Casi no pasa semana sin que en alguna ciudad importante se celebre una conferencia sobre ciberseguridad: hace dos semanas, en San Francisco, se superó el listón histórico de los 45.000 asistentes al evento anual RSA, universalmente considerado la meca a la que todo especialista (o aspirante) en ciberseguridad debería acudir al menos una vez en la vida. Y la semana que empieza hoy, en la Fira de Barcelona abrirá sus puertas un más modesto Barcelona Cibersecurity Congress. Entre medias, por Madrid ha pasado Wendi Whitmore, vicepresidenta senior de Unit 42, para participar en un encuentro promovido por Microsoft. Unit 42 es uno de los grandes centros privados de investigación en la materia.

Wendi Whitmore

Casi no pasa semana sin que en alguna ciudad importante se celebre una conferencia sobre ciberseguridad: hace dos semanas, en San Francisco, se superó el listón histórico de los 45.000 asistentes al evento anual RSA, universalmente considerado la meca a la que todo especialista (o aspirante) en ciberseguridad debería acudir al menos una vez en la vida. Y la semana que empieza hoy, en la Fira de Barcelona abrirá sus puertas un más modesto Barcelona Cibersecurity Congress. Entre medias, por Madrid ha pasado Wendi Whitmore, vicepresidenta senior de Unit 42, para participar en un encuentro promovido por Microsoft. Unit 42 es uno de los grandes centros privados de investigación en la materia.

Unit 42 es propiedad desde hace años de Palo Alto Networks, pero destaca por la autonomía de la que goza. La conversación con Whitmore excluyó referencias al mercado de ciberseguridad; su papel no es comercial sino la “evangelización” sobre las grandes tendencias en la interminable batalla entre atacantes y defensores. Adelante, pues, con las preguntas y respuestas.

De la lectura del estudio The State of Cloud Native Security, de Palo Alto Networks, en el que alguna intervención ha tenido Unit 42, entresaco una idea: la adopción generalizada del modelo cloud sigue creciendo a la vez que crece el número de incidencias de seguridad. No es algo nuevo, desde luego, pero ¿ha mejorado o empeorado el balance entre atacantes y defensores? ¿Es la nube una fuente importante de ciberamenazas?

No creo que sea muy relevante determinar si ha mejorado o no, si poco o mucho. Tenemos que vivir con esa forma de delincuencia inasible y combatirla con las armas que tenemos. ¿qué otra cosa podríamos hacer, siendo impensable rendirnos? Del desafío al que nos enfrentamos, igual que se enfrenta nuestros clientes, hay que detenerse en tres ingredientes de los ataques: escala, velocidad y sofisticación. Si me pidiera una síntesis, empezaría por destacar el que nos parece más grave, la escala. Por el volumen y amplitud de la infraestructura y de la masa de datos que una organización tiene que proteger. Les hemos visto mutiplicarse en años anteriores y en el primer trimestre de 2024 han repetido la tendencia. Y si acoplamos escala y velocidad, está calculado que, de media, una misma víctima puede sufrir un ataque cada doce o catorce horas, de manera que es improbable que puedan ser detectados a tiempo: me refiero a accesos indebidos, inoculación de una vulnerabilidad y a su desplazamiento a través de los datos, que son la razón de ser para los atacantes.

Afortunadamente, la mayoría no son dañinos o no logran su objetivo. ¿Por qué alude a la sofisticación?

En primer lugar, porque si las defensas mejoran – y no hay duda de que mejoran – los atacantes tienen que esforzarse todavía más. Esta es la tercera pieza del puzle y aclaro que no necesariamente los ataques más elaborados proceden de organizaciones de naturaleza estatal […] En realidad, los más persistentes son lanzados por organizaciones criminales, aunque es verosímil que tengan vínculos no reconocidos con las estatales.

Cuándo dice “los más persistentes”, ¿a qué se refiere?

A que son muy avanzados y  están siempre en la punta de la tecnología. En Unit 42, a finales de 2023 habíamos identificado 25 organizaciones operativas nuevas, la mayoría orientadas al ransomware, lo que significa que quienes trabajan para ellas tienen una buena razón para redoblar su jornada delictiva, el dinero.

Una veintena de años atrás, era opinión común suponer que la nube pública, cuando llegase a extenderse, sería un entorno más seguro que los locales, por varias razones: recursos del proveedor, calidad de los equipos de expertos, etcétera.  

Podría decirse que esa suposición se ha cumplido en cierta medida aunque es evidente que las nubes públicas no son precisamente inmunes, pero nadie ignora que los proveedores de esos servicios están muy bien dotados para detectar y responder a las incidencias delictivas. Y esto, creo, es un avance significativo […]

Lo es, pero la pregunta tonta sería quién va por delante: ellos o nosotros […]

Por regla general, cada vez que se introduce una nueva tecnología, de entrada favorece a los atacantes, que son más rápidos que cualquier regulación. No tienen que preocuparse de ninguna jurisdicción u orden de cumplir normativas [….] Ahora mismo, mientras hablamos de la nube y de inteligencia artificial, los ciberdelincuentes están al día, seguramente más que nosotros. Afortunadamente, compañías como Palo Alto y otras de su tipo tienen unas capacidades de detección e implementación que son la mejor arma contra los delincuentes.

Ese paisaje ha sido alterado por la IA generativa […]

Cierto. Si pensamos en las implementaciones de GenAI y las políticas que adoptan ciertas organizaciones, que dejan a empleados y usuarios decidir qué datos incorporar a los LLM (Large Language Models) ¿cómo podríamos impedir que en esos modelos se cuele información sensible? Los proveedores de soluciones se han preparado a conciencia para impedirlo, pero con inevitable lentitud, una limitación que sus adversarios no tienen. Debido a la velocidad ¿recuerda?

