Los ataques evolucionan, pero las defensas también. En tiempos complejos donde Un la hiperconectividad y el auge de nuevos tipos de amenazas están generando un cambio de paradigma en la ciberseguridad, las organizaciones se enfrentan a ciberataques cada vez más sofisticados que son capaces de eludir los sistemas de protección tradicionales mediante técnicas Living Off The Land. En este contexto, Jorge Oteo, CIO, Director tecnología de Vocento y uno de los Top 25 influencers en ciberseguridad en España, nos ofrece las claves para que las compañías evolucionen hacia un modelo más preventivo, proactivo y eficiente para su protección.

Desde que iniciaste tu carrera profesional, ¿Podrías describirnos cómo ha evolucionado la ciberseguridad durante estos años y qué grandes cambios se han experimentado?_

Jorge Oteo: Inicié mi carrera hace mucho tiempo. Entonces, muy pocos pensábamos en la seguridad. De hecho, el término ciber ni siquiera existía y más tarde llegarían los equipos de marketing a acuñar la palabra.

La ciberseguridad ha evolucionado, sobre todo porque ha cambiado el paradigma de nuestras plataformas, de nuestros desarrollos, de nuestros usuarios, de lo que exponemos y de nuestra conectividad. Y posiblemente, esa evolución ha sido más rápida que el tiempo empleado en tomar medidas para securizar adecuadamente todo.

Además, cada vez es más fácil ser atacado y cada vez estamos más expuestos. Pero no estamos solos porque, afortunadamente, los proveedores, aprovechando esta mina de oro del siglo XXI, se han puesto las pilas y han sacado las cajas registradoras para darnos soluciones a los diferentes problemas, fruto de estos cambios de paradigma.

Jorge Oteo. Imagen vía CIO from IDG

Jorge Oteo. Imagen vía CIO from IDG

¿Cuáles crees que son los mayores retos de ciberseguridad a los que se enfrentan las empresas hoy en día?_

J.O: Desde mi punto de vista hay 3 grandes retos:

  1. Concienciación: para todos los que conforman nuestro ecosistema y no solo para nuestros empleados, sino también para nuestros usuarios, colaboradores, proveedores, etc. Conforme estemos más conectados y seamos más dependientes de esas conexiones, seremos más vulnerables al mundo exterior.

2. Resiliencia: el hecho de que nos van atacar es inevitable, pero el riesgo que corremos dependerá de nuestros activos expuestos. Tenemos que gestionar de manera ordenada y no improvisada cuando recibamos un ataque de cualquier tipo. Por tanto, tenemos que estar preparados, con herramientas, con proveedores que nos ayuden y con el equipo de seguridad adecuado para enfrentarnos al ataque y lo más importante para recuperar el servicio lo antes posible, con el menor daño posible.

3. Mundo hiperconectado: las tecnologías como el 5G y la creciente hiperconectivdad son buenas para nuestros negocios, pero también suponen un impulso para los “chicos malos”. Por tanto, lo que es una oportunidad para nuestros negocios, también se ha convertido en un riesgo.

Además, a diferencia de años atrás, empieza a no haber perímetro que proteger. Es exagerado decir que el perímetro está muerto, pero si cada vez está más difuminado.

En relación con las anteriores preguntas, ¿Hacia dónde nos dirigimos en el futuro? ¿Cuáles serán las principales tendencias en ciberamenazas y cómo deben afrontarlas las empresas?_

J.O: Me dejé la bola de cristal en casa o se me rompió de camino: no me gusta adivinar el futuro y prefiero trabajar el presente. Sí tengo claro que la seguridad en las empresas es clave y no siempre está reconocida (a nivel presupuestario, de perfiles adecuados o de importancia en los órganos directivos). Por tanto y desde mi punto de vista, es una lucha constante, donde todos los años debemos ir incrementando nuestra seguridad, teniendo en cuenta que nunca vamos a tener la seguridad total. Esto nos obliga a ser resilientes.

