Coronel en la Reserva y director de Ciberdefensa del Ejército del Aire hasta el pasado mes de febrero, Fernando Acero es una de las personalidades más reputadas en materia de ciberseguridad de nuestro país y recientemente, ha sido nombrado CISO Global de Grupo OESÍA. Le entrevistamos para que nos cuente cuál es la situación de la ciberseguridad en nuestro país y saber si estamos adoptando las medidas adecuadas para protegernos.
Entrevista con Fernando Acero, Coronel Ejercito del Aire (Reserva) y CISO Global de Grupo OESÍA
España es uno de los países más ciberatacados, ¿por qué?
Estas estadísticas son tan complicadas de hacer, como de interpretar. No es un dato nuevo. Hace poco un estudio del ICAI decía que España estaba entre los 3 países más ciberatacados del mundo y el pasado día 30 de abril, CSO España, publicaba que nuestro país estaba entre los seis más ciberatacados del mundo durante los dos meses anteriores a la publicación del estudio.
Pero ¿qué porcentaje de esos ataques tienen éxito? No es lo mismo recibir un ciberataque, que sufrirlo. Asimismo, ¿no puede ser que tengamos más capacidad de detección que otros países y con ello digamos que recibimos más ciberataques? Esto último estaría en consonancia con otro dato más objetivo y es que España está entre los siete primeros países del mundo en compromiso con la ciberseguridad.
¿Qué deberíamos implementar como país para no sufrir tanto ciberataque? ¿Es una cuestión de Estado?
Cuando el 60% de las PYMES, que son la inmensa mayoría de las empresas en España, cierran dentro de los seis meses posteriores a sufrir un ciberataque mayor, es evidente que tenemos que hacer algo a nivel estatal para que eso no sea así, ya que el daño en el tejido laboral y productivo es enorme.
Yo digo que la ciberseguridad se basa en una metodología sencilla, que, por orden de importancia y alfabético, es Actualizar, Bastionar, Concienciar, Defensa Activa y Extender la defensa a todo el perímetro de la organización. Si consideramos que la mayoría de los ciberataques entran en las organizaciones mediante mensajes de correo de phishing o de spear phishing, además de las medidas tecnológicas, la concienciación de los usuarios va a tener una especial relevancia a la hora de prevenir los ciberataques.
No se trata de cargar la responsabilidad en los usuarios, se trata de aprovechar ese último recurso que son las personas, cuando todo lo demás ha fallado y ha llegado el correo malicioso a su buzón personal.
Dicho lo anterior, también creo que la formación en ciberseguridad o mejor, en ciberhigiene (buenas prácticas en el uso de la tecnología), es una necesidad transversal a toda la sociedad, ya que toda la sociedad hace uso intensivo y extensivo de la tecnología.
Dicha formación debería formar parte de todos los ciclos formativos y debería ser una capacitación profesional, como ahora lo puede ser la de trabajos en altura o la de los manipuladores de alimentos. Nadie debería ponerse a trabajar sin unos mínimos conocimientos que garanticen que no es una bomba de relojería cuando usa un ordenador o el teléfono móvil inteligente de la empresa.
¿Quién sufre más riesgos? ¿Las AAPP o las empresas? ¿Quiénes están mejor protegidas?
Creo que, en los tiempos que corren, el riesgo a las empresas, a las Administraciones Públicas e incluso a los ciudadanos, es muy similar. De hecho, los ciberdelincuentes intentan aprovechar cualquier ocasión que les reporte un beneficio y sus motivaciones y objetivos son diversos. Durante los primeros meses de la pandemia hemos visto ataques de todo tipo, orientados a administraciones, empresas y ciudadanos.
Si atendemos a las estadísticas anuales del CCN-CERT, que es el CERT de las Administraciones Públicas en España, los ciberataques crecen año tras año y aumentan su complejidad y agresividad. Pero lo mismo nos puede decir el INCIBE, que es el CERT de los ciudadanos y las empresas, en un momento en el que el ransomware se ha convertido en la amenaza más peligrosa y más probable.
