Con más de 20 años de experiencia sobre el terreno, Tony Anscombe es uno de los expertos en seguridad informática más reconocidos del mundo. Evangelista para firmas como ESET, es un must en conferencias de reconocido prestigio como RSA, Black Hat, Gartner Risk and Security, CTIA y muchas más. Especializado en temas como protección de datos, privacidad y seguridad en la red, es uno de esos autores cuyos artículos leemos con regularidad en medios como Bloomberg, BBC o CBS entre muchos otros.

En MCPRO hemos tenido la oportunidad de coincidir con Anscombe en la conferencia anual de prensa que ESET organiza en Bratislava y por supuesto, no hemos querido dejar pasar la oportunidad de compartir con él unos minutos para hablar sobre ciberguerra, la posible falta de seguridad de muchas infraestructuras críticas, qué está ocurriendo con el mundo IoT o cómo puede cambiar la computación cuántica el mundo de la ciberseguridad.

[MCPRO] Estamos en un momento de gran incertidumbre global, con amenazas cibernéticas, tal vez respaldadas por estados como China, Rusia, Corea del Norte…¿en qué posición se encuentra Europa en este tablero internacional?

[Tony Anscombe] Vamos a lo más básico. ¿Debería estar un país preparado para dar respuesta a un ciberataque? La respues es por supuesto que sí, independientemente de la procedencia de ese ciberataque. Y creo que la mayoría de los países están destinando una gran cantidad de recursos para combatir estas amenazas, incluso un cada vez más probable escenario de ciberguerra.

Por supuesto a diferencia de lo que ocurre en un escenario tradicional, aquí no sabes con qué recursos cuenta tu adversario y aunque siempre los hay, resulta más complicado identificar incluso tus propias debilidades.

Es una tarea que principalmente desarrollan los países de forma individual. No obstante, en Europa se está comenzando a desarrollar cierta cooperación. En la OTAN por ejemplo, estamos viendo algún grado de cooperación entre sus miembros y organismos como el Joint Research Center (organismo investigador que depende directamete de la Comisión Europea) están sirviendo como catalizadores para poner en marcha políticas comunes. En este sentido creo que Europa se encuentra en mejor posición que muchos otros países que puedan constituirse en una amenaza.

[MCPRO] Se habla mucho de la vulnerabilidad de las infraestructuras críticas. Pero en realidad, muchas de estas infraestructuras tienen un acceso a la red muy limitado, cuando no inexistente (como en el caso de las centrales nucleares). ¿Hay cierto alarmismo cuando se habla de la vulnerabilidad de estas infraestructuras?

[Tony Anscombe] Hay dos respuestas que podríamos dar en este caso. En primer lugar, ¿cómo defines lo que es una infraestructura crítica exactamente? ¿qué es importante al margen de lo obvio? ¿qué se va a convertir en una infraestructura crítica en el futuro?

Si piensas por ejemplo en el 5G y cómo se va a implementar en el futuro, en el desarrollo de las smart cities, que serán ciudades completamente «sensorizadas», ¿se convierte la ciudad en sí misma en una infraestructura crítica? O por ejemplo… si puedo atacar la red o los sistemas de un hospital, ¿no es eso una infraestructura crítica? La definición de lo que es o no es una infraestructura crítica no es la misma para todos.

Por otro lado, un ataque a una infraestructura crítica no implica necesariamente que tenga que estar conectada a la Red. Alguien se puede infiltrar de otra forma. Toma por ejemplo el caso de Stuxnet (malware orientado para atacar sistemas industriales y que llegó a infestar diversas centrales nucleares de Irán a través de un dispositivo USB en 2013), nadie tiene hoy en día demasiado claro cómo ese malware llegó a colarse en la planta nuclear… alguien debió introducirlo «manualmente» porque las centrales nucleares no están conectadas. Desde luego fue alguien que quería hacer daño, desde un agente extranjero a un hacktivista, un cibercriminal con motivaciones que no conocemos…

En cinco años la mayoría de los dispositivos IoT serán seguros.

