"Cuando el minado ilegal llegue a IoT será desastroso”: hablamos con Dmitry Bestuzhev y Brian Bartholomew (Kaspersky Lab)

¿Cuál es la situación actual de la privacidad? Es más, ¿existe la privacidad? Los tiempos cambian y los ataques se vuelven más sofisticados, pero el objetivo sigue siendo el mismo: obtener datos de usuarios, explotar esta información y crear daño.

Ahora durante la edición 2018 del Security Analyst Summit de Kaspersky (SAS 2018) tuvimos la oportunidad de tener una muy interesante charla con Dmitry Bestuzhev, director del equipo global de investigación y análisis para América Latina de Kaspersky Lab, quien nos contó la situación actual acerca de nuestra privacidad y seguridad online.

Dmitry Bestuzhev: el estado de la privacidad y seguridad online

¿Cuál es tu opinión acerca de la privacidad en internet, crees que realmente existe?

Depende, hace aproximadamente cinco años vivíamos en una ignorancia completa, creíamos que la teníamos cuando no era así. Luego llega el boom donde todos nos dicen que no hay privacidad y entonces se forman los bandos: de quienes luchan por la privacidad, a los que les da igual, mientras que otros piensan que la privacidad está asociada con delitos. A partir de aquí nacen muchos proyectos tecnológicos, plataformas, medios, mensajerías, correos electrónicos, conexiones VPN, entre otros. Esto hace que hoy día vivamos en una especie de bufet, donde están los que se conectan a internet de una forma tradicional, donde no existe la privacidad, y aquellos que saben elegir cómo conectarse y qué datos dejar al descubierto. En resumen, se puede tener privacidad, pero no viene sola, hay que buscarla.

"Se puede tener privacidad, pero no viene sola, hay que buscarla."

Y qué hay de aquellos que creen que la privacidad no es necesaria, el famoso "no tengo nada que ocultar".

Interesante ese punto de vista. Sin embargo, cuando uno va al baño quiere cerrar la puerta ¿no? A ellos hay que preguntarles si tienen algo que esconder, o bien, decirles que les damos puerta, pero ésta debe ser de cristal ¿aceptarían? Con esto nos podemos dar cuenta de que no se trata de la puerta, todos necesitamos privacidad y no se trata de esconderse, el que esconde es criminal, y aquí el punto es proteger algo a lo que todos tenemos derecho. Por ejemplo, cuando estamos pensando algo en nuestra mente, nosotros elegimos si nos lo quedamos o lo compartimos. Imagina que descubrimos un día que la persona de al lado puede leer nuestra mente, sin duda nos volveríamos locos. La privacidad es algo esencial para el ser humano.

Muchos servicios han decidido implementar el cifrado de punto a punto para tratar de proteger las comunicaciones, ¿crees que es efectivo?

También depende. Se trata de un avance imprescindible, me alegra que mucha gente lo esté usando y cada vez más lo estén implementando, sin embargo, hay varios aspectos a tener en cuenta. El cifrado punto a punto permite en cierto sentido seguridad, pero no privacidad, porque para esto necesitaríamos que no sólo los datos estén cifrados, sino también quiénes están detrás de esa comunicación. Cuando estamos intercambiando mensajes con otras personas usando un programa de mensajería, nuestro número de teléfono está asociado a una cuenta a nivel global. Si alguien tuviese un 'super poder' podría saber fácilmente que éste número está charlando con éste otro, no sabe de qué, pero sabe que hay llamadas, mensajes, videollamadas, las horas de cada comunicación, el tipo de archivos que han intercambiado y el tiempo dedicado, vamos, se puede sabe hasta el tamaño de los datos de cada charla. Esto es como si alguien nos estuviera espiando detrás de una puerta, sin saber de lo que hablamos, pero sabe que estamos hablando y cuándo.

"El cifrado punto a punto permite en cierto sentido seguridad, pero no privacidad."

Entonces, el cifrado de punto a punto es importante, pero no es una solución completa si no se acompaña de las mejores prácticas para la privacidad. Por otro lado, por su nombre (de punto a punto o de extremo a extremo), qué pasa cuándo uno de los extremos se llega a infectar, ya sea un malware o un implante, pues el atacante llega a tener acceso a nuestras comunicaciones, tal y como se muestra a los usuarios del servicio. Sin duda es imprescindible manejar hoy día el cifrado de punto a punto, pero hay que entender que esto no es suficiente, por lo que es necesario garantizar que estamos libres de malware y nuestra privacidad está segura.

