«La captación de profesionales especializados en ciberseguridad resulta muy complicada a pesar del auge de la industria»
Un año más las Jornadas CCN-Cert organizadas por el Centro Criptológico Nacional (CCN) han sido un rotundo éxito. Esta XIII edición ha logrado congregar a más de 2.400 visitantes, 130 ponentes y hasta un total de 60 empresas patrocinadoras en el que ya se ha consolidado como evento de referencia dentro del sector a nivel nacional.
A través de Sergio Morales, Director del nuevo área de ciberseguridad de CISDE, el Observatorio de Seguridad y Defensa ha tenido la oportunidad de conocer algunas de las múltiples e interesantes innovaciones tecnológicas y los últimos avances en materia de ciberseguridad de la mano de ESET, empresa puntera en el sector y número uno de la Unión Europea en el campo de la seguridad empresarial.
Para ello hemos contado con la inestimable ayuda y los sólidos conocimientos de su Director de canal y grandes cuentas, Juan Carlos Tortosa, y David Sánchez García, Director de soporte técnico de ESET España, que se han prestado amablemente a responder a nuestras preguntas con el fin de ayudarnos a comprender un poco mejor cuales son los entresijos de un sector en auge como es el de la seguridad digital.
Pregunta.-Para ponernos en situación y especialmente dirigido a aquellos que puedan no conocer vuestra empresa ¿Podrías contarnos qué hace ESET?
Juan Carlos: ESET es un fabricante de ciberseguridad especialista en software de seguridad. Se fundó 1987 y desde entonces el crecimiento de la empresa ha sido exponencial. Tenemos la ventaja de la especialización en este tipo de soluciones, y contamos con un importantísimo catálogo, que si bien comenzó como un producto doméstico, actualmente abarcar desde herramientas de detección avanzada hasta copias de seguridad, y que además no se orienta únicamente a proteger los dispositivos del cliente final, sino también la propia información. En este caso en España, el fabricante no tiene una sede como tal, sino que delega toda su acción tanto comercial como de soporte técnico etc., a una empresa local llamada ONTINET, con unas 50 personas trabajando para atender a todo nuestro canal de distribución en España de manera personalizada allá donde el distribuidor lo requiera.
P.-Entonces hablamos de más de tres décadas contribuyendo a mejorar la protección digital de los usuarios. 30 años. ¿Podéis contarnos cómo ha sido ese viaje?
J.C: Efectivamente ESET tiene 32 años ahora, y hay algo importante que destacar en este punto, y es que los cuatro propietarios que fundan la empresa siguen siendo los accionistas de la compañía, no está participada en bolsa y los conocemos personalmente, de modo que contamos con esa comunicación directa con el fabricante. En el caso de España nuestra empresa tiene 27 años de recorrido y prácticamente llevamos 24 o 25 trabajando en ciberseguridad.
El fabricante comenzó trabajando en productos sueltos que protegían el dispositivo particular, con las limitaciones evidentemente tecnológicas de entonces, y ha ido evolucionando hacia el producto de empresa, hacia la solución que protege toda la red corporativa, a la herramienta de gestión, ha ido añadiendo soluciones que el mercado iba demandando, de manera que hemos pasado de tener un 99% de clientes domésticos y un 1% de empresa, a actualmente en España situarnos en un 70% de clientes empresa y en torno a un 30% de clientes domésticos.
P.- ¿Qué novedades nos trae ESET en la XIII edición de las jornadas?
D: Durante este año, ESET ha lanzado unas soluciones de ciberseguridad DDR que cubren dos tipos de ataques a día de hoy, uno que es el malware desconocido, que puede entrar por cualquier vía, ya sea correo electrónico, USB, internet, etc., y lo que se hace es, en el momento que se detecta un archivo desconocido para nuestra base de datos, que al contar con 100 millones de usuarios en todo el mundo supone una base de datos bastante consistente, todo aquello que no figure en esa lista lo enviamos a una sandbox en una nube para que sea analizado.
P.- ¿Y cómo funciona esa sandbox?
