A nadie sorprende que las empresas de ciberseguridad recluten mano de obra – y directivos – entre antiguos hackers, conocedores del lado oscuro que se han reciclados en nombre de la ética. De Dan Woods podría decirse lo contrario: sus conocimientos se deben a que durante dos décadas trabajó en la CIA y el FBI investigando ciberdelitos. Woods no olvida precisar que su ética personal procede de los años mozos, en los que fue patrullero en Phoenix (Arizona). Actualmente, es director de Inteligencia Global de F5, compañía que desde su origen (1996) se especializa en la optimización de aplicaciones y cargas de trabajo. Esto la ha llevado con naturalidad a la protección contra códigos maliciosos.
Dan Woods
En un informe reciente, The State of Application Strategy 2023, F5 subraya que tres cuartas partes de los ejecutivos de TI con capacidad de decisión ponen el rendimiento por encima de la seguridad y, cuando se les pregunta por qué, señalan que las medidas de ciberseguridad ralentizan sus sistemas. Una postura sorprendente que coexiste con esta otra: la inmensa mayoría del tráfico entrante en las redes corporativos procede de bots automatizados que intentan ser reconocidos con credenciales falsas.
De estas y otras cuestiones habló el autor de este blog con Dan Woods a su paso por Madrid: su conclusión es que en el seno de las empresas subsiste una peligrosa tendencia a subestimar los riesgos de ataques cibernéticos. Lo dice con la autoridad que le confiere una experiencia de muchos años: “podemos hacer mucho más, pero no creo que lleguemos a eliminar del todo las prácticas delictivas ni los comportamientos que están arraigados entre los usuarios”.
Su trayectoria profesional es inusual. ¿Qué hacía en la CIA y el FBI y qué cualidades explican su puesto actual en F5?
No creo que sea tan inusual, pero esa trayectoria me ha permitido conocer la mentalidad de los ciberdelincuentes, comprender sus objetivos y cómo van a reaccionar ante las medidas defensivas contra ellos […] Mi empleo en el FBI consistía en investigar delitos de muy distinta naturaleza, pero que tenía un componente ´ciber`. No necesariamente eran ciberdelitos, pero en cierta medida estaban relacionados con el uso de Internet: casos de fraude, de pornografía infantil o de adoctrinamiento a potenciales terroristas. En la CIA tuve un papel más de formación técnica de personal operativo […]
Sobre esa experiencia, ¿cuál es su papel en una compañía como F5, cuyo negocio no es exactamente de ciberseguridad, aunque está relacionado con ella?
Mi cargo como Global Head of Intelligence de F5 implica estar en relación con científicos de datos y con ingenieros en una compañía por cuya infraestructura pasan diariamente 2.000 millones de transacciones. Nuestro trabajo consiste esencialmente en observar las nuevas pautas de ataque, analizar los esquemas de monetización y las herramientas de las que se valen los atacantes. Otra parte importante de mi puesto consiste en viajar por el mundo en misiones de formación como la que esta semana me ha traído a España […] Desafortunadamente, tengo que reconocer que es una tarea interminable, que sólo podemos tratar de acercarnos a la raíz del problema, pero no eliminar el ciberdelito contra el que combatimos […].
Sería interesante conocer qué identifica a F5 con la ciberseguridad.
[…] No sé si mi respuesta coincidirá con la que daría la compañía a la misma pregunta [risas] pero, en mi opinión, hay al menos dos factores clave de diferenciación: tecnología y cultura. Una avanzada tecnología de análisis que llamamos client-side signals consiste en un script que se ejecuta dentro de la web y un SDKs la más avanzadade que disponemos, es la más avanzada que conozco, lo que se traduce en un script que corre dentro de la web y los navegadores, así como un SDK [software development kit] que se instala en los dispositivos de usuarios. Gracias a esas señales podemos tener una determinación en tiempo real del tráfico, se trate de bots o no, para tomar medidas de mitigación.
¿Es la principal diferencia con otras soluciones en el mercado?
Para ser más preciso, es la base de la diferencia tecnológica. Pero también está la cultura: para nosotros, no se trata sólo de evitar un delito sino de mejorar la vida de quienes usan Internet, en particular la de los equipos de seguridad y antifraude de nuestros clientes […] y lo llamo cultura porque no es algo ocasional: bloquemos un número enorme de ataques y cada caso es para F5 una inmensa satisfacción.
Entendido, pero el número de competidores es incontable; ¿en qué se diferencia F5 de sus competidores?
Hay empresas que formalmente son competidores, pero en la práctica, cuando los ataque cruzan un listón de sofisticación, no es raro que ellas mismas, o sus clientes, recurran a F5 en segunda instancia.
