NorbertoGallego.com :: Análisis de mercados y empresas de tecnología::<? the

26/10/2020

Eugene Kaspersky

Fundador y CEO de Kaspersky Lab

Abundan las estadísticas acerca del ransomware, la práctica extorsiva que más ha roto las barreras de seguridad de las empresas este año. El por qué es conocido: las defensas corporativas debilitadas por las urgencias creadas por la pandemia. Con matices, todos los informes vienen a decir lo mismo: el número de estos “incidentes” se ha triplicado con respecto a 2019. La consultora Kroll ha elaborado un “mapa caliente” de su propagación y menciona tres familias de malware usadas como vehículo de esos ataques: Ryuk, REvil (también llamada Sodinoki) y Maze. Pero de su autoría poco se sabe, aparte de atribuciones generalmente sesgadas que no han conducido a desmantelar ninguna banda organizada.

Eugene Kaspersky

El asunto era perfecto para, después de varios años, volver a conversar con Eugene Kaspersky. De hecho, la entrevista por videoconferencia con Moscú empezó hablando de ransomware y el entrevistado se explayó. También era una oportunidad para preguntarle por la evolución del mercado de la ciberseguridad y el estado de la industria que se dedica a detectar, identificar y combatir las múltiples amenazas.

Durante meses, la pandemia ha actuado como acelerador de un tipo muy específico de ataque informático, el ransomware. Sabemos que es muy difícil de controlar, pero cabe preguntarse por qué estaban mal preparadas las empresas

Son dos preguntas conexas pero distintas: el crecimiento del ransomware y el efecto de la pandemia sobre la ciberseguridad. Acerca de la primera, sencillamente es el negocio más fácil que tienen a su alcance los hackers cuya única motivación es el dinero: roban datos que les permitan acercarse a una víctima individual y a partir de ahí secuestran un sistema, lo bloquean, exigen un rescate. En muchos casos, incluso después de cobrar y de liberar los sistemas, se quedan con datos que pueden tener valor en su mercado turbio. Es tan fácil de ejecutar que se ha extendido y muchos delincuentes han abandonado otras prácticas más laboriosas. Es cierto que la pandemia ha propiciado ataques porque muchas defensas que en otras circunstancias habían sido suficientes han sido pilladas con la guardia baja […] Es evidente que el teletrabajo ha multiplicado el número de individuos susceptibles de caer en la trampa.

Y servir como agentes pasivos de una extorsión a sus empleadores

Esa es la definición canónica, pero podemos preguntarnos por qué se dan tantos casos de ransomware que no siempre se reconozcan públicamente, salvo cuando la empresa víctima está obligada por su condición de cotizada. La verdad es que no muchas compañías pueden garantizar que sus empleados dispongan en sus hogares de un nivel de seguridad comparable al que tienen en sus sedes. Es comprensible: nadie imaginaba que ocurriría algo así.

¿Hay cifras de cuánto ha crecido esta actividad delictiva desde marzo?

Nuestras estadísticas indican que el pasado abril, el peor momento de la Covid-19 en muchos países, estos ataques se incrementaron más de un 20%. En mayo hubo un descenso que no sabría explicar, pero en junio y julio volvieron a los niveles de abril y en ciertas semanas han sido más numerosos.

¿Se sabe quiénes son los autores de estos ataques?

Conjeturamos por los indicios disponibles que no se trata de individuos sueltos sino de grupos organizados, cuyos miembros tiene como única habilidad la de pulsar un teclado, pero detrás hay ingenieros de software formados en las mismas universidades que cualquier otro pero que se han pasado al lado oscuro. Tienen capacidad para desarrollar un malware y planificar un ataque, pero no están en la primera línea, lo que constituye una complicación añadida para perseguirlos. Típicamente, según informes policiales, son hombres de entre 30 y 40 años, de modo que el mito de que se trata de adolescentes que pasan el día encerrados en su cuchitril será muy peliculero pero es incierto.

¿De dónde proceden?

No suele haber evidencias directas. Por el análisis de sus intercambios de mensajes, hemos podido saber que muchos se expresan en español y portugués, probablemente en sus vertientes latinoamericanas. Abunda el idioma ruso, no siempre nativo, que es hablado corrientemente en países vecinos de Rusia. Se observa un crecimiento notable del chino simplificado.

Es corriente atribuir los ciberataques a agentes de alguna potencia, por motivos ideológicos o estratégicos. Ya conoce la lista de sospechosos habituales: China, Rusia, Irán, etcétera. ¿Cuánto hay de verdad?

