La ciberseguridad se ha vuelto un tema recurrente. Y no sólo en medios especializados, ya que periódicos convencionales e incluso telediarios hablan cada vez más sobre este tipo de tema. Esto está haciendo que cada vez más gente se interese por el mundo de los hackers, el negocio de la ciberdelincuencia y las profundidades de la red.
De todo esto vamos a hablar con Tamara Hueso, analista senior de ciberseguridad en Deloitte, la protagonista de nuestro quinto capítulo de 'Insert Coin', nuestra sección mensual en la que entrevistamos a invitados de primer nivel relacionados con las materias que nos fascinan en Xataka. El programa en vídeo lo puedes ver a continuación, el cual es un resumen editado de la charla con nuestro invitado. Si quieres escuchar la entrevista entera puedes hacerlo en nuestros podcast de iTunes e iVoox.
Tamara Hueso es ingeniera informática especializada en ciberseguridad y analista senior de ciberseguridad en Deloitte, una de las principales empresas de oferta de servicios del mundo. También es miembro del blog especializado en seguridad informática Follow The White Rabbit, y la primera mujer finalista de la competición anual de 'Atrapa la bandera' organizada por CyberCamp.
Con ella hablaremos de la seguridad de las empresas, de todos los principales casos de ransomware y fishing, y de cual es el estado del negocio de los crackers. También charlaremos sobre cómo todo esto está cambiando la política, las compañías e incluso lo que hacemos nosotros los usuarios finales con nuestros ordenadores y teléfonos móviles.
Así está el mundo de la ciberseguridad
Antes de entrar en materia, la primera pregunta que le hacemos a nuestra invitada es cómo acabó en el mundo de la ciberseguridad. Nos cuenta que estudió Ingeniería Informática, pero que durante la carrera no se dio mucho el tema de la ciberseguridad. Ella no empezó a adentrarse en ese mundo hasta su trabajo de fin de grado, en el que investigó sobre el análisis de malware en dispositivos móviles.
Ahora vivimos un momento en el que el tema de la seguridad informática está explotando en todos lados. Ocupa los titulares de la prensa, y empieza a colarse incluso en la televisión. Además, se han dado grandes casos como el del hackeo de Yahoo o el Ransomware que dejó a Telefónica inoperativa durante toda una mañana. La pregunta por lo tanto era obligada para nuestra invitada, ¿somos ahora más conscientes o la seguridad informática es peor?
Tamara nos cuenta que hay varios puntos que hay que conocer para entender esta explosión de casos. Por una parte, los ciberdelincuentes antes no tenían tanta intención de darse a conocer y preferían estar más en las sombras. También se tiene más consciencia de la ciberseguridad, y sobre todo, los ciberdelincuentes ven los ataques son relativamente sencillos de hacer y no tienen consecuencias tangibles. Sí se han visto casos de encarcelamientos, pero es muy difícil pillarles porque son realmente buenos.
Las empresas empiezan a dedicar más dinero en securizarse.
En cuanto al lado de las empresas, nos explica desde su propia experiencia que las empresas empiezan a dedicar más dinero en securizarse, pero luego no prestan la suficiente atención a las vulnerabilidades que se les reportan. Esto es, según su opinión, porque no llevamos muchos años hablando de este tipo de problemas, y algunos altos cargos veteranos no le dan tanta importancia. De hecho nos pone un ejemplo.
"Estuve en un cliente antes de WannaCry. Hacía tres meses que se habían publicado los exploits de la NSA, y atacaba a ciertos sistemas que había que parchear. Tuvieron tres meses para parchearlos y al final no se hizo", nos cuenta. "Con este cliente, una semana antes de que pasara todo esto, yo encontré ese fallo y se reportó diciendo que simplemente había que parchear el sistema... y no se hizo. Entonces, cuando pasó todo el lío ya era demasiado tarde".
Uno de los mitos alrededor de los ciberdelincuentes es que no necesitan ser avanzados tecnológicamente, sino que muchos recurren a la ingeniería social, a engañar a las personas y empleados de esas empresas. Respecto a esto, Tamara nos explica que lo que busca un ciberdelincuente es encontrar las vulnerabilidades de la empresa, y siempre el eslabón más débil es una persona.
"Tú te puedes gastar muchísimo dinero en segurizar tu sistema y tenerlo todo parcheado", nos explica poniendo un ejemplo del error más común de las empresas. "Pero si realmente luego no le das formación a los empleados es por donde pueden entrar"
Por ejemplo, nos explica que hoy está al alcance de todos el saber el nombre del CEO y los altos cargos de una empresa, así como sus correos electrónicos. Entonces, lo único que tiene que hacer un ciberdelincuente es informarse de todas esas cosas y lanzar ataques de fishing, por ejemplo, haciéndose pasar por uno de los jefes y pidiéndole a un empleado que que haga determinada cosa con urgencia.
Cualquier persona podría caer en esa trampa, desde un recién llegado a una empresa hasta alguien que ya está cansado por estar trabajando tarde. Aquí, Tamara Hueso cree que la solución más fácil sería formar a los empleados para que sean conscientes de los peligros que puede haber detrás de algunos correos electrónicos.
"En la sociedad no hay todavía una concienciación de que la ciberseguridad al 100% no existe"
Otro de los retos que hay en este escenario es el policial. Sobre este tema nos cuenta que los profesionales que se dedican a la caza de ciberdelincuentes meten muchas horas y hacen un trabajo increíble, pero como en la sociedad no hay todavía una concienciación de que la ciberseguridad al 100% no existe no hay suficiente gente que se dedique a ello. Y esto es un problema, porque se necesitan muchísimos profesionales para poder combatir el cibercrimen.
¿Cómo tiene que formarse alguien para ser hacker?
Para terminar, le preguntamos a Tamara qué tendría que estudiar alguien que quiera dedicarse a la seguridad informática. Ella nos dice que la carrera te sirve mucho para adquirir conocimientos informáticos básicos, pero que lamentablemente está el problema de que no se imparte demasiado sobre el tema concreto de la ciberseguridad.
Por lo tanto, la vía que acaban tomando casi todos los que al final se dedican a la seguridad informática acaba siendo la autoformación. Hay muchos cursos de pago y gratuitos donde formarte, y plataformas de CTF (captura la bandera) donde te ponen retos y aprendes sobre muchos campos de la materia.
"Se debería educar más", nos explica refiriéndose a la ausencia de ciberseguridad durante la carrera. "Porque si necesitamos combatir a los ciberdelincuentes tendremos que formar a personas para que los combatan.
En Xataka | Insert Coin
Ver 6 comentarios