A la hora de proteger su ciberseguridad empresarial, las organizaciones tienen varios frentes abiertos, pero hay dos especialmente esenciales: por un lado, vigilar el factor humano, que muchas veces es el mayor desencadenante de ciberataques o fugas de información; por otro, aplicar inteligencia a todos sus procesos, de modo que la ciberdefensa avanzada no dependa de acciones reactivas, sino de desarrollos proactivos. De todo esto sabe largo y tendido José Manuel Díaz-Caneja, experto en análisis de inteligencia y profesor en el Máster de Ciberinteligencia de Campus de Ciberseguridad-UFV, con el que hemos hablado para conocer el estado actual de la ciberdefensa de las empresas y los retos que aún les quedan por delante.
En el panorama actual de la ciberseguridad, ¿qué papel juega la ciberinteligencia?
El término ciberinteligencia aparece siempre asociado a la ciberseguridad y, en la mayoría de las ocasiones, parece que se limita únicamente al análisis técnico de ciberamenazas con la finalidad de que sirva de base para mejorar las medidas de ciberseguridad de una organización. Es decir, un concepto muy reactivo, totalmente defensivo.
Si definiéramos ciberinteligencia como la inteligencia elaborada en base a la información obtenida en el ciberespacio y que apoya en los procesos de toma de decisiones y de planificación una organización, veríamos cómo su campo de actuación se ampliaba. Ya no solamente tendría como objetivo contribuir a defender una organización de las ciberamenazas, sino que además estaría dotada de un componente más ofensivo y proactivo que facilitaría el aprovechamiento de las oportunidades que brinda el ciberespacio.
La ciberinteligencia debe favorecer la elaboración de alertas estratégicas y predictivas de las ciberamenazas basadas en indicadores. El objetivo es prevenir y evitar, o por lo menos mitigar, sus riesgos asociados.
Las amenazas internas son uno de los principales riesgos a los que se enfrentan las organizaciones, ¿cuáles son las más frecuentes?
Por ahora la más frecuente es la accidental, como la difusión de información debido al uso de direcciones de email equivocadas, la no identificación de ataques de phishing o errores debidos a una mala configuración de los sistemas informáticos. Sin embargo, las acciones intencionadas están tomando gran relevancia debido a que, en muchas ocasiones, resulta más fácil corromper a un empleado que emplear sofisticados ciberataques para reventar un sistema.
Pongamos el ejemplo del SIM Swappping. ¿Por qué gastar esfuerzos en ataques de ingeniería social cuando resulta más fácil comprometer al empleado de una tienda de telefonía para que copie los datos privados de los clientes y duplicar posteriormente la SIM? Y lo mismo pasaría también en el caso de revelación de información sensible de la organización.
El problema con la amenaza interna intencionada es que muchas veces las organizaciones no son conscientes del número de empleados que tienen con privilegios para el acceso a información sensible
¿Qué medidas deben implementar las organizaciones para estar preparadas para afrontar estas amenazas internas? ¿En qué consiste exactamente la contrainteligencia empresarial?
Antes de nada, la organización debe plantearse varias preguntas importantes:
- ¿Qué debe proteger nuestra organización?
- ¿Qué intentan descubrir nuestros competidores/adversarios (o agencias de gobiernos extranjeros) sobre nosotros y por qué?
- ¿Cómo están tratando de hacerlo? ¿Qué capacidades tienen? ¿Aplican un enfoque técnico o están intentando sobornar a nuestros empleados?
- ¿Qué podemos hacer, y qué estamos haciendo, para reducir sus posibilidades de obtenerlo? ¿Qué tácticas legítimas de denegación y engaño podríamos emplear para salvaguardar nuestra información? ¿Y nuestras patentes o desarrollos de I+D?
Si una organización no es capaz de dar respuesta a las dos primeras preguntas de una manera clara y precisa, será incapaz de responder a las dos últimas. En este caso, el resultado sería que la organización adoptaría medidas de seguridad ineficaces para su protección.
