¿A qué vulnerabilidades en materia de ciberseguridad nos enfrentamos en el día a día? ¿Qué hacer para convertirse en un hacker ético? A estas preguntas responde Jorge López Hernández-Ardieta, Jefe del Grupo de Investigación en Ciberseguridad de Indra.
U-tad ha hecho público esta semana el Informe sobre el Estado de la Ciberseguridad 2015 donde se analizan los últimos datos en materia de ciberseguridad, las tendencias para el próximo año y cómo enfrentarse a los peligros que afectan a empresas, instituciones oficiales y personas en el uso de las tecnologías conectadas. Aprovechamos la ocasión para entrevistar a Jorge López Hernández-Ardieta, Jefe del Grupo de Investigación en Ciberseguridad de Indra y Codirector del Máster Indra en Ciberseguridad.
Descarga el informe en este enlace: Estado de la Ciberseguridad 2015.
¿Cuáles son las vulnerabilidades más críticas al día de hoy que ponen a riesgo la ciberseguridad de empresas, gobiernos y países?
Si nos centramos en la componente tecnológica, es decir, sacamos al usuario de la ecuación, la gran mayoría de los ciberataques se dirigen al software. Después, con mucha menor incidencia, encontramos ciberataques dirigidos a protocolos, a la criptografía e incluso a vulnerabilidades propias del hardware.
El software se encuentra presente en prácticamente todo lo que nos rodea: sistemas TIC tradicionales, elementos de supervisión y control de infraestructuras críticas, dispositivos móviles, automóviles, elementos inteligentes con capacidad de cómputo integrados en lo que conocemos como Internet de las Cosas, etc. Es decir, el software rige el correcto funcionamiento de elementos críticos no sólo para las personas sino también para los intereses de los países. Es por ello que es absolutamente imprescindible conocer la tipología de vulnerabilidades que habitualmente incorpora un ingeniero en el software que construye, así como los ataques al mismo y las medidas necesarias para producir software minimizando las vulnerabilidades y que resista adecuadamente dichos ataques.
Por otra parte, la interdependencia e interconexión creciente entre sistemas que en un principio pudieran parecer nada relacionados unos con otros nos lleva a concluir que para alcanzar niveles adecuados de resistencia debemos aspirar a un ecosistema donde todos los elementos, de manera independiente, sean lo suficientemente seguros. En caso contrario los atacantes podrán encontrar una vía para impactar de una forma u otra en nuestros propios sistemas.
¿Es posible conocer conocer al autor o autores de un ataque?
Es tremendamente difícil trazar el origen de un ciberataque, por diferentes motivos. Quizá los dos más influyentes son, en primer lugar, la propia arquitectura de Internet y las posibilidades existentes para realizar una conexión anónima entre dos puntos y, en segundo lugar, la dificultad de realizar la atribución de un ciberataque a una persona física. Es decir, en última instancia, quizá podamos recuperar suficientes evidencias forenses, saber qué ocurrió y localizar el equipo desde el cual se realizó el ataque, pero saber con plena certeza la persona o el actor promotor del ataque (p.ej. un gobierno) es ya un problema que trasciende los límites de la ciberseguridad.
En cualquier caso, las técnicas forenses, que nos permiten como apuntaba antes conocer el qué y el cómo, son sin duda primordiales para una eventual identificación del atacante. Las técnicas forenses básicamente se centran en explorar en profundidad un sistema de información (dispositivos de almacenamiento, memoria, trazas de red, etc.) para la obtención de indicios que, tras un posterior análisis y correlación, puedan esclarecer los hechos.
Muchas empresas o gobiernos emplean hackers “buenos” o “éticos” para poner a prueba sus redes y sistemas y encontrar vulnerabilidades antes de que las encuentres los cibercriminales. ¿Qué estudiar para convertirse en hacker?
La palabra ‘hacker’ aglutina multitud de connotaciones, algunas positivas, otras negativas, en función de a quién preguntes. Precisamente por eso personalmente no suelo emplear el término ‘hacker’ cuando me refiero a profesionales de la ciberseguridad, si bien es cierto que en ocasiones lo hago pero añadiendo el apellido ‘ético’ para dejar claro que las actividades que realiza dicha persona son siempre en un marco controlado y legal, conforme a unas cláusulas previamente acordadas con el cliente.