Si queremos proteger nuestra privacidad ¿cuáles son las áreas donde tenemos que trabajar? ¿Sería bueno tapar nuestra webcam?

Aquí la clave es no ser el último. Por ejemplo, si estuviésemos corriendo para escapar de un león, lo importante sería no ser el más lento, pero tampoco el más rápido, simplemente tratar de mantenernos en penúltimo lugar. Y sin duda, tapar la webcam es bueno cuando no podemos garantizar que nuestro dispositivo no está infectado. Por otro lado, se recomienda el uso de VPNs, conexiones seguras, actualizaciones de software de todo lo que tenemos y endpoint. Pero hay que mencionar que todo esto será insuficiente si el atacante decide usar algo de ingeniería social diseñada específicamente para nosotros.

Lo importante aquí es que el ser humano no debe tener exceso de confianza ante lo que recibe vía internet, tiene que trabajar continuamente en su propia educación, sin esto, todo lo demás no funcionará.

¿Y la seguridad y privacidad a través de las redes sociales?

Muchas redes sociales permiten lanzar ataques dirigidos, y aquí hemos visto que redes como Facebook o Twitter pueden servir de plataformas de vector de ataques dirigidos a diferentes personajes prominentes. Y es natural, el problema no está en la red social, sino en el contexto emocional que vive cada uno cuando participa en dicha red. Cuando le envían algo, él cree que es normal e inofensivo, vamos, es más normal que como si se tratase de un correo electrónico, porque ya hemos aprendido que los ataques vía correo están presentes, pero no en las redes sociales.

En el caso de la privacidad, a veces las redes sociales implementan algo nuevo con lo que buscan mejorar la privacidad, el detalle es que muchas veces debe ser descubierto por el usuario. A veces entramos un día y nos muestran un nuevo contrato con los cambios en las condiciones de servicio, con muchas páginas y lleno de palabras, el cual casi siempre aceptamos sin leer. Dentro de esto, una de las opciones habla precisamente de una nueva opción que nos ofrece mejorar nuestra privacidad, algo que está en nuestro perfil pero hay que ir a la configuración para activarlo, lo que al final dificulta que las personas lo hagan y hace que pase desapercibido. Por lo anterior, la recomendación sería revisar continuamente las políticas de nuestras redes sociales, donde nos podemos llevar sorpresas.

¿Cómo ves el papel de la inteligencia artificial como parte de las herramientas que podrían ayudarnos en tareas de privacidad?

Creo que es importante, la inteligencia artificial tarde o temprano entrará en el uso masivo, especialmente en aspectos de seguridad. Me gusta, ya que se podrá determinar de una manera más concreta los comienzos de un nuevo ataque en su etapa más temprana, lo que permitirá bloquear dicho ataque mucho antes de como se hace actualmente.

Ahora, desde el punto de vista de la privacidad, al estar ésta en las manos de quienes nos ofrecen los servicios, es complicado saber con qué fines se usará, ¿para el bien? ¿Para el mal? Hasta ahora hemos visto que nuestra privacidad, nuestra información, es a día de hoy el activo más importante para diversos proveedores de servicios. Todo lo que escribimos, lo que usamos, lo que guardamos, el tiempo que pasamos, todo esto tiene un mayor valor que el dinero, ya que esto genera el dinero, es una especie de moneda que se puede seguir usando y cambiando a pesar de que pase el tiempo. Aquí creo que, tristemente, la inteligencia artificial, en cuanto a privacidad, no necesariamente se use para mejorarla, sino al contrario, servirá para explorar nuevas oportunidades que puedan dar uso a nuestros datos personales con fines comerciales y de explotación.

¿Y el papel del gobierno? ¿Crees que están haciendo lo suficiente para resolver los temas de seguridad y privacidad?