Por ejemplo, imagina que alguien llama a nuestra casa y en vez de dejarle entrar directamente, le abrimos la puerta a una habitación contigua para ver el comportamiento, para ver que hace. Es lo que normalmente se hace con el malware para detectar si tiene alguna actitud maliciosa y dependiendo de lo que haga en ese cuarto, de su comportamiento, se determina si es malo o no y de esa forma bloquearle el paso en caso de que sea malicioso. Y en un ordenador sucede lo mismo. Esta sandbox además de incluir lo que es el propio análisis de comportamiento, utiliza diferentes capas de machine learning para detectar y añadir información adicional.
Esa en una de las soluciones que proponemos, denominada Dynamic Threat Defense y la otras es nuestro ESET Enterprise Inspector, cuyo mayor beneficio es que lo registra todo, es lo que yo llamo el Big Data de nuestra red, de manera que todo lo que sucede en nuestros equipos se registra en este sistema. A través de estos registros podemos conocer por ejemplo todos los ejecutables que se han iniciado en dicho equipos, comprobar su reputación, si estaban firmados, si esa ejecución ha levantado alguna alerta o si ha hecho algo sospechoso en alguno de los equipos. Gracias a ello podemos realizar un análisis forense de cualquier incidente de seguridad y conocer en todo momento cual ha sido su origen entonces de ahí como tenemos toda esa información hacemos un análisis forense de un incidente de seguridad con lo cual podemos saber en todo momento cual ha sido su origen y solucionar esa vulnerabilidad.
Estas son las dos soluciones avanzadas que ha lanzado ESET este año y con ellas esperamos también aumentar la protección que ofrece el Endpoint Protection Standard, cortafuegos y demás, que si bien ofrecen un nivel de seguridad aceptable pero insuficiente, en la medida en que existen malwares desconocidos, ataques Zero Day y amenazas que aprovechan herramientas presentes en nuestros sistemas para tratar de afectarlos con acciones maliciosas. Es decir, ya no hace falta un malware programado como tal para realizar diferentes operaciones, ya que existen herramientas del sistema que permiten tomar el control de equipos sin necesidad de instalar nada.
P.-Nos encontramos en un espacio privilegiado y hay una pregunta que es casi obligada teniendo en cuenta que aquí se cuecen o por lo menos se anuncian gran parte de esos avances que comentábamos. ¿A vuestro juicio cuáles son las innovaciones tecnológicas que van a marcar 2019 y el futuro cercano?
J.C: En general, las herramientas que ha presentado David son precisamente aquellas en las que estamos trabajando la mayoría de fabricantes. Nos damos cuenta de que hay que proteger un equipo y que al margen de la protección interna, necesita retroalimentarse de otros tipos de herramientas y otro tipo de funcionalidades que le van a permitir una mayor protección. Normalmente solemos hablar más de tendencias en cuanto a vulnerabilidades que no en cuanto a soluciones, de modo que se analiza que ha pasado a lo largo del año, que le ha sucedido a compañías que se han visto afectadas a pesar de ser referentes de la ciberseguridad, lo cual nos da a entender que no hay nadie suficientemente protegido y que van a seguir apareciendo vulnerabilidades para las que nosotros tenemos que estar preparados con herramientas como las mencionadas.
D: Efectivamente tenemos que estar preparados, porque siempre hay amenazas que persisten, por ejemplo determinados ransomware, ataques que se repiten desde hace 5 años y que todavía siguen siendo exitosos porque las empresas, todavía no han aplicado los sistemas de seguridad adecuados e incluso se ven varias veces afectadas por el mismo tipo de virus o el mismo tipo de ataque. Hace falta concienciación y hace falta educación además de soluciones.
P.-Ahora que se mencionan las pymes ¿qué tipo de empresa responde mejor a este tipo de amenazas? ¿Depende del tamaño de la compañía o existen otros criterios?
J.C: En mi opinión, no depende del tamaño de la empresa, sino de la concienciación que tenga. Te encuentras empresas que tiene apenas 25 equipos, y que sin embargo están muy concienciadas y forman a sus trabajadores. Posiblemente es por el modo de negocio que tienen.
P.- ¿Entonces no depende de la capacidad económica?
