Como ya te habíamos informado, ayer el equipo de ESET España se desplazó a Segurinfo España 2012, un Congreso que lleva acumulando éxitos en diferentes países de Latinoamérica y que se realizaba por primera vez en España. Fue en el Palacio de Congresos y el evento superó todas las expectativas. Unos 450 profesionales del sector de la seguridad, tanto de Administraciones Públicas como de empresas, se dieron cita en una jornada donde se evidenciaron la mayoría de las amenazas a las que estamos expuestos a la par que se buscaban vías de colaboración internacional y de soluciones para un problema que abarca a todos los estamentos de la sociedad y que amenaza con convertirse en un reto todavía más difícil y más real que nunca para nuestro país.
Así, durante todo el día, se celebraron en dos salas diferentes sesiones paralelas siguiendo un programa muy intenso, tanto desde el punto de vista de los contenidos que allí se compartieron como desde la perspectiva de la influencia en la ciberseguridad de los asistentes. ESET España fue patrocinador, y también tuvimos nuestro stand, desde el que sorteamos al final del día nuestro fantástico portátil tuneado que se llevó uno de los participantes del evento ;-).
El evento fue inaugurado por Ignacio Ulloa, Secretario de Estado para la Seguridad, que afirmó que “es necesario trabajar en una cultura de la ciberseguridad para tener una seguridad completa en la vida diaria de empresas, ciudadanos y servicios públicos”. De hecho, Ulloa recordó que el Gobierno tiene avanzado un Plan Nacional de Seguridad, en el que se incluyen las políticas de ciberseguridad para garantizar los derechos de los ciudadanos y que se aprobará a lo largo de 2013. Según el Secretario de Estado, es clave tomar una serie de medidas, entre las que destacó la necesidad de que empresas y Administraciones Públicas colaboren, que las personas responsables de la seguridad en las organizaciones se encuentren correctamente capacitados y “sobre todo, que existan campañas de sensibilización para ciudadanos, corporaciones y sector público”.
La sesión inaugural contó también con la presencia de Belisario Contreras, responsable de proyectos de seguridad cibernética de la Organización de Estados Americanos (OEA), que animó a las instituciones españolas e iberoaméricanas a “intercambiar ideas y compartir caminos para que todos los países de habla hispana estén preparados ante un ataque cibernético de cualquier tipo”.
Coordinación internacional de la información para incrementar la seguridad
En el encuentro se contó con expertos internacionales en ciberseguridad, como Charles Roberts, portavoz del Cuerpo Real de Comunicaciones del Ejército británico; Mike Popham, vicepresidente ejecutivo del Centro de Ciencias de la Seguridad y de Estrategia para el Ciberespacio (CSCSS), una de las organizaciones de investigación y análisis de ciberseguridad más importantes del mundo; o Chema Alonso, experto en seguridad. Los portavoces de instituciones como la Guardia Civil o el Ejército español expusieron también las políticas internas con las que cuentan y la forma en la que luchan contra los ciberataques que reciben o contra posibles casos de ciberespionaje o ciberguerra. Todos ellos coincidieron en que es básico que los servicios de inteligencia de cada país compartan información con sus socios para evitar los ataques procedentes de otros Estados pero, como resaltó Roberts, “lo que interesa es que la información que se produzca sea comprensible por máquinas y no necesariamente por humanos para que, ante un ataque ciberterrorista o contra una infraestructura crítica, las decisiones se tomen rápidamente y de forma automática”.
En el mismo sentido, el Teniente Coronel del Ejército español Luis F. Hernández, afirmó que “la amenaza terrorista es real y permanente y supone de hecho la mayor amenaza para la paz y la seguridad mundial”. Según el Teniente Coronel, Internet es clave en la radicalización y el adoctrinamiento terrorista con ejemplos claros como el de Al-Qaeda, que utiliza la Red para captar adeptos, señalar objetivos estratégicos, adoctrinar e incluso formar en el manejo de explosivos. En nuestro país, operaciones recientes en Valencia o Burgos evidencian también el uso de Internet para captar adeptos: “gente con vida normal pero que luego dedican 8 ó 16 horas a estas tareas de proselitismo”, afirma el Teniente Coronel.
En lo que se refiere a la protección de infraestructuras, Fernando José Sánchez Gómez, del CNPIC, destacó la importancia de la coordinación de políticas de seguridad entre todas las infraestructuras críticas, ya que la caída de un sistema puede provocar la caída de otros servicios dependientes, “pero más importante aún es la concienciación de trabajadores, de proveedores y de legisladores para tomar las medidas necesarias, para regular, para compartir información o para establecer metodologías, guías y estándares que eviten o, al menos nos preparen, ante cualquier ciberatentado en una infraestructura crítica”, añadió. Según comentó Alberto López, de INTECO, “en 2009, el CERT de Estados Unidos sólo detectó nueve vulnerabilidades en infraestructuras críticas mientras que en 2011 se llegó a 198, lo que demuestra el interés de los ciberdelincuentes en atacar este tipo de activos nacionales”.
