Desde los particulares hasta las empresas o desde las administraciones hasta los gobiernos, la tecnología digital trae consigo un sinfín de amenazas que no parecen parar de crecer. El tema de la ciberseguridad, y a través de ella la concienciación sobre los virus, malware y otros ransomware, afecta ya a todo el mundo.
Paul Rascagnères y Sébastien Larinier, autores del libro " Seguridad informática y Malwares - Análisis de amenazas e implementación de contramedidas", examinan el panorama, los actores y los métodos utilizados en el mundo de la ciberseguridad y nos dan valiosos consejos...
ENI: En las noticias se habla constantemente de ciberseguridad. Más allá de los titulares o de la palabra, que se ha convertido en un "cajón de sastre", ¿cuál sería el estado de la ciberseguridad hoy en el mundo?
Paul Rascagnères: si me preguntas a mí o a Sébastien, no tendrás la misma respuesta.
Por una parte, tenemos grupos que tienen un buen nivel de madurez, que saben lo que hacen, y luego tenemos otros que, incluso con un tamaño y un presupuesto similares, tendrán un nivel de madurez mucho más bajo, que sufrirán en lugar de ir “por delante", capaces de identificar los problemas de las infraestructuras. Esta disparidad es actualmente un punto importante.
Constantemente oímos hablar de campañas de ataques, todo el mundo sabe lo que es el ransomware, la ciberseguridad está en todas partes, incluido el gran público y la prensa general, afecta a todo el mundo. Algunas empresas han tenido que cerrar o incluso han ido a la quiebra por culpa del ransomware, que ya no es algo que afecte solo a los geeks y a los informáticos, sino que afecta a cualquier profesión. El espionaje tiene menos impacto, no necesariamente nos damos cuenta, pero el ransomware está en todas partes del mundo.
Cuando escribí mi primer libro, en realidad nos dirigíamos a un grupo muy concreto, pero el término hoy lo entiende todo el mundo.
Sébastien Larinier: ocurre lo mismo con el término virus informático, con toda la cobertura mediática o con tantos informes como se le dedican. Antes de hablar de ciberseguridad, hablábamos de seguridad informática. A finales de 2000 o principios de 2010, empezamos a utilizar ciber de todas las maneras posibles. Pero en sí, los gobiernos han estado haciendo esto durante mucho tiempo, hay muchos trabajos relacionados con la seguridad informática. En el libro, solo hablamos de una pequeña parte.
PR: Muchos libros hablan del pentesting, por ejemplo, o test de intrusión en español, que es una visión ofensiva de la ciberseguridad. El objetivo es realizar ataques controlados y ver cómo podemos protegernos. Nuestro libro se centra más en los aspectos defensivos y aspectos de malware. La ciberseguridad es un campo muy amplio y el término es impreciso.
ENI: Últimamente se habla mucho de ciberseguridad. ¿Son las mismas preocupaciones en todos los países?
PR: Hay grandes bloques, lógica, geográfica e históricamente. Los países de Occidente tendrán sus propios problemas, los del Este los suyos, y los de Asia los suyos, y no serán los mismos, porque la gente no utiliza la informática de la misma manera en todas partes.
Por ejemplo, en países ricos como Occidente, la tasa de iPhones es enorme. En África o China, solo será Android. Por tanto, los atacantes utilizarán también herramientas diferentes. En cuanto a las campañas de espionaje, pasa igual: no se espía en todas las partes del mundo de la misma manera.
ENI: En el libro hablan de Android e iOS.
PR: Hay dos capítulos dedicados al malware móvil, uno sobre Android y otro sobre iOS. Cuanta más gente utilice una tecnología, más tiempo le dedicarán los atacantes, su objetivo es comprometer a las personas, ya sea de forma muy concreta o a todo un grupo de personas. Y dado el número de usuarios de móviles, era inevitable que los atacantes apuntaran a estas plataformas.
ENI: ¿Cuáles son las principales amenazas para las empresas y los poderes públicos?
SL: Hemos hablado mucho del ransomware. Es algo cuantificable porque paraliza infraestructuras y servicios y tiene un impacto directo en la vida de las personas, así que se ve. El espionaje es más complicado porque hay que detectar el ataque y luego calificar el método.
Hay ámbitos en los que se ve que la intención tiene fines industriales, políticos o económicos, aunque a veces no tengamos la respuesta, que llega después, con las detenciones, los documentos o con los discursos políticos... Con el ransomware, a menudo acaba en la prensa.
