Detalles de la primera jornada del Congreso CiberTodos20 de ISACA Madrid: «No estábamos preparados. Falta de Concienciación y Exceso de Confianza»

Como os comentábamos en el artículo «Congreso CiberTodos20 de ISACA Madrid Chapter«, el pasado jueves 1 de octubre tuvo lugar la 1ª jornada del Congreso CiberTodos de ISACA Madrid Chapter, que se extenderá durante todos los jueves de octubre, a las 18:00pm (hora española).

En él os dimos unas pinceladas de los participantes (ponentes de primera categoría) y de algunos de los interesantes temas que se trataron y debatieron, pero nos quedamos solo en eso y hemos creído necesario daros más detalles.

La jornada comenzó con la bienvenida a la misma y presentación por parte de Ricardo Barrasa García, Presidente de ISACA Madrid Chapter (@ISACAMadrid), quien arrancó agradeciendo a ponentes y asistentes, indicando que el congreso se realizaría de forma 100% virtual durante todos los jueves de octubre, que este se basaría en una visión integral de la ciberseguridad 360 con fundamento en los en los 5 pilares del framework NITS CFS (Identificar, Proteger, Detectar, Responder y Recuperar) y presentó al ilustre panel de ponentes y participantes.

La apertura oficial e institucional, vino de la mano de Rosa Díaz Moles (@rdiazmoles), Directora General de INCIBE. Ella destacó la gran importancia que tiene la colaboración público-privada, más si cabe en un momento como el que estamos viviendo a causa del Coronavirus y las repercusiones que esto tiene, está teniendo y tendrá, en materia de ciberseguridad.

Del mismo modo, apostó por e instó al uso y aplicación extendida, de forma flexible, adaptada y personalizada a las circunstancias de cada organismo y empresa, y sus respectivos objetivos y negocios, de la NIST CSF y de la ENS (Esquema Nacional de Seguridad).

En este marco Rosa aseguró que no es suficiente solo con definir, establecer y monitorizar una estrategia de protección, controles y medidas. Se busca, dijo, la eficiencia en el proceso, en el contexto, en busca de una «visión holística de personas, procesos, protocolos definidos y contrastados y tecnologías«.

Finalmente, anotó que la Ciberresiliencia es el «framework» de referencia de INCIBE en cuanto a la medición periódica de la capacidad de una empresa para fomentar la concienciación y la capacitación, contar con hábitos, buenas prácticas, procesos y mecanismos de prevención y protección proactiva frente a ciberamenazas y ciberriesgos.

A continuación, tuvo lugar una muy amena, práctica, vital, e interesantísima charla, o entrevista, que Carlos Otto (Periodista tecnológico de El Confidencial, @elconfidencial y El Enemigo Anónimo, El Enemigo Anónimo en LinkedIN, @EnemigoAnonimo_ en Twitter y elenemigoanonimo en YouTube) le hizo a Miguel Ángel Ballesteros Martín, Director General del Departamento de Seguridad Nacional (@DSN).

Decimos «vital», por como la experiencia del entrevistado en diferentes ámbitos y aspectos de la vida y no solo en temas de ciberseguridad, se trasladó en consejos, recomendaciones e invitaciones a tomar acción para jóvenes (y, en general para tod@s l@s asistentes ;-)).

Carlos le preguntaba sobre sus orígenes y los de su familia en Segovia así como lo que les diría a los jóvenes de hoy en día, basándose en sus experiencias. Miguel Ángel fue directo, claro y conciso: «Estudia y aprende inglés«, «Sé buena persona, honrado y trabajador«, «Y, sobre todo, sé muy muy curioso. Trata de entender perfectamente las cosas y de dar respuesta a todo«.

Carlos solicitaba también la recomendación de una película o sería de televisión. Miguel Ángel respondía de inmediato «Isabel«. La historia de los Reyes Católicos, al margen de todo -dijo-, «nos  habla de unidad, de unificación, de liderazgo«… «A lo largo de la historia, estar unidos nos ha hecho fuertes en tiempos difíciles y creo que ahora aplica más que nunca» -comentó-.

Respecto a la recomendación de un libro, Miguel Ángel propuso «El arte de la guerra«, pero no por su componente bélica, sino porque «es un libro que creo nos enseña a liderar y a tomar decisiones«, -dijo-.

Continuaron hablando de terrorismo y ciberterrorismo desde el punto de vista de sus similitudes y de sus diferencias. En este sentido, «los ciberterroristas han realizado incursiones y determinados ciberataques pero aún no con la contundencia y capacidades que espera tendrán en un futuro cercano, lo cual es un gravísimo problema y nos tenemos que preparar muy bien para ello«, afirmó Ballesteros.