Aquí he visto cosas muy interesantes, por ejemplo, cuando me conecto vía VPN por medio de algunos países europeos y abro Google, por ley aparece un texto en grande que avisa lo que Google está haciendo con mis datos, una especie de advertencia. Y esto en otros países no pasa. Aquí mismo en Cancún (México) abrimos Google y nada, no hay advertencias, lo mismo ocurre en Estados Unidos y otros países. La clave aquí es el gobierno y su papel que realmente varía de un sitio a otro, donde muestran cómo es el derecho a la privacidad de sus ciudadanos. Obviamente no existen consensos entre gobiernos, porque si no pueden ponerse de acuerdo en otros temas, menos lo harán en un tema tan complejo como lo es la privacidad.

Depende mucho del país en donde vives, pero sin duda los derechos a la privacidad están mucho mejor en la Comunidad Europea, sobre todo en dos o tres países, que en el resto del mundo.

Nos comentabas que hace algunos años no era tan importante el tema de la privacidad y la seguridad en internet, entonces ¿estamos peor que como estábamos antes o hemos mejorado?

Sé que en este momento al menos tenemos oportunidades, herramientas, medios, proyectos y más oportunidades tecnológicas para aquellos que deseen un mayor grado de privacidad, ya sea para tareas financieras, empresariales o personales. Pero si hablamos en general, pensando en un usuario no educado en estos temas, creo que sí, estamos peor que antes y con mayores riesgos, definitivamente. Cada página web está llena de scripts de rastreo que recolectan información sobre visitas, sistema operativo y hasta ubicación del usuario, vamos, hay sitios que saben bien que eres tú, incluso si estás usando VPN. Una muestra de ello es cuando algunas veces buscamos el precio de un billete de avión y nos muestra, por ejemplo, 300 dólares, y al regresar 15 minutos después, el precio ha cambiado a 350 dólares. Ellos saben que somos nosotros y tratan de sacar ventaja.

"Si hablamos en general, pensando en un usuario no educado en estos temas (privacidad y seguridad online), creo que sí, estamos peor que antes y con mayores riesgos, definitivamente."

Existe una sensación generalizada de que los virus minoritarios han ido pasando a segundo plano, ahora estamos en la época de los grandes ataques masivos que afectan medio mundo y nos ponen de cabeza, ¿por qué ha cambiado esto, qué ha sucedido y que podemos esperar?

Sin duda, la época de los infecciones masivas terminó, y terminó porque los atacantes se dieron cuenta que con esto podían robar dinero y no sólo causar caos. Al robar dinero pretenden mantener un perfil bajo para así permanecer el mayor tiempo posible en los dispositivos, no quieren dañar a alguien de forma masiva, sino robar masivamente. Sin embargo, el caso de WannaCry nos recordó esos tiempos cuando teníamos un gusano reiniciando los ordenadores o borrando la información, pero aquí hay que recordar que WannaCry fue una herramienta cibernética en las manos de un gobierno, es decir, se trató de un acto deliberado con el que se buscó causar daño. Entonces, ¿vamos a seguir viendo este tipo de ataques? Sin duda, ya que se trata más de una cuestión de poder, una muestra de lo que son capaces para que tengamos cuidado de ellos. ¿Puede pasar otra vez? Sí, pero no será una cosa de cada día como lo fue antes, yo creo que vamos a seguir viviendo una época de ataques silenciosos, dirigidos, persistentes, de alto perfil, ataques financieros y de vez en cuando estaremos ante estos ataques masivos, que ocurrirán cuando alguien se ponga muy de malas.

En tu caso ¿cómo viviste WannaCry?

Recuerdo que me tocó trabajar durante el fin de semana, todo comenzó un viernes y no me pude parar de la silla, tenía que estar entre prensa, análisis técnicos, estadísticas, publicando cosas en Twitter y recibiendo consultas, así como tratando de ayudar a la gente explicando cómo instalar los parches. Entre los mecanismos de propagación se usó uno de los exploits que había sido publicado por los Shadow Brokers, entonces todo se volvió una especie de terapia intensiva y tuve que aguantar eso hasta que terminara más o menos todo. Algo que finalmente ocurrió por el domingo.

Tomó tiempo e hice varios webinars porque había muchas preguntas y al final fue muy difícil. El que comenzara justo antes de que empezara el fin de semana complicó aún más las cosas.

