Materia, la web de noticias de ciencia

Lee, piensa, comparte

ENTREVISTA | Álvaro Ortigosa, director del Centro Nacional de Excelencia en Ciberseguridad

“A Rajoy le pueden haber entrado en el ordenador”

El nuevo responsable de la formación de soldados de élite contra el cibercrimen advierte de la posibilidad de un “11-M informático” y lamenta la inexistencia de una Estrategia Nacional de Ciberseguridad

Más noticias de: cibercrimen, DDoS, informática, seguridad informática

El ingeniero informático Álvaro Ortigosa, en la Universidad Autónoma de Madrid. Ampliar

El ingeniero informático Álvaro Ortigosa, en la Universidad Autónoma de Madrid. / M. A.

LEER
IMPRIMIR

En 2003, agentes chinos comenzaron un asalto masivo a los ordenadores de EEUU para robar secretos industriales y de Estado. Lograron colarse en los sistemas informáticos de la NASA e incluso en las redes de laboratorios de armamento nuclear. En 2007, una ofensiva lanzada desde Rusia con miles de ordenadores zombis controlados a distancia logró tumbar webs del Gobierno, la banca y los medios de comunicación de Estonia. En 2009, un supuesto ciberataque contra el sistema informático de una compañía eléctrica dejó sin luz a unos 50 millones de personas en Brasil y Paraguay. Y en 2010 se descubrió Stuxnet, un sofisticadísimo gusano informático presuntamente diseñado por Israel y EEUU para inutilizar la maquinaria de las centrales nucleares iraníes.

III Álvaro Ortigosa

El ingeniero informático Álvaro Ortigosa nació en 1968 en San Carlos de Bariloche, en la Patagonia argentina. En 1997 llegó a Madrid para hacer un doctorado y se quedó por amor. Con una facilidad pasmosa para explicar los entresijos de su campo de investigación, Ortigosa es profesor del Departamento de Ingeniería Informática de la Universidad Autónoma de Madrid (UAM). Además del nuevo Centro Nacional de Excelencia en Ciberseguridad, también dirige la primera agencia española orientada a la acreditación de conocimientos en ciberseguridad, la Agencia de Certificaciones de Ciberseguridad, dependiente del Instituto de Ciencias Forenses y de la Seguridad (ICFS) de la UAM.

III RELACIONADA
España registra el mismo número de ciberataques en seis meses que en casi todo 2011

Más: #ciberseguridad

Son algunos de los ciberataques más conocidos pero, como subraya el ingeniero informático Álvaro Ortigosa, no son los mejores. Los mejores no se conocen. Ortigosa, nacido hace 45 años en “el sitio más bonito del mundo”, San Carlos de Bariloche (Argentina), dirige el nuevo Centro Nacional de Excelencia en Ciberseguridad, con sede en Madrid. Acaba de recibir 700.000 euros de la Comisión Europea para formar a soldados de élite contra el cibercrimen, procedentes en principio del Cuerpo Nacional de Policía y de la Guardia Civil.

En España, en pleno año 2013, todavía no existe una Estrategia Nacional de Ciberseguridad ni hay un mando único que coordine la defensa en caso de ciberataque, a pesar de que las cuatro dimensiones clásicas de la defensa —tierra, mar, aire y espacio— se han quedado muy obsoletas, según insiste este profesor de ingeniería informática de la Universidad Autónoma de Madrid. Usted mismo, lector o lectora, podría estar leyendo esta entrevista desde un dispositivo controlado por una potencia extranjera para llevar a cabo ataques de denegación de servicio: miles de ordenadores zombis como el suyo lanzados al unísono para saturar los servidores de internet de bancos y gobiernos hasta su colapso.

¿En España puede ocurrir lo que pasó en Estonia en 2007?