En lo que nos concierne, que es la ciberdelincuencia y no otros asuntos, podemos distinguir dos grandes categorías: una son los delincuentes económicos de alto nivel profesional y otra que responde a algún patrocinador estatal. Leo las noticias tanto como usted y sé que Rusia es frecuentemente acusada de esos ataques […]

¿Por qué recurrir al análisis lingüístico?

Porque no tenemos otro modo de conocer a qué inspiración política obedece un ataque, pero sí podemos examinar qué lenguas son más usadas en los que más se parecen a un espionaje. Entre estas, el idioma más habitual es el inglés nativo, con origen se localiza en la zona horaria del Atlántico, dicho como referencia geográfica. El segundo en importancia es el ruso y parece operar sobre todo en el huso de Moscú, por así decir. El tercero es el chino simplificado, cada vez más visible. En este tipo de ataques no se aprecian rastros de español ni de portugués, por cierto. Y si nos centramos en el análisis lingüístico es porque no tenemos acceso a datos sobre tráfico de las redes ni a otros que podrían afinar nuestras conclusiones.

[…] pero disponen del código malicioso que han detectado

Su estructura es un indicador del que podemos inferir en qué lengua se comunican los actores, pero esta es siempre una información limitada: en el paisaje geopolítico actual, todos hackean a todos en la medida que tengan los medios de hacerlo. En todo caso, cuando hablamos de bandas delictivas que lanzan ataques contra empresas, parece evidente que la mayoría de sus miembros hablan ruso, lo que no necesariamente significa que sean ciudadanos rusos […]

Recuerdo que la segunda vez que nos vimos, en Moscú en 2010, le pregunté, quizás ingenuamente, por qué no se consolidaba el sector de la ciberseguridad. Han pasado diez años y está aún más fragmentado. Es verdad que han aparecido nuevas amenazas y con ellas nuevos métodos de combatirlas, de los que nacen nuevas empresas. Le vuelvo a preguntar si es imposible aglutinar las fuerzas que luchan esa delincuencia […]

Sigue teniendo razón sobre la fragmentación, pero seguramente en 2010 le respondí que es una industria con varias capas, lo que es relevante para entender algunas cosas. La primera tiene que ver con lo que llamaría materiales maliciosos: las aplicaciones y los datos tienen como singularidad que cada día, las empresas que formamos parte de esta industria nos intercambiamos elementos que hemos recopilado de Internet. Es decir que comunicamos a otros vendedores los códigos maliciosos que hemos identificado y recíprocamente nos comunican sus hallazgos. Es una red mundial muy eficaz, nacida en 1994, sin la cual habría sido difícil alcanzar el nivel de seguridad que podemos celebrar después de un cuarto de siglo.

[…] y esos mismos vendedores compiten entre ellos en el mercado

Naturalmente. En la capa de las tecnologías, cada cual tiene la suya, sobre la que no comparte información, pero todos observamos qué hace el vecino. Por lo tanto, competimos con los mismos vendedores a los que hemos enviado nuestros hallazgos de códigos maliciosos […] y competimos en la capa de marketing de los productos, que es la que realmente da lugar a la fragmentación por la que antes me preguntaba. Existen, cómo no, influencias políticas que pueden ser diferentes en cada mercado. Todo sumado, lamentablemente, no consigue que el mundo sea más seguro sino que sea más inconexo frente a unas amenazas que van cambiando.

Los usuarios no tienen otra posibilidad que confiar en la industria

Si, pero la industria no solamente tiene que pensar en los usuarios, sino también en cumplir la legalidad. Tiene que cooperar con los gobiernos y con las policías. Es complicado, porque entran en juego los factores políticos. No diré que el pasado fuera mejor, pero se han roto muchos puentes en perjuicio de los usuarios. Esta situación es un favor gratuito a los hackers, a quienes se está dando una sensación de impunidad; saben moverse en distintos países, mientras que las policías actúan localmente, salvo en casos excepcionales. Tengo que darle la razón, Norberto: a pesar de cualquier esquema de cooperación, la industria está muy fragmentada y me temo que lo estará aún más.