Para evitarlo, es necesario aplicar un enfoque de contrainteligencia, cuya aplicación pasa por trabajar en tres áreas concretas: selección del personal, formación y concienciación y monitorización y supervisión. En primer lugar, es fundamental realizar una adecuada selección del personal ajustada a los privilegios de accesos que vaya a tener. En segundo lugar, su formación y concienciación es clave, no solo para identificar un posible ciberataque, sino también para detectar actitudes sospechosas de compañeros que pudieran estar actuando de manera incorrecta. Esto pasa por la implementación de procedimientos, lo más discretos posibles, por medio de los cuales los empleados pudieran informar de estas supuestas actividades irregulares.
Por último, es necesario implementar un programa de monitorización e investigación que sirva como arma disuasoria, pero no solo centrado en aspectos técnicos, sino también para alcanzar un conocimiento profundo de aquellas personas que ocupan puestos clave en la organización. Hay que ser conscientes de que, en muchas ocasiones, el insider no es una persona de alto rango en la organización, sino todo lo contrario. Son personas que ocupan puestos de nivel medio o bajo y que, por distintos motivos, se encuentran insatisfechas.
Estamos acostumbrados a escuchar hablar de los procesos de inteligencia aplicados a los servicios de inteligencia gubernamentales, ¿qué ventajas tiene su implementación en cualquier tipo de organización?
La finalidad de la inteligencia en sentido amplio es reducir la incertidumbre y generar conocimiento, proporcionando productos oportunos, precisos, relevantes y, a ser posible, predictivos. De esta manera, apoyan en los procesos de toma de decisiones y en la planificación. Son procesos en los que se busca la proactividad y la anticipación para evitar que la organización se vea sorprendida.
En inteligencia no se trata de acertar, sino de reducir las probabilidades de equivocarse. Debe ser transversal a toda la organización y, en muchos casos, lo único que supone es la reordenación de los procesos internos de intercambio de información y toma de decisiones. Además, es importante señalar que para que tenga éxito tiene que conseguir involucrar a todos los interesados dentro de la organización.
¿Cuáles son para ti ahora mismo las principales amenazas a las que se enfrentan las empresas?
Parafraseando lo que dice la Estrategia de Seguridad Nacional del 2017, el espionaje es una de las primeras amenazas para muchas empresas. Tiene como objetivo obtener información por parte de la competencia que le facilite alcanzar una posición de predominio en el mercado a un menor coste. Si nos vamos al ámbito de las empresas que trabajan en proyectos vinculados con la seguridad nacional, nos encontramos que estas actividades de espionaje pueden poner al descubierto capacidades estratégicas vinculadas, por ejemplo, con la defensa o la protección de infraestructuras críticas.
Estamos finalizando el año, ¿qué tendencias en ciberseguridad crees que marcarán la próxima década?
El uso del ciberespacio para llevar a cabo todo tipo de actividades ha llegado para quedarse. Por ello, la tendencia en ciberseguridad será seguir avanzando en desarrollos que permitan proteger a los individuos y organizaciones de una manera más eficiente.
Sin embargo, de nada sirve construir exclusivamente muros de protección basados en hardware y software. La historia demuestra que todos los muros o tienen puertas traseras o pueden ser perforados, por lo que hay que proporcionar una seguridad en los 360 grados. A lo anterior, se deben de añadir propuestas tecnológicas más imaginativas, basadas en la decepción y el engaño, que impidan o dificulten los ciberataques y, sobre todo, que mejoren las capacidades detección de alerta temprana.
Todo eso pasa por tener en cuenta que detrás de cada ordenador, ya sea el del atacante o del defensor, hay una persona cuyo objetivo en muchas ocasiones es provocar efectos en el mundo real.
Por eso, vincular la identificación de ciberamenazas únicamente a ciberinteligencia no es realista, ya que muchas veces la información que necesitamos para atribuir un ciberataque no la podremos obtener en el ciberespacio, sino que deberemos conseguirla con otras disciplinas de inteligencia.