Crónica de la Jornada del 10 de septiembre de 2013. Seguridad en la red: Protección de la sociedad f

Las guerras y el espionaje industrial se hacen ya en internet.

El Instituto de la Ingeniería de España acogió ayer la segunda jornada de un ciclo sobre seguridad en Internet, en este caso dedicada a la seguridad a nivel nacional y empresarial. Expertos del sector público y privado enumeraron los principales peligros relacionados con las ciberamenazas y el ciberterrorismo, y explicaron algunas de las maneras que tienen los estados y las empresas para protegerse.

Manuel Moreu, presidente del Instituto, inauguró la mesa, que estuvo moderada por Enrique Gutiérrez Bueno, presidente del Comité de Ingeniería y Sociedad de la Información del IIE. Según Gutiérrez Bueno, el IIE pretende involucrar a las distintas ingenierías en el mundo de las nuevas tecnologías e Internet, y recordó la primera jornada del ciclo, celebrada en mayo, dedicada más a la seguridad personal, a nivel usuario.

El primer ponente fue Chema Alonso, hacker y experto en ciberseguridad, además de consejero delegado de la empresa Eleven Paths, que opera en la plataforma Telefónica Digital. Alonso enumeró una serie de graves incidentes que han tenido lugar en los últimos años en relación a guerras y conflictos cibernéticos.

Por ejemplo, el caso Wikileaks, o el de Edward Snowden y la Agencia de Seguridad Nacional estadounidense (NSA), que espió las comunicaciones de millones de personas. “Es muy gracioso, porque cuando llamas a la NSA te sale un contestador que dice “Esta llamada puede ser grabada”, bromeó Alonso. “Sabíamos que estaba pasando lo que denunció Snowden, pero no con tal virulencia”.

El mundo está en guerra en Internet, aseguró el hacker, lo cual tiene la ventaja para los gobiernos de que no hay un coste en vidas, al menos directamente. “Además puedes negar que el ataque es tuyo, al menos durante un tiempo”.

La Operación Aurora, una serie de ataques a empresas estadounidenses, entre ellas Google, fue supuestamente realizada por agentes del Gobierno chino, aunque este negó las acusaciones. El resultado es que Google se marchó del país.

Pero sin duda Stuxnet se llevó el protagonismo del debate, puesto que fue mencionado por varios ponentes. Fue un ataque destinado a una central nuclear iraní, explicó Alonso. “No se sabe quién -el Washington Post apunta a EE.UU- creó una ciberarma (de un único uso), en forma de pendrive”. ¿Por qué un pendrive? Porque los ordenadores objetivo no estaban conectados a internet.

El pendrive se repartía en congresos especializados en el tema nuclear. Cada vez que alguien pinchaba el pendrive, o un pendrive infectado, Stuxnet infectaba el ordenador, ejecutaba un código y obtenía privilegios de administrador. Pero se mantenía inerte en todos los ordenadores que no fueran su objetivo. “Se encontraron miles de copias en Irán y la India, especialmente”, contó Alonso. Stuxnet actuaba de manera sutil: manipulaba los sensores del sistema de control industrial SCADA, de modo que el sistema no convergía a un estado estable.

Chema Alonso contó también los casos de Duqu y Flame, dos especies de malware que circularon por todos los ordenadores del mundo, camuflados como software de Microsoft. Su misión era captar los documentos de todos los ordenadores del planeta. “No llegaron a venderlos, sólo se sabe que se los llevaron”. Dejaron de funcionar cuando caducaron los certificados digitales de Microsoft. Otros malwares están dirigidos por grupos criminales, que obtienen documentos, y luego venden un buscador para rastrearlos.

El experto contó varios casos de espionaje, realizados por el gobierno chino y por el indio, y otro del gobierno ruso, que espió a la república ex soviética Georgia. Los georgianos descubrieron el troyano, y le contragolpearon con otro troyano, que activó la webcam del espía y le grabó.

La OTAN también tiene hackers, añadió Alonso, pero para tener una estrategia constante en la ciberseguridad hace falta mucho dinero, “y el dinero lo tienen los estadounidenses”.

El caso de la NSA y Edward Snowden lo analizó más en detalle. Alonso explicó que las empresas estadounidenses están obligadas a facilitar todo tipo de información al Gobierno del país, desde la Patriot Act y el 11-S. Eso incluye desde los datos de llamadas de las empresas de comunicaciones, como Verizon, hasta los perfiles de redes sociales como Facebook, o el correo electrónico de Hotmail (Microsoft). Pero también incluye a Apple, y las aplicaciones de sus iPhones, que las utiliza hasta “el presidente del Gobierno español”.

El Reino Unido no tiene tantas empresas tecnológicas, pero aprovecha que la mayoría del tráfico entre Europa y EE.UU. pasa por las islas británicas, y pincha las comunicaciones en el denominado programa Tempora.

La situación ha llegado a tal punto que, según las informaciones de Snowden, el gobierno estadounidense ha colocado expertos en los comités de creación de estándares criptográficos con el objetivo de diseñarlos para que sean fáciles de hackear (para el mencionado gobierno). En resumen, según Alonso, que citó una conocida frase del sector: “Si te gastas mas dinero en café que en seguridad, vas a ser hackeado”.

Ciberdefensa

Francisco Zea Pasquín, capitán de navío, y jefe de Seguridad de la Información en los Sistemas de Información y Telecomunicaciones del Estado Mayor de la Defensa explicó a grandes rasgos la estructura de la ciberdefensa española, es decir, la parte de la defensa centrada en internet y en las comunicaciones.

