Zacatecas, Zac. Deepak Daswani, jefe de Investigación en seguridad cibernética del Instituto Nacional de Tecnologías de la Comunicación del gobierno de España (Inteco), visitó Zacatecas para participar en el tercer Congreso Internacional de Mejora de Procesos de Software que organizó el Centro de Investigación en Matemáticas (CIMAT) con apoyo del Centro Zacatecano de Ciencia y Tecnología y la Secretaría de Economía de Zacatecas. Luego de ofrecer una conferencia magistral, el experto en ciberseguridad concedió una entrevista para el CIMAT.

¿Cuáles son las principales amenazas cibernéticas que enfrenta el sector público?

Nosotros en Inteco somos el centro de respuesta de incidentes de ciudadanos, empresas, operadores de sectores estratégicos y red académica. El sector público implica desde la administración pública, estructuras críticas o las redes académicas. La tendencia ahora mismo o el foco está puesto en la protección de infraestructuras críticas que son las que afectan las necesidades básicas como tener luz, agua, electricidad. Se ha comprobado que todo este tipo de centrales están conectadas a la red y son posibles escenarios como los que se veían en las películas como que una ciudad se quede sin luz, o una central deje de producir energía o que se produzca un colapso de los semáforos. Este tipo de cosas podrían pasar y lo que se hace es adelantarse para que no pasen o para poder responder ante un incidente.

¿Qué nos puede decir de las amenazas individuales?

Tenemos muchas amenazas focalizadas en menores que son muchas veces menos técnicas pero son ciberamenazas como el grooming, el cyberbullying o el acoso que se hace sobre menores por medios digitales. En cuanto a ciudadanos y empresas están el robo de identidad, fraude, secuestro de cuentas, phishing, malware, robo de credenciales online -de servicios o de identidades digitales- sustracción de dinero de cuentas online. Otra de las amenazas muy peligrosas es el ransomware que es el tipo de malware que lo que hace es secuestrar una sesión de tu equipo y cifrarte los archivos del ordenador para que no te permita  trabajar. Por ejemplo el “virus de la policía” que lo tuvieron en México y en muchos países también era un virus que secuestraba la sesión de tu ordenador y te presentaba un mensaje diciéndote que no podías trabajar en tu ordenador hasta que pagases una multa de 300 euros por estar viendo pornografía. Y no podías trabajar hasta que pagases la multa o quitases el virus que al final del día era un fraude. Ahora hay versiones más avanzadas de ese ransomware que lo que hacen ahora es cifrar el contenido del dispositivo o del disco duro, todos los archivos del ordenador con  una clave que no es igual para todos los afectados sino una clave con criptografía simétrica, pública y privada, con lo cual en esos casos la única posibilidad de rescatar tu información es pagar la multa y fiarte de los ciberdelincuentes que en ocasiones podrán responderte y en ocasiones no. Hay algunos que hasta te ponen una web para que tú metas un archivo que está cifrado y veas que te lo devuelven descifrado en partes para que sepas que es verdad, que tienen la clave y que son capaces de hacerlo. La otra opción es tener una copia de seguridad pero si no la tienes  pues has perdido toda tu información. Este tipo de amenazas son bastante corrientes al día de hoy.

¿Qué perfil se espera de una persona que quiera incursionar en la ciberseguridad?

No hay una única vía para trabajar en ciberseguridad. Hay quienes se dedican al análisis de malware, hay reversers que lo que hacen es reversar códigos para ver qué es lo que hacen, hackers éticos, pen testers que buscan vulnerabilidades pero también hay auditores de seguridad a nivel de gestión, metodología de riesgos y también están las fuerzas y cuerpo de seguridad del estado dedicados a ciberseguridad… Hace algunos años era difícil adquirir estas capacidades pero ahora hay muchos masters de información especializada a nivel de universidad que están integrando ciberseguridad. Es posible que más adelante exista ya una ingeniería especializada en eso por como se están separando los itinerarios académicos… A veces piensa uno que lo que aprende en la universidad no sirve de nada pero al final te das cuenta que por ejemplo un conocimiento fuerte de arquitectura de computadores, teoría autómata, del modelo ozzy, redes, ese tipo de cosas te sirven muchísimo para defenderte de estos ataques y comprender mejor técnicamente cómo funcionan las cosas; lo mismo sirve leer mucho y aprender mucho.

¿Qué tan extenso es el campo de la ciberseguridad?

Si la informática en sí es un campo muy amplio, la ciberseguridad o el hacking es casi tan amplio como la propia informática. Si dedicara todos los días de mi vida a estudiar este campo todavía me quedarían cosas por saber; es un tema de dedicarse a ello y sobre todo experimentar con la tecnología para aprender. Esto desde el punto de vista de querer entrar a nivel técnico en un puesto de ethical hacker, de pen tester, de auditor de seguridad, pero hay diferentes perfiles y niveles como los cuerpos de seguridad que no tienen que entrar a esos niveles. También ahora hay toda una rama de derecho relacionada con la ciberseguridad que toca más a la gente que viene de otras ramas. Pero hay diferentes tipos de perfiles que se están empezando a ver en este panorama de la ciberseguridad que yo estoy convencido que dentro de unos años incluso estarán más estandarizados porque es todo un proceso que a todos nos ha cogido por sorpresa pero ha sido una evolución de lo que algo antes era underground sobretodo los conocimientos de hacking ahora se ha convertido en una industria de la ciberseguridad que tiene muchísimos tipos de perfiles por ejemplo los exploiters que desarrollan los exploits. Hay muchísimas ramas…

¿Qué opinas de la estrategia de Estados Unidos que violó la privacidad de sus ciudadanos en nombre de la seguridad?

Esta es una controversia que da para muchos debates y no se puede emitir una opinión de “sí” o “no” pues es muy complejo. Yo creo que la vigilancia está justificada si sirve para evitar atentados terroristas, de hecho todo esto surgió a raíz de lo de las torres gemelas. Lo que sí es verdad es que viendo las herramientas que despliegan o viendo que incluso aparentemente han interferido en el desarrollo de estándares de cifrado y que hablan incluso de poner backdoors en sistemas propietarios parece una medida un poco exagerada y que espiar por espiar las comunicaciones de todos los ciudadanos sí que es una cosa que no se debería hacer y contra la que todos parecemos estar un poco en contra por violar nuestra privacidad. Asumir que más allá de que tengamos malware en nuestros dispositivos, que seamos infectados o que seamos comprometidos que ya de por sí con un dispositivo de serie que integra tecnologías propietarias que ya han sido interferido por una agencia y que permite que alguien pueda ver todos los datos que yo manejo, todas las fotografías que yo realizo, todas las conversaciones que yo tengo es un poco perturbador. En las publicaciones que salieron a raíz de lo de Snowden… cuando tú veías una gráfica de los empleados que trabajaban en la NSA, las comunicaciones que habían espiado de personas que no eran objetivo por parte de la agencia de manera errónea… Ese tipo de cosas no tienen justificación y no deberían producirse pero cuando tienes ese tipo de herramientas es muy difícil controlar quienes van a ser espiados y quienes no… Siempre se ha hablado de espionaje. En la guerra fría se pinchaban los teléfonos y ahora se usa internet. 

¿Cuánta infraestructura y recursos usan los ciberdelincuentes?

Cuando hay un problema es porque hay un error en una pieza de determinado software, un error de configuración, un error humano de parte del usuario, una mala práxis o un error en un sistema operativo, en una aplicación que se ejecute y todo depende del grado de exposición de esa plataforma, del nivel de accesibildad y de la magnitud de la vulnerabilidad que se descubre y que se pueda explotar. Hay vulnerabilidades que a lo mejor pueden permitir atacar cierto tipo de privilegios o un recurso pero sólo en unas condiciones determinadas. Por ejemplo, para el acceso a un FTP debes estar logueado con una cuenta de usuario. Evidentemente un exploit que se puede aplicar en un dispositivo de manera remota, desde cualquier sitio en Internet y que pueda tener acceso a ejecutar códigos remotos en un sistema es lo máximo, 10, en criticidad, entonces si un fallo de esos afecta una plataforma cualquier persona con conocimiento de ese fallo y de la explotación pues podría en teoría dedicarse a cometer actos de este tipo de ataques. No tiene qué ver con la infraestructura con la que pueda contar el ciberdelincuente detrás sino con el tipo de vulnerabilidad que hay, la criticidad de la misma, la posibilidad de explotación y el conocimiento que se tenga de todo esto. En la industria de la seguridad, una de las cosas de las que siempre se habla son los exploits zero-day que son vulnerabilidades que no se han descubierto, que ni el propio fabricante conoce. Si soy un investigador de seguridad y detecto una vulnerabilidad en Microsoft Office que me permita ejecutar códigos remotos y nadie las conoce o ha descubierto estamos hablando de que tienes un impacto muy grande con valores de mercado terribles porque con un exploit que yo podría desarrollar al tener una vulnerabilidad podría en teoría ejecutar códigos remotos en todas las máquinas del mundo que ejecutasen esa versión de office y ese fallo no lo conoce nadie.

¿Cuánto dinero implican los ciberdelitos?

Hay todo un mercado negro de compra y venta de exploits en el que se paga muchísimo dinero por eso porque esos exploits son las famosas ciberarmas que a veces valen incluso más que un ejército porque si estas me permiten afectar todos los ordenadores del mundo eso tiene mucho valor. Hay empresas especializadas en la compra y venta de exploits hay incluso tradings y brokers de exploits que ponen en contacto a organizaciones que quieran proteger su confidencialidad porque aquí estamos hablando de muchísimo dinero y de organizaciones grandes que son las que compran y venden este tipo de exploits y hay empresas especializadas sólo en buscar vulnerabilidades e intentar desarrollar esos exploits para atrapar a los atacantes.

La evolución en ciberseguridad, ¿cómo incide en el hacking?

El hacking es algo que hace unos años era una afición y ahora es nuestro trabajo y es una suerte que podamos dedicarnos a esto que nos gusta y que antes era un poco mas difícil de trabajar o acceder. Por ejemplo, antes para probar herramientas tenías que probar con sistemas reales y sin permiso. Ahora en cambio hay incluso empresas que contratan servicios de profesionales para auditar la seguridad de sus sistemas e intentar romperlos para prepararse ante este tipo de ataques. Los ataques siempre van a existir pero se trata de estar preparados. Es el concepto de la resiliencia que se maneja en ciberseguridad. Se trata de saber qué tan resilientes son nuestros sistemas ante los ataques que se puedan producir.