La estrategia es la mejor defensa que tenemos frente a las ciberamenazas
Entramos en el año de la resaca del ransomware, al menos en España, y lo que tenemos es la tentación de pasar página como si se tratara de la meta final en la que al traspasarla dejamos atrás una etapa con todo lo que ello significa, olvidarnos de lo ocurrido y enfrentarnos a un nuevo “folio en blanco”. Pues bien, siento ser el agorero que trae malas noticias, pero quería comunicaros que eso no será así. Al cambiar de dígito en el año no cambiamos la tipología de ataques y amenazas. Más allá, las sumamos. Vamos agregando métodos, técnicas, descubrimientos… Los malos no hacen “folio en blanco” y a inventar más cosas, los malos trabajan igual que nosotros, con ciclos de proyectos y servicios en los que en su ADN no está el abandonar las técnicas que funcionan, con lo que tenemos que pensar que esto es una carrera de fondo sin meta final.
A colación de esto, me viene a la cabeza lo que mi maestro de esgrima (Adrián, ¡grande!) siempre me ha dicho: “José, cuando algo te funciona en un asalto, ¡para qué lo cambias! Si estás tocando al contrario cerrando con cuarta y al pecho, por qué haces florituras, le das más espacio al oponente, etc… y por otro lado, cuando no te funcione, piensa en el motivo y ¡cambia rápido que el asalto se acaba!”.
Para los amantes de la esgrima seguro que este comentario les ha llegado al corazón, no por bueno, sino porque de repente han encontrado algún texto en el que se menciona este gran deporte. Además, pensándolo bien, es idéntico a la ciberguerra/defensa, un tío vestido rarito y con careta intentando buscarte la brecha para llegar a un “tocado”, si lo visualizáis ¡es idéntico! Pero retomando la argumentación, consolida lo expuesto y lo que hay que hacer, la estrategia que debemos de seguir: sigue atento a los ataques anteriores y alerta para detectar los nuevos métodos de penetración, de robo, en definitiva del hacking del malo.
Apenas ha pasado un mes del comienzo del año y ya se leen muchas predicciones de las tendencias de ataques y brechas de seguridad. La ciberseguridad está de moda, ya hasta en los colegios se empiezan a dar charlas, y esto es un puntal importantísimo, la concienciación y las técnicas básicas de configuración para el control. Pero hoy precisamente he leído en uno de los periódicos que se entregan en el transporte público y en las cafeterías gratuitamente a los más madrugadores, que “el 72% de los españoles que usan internet nunca cambian su privacidad”, no realizan configuración en su navegador para limitar su seguimiento. Y me ha venido a la cabeza Chema Alonso. Cada vez que le escucho en alguna charla, oigo con gran claridad eso de “es mentira que nos preocupe la seguridad” con lo que chapó Chema, tienes toda la razón. Opino lo mismo.
Y de repente, veo con estupor que quien comienza a subir cosas a las nubes (Cloud), se indigna cuando con gran desconocimiento critica la solidez de la seguridad de los servicios cloud. O sea, que como se migran los sistemas desde un entorno con unos niveles de seguridad “más robustos que la NASA”, ahora los sistemas de seguridad de los cloud providers son pocos y malos. Pues bien, comentaros que, como ya hice en alguna otra ocasión, cualquier cloud provider serio es siempre más seguro que el hueco perdido de la oficina donde has ubicado la “robusta” plataforma IT, un “CPD” con “altísima” disponibilidad de servicio. Pero eso sí, una de las tendencias del mercado es “la seguridad de los cloud providers”.
Hagamos las cosas bien, miremos primero lo que tenemos en casa y luego alineémoslo con lo que sacamos a la nube. Y esto nos lleva a otra gran cuestión, la identidad, ¡esa sí que es buena!
A nadie le gustaría que con una careta de esas de cartón que usan los niños para jugar, pudieran suplantarle su identidad y que, por ejemplo, pretendiera que su mujer y sus hijos no le reconocieran como alguien sospechoso. ¡Pues eso es lo que hacemos!, vamos por ahí con unas claves de usuario que quitan el hipo, con una despreocupación absoluta porque realmente como bien dice Chema, "no nos preocupa la seguridad".
Y lo malo es que en las compañías puede pasar lo mismo. Debemos ser más conscientes de que el valor de cualquier negocio es la información y que su pérdida es lo que más daño puede causar a la compañía y, por lo tanto, es lo que hay que proteger. Y en este proceso, el eslabón más débil siempre es y serán las personas. Entonces, ¿por qué no hacer su autenticación más robusta? Actualmente hay herramientas de control de privilegios y de autenticación fuerte con una inteligencia que hace mucho más sencillo su uso y su incorporación a nuestra gestión. Existen herramientas fantásticas para controlar el acceso y el uso de las aplicaciones de nube, denominados servicios CASB. Unas cuantas técnicas e implantaciones que nos liberarían de la carga de saber que lo estamos haciendo mal, así que pongámoslo en marcha, porque ¡esto es lo que debe estar de moda!
Hay muchas más “tendencias” de seguridad IT para este año; brechas del IoT y ransomware para atacar dicho entorno (ya denominado como ransomware of things “RoT”), miles de tipologías de ataques sobre la “movilidad”, etc.., pero sabiendo que es así y que como hemos comenzado diciendo, es un ciclo que no va a parar, ¿por qué no concentramos nuestras estrategias en tener información, analizar, detectar y predecir y así poder actuar con rapidez? No es tan caro, quitémosle ese “sambenito”, los costes suelen estar alineados a los riesgos de nuestro negocio, con lo que procuremos hacer como en la esgrima: La mejor táctica inicial es observar, tirar fintas, usar los movimientos que conocemos del rival y predecir los nuevos que nos podemos encontrar, dar distancia y estar preparados para “la flecha” que suele hacer el rival cuando ve que se acaba el tiempo y vamos por encima del marcador. Para ello, os invito a que veáis el minuto de oro que tuvo que gestionar nuestro gran tirador José Luis Abajo (Pirri) en las Olimpiadas de Pekín (Beijing) de 2008 y que le permitió conseguir a la postre la que a día de hoy es la única medalla olímpica conseguida en esgrima para España; táctica, estrategia y análisis al máximo para proteger lo que más quería en ese momento: hacerse con el preciado metal. ¡Enorme Pirri! (https://www.youtube.com/watch?v=ATocPah3aio).
Espero haber aportado algo de visibilidad y haber despertado, al menos, ciertas inquietudes en la ciberseguridad de vuestras organizaciones y, por qué no, en la esgrima.