Zea Pasquín, que ha trabajado en la OTAN y tiene la especialidad de analista de sistemas integrados, explicó que la ciberseguridad española trabaja a partir de dos documentos. Uno de ellos es la Estrategia de seguridad nacional, que salió el 31 de mayo pasado, actualizando la edición de 2011. En él se considera que las ciberamenazas es una de las 12 principales amenazas a la seguridad del Estado, pero también se subraya que las otras 11 (conflictos armados, terrorismo, etc.) utilizan internet para sus fines, por lo que ciberseguridad es algo “transversal”, enfatizó Zea Pasquín. La prevención y la colaboración internacional son algunas de las recomendaciones principales de la guía.

El otro documento que rige la ciberseguridad española aún no se ha publicado oficialmente, aunque lleva un año preparado. Se trata de la Estrategia española de ciberseguridad, que considera que los ciudadanos también deben de concienciarse de la importancia de esta materia. En la guía se enumeran las diversas partes del Estado y de la industria que deben protegerse: infraestructuras críticas, el I+D, etc. “Mientras se publica el documento todo el mundo sigue haciendo su trabajo”, matizó Zea Pasquín en la ronda de preguntas de los asistentes. “Cuando salga la normativa nos pondremos más de acuerdo todos, pero mientras tanto, se sigue funcionando”.

El Centro Criptológico Nacional (CCN), adscrito al CNI y perteneciente al Ministerio de la Presidencia, es el centro de la estructura de la ciberdefensa, pero hay otros centros a nivel autonómico que también colaboran, añadió Zea Pasquín.

Por último, el militar detalló el papel del ejército en la ciberdefensa: no sólo consiste en proteger los equipos y las comunicaciones del propio ejército y el Ministerio de Defensa, sino que también colaboran en la ciberseguridad nacional, en un papel homólogo al del ejército en la seguridad general, colaborando con la OTAN y la UE. Para ello se creó hace unos meses el Mando Conjunto de Ciberdefensa, perteneciente al Estado Mayor de la Defensa. “Igual que la policía trabaja contra la ciberdelincuencia, los militares lo hacen contra los ciberataques”, resumió Zea Pasquín.

El mundo civil

El punto de vista civil lo aportó Alberto López Ruiz, gerente de Dirección de Operaciones de Inteco (el Instituto Nacional de Tecnologías de la Comunicación), que explicó que el CERT (Equipo de Respuesta ante Emergencias Informáticas) de Inteco está preparado para responder a cualquier incidente del ámbito civil.

La ventaja de los ciberataques, explicó López Ruiz, es que se consigue mucha información con relativamente poca inversión. No todos los ataques son como Stuxnet, explicó, un ataque en el que se invirtió muchísimo esfuerzo para algo muy específico.

Inteco presta servicios a empresas privadas, y colabora con instituciones similares de otros países. “Almacenamos datos de los incidentes en una base de datos, y trabajamos en la alerta temprana para prevenir”, añadió. “A veces incluso perseguimos la autoría y capturamos a los responsables de los ataques, aunque no es lo habitual”.

López Ruiz lamentó que reciben menos notificaciones de las que les gustaría, “ya sea porque las empresas no se dan cuenta de que están siendo atacadas, o porque no quieren hacerlo público, y se apañan solas”.

La última vía de trabajo del Cert de Inteco es crear empresas, servicios y páginas web fantasma, “para hacer de cebo a los malos”. De ese modo tienen un laboratorio para observar las vías de introducción de virus y troyanos (correo electrónico, etc.). Es lo que se denomina “detección proactiva de incidentes”, algo cada vez más habitual. “Estamos compartiendo información con el sector privado y con sectores internacionales”.

López Ruiz terminó citando a Séneca, que dijo que “fiarse de todo el mundo y no fiarse de nadie son dos vicios: pero en el uno se encuentra más virtud, y en el otro más seguridad”.

La seguridad en una empresa

Rafael Vida, especialista en seguridad de Telefónica, y profesor asociado de ICAI en la Universidad de Comillas, explicó cómo hace una gran empresa como Telefónica para enfrentarse a los ciberataques exteriores. “Se trata de ataques complejos, de malware que puede entrar por un pendrive, por la Red, de muy diversas formas, y que tiene diferentes formas de ocultarse”, explicó. Normalmente, dijo, las empresas recurren a las guías de buenas prácticas, pero Vida considera que en gran medida están obsoletos: “vienen de 1989”.

En Telefónica tenemos más de 100.000 puestos informáticos, y siempre hay alguno con el virus Conficker. “¿Por dónde entra? Cuando lo miras a fondo, aparece en varios sitios muy distintos entre sí. Es muy difícil saber por donde ha entrado de verdad”.

Por eso la estrategia de su empresa es cambiar la forma en que se conectan los nodos de la red, de modo que los nodos particulares pierdan importancia, y la gane la red en conjunto. “Cambiamos la topología de la red, cambiamos la estructura, los enlaces, aumentamos la seguridad”, insistió. “La aproximación tradicional es actualizar parches, antivirus… pero aquí no puedes, porque no puedes parar los servidores, no puedes dejar de dar los servicios. Es imposible tener todo el software actualizado, porque son muchos ordenadores. Me interesa dar servicio, no que funcione un nodo en concreto”.

En la ronda de preguntas del público, Chema Alonso describió un congreso de hackers como él como un evento lleno de precauciones: “Usamos papel y lápiz, destruimos el disco duro… Los que trabajamos en seguridad llevamos la webcam tapada porque tememos que seamos los siguientes en ser espiados”.

También, preguntado por cuál puede ser la mejor estrategia de ciberseguridad para una pyme, recomendó encarecidamente utilizar la economía de escala que proporciona la nube. López Ruiz matizó: “Si el problema surge en la nube, es mas difícil de resolver, pero se acaba resolviendo”.