De ello, salió a colación el tema de las guerras híbridas, amparadas en su mayoría por estados/gobiernos, de muy compleja atribución y con muy difícil establecimiento de un modelo causa-efecto relacionado. La impunidad de estas «ciberacciones» se asienta en 3 pilares esenciales: los ciberataques, el ciberespionaje y la manipulación o desinformación.

Respecto a los ciberataques, el director del DSN comentó la existencia de 33 ciberataques críticos a la Administración en el pasado año, según los datos que maneja el CCN. Sin embargo, existieron además otros 300 ciberataques adicionales de carácter grave y se constata que cada día, existe, al menos, 1 nuevo ciberataque a la Administración Pública. Esto es muy preocupante y debemos estar preparados protegidos y alerta.

En resumen de toda la conversación y temas tratados en la misma, Miguel Ángel Ballesteros concluía: «Hay que concienciar. No hay cultura de ciberseguridad«.

Para finalizar la jornada y como magnífico colofón y broche de oro a la misma, tuvo lugar la mesa redonda «Radiografía de la ciberseguridad en el primer semestre de 2020«, en la que, por supuesto, volvieron a aflorar temas de ciberseguridad, privacidad, manipulación/desinformación, etc., estrechamente relacionados con los tiempos que corren de pandemia, COVID, Estado de Alarma y confinamiento.

Un coloquio, que resulto extraordinariamente interesante, contó con la participación de,

  • Francisco Palomo Pérez, Comandante de la Fuerza de Operaciones en el Ciberespacio (FOCE) del Mando Conjunto del Ciberespacio (MCCE, del Estado Mayor de Defensa, EMAD).

En la que participaron como moderadores, y también aportando sus propias e interesantes experiencias y reflexiones,

La mesa comenzó, y potente, con la esperada (pero no menos oportuna y necesaria) pregunta por parte de Casimiro sobre ¿Qué impacto/s habéis experimentado con el COVID desde el punto de vista de la ciberseguridad?

Comenzó respondiendo Susana quien afirmó que, sin duda, nos encontramos y nos encontraremos con importantes impactos y efectos directos y colaterales que «nos han obligado y nos obligarán a replantearse todo, tanto desde el punto de vista de negocio como de las relaciones«.

De repente, en apenas una semana, nos hemos tenido que poner a teletrabajar, tanto con activos de las empresas como incluso con los nuestros particulares para no detener la actividad. Esto además ha llevado consigo, en la inmensa mayoría de los casos, encontrarse con dispositivos desprotegidos, la necesidad de protegerlos y, si ya lo estaban la necesidad de mejorar sustancialmente sus configuraciones y protecciones, así como la de las conexiones, accesos y comunicaciones. «La protección del Endpoint se trasladó al hogar«, comentaba Susana.

Así mismo, hemos asistido a más casos de ciberfraude de varios tipos y a importantes fugas de información, lo cual nos debe hacer pensar que quizá debamos revisar y replantear nuestros controles, procesos y medidas de prevención, protección y seguridad, al mismo tiempo que debemos dar mucha más importancia y presencia aún a la concienciación.

Enlazando con la conversación, Casimiro apuntaba que, desde su experiencia propia, existía una enorme evidencia de una más y mejor colaboración público-privada que, en lo que la Policía Nacional se refiere, se ha traducido en un refuerzo considerable de la ciberinteligencia y la ciberseguridad.

Su opinión es que la situación de confinamiento y pandemia del COVID19, nos había «empujado» a dar el paso y movernos al entorno digital. Esto, que a priori es muy bueno y una de las oportunidades que hemos aprovechado traduciéndola en una ventaja, tiene su parte negativa puesto que los cibercriminales y ciberdelincuentes también la han aprovechado incrementando sus vectores de ataque, su áreas objetivo de exposición y sus volúmenes de negocio, con el mínimo riesgo y coste posible.

Según el informe de Interpol, afirmó Nevado, las ciberamenazas más destacadas o que más han proliferado en este periodo han sido las relacionadas con el ciberestafas masivas de phishing (o suplantación de identidad por correo electrónico, y sus derivadas o «hermanas gemelas» como el smishing -mediante mensajes SMS-, el vishing -mediante llamadas de voz y vídeo-, pero también por WhatsApp, Telegram y otros servicios de mensajería) que han sido complejas y han apelado a la ingeniería social, al factor humano, a la solidaridad y a temas relacionados con la pandemia, los ciberataques de ransomware o cibersecuestros de dispositivos e información, el robo de datos, la manipulación de la información mediante bulos y FakeNews, el minado de criptomonedas y el blanqueo usando criptomonedas. Con todo esto, Casimiro concluía con algo en lo que tod@s coincidieron: «no estábamos preparados«.