Desde el punto de vista legal, Elvira Tejada, Fiscal Delegada en Criminalidad Informática resaltó en su ponencia “Ciberseguridad desde los Órganos de Persecución del Estado” la necesidad de atajar los problemas relacionados con ciberdelitos de forma común debido a su dimensión internacional. En España, la recientemente creada Unidad de Delitos relacionados con las TIC de la Fiscalía General del Estado abrió 6.600 procedimientos, de los cuales el 64% tenían relación con contenidos patrimoniales (estafas); el 13% con la identidad sexual de menores (cuatro veces más que hace cinco años); el 11% con el honor o la intimidad; y el resto con daños informáticos o con el uso de la red para difusión de crímenes de odio. Según el proyecto de ley existente en España, se está incrementando la tipificación de los delitos relacionados con la tecnología para incluir el acceso (y no sólo la posesión) a la pornografía infantil, las amenazas a menores o la incitación a cometer delitos de orden públicos desde medios sociales.
Implicación del usuario en la seguridad cibernética
En Segurinfo 2012, se reunieron por primera vez en España los responsables de asuntos legales de Facebook, Google y Tuenti en una mesa redonda en la que se debatió sobre el estado actual de la privacidad en Internet y las necesidades existentes en nuestro país. Según un informe de Deloitte encargado por Facebook, la red social generó 232.000 puestos de trabajo en la UE en 2011 y un impacto económico de 15.200 millones de euros; en el caso de España, Facebook generó unos 20.000 puestos de trabajo directos e indirectos y tuvo un impacto de económico 1.400 millones de euros (un 9% del total de la UE), por lo que, según Natalia Basterrechea, portavoz de la compañía, es necesario “un marco regulatorio que estimule la inversión tanto local como internacional para seguir ayudando al crecimiento de la economía en una coyuntura desfavorable como la actual”. De la misma opinión es Francisco Ruíz, portavoz de Google, que también cree que “es necesario modificar la legislación para hacerla menos proteccionista y fomentar así la innovación en nuestro país y para estimular el crecimiento a partir de sectores que pueden generar riqueza como Internet”. Para Óscar Casado, de Tuenti, “en un mundo globalizado y transfronterizo como el actual, necesitamos una regulación estándar e internacional de privacidad que genere confianza y certidumbre y que derribe las barreras hacia la inversión en innovación”.
Por su parte, Óscar de la Cruz, portavoz de la Unidad de Delitos Telemáticos de la Guardia Civil comentó que “la parte que conocemos de Internet, lo que encuentran los buscadores, supone tan sólo una cuarta parte de lo que existe. El resto es lo que se conoce como ‘deep Internet’ y ahí es donde se encuentran los verdaderos peligros de la Red: desde compra de seguidores en Twitter o Facebook a listas de correo para enviar spam o documentación legal falsa que puede ser utilizad en países con escasos controles de seguridad”.
La seguridad desde el punto de vista de la empresa
Una de las tendencias más en boga durante el último año desde la perspectiva de la seguridad ha sido el fenómeno denominado BYOD según el cual los profesionales utilizan sus dispositivos personales para acceder a la información corporativa de sus empresas. Para Josep Albors, director del laboratorio de ESET España, “BYOD no sólo supone riesgos a la seguridad de la empresa desde el punto de vista de fuente de infección del malware sino también a la posible fuga de datos”. Las amenazas principales que supone BYOD son la propagación de malware desde dispositivos con pocas medidas de seguridad; el robo de datos por pérdida del dispositivo o por malestar del empleado; el espionaje desde redes wifi públicas; incremento del spam; o aumento del riesgo del phishing a través de acortadores de enlaces o códigos QR.
Empresas que se enfrentan a acciones que van un poco más allá de la simple infección a la que pueden estar expuestos por la entrada de amenazas por cualquiera de los vectores de infección habituales. Ahora la acción de los cibercriminales van un poco más allá, ya que los casos más extremos de extorsión han llegado incluso a afectar al tejido empresarial español, tal y como indicó David Barroso, de Telefónica: “hemos notado un incremento de casos en los que los ciberdelincuentes piden hasta 10.000€ a Pymes para no lanzar un ataque DDoS a su web; eso, para una pyme con enfoque de negocio en Internet puede suponer su desaparición”.
Tendremos Segurinfo España 2013
Durante el último año, más de 6.000 personas han acudido a las diferentes ediciones de Segurinfo en Argentina, Colombia, Chile, Ecuador y Uruguay, por lo que el congreso se ha convertido en el mayor referente de habla hispana en materia de seguridad informática. El comité de expertos que forma Segurinfo España 2012 está presidido por Alberto Ruíz, Security Manager de Ericsson en Iberia; y formado por, entre otros, Alberto Chehebar, presidente de Usuaria, y otros profesionales españoles del ámbito de la tecnología de la seguridad pública y privada.
Dado el resultado que ha tenido esta primera experiencia piloto en nuestro país, todo el equipo de organización ya está preparando Segurinfo España 2013, que tendrá lugar más o menos dentro de un año. Estaremos esperando a esta nueva edición, porque creemos que la ciberseguridad es una labor de todos porque afecta a todos y a cada uno de los ciudadanos, empresas u organismos y administraciones.