J.C: En ocasiones sí, pero hay pequeña-medianas empresas cuyo negocio es por ejemplo una gestoría o que manejan datos de alta confidencialidad y que son suficientemente conscientes de la importancia que tiene la información que manejan, de modo que sus niveles de protección son muy elevados. Por el contrario también te encuentras con empresas que disponen de miles de equipos, y donde el nivel de concienciación es mucho menor, las herramientas utilizadas son de menor calidad y que en consecuencia se encuentran atacados y vulnerados por ataques que no esperaban recibir. En este sentido hay que tener claro que una empresa grande sí que es un objetivo clave para los hackers.
P.-Hay un tema que siempre me gusta poner sobre la mesa cuando tratamos estos temas. Es la relación Inteligencia Artificial/Ciberseguridad. ¿Cómo es por el momento esa relación? ¿Estamos preparados?
J.C: Mucho más fácil de lo que se pueda pensar, al final la Inteligencia Artificial consiste en aplicar el aprendizaje de la propia máquina para ver cómo puede evolucionar una amenaza. Esa relación implica que a la hora de hablar de tecnología y especialmente en materia de protección digital, incluyamos la Inteligencia Artificial dentro del proceso de análisis de amenazas.
D: Por ejemplo, el machine learning que ya hemos mencionado es algo de lo que se está hablando mucho a nivel de ciberseguridad y a nivel de herramientas de seguridad. Añadir esa capa de Inteligencia Artificial a las soluciones de defensa frente a este tipo de amenazas es algo en lo que se está trabajando, y en concreto nosotros llevamos haciéndolo desde hace 2 años. Nuestro sistema de machine learning se llama AUGUR y se le está dando gran importancia en el análisis de amenazas emergentes. En la última actualización de ESET se han añadido ya en los productos “endpoint”, ya que con anterioridad solo era posible utilizar este machine learning en la nube, de manera que actualmente estos productos incluyen esta modalidad. Con lo que podemos asegurar que se le está dando mucha importancia a ese factor de IA en todos sus productos de estudio de seguridad.
¿Estamos preparados como sociedad? Personalmente no lo creo, ya que la tecnología avanza muchos más rápido que la propia seguridad, o dicho de otra forma, todavía no se piensa del todo en la seguridad antes de aplicarla a la tecnología.
P.-Nos habéis hablado acerca de los progresos pero ¿qué hay de los desafíos?
D: En mi opinión al final se trata de la protección de IoT, de aquellos dispositivos que sobre todo en casa o en las empresas, tenemos que tener controlados o securizados de alguna forma. Es preciso aplicar unas cuestiones de seguridad generales para que todos los dispositivos, siendo muchos los que a día de hoy puede uno llevar encima, tengan unas políticas de seguridad adecuadas para que podamos controlarlo eficientemente.
P.- ¿Y está realmente controlado?
D: Poco, muy poco todavía
J.C: Efectivamente. De hecho hemos sido el primer fabricante en lanzar una solución para proteger las televisiones con sistema operativo Android. En definitiva se trata de algo que es cada vez más necesario, teniendo en cuenta que cualquier dispositivo conectado a internet es una puerta de entrada y una posible vulnerabilidad, bien sea desde nuestro propio teléfono o desde el mismo a cualquier otra parte de la red corporativa.
David: Un ejemplo es la elevada frecuencia de ataques que sufren las impresoras. Cada año nos llegan noticias de impresoras atacadas que están filtrando información o cualquier otro tipo de actividad maliciosa. En el caso de la protección del IoT la cuestión se complica en la medida en que no tenemos constancia de que pueda estar haciendo algo raro a no ser que dispongamos de unos sistemas que específicamente orientados a identificar dichas actividades. Por lo tanto, el problema es disponer de esa información, y de momento no somos capaces de conocerla toda y de cada uno de los dispositivos que se han unido a nuestra empresa. Necesitamos disponer de esa información para poder reaccionar a un incidente de seguridad venga de donde venga.
P.-Hemos hablado de la tecnología pero ¿qué hay de las personas y los equipos de profesionales que hay detrás? Teniendo en cuenta que es un sector en auge ¿cómo está funcionando la formación en este campo?