Sí, la respuesta es sí, puede ocurrir. Los ataques de denegación de servicio, que fue lo que sufrió Estonia, están cambiando, pero para peor. No está aumentando la cantidad, pero se están especializando. En general todo el cibercrimen se está especializando. Podemos tener suerte y que no nos hayan elegido como objetivo. Últimamente ha habido una gran polémica en el mundo musulmán por un vídeo colgado en YouTube, La inocencia de los musulmanes, sobre la cultura musulmana. Como represalia, un grupo hacktivista empezó a largar una serie de ataques de denegación de servicio contra bancos de EEUU. Terribles. Un nivel casi sin precedentes de ataques de denegación de servicio. ¿Y eso no tiene solución? Pues la verdad es que no. Es muy difícil defenderse porque aprovechan la entrada normal: un banco tiene que tener su red de internet abierta, porque los clientes se quieren conectar. Aprovechan eso para atacarte desde millones de ordenadores simultáneamente. ¿Puede suceder eso? Claro. ¿Estás preparado para defenderte? Sí. ¿Lo puedes evitar? No.

“En España podría ocurrir lo que pasó en Estonia en 2007″

¿Se puede tumbar el sistema financiero de un país con un ataque de denegación de servicio?

Sí, seguro. Si hubiera un adversario suficientemente motivado para hacerlo, lo podría hacer. Esto es cierto para cualquier tipo de intrusión informática. Lo que asumen los expertos en seguridad informática es que ningún sistema es invulnerable ante un adversario bien motivado. Siempre va a encontrar un fallo de seguridad.

Ha hablado de hacktivismo, pero parece que ahora el principal problema son los propios estados, como se ha visto con el gusano Stuxnet.

Depende de cómo lo midamos. ¿Lo medimos en número de ataques? ¿En número de ordenadores infectados? ¿En pérdida económica? Los de los estados no son los principales ataques, pero sí son los más peligrosos porque son, aparentemente, los más sofisticados y los que realmente no tienen un claro cortafuegos con el que lo puedas parar.

¿Cómo se sabe que hay estados detrás?

Desde el principio se sospechaba que ataques como Stuxnet estaban financiados por un estado. ¿Por qué se sospechaba eso? Porque usaban vulnerabilidades de día cero, un fallo de un sistema informático que lo hace vulnerable a un ataque y que no se conoce. Cuando no se conoce, ni el fabricante saca el parche para que lo arregles, ni el antivirus coloca la protección necesaria. Cualquier usuario que tenga esa vulnerabilidad instalada en su sistema puede ser atacado. Esas vulnerabilidades son muy golosas, porque te abren una puerta que nadie sabe que está ahí y nadie la protege. En el mercado negro pagan mucho por ellas. Pagan mucho por saber, por ejemplo, que Internet Explorer tiene tal vulnerabilidad y se puede atacar. Como Stuxnet utilizaba cuatro vulnerabilidades de día cero, era mucho dinero metido para un solo gusano. Aquí hay algo gordo detrás. Se suponía que era un estado.

¿Israel?

Israel y EEUU. EEUU implícitamente aceptó que estaba detrás del desarrollo de este gusano.

¿Israel lo aceptó también?

Israel no ha dicho nada. Pero hay pruebas de hasta qué laboratorio ha salido. Israel tiene su propia política y no hace falta que quede claro. Y volviendo a la pregunta de si los estados son los peores, la mayor motivación del cibercrimen sigue siendo económica. Luego hay un gran porcentaje de hacktivismo, que crece cada vez más. Y luego hay un pequeño porcentaje, que tiene que ver con los estados, que es de espionaje. En términos de ataques y de número de ordenadores es pequeño, pero están muy dirigidos.

“Extraoficialmente, se supone que China espía a España”

China ha sido pillada espiando a EEUU.

Sí, de China lo que se sabe es que tiene desde hace años una operación que se llama Titan Rain, que es espionaje sistemático al Gobierno de EEUU y a sus proveedores. Ha habido cientos de reportes de detecciones de intromisiones que vienen de China.

¿No pueden ser intromisiones de civiles?

Efectivamente, pueden ser civiles, pero por la coordinación que tienen, por su grado de sofisticación y porque en China el Gobierno controla absolutamente todo, es muy difícil que no esté China detrás de eso. ¿Cómo puede pasar este volumen de cosas en China sin que el Gobierno se entere?

¿Y sabemos si China espía a España?

Oficialmente, no lo sabemos.

¿Y extraoficialmente?

