II ESET Security Forum: Nuevos dispositivos, amenazas y protección de infraestructuras críticas

La segunda parte del II ESET Security Forum empezó tras un breve descanso que los ponentes aprovecharon para reponer fuerzas y hacer un poco de networking con los asistentes. El primer tema que tratamos en esta segunda parte era el de las amenazas presentes y futuras que afectan a todo tipo de dispositivos conectados a lo que se conoce como el Internet de las cosas.

Hace tiempo que Internet dejó de ser algo que usaban exclusivamente los ordenadores. Los dispositivos móviles primero, y otros dispositivos menos comunes como todo tipo de electrodomésticos, han ido poco a poco conectándose a la red de redes para añadir funcionalidades a las que ya disponen de serie.

Los participantes en el foro tenían su opinión al respecto. Así pues, César Lorenzana(@GDTGuardiaCivil), Capitán del Grupo de Delitos Telemáticos de la Guardia Civil, considera que estamos introduciendo este tipo de dispositivos conectados a Internet en demasiados sitios, mientras Daniel García (@ggdaniel), investigador y organizador de las conferencias de seguridad Navaja Negra de Albacete, opina que quien quiera buscarle las cosquillas a estos dispositivos, lo conseguirá, aunque los usuarios también deberíamos preocuparnos de todas las funciones que realizan, incluyendo las que no se anuncian.

Pablo Fernando Burgueño (@Pablofb), abogado especializado en ciberseguridad y privacidad en la red, opina que este Internet de las cosas también puede ser utilizado para cometer delitos, poniendo incluso ejemplos de posibles asesinatos a través de Internet al modificar el correcto funcionamiento de los dispositivos conectados.

Ángel-Pablo Avilés “Angelucho” (@_Angelucho_), editor de “El Blog de Angelucho” y autor del libro “X1Red+Segura. Informando y Educando v. 1.0”, opina que “vamos a ver los mismos ataques que hemos visto hasta ahora pero con más objetivos. Los ciberdelincuentes van a intentar acceder a todo lo que puedan y aprovechar las amenazas existentes pero orientadas a estos nuevos dispositivos conectados a Internet”.

Luis García Pascual, Inspector Jefe de la Brigada de Investigación Tecnológica de la Policía nacional, considera que “esta conexión a Internet de todo tipo de dispositivos es inevitable. No podemos quedarnos anclados en el pasado  y debemos adaptarnos. Debemos reaccionar ante los nuevos tipos de delito con una respuesta adecuada”.

Jaime Sánchez (@segofensiva), reputado investigador que ha participado en algunas de las conferencias de seguridad más conocidas a nivel mundial, considera que “como usuarios, somos responsables de lo que nos pase. No nos damos cuenta de lo que suponen estos avances tecnológicos tan rápidos y no terminamos de poner los pies en el suelo. Deberíamos preocuparnos de los problemas actuales para sentar las bases de los problemas venideros con todo tipo de dispositivos que se conecten a Internet”.

Josep Albors (@JosepAlbors), como director de comunicación y del laboratorio de ESET España, opina que “se delinque con lo que sea” y hace una mención especial “a todos aquellos investigadores que se dedican a buscar agujeros de seguridad para que el resto de usuarios puedan disfrutar de la tecnología sin miedo. No obstante, como usuarios somos en parte responsable de lo que nos sucede y muchas veces no tomamos las medidas de seguridad adecuadas, preocupándonos únicamente de que algo funcione”.

El último tema que se abordó en este II ESET Security Forum trataba sobre la protección de las infraestructuras críticas. Casos como el de Stuxnet mostraron a la opinión pública cómo de vulnerables pueden ser este tipo de infraestructuras si un atacante decidido y con los recursos suficientes decide atacarla utilizando únicamente un código especialmente diseñado para la ocasión.

Para Jaime Sánchez “aún queda un largo camino por recorrer. Disponemos de organismos como el CNPIC, encargados de la seguridad de estas infraestructuras, pero andamos a la cola de Europa en esta materia”. Según Luis García, “los ataques pueden provenir tanto de otros gobiernos como del crimen organizado. Para evitar que estos ataques se traduzcan en tragedias hay que utilizar la redundancia de los sistemas críticos y apoyar a los distintos CERT para que informen de nuevas amenazas dirigidas a estos objetivos”.

Ángel-Pablo Avilés cree que “como ciudadano no se perciben estos riesgos. Se nota que se está avanzando en esta materia y en los esfuerzos para proteger estas infraestructuras aunque no se sabe si es suficiente. Para Pablo Fernando Burgueño la seguridad ha de ser la máxima prioridad a la hora de gestionar estas infraestructuras y, aunque la plena seguridad es inalcanzable, sí que se puede invertir en mejorar la existente para dificultar los ataques”.

Daniel García considera que “la amenaza está ahí y la experiencia en casos anteriores demuestra la importancia de que se cumpla la normativa. No hace falta preparar una elaborada amenaza si se pueden saltar todos los sistemas de seguridad física con un simple uniforme de operario y utilizando la ingeniería social. Para mejorar esta seguridad hay que destinar los recursos suficientes y buscar fallos constantemente”.

Para César Lorenzana “nos hemos dado cuenta de los problemas demasiado tarde y ahora estamos pagando las consecuencias. No obstante, estamos mejor de lo que estábamos hace unos años aunque queda aún mucho por recorrer. La seguridad también se consigue con la concienciación y es hora de cambiar el chip y adaptarse a los nuevos tiempos. Las Fuerzas y Cuerpos de Seguridad del Estado están preparadas para dar una respuesta adecuada aunque quedan por establecer medidas de respuesta automática”.

Por último, Josep Albors considera que “hay que invertir aún mucho tiempo y dinero en concienciar a los sectores afectados. Durante mucho tiempo se ha utilizado la seguridad por oscuridad como modelo, pensando que si no se facilitaba el acceso a los sistemas que controlan las infraestructuras críticas estas estarían seguras. Ya hemos visto que esto no funciona y es hora de cambiar de estrategia si queremos evitar algún incidente importante”.

Y así llegamos al fin del resumen del II ESET Security Forum. Gracias al apoyo que ha tenido esta iniciativa, no tardaremos en repetir la experiencia y celebrar la tercera edición de este evento en los próximos meses.

Josep Albors