Cada vez que surge un nuevo ataque siempre escuchamos lo mismo, que proviene de Corea del Norte, Rusia, Estados Unidos u otra región, ¿esto es real o sólo se ha vuelto cuentos de los medios?

La respuesta a esto es bastante compleja. Por supuesto no se trata de ataques falsos, cuando suceden, suceden, de verdad, y al menos yo no he visto noticias falsas de ataques que nunca existieron. La clave aquí es la atribución, ya que muchas veces es, o puede ser, errónea, y entonces con esto se empieza a armar una historia parcialmente verdadera y parcialmente falsa. Lo peor de todo es que vivimos en un mundo donde todos compiten contra todos, ya sean los medios o investigadores. Entonces, cuando alguien retoma algo y le da vueltas a la historia, puede llegar a malinterpretar un dato y eso provoca que se desarrolle una historia completamente equivocada. Lo que al final resulta en atribuciones ya sea a los rusos, y que después se corrija diciendo que eran norcoreanos u otros. Y al final el perjudicado resulta ser la sociedad, quien no sabe a quién hacer caso y dónde encontrar la verdad.

Por lo anterior, la atribución no sólo es compleja, sino que también conlleva mucha responsabilidad, porque cuando se declara algo se trata de una situación seria, donde se necesitan muchas pruebas que lo sostengan. Aquí hay que entender que lo que decimos va a tener consecuencias, ya sea en la gente, en políticos, en la economía y muchas cosas más. Creemos que esto se debe tomar de una forma científicamente moderna, pero siempre haciendo análisis del contexto de quién puede estar detrás.

Sabemos que hay un problema en los dispositivos de IoT, que últimamente se han vuelto un importante foco para ataques, ¿por qué crees que las compañías no se toman en serio estos problemas y tratan de resolver la seguridad de sus dispositivos?

Se trata del modelo económico. Lo que sucede aquí es que los dispositivos de IoT tienen un periodo de vida útil muy corto y las compañías siempre tratan de sacar nuevos modelos. El tiempo promedio de un dispositivo IoT es de menos de un año y esto hace que cuando descubrimos una vulnerabilidad, ésta ya no sirva, ya que en la mayoría de los casos ya habrá un modelo nuevo. Esto bajo la perspectiva de las compañías, ya que el usuario suele mantener su dispositivo por mucho más de un año. Es decir, lo que para el proveedor se trata de un dispositivo viejo, para el usuario es algo nuevo y completamente funcional.

Debido a este ritmo de lanzamiento, las compañías no tienen la capacidad de pensar en la seguridad, ya que lo primero en innovar y competir, mantener la imagen de la compañía a flote y vender más que el otro. Es más importante la funcionalidad, el diseño o el precio, que la seguridad.

O sea ¿la seguridad no es una prioridad para los fabricantes de dispositivos IoT?

No, porque si lo fuera les afectaría el ritmo de lanzamiento y perderían ante la competencia. Además, ¿cuánta gente compraría algo extremadamente seguro? Poca, ya que la gente quiere tener el dispositivo más bonito, con más y nuevas funciones y más barato, no uno que sea más seguro.

¿Quieres decir que al final el usuario es el culpable por no exigir mayor seguridad en sus dispositivos?

Claro. Si el usuario dice quiero un nuevo teléfono, cámara o altavoz, hay cientos de compañías que se pelean para que el usuario les compre, y eso es a través de cosas más atractivas, y la seguridad no es una de ellas.

Entonces aquí debemos educar tanto a usuarios como a las compañías. Las compañías deben tomar esto con responsabilidad, no se trata sólo de vender y deben entender que, literalmente, esto se puede convertir en una catástrofe, por lo que deben tomar medidas cuanto antes.

¿Qué crees que tenga que pasar para que las compañías tomen cartas en el asunto en temas de seguridad y asuman su responsabilidad?

Regulaciones. Si no hay leyes que les exija esto, nadie lo va a hacer. Necesitamos leyes que digan que todos los dispositivos deben salir de fabrica con ciertas medidas y cumpliendo ciertas regulaciones de seguridad, como una norma ISO. Se trata de algo básico, lo mínimo que deben cumplir para garantizar la seguridad del usuario en escenarios de ataques cibernéticos.

Estamos en pleno boom de las criptomonedas, ¿cómo crees que afecte el minado ilegal a nosotros como usuarios?