Extraoficialmente, se supone que sí. De hecho, Javier Solana declaró que los sistemas informáticos europeos han sido sistemáticamente espiados por una potencia extranjera. No dio nombres, pero todo el mundo suponía que estaba hablando de China.

¿Qué se está haciendo para evitarlo?

Lo bueno es que las mismas medidas de protección que tomas para evitar a cualquier hacker o cualquier intrusión delictiva en una operación financiera o económica las puedes utilizar para evitar que te espíen el ordenador. ¿Y qué se está haciendo? Pues, básicamente, como siempre, aumentar la seguridad de los sistemas, pero sobre todo intentas concienciar. El principal punto de acceso termina siendo la persona, que acaba revelando su clave o enchufa el pendrive que no debe con un virus y entonces se contagia su ordenador. Iniciativas como la del Centro Europeo de Ciberdelincuencia [recién inaugurado el 11 de enero] van en ese sentido: creemos una estrategia política común en Europa para evitar que nos pase esto.

¿Qué puede estar ocurriendo que no se sepa?

Una de las cosas que nos han asustado tanto del virus Stuxnet y de sus derivados, como el Flame, es que son virus que han estado activos y no se han detectado durante al menos cinco años, en algún caso. La pregunta es: ¿y qué tendremos que no nos hayamos dado cuenta? Pues se sabe que existen las famosas redes de ordenadores zombis, las botnets. ¿Cuántos ordenadores estarán infectados por los chinos o cualquier otra potencia extranjera que sea capaz de controlar y saber todo lo que está pasando?

“La seguridad informática es como las almorranas: se sufre en silencio”

¿Usted sabe que su ordenador no es zombi y está controlado por el Gobierno chino?

Pues no lo sé. No estoy seguro. Casi nadie puede estar seguro de eso, sobre todo si tiene Windows. No porque Windows sea más inseguro, sino porque como hay más usuarios Windows, es más rentable fabricar malware para Windows.

En España no hay un mando único para los diferentes equipos de respuesta ante emergencias informáticas (CERT, por sus siglas en inglés). ¿No es como si el Ejército estuviera dividido en 20 ejércitos descabezados, sin un general? ¿Qué pasaría si hubiera un ataque sistemático contra España?

En cierta forma, sí. No sé si se produciría tanto caos como con 20 ejércitos descabezados. Creo que sería menor, porque al estar basado en tecnología, aunque en principio vaya cada uno por su lado, sería relativamente fácil ponerse de acuerdo en un momento. ¿A lo mejor sería demasiado tarde? Pues puede que fuera demasiado tarde. Es muy probable que un centro de respuesta temprana a ataques, un CERT, esté detectando un ataque a los bancos pero, como su objetivo es proteger infraestructuras críticas, no informe con la presteza necesaria a los bancos de que tienen que protegerse de ese ataque. La coordinación es fundamental, tanto dentro del país como entre países.

En un reciente informe del Instituto Español de Ciberseguridad se pedía la inclusión de la ciberseguridad en los planes de estudio en las academias militares. ¿Es que ahora no se enseña ciberseguridad a los militares?

Todavía no hay dentro del Ejército unidades preparadas especialmente para defender un ciberataque, pero se está empezando a hacer. Existen iniciativas para que en las escuelas del Ejército se empiece a formar a los militares en cuestiones muy específicas y técnicas. Otra cosa es que todo militar debería tener el nivel mínimo de conocimiento y de concienciación. EEUU lo ha publicado y probablemente nosotros tengamos el mismo problema y no lo sepamos: el militar que está desplazado en una misión, como Afganistán, debería saber lo que puede o no puede hacer con internet para no revelar planes estratégicos, posiciones o lo que sea. Si un militar está en una base y manda un e-mail para informar a un primo de lo que sea, ¿qué seguridad tiene eso? Pues el militar tiene que saberlo. Todos los militares deberían tener una formación muy importante en concienciación, porque toda la información que ellos manejan normalmente es sensible.

A la canciller Angela Merkel le han entrado en el ordenador desde China.

Sí, se ha dicho eso, sí.

“Uno de los grandes problemas en la seguridad informática es que empresas y gobiernos ocultan sus problemas”

¿A Rajoy también le habrán entrado en el ordenador?