En este momento las Administraciones Públicas cuentan con una herramienta muy eficaz para mejorar su ciberseguridad, que es el Esquema Nacional de Seguridad y toda la documentación del CCN asociada, que es la serie 800, está disponible para todo el mundo en la web de CCN. Creo que toda esta documentación de ciberseguridad, que, además, es muy buena, también podría servir de guía para muchas empresas que no saben realmente lo que hacer para mejorar su ciberseguridad. Si bien no hay un cumplimiento del 100% en todas las administraciones, en especial, las más pequeñas, poco a poco se van adecuando al ENS y eso les proporciona una ciberseguridad bastante buena.
En el otro plato de la balanza tenemos a las empresas y en especial las PYMES, algunas inmersas en procesos de digitalización o de transformación digital tras la pandemia y que no tienen ni personal, ni conocimientos, ni recursos y eso es un grave problema. A esas empresas les recomiendo que como mínimo se esfuercen en la actualización, bastionado y concienciación de su personal, que son actividades que les protegerán contra un elevado número de ciberataques y que no son las más costosas de implementar.
También es cierto, que cada día hay más empresas, principalmente medianas y grandes, que se certifican contra la ISO 27001, que, si bien no responde a todo lo que se necesita para lograr un nivel óptimo de ciberseguridad de una organización, es un buen comienzo, si se quiere llegar a tener una adecuada madurez en ciberseguridad.
¿Qué se debería aportar por parte de las instituciones para que empresas y AAPP tuvieran consciencia de la importancia de la ciberseguridad?
Como he comentado antes, hace falta una buena cultura de ciberseguridad en toda la sociedad y eso es algo que debería partir de las instituciones. No podemos estar usando tecnología para todo, en el trabajo, en el ocio, en casa, en los colegios, etc, sin explicar a los usuarios la forma de usarla para que no sea un problema de segurdad para ellos, o para otros.
No olvidemos que los problemas de ciberseguridad de una persona pueden servir para atacar a otras, por ejemplo, si el ordenador de un usuario pasa a formar parte de una botnet que es usada para crear denegaciones de servicio o para el envío de correos de phishing.
Como decía Kranzberg, “la tecnología no es buena ni es mala, pero no es neutral” y eso se debe a que si la usamos y no sabemos la forma en la que la debemos usar para que sea segura, nos acabará afectando negativamente, de forma individual o de forma colectiva. También es cierto, que nadie se puede proteger de un riesgo que desconoce, por lo que la concienciación es una herramienta eficaz para de explicar los riesgos tecnológicos y la forma de gestionarlos adecuadamente.
No olvidemos que, en la Estrategia Nacional de Ciberseguridad del 2019, la línea de acción 7 es desarrollar una cultura de ciberseguridad lo que incluye muchas medidas como:
- Incrementar las campañas de concienciación a ciudadanos y empresas, y poner a su disposición información útil adaptada a cada perfil, especialmente en el ámbito de los autónomos, pequeñas y medianas empresas.
- Potenciar actuaciones encaminadas al incremento de la corresponsabilidad y obligaciones de la sociedad en la ciberseguridad nacional.
- Impulsar iniciativas y planes de alfabetización digital en ciberseguridad.
- Promover la difusión de la cultura de la ciberseguridad como una buena práctica empresarial, y reconocer la implicación de las empresas en la mejora de la ciberseguridad colectiva como responsabilidad social corporativa.
- Promover un espíritu crítico en favor de una información veraz y de calidad y que contribuya a la identificación de las noticias falsas y la desinformación.
Visto lo anterior, lo lógico es que todas esas acciones tengan una materialización concreta y que sean impulsadas por las administraciones y por las empresas en sus áreas de responsabilidad.
¿Faltan expertos en ciberseguridad? ¿Cómo se podría aumentar el número de personas especialistas en ciberseguridad?
Eso es lo que dicen las estadísticas. No olvidemos que la informática está en todas partes en este momento y más, con la proliferación del IoT, que también aumentará de forma importante en un futuro cercano con el 5G y la conectividad que proporciona a estos dispositivos.
Pero también es cierto que, si la sociedad tuviera una mejor cultura de ciberseguridad, todo iría mucho mejor y habría que apagar menos incendios, o los que hubiera que apagar, serían más pequeños.
En el fondo, a nuestro nivel y de una forma acorde a la tecnología que usamos, todos deberíamos ser un poco expertos en ciberseguridad. El emblema de la Dirección de Ciberdefensa del Ejército del Aire tiene la leyenda “la guerra de todos” y es que todos tenemos nuestra responsabilidad y nuestro lugar en la cadena de la ciberseguridad.
