Kris Hagerman: “Existe un mercado de compraventa de ciberataques cada vez mejor engrasado”
El CEO de la empresa de ciberseguridad Sophos advierte de la creciente profesionalización de los delincuentes informáticos y de la sofisticación de sus ataques
La ciberseguridad es hoy una de las principales preocupaciones de los gestores de empresas y de instituciones públicas. El nivel de las amenazas ha crecido, y los cibercriminales se han profesionalizado. Según un estudio de la británica Sophos, una de las mayores compañías de ciberseguridad del mundo, hay bandas que hasta tienen sus departamentos de recursos humanos, nóminas e incluso oficinas físicas. ...
La ciberseguridad es hoy una de las principales preocupaciones de los gestores de empresas y de instituciones públicas. El nivel de las amenazas ha crecido, y los cibercriminales se han profesionalizado. Según un estudio de la británica Sophos, una de las mayores compañías de ciberseguridad del mundo, hay bandas que hasta tienen sus departamentos de recursos humanos, nóminas e incluso oficinas físicas. El FBI desmanteló la semana pasada una de ellas con la colaboración de varios cuerpos policiales internacionales, entre ellos la Policía Nacional española.
Kris Hagerman, nacido en California hace 58 años, lleva once al frente de Sophos. El ejecutivo cree que la irrupción del teletrabajo a raíz de la pandemia o la guerra de Ucrania no han hecho que los cibercriminales aumenten su actividad: “esa era la tendencia que ya estábamos experimentando”, explica.
Pregunta. ¿Cómo describiría el sector de la ciberseguridad?
Respuesta. Es uno de los mercados más grandes y de más rápido crecimiento. Mueve unos 100.000 millones de dólares al año y crece entre un 10% y un 12% anual. Es la prioridad número uno para los responsables de tecnologías de la información de las compañías, ya sean grandes multinacionales o pequeñas empresas. Y eso se debe a que los ciberataques llevan dos décadas creciendo año tras año en frecuencia y complejidad. Esos ataques, además, se comercializan cada vez de forma más rápida.
P. Dice que el número de ataques aumenta cada año. ¿Esto se debe a que hay más ciberdelincuentes o a que se están volviendo más sofisticados?
R. Están sucediendo ambas cosas. Cada vez se crean más amenazas sofisticadas y avanzadas de día cero [zero day attack en la jerga]. Una amenaza de día cero es una vulnerabilidad que se ha identificado en un sistema y que nadie más conoce, ni siquiera el propio desarrollador del sistema en cuestión. Dar con ellas es muy complicado, se puede tardar meses o años en identificarlas y desarrollarlas. Pues bien, cada vez están apareciendo más. Por otra parte, estamos viendo que existe un mercado de compraventa de ciberataques cada vez mejor engrasado. Así, por ejemplo, hay algo llamado agentes de acceso inicial (initial access brokers). Y solo hacen una cosa: encuentran la forma de penetrar en una red determinada y luego venden esa información o llave de entrada. Así que ahora mismo puedo convertirme en ciberdelincuente sin saber nada de programación. En primer lugar, pago a un agente de acceso inicial para poder penetrar en una red. Y luego puedo recurrir a empresas que ofrecen ransomware [una modalidad de ataque informático que encripta el sistema y pide un rescate para liberarlo] como suscripción y decirle que preparen uno específico para mi objetivo. Tras eso, solo queda sentarme a esperar a que llegue el dinero.
P. ¿Cómo pueden defenderse las empresas de todo esto?
R. Lo primero y más importante es que deben pensar que la ciberseguridad consta de tres componentes: protección, detección y respuesta. Si tienes una casa, no querrás dejar las puertas abiertas de par en par, sino cerrarlas con llave. Eso está bien, pero si quieres más protección necesitarás un sistema de seguridad con videocámaras capaz de detectar si alguien entra. Y querrás tener la capacidad de responder para sacarlos de allí. Estos tres componentes son fundamentales para construir una estrategia de ciberseguridad. También recomendamos a nuestros clientes que se concentren en entender bien lo básico. No sirve de nada añadir un detector de movimiento a mi casa si dejo la puerta abierta.
