Ha sido una pena que la entrevista con Rik Ferguson tuviera lugar una semana antes de revelarse el caso de vigilancia electrónica de la National Security Agency (NSA) de Estados Unidos, en el que se han visto salpicadas las grandes empresas de Internet. De haber coincidido las fechas, otras habrían sido las preguntas (o al menos su orden) y las respuestas. Aun así, el diálogo es de rigurosa actualidad, y Ferguson el entrevistado apropiado para esta semana: es vicepresidente mundial de investigación de la empresa TrendMicro, uno de los cinco grandes del sector de seguridad informática. Acumula 18 años de experiencia en la materia, toda una carrera profesional dedicada a la seguridad.
Ferguson viajó a Madrid para presentar en nombre de TrendMicro una ponencia sobre Ciberseguridad de próxima generación, en la que abordó las nuevas tendencias que podría marcar la lucha contra el cibercrimen, tales como Crowd Sourcing Security, y los avances para detectar las llamadas APT (Advanced Persistent Threats) como vector que fomenta el ciberespionaje. El especialista de TrendMicro compagina su cargo corporativo con el de asesor del EU Safer Internet Forum, además de ser vicepresidente del Centre for Strategic Cyberspace & Security Science. También dirige el blog Countermeasures.
La naturaleza de los ataques a los sistemas y las redes ha cambiado en los últimos dos o tres años, pasando de ataques a víctimas aleatorias a ataques selectivos. ¿Por qué?
En realidad, los ataques seleccionados son algo conocido, pero su reconocimiento por los damnificados es reciente. El punto de inflexión fue el ataque masivo del virus bautizado Aurora contra Google, que en lugar de callarse, se atrevió a decir públicamente: «hemos sido atacados, nuestros sistemas han sido expuestos por un ataque específicamente dirigido contra nosotros». Después, una veintena de compañías siguieron el ejemplo y admitieron tener evidencias de haber sido víctimas. Pero Aurora no fue el primero, aunque provocó que la legislación en Estados Unidos, no así en Europa todavía, obligue a las empresas a desvelar los ataques que han sufrido, sobre todo si han podido afectar información personal.
¿Ha investigado TrendMicro este fenómeno?
Mucho. Se puede decir que prácticamente en todo país desarrollado y en compañías de todas las industrias, ha habido ataques selectivos, pero obviamente no nos corresponde identificar a las víctimas.
¿Por qué las atacan específicamente?
Porque tienen información valiosa, tanto personal como de propiedad intelectual. Si el objetivo es la información personal, se infecta los PC de los individuos que trabajan en la compañía, y es prácticamente seguro que se consigue una cierta cantidad de datos por infección. Hemos demostrado que el espionaje corporativo nunca ha sido tan fácil. Pero si lo que se busca son resultados masivos, con el desarrollo que está alcanzando el cloud empezamos a ver concentraciones de información online atractivas para los delincuentes. La ciberseguridad es una economía de escala: hay que entrar en una red, trazar un mapa de esa red, localizar dónde están las informaciones potencialmente valiosas, y prepararse para dar un golpe en el momento preciso, que abra el acceso a miles de millones de datos. Si lo pensamos como ROI, es un orden de magnitud fantástico comparado con el retorno que produce un ataque individual.
¿Cómo se recupera la inversión en malware?
Se recupera de muchas maneras. Hay un mercado para la propiedad intelectual robada, y hay países que están patrocinando estas actividades con fines de espionaje industrial. Lo que digo no se restringe a uno o varios países, aunque es evidente que algunos tienen más recursos que otros para hacerlo; pero también hay economías subterráneas en países que a priori uno no incluiría entre los sospechosos habituales.
Entendido, pero también estará cambiando la forma de combatirlos […]
Está cambiando, sí. De un modelo de prevención fallido a otro en el que se ha abierto paso una aceptación de que nuestras medidas de seguridad nunca serán suficientes. Podemos tener una brecha en un punto, y por tanto la seguridad debe ser diseñada para que nos alerte tan pronto como se produzca el ataque, y nos permita reaccionar con eficacia. Si pensamos que levantando murallas más altas vamos a pararlos, nos estamos equivocando […] Obviamente, hay que seguir desplegando las técnicas tradicionales, pero a la vez trabajar con la convicción de que alguien va a reventarlas. Por eso insistimos en invertir en una nueva arquitectura de la seguridad, en lugar de poner las cosas sólo un poquito más difíciles para el atacante. […]
Es grave lo que dice […]
Hemos pasado demasiado tiempo anclados en una actitud estática. TrendMicro, por ejemplo, es una compañía con 25 años de existencia que, durante los primeros 15, usó básicamente el mismo enfoque. Invertimos mucho en tecnología, y fuimos de los primeros en poner antimalware en los servidores de mail, en el punto de entrada a la red. Pero realmente, el malware ha corrido más rápido que nuestra industria, y entonces decidimos que nos moveríamos más rápido: nuestra CEO, Eva Chen, dijo un día «¡antivirus sucks!» y provocó incomodidad entre los competidores, pero es que si no fuera así no estaríamos en esta situación. Obviamente, teníamos que hacer las cosas de otro modo.
¿De qué modo?