J.C: Se habla mucho de la captación del profesional pero sinceramente nos está resultando muy complicado. La especialización a nivel de tecnología existe y la gente se interesa por estudiar, bien sea ingenierías, bien un módulo a nivel de informática, etc. Sin embargo, la especialización en ciberseguridad todavía es bastante baja, de hecho hay grandes empresas a las que les está costando mucho captar ese talento, bien sea por ubicación geográfica. Si nos salimos del centro de Madrid o Barcelona, es difícil captar profesionales con recorrido o que sean especialistas en este campo. Independientemente de esa parte geográfica, incluso en Madrid está costando, existe una gran captación de talento que está saliendo bien formada de España y se va a trabajar a países europeos, a Dinamarca, a Francia o Bélgica. A nosotros personalmente nos está costando, la captación de profesionales no está resultado, porque además añadimos que no estamos ubicados en una capital, entonces hay que invertir muchísimo en la formación más allá de que tu captes el talento profesional ya formado.
P.-Hoy día la inmensa mayoría nos movemos con un teléfono móvil encima (como mínimo). No vamos a pedir que nos enseñéis vuestros respectivos terminales para fisgar qué aplicaciones empleáis pero ¿manejáis alguna interesante y que pueda ser útil conocer para el usuario de a pie?
D: Una aplicación de antivirus para los teléfonos móviles es fundamental, gratuita o de pago.
P.- Para la mayoría de usuarios de Iphone puede que esta sea la primera noticia que tienen sobre un “antivirus para móviles”.
D: Yo por ejemplo trabajo más a través del móvil que por el ordenador, si protejo el ordenador ¿por qué no voy a proteger el teléfono móvil? Iphone es un caso particular porque a nivel de control de aplicaciones es mucho más estricto que Android. Si bien es cierto que en el caso de Android se las suelen “colar más” a través de aplicaciones fraudulentas, troyanos, etc. Nosotros por ejemplo para Iphone no tenemos una solución de antivirus específica. También es cierto que existen soluciones específicas de antivirus en Iphone que lo único que hacen es comprobar que la aplicación que te has descargado sea de una fuente fiable; en caso contrario la marcará como peligrosa o dañina, sin embargo no hay un controlador o un análisis de procesos continuo y a tiempo real en el dispositivo para controlarlo porque Apple no lo permite.
P.- Ahora la pregunta comprometida ¿Apple o Android? ¿Cuál es más seguro?
J.C: Yo soy usuario de los dos tipos de dispositivos por una cuestión de comodidad, no de seguridad o protección. Sino de la gestión diaria del dispositivo. De modo que en este momento me está resultado cómodo usar un Iphone y hace poco tiempo que lo tengo. Cuando tenía por ejemplo Android sí que contaba con esa protección adicional que mencionábamos, pero como digo en estos momentos es una cuestión más de comodidad de uso que no de protección.
D: No se trata de que sea más o menos seguro, lo que ocurre es que posiblemente interesa más fabricar un malware para Android, que es utilizado por el 90 o 95% de las personas, que para Iphone que es utilizado por un 5-10%. Sucede lo mismo que con Windows y Linux, donde el número de amenazas está directamente relacionado con un uso más estandarizado.
P.-El cibercrimen ha sido una de las modalidades delictivas que más ha crecido y que más beneficios reporta ¿Cómo se está trabajando desde el sector para actuar frente a esta actividad criminal?
J.C: Independientemente de la protección de la fuente final, que no deja de ser más preventiva que otra cosa, existen herramientas como nuestro ESET Threat Intelligence, que te permite una monitorización de posibles amenazas incluso antes de que te afecten. Se trata de herramientas avanzadas, en un entorno concreto de servicio, y que te permiten un nivel superior de protección. También te digo que las inversiones que tenemos nosotros como elaboradores de software de seguridad son ínfimas o comparativamente muy bajas, comparadas con lo que se está invirtiendo por parte de la gente del crimen, las cuales funcionan como empresas perfectamente organizadas, con desarrolladores que lanzan amenazas, y que siempre van un paso por delante de nosotros. De modo que aunque vamos remolque, es verdad que intentamos avanzar pero siempre hay que lidiar con amenazas desconocidas, complicadas de detectar y sobre las que tendremos que trabajar para mitigar sus efectos.
D: A mí me gustaría poner énfasis en la importancia que tiene la educación y la concienciación en materias de seguridad, en la formación del personal que en definitiva va a tratar la información que es importante para la empresa. Hay que educar en materia de seguridad y en cómo actuar ante elementos sospechosos o cuando reciban algún correo malicioso, etc. Es fundamental también guiar y animar a las empresas a realizar este tipo de cursos de ciberseguridad.