Para sentirse protegidas, las empresas normalmente optan por comprar e instalar varias soluciones; conozco casos con una decena de productos adquiridos a proveedores distintos. Cada uno de esos productos tiene que ser implementado, administrado y soportado, lo que resulta muy ineficiente desde cualquier punto de vista

[…] Entre todos hemos logrado que nuestro mundo sea más complicado. No pretendo lamentarlo, porque gracias a esas complicaciones tenemos más tecnología, más productos y más servicios que elegir. Francamente, no creo que nadie esté interesado en depender de un solo producto. El criterio deseable sería la facilidad de uso de productos, no sé cuántos, con un interfaz lo más simple posible. Es una línea en la que trabajamos en esta empresa. Piense que pocas corporaciones pueden permitirse manejar su propia ciberseguridad contratando gente altamente cualificada; para la mayoría – y no solamente las pymes – no está a su alcance.

En ese panorama, ¿cuál es el papel de los proveedores de servicios cloud?

Depende lo que usted lame proveedor cloud. Porque Kaspersky podría entrar en esa categoría

No, me refiero específicamente a los llamados hyperscalers, sobre todo a los tres o cuatro grandes

Hay un movimiento visible de esos proveedores de servicios cloud, no sólo los más grandes, que los lleva a dedicar más recursos a la ciberseguridad, pero hay ciertas áreas fundamentales que no pueden cubrir por sí mismos. Una de ellas es el endpoint. No es su perfil ni su papel ; en cambio, nosotros podemos garantizar mucho mejor la protección del punto donde se produce el acceso de los usuarios. En nuestra opinión, la mejor fórmula sería una combinación entre ambos enfoques, sobre todo ahora con este despertar de amenazas dirigidas a objetivos concretos, como en la seguridad industrial.

¿Cómo describiría la posición de su empresa en el mercado?

Nuestra mejor baza está en el reconocimiento de que gozamos como mejor compañía en la lucha contra el malware que ataca el endpoint. Es un hecho demostrado que combatimos contra todo tipo de ataques, vengan de donde vengan, y que lo hacemos tanto en beneficio de los consumidores como de las empresas. Es la razón de nuestro liderazgo. Últimamente estamos trabajando con un nuevo enfoque de la seguridad industrial, para proteger los sistemas de producción. Generalmente, cuando se habla de ciberseguridad, mucha gente interpreta que la misma solución que protege a los consumidores vale como tal para una empresa, porque la inmunidad radica en la plataforma. De hecho, es un sistema operativo que garantiza que las aplicaciones no sean quebrantables. Pero esto deja de ser cierto si hablamos de la pluralidad de IoT […]

En IoT no hay Windows ni iOS ni Android

En lo que comúnmente llamamos IoT, nada ha sido diseñado pensando en instalar un antivirus, por lo que desafortunadamente, los ciberdelincuentes están encontrando facilidades para penetrar en esos entornos. El peligro va desde las cafeteras a los drones; podría hacer ahora mismo un inventario de los dispositivos que tengo en casa y que entran en la definición de IoT. Lamentablemente no es técnicamente posible integrar un mismo principio de seguridad en todos ellos. En realidad, nadie podría hacerlo, porque tendría que empezar diseñando un lenguaje que todos los dispositivos puedan entender. Cada vez estamos convencidos de que lo que se necesita en IoT no es un antivirus al uso sino un interfaz común

Hay ciertos segmentos de mercado adyacentes, no exactamente de ciberseguridad, sino que ofrecen protección de datos, recuperación en caso de desastre, etc. ¿Tienen relaciones de cooperación con Kaspersky?

Suministramos nuestra tecnología a muchas compañías que venden alguna forma de seguridad; de hecho, alguna de las empresas que menciona están en esa situación. Pero también tenemos otros productos no relacionados directamente relacionados con nuestro negocio principal. Por ejemplo, un sistema contra drones, un hardware equipado para controlar un área y determinar la presencia de un dron. En caso de identificación positiva, por alguna razón no fuera posible, lo blinda y obliga a tomar tierra. Es una gran idea para aeropuertos, estadios de fútbol e instalaciones industriales. Por otro lado, es probable que dentro de un tiempo presentemos un sistema para la protección de elecciones basado en blockchain […]

Esto me recuerda que en su expansión geográfica, Kaspersky ha chocado con obstáculos en Estados Unidos. ¿Cuál es la situación actual?

Estados Unidos es un mercado intrínsecamente difícil en el que, encima, se nos ha excluido de cualquier relación comercial con el sector público; al mismo tiempo, diría que por la misma razón, tenemos una cuota muy baja de negocio con las grandes empresas. Donde hemos tenido bastante éxito es en el mercado de consumo y entre las pequeñas empresas.