudios dicen que en 2020 el coste de la ciberinseguridad ser¨¢ de 6 trillones de d¨®lares, cuando la inversi¨®n global est¨¢ en 80.000 millones. Invertimos mucho menos de lo que nos cuesta¡±, explica Xabier Mitxelena, que antes de ser responsable de Accenture Security para Espa?a, Portugal e Israel fue fundador de una de las principales empresas de ciberseguridad en Espa?a, S21sec.
La hiperconectividad a trav¨¦s de internet no se dise?¨® pensando en los riesgos que subyacen. Pero la tentaci¨®n de volver a los mandos anal¨®gicos no pasa de pataleta fugaz o debate puntual en alg¨²n comit¨¦. La turbina gira en direcci¨®n contraria: ¡°Se trata de potenciar la vida digital y el crecimiento econ¨®mico acorde¡±, explicaba Yigal Unna, responsable del Directorio Nacional de Ciberseguridad de Israel, en el marco de la Cyber Week que se celebr¨® en Tel Aviv en junio. Israel es uno de los pa¨ªses que m¨¢s invierte en ciberseguridad y cuyas empresas especializadas reciben un 20% de la inversi¨®n global del sector, seg¨²n datos oficiales. ¡°Hace cuatro a?os el Gobierno inyect¨® fuertes cantidades para la creaci¨®n de seis centros de ¨¦lite, cada uno de ellos enfocado en diferentes ¨¢reas, desde la criptolog¨ªa a los campos interdisciplinarios¡±, explica Unna. El buque insignia es el hub tecnol¨®gico de Beerseba, en el desierto del N¨¦guev, donde se concentran investigadores de la Universidad Ben-Gurion, especialistas de inteligencia israel¨ªes, multinacionales tecnol¨®gicas que han instalado all¨ª su sede regional, startups y generosas inyecciones de fondos p¨²blicos. El c¨®ctel la convierte en un El Dorado de la ciberseguridad.
Sin duda, visi¨®n de futuro: el negocio mundial crece exponencialmente, a la vez que la falta de expertos. Y pragmatismo. Beerseba plasma la colaboraci¨®n entre sectores que reclaman todos los analistas. ¡°Esto no lo soluciona una empresa ni un Gobierno, esto es un concepto de colaboraci¨®n p¨²blico-privada¡±, afirma Mitxelena.
Una de las iniciativas europeas en este sentido en los ¨²ltimos dos a?os ha sido potenciar la ECSO (Organizaci¨®n de Ciberseguridad Europea en sus siglas en ingl¨¦s), una asociaci¨®n p¨²blico-privada que re¨²ne a las empresas, las universidades y los centros de informaci¨®n de los pa¨ªses miembros. ¡°Se han definido grupos de trabajo que nos permiten reducir la brecha de seguridad que tenemos en este momento, generar un modelo de certificaci¨®n y un sistema de confianza¡±, afirma Mitxelena.
- Trabajar en el todo, no solo en las partes?
Inversi¨®n, formaci¨®n y cooperaci¨®n son parte de las medidas, pero no van a la ra¨ªz. Al margen de preparar y contratar ej¨¦rcitos de expertos, el problema se empieza a abordar de modo hol¨ªstico. Porque la ciberseguridad no va solo de manejar c¨®digo, sino de entender la complejidad de un negocio, de saber d¨®nde est¨¢ el valor m¨¢s sensible para poder defenderlo y de saber reaccionar a situaciones complejas con implicaciones m¨²ltiples. Como explica Rosa Kariger, CISO de Iberdrola, ¡°hay que empezar a entender que la ciberseguridad no es un problema de tecnolog¨ªa, de hackers, sino de comprender c¨®mo la sociedad, las empresas y los negocios est¨¢n soportados hoy por algo nuevo, que es la hiperconectividad¡±. Es la filosof¨ªa que ha aplicado en Iberdrola. Cuentan con los expertos, la formaci¨®n continua, trabajan en simulaciones, invierten en capacidades de detecci¨®n y est¨¢n coordinados con agencias nacionales e internacionales. En las infraestructuras cr¨ªticas no se arriesga. Pero, adem¨¢s de ¡°tener un presupuesto multimillonario en ciberseguridad¡±, explica Kariger, trabajan con una visi¨®n global de equipo: ¡°Hemos desplegado un modelo de traslado de la responsabilidad a todos los puntos de decisi¨®n. Hay dos perfiles que tiene que tener la compa?¨ªa. Uno, para la detecci¨®n, en la que necesitamos a los especialistas en ciberseguridad. Pero es much¨ªsimo m¨¢s importante que los equipos de todo el negocio tengan una buena comprensi¨®n de los riesgos que supone el uso de la tecnolog¨ªa¡±.