Si hablamos de expertos en ciberseguridad, en España hay mucho talento afortunadamente. Pero también es cierto que no todo el mundo vale para la ciberseguridad, es una cuestión de aptitud y de actitud. Es decir, que por muchas certificaciones que tengas, cursos y másteres, que te aportarán la aptitud, si no tienes una buena actitud, está claro que te va a costar mucho moverte en este entorno tan exigente. Este es el problema, encontrar el talento y que gente con talento quiera formarse en ciberseguridad.
Ransomware, fugas de datos, robo de identidad… ¿Dónde están ahora mismo los principales riesgos?
Ahora el ransomware y la fuga de datos se han fusionado y eso es muy disruptivo, puesto que ya no sirve con tener unas buenas copias de seguridad y que funcionen adecuadamente, para librarse de tener que pagar por recuperar tu información. Ahora, antes de secuestrar la información nos la roban, de forma que, si decidimos no pagar, veremos nuestra información, en ocasiones sensible, como datos personales o datos de I+D+i, publicada en Internet.
No se nos debe escapar que esas amenazas suelen llegar mediante correos electrónicos fraudulentos con enlaces o archivos maliciosos anexos y ese riesgo es prioritario en nuestra gestión de los mismos.
«Ahora el ransomware y la fuga de datos se han fusionado y eso es muy disruptivo»
Por otra parte, se está viendo que uno de los métodos más usados para que un atacante logre persistencia en un sistema es mediante cuentas legítimas, por lo que se deben usar sistemas de doble factor, o una adecuada política de ciberdefensa, especialmente con las cuentas privilegiadas, para dificultar que los atacantes se muevan con libertad en nuestros sistemas.
Las medidas tradicionales ya no funcionan, el perímetro ha desaparecido, ¿cuáles son los principales puntos a controlar?
Evidentemente, la última regla en mi metodología de la ciberseguridad es extender la ciberseguridad a todo el perímetro de la organización y en ese momento, con el teletrabajo, la ciberseguridad tiene mucho que ver con un adecuado gobierno del dato con independencia del lugar en el que se encuentre el mismo. Es decir, debemos poder ejercer el mismo control, del dato, sin importar que se encuentre en el CPD, o en el ordenador, o el teléfono de un miembro de la organización que está teletrabajando en su casa.
Asimismo, uno de los vectores más usados recientemente para atacar a las organizaciones en este momento, son las VPN usadas para el teletrabajo, por lo que siempre han de estar bien configuradas (especialmente hay que tener cuidado con las cuentas por defecto) y actualizadas.
Normalmente la mayoría de los problemas vienen por parte del usuario ¿es un mito, o la empresa no asume sus responsabilidades?
Es cierto que el ser humano es el eslabón más débil de la cadena de la ciberseguridad ya que si no tiene la formación adecuada, puede ser manipulado para que haga lo que no debe. Lo más normal, es que se recurra a la ingeniería social, o a correos maliciosos, que intenten explotar sentimientos básicos, como la ira, el miedo, la curiosidad, el morbo, la urgencia o la compasión, para engañarlos.
Si decimos que la mayor parte de las amenazas entran mediante correos electrónicos que engañan a los usuarios, podríamos pensar que lo que pasa es culpa de los usuarios en un elevado porcentaje de los casos, pero eso no es del todo cierto.
Es evidente que las empresas son responsables de la formación y concienciación de ciberseguridad de sus empleados, ya que el sistema educativo todavía no proporciona esa formación a todo el mundo y de forma uniforme.
Pero el enfoque debe ser otro, hay que considerar a las personas como la última capa de la ciberseguridad, no solamente el eslabón más débil, realmente son el último recurso cuando todo lo demás ha fallado.
Evidentemente, para que no sea el eslabón más débil todo el personal tiene que contar con los conocimientos adecuados. La ciberseguridad implica una defensa en profundidad, es decir por capas, aplicando salvaguardas que reduzcan el impacto o la ocurrencia de los ciberataques, y para ello, las personas son una parte muy importante de esa defensa en profundidad y de la cadena de la ciberseguridad, de hecho, las acciones de concienciación del personal, incluso con una duración moderada, tienen un enorme impacto positivo en la ciberseguridad de las organizaciones.