Entiendo que F5 se ocupa más de la infraestructura y de las aplicaciones que de la seguridad de los terminales. En una época en que se solapan los riesgos corporativos y los de guerra cibernética, ¿cómo valora usted esta nueva situación?
Su premisa era correcta años atrás, pero la compañía ha hecho una serie de adquisiciones que, en este momento, nos permiten ofrecer soluciones de ciberseguridad desde el dispositivo de usuario hasta la infraestructura. Esta es mi área de competencia: detener los ataque recogiendo las señalas tempranas.
¿Qué efectos ha tenido o está teniendo la guerra en Ucrania, desde su punto de vista?
Nos ha impactado profundamente, aunque no del modo en que se había previsto. Cuando Rusia lanzó su invasión sobre territorio ucranio, muchos de los clientes de F5 nos preguntaron cómo actuar para protegerse […] Por nuestra parte, estamos convencidos de que se han sobrestimado las capacidades de Rusia para lanzar ciberataques sofisticados, de la misma manera que se sobrestimaron sus posibilidades de ganar la guerra sobre el terreno en pocos días o pocas semanas […]. Me consta que mucha gente vaticinó que, en el caso de que Estados Unidos apoyase materialmente a Ucrania, sufriría una terrible oleada de ciberataques a sus infraestructuras que no ha sido tal. Dicho esto, no es para congratularse: peor habría sido subestimar las capacidades del agresor.
No capto si el suyo es un balance positivo o negativo […]
Toda guerra es siempre negativa […] Estamos viendo que una de las consecuencias del conflicto ha sido el desarrollo de herramientas de ataque más sofisticadas que las que conocíamos hace cinco años y, por cierto, algunas se han usado contra Rusia. Ahora mismo, esas herramientas están disponibles a todos los hackers para que puedan usarlas y lanzar ataques contra objetivos económicos. Este es el drama de la situación en la que nos ha puesto la guerra: la accesibilidad de armas cibernéticas se ha extendido hasta el punto de que en YouTube circulan videos didácticos: los he analizado y, pese a que no soy programador, creo que me bastaría un fin de semana para aplicar esas lecciones, escribir un bot y al mismo tiempo crear automáticamente cuentas en Twitter, algo que no debería ocurrir pero que incluso alguien como yo podría hacer sin dificultades mayores […] Tenga en cuenta que aproximadamente ocho de cada diez cuentas de Twitter son falsas.
¿Cuál es la situación, comparada con la de cinco años atrás, un plazo que usted mismo acaba de sugerir? Me refiero a la evolución de los riesgos, las amenazas y los delincuentes […] ¿En qué han cambiado?
Ante todo, personalmente no creo que el número de ataques haya aumentado, como suele decirse. Lo que ocurre es que tenemos más visibilidad acerca de los ataques y, sobre todo en las circunstancias que vivimos, es natural que la notoriedad se interprete como un incremento de los ataques. Mi observación sería esta: los delincuentes desarrollan sus habilidades aprendiendo de los obstáculos que encuentran: si un ataque tiene éxito, no tienen aliciente ni urgencia para mejorar las herramientas que acaban de emplear. Incluso me atrevo a discrepar de aquellos colegas de la industria que advierten una mayor sofisticación de los ataques actuales […] No siempre es así, porque a ellos les resulta suficiente y rentable el nivel que han adquirido y les da resultado. Esto, por supuesto, no les impide continuar con su I+D ni mucho menos que carezcan de recursos para avanzar más allá de ese nivel.
En los dos últimos años, el ransomware ha sido, con diferencia, la categoría de ataque más frecuente. En 2023, la principal preocupación vuelve a las infraestructuras y las redes […] ¿Cambia el enfoque de las soluciones de F5?
No, realmente nuestro enfoque depende de lo que los delincuentes hagan, no de lo que la gente perciba o suponga que van a hacer. Y creo que esta es una distinción importante: con frecuencia, muchos análisis se aferran a unas predicciones que no corresponden a la realidad. No hay que olvidar que la delincuencia se guía por motivaciones financieras: si un ataque les cuesta demasiado caro o no genera suficiente dinero, lo más probable es que cambien de estrategia. Por esto considero erróneas las estrategias que se construyen sobre conjeturas […] Creo conocer bastante de la mentalidad criminal y los criterios con los que deciden atacar una organización y no otra.
Habitualmente, las compañías de ciberseguridad se centraban en detectar, bloquear y resolver los problemas. Con el estallido de la guerra en Ucrania, han ganado terreno las contramedidas y la seguridad ha pasado a ser parte de la geopolítica. ¿En qué cambia el panorama de la industria?