P.-Le toca el turno a Huawei y al 5G que parece quitarle el sueño a mucha gente ¿es mera política debido a la rivalidad entre China y EE.UU? ¿O realmente puede suponer una mayor exposición de nuestras vulnerabilidades cibernéticas?
J.C: Ahí te encontrarás opiniones de todo tipo. Yo estoy convencido de que se trata de política
P.- ¿Entonces no debemos tener “miedo”?
J.C: Yo creo que no.
D: Yo también pienso que tiene una parte importante de política, aunque eso no excluya que exista una parte científica o técnica que merezca atención. Realmente son dispositivos en los que no se tiene control de toda la información y realmente no sabemos si hay algo malicioso en esos dispositivos, por lo que es en base a ese miedo que pueden acentuarse esas reacciones políticas frente a un dispositivo que podría llegar a afectar a nivel de seguridad. La competencia entre países también juega un papel importante, de modo que es más una guerra comercial que de seguridad. ¿Quién ha dado el paso más importante hacia el 5G? No han sido los americanos, no han sido los rusos, han sido los chinos.
P.-Hemos hablado de concienciación de usuario y empresa ¿cómo se alienta a los diferentes actores a mejorar en ciberseguridad?
J.C: Precisamente hemos estado trabajando en un proyecto para proporcionar formación tanto al canal de distribución por una parte, como al cliente final por otra. También hemos proporcionado formación a clientes concretos que trabajan con nosotros desde hace tiempo, así como a los más jóvenes (en edades a partir de 6 años) a través de diferentes charlas.
Entonces no es una cuestión tanto de formación dentro de la empresa, como de venir concienciado de casa, por ejemplo cuando hablábamos de uso de los teléfonos móviles. De este modo la educación, la formación y la concienciación cuando trabajas en la empresa privada siempre costarán menos.
D: En esa línea llevamos ya mucho tiempo colaborando con universidades y con institutos para impartir esas charlas de concienciación a todos sus alumnos de forma gratuita y de ese modo cuando den el paso al mundo laboral estarán más preparados.
P.- Para aquellas empresas o usuarios que se encuentran en estadios tempranos en cuanto a adopción de seguridad digital ¿Qué consejo les daríais?
J.C: Lo primero, que se dejen aconsejar que es lo importante. En el mercado hay infinidad de herramientas diferentes, con lo que resulta vital dar con una empresa que sea de tu confianza y que te pueda explicar ese abanico de posibilidades que es el que tú vas a necesitar. Nosotros trabajamos con empresas que invierten una cantidad importantísima de dinero en servicios que después no tienen bien parametrizados y que realmente no son tan útiles como podrían ser. Por el contrario, otras con unos recursos mucho más limitados, pero que buscan un buen profesional que les pueda aconsejar, gozan de una protección que incluso supera sus necesidades y funcionan perfectamente. De modo que lo primero es buscar una empresa de referencia que te haga un buen análisis de vulnerabilidades o una auditoría interna y a partir de ahí que diga “las herramientas que tienes que utilizar son estas” exactamente las que vas a necesitar, y nada más.
D: También podemos aconsejarles que utilicen servicios proporcionados por especialistas en ciberseguridad. En nuestro caso, durante este año hemos lanzado una serie de servicios para empresas que no disponen de un departamento formado en seguridad o con el tiempo que es preciso dedicarle a la ciberseguridad. Nosotros nos ocupamos directamente, monitorizando, gestionando, y avisándoles en el caso de que haya algún incidente, es decir, una central de alarmas pero a nivel de ciberseguridad.
P.- La colaboración entre ESET y CISDE es una realidad que puede resultar muy beneficiosa para ambas entidades ¿cómo veis desde vuestra perspectiva ese futuro de cooperación mutua?
J.C: Personalmente tengo la sensación de que esa idea de colaboración nos va a reportar beneficios a ambos. A nosotros principalmente porque contamos con un nuevo factor, que es vuestra compañía que tiene un núcleo específico de clientes al cual nosotros queremos llegar, y que como fabricante nos resulta prácticamente imposible porque en este caso el cliente final no compra al fabricante, compra a quién le aconseja, a quien le trate bien, al que no le da únicamente el factor antivirus sino diferentes factores de protección y ese cliente al que nosotros nos resulta más difícil acceder.