PR: Por lo general, siempre hay alguien que sabe de una empresa a la que han engañado. En el caso del espionaje, a veces se tarda años en saber que se ha implantado un malware para espiar.
SL: Con el ransomware, hay un aspecto palpable, mientras que, en el espionaje, como a la antigua, hay más bien una noción de sigilo, pero hay que ser conscientes de que ambas amenazas existen, solo que una es más visible que la otra.
Las bandas que utilizan el ransomware quieren causar un impacto fuerte y bien visible, porque cuanto más visible sea, mayor será el rescate que pueden pedir. Y en vistas de lo críticos que pueden llegar a ser los datos que alcanzan, muchas veces se paga el rescate. Es la misma lógica que la toma de rehenes. Puedes decir que no pagas, pero si se convierte en vital, pagarás.
Después hay un efecto de moda de ciertas técnicas o vulnerabilidades, que es otra área de la ciberseguridad, el vulnerability management (gestión de vulnerabilidades) y el patch management (gestión de parches), ambos esenciales.
ENI: Ha mencionado a los gobiernos y las grandes empresas, pero ¿ocurre lo mismo con organizaciones más pequeñas?
PR: En términos de espionaje, no, no tiene mucho sentido vigilar al pizzero. En cambio, cuando se trata de ransomware y similares, mientras haya dinero que ganar, los delincuentes irán a por él.
SL: Es una cuestión de oportunismo, la diferencia es cuánto dinero hay en juego.
PR: Y para atacar a las grandes empresas, los atacantes no dudan en ir a por sus proveedores, que pueden ser empresas pequeñas. Sobre todo si tienen conexiones de red, apuntan a los eslabones más débiles. A menudo se oye decir "pero, ¿por qué yo? porque mucha gente no se da cuenta del interés que tiene para el atacante.
SL: Basta con ser proveedor de una empresa interesante. Hubo un caso con Solarwind, que es una gran empresa que fabrica sondas de red para los departamentos de seguridad estadounidenses. Un grupo comprometió su sistema de actualización y llegaron a meterse en su red y exfiltrar datos, ¡hasta en sitios donde, en principio, no había Internet! Esto es lo que llamamos ataques a la cadena de suministro.
ENI: Volviendo al tema del malware, ¿qué avances recientes existen en términos técnicos?
PR: Lo nuevo es que los atacantes utilizan cualquier nuevo lenguaje que salga, como Rust, Go... Y la dificultad es que no tenemos muchas herramientas, precisamente por lo nuevos que son los lenguajes.
Hoy en día, muchos atacantes utilizan el mismo malware, Cobalt Strike. El modus operandi sigue siendo casi el mismo, si los métodos antiguos funcionan, ¡para qué cambiar! Por otra parte, sí que ahora los atacantes se mueven rápido, saben lo que buscan. Las personas y los procedimientos se profesionalizan, como en cualquier otro trabajo, es una tendencia importante en los últimos meses o incluso años.
SL: A medida que las defensas maduran, los atacantes se vuelven cada vez más sofisticados. Hay muchas herramientas y muy profesionales, incluso las de código abierto, y detrás de ellas hay objetivos concretos, financieros o de otro tipo.
ENI: Entonces, ¿las empresas tienen que contratar expertos y destinar parte de su presupuesto a la ciberseguridad?
PR: Eso es lo que Sébastien y yo llevamos diciendo desde hace 10 años, pero creo que los atacantes de ransomware han hecho en dos años más que nosotros.
SL: Hay una cosa que sí ha cambiado mucho en 10 años y es que ahora los presupuestos de las empresas incluyen tanto el material como los expertos necesarios para la seguridad.
Y otra cosa que también está cambiando un poco es que todo automatizado no funciona. Se necesitan personas que sepan lo que hacen detrás de las consolas. Es bastante nuevo, en vistas del número de ataques que pueden producirse, la automatización es necesaria, pero también hace falta la experiencia. Hoy en día, un estudiante de ciberseguridad, sea cual sea su campo, no tendrá problemas para encontrar trabajo. Tanto en las escuelas como en las empresas se ha detectado la necesidad, pero no estamos formando lo suficiente.
ENI: ¿Y la IA en todo esto?