Créame que hemos reflexionado bastante sobre ello. El punto de partida debería ser que no hay una sola persona u organización que deba rendir cuentas por los resultados o por los fallos, porque la ciberdefensa es una responsabilidad colectiva. Los jóvenes deberían recibir formación temprana acerca de los riesgos en que pueden incurrir por imprudencias que cometen a diario […] En cuanto a las empresas, deberían prestar más atención al reclutamiento de personal con vocación auténtica por la seguridad […] Y los gobiernos, cómo no, forman parte ineludible de la ecuación: deberán mejorar mucho en materia de coordinación, teniendo presente que algunos países funcionan de hecho como santuarios para la ciberdelincuencia y otros son remisos a la hora de cooperar con otros que se encuentran en tanto peligro como ellos.
A propósito de esto último, ¿considera que las estructuras gubernamentales están debidamente preparadas para afrontar la magnitud de estos problemas?
Mi impresión es que las organizaciones en cada país, si las consideramos individualmente, tienen la preparación necesaria. Al mismo tiempo, creo que no actúan con la suficiente concertación; por lo tanto, puede decirse que no hacen todo lo necesario […] Otros le responderían que hay motivos presupuestarios para que así sea, pero no lo veo así: conozco organizaciones a las que, si se les asignaran recursos prácticamente ilimitados, seguirían careciendo del liderazgo que es esencial para definir y ejecutar sus prioridades.
En mis entrevistas acerca de la ciberseguridad suele aparecer la cuestión de la fragmentación de esta industria, en la que es relativamente fácil pasar del estatus de startup al de negocio financieramente sólido por lo que raramente se consolidan unas con otras […]
Lo normal es que cualquier startup tenga como primer objetivo generar ingresos y beneficios, pero esto debería estar correlacionado con una estrategia que alinee correctamente sus recursos […] Hasta ahora no se han dado las condiciones para que se consoliden entre ellas, supongo que es a eso que usted se refiere.
La inteligencia artificial está en el candelero y hay quienes airean el temor a que los atacantes estén mejor preparados que los defensores para que se vuelque en su favor [… ]
Es evidente que la IA jugará un papel fundamental en nuestro futuro y que debemos incorporarla a nuestra caja de herramientas. A finales de 2020, F5 adquirió una compañía llamada Shape Security, que le aportó su plataforma de prevención del fraude. La están utilizando bancos, aerolíneas, comercio y agencias gubernamentales. Emplea técnicas de IA y machine learning para identificar y bloquear robos de contraseñas. Por consiguiente, seguimos invirtiendo en reforzar nuestras capacidades de IA, pero al mismo tiempo reconocemos que incorporarla a un producto no resuelve los problemas: hace falta mucho esfuerzo humano para que sean eficaces. Me temo que mucha gente tiende a olvidar este segundo elemento. Lo que F5 ofrece a sus clientes tiene muy en cuenta esa dualidad […] En su estado actual, la IA no tiene la madurez suficiente como para que confiemos a ciegas en ella y olvidemos el componente humano.
¿Hay un exceso de confianza en IA y ML, quiere decir?
Eso me parece. Lo mismo podrían decir de blockchain. Son contribuciones importantes, pero tenemos que apoyarnos en la inteligencia humana, esta es nuestra perspectiva. También los delincuentes usan IA y ML, pero no creo que tengan una necesidad comparable a la que tenemos quienes nos ocupamos de combatir sus ataques.
En estos meses se ha hablado mucho de GPT. ¿Puede, potencialmente, alterar el paisaje de la ciberseguridad?
Por ahora, no he visto que la IA generativa sea mucho más que una demo a pequeña escala que tiene a mucha gente entretenida, pero su potencial en la lucha contra la ciberdelincuencia no está demostrado. Por supuesto, con el tiempo será escalable y eficiente, lo que no necesariamente será bueno. Estoy seguido de que, mientras los medios celebran el lado divertido de GPT, que lo tiene, los delincuentes se han puesto a estudiar cómo este recurso a su arsenal.
¿Cree que los usuarios van a compartir sus prevenciones?
Normalmente, a los usuarios les gustaría tener seguridad sin fricción. Esto es más evidente aún entre los jóvenes, a quienes no les gusta nada la autenticación por doble factor, la consideran un incordio […]
Esos usuarios no son clientes de F5 […]
Exacto, pero son clientes de nuestros clientes y nosotros tratamos de ayudar a estos a prestar un cierto nivel de servicio a los primeros. Lo que quiere decir que evitamos hasta donde sea posible meter una fricción que provocaría rechazo. Distinto sería si me preguntara por los empleados: si una empresa quiere evitarles una fricción, está en su derecho […] pero no creo que sea una actitud aconsejable.