Para continuar dando respuestas a la pregunta en la mesa redonda, intervino Pablo López. Su percepción y experiencia resultado de los momentos vividos coincidía en que se había visto una masa ingente de phishing y vishing, pero que, en concreto y especialmente observaba que, en todo momento, todas las ciberamenazas y los ciberataques o intentos de ciberfraude, ciberestafa, ciberrobo, ciberextorsión, etc., estaban basados en lo mismo: «el exceso de confianza y la falta de concienciación«.

Puso encima de la mesa la cifra de más de 69.000 ciberataques y que el trabajo prospectivo, y no reactivo, que se estaba haciendo para evitarlos estaba siendo fructífero. «Más sistemas, más vigilancia, más monitorización, más superficie de exposición y análisis y una rápida adaptación«, concluyó.

El siguiente turno fue para Francisco Palomo. Su sensación era la de la existencia de una «falsa tregua» durante el confinamiento, ya que parecía que «cuanto más aumentaba el impacto del COVID, más disminuía la cibercriminalidad«.

Pero era solo un espejismo y la realidad era bien otra. «Hacía mucho tiempo que no proliferaban y veíamos tantos centenares de miles de páginas web falsas, fraudulentas, o fake para robar datos mediante ingeniería social«. Estás páginas y sus creadores, tenían una estrategia muy bien urdida… «pasaron de la primera fase de explotación de dichas páginas, a la siguiente de pesca, recogida o robo de datos/información, para atacar más adelante cuando más conveniente, menos arriesgado y más beneficioso sea«.

En principio parecía que, pasado el confinamiento y lo más duro de la pandemia en España, Junio iba a ser un mes más tranquilo. Pro, sin embargo, nada más alejado de la realidad. «Los ciberdelincuentes siguieron utilizando todos los <<-shing>> posibles e incluso saltaron a Whatsapp y especialmente a Bizum«, comentó Francisco Palomo.

Para finalizar, Pedro Janices nos compartió su propia experiencia y percepciones, con frases muy lapidarias al mismo tiempo que veraces y muy a tener en cuenta. «El atacante se nos adelantó«, comenzó.

Desde su punto de vista la clave fue que «no estábamos preparados» y que es muy evidente la enorme «falta de alfabetización digital y concienciación en el uso seguro de dispositivos, herramientas y servicios online«.

Pero, por otro lado, tratando de ver la parte positiva, «lo vi como una <<oportunidad>> en cuanto a la colaboración, la coordinación, el trabajar en conjunto y en equipo para ser mejores y acelerar procesos«.

En el caso de Argentina, aunque no diferente al de España u otros países, aprovechando situaciones de subsidio existentes en ese país, proliferaron infinidad de avisos, comunicaciones y noticias falsas ofreciendo servicios especiales de subsidio. El phishing y las comunicaciones y acciones fraudulentas en Instagram también estuvieron a la orden del día. Se utilizó a los usuarios como mulas para mover dinero, se gestionaron falsos créditos, y se lanzaron muchas campañas fraudulentas en, con, y sobre plataformas de entretenimiento.

Tras esta primera pregunta que Casimiro dejó sobre la mesa para los contertulios, vino la segunda, más potente polémica y casi «capciosa» 😉 que la primera… una que ha contado con muchísimo debate, controversia, opiniones y posturas enfrentadas… «¿Es seguro el uso de la App RadarCOVID desde el punto de vista de la privacidad y deberíamos utilizarla, o no?«… «ahí lo dejo«, remató Nevado esbozando una sonrisa (más risa que sonrisa ;-)).

«Susana, si te parece puedes comenzar tú» comentó Casimiro. «Mmm, sí una pregunta interesante al mismo tiempo que difícil y muy controvertida… no sé si darte las gracias por invitarme a abrir el debate sobre ella, Casimiro«, contestó Susana en tono jocoso ;-).

¡Pregunta peliaguda y comprometida donde las haya! 😉

Susana dio su opinión desde la perspectiva de la privacidad, en términos estrictamente legales, pero inicialmente comenzó argumentando que «en situaciones especiales como esta, hay que tener en cuenta, sopesar y poner en una balanza los intereses y derechos junto con la privacidad; la privacidad vs la eficacia«.

Dicho esto, comentó que en otros países (especialmente en algunos países asiáticos), el que existan menos niveles de aseguramiento de la privacidad, se convierte en unos mayores índices de eficiencia, lo cual, en este caso, se está traduciendo en la disminución de la velocidad y volumetría de las infecciones por COVID. Luego, objetivo conseguido.

Aún así, y en términos de estricta legalidad y de mero conocimiento técnico básico, aunque la App diga no recoger datos personales, está instalada en el smartphone, en el que hay un sistema operativo, unas configuraciones, otras Apps, unas conexiones, unas comunicaciones… y, por tanto, recoge información. Habría que analizar si se realiza una correcta anonimización, si no podemos identificar a la persona y tampoco podemos relacionarla con esos datos, pero parece complicado que así sea. Es posible que, aunque la App minimice el tratamiento de la información y anonimice correctamente los datos pero la tecnología digital que esté por debajo no lo haga así o no deje que la App lo haga así, dijo Susana González.