Herramientas como la inteligencia artificial y el machine learning ayudarán a protegernos mejor y a automatizar ciertos procesos de detención y protección. Pero también será un problema, porque esas herramientas también las usan los “malos”. Quiero hacer dos reseñas de cosas que ya están aquí y serán tanto un gran problema, como una gran solución: la computación cuántica y la seguridad en nuevos entornos como las criptomonedas, e-games, etc

¿Qué tipo de amenazas y ciberataques consideras que son más peligrosos para las grandes organizaciones y qué diferencias pueden encontrarse con respecto a organizaciones de menor tamaño?_

J.O: Cada empresa en un mundo muy diferente. Lo que a una empresa media como la mía es un problema, no lo es para otra empresa de otro sector. No existe la misma formula para todas las organizaciones. Ahora bien, lo que es común para todos es conocer muy claramente donde están los riesgos de nuestros negocios y protegerlos de forma efectiva. En este sentido, recomendaría hacer un Plan Operacional de Seguridad y revisarlo constantemente, para que toda la empresa (todos sus empleados en mayor o menor medida) tenga claro dónde están las amenazas, qué estamos haciendo y qué haremos para protegerlas. Al final, es una tarea de todos.

En ese sentido, dada esa sofisticación de las amenazas en el sector enterprise y su mayor complejidad, ¿Cómo ha de afrontarse la ciberseguridad para cubrir sus necesidades específicas?_

J.O: Es cierto que una entreprise tiene mayor complejidad y mayores riesgos a la hora de protegerse frente a las amenazas, pero también tiene más concienciación al respecto (o al menos debería) y por supuesto mayores recursos. Me remito el punto anterior.

¿Qué supone la adopción de políticas de ciberseguridad bajo un enfoque Zero Trust?_

J.O: Un cambio importante en la forma de afrontar nuestro modelo de seguridad. Ahora debemos conocer y proteger perfectamente donde están los datos de nuestros clientes, sus dispositivos y aplicaciones. Nunca confiar y siempre comprobar en la regla básica, que es lo que ya dijo Forrester hace tiempo. Aunque debemos tener en cuenta que eso no siempre está bajo nuestro control y bajo nuestras infraestructuras.

Los ciberataques con técnicas Living Off The Land y el uso de malware sin fichero no paran de aumentar y suponen un gran desafío bajo las medidas de ciberseguridad más tradicionales. Bajo tu punto de vista, ¿Qué tipo de medidas deberían emplear las empresas para prevenir y mitigar estos ataques?_

J.O: Las medidas tradicionales valen, pero pensar que son suficientes es un error. No podemos creer que tenemos que tener los sistemas de detección y de protección más nuevos, innovadores del momento y que se nos olviden los más básicos para que los becarios de los másteres en ciber hagan prácticas con nosotros.

Por eso, recomiendo tener un plan de mejora continua adecuado a los activos que estamos protegiendo. E ir poco a poco mejorando progresivamente la seguridad de los mismos, aplicando masa gris al hacerlo.

¿Por qué las estrategias de Threat Hunting han cobrado tanta relevancia y qué las diferencia de otras más tradicionales?_

J.O: Porque debemos dejar de ser reactivos. La seguridad en la mayoría de nuestras compañías sigue siendo así para muchos de nuestros activos y necesitamos conseguir una seguridad proactiva. Por tanto, es un cambio muy importante y difícil frente a lo que hacíamos desde hace años.

Debemos diseñar respuestas frente a nuevos ataques que ni siquiera conocemos. Debemos anticiparnos. Por eso, las soluciones clásicas ya no sirven.

Recientemente, un reportaje ha revelado que el cibertataque Stuxnet, que logró frenar el programa nuclear iraní, se produjo a través de un topo reclutado por agencias de inteligencia extranjeras que utilizó como vector de ataque un pendrive. ¿Cómo pueden protegerse las organizaciones de ciberataques desde dentro, a través de insiders?_

J.O: Rezando mucho porque a veces difícil controlar esos factores, pero debemos procurar aplicar siempre todas las medidas de concienciación, prevención y proactividad que hemos abordado.

Por último y también en relación con la pregunta anterior, ¿Hasta qué punto es importante que las empresas cuenten con medidas de ciberseguridad que lleguen hasta el endpoint?_

J.O: Partiendo de la base que las empresas nos estamos moviendo a entornos híbridos, la complejidad cada vez es mayor. La seguridad no se delega en empresas que controlan nuestros endpoints, Somos los responsables absolutos de la seguridad de extremo a extremo. Por tanto, y con la ayuda de los diferentes proveedores, debemos diseñar nuestra seguridad contando con elementos que ya no están on premise. Suena divertido, ¿No?