[MCPRO] Es cierto, pero también lo es que supuestamente estas infraestructuras estarían siendo atacadas a diario y apenas se consiguen ver ataques que hayan tenido cierto nivel de éxito.

[Tony Anscombe] Bueno es cierto que lo que estamos viendo también por ejemplo en Estados Unidos es cómo el departamento de seguridad nacional cada vez destina más recursos y esfuerzos al mantenimiento de las medidas de seguridad de esas mismas infraestructuras, pero una vez más depende de lo que entiendas por crítico.

Ten en cuenta el caso de Wannacry por ejemplo se hizo con el control de parte de la red de transporte de Alemania, ¿no era eso una infraestructura crítica? O el ransomware se hizo con el control de parte del NHS (el sistema de salud británico) y puso en jaque el sistema de citas médicas para especialidades como oncología, que afectó a más de 19.000 pacientes… ¿es crítico? Creo que lo es bastante.

[MCPRO] En ese caso por supuesto hablamos de un término muy amplio…pero qué hay si lo ceñimos a esas instalaciones cuya infección tendría una gran capacidad de producir un enorme daño a la vida de muchas personas.

[Tony Anscombe] Incluso desde ese punto de vista en los últimos tiempos hemos visto cosas muy serias como un malware realmente sofisticado que se hizo con el control de la red eléctrica de Ucrania, directamente a la principal central de gestión, destruyendo los principales switches y sistemas de control.

Conseguir algo así no es para nada sencillo. Tienes que tener un nivel de conocimiento sobre los sistemas de control, sobre cómo funciona ese tipo de planta industrial para poder tener alguna posibilidad. Una vez más, lo más importante no es la red, es un todo lo que tienes que proteger, cualquier dispositivo que de alguna forma se introduzca en la infraestructura.

A un nivel más pequeño, piensa en los edificios inteligentes. Los construimos y los sensorizamos, instalamos en el sótano todo tipo de sistemas de gestión inteligentes (luces, calefacción, aire acondicionado, etc.). Tenemos ese edificio maravilloso y conectado. ¿Pero qué ocurre? Que a menos que no estés dispuesto a cambiar todos esos sistemas una vez cada cinco años, estarás viviendo en un edificio tremendamente vulnerable a todo tipo de ataques.

Y desde luego estás dispuesto a cambiar de portátil si ves que no funciona bien o ha «envejecido» pero ¿quién está dispuesto por sistema a reemplazar cada poco tiempo el sistema de gestión IT de un edificio? Es un problema bastante serio y que vamos a ver cada vez más. La seguridad debería ser vista por supuesto como parte de la inversión en el mantenimiento del edificio, pero me temo que no muchos lo van a ver así. ¿Cómo vas a convencer a una comunidad que es necesario invertir en un nuevo sistema de ventilación por temas de ciberseguridad?

[MCPRO] Si entramos entonces en el terreno del IoT y el 5G que acabas de mencionar, ¿crees que a corto y medio plazo se van a convertir en la principal brecha de seguridad tanto a nivel doméstico como industrial? ¿qué hay de ese «security by default» que no integran los fabricantes de estos dispositivos?

[Tony Anscombe] Lo que te puedo dar es solo mi visión muy personal sobre lo que va a ser el futuro del IoT. Voy a ponerte un ejemplo. Hace diez años, podías aparcar un coche en cualquier calle y conectarte sin ningún problema a la red WiFi de cualquier persona, básicamente porque ninguna red estaba encriptada y las contraseñas eran muy fáciles de capturar con las decenas de aplicaciones que había para eso.

Pero hoy si vuelves a ir a esa misma calle y vuelves a aparcar tu coche, te vas a encontrar que todas las redes están encriptadas, que otras tienen medidas adicionales de seguridad y no vas a poder conectarte a ninguna. Dicho de otra forma, han superado esa fase de transición.