Está claro que instalar RadarCOVID es algo voluntario, aunque en otros países sea de obligado cumplimiento instalar aplicaciones similares de rastreo. También hay que tener en cuenta que quizá, en este momento/circunstancia que nos ocupa, aporte mucho más el hacerlo que no, en términos de apoyo al bien común.

Sin embargo, y sin dudar de que sea un buen producto -dijo-, «hay que tener en cuenta el modelo de desarrollo de software <<Privacy & Security by Design>> y, en este caso, se trata de una App que ha sido desarrollada muy rápido y para la que, quizá, no haya habido tanto tiempo de testeo, por la evidente necesidad de premura y urgencia«.

Pablo López continuó con la ronda de respuestas. El debate estaba servido. «Tengo que decir que no solo estoy a favor de RadarCOVID, sino que puedo afirmar que es una buena App y que aporta«, comentó nada más comenzar. Aquí surgió la primera polémica y conversación cruzada entre Susana y Pablo.

«Desde el CCN, como una de nuestras labores, hemos hecho una exhaustiva auditoría de RadarCOVID, tanto a la App como al backend en el que se sustenta«, continuó esgrimiendo Pablo.

Siguió… «Después de ella, podemos afirmar que cumple correctamente y que su uso no es un riesgo. La estamos continuamente analizando y la App es segura y sin vulnerabilidades«.

«Obviamente, si la instalas, tienes que tener en cuenta muchas otras cosas adicionales más relacionadas con la ciberseguridad y con la privacidad, como la actualización del sistema operativo del dispositivo, su configuración, permisos, otras Apps instaladas, el correcto funcionamiento y uso del bluetooth, aplicar todas las actualizaciones de la App RadarCOVID…«, concluyó López.

El debate duró un tiempo, el necesario que merece una temática de importancia, envergadura y criticidad como ésta; donde también se puso encima de la mesa el hecho de que «si funciona bien, como parece estar demostrado, no implica que haga un estricto y pulcro tratamiento de los datos desde la perspectiva legal, en todo momento, y tanto en el frontend como en el backend«.

Como anteúltima cuestión que compartir y debatir en la mesa, Casimiro planteó la pregunta de «¿Cómo se habían visto afectadas las volumetrías y los tipos de ciberincidentes, con motivo de la pandemia del COVID y del confinamiento?«

Respondió inicialmente Pablo López, por lo que a experiencia de primera línea en el CCN se le presuponía. Su percepción era de una cierta «normalidad» y de una situación, sino igual, muy muy parecida a la «habitual». ¡Curioso! 😮

Argumentó esto indicando que sí era cierto que habían cambiado los vectores de ataque, la superficie de ataque y exposición, y que las víctimas o atacados eran los «más débiles» y expuestos… las personas particulares, así como la Salud y la Educación, principalmente.

Aun así, su percepción es la de normalidad con no más ciberincidentes que antes. Sin embargo, ante las circunstancias, desde el CCN se han creado nuevas soluciones como ENMA y conexiones remotas mediante túneles VPN en donde era posible que lo que se transaccionaba por dichos túneles (en previsión de tráfico proveniente de potenciales cibercriminales).

Para finalizar, y como conclusiones y «lecciones aprendidas» de esta situación, los contertulios coincidieron en que «ocurrió lo que ya sabíamos y no hicimos para prepararnos con antelación«… Además… otras reflexiones…

  • «Sabíamos que teníamos brechas digitales«.
  • «Sabíamos que nos faltaba educación, concienciación, formación y confianza como para manejar convenientemente la tecnología«.
  • «Sabíamos que teníamos que invertir en ciberseguridad, pero tuvo que venir el COVID y ocurrir esto para que, por fin, lo hiciésemos«.
  • «Quedó evidente que es crítico abordar la concienciación y la capacitación en ciberseguridad, incluso más que contar con herramientas porque al final el factor humano es primordial«.
  • «Fue una oportunidad de testar nuestros sistemas y controles, aprender y mejorar medidas de protección y prevención«.
  • «El bien común debería estar por encima de la privacidad, máxime en estas situaciones y cuando, a diario, la cedemos gratuitamente a cualquiera en el uso de cualquier servicio, producto y/o App«.
  • «Es crítica y super-necesaria la consultoría, la auditoría y el inventariado continuo de activos y controles«.

De todos estos temas se habló en esta 1ª Jornada del Congreso CiberTodos20 de ISACA Madrid Chapter, pero, si queréis, podéis verlo todo en los siguientes enlaces: