Hace menos de dos años, un grupo de ciberdelincuentes logró acceder a las bases de datos y otra información sensible de un casino de Las Vegas. En abril del año pasado, sucedió lo mismo en un hotel británico. En ambos ataques, el vector por el que lograron acceder a los sistemas extraordinariamente protegidos de estas empresas fue, cuanto menos, peculiar: las peceras que adornan sus recepciones. Ambos acuarios contaban con un termostato conectado a internet, muy vulnerable y sin apenas medidas de seguridad, desde el cual los criminales podían moverse libremente dentro de la red de sus víctimas, robando documentos a su antojo y, potencialmente, provocando daños millonarios a cientos de afectados. 

Precisamente en Las Vegas se ha celebrado esta semana el MPOWER 2019, una de las citas de referencia de la industria de la ciberseguridad. Y en ella, el mantra de partida fue justamente ese: la llegada del internet de las cosas, el desarrollo de la nube como paradigma de computación por defecto, las conexiones de estos sistemas con multitud de aplicaciones alojadas en Dios sabe dónde o la creciente dispersión de dispositivos móviles hacen que el perímetro tradicional de protección sea inviable, pues la superficie de ataque se antoja ahora infinita. Al mismo tiempo, establecer medidas restrictivas para securizar estos entornos resulta poco menos que una quimera, a tenor de la altísima dependencia que tenemos en estos momentos de la tecnología y la reacción contraria que provoca cualquier fricción en este difícil equilibrio entre seguridad y conveniencia.

"No hay que obsesionarse por protegerlo todo, sino hacerlo de forma razonable, balanceando el riesgo con la velocidad y el acceso a la información que necesitan las personas", explicó al respecto Colin Powell, exsecretario de Estado de EEUU y hombre ducho en la disciplina militar que el mundo cyber reclama a voces. "Hay que repensar la relación entre la tecnología y los humanos para que nos sirva de ayuda y no nos lleve a ser dominados por el factor miedo", añadió su antecesora en el cargo, Madeleine Albright. 

Parecen premisas sencillas, casi dictados de la razón más elemental, que diría Sherlock Holmes. Pero del conocimiento al hecho hay un trecho, por lo que parece obvio que es necesario "refundar las bases de la ciberseguridad", como indicó apropiadamente Steve Grobman, CTO de McAfee. "Ya no se trata solo de mitigar amenazas, sino de mitigar riesgos. Tenemos que pasar de anticipar ataques a prevenirlos". 

Y, para ello, su receta para por construir un nuevo tótem, una suerte de inteligencia colectiva que aúne los datos de los 1.000 millones de sensores de esta firma (tanto en empresas como organismos públicos y particulares) junto a información proporcionada por sus propios ingenieros, una gota de inteligencia artificial y la integración con los sistemas propios de cada entidad. A través de esta nueva mente de la protección cibernética, asegura Grobman, "podremos entender las amenazas del entorno y detectar nuevos riesgos potenciales para un negocio en particular, así como el grado de protección que tenemos ante ellos y los posibles cambios o tecnologías que necesitamos para hacerles frente". 

En esa línea, toda esa información recopilada -desde endopoints hasta información de los sistemas cloud o de la red- se pone bajo el prisma de una herramienta inteligencia y cuya interfaz, de forma visual y sencilla, es capaz de realizar alertas, llevar a cabo prospecciones y ofrecer una perspectiva completa de todo lo que atañe y atañerá a una empresa o sector concreto.

"Lo que hacemos es decodificar el ADN de las ciberamenazas, teniendo en cuenta sus similaridades, por lo que podremos identificar nuevos elementos como sospechosos por las características que tengan con otras amenazas conocidas", detalló Steve Grobman. "También podremos ver más fácilmente si un ataque es dirigido o no a una organización concreta y, en definitiva, separar el ruido de la señal" en una arena tan compleja y cambiante como es ésta.

La nube y el tiempo

Más allá de esta propuesta para arrojar luz sobre la visión constreñida de las empresas en la desigual guerra contra los ciberdelincuentes, otro de los fundamentos impulsados por McAfee durante el MPOWER 2019 tuvo que ver con el tiempo. Tal cual: para el CEO de la firma, Chris Young, el tiempo "se está convirtiendo en el lenguaje de la ciberseguridad, en la única arma de los atacantes". Poesía aparte, la teoría guarda cierto sentido: el ransomware juega con la presión temporal para lograr los ‘rescates’ de sus víctimas, los ataques de ‘zero-day’ reclaman una atención en tiempo real y las campañas persistentes manejan una perspectiva de los días y las horas muy complicada de seguir por las defensas de las organizaciones. 

¿Cuál es la traducción de esta posición filosófica en el terreno cotidiano? Dado que los ciberdelincuentes gozan de una posición aventajada en este campo, se hace imperativo que los equipos de seguridad cuenten con la capacidad de reacción (y anticipación, volviendo a girar la rueda) para bloquear este factor. "¿Quién tendrá la última palabra?", rezaba una de las frases repetidas por varios ponentes en el evento, y ahí es donde se jugará la partida a partir de ahora.

Una batalla que, además, tiene cada vez más un telón de fondo común, a menudo desatendido: la nube. "Hemos pasado de tenerle miedo al cloud computing a abrazarlo y a que ahora sea la opción prioritaria de despliegue", señaló Rajiv Gupta, vicepresidente senior de McAfee. "Pero está claro que en muchos casos no se está haciendo lo suficiente ya no solo para proteger la información, sino para que esta securización habilite nuevos negocios".

Al respecto, este experto destacó que el funcionamiento de los ataques cloud "es muy similar al de siempre, son ataques de manual con los pasos habituales de entrar, expandirse y atacar, pero con la particularidad de que se aprovechan más de los fallos de configuración en los sistemas cloud que de vulnerabilidades en sí".

Un detalle grave y que merece ser analizado  y discutido con mayor calma, máxime si tenemos en cuenta que el 90% de los datos sensibles de las empresas ya no están en la oscuridad del shadow-IT sino bien visibles y orquestados en sistemas cloud (según cifras de la propia compañía),. Sumando a renglón seguido que el 65% de ellos está alojado en alguno de los cinco grandes proveedores cloud. "Está claro que la prioridad en el movimiento a la nube debería ser la protección de los datos y la detección de amenazas, pero en muchos casos se delega esta tarea en el proveedor del servicio. Sin embargo, al final, tú eres el único dueño de esa información", suscribió Young.

Es por ello que la nube también ha centrado gran parte de los anuncios acontecidos esta semana en Las Vegas. Así sucede, por ejemplo, con la integración profunda de las soluciones de ciberseguridad de McAfee con los servicios cloud de Oracle, "desde el desarrollo de código hasta la securización de aplicaciones empresariales, sin intervención humana, retrasos ni procesos adicionales. Todo preparado y listo, sin que haya que configurar nada", detallaron sobre el escenario portavoces de ambos entes. Chris Young, preguntado por INNOVADORES, no ha querido adelantar si este acuerdo se replicará con otras marcas similares, como IBM o SAP.

Finalmente, y siguiendo en el mismo capítulo de la novela, hay que reseñar las mejoras introducidas en la herramienta CASB Connect, que permite securizar virtualmente y sin código alguno cualquier aplicación web que se conecte mediante API, ya sea ondeando la bandera de Amazon Web Services, Google Cloud, Office 365, Box, Slack o Citrix, entre otros.