- Seguridad hasta en la pieza m¨¢s peque?a
Aunque la organizaci¨®n sea un b¨²nker de seguridad, siempre hay un eslab¨®n d¨¦bil en la cadena, sea el termostato de la pecera o el aparato de aire acondicionado. Las organizaciones cibercriminales capaces de ejecutar ataques de alta envergadura, como los que han costado millones a la banca, tienen estructuras similares a las de las empresas v¨ªctimas, estrategas y especialistas armados de una paciencia infinita que van a encontrar el punto d¨¦bil. El bot¨ªn merece la espera. Por eso, Mitxelena aboga por un cambio de paradigma que plantee la seguridad como una parte fundamental de la concepci¨®n de la tecnolog¨ªa desde su origen. El adi¨®s a las piezas no seguras: ¡°Hemos construido la seguridad desde fuera hacia dentro. El gran cambio y una de las claves es construir las cosas desde el concepto de security by design [seguridad por dise?o]. Igual que hemos conseguido definir los est¨¢ndares de calidad en nuestros productos y servicios, debemos incluir la seguridad como est¨¢ndar¡±.
Rick Echevarria, vicepresidente de la divisi¨®n de Seguridad de Intel, empresa cuyos chips revelaron este a?o una vulnerabilidad que puso en riesgo millones de terminales, reconoce que la prioridad es asegurar la integridad de los ordenadores, los algoritmos y el software. Y apunta una soluci¨®n especialmente dirigida a la inteligencia artificial (IA) y los datos: ¡°?C¨®mo conseguimos que sean eficientes los sistemas de IA si no se puede acceder a los valiosos datos? La respuesta es operar con ellos de un modo seguro y privado: cifrado homom¨®rfico [un sistema que permite cifrar datos, compartirlos y operar con ellos sin descifrarlos]¡±.
- Educaci¨®n e identidad digital?
La nube y los m¨®viles son las partes m¨¢s d¨¦biles de la seguridad y solo el 1% de los usuarios protege sus m¨®viles contra el malware. Lo afirma rotundamente Gil Shwed, una autoridad en el sector, fundador y CEO de la empresa Check Point. Aqu¨ª es donde entra la educaci¨®n del usuario final: que levante la mano el que lleve un antivirus en el m¨®vil, esa caja conectada que contiene informaci¨®n y conversaciones de empresa adem¨¢s de todo tipo de datos, fotos y cuentas privadas. Kariger aboga por una doble responsabilidad. Por un lado, por parte del usuario: ¡°Hay que aprender a ser consciente del riesgo que se asume al estar conectado y poner barreras¡±. Y por otro, por parte de los fabricantes de la tecnolog¨ªa: ¡°Lo que no puede ser es que es est¨¦s operando con un router o un dispositivo que pienses que es seguro y no lo sea¡±.
Xabier Mitxelena va un paso m¨¢s all¨¢ y defiende un concepto de identidad digital ¨²nica, alineada con los derechos de intimidad y protecci¨®n de datos. ¡°Es el trabajo m¨¢s complejo y m¨¢s apasionante que tenemos ahora mismo, c¨®mo generar un modelo tecnol¨®gico que nos identifique: ?a trav¨¦s de una IP, de un n¨²mero de tel¨¦fono que sea ¨²nico, inviolable e invulnerable? Ese es el gran reto¡±.
Cronolog¨ªa. Algunos de los ciberataques m¨¢s conocidos
1988. Robert Tappan Morris dise?¨® el primer gusano, un virus ideado para replicarse infi nitamente y esparcir su da?o por Internet. Morris, seg¨²n su versi¨®n, estaba intentando mapear el tama?o del Internet precoz y afect¨® a 6.000 servidores Unix.