En abstracto, la velocidad sería una expresión de dinamismo […]

Sí, parte del desafío es precisamente está en esa contradicción, en el dinamismo de los nuevos entornos. Raras son las empresas que confían sus cargas a una sola nube, lo que de hecho está creando una forma de hibridez, puede que sin proponérselo. Todos los recursos TI se obligan a interconectar y esto ensancha la superficie del problema.

¿Cuál es la contribución de Unit 42?

El informe que ha mencionado es otro de una larga serie que hemos publicado durante años. Nos consideramos asesores de confianza para ayudar a las organizaciones a encontrar la respuesta ante incidentes de ciberseguridad. Para ello, continuamente evaluamos y probamos controles de seguridad. Como usted ha sugerido, es alarmante que todavía haya empresas de talla dispuestas a creer que, por el simple hecho de trasladar sus cargas a una nube pública, han quedado liberadas de cuidar de sí mismas […]

¿Qué recomendaciones tienen vigencia en este momento?

Por naturaleza, los riesgos de ataque evolucionan constantemente, lo que hace muy difícil para las organizaciones prepararse, y en su caso, reaccionar. No suelen tener suficiente flexibilidad y no es extraño que les falten recursos. El informe de este año plantea algunas recomendaciones importantes y otras rutinarias. Un ejemplo entre muchos es este: cuando fuera necesario reaccionar ante ciertos tipos de incidentes e investigar dónde y cómo se ha producido la brecha, lo que se debe hacer es analizar qué datos y qué fuentes han estado involucradas. Los fundamentos de todo proceso de seguridad son los mismos en cualquier entorno cloud […]

En ese caso, que por lo que visto es bastante común, ¿cuál es la principal fuente del problema? ¿Arquitectura, información errónea, comportamiento de los usuarios, otra que no se me ocurre?

Me temo que todas. Además de las que ha mencionado, hay otra muy frecuente, las configuraciones por defecto previamente instaladas y en algunos casos aquellas contraseñas que funcionan por defecto y han sido olvidadas pero nadie se atreve a tocarlas por miedo a provocar un estropicio […] Puede haber vulnerabilidades que se vayan contagiando y llega un momento en el que complican la capacidad de responder al ritmo que se necesita. Y hay un factor que raramente se menciona: las redes de cibercriminales suelen estar formadas por jóvenes que están familiarizados con estos entornos de la nube, a diferencia de los defensores, que suelen venir de un aprendizaje anterior […]

Qué interesante apunte. Los desarrolladores en el mundo cloud prefieren el código abierto, como es bien sabido. ¿Puede ser otro factor de riesgo?

Cuando se trata del software open source, los retos que se presenten no son exclusivos del entorno cloud. En nuestra experiencia en Estados Unidos hemos tenido que investigarlo en una revisión para un cliente y le hicimos una recomendación específica acerca del uso de librerías de software open source […] Al margen de otras consideraciones, sería tan poco práctico desconfiar de open source como negarse a rehusar el uso de la nube [risas]. Es un hecho: están aquí y seguirán estando. Creo firmemente que, al fin de cuentas, las organizaciones tienen que centrar sus esfuerzos en un login fuerte y en comprender qué librerías usar. ¿Puede haber código malicioso inyectado en algún software open source? Es posible, pero es uno más de los muchos retos que plantea a diario la ciberseguridad.

La métrica más usual en este ambiente es el tiempo medio que se tarda en resolver un incidente. Asumiéndolo como válido, ¿cuál es la tendencia? ¿Crece o se reduce?

El tiempo medio de respuesta que conduce a una resolución, se va reduciendo, lo que es muy buen síntoma. Pero hay otra métrica que es mejor aún: se ha conseguido reducir el tiempo medio que se tarda en detectar una amenaza: de seis días a doce o catorce horas. Y se  trabaja para reducirlo, naturalmente.

No podemos dejar de mencionar la inteligencia artificial. Durante años se nos dijo que traería la solución a muchos problemas. La realidad es que con la IA generativa se ha extendido la sospecha de que puede crear problemas que van a requerir nuevas soluciones […] 

Va en línea con algo de lo que hablábamos antes. Desde el punto de vista de la seguridad, la clave está en la automatización, en el alto número de capacidades de detección y respuesta que nos facilita la AIGen, en la tecnología de copilotos que ayudan en muchísimas tareas que antes eran manuales. Ciertamente, la AIGen introduce problemas desconocidos o que no habían sido anticipados. Así que tenemos mucho que aprender.

¿Los célebres LLM (Large Language Models) podrían ser contenedores de amenazas desconocidas?

Afirmativo. Hay posibilidad de que actúen como vehículos de intrusión. Quiero ser clara en esto: no hemos visto ningún software malicioso, tampoco ninguno que lo contenga y esté siendo diseminado por la IA. Sin embargo, hemos sabido de algunos atacantes que han usado las capacidades de la AIGen para emular voces y evitar los protocolos que dan acceso a entornos o individuos. Tampoco hemos sabido de ataques que se pudieran atribuir a la IA.

Es bueno saberlo, tranquiliza. Pero el contexto de mi pregunta es la rarísima adopción de la AIGen. ¿Ha creado Unit 42 un equipo especializado?  

Nuestros equipos responden a incidentes reales en todo el mundo. No nos centramos en los LLM específicamente ni tampoco en los chatbots, que proliferan y de los que intuyo tenía ganas de preguntar [risas]