Por otra parte, vosotros vais a llegar al mercado, en mi opinión, con un producto de calidad, sobre todo con un equipo humano, aquí tenemos a David, que os va a ayudar no solo en la venta, en la instalación, o con las especificaciones técnicas que pueda requerir el cliente final y que otros fabricantes no pueden proporcionar con un nivel de calidad a la altura del que proporcionamos nosotros. Además vais a llegar al mercado con un producto que en este ámbito en concreto está poco implantado, y a pesar de las complicaciones que lleva aparejado el dejar de emplear herramientas a las que uno está acostumbrado para utilizar otras, con la calidad que nosotros aportamos dicha dificultad a la hora de alcanzar ese cliente final que es el que vosotros estáis buscando se verá considerablemente reducida.
P.-Durante su ponencia, Javier Candau (jefe del Departamento de ciberseguridad del CCN) vino a decir algo así como que “aquellas pymes que pensaban que estaban bien protegidas únicamente con una licencia de antivirus, estaban muertas a corto plazo”. Es decir, él incidía que a esa licencia de software había que añadirle otra capa de servicio. En ese sentido ¿ESET ofrece ese valor añadido además del software?
J.C: Hay que tener en cuenta que ESET como tal tiene un catálogo de productos concretos, no añadimos servicios que no seamos capaces de gestionar, porque nuestro negocio es la gestión comercial de productos concretos; sí que es verdad que como apuntaba David antes, hay una serie de servicios que puede adquirir prácticamente cualquier cliente o empresa. Lo que suele ocurrir en estos casos es que yo me compro 5 licencias, le doy a aceptar 4 veces al antivirus, lo dejo instalado y yo ya me despreocupo, cuando seguramente no está bien parametrizado, o bien no tengo visibilidad de toda la red por muy pequeña que sea. Entonces bien porque los parámetros no sean los adecuados, bien porque no tenga una visión integral de la red, podemos estar ante un agujero de seguridad a pesar de tenerlo “todo instalado”. Nosotros con los servicios ofrecemos esa visibilidad, proporcionamos la monitorización, incluso te levantamos la alerta porque tú no tienes esa opción de poder saber qué es lo que te está pasando, mientras que nosotros sí, entonces como valor añadido ofrecemos una capa de seguridad que antes no tenías, no la única pero la protección ya es mucho más robusta que la que tenía hasta entonces.
P.-Desde el punto de vista técnico, y atendiendo al extraordinario portfolio con el cuenta ESET ¿podéis explicarnos, desde el punto de vista técnico, como se sincronizan vuestras herramientas tanto en el ámbito de la seguridad de la información como en la propia ciberseguridad del sistema?
D: En primer lugar, lo primero a lo que debemos darle importancia cuando tratamos con una herramienta de seguridad es al rendimiento. El rendimiento es fundamental para que la seguridad de la información sea accesible en todo momento. Para ello ESET siempre ha trabajado en ser el que menos afecta al sistema operativo mientras está en ejecución. Luego a nivel de seguridad de la información se habilitan diferentes apartados para añadir diferentes políticas de seguridad como puede ser el control de dispositivos, el cifrado de información, etc., es decir, van de la mano la protección propia del antivirus, junto con otras herramientas o políticas de seguridad de la información que quieras añadir.
Cada vez se añaden más capas en materia de protección de la información. En este sentido contamos con otros productos y soluciones a nivel de fuga de información. No son de ESET pero tal y como ha comentado Carlos, ESET cuenta con alianzas tecnológicas con diferentes fabricantes que ofrecen soluciones interesantes. Por ejemplo, tenemos un acuerdo comercial con SAFETICA en lo relativo al control de fugas de información para controlar todo lo que se hace con la información de un equipo.
La seguridad de la información y la seguridad informática tienen que ir de la mano, ya sea como una herramienta conjunta o como varias simultáneas, porque seguramente no encontremos en una herramienta todo lo que necesitemos a nivel de seguridad de la información y entonces tenemos que ir a buscar lo que más cuadra con nuestra política a nivel de información.
En definitiva, contamos con un portfolio de soluciones que pueden abarcar la gran mayoría de necesidades a día de hoy.