Básicamente, con una nueva arquitectura de nuestros métodos y de la tecnología para detectar el malware en su fuente. Cambiamos el modelo estático de actualizaciones regulares en los puntos terminales de las redes [endpoints] por otro en el que almacenamos toda la inteligencia en una ´nube` dinámica, de manera que cada uno de esos puntos protegidos pueden consultar ´¿esta url es buena o mala?, ¿este archivo está limpio o no?, díganme ahora mismo lo que saben en este preciso momento, no lo que sabían hace una hora o hace una semana`. Fuímos los primeros en hacerlo, y lo llamamos Smart Protection Network; ahora prácticamente todos los competidores tienen algo similar.
[…] ¿para no depender de una tecnología que los delincuentes ya saben burlar?
De eso se trata, de no seguir dependiendo de la tecnología antimalware tradicional: tenemos que mirar lo que está pasando en la red física, ¿qué trazos de comunicación entre las máquinas somos capaces de ver, aunque el antimalware nos esté diciendo que esas máquinas están limpias? Puede darse, y se da con frecuencia, el caso de una máquina que se comunica con una dirección IP que sabemos externamente que no es de fiar, y sin embargo el antivirus nos esté diciendo que no ha encontrado una infección.
¿Qué pasa con los usuarios? ¿Son tan pasivos como parece?
Tenemos que ir más lejos en la investigación de los hábitos del usuario online, porque muchos de los ataques dirigidos usan malware en primera instancia para infiltrarse, pero luego se apoderan de cuentas de usuario legítimas y con credenciales reales, con las que siguen explorando la red, abriendo puertos, instalando puertas traseras, localizando fuentes de datos, y así sucesibamente. Hay un informe revelador de Verizon [el primer operador de Estados Unidos]: entre el momento de la infección y el de descubrimiento, suelen pasar en promedio 200 días.
Mucho tiempo en el filo del peligro […]
Las posibilidades de descubrimiento con las técnicas tradicionales son limitadas, mientras las técnicas criminales se renuevan gracias a una inversión constante en camuflaje. Es fundamental comprender que quien nos ataca no es un gusano, no es un artefacto automático, sino un ser humano. Por eso las listas negras de malware no son efectivas. Es grave si se carece de una visión macro de la seguridad. Tomados individualmente, los eventos aislados pueden parecer menores, pero son parte de un patrón que va tomando forma, y acabas descubriendo su maldad cuando es demasiado tarde.
¿Hay algún sector que sea más sensible a los ataques selectivos?
Si por sensible usted entiende que atraiga más a los delincuentes, Podría decirle que todos, pero principalmente los siguientes: defensa, gobierno, industria, ciertas materias primas, energía y farmacéutico. Lo básico es que haya propiedad intelectual de por medio. Y debo decirle que en todos ellos, casi sin excepción, los mecanismos de respuesta son de la vieja escuela.
Se habla mucho de ciberguerra ¿Qué hay de común entre el riesgo que corren las empresas y los ataques recíprocos entre potencias?
En mi opinión, se abusa del vocablo ciberguerra. Creo que es una forma de beligerancia estratégica o económica, sin mediar declaración expresa. No creo que debamos verla de manera aislada sino como una táctica que se ha convertido en estándar de la confrontación. Así como en una guerra convencional hay lineas de suministro de munición, de combustible y alimentos, también hay suministro de inteligencia, que hoy es digital. Por tanto, quebrar esa línea implica emplear medios digitales
¿Y el ciberespionaje, que está de actualidad?
Pues lo mismo, es un componente de la guerra, es disruptivo porque se propone interrumpir las líneas de suministro. Si se quiere tener acceso a información a la que normalmente no se tendría acceso, eso se llama espionaje: ¿por qué sorprendernos de que los estados usen la tecnología mejor de que disponen para hacer espionaje? De hecho, le recuerdo que el espionaje ha estado en el origen de muchas tecnologías, entre ellas la encriptación: piense en Bletchley Park durante la segunda guerra mundial. Era espionaje, ¿no? Se trataba de interceptar las comunicaciones del enemigo, y fue un precedente de la computación moderna.
Pero en el presente, ¿se trata de todos contra todos?
También hay mucha cooperación. En Europa tenemos la convención contra el cibercrimen, que se remonta a 2001. Ha llevado más de una década que la mayoría la ratifique, pero el movimiento de armonización se ha conseguido, y esto ha hecho posible poner inteligencia en común.
Si es una categoría de la guerra, lo lógico es que la ciberseguridad también se integre con la inteligencia. Es lo que parece estar pasando.
Cada vez más. Mire los estados que están dispuestos a hablar de sus estrategias de defensa nacional; la mayoría han integrado ´lo ciber`tanto en su defensa como en su inteligencia. Lo hemos visto en Estados Unidos, que ha practicado ejercicios de ciberdefensa integrados con sus recursos militares convencionales, bajo un mismo comando; Reino Unido ha anunciado que la actividad de ciberdefensa depende del Estado Mayor. En cuanto a China, durante años ha dicho que sus capacidades en este campo, que son muchas, han de integrarse con las tradicionales del ejército.
Por tanto, ¿hay que aasumir que la industria de la seguridad informática será menos independiente de la seguridad nacional y la inteligencia?
Se puede decir así, pero sería incorrecto. Nosotros aportamos inteligencia a las fuerzas de seguridad, para combatir a los delincuentes. Y damos a los individuos y a las empresas medios de protección contra actividades ilegítimas. No puedo hablar en nombre de la industria, pero he trabajado en un par de compañías, y siempre he oído que tal o cual tenía una puerta trasera para la National Security Agency, o que era un esqueleto montado por la CIA, pero sinceramente nunca he visto la menor evidencia de que eso fuera cierto. Esto no significa que no haya puentes de cooperación.