Es posible que le hayan entrado. Pero un amigo dice que la seguridad informática es como las almorranas: se sufre en silencio. Uno de los grandes problemas que hay con la seguridad informática es que no se sabe. Las empresas ocultan sus problemas. Los gobiernos también. Parece que si confiesas que te han entrado en un ordenador vas a ser más vulnerable. ¿A Rajoy le pueden haber entrado en el ordenador? Es posible, como pueden haber entrado en el mío. Rajoy debe de tener más medidas de seguridad, seguramente, pero no hay sistema de seguridad infalible. En la medida que utilice dispositivo móvil, teléfono móvil o iPad o lo que sea, es más posible todavía.

El Centro Nacional de Excelencia en Ciberseguridad en una primera fase, de dos años, sólo va a formar a Guardia Civil y Policía. ¿Qué hay de los políticos o del mundo judicial?

Estos dos primeros años tenemos dinero para formar a Cuerpo Nacional de Policía y Guardia Civil, pero desde ya buscamos otros fondos para formar a otros estamentos. Por ejemplo, vamos a hablar con la fiscal de sala contra la criminalidad informática, Elvira Tejada, para ver qué les puede interesar a los fiscales como formación. Nosotros ahora mismo no tenemos dinero para formar fiscales, así que habría que salir a buscar dinero. Pero lo vamos a hacer desde el principio, porque nos interesa.

¿Nadie está formando a los fiscales en temas de ciberseguridad?

Sí, tienen formación, pero desde el centro de excelencia vamos a intentar crear una formación que sea consistente con la del resto de Europa. Promover las buenas prácticas y los protocolos comunes es muy importante porque aquí no existen las fronteras. Cuando el policía español va a investigar un robo de información de un ordenador, busca la dirección IP y a qué país corresponde. Si es de dentro de Europa, ¿qué? ¿Cómo informo yo a la Policía belga para que vaya a investigar esto? Se necesitan protocolos. Y si descubrimos al culpable, ¿quién lo lleva a juicio? ¿Los belgas o los españoles? ¿Y de qué se le acusa? Los delitos informáticos son tan nuevos que muchas veces no tienen figura en los códigos penales. Desde el centro de excelencia vamos a intentar alinear a todas las fuerzas judiciales de Europa en esto.

“El Código Penal debería mejorar en temas de ciberdelincuencia”

¿Cómo está el Código Penal en temas de ciberdelincuencia?

Han empezado a incorporar ya artículos específicos para ciberdelincuencia. El juez [de la Audiencia Nacional] Eloy Velasco me parece brillante en el tema. Él enseña a sus compañeros jueces cómo aplicar artículos del Código Penal existente a los casos de ciberdelincuencia. En realidad, no hay artículos específicos, pero lo que hay nos serviría si sabemos aplicarlo: organización ilícita, intromisión en secretos privados… Pero claro que el Código Penal debería mejorar.

España tiene una Estrategia Nacional de Conservación del Urogallo Cantábrico pero no tiene una Estrategia Nacional de Ciberseguridad.

No la hay, todavía. La Estrategia Nacional de Ciberseguridad estaba lista, iba a salir en octubre pasado, pero se suspendió porque estaba a la espera de la estrategia a nivel europeo y la Estrategia General de Seguridad a nivel español. Teóricamente está lista.

Sorprende que no haya una Estrategia Nacional de Ciberseguridad en pleno año 2013. Es como un agujero.

La verdad es que sí. A los que estamos metidos en el tema nos preocupa mucho. Lo que pasa es que el punto de vista estatal es bastante normal, porque los tiempos de reacción de los gobiernos siempre son bastante lentos. Se viene viendo desde hace años que la ciberseguridad es un problema, pero lleva tiempo que un gobierno cobre conciencia y se dé cuenta de que no le alcanza con la estrategia nacional de defensa.

“Nos preocupa mucho que no haya una Estrategia Nacional de Ciberseguridad”

Tampoco hay un mando único para toda la amalgama de centros de ciberseguridad que hay.

