Sólo quien estuviera en Babia [metafóricamente, no en León] pudo no enterarse del ciberataque global y coordinado bautizado del viernes 12, que afortunadamente no llegó a consumar los daños potenciales en toda su magnitud. Eutimio Fernández, responsable del área de ciberseguridad de la filial española de Cisco, acogió con buena disposición la invitación a responder preguntas de este blog acerca del acontecimiento. Se supone que Cisco – por sus routers y switches pasa la mayor parte del tráfico mundial de Internet – está en inmejorables condiciones para explicar lo ocurrido, gracias a su sistema de ciberinteligencia Talos. La conversación con Fernández fue tan exhaustiva como inquietante.
En caliente ¿cuál es su primera valoración del ciberataque masivo del 12 de mayo?
Siempre que hablamos de seguridad, hay que empezar por reconocer la alta probabilidad de que quien nos apunte acabe dando en el blanco. En Cisco estamos continuamente viendo por dónde vienen los tiros, sabemos lo que sucede en casa de nuestros clientes, y nos consta que muchas de las empresas que han sido atacadas con WannaCry estaban bien preparadas. La lección que nos ha dejado a todos es el recordatorio de que no somos invulnerables, que hay que estar preparados. Siempre.
¿Anuncia un recrudecimiento del ransomware?
El informe de Cisco sobre ciberseguridad del segundo semestre de 2016 ya advertía que el ransomware observado llevaba a la conclusión de que serían capaces de chantajear a empresas completas paralizándolas.
Si tantas empresas han sido afectadas, algo se está haciendo mal a gran escala. ¿Qué errores han facilitado las cosas a los atacantes?
El principal, creo yo, es que se hace muy mal la gestión de los parches de dispositivos y sistemas operativos. Puede que se deba a que esta tarea cae más entre las competencias de sistemas que en las de seguridad […] y como puede afectar a las aplicaciones, se tarda un poco más en hacerlo o se deja para otro día.
¿Es una interpretación nueva?
No, no. El mensaje de Cisco es el mismo, con o sin WannaCry: asegurarse antes, durante y después. Tenemos que disponer de estrategias e instrumentos para prevenir, inspeccionar y detectar, como requisito para responder cuando se nos cuelen en casa. Tener implantadas soluciones contra las APT [amenazas persistentes avanzadas], monitorizar la red, analizar lo que ha pasado después de cada incidencia. Y, por supuesto, limpiar rápidamente e investigar retrospectivamente lo ocurrido.
Prevenir, inspeccionar y detectar… los tres requisitos han fallado esta vez […]
En este momento, si vamos a cualquier compañía, no sé yo si una o ninguna sabría decir por dónde le han entrado; esta debería ser la condición número uno para defenderse del próximo ataque que pueda producirse. Así, de partida, algo que no se conoce sobre WannaCry es el «paciente cero», la primera víctima del ataque, la que lanza la propagación.
Pasado el susto, es de rigor preguntarse ¿se podía haber hecho algo? ¿se puede hacer algo antes del próximo ataque?
Se ha dicho muchas veces que esta es una carrera interminable, en la que los malos siempre van por delante. Inicialmente, parecía suficiente detectar el malware por firmas, pero el papel de los antivirus duró lo que los delincuentes tardaron en coger el truco. Se desarrollaron los firewalls, que supuestamente iban a ser la bala de plata que mataría al hombre lobo… pero tanto no fue así que hubo que crear firewalls ´de próxima generación`, sandboxes […] hasta ahí nos protegíamos de aquello que podíamos llegar a conocer, pero con los años todo se ha complicado. Ahora recurrimos a la inteligencia artificial, a machine learning […]
Machine learning también está al alcance de la delincuencia […]
Si van por delante en la carrera, se debe a que invierten en infraestructura para mantener la ventaja adquirida. Lo hacen, en primer lugar, porque tienen en sus manos un negocio muy lucrativo, su marginalidad les protege de trabas legales, no pagan nóminas ni impuestos y, además, comparten información entre ellos, algo que no hacen las empresas que, cuando sufren un ataque, normalmente se guardan la vergüenza.
Si sabes que probablemente te atracarán, evitas pasar por ciertas calles. La metáfora puede ser torpe, pero ¿hay algún modo de protección que nos tranquilice?