El minado ilegal se ha convertido en un enorme problema. En el pasado, cuando bitcoin empezó a cobrar relevancia, veíamos que los mineros aprovechaban algunas aplicaciones falsas, Skype fue uno de los afectados en aquel entonces. Luego como que la cosa se tranquilizó. Después llegó el boom del minado en los navegadores, el cual ya se tiene casi controlado por medio de antivirus, complementos para el navegador o deshabilitando Java. Pero ahora estamos ante otro problema, los atacantes ya se dieron cuenta que no se trata de un par de céntimos, sino de un tremendo negocio con un tremendo potencial.

En el mundo tenemos una gran cantidad de dispositivos que pueden ser aprovechados para ganar miles de millones de dólares. Esto ha provocado que grupos criminales estén atacando empresas, explotando vulnerabilidades en diferentes segmentos de redes, para luego instalar aplicaciones de minado en los controladores de los ordenadores o servidores, y ocultando estos procesos dentro de los procesos legítimos. Ocasionado que las empresas lleguen a tener pérdidas económicas directas e indirectas, las directas van sobre el consumo energético y el enorme incremento en los costes; y las indirectas van sobre la productividad de la compañía, ya que el minado afecta el rendimiento de los ordenadores y las personas, quienes ante esto realizan menos actividades. Es decir, la compañía termina gastando más y produce menos, mientras que los que están detrás de la red de minado ilegal, ganan mucho más.

Es un problema grande, y a pesar de que estemos hablando de ello aún está subestimado, las personas y las compañías saben que está ahí, pero creen que nunca les va a pasar.

Este 2018 ¿cómo ves la tendencia general de seguridad y privacidad para nosotros como usuarios?

En la seguridad habrá más ataques, se cree que podremos ver la implementación de botnets de minado en dispositivos IoT. Esto será desastroso, porque no hay forma de desinfectar un dispositivo IoT, podríamos desconectarlo y tirarlo a la basura, pero llegarán más igual de vulnerables y listos para ser infectados. Va a ser algo muy complicado, porque empezaremos a ver cómo se incrementan las facturas de luz sin saber el porqué, ¿desconectamos todo? ¿Qué está consumiendo tal cantidad de energía? En resumen, con esto nos enfrentaremos a muchos dolores de cabeza.

Además, seguiremos con los ataques dirigidos, y ahora veremos ataques de suplantación de cadena, que son aquellos donde se compromete el proveedor y desde ahí se instalan las actualizaciones maliciosas hacia los dispositivos.

En cuanto a privacidad, veremos más proyectos y la gente va a pedir más privacidad, mientras otros van a seguir con su idea de que eso no les afecta y pueden seguir igual.

Por último, ¿qué es lo mínimo de seguridad recomendable que debería tener un usuario promedio?

Depende de los hábitos, pero entre las recomendaciones básicas estarían:

  • Instalar siempre las actualizaciones de nuestros dispositivos y sistemas operativos.

  • Conseguir el mejor sistema anti-malware, no cualquiera, el mejor.

  • E Instalar en nuestro navegador complementos que bloqueen scripts de rastreo, aplicaciones de minado y publicidad, ya que por ésta última se ha comprobado que se puede transmitir malware.

Brian Bartholomew: panorama actual del ciberespionaje en el mundo.

También durante el SAS 2018, tuvimos oportunidad de entrevistar a Brian Bartholomew, quien es el principal encargado de seguridad dentro del equipo global de investigación y análisis de Kaspersky Lab, quien nos contó un poco acerca del panorama actual del ciberespionaje en el mundo.

¿Crees que el ciberespionaje es bueno en ciertas circunstancias?

Claro, el ciberespionaje existe por una razón, y si te pones en los zapatos de un país que puede ser responsable de ello, en su mente están haciendo algo bueno. Obviamente en la mente de la víctima no lo es. Veamos el caso de China por ejemplo, que se cree que lo hacen por cuestiones económicas. Se sabe que China ha robado información durante mucho tiempo, la cual está relacionada con secretos comerciales de diversas industrias de todo el mundo, lo que les permite dar un salto importante en el desarrollo de tecnología para su país sin tener que gastar mucho dinero en investigación. Por ello, sin duda para China el ciberespionaje es bueno, pero no para nosotros, en el caso de Estados Unidos, que se trata de un caso de robo para la industria, una forma de perder dinero para la nación que invirtió en todo esto.