1999. El 26 de marzo David L. Smith libera el virus Melissa ¡ªnombrado en honor a una bailarina de topless de la que estaba enamorado¡ª y causa m¨¢s de 68 millones de euros en p¨¦rdidas. Smith fue condenado a 10 a?os de c¨¢rcel, de los que cumpli¨® 20 meses.
2000. El gusano ILOVEYOU, creado por un estudiante fi lipino como parte de su tesis, infecta millones de ordenadores en todo el mundo a las pocas horas de su diseminaci¨®n online.
2007. Estonia, exrep¨²blica sovi¨¦tica, sufri¨® un brutal ataque inform¨¢tico que tumb¨® webs gubernamentales, medios de comunicaci¨®n, bancos y hasta el parlamento. El Gobierno acus¨® al Kremlin, aunque luego admiti¨® que no ten¨ªan evidencias tangibles de tal implicaci¨®n. Pero en 2009, en un foro tecnol¨®gico, un pol¨ªtico del Kremlin, Sergei Markov, afi rm¨® que los ataques hab¨ªan sido orquestados "por su asistente".
2007. Como parte de su Operation: Bot Roast, dedicada a la detecci¨®n de botnets, el FBI anuncia la detecci¨®n de un mill¨®n de ordenadores infectados por hackers. La mayor¨ªa de sus due?os no eran conscientes de la posesi¨®n remota de sus computadoras.
2009. Entre junio y diciembre de 2009 Google sufri¨® un ataque masivo, supuestamente desde China, que rob¨® propiedad intelectual del gigante digital. Otras compa?¨ªas tambi¨¦n fueron atacadas y el caso se conoci¨® como Operaci¨®n Aurora.
2010. Israel y EE UU niegan tener nada que ver con ¨¦l, pero el caso es que un programa inform¨¢tico llamado Stuxnet acab¨® con un quinto de las centrifugadoras iran¨ªes, frenando radicalmente su programa nuclear.
2012. Kaspersky, una de las principales empresas de ciberseguridad, desvela que ha descubierto la red de ciberespionaje m¨¢s poderosa de la historia, bautizada como Octubre Rojo: mil ordenadores gubernamentales afectados en decenas de pa¨ªses, con los que se rob¨® informaci¨®n de sectores cr¨ªticos.
2014. The interview, una pel¨ªcula sat¨ªrica de Sony Pictures en la que dos periodistas (James Franco y Seth Rogen) intentan asesinar al l¨ªder de Corea del Norte, provoc¨® un brutal ciberataque que desvel¨® una ingente cantidad de informaci¨®n sensible de Sony, incluyendo emails de sus ejecutivos y estrellas.
2014. Una de las entidades de cambio de bitc¨®in m¨¢s importantes, la japonesa Mt. Gox, se declara en bancarrota tras el robo de m¨¢s de 850.000 bitc¨®ins de su sistema, una cifra cuyo valor equival¨ªa en el momento del robo a 380 millones de euros.
2017. 200.000 ordenadores en 150 pa¨ªses. Y una idea detr¨¢s: la obsolescencia en la que muchas empresas tienen su software. La debacle creada por el gusano Wannacry explotaba un defecto de seguridad de Windows para el que ya exist¨ªa un parche, pero que, como sab¨ªan los hackers, muchos equipos no tendr¨ªan instalados. Fueron infectados bancos, grandes empresas y hasta hospitales. Algunos pa¨ªses concuerdan en que los ataques fueron dirigidos desde Corea del Norte.
Tu suscripci¨®n se est¨¢ usando en otro dispositivo
?Quieres a?adir otro usuario a tu suscripci¨®n?
Si contin¨²as leyendo en este dispositivo, no se podr¨¢ leer en el otro.
FlechaTu suscripci¨®n se est¨¢ usando en otro dispositivo y solo puedes acceder a EL PA?S desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripci¨®n a la modalidad Premium, as¨ª podr¨¢s a?adir otro usuario. Cada uno acceder¨¢ con su propia cuenta de email, lo que os permitir¨¢ personalizar vuestra experiencia en EL PA?S.
En el caso de no saber qui¨¦n est¨¢ usando tu cuenta, te recomendamos cambiar tu contrase?a aqu¨ª.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrar¨¢ en tu dispositivo y en el de la otra persona que est¨¢ usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aqu¨ª los t¨¦rminos y condiciones de la suscripci¨®n digital.