Lo mejor para que no le ataquen es no dejar las puertas abiertas. Estar al día con los parches que corrigen vulnerabilidades, de modo que si se produce un ataque, estar lo mejor preparados posible. Esta vez, con WannaCry, pudimos ver al ´bicho` pero la próxima quizá no nos dé facilidades para verlo.
¿Qué medidas concretas habría que tomar?
Es primordial que automaticemos todos los elementos de defensa. Parar, desactivar y limpiar, será peligrosamente lento hacerlo manualmente […] Si se automatiza, podremos ´hablar` con el control de acceso y dejar aislados los PC afectados, evitando así que se propague el gusano más allá de donde ha aparecido. Este trabajo implica interacciones diversas, sobre todo cuando – como suele ocurrir – están implicadas soluciones de seis u ocho vendedores diferentes. Las arquitecturas deben prever que las soluciones ´hablen` entre ellas, lo que facilita la gestión de cada uno de los vectores de ataque: el correo, la navegación, las aplicaciones en cloud u on-premise. En la propia arquitectura es posible simplificar la detección y la respuesta, pero mientras no ocurre algo como lo del otro día, no se toma consciencia de las limitaciones que tenemos para reaccionar.
Cuando dice ´ tenemos` ¿se refiere a las empresas o a la industria de la seguridad?
El problema lo sufren las empresas atacadas, pero es evidente que las vendedores tenemos la responsabilidad de implementar soluciones y procedimientos. Cisco asume su parte, pero la verdad es que sólo estamos en una capa de una arquitectura […] Hasta donde yo sé, las soluciones de Cisco han servido para que nuestros clientes no se vieran afectados, pero tampoco voy a sacar pecho.
¿Por qué no?
Porque hay una asignatura pendiente que es consolidar las soluciones. Una compañia de las grandes tiene entre 40 y 50 productos diferentes de seguridad, que se van añadiendo según crece la complejidad de los ataques.
¿Hay métricas sobre la capacidad de defensa que proporcionan los vendedores?
La fuente más respetada nos da el porcentaje de no éxito. He dicho bien: no éxito. La empresa, NSS Labs es la referencia mundial con sus pruebas muy exhaustivas, que son la base de informes comparativos entre los fabricantes participantes, que en la práctica somos todos los que estamos. NSS aplica las mismas métricas para todos, que determinan el porcentaje de malware no detectado. La media global está entre el 1 y el 3 por ciento.
Uno por ciento de no éxito, sugiere un 99% de éxito en la protección. Sin embargo, hasta el mínimo porcentaje puede enmascarar un riesgo inaceptable […]
Muy cierto. El informe de NSS te dice lo que has dejado pasar – y a veces lo has hecho aposta para seguir investigando – te dice por dónde, cómo se abrió la brecha, cómo se propagó… y da como resultado el porcentaje que no has detectado. Luego, cada fabricante se mira a sí mismo y a sus competidores. En todo caso, tiene razón: el 100% de seguridad no existe, lo que no nos consuela en absoluto.
Hasta aquí sólo hemos hablado de ransomware, pero no olvidemos que hay otras amenazas y otras formas de atacar […]
Hay otras amenazas, que pueden ser menos (o más) espectaculares que WannaCry, pero existen y van a seguir manifestándose. Poner el acento en parchear Windows es urgente, desde luego, pero no va a evitar el phishing ni el robo de contraseñas. Incluso diría que pueden ser menos agresivas, el anticipo de ataques más serios, usando los datos que han robado sin hacer ruido.
Creo haber entendido que hay una cierta pereza en relación con la seguridad. O fatiga por una carrera que parece perdida…
Yo no lo veo así. El último informe que publicamos decía que un alto porcentaje de CISOs (chief informatiom security officer) se quejaban por no poder avanzar en algunos proyectos de seguridad por limitaciones de presupuesto […] Me parece más concreto que hablar de pereza.
Con la que está cayendo, suena increíble que se limiten los presupuestos de seguridad…
Ningún presupuesto puede ser elástico. Hace unos años, la seguridad se calculaba como un coste: la pregunta era ´¿cuánto tengo que añadir a este proyecto para que tenga un capítulo de seguridad`? El director financiero fruncía el ceño y repreguntaba ¿tú crees que realmente es necesario?. Ahora, justamente por la que está cayendo, la mentalidad va cambiando. No es una actitud que afecte sólo a la seguridad, pero opino que si se aborda un proyecto hay que hacerlo con garantías. Afortunadamente, se está empezando a reconocer que la seguridad es un habilitador, no un coste más entre otros.