A grandes rasgos creo que es malo para ambos bandos, ya que antes las negociaciones eran una especie de "trato de caballeros", pero ahora gracias a los ataques individuales y específicos, principalmente a gobiernos, esto se está convirtiendo en algo parecido al "viejo oeste". Cada vez se suman más actores, tenemos el caso de Corea del Norte, que ha estado bastante loco últimamente, así como el uso de malware destructivo... pero vamos, todo se basa en la propia agenda e intereses de cada país, juegos políticos o algo en esa línea, por lo que los "tratos de caballeros" ya no existen como los solíamos conocer.

Cuando las investigaciones de un ataque aseguran que Corea del Norte o Rusia son los responsables, ¿qué grado de seguridad tienen para determinar esto y en qué se basan para afirmarlo?

La atribución de un ataque es algo verdaderamente complicado de hacer. Hace unos años, un compañero y yo estuvimos investigando false flags, que son estrategias de los atacantes para simular que provienen de un sitio cuando no es así, y detectamos que en los últimos años se ha vuelto algo demasiado común. En Kaspersky tratamos de manejar la atribución desde una posición "agnóstica", y en ciertos casos es sencillo determinar de qué parte del mundo proviene el ataque, no quién está detrás, ni saber si trata de una unidad militar, agencia o gobierno, pero sí determinar de dónde proviene y hacía quién va dirigido. Esto al final dependerá de la cantidad de información que tengamos disponible.

¿Cuánto de real y cuánto es más un "relato de los medios y políticos" en que Rusia, China y Corea del Norte son activos, intervienen y tienen una agenda de desestabilización?

Regresando al concepto de "trato de caballeros", donde sólo teníamos ese robo de información y secretos, ahora los "grupos de APT" son usados precisamente para estos juegos políticos, de desestabilización y ejercer presión a la agenda de seguridad. Es un nuevo mundo y es apenas el inicio, ya que todo apunta a ponerse peor con el paso del tiempo. Empezaremos a ver posibles ataques de grupos mercenarios contratados para hacer tareas alternas, no directamente para el gobierno, pero sí para ganar dinero y llamar la atención de las redes sociales, crear miedo y caos impulsando campañas de seguridad. Tratando de meter todo en la agenda diaria, pero sin estar atribuido a un país o gobierno en concreto. La agenda política es determinante en esto y lo veremos con mayor frecuencia.

Esto se volverá más común de lo que veíamos hace cinco o diez años por ejemplo, los APT hace diez, quince años, eran literalmente para robar secretos comerciales, no se pensaba en cuestiones de agenda o desestabilización.

"Ahora los 'grupos de APT' son usados precisamente para estos juegos políticos, de desestabilización y ejercer presión a la agenda de seguridad."

¿Cómo nos afecta todo esto a nosotros como ciudadanos?

Si ves lo que ocurre por ejemplo en Estados Unidos, es una muestra de cómo la paranoia puede afectar a una nación, es sumamente efectivo y todo se basa en la difusión de información. Sin duda las ramificaciones de todo esto pueden ser realmente dañinas y no creo que para nada sea algo bueno, pero al mismo tiempo trata de ponerte en los zapatos del otro país, quienes al final lo hacen por alguna razón benéfica para ellos y sus ciudadanos. Al final dependerá de qué lado te encuentres y cómo lo mires.

Cuál es tu opinión acerca de la NSA y de todo lo que ha filtrado Snowden, ¿en realidad crees la NSA nos ha monitorizado a tal nivel y cómo crees que la agencia ha evolucionado desde entonces?

No quiero hablar especificamente de una agencia en particular, pero si una agencia, en cualquier parte del mundo, tuviese esa cantidad de herramientas e información que se filtraron, puedo asumir que sí (nos monitorizan) y obviamente han trabajado en rediseñar todas estas herramientas con el objetivo de que sigan siendo eficientes y no se vuelvan a filtrar. Es obvio que cuando pierdes información y el daño está hecho, tienes que pensar en cómo cambiar y corregir los errores, limpiar todo. En el caso particular de las filtraciones de Snowden, creo que el daño sigue estando presente, al final se trata de una gran cantidad de información filtrada y probablemente haya más, no lo sé. Pero sí, en cualquier caso creo que cualquier agencia que haya enfrentado la perdida de herramientas de este tipo e información, debe definitivamente modificarlas y cambiar.