No lo hay, pero esto pasa en España y pasa en Europa. Acaba de crearse el famoso EC3, el Centro Europeo de Ciberdelincuencia, que depende de Europol, y se ha creado con el espíritu de ser el mando único que agrupe todo. Cuando hablas de ciberseguridad hablas de varios frentes, que aparentemente son distintos, aunque en el fondo técnicamente terminan siendo lo mismo. Y sería ideal que fuera un mando único. Pero estás hablando del frente de defensa estratégica del país como entendemos la defensa de un país: el territorio nacional expandido al ciberterritorio. Ahí está el Estado, el Ministerio de Defensa y el CNI, que deberían tomar cartas en el asunto. Luego tenemos la parte de las empresas. ¿Quién protege a las empresas? En temas de seguridad no parecía un tema muy importante pero, en temas de ciberseguridad, para el Estado defenderse a sí mismo significa también defender a sus empresas. Y luego tienes el aspecto de infraestructuras críticas, que en principio se empezó a contemplar como algo distinto a la ciberseguridad y que en realidad va por los mismos caminos, aunque en este caso tienes el componente industrial. El Mando de Ciberdefensa de las Fuerzas Armadas, en proceso de creación, es un paso muy positivo hacia el mando único, y una prueba de que el Ejército español es muy consciente de la problemática de la ciberseguridad y de que está haciendo cosas al respecto.

Al final, las infraestructuras críticas también son empresas.

Son empresas, pero no es lo mismo defender el equipo informático de una empresa que defender que no ataquen los servidores que manejan la red de Iberdrola y que se corte la electricidad en toda España. No es lo mismo, porque los protocolos que manejan son distintos. Aunque terminan siendo lo mismo, a través de internet casi siempre. Como los protocolos que se manejan son distintos, las medidas que debes tomar son distintas.

¿Cuál es el talón de Aquiles en ciberseguridad de España?

España no es un país distinto al resto del mundo en este sentido. Y en el resto del mundo la mayor vulnerabilidad son las personas, nuestras malas costumbres o nuestra falta de información para no ser imprudentes. Si se soluciona eso no se solucionarán todos los problemas de internet, pero le haremos la vida mucho más difícil a los malos.

“Técnicamente es posible cortarle la luz a media España con un ciberataque”

¿Es técnicamente posible el ejemplo que ha puesto de entrar en la red de Iberdrola y cortarle la luz a media España?

Sí, técnicamente es posible.

¿Y por qué no lo hace nadie?

Hay mucha polémica con el tema, por lo que decía antes de ocultar los ataques. Hasta el momento no está plenamente confirmado ningún ataque contra una infraestructura crítica, excepto unos ataques que se produjeron hace dos años en Brasil. Llegaron a cortar la luz de la mitad del país. Eso es lo más aceptado que tuvo que ver con un ciberataque. Luego hubo rumores en EEUU de que atacaron una planta de agua, lo que pasa es que se terminó negando y diciendo que en realidad había sido un técnico propio de la compañía que se metió en remoto. El rumor quedó y no se sabe a ciencia cierta si fue un ciberataque o no. ¿Que por qué no se hacen más ataques? Yo digo que se pueden hacer, no que sea fácil. Cuesta recursos. Los malos tienen que ponerse a ello y descubrir vulnerabilidades. Así que no lo hacen porque no les ha interesado, porque de momento no han visto que vayan a sacar provecho de ello.

¿Cree que deberían ser públicos los ataques a infraestructuras críticas [3.500 instalaciones cuyo funcionamiento es esencial para el país, como la industria nuclear, las redes de telefonía, la banca, los satélites o las redes de la Administración pública]?

No sé si públicos, pero debería haber un protocolo de comunicación entre los actores interesados, para que se sepa qué está pasando. Como no conocemos exactamente lo que está pasando, cuesta más saber de qué tienes que protegerte. Esto no es un problema de España, sino en general del mundo. No es necesario que sean públicos, porque no hace falta asustar a todo el mundo, pero sí comunicárselos a los actores interesados. Las empresas del ramo, por ejemplo, deberían estar todas informadas para defenderse.