SL: Resuelve problemas, pero hay que entenderla. En mi laboratorio participamos en proyectos europeos sobre estas cuestiones y, cada vez más, afirmamos que necesitamos una IA colaborativa. Los humanos tienen que entender lo que hace la IA y viceversa.
De momento es una ayuda, pero el problema es el marketing que la rodea: queremos vender soluciones mágicas que lo van a resolver todo con la menor cantidad de medios humanos posible, y la cosa no funciona así.
ENI: Cada situación es distinta, pero ¿hay algún principio general para protegerse de las amenazas informáticas?
PR: Hay algunas cosas generales que venimos repitiendo desde hace años. Puede parecer ridículo, pero el primer consejo es "mantenerse al día".
También hay que formar y sensibilizar a los empleados, enseñarles los riesgos de abrir un archivo adjunto malicioso.
Solo con estas dos cosas, ya se llega muy lejos. Hay cientos de cosas que hacer, pero las dos más sencillas y con el mejor "retorno de inversión" son estas dos. Obviamente, también vale la pena repetir que no se debe utilizar "contraseña" como contraseña o que hay que tener contraseñas distintas cada vez.
SL: En el caso de los profesionales, cuando están desarrollando soluciones informáticas es cuando deben tener la seguridad en cuenta desde el principio. Es más complicado, porque tener desarrolladores que programen correctamente trabajando igualmente el aspecto de la seguridad, lleva tiempo y cuesta dinero, pero cuantas menos vulnerabilidades haya en lo que se pone en Internet, más difícil será para el atacante.
PR: En el mundo del ransomware, entre los distintos objetivos, el atacante va a ir al más débil, así que hay que ponerle obstáculos para que busque en otro sitio.
ENI: ENI: Hay todo un capítulo sobre Reverse engineering. ¿Puede describir esta práctica y sus ventajas en términos de ciberseguridad?
PR: No se utiliza mucho, pero la palabra en español es retroingeniería. Un malware es un archivo del que no tenemos el código fuente. Si quieres entender qué hace ese binario, qué tipo de archivo intenta robar, etc., no tienes más remedio que descompilarlo para recuperar el código ensamblador. Esto es lo que lee tu CPU.
La Reverse engineering es un campo complicado. Retrocedes 20-30 años para sumergirte en este lenguaje, se trata de entender lo que ha pasado. No es inaccesible, pero si no estás acostumbrado, lleva tiempo, es un lenguaje que se aprende más en la escuela.
ENI: Para usted, Sébastien, este fue primer libro. ¿Cómo lo vivió?
SL: Ya había escrito artículos técnicos y académicos, pero no es para nada lo mismo, es más intenso y exigente. Paul y yo estamos acostumbrados a trabajar juntos y para este primer libro su experiencia como autor me fue muy útil, no te das cuenta de todo el trabajo que tienes que hacer.
Fue una experiencia que me encantó. Aprendí a estructurar lo que digo dentro de este ámbito, a sintetizar lo que hacemos de forma automática. Lo que hicimos fue simplificar las cosas profundizando a la vez en los detalles. Estamos encantados con el resultado, al punto que voy a utilizarlo en mis clases.
Estos dos libros ofrecen al lector el máximo de información posible sobre la seguridad informática y los Malwares para aprender a proteger mejor su infraestructura y sus programas. 1 461 páginas desarrolladas por expertos. Hay elementos para descarga en www.ediciones-eni.com.Un libro de la colección EpsilonSeguridad informática - Ethical Hacking: Conocer el ataque para una mejor defensa (5a edición)Este libro sobre seguridad informática (y hacking ético) está dirigido a cualquier...
Este libro describe las técnicas y metodología utilizadas por los profesionales del análisis de malwares (o programas maliciosos). Está dirigido a informáticos apasionados por la seguridad y a los profesionales de la seguridad informática que deseen un enfoque operativo y altamente técnico. Los autores comienzan identificando y clasificando el malware; a continuación, describen y analizan los datos recopilados por las investigaciones digitales forenses (legaltech o tecnología legal). Estas...
Este libro sobre seguridad informática (y hacking ético) está dirigido a cualquier informático sensibilizado con el concepto de la seguridad informática, aunque sea novato o principiante en el dominio de la seguridad de los sistemas de información. Tiene como objetivo iniciar al lector en las técnicas de los atacantes para, así, aprender a defenderse. Esta nueva edición tiene en cuenta las novedades en el campo de la seguridad...
Ediciones ENI Editorial | líder en informática