Presidente del comité ejecutivo del FIRST (Forum of Incident Response and Security Teams), la organización que reúne a los equipos de respuesta a incidentes de seguridad informática de más de 200 organizaciones de todo el mundo, Steve Adegbite habla para CSO España de la evolución de la seguridad, de riesgos informáticos, y de cómo mejorar la colaboración entre los equipos de respuesta. Steve Adegbite, que cuenta con una dilatada experiencia en el campo de la seguridad y es Senior Security Strategist en el equipo Adobe Secure Software Engineering Team (ASSET), considera que “el mayor riesgo que estamos viendo tiene que ver más con el conocimiento en seguridad del usuario que con las técnicas ofensivas de hacking”.
¿Cuál es su opinión del sector de seguridad TI actual?
Creo que la seguridad informática se encuentra en un punto de inflexión. Vemos cómo muchas redes empresariales buscan el modo de trasladarse a servicios cloud de bajo coste porque los tradicionales de la seguridad TI tienen poco control o influencia sobre las operaciones diarias. Los especialistas en seguridad TI están sintiendo ese cambio, que les tiene trabajando de una forma muy cercana con los proveedores de servicios, de los que dependen para la entrega de este tipo de prestaciones. Sin embargo, creo que el sector de la seguridad TI está mejorando en gran medida en su capacidad de afrontar rápidamente los cambios.
¿Qué tipo de riesgos son los más importantes?
El mayor riesgo al que estamos asistiendo tiene que ver más con el conocimiento en seguridad del usuario que las ofensivas técnicas del hacking. Hoy, la mayoría de malware está utilizando viejas vulnerabilidades y conocidas técnicas, que se aprovechan de las personas que no siguen las mejores prácticas de seguridad para infectar a nuevas víctimas. La mayoría de los usuarios no actualizan sus sistemas a la versión más reciente y más segura de software disponible actualmente. Si esta tendencia continúa, los profesionales de la seguridad llegarán a un punto en el que no serán capaces de ayudar a los consumidores, ya que el problema está centrado en el usuario.
En 2010 se habló mucho de “ciberguerra”, especialmente con la aparición de Stuxnet. ¿Cómo definiría en primer lugar “ciberguerra”?
FIRST es un colectivo importante de equipos globales, por lo que no puedo definir el término en nombre de toda la organización. Sin embargo, podemos definir guerra cibernética como las acciones y campañas que una persona o grupo de individuos utilizan para cambiar el modo de vida de un gran número de usuarios de ordenadores. Se trata de utilizar técnicas de hacking ofensivo para “sacudir” la confianza y asustar a los usuarios de sistemas informáticos mediante la alteración del uso de dichos sistemas informáticos.
¿Dónde estamos ahora?
Estamos viendo los primeros albores de la guerra cibernética. Todavía estamos muy lejos de estar en una guerra cibernética total y, en mi opinión, una de las razones para ello es que tendrían que atacar la mismísima infraestructura (Internet), que necesitan para realizar sus ataques. Esta situación no se presta para el resultado efectivo de una guerra cibernética.
¿Vamos a ver más casos como éste?
Stuxnet era un ataque “dirigido” altamente sofisticado. Este tipo de ataque ocurre todos los días, como ha ido sucediendo durante años y volverá a pasar cuando los hackers ataquen sistemas específicos… Así que esto no es nada nuevo, simplemente se le dio publicidad muy posiblemente por las posibles víctimas del ataque.
¿Qué tipo de consejo daría a otros países para hacer frente a estos incidentes de seguridad?
Crear y apoyar a las agencias a nivel nacional o a los grupos encargados de la seguridad en Internet, y la educación en el uso adecuado de Internet. Estos grupos son la primera línea y las herramientas más eficaces para proteger los activos de infraestructuras críticas frente a los ataques.
Hablando de “ciberseguridad”, normalmente se suele mencionar la cooperación nacional e internacional. ¿En qué estado se encuentra dicha cooperación ahora y cómo podría mejorarse?
Esta cooperación sigue aquí y se fortalece cada año. Hay grupos como FIRST que actúan como puente entre los grupos de seguridad informática nacionales e internacionales. FIRST también ayuda a los diferentes sectores de la industria cooperando en cuestiones de seguridad informática. Muchos otros grupos también lo están haciendo a nivel mundial.
¿Qué capacidades debe tener un equipo de respuesta para hacer frente a estos incidentes de TI y cómo se puede mejorar?
No es una pregunta fácil de responder ya que cada incidente de TI es diferente y requiere distintos grupos de herramientas. Los incidentes se han vuelto tan complejos que no es suficiente tener una sola capacidad; se debe tener varias para ser eficaz. Grupos como el CERT CC en los EE.UU. tienen una lista de servicios y capacidades que los equipos de respuesta deberían tener para ser eficaces. Sin embargo, la lista es una sugerencia y no un requisito para el éxito ante cualquier incidente de TI. Lo único que se puede hacer para mejorar la efectividad de los equipos de respuesta es tener el apoyo apropiado con los recursos adecuados para el equipo.
También se habla de la evolución de los modelos de seguridad de TI. ¿Podría decirnos cómo ha sido esta evolución y qué tipo de elementos han influido?
Los modelos de seguridad en IT han evolucionado con el tiempo para hacer frente a la amenaza. En los inicios de los 90, era suf