Un hacker supuestamente entró en 2012 en el sistema informático de una instalación nuclear iraní y puso por los altavoces la canción Thunderstruck, de la banda de rock duro AC/DC. ¿Usted ha hecho cosas de estas? ¿Para ser un experto en ciberdelincuencia hay que haber sido un poco ciberdelincuente?

Nosotros hacemos las pruebas de ataques estándares en servidores locales. Y lo que hacemos mucho, más que atacar, es observar cómo atacan los malos. Lo que haces normalmente es instalar un ordenador y te pones a escuchar lo que pasa por el mundo. El nombre que se le da a esto es honeypot: un bote de miel para atraer moscas. Analizas cómo intentan atacar a tu ordenador. Muchas veces tienen éxito y tienes que reformatearlo y empezar de nuevo, porque te han tomado el ordenador. Normalmente tenemos funcionando dos honeypots. Es una red pequeña. Estábamos buscando financiación, pero al final no la conseguimos, para participar en una red muy interesante, a tres bandas si lo hubiéramos logrado: Nueva York, Moscú y Madrid. Era una cosa más ambiciosa, una darknet. El concepto es el mismo, pero lo que haces es colocar una serie de ordenadores que públicamente no son conocidos. Teóricamente nadie tendría que intentar acceder a esos ordenadores. Si alguien intenta acceder es porque está escaneando en busca de ordenadores con vulnerabilidades. Todo lo que llega ahí es tráfico malo, así que es un método mucho más rico en información.

“No hay que demonizar a China y a Rusia. El mayor número de hackers todavía está en EEUU”

¿Son China y Rusia la mayor fuente de ciberataques?

No hace falta demonizar a China como la gran fuente de ataques, ni a Rusia. Es cierto que las mafias suelen trabajar desde Rusia o desde países cercanos a Rusia, pero es una cuestión de que tienen ya montada la organización mafiosa y simplemente se aprovechan de ella. Y, en segundo lugar, que esos países están más lejos de la justicia occidental. Entonces es más fácil para ellos. Pero el mayor número de hackers todavía está en EEUU.

El propio Gobierno de EEUU también hará sus pinitos.

El Gobierno de EEUU tiene el problema de que intenta dar la apariencia de publicidad de sus actos. Se supone que ahora están creando un cuerpo que según ellos sabe atacar por si tienen que hacerlo. Creo que van a quintuplicar la cantidad de gente dedicada a ello.

¿Cuál es el típico ataque que sufre España?

El típico ataque es el de denegación de servicio.

Por molestar, por tumbar una web.

Sí, alguien decía que no son armas de destrucción masiva, sino armas de molestia masiva. Pero dependiendo de a quién ataques, esa molestia puede influir económicamente. Si tumbas la web de Amazon, viven de ella. Produces un agujero grande. Si atacas la web del Partido Popular, perderá un poquito de imagen, o no, pero no vive de ello. Los ataques de denegación de servicio son casi siempre por hacktivismo y esto está creciendo muchísimo. Hay una mínima cantidad de ataques de denegación de servicio que tiene que ver con la extorsión. “Oye, si no me pagas, te tumbo tu sitio”. Muchos ataques de internet tienen que ver con extorsiones.

Y hay empresas que pagan.

Yo no lo sé, pero los extorsionadores viven y lo siguen haciendo. Alguien debe de pagar. Y también hay hackers que se meten en un ordenador, sacan información y no la quieren vender. Simplemente quieren extorsionar a la empresa con ello. Esto también se hace mucho. Entonces, ¿cuál es el típico ataque en España? Si lo medimos en términos de dinero, el típico ataque es al usuario de a pie. Son los que en estos momentos más están sufriendo los ataques. Les están robando. Las estadísticas son terribles. Se supone que en el mundo, dos de cada tres personas adultas han sufrido un ataque informático. O han entrado en su ordenador, o les han robado la clave… Ese es el ataque más normal. En promedio, son 150 dólares robados. Quitar 150 dólares no asusta a nadie, pero cuando empiezas a sumar ves que ahí es donde están haciendo el dinero.

¿Podría haber un 11-M informático, con muertos?