Creo que con el IoT va a pasar algo similar. Nos encontramos en estos momento con una explosión de innovación en este área y tal vez la seguridad no sea una prioridad ahora mismo… por no hablar de que tampoco parece preocuparle demasiado al consumidor.

Pero pasada esta fase, creo que en unos cinco años nos vamos a encontrar que los fabricantes, las regulaciones impulsadas por los distintos gobiernos y esta vez sí, una creciente preocupación por parte de los usuarios van a provocar que los dispositivos IoT sean mucho más seguros, difíciles de explotar, como ocurre ahorra con las redes WiFi. Creo que es solo cuestión de tiempo para que la innovación adopte la seguridad necesaria.

La computación cuántica tiene el potencial para acabar con la seguridad informática.

[MCPRO] En esta ecuación de la que hablas (fabricantes, reguladores y usuarios) la parte más débil sigue siendo la de los usuarios porque ¿cómo les convences de que es necesario tener al día y actualizar el firmware de sus dispositivos IoT?

[Tony Anscombe] Creo que en primer lugar serán los fabricantes que desarrollan estos dispositivos los que van a ser los primeros interesados en tomar la iniciativa. Por ejemplo en California se ha impulsado una nueva legislación que obliga a los usuarios a cambiar la contraseña que por defecto que se incluye en los dispositivos. Es decir, es imposible utilizar el router, el termostato, la cámara de vigilancia que tengas, etc. si antes no cambias la contraseña de seguridad.

Es cierto que tal vez la medida no va todo lo lejos que debería, por ejemplo sería más interesante que obligase a una autenticación de doble factor, pero creo que es un buen sitio en el que empezar. Así que incluso si al consumidor no le preocupa la seguridad, se va a tener que preocupar igualmente… y ahí por ejemplo tienes el ejemplo de la GDPR en Europa y cómo realmente se han preocupado en proteger de una forma mucho más adecuada la privacidad de sus ciudadanos.

[MCPRO] En este terreno, ESET como empresa ¿trabaja con instituciones como la UE para aconsejar o guiar sobre las méjores prácticas en la materia?

[Tony Anscombe] Sí, somos miembros de varias organizaciones tanto en Estados Unidos como en Europa, y muchos de estos grupos hacen lobby ante todo tipo de instituciones públicas para impulsar nuevas regulaciones que tengan la seguridad en su foco de acción así que desde ese punto de vista sí.

Ahora, ¿trabajamos directamente con los estados o la UE? No. ¿Tenemos algunas conversaciones más o menos informales más o menos formales con ellos? En algunas ocasiones sí. Pero no somos activistas intentando que algo se haga, más bien podemos aconsejar.

[MCPRO] ¿Qué retos plantean los nuevos desarrollos de ordenadores cuánticos para la seguridad informática? Porque realmente puede haber un antes y un después en áreas como la encriptación de redes, archivos, contraseñas…

[Tony Anscombe]Esperemos que aún tarde unos cuantos años en llegar, o al menos, en popularizarse. Si por ejemplo un grupo cibercriminal fuese capaz de trabajar con un ordenador cuántico, tendría en sus manos el potencial para romper cualquier medida de seguridad. Mientras que hoy en día el ordenador más potente tardaría tres años en descifrar un código encriptado, con un ordenador cuántico la misma tarea se podría llevar a cabo en tres minutos.

Pero no es algo que vaya a pasar hoy. Si observas cómo ha evolucionado la industria de la ciberseguridad, observas por ejemplo cómo desde el año 2006 se ha estado preparando para cosas como por ejemplo el machine learning que están pasando hoy. Y creo que el con la informática cuántica vamos a una situación similar. Cuando llegue el momento en que se pueda convertir en una amenaza, la industria habrá tomado sus propias medidas.

Por ejemplo, ya hay algunas startups que están trabajando con sistemas de autenticación basados en blockchain, de modo que tu identidad nunca se transmite a través de la red y estamos viendo otras cosas también que a lo mejor nos preparan ya para esa realidad.

Fuente: mycomputerpro.com

Compartir