Por otro lado, hemos visto como los actores involucrados y los investigadores han aprovechado esta información para analizar y ver cómo se han rediseñado, ajustado y adaptado las herramientas. Y esto es un caso común en cualquier parte del mundo.

¿Cómo se vive dentro del equipo en Kaspersky una gran crisis de seguridad?

"WannaCry sirvió para demostrar que nuestra seguridad no es 100% efectiva y podemos perder miles de millones de dólares en sólo unos segundos."

WannaCry fue un gran ejemplo de cómo todos estuvimos con las manos sobre el escritorio todo el tiempo. Era viernes en el tarde y todos empezamos a ver pantallas rojas en todos lados, lo que significó trabajar durante toda la noche investigando y tratando de entender qué es lo que estaba ocurriendo. Parte del trabajo consiste en enviar lo antes posible información a los actores involucrados, y es que en este caso, que se trató de un ataque masivo, el objetivo era detenerlo cuanto antes.

Aquí vimos una gran cantidad de empresas investigadoras trabajando, lo que al final se volvió una especie de carrera contra el reloj tratando de ser el primero en publicar los resultados del ataque. Además del trabajo de relaciones públicas, marketing y otras estrategias, así como investigadores que salieron a dar declaraciones cuando aún era muy pronto para determinar qué es lo que estaba ocurriendo en realidad. Pero WannaCry fue una crisis global y nadie estaba preparado, lo cual sirvió para demostrar que nuestra seguridad no es 100% efectiva y podemos perder miles de millones de dólares en sólo unos segundos.

Estamos viendo como los virus minoritarios han pasado a segundo término y ahora los grandes ataques masivos son amenazas que aparecen cada cierto tiempo ¿por qué crees que ocurre esto?

Existen, posiblemente, sólo dos países a los que nos les importan los ataque masivos debido a los grados de restricción que poseen: Corea del Norte e Irán. Y creo que en la mayoría de estos casos se trata de accidentes, donde una organización pierde el control en un ataque dirigido y se esparce por todo el mundo sin que los responsables puedan hacer algo. Aunque en el caso de WannaCry fue distinto, su objetivo era enteramente malicioso y fue puesto ahí para dañar y esparcirse a gran velocidad.

¿Qué es lo mínimo en seguridad que recomendarías a un usuario "normal"?

"La prioridad número uno es educar a los usuarios en ingeniería social."

Aquí tenemos que hablar de crear conciencia, hemos visto como la mayoría de los ataques surgen de phising al dar clic en enlaces enviados a sus correos electrónicos, abrir documentos con malware, o cosas de este estilo. Porque mientras los humanos sigamos cometiendo estos errores, esto seguirá siendo muy efectivo para los atacantes. La prioridad número uno es educar a los usuarios en ingeniería social, que sean conscientes de quién reciben documentos o enlaces y sepan determinar si están ante un riesgo potencial. Obviamente tenemos que pensar en sistemas endpoint, antivirus, y herramientas que nos ayuden en nuestras labores, pero sin la concientización del usuario esto no servirá de nada, y esto es sin duda lo más importante.

El usuario debe ser capaz de estar atento a lo que hace y ve mientras navega en internet, debe entender que los ataques están aquí y nos pueden ocurrir. Aunque crean que son una persona 'común' y no son un objetivo importante, todos podemos ser el puente para llegar a otra persona. Todos somos un objetivos.

Entonces, ¿crees que sería bueno evitar el usar servicios como Facebook, Google, o redes sociales?

Es complicado, todos quieren estar en las redes sociales, vamos, hasta mi abuela tiene su perfil en Facebook. Es difícil decirle a la gente que se aparte de estas plataformas, pero debo decir que lo bueno de esto es que las personas detrás de compañías como Facebook, Google u otros sitios, están trabajando muy, muy fuerte en proteger a sus usuarios. Conozco un grupo de personas dentro de estos sitios, quienes definitivamente están trabajando contra reloj tratando de mejorar las plataformas para que sus usuarios no sean blanco de ataques.