Pensemos el ataque que se produjo contra el programa nuclear iraní. Lo que hicieron fue romper las centrífugas [máquinas usadas para producir uranio enriquecido]. No se les reventó nada pero tuvieron que detener el programa. ¿Qué pasa si logras romper el sistema de control que maneja el enfriamiento de los reactores nucleares? ¿Podría explotar? Puede explotar. Pero no es fácil. Una cosa importante es que normalmente estos sistemas tan críticos no están conectados a internet. No es trivial el acceder a ellos. Siempre hay que buscar un camino bastante indirecto para acceder a ellos. En el caso por ejemplo de la central iraní entraron a través de un pendrive, lo cual es un sistema que en realidad ya no se usa como ataque. Hoy en día seguimos hablando de virus, pero en realidad son gusanos que se propagan a través de internet. En el caso de la central nuclear iraní fue un virus en toda regla, a través del pendrive. ¿Podrías controlar un tren por internet? En algún caso es posible, pero es difícil porque no suelen estar conectados a internet.

“Podría haber un 11-M informático, pero no tenemos que vivir traumatizados por ello”

Pero sí se podría con un pendrive.

Con un pendrive puedes infectarlo, pero otra cosa es que luego logres acceder remotamente al tren. En el caso iraní fue un operario al que probablemente primero infectaron el ordenador en su casa y cometió el error de llevar un pendrive de su casa al trabajo. Y el gusano sabe lo que tiene que hacer. El gusano Stuxnet, como obra de ingeniería, es una maravilla. Podría haber un 11-M informático, pero no tenemos que vivir traumatizados por ello, porque las probabilidades de un 11-M informático a lo mejor son las mismas que que se repita un 11-M.

Muchos estados están desarrollando amenazas persistentes avanzadas (APT). ¿España también?

No, España no está desarrollando APT. Una APT se produce cuando un adversario muy motivado y muy dirigido ataca a una potencial víctima —organización, estado, empresa— de forma muy decidida, con tecnología muy avanzada e intentándolo hasta que logra entrar. El tema de las APT está muy de moda, porque se supone que es el gran peligro para las empresas y para los estados. Como decía antes, ante un adversario realmente decidido no tienes forma de evitar que entre. La APT es la manifestación física de esa decisión de entrar. También se dice que puede haber mucho de inflado en este tema. Hay quien dice que el problema no es tan grave como se está queriendo vender. Realmente aquí hay un problema, porque estamos entre varias fuerzas y cada uno tira para su lado. Primero, algunos ocultan lo que está pasando porque creen que es mejor no decir que han sido atacados. Luego están los otros que van a exagerar lo que está pasando por distintos motivos, ya sea para venderte el antivirus o para venderte el asesoramiento de seguridad. ¿Cuáles son las principales empresas que generan este tipo de informes? Norton, que vende antivirus. Kaspersky, los rusos, que son los que descubrieron Stuxnet, el virus de los iraníes. Y lo descubrieron porque estaban trabajando con la seguridad en Irán. Era su problema. Cuando los informes los producen ellos, te preguntas: ¿no estarán exagerando? Tal vez sí. Es su negocio.

Microsoft presentó en verano el informe “Sexo, mentiras y cibercrimen” en el que decía que las cifras del cibercrimen están “enormemente exageradas”. A Microsoft, por ser uno de los principales afectados, a lo mejor le interesa decir lo contrario que a las empresas de antivirus.

Efectivamente, sí, aunque es probable que tengan razón y muchas cifras estén infladas en términos de dinero. En diciembre hubo una gran polémica en las publicaciones técnicas de EEUU sobre qué número se podría dar como seguro. El número es muy polémico, pero lo que nadie puede negar es que se está moviendo un montón de dinero.

La empresa española S21sec, especializada en seguridad, colabora con el Centro Nacional de Excelencia en Ciberseguridad. También iba a colaborar con ustedes CFLabs, la empresa del hacker Matías Bevilacqua, imputado en una trama de compra y venta masiva de datos confidenciales. ¿Qué ha pasado con Bevilacqua?

