Hackers éticos para un combate desigual
Bruselas obligará a partir de mayo a las empresas a comunicar sus ciberincidentes
En los próximos años, todos tendremos que acostumbrarnos a ser víctimas de una ciberdelincuencia que va en aumento y que cada vez es más sofisticada. Es difícil cuantificar los ciberataques y las pérdidas que ocasionan porque se denuncian muy pocos ciberataques, y las empresas tienden a ocultar o retrasar la información cuando se producen, por lo que las cifras son siempre de mínimos. En Estados Unidos, el Internet Crime Complaint Center (IC3) tramitó 298.000 denuncias en 2016 que supusieron pérdidas por valor de 1.300 millones de dólares. Por su parte, el Instituto Nacional de Ciberseguridad (INCIBE) afirma que en 2017 se registraron en España más de 120.000 incidentes de seguridad, lo que comparado con los 18.000 de hace solo tres años, supone un incremento espectacular, no solo por el aumento de ciberataques, sino por la mayor capacidad para detectarlos.
El European CyberCrime Center (EC3), que cada año publica un informe que cualifica y cuantifica los ciberdelitos en Europa, constata que durante 2017, se detuvieron a cientos de ciberdelincuentes que creaban malware, herramientas para ataques DDoS, redes de Botnets y redes de pornografía infantil, así como brechas de seguridad de información personal privada robada a diferentes organizaciones, como los 1.500 millones de datos personales de clientes de Yahoo, o de los 1.000 millones de dólares que se estima ha traficado la red AlphaBay de la Darknet desde su creación en 2014.
En los países anglosajones ya existen leyes que obligan a las empresas y organismos a reportar cualquier ciberincidente grave, lo cual no se aplica actualmente en la mayoría de países europeos. La nueva directiva europea Network and Information Security, que entra en vigor el próximo mes de mayo de 2018 para servicios esenciales y digitales, obliga a informar sobre ciberincidentes, lo cual, junto con el nuevo reglamento europeo de Protección de Datos, va a suponer un alto impacto en nuestra forma de gestionar la ciberseguridad y la privacidad de personas y empresas.
Los ciberdelincuentes están actualmente organizados mediante complejas redes muy especializadas que les permiten obtener una muy alta rentabilidad (dinero, espionaje industrial, datos personales, información geopolítica para influenciar en los gobiernos con muy pocos riesgos, etc.). Además, en la dark web existen herramientas con costes razonables y fáciles de utilizar para los ciberdelincuentes. La combinación de varios tipos de herramientas les permite construir malware realmente peligroso incluso para las infraestructuras críticas de cualquier país. Es una lucha asimétrica: miles de ciberdelincuentes organizados y con grandes ingresos económicos –muchos de ellos auspiciados por gobiernos de dudosa reputación–, frente a los que intentamos protegernos con los medios humanos y tecnológicos, principalmente con los equipos de Hacking Ético.
Son estos equipos los que, de forma proactiva y continua, deben detectar las vulnerabilidades de los sistemas informáticos para aplicar las medidas paliativas, diseñando herramientas capaces de automatizar la prevención y detección temprana de los delitos informáticos. Dada la alta especialización del cibrecrimen, que incluso se ofrece como servicio en la dark web, también es imprescindible especializar a los equipos de Hacking Ético con personal experto en diferentes ámbitos para así poder realizar hacking a las aplicaciones web y móviles, tests de intrusión a los sistemas, comunicaciones y bases de datos, hacking WiFi, IoT e Industria 4.0, analistas de malware y expertos forenses.
Y como esto es una guerra, los equipos de Hacking Ético deben tener una organización basada en lo militar para hacer frente a un enemigo mucho más numeroso y extremadamente difícil de localizar y detener. Existe, en primer lugar, el equipo azul (Blue Team) que es el defensor, cuya misión es la detección temprana de los ciberataques y la reacción y respuesta para contrarrestarlos. El equipo rojo (Red Team) es el atacante, y su misión es identificar de forma preventiva las vulnerabilidades y posibles vías de ataque a las organizaciones, para promover la aplicación de medidas paliativas. Conocen y utilizan las metodologías de los ciberdelincuentes y constituyen los equipos de Hacking Ético Avanzados. Por último, el equipo Morado (Purple Team) es un equipo rojo que puede convertirse en azul ante un incidente de seguridad para, poniéndose con mentalidad de los ciberdelincuentes, identificar lo antes posible el vector de ataque y los indicadores de compromiso, y aplicar la respuesta ante dicho incidente.
Así, las empresas especializadas en ciberseguridad deben potenciar la creación de equipos multidisciplinares, y las empresas objeto de ciberataques han de concienciar a sus empleados para que sigan las medidas y servicios recomendados por los especialistas. No en vano, casi el 90% de los ataques comienzan por un correo electrónico, o mensajes en las redes sociales, y siendo el punto más débil la formación y concienciación de las personas, toda la sociedad empezando por los colegios y universidades, tenemos el reto de paliar esta locura. En 2020 quedarán sin cubrir casi un millón de puestos de trabajo relacionados con la Ciberseguridad, y en España tenemos muchísimo cibertalento que puede y debe formar a nuestra juventud como Hackers Éticos, ciberpolicías y cibersoldados que nos protejan del futuro que se nos viene encima.
Rafael Palacios es profesor de ciberseguridad en la Universidad Pontificia Comillas ICAI.
Javier Jarauta es profesor de ciberseguridad en la Universidad Pontificia Comillas ICAI, director de Consultoría y responsable del CERT & Tiger Team de la empresa de seguridad SIA.