En este sentido, un hacker ético debe tener los conocimientos y habilidades necesarios para realizar un análisis de vulnerabilidades y pruebas de intrusión con el fin de identificar, siempre cumpliendo el marco legal y contractual, caminos posibles para comprometer un sistema y aportar las recomendaciones (este punto es importante) para resolver o, en su defecto mitigar, dichos problemas.
Para ser capaz de realizar esta labor un hacker ético debe por tanto tener un profundo conocimiento de la tecnología que evalúa (Web, móvil, sistemas de control industrial, etc.), así como las técnicas, tácticas, procedimientos (TTP) y herramientas de ataque más eficaces para ello.
Tanto los TTP como las principales herramientas ofensivas se enseñan en amplitud y profundidad en el Máster Indra en Ciberseguridad, en 3 escenarios muy significativos: los sistemas TIC tradicionales, especialmente en arquitecturas distribuidas y Web, los dispositivos móviles y, por último, los sistemas de control industrial. Con este conocimiento, los alumnos que finalizan el Máster son plenamente capaces de asumir las funciones de hacker ético en los entornos profesionales más exigentes como pueden ser defensa (sistemas militares), empresas del sector energético, banca o telecomunicaciones.
Para tener una formación completa en ciberseguridad, ¿es importante el entrenamiento práctico?
Si algo diferencia la ciberseguridad es que es un campo eminentemente práctico. Si bien es cierto que existen determinados perfiles donde la aplicación del conocimiento teórico prima sobre la práctica ingenieril, los perfiles más demandados hoy en día y, por ende más necesarios, son aquellos que aportan un sólido conocimiento teórico a la par que abordan tareas de corte fundamentalmente práctico, como pueda ser el análisis de malware, el análisis forense, el análisis de vulnerabilidadesy las pruebas de penetración de sistemas, la ingeniería de sistemas y software seguros, o laoperación y gestión de sistemas de ciberdefensa.
Así pues, no concebimos un profesional de la ciberseguridad plenamente capacitado si no es capaz de aplicar en situaciones reales el conocimiento adquirido durante su formación. Y para ello, como en el deporte es necesario entrenar, y mucho; el entrenamiento ha de ser parte inherente del ciclo formativo. Sólo de esa forma se podrá ser altamente efectivo en el desempeño de las funciones en el mundo profesional.
En general, los posgrados en Ciberseguridad incorporan escasa formación práctica y, cuando lo hacen, consiste habitualmente en prácticas al uso de laboratorio que trasladan poco realismo al alumno y se limitan a un conjunto muy reducido de escenarios y casuísticas. Esto provoca una escasa exposición del alumno a situaciones a las que inevitablemente tendrá que hacer frente en el mundo laboral, reduciendo sus posibilidades de conseguir un puesto de trabajo y minando su desempeño laboral.
En el Máster Indra en Ciberseguridad empleamos la solución iPhalanx de Indra para que los alumnos, tanto de forma individual como en equipo, puedan abordar entrenamientos prácticos avanzados en todas y cada una de las disciplinas que se estudian en nuestro Máster, ya sean técnicas y tácticas defensivas, ofensivas o de análisis forense.
iPhalanx se define como un campo de maniobras cibernético (cyber range en inglés), y consiste en una sofisticada plataforma tecnológica que posibilita al alumno un entrenamiento eficaz, flexible (desde cualquier lugar a cualquier hora) en escenarios “live”, donde todo es real, desde los sistemas de información que deben defenderse o atacar hasta los propios ciberataques, malware, o contramedidas que se implantan. iPhalanx, además, está considerado como el campo de maniobras cibernético más avanzado del mercado, incorporando capacidades únicas como la instalación ágil de escenarios, la monitorización y tutorización automáticos del alumno o el aislamiento físico de los entornos usuario-escenario y escenario-escenario para garantizar la máxima seguridad durante su uso.