Todo aquello está en resolución judicial. Cuando empezamos a montar nuestro centro, preguntamos en la propia Guardia Civil y en el Cuerpo Nacional de Policía quiénes eran los mejores con tecnología española. Y la pregunta “¿quiénes son los mejores?” tuvo dos respuestas: S21sec, en temas de seguridad, y CFLabs, en temas de informática forense. Quedamos con ellos, nos entendimos bien y decidimos montar el centro de excelencia entre Guardia Civil, Policía, S21sec, CFLabs y la Universidad Autónoma de Madrid. En el camino estalló esto. Nosotros no sabemos lo que ha pasado, pero es una cuestión de formalidad que exigen la Unión Europea y la Policía: “oye, no conviene que sigamos con esta gente por una cuestión de formas, por lo menos hasta que se sepa qué ha pasado”. Salieron del proyecto y yo no sé nada más.

¿Si se demuestra su inocencia Matías Bevilacqua volverá al proyecto?

No lo sabemos. Somos cuatro socios y tendríamos que estar todos de acuerdo. Además, estamos financiados por la UE y también tendrían que estar de acuerdo.

“Si dependiéramos del Ministerio, no existiría la investigación en España”

Además de formación, el centro de excelencia va a hacer I+D. ¿Han sufrido los recortes incluso antes de nacer?

Nosotros ahora mismo vamos a hacer I+D con dinero europeo. Nuestros planes son mirando a Bruselas. Vamos a buscar financiación allí. En la Universidad Autónoma de Madrid tenemos un proyecto, no relacionado con la seguridad informática, financiado por el Ministerio de Economía. Y nos han dicho que los proyectos que iban a tres años nos los van a pagar en cuatro años. Y que el primer año va a ser poco dinero. Nos dicen que hagamos la investigación, pero que nos arreglemos sin dinero. Es impensable. Honestamente, es una locura. No puedes planificar nada en esos términos, olvídate. Si dependiéramos de eso, no existiría la investigación en España. Nosotros creemos que nos puede salvar que estamos en un área en la que hay salida, en la que se está invirtiendo dinero a nivel europeo.

¿Qué proyectos concretos de I+D van a llevar a cabo en el centro?

Uno tiene que ver con el desarrollo de un conjunto de herramientas de código abierto para asistir en el proceso de análisis forense de la Policía y la Guardia Civil. El análisis forense en informática es la búsqueda de evidencias de crimen en dispositivos electrónicos y digitales. Básicamente en esto existen dos o tres herramientas comerciales que son un estándar de facto. La Policía las compra y las utiliza. Pero estos paquetes hacen lo que hacen. Nosotros estamos promoviendo desarrollar herramientas específicas a pedido de la Policía y la Guardia Civil: “¿Qué necesitáis? ¿Qué os hace falta? ¿Qué no tenéis?”. Y hacemos mucho énfasis en que sean de código abierto, que todos podamos ver el código y sepamos qué está haciendo la herramienta. Una cosa que a mí no me gusta nada cuando hablamos de seguridad informática es utilizar una herramienta cerrada, que alguien te da y te dice que hace algo. Tú la pruebas, la validas con tus protocolos, parece que hace lo que dicen que hace y entonces la utilizas, pero en realidad nunca sabes lo que está pasando por dentro.

¿En España falta I+D en temas de ciberseguridad?

Sí.

¿Pero por lo menos hay algo de I+D en este campo?

Sí, hay I+D. S21sec está desarrollando I+D en seguridad. Son bichos raros en el sentido de que desarrollan investigación avanzada en un contexto, España, en el que eso no se favorece. Así que sí, hay I+D, pero mínima.

¿Ha habido grandes éxitos en ciberseguridad a la hora de repeler un ataque concreto?

Sí, los ha habido. Se sabe de métodos de defensa que están siendo exitosos. Al contrario de lo que podamos creer, en España no estamos en la Edad de Piedra digital ni mucho menos. Se han hecho cosas. El temor que existe es que ahora mismo se está recortando absolutamente en todo y también se va a recortar en ciberseguridad. Es un problema. Si recortas, lo poco que estabas haciendo bien se te va a caer. El problema de la ciberseguridad es que constantemente tienes que estar invirtiendo, porque constantemente está cambiando.

Archivado en: cibercrimen, DDoS, informática, seguridad informática




COMENTARIOS