P. ¿Hasta qué punto recurre la ciberseguridad a la inteligencia artificial?
R. Todos nuestros productos generan información que llena un único lago de macrodatos en la nube. Utilizamos inteligencia artificial y aprendizaje automático para trabajar toda esa información. Eso nos ayuda a detectar anomalías mucho más rápido de lo que lo haría un ser humano. Por otra parte, desde hace un tiempo podemos ofrecer ciberseguridad como servicio, es decir, en remoto y a cambio de una suscripción mensual. Para nosotros, ese es uno de los avances más interesantes de la última década en materia de ciberseguridad, porque es fácil de gestionar e implementar y permite ofrecer resultados a un precio más bajo.
P. ¿El auge del trabajo remoto supone nuevos problemas para las empresas en materia de ciberseguridad?
R. Cada vez hacemos más cosas en línea, creamos más datos y tenemos más dispositivos conectados. Eso aumenta el área de superficie de los ciberdelincuentes. Lo que eso significa para las organizaciones es que tienen que asegurar todos esos dispositivos. Uno de los nuevos conceptos en ciberseguridad es el Zero Trust [confianza cero]: consiste en crear un entorno en el que se asume que ninguno de los dispositivos conectados a la organización es seguro. De modo que cuando el dispositivo se conecta, requiere una serie de pasos antes de habilitarlos. Este enfoque puede ayudar también a quienes trabajan en remoto.
P. Por mucha protección que se aplique a los aparatos, si el trabajador clica donde no debe puede causar problemas.
R. Efectivamente. La ciberseguridad tiene que ver con las personas, los procesos y la tecnología. No basta con tener un buen software, también necesitas que los empleados sepan cómo usarlo y cómo gestionar su vida en línea. Me preguntan mucho por qué no hemos resuelto aún la ciberdelincuencia. La respuesta es la misma que en el caso del resto de la delincuencia: se cometen delitos desde siempre, así que creo que la aproximación realista no es intentar acabar con la ciberdelincuencia, sino hacer que se convierta en un problema manejable. Si usted y yo no nos conocemos, nos cruzamos por la calle y me pide mi tarjeta de crédito, no se la daré. Pero en internet, si lo pides de la manera correcta, la gente lo hará. Somos más inexpertos gestionando nuestra vida online que nuestra vida física. Por eso, es vital capacitar a las personas en este terreno. No pinches en todo lo que veas en un correo electrónico, observa siempre de dónde viene el correo electrónico antes de responder, desconfía de las solicitudes inusuales…
P. El ransomware es uno de los principales problemas a los que se enfrentan las empresas en el terreno de la ciberseguridad. ¿Con qué frecuencia aconseja a sus clientes que paguen el rescate que les piden por liberar sus sistemas?
R. Es una pregunta muy difícil de responder. Por lo general, pagar el rescate de un ransomware es una mala idea. En un alto porcentaje de las veces que se paga, las víctimas ni siquiera recuperan los datos. Evidentemente, las organizaciones que les han secuestrado los datos no son confiables y nada te asegura que, aunque pagues, todo vaya a resolverse. No tenemos una regla estricta al respecto, que diga que nunca harás algo. Cada situación es única.
P. ¿Cree que nos tomamos la ciberseguridad suficientemente en serio?
R. Creo que sí. La mayoría de las organizaciones de cualquier tamaño saben que la ciberseguridad es un problema real, que son vulnerables y que tienen que hacer las cosas bien porque, si se equivocan, podrían tener problemas muy reales.
Puedes seguir a EL PAÍS TECNOLOGÍA en Facebook y Twitter o apuntarte aquí para recibir nuestra newsletter semanal.