Puedo decirle a las personas que sigan estando en redes sociales, pero con precaución.

¿Qué opinas acerca del uso de inteligencia artificial en tareas de ciberseguridad?

El uso de machine learning será determinante. Ahora mismo se están haciendo cosas interesantes en este campo, aunque estamos en una etapa temprana para ver todo su potencial. Hemos visto ejemplos de implementaciones y fallos por parte de Google y Microsoft, por lo que debemos seguir probando y aprendiendo para que al final se convierta en algo efectivo. Pero sin duda creo que hay un área de oportunidad, la cual sería capaz de facilitarnos trabajos que nos llevaban tres años, a sólo tres minutos.

Usar tecnología de este tipo será benéfico para todos, pero antes debe ser confiable, algo que a día de hoy aún no se consigue del todo, ya que seguimos necesitando una mente humana detrás de todo esto. Un ejemplo de esto son las 'false flags', donde una plataforma de machine learning podría determinar de dónde proviene un ataque de acuerdo a las pruebas, cuando en la realidad se trata de un engaño y el atacante puso elementos deliberadamente para creer que el ataque proviene de un sitio distinto al original. Previamente se ha tratado de usar tecnología de este tipo, pero a día de hoy sigue sin ser 100% confiable, al menos en este tipo de escenarios.

¿Cómo ves el papel de los gobiernos en temas de ciberseguridad, crees que están haciendo suficiente?

Te voy a hablar desde mi perspectiva con el gobierno estadounidense, que es del que puedo hablar y conozco. Puedo decir que ellos están trabajando en crear esa conciencia en los usuarios, haciendo recomendaciones públicas y este tipo de cosas de forma constante. Pero detrás de todo esto aún creo que hay muchas cosas por hacer. Desde mi punto de vista el gobierno estadounidense está trabajando activamente en esto, de otros países no tengo idea, pero en la mayoría de los casos es transparente para el público en general, ahora podemos saber un poco más de lo que hay tras bambalinas.

Y en el caso de las compañías ¿crees que están trabajando en la misma línea que el gobierno?

Aquí depende de cada compañia, cada una se mueve de acuerdo a sus intereses, en el caso de Kaspersky, por ejemplo, nos centramos en proteger a los usuarios, y en mi caso estoy en la parte de investigación. Pero si vemos por ejemplo el caso de Facebook, ellos también tienen un equipo dedicado a investigación, pero con un enfoque distinto al mío. Todos jugamos en la misma cancha, pero desde distintas perspectivas, aquí la clave sería trabajar en conjunto para tratar de combatir a los 'chicos malos' y así proteger a la base de usuarios, pero es complicado. En la mente de Eugene (Kaspersky) la base de usuarios es el mundo, de ahí la frase de "estamos aquí para salvar el mundo", por ello tratamos de pensar en grande.

Por último, ¿crees que estamos preparados para el próximo ataque masivo?

Por supuesto que no. Este año veremos más ataques, el año pasado vimos una pequeña parte del potencial de destrucción de algunos y ahora veremos ataques mucho más destructivos, principalmente desde APTs, los cuales buscarán ajustar agendas gubernamentales y temas políticos. El futuro no está escrito, y no sabemos qué ocurrirá en los próximos meses, pero algo grande podría ocurrir en cualquier momento, ya que cualquiera podría presionar un botón y activar uno de estos ataques que nos tomen por sorpresa, y esto sólo porque alguien envió un tweet que molestó a alguien. Desafortunamente este es el mundo en el que vivimos.

Así que sí, creo que veremos más y más ataques. Es difícil estar preparado para otro WannaCry y más cuando tenemos exploits derivados que pueden ser usados para otro tipo de tareas o que ni siquiera conocemos. Hay gente compartiendo este tipo de herramientas todos los días, no sabemos en qué están trabajando y no podemos deternerlos. No hay forma de anticiparse y lo sabremos cuando el ataque esté aquí, por lo que no sé cómo podríamos estar preparados ante algo así, como un ransomware por ejemplo, así que sólo nos queda esperar.

Ver todos los comentarios en https://www.xataka.com

VER 6 Comentarios

Portada de Xataka