Solo en 2020, la ciberdelincuencia ha aumentado en España un 125% y ha registrado más de 40.000 ciberataques diarios. Estas son solo algunas de las cifras que se han planteado VLCSOFTING, el congreso anual organizado por ITI, el centro tecnológico especializado en TICS, que arrancó en 2015 con el objetivo de reunir a las empresas en un foro de tendencias y conocimiento sobre tecnología y desarrollo software. En esta nueva edición, ha contado con las intervenciones de seis expertos en materia de ciberseguridad y con la presencia, en formato online, de cerca de de 300 profesionales de empresas referentes en tecnología.
Tal y como ha explicado durante la apertura la directora gerente de ITI, Laura Olcina, "en este tipo de ataques cibernéticos, las pequeñas y medianas empresas son las más perjudicadas". En este sentido, el INCIBE estima que la pérdida de datos causada por ataques informáticos genera daños por valor de entre 2.000 y 50.000 euros. Y, según IBM, las pérdidas para las grandes empresas ascienden a los 3,6 millones de euros. "La moneda de cambio siempre es la misma: los datos", ha sentenciado Olcina.
El director de Servicios Tecnológicos de ITI, Javier Llácer, ha ejercido el papel de conductor de la jornada. "Seis ediciones después es un orgullo seguir compartiendo, debatiendo y opinando", ha declarado Llácer, que también ha querido agradecer el apoyo a VLCSOFTING de empresas como Ahora, Acernet, Arsys, Esat, Laberit, New Work, Punt Sistemes y VinfoPOL.
La ciberseguridad, un reto global en el contexto de ciberguerra actual
Miguel A. Juan, socio fundador y codirector general de S2 Grupo, ha sido el primer experto en participar y ha subrayado que la ciberseguridad es un reto global siendo por ejemplo "uno de los temas más importantes del encuentro reciente entre Biden y Putin". Y es que, ha destacado que actualmente "se está produciendo una ciberguerra, de momento de manera controlada, tanto que los ciberataques van creciendo mientras la criminalidad fuera de la red desciende, siendo la gran mayoría de ellos fraudes informáticos".
"Hoy en día, los ciberataques mueven más dinero que la droga, siendo una de sus formas habituales de estafa en la red el phising", ha asegurado.
Asimismo, el responsable de S2 Grupo ha vaticinado que existe un "riesgo de terminar como Black Mirror, porque cada vez hay más sistemas conectados". En este sentido, ha indicado que en China, por ejemplo, los ciudadanos "reciben puntos según su comportamiento, y eso determina cosas como salir del país". Por ello, ha resaltado que es importante "luchar por mantener nuestras libertades".
Por último, ha recomendado a las empresas que sean víctima de un ciberataque "que no paguen el rescate, porque se convierten en cómplices, no hay garantías de que te devuelvan tus datos o información, y da pie a futuros ataques porque saben que vas a pagar".
Los vehículos autónomos
Carlos Sahuquillo, consultor en ciberseguridad en automoción en GMV, ha sido otro de los expertos en participar y ha advertido que "cada vez existen más formas de hackear los vehículos, por ejemplo mediante un dispositivo de rastreo con 4G".
Según ha declarado, existen "muchas formas de conseguir acceder al control de un vehículo", por lo que las marcas están intentando combatirlo y en los últimos años han realizado muchos avances en ciberseguridad.
Sahuquillo también ha afirmado que las tres claves para el buen funcionamiento de las plataformas de vehículos autónomos son la "confidencialidad, integridad y la disponibilidad".
Los profesionales en ciberseguridad, más demandados que nunca
Otro de los expertos ponentes, el fundador de Manfred David Bonilla, ha asegurado que otro de los retos para conseguir avances en ciberseguridad es el de poder atraer talento para dedicarse a estas labores. "En el sector TIC hay más demanda de profesionales que nunca, y es algo que ha llegado para quedarse, al igual que el teletrabajo".
Según Bonilla, casi todas las empresas "han reaccionado tarde y mal al teletrabajo". Para poder atraer a este talento técnico que pueda dedicarse a tareas de ciberseguridad, considera que es preciso combinar varios factores como son "ofrecer un salario de mercado, un plan de progreso personal dentro de la compañía, y contar con una misión de empresa que incentive la motivación diaria de los trabajadores".
La protección de las aplicaciones en la nube
Paco Barrena, arquitecto de Software y Security Advocate en ITI, también ha participado en el último congreso VLCSOFTING y ha dedicado su intervención a hablar de protección de las aplicaciones en la nube que se basan en contenedores.
"Los métodos de seguridad tradicionales no sirven para protegerlas", ha incidido Barrena. En este aspecto, ha indicado que la "mayoría de las empresas que utilizan Kubernetes lo tienen mal configurado, de forma que cualquier usuario que entre cuenta con permisos para hacer cualquier cosa" y que, además, muchas compañías que trabajan con Kubernetes en la nube no cifran bien sus datos.
Como conclusión, ha destacado que "los sistemas basados en cloud deben ser automáticos, autónomos y específicos".
APIs, el nuevo reto en ciberseguridad
Una de las vías de acceso de los ciberataques son las APIs y este tema ha sido abordado por Isabelle Mauny, confundadora y Field CTO de 42Crunch. Según ha comentado, desde octubre de 2018 se han reportado unas 300 brechas de seguridad en las APIs. "Los datos que vamos recibiendo, siempre los tenemos que validar, por diferentes razones confiamos y tenemos varios problemas".
Para ella, el primer problema es que "cometemos errores y somos humanos, podemos implementar mucha seguridad pero haber fallado en esto". También en este ámbito, se invierten muchos recursos el desarrollo de aplicaciones, pero no en su seguridad. "Cada vez que se hacen cambios en las APIs, se deben realizar pruebas de seguridad, y la gente no está equipada para esto", ha declarado.
Isabelle Mauny también ha explicado que "la seguridad siempre ha consistido en construir muros alrededor del Data Center, firewalls, múltiples capas, pero cada vez que se hace una API, se abre un nuevo punto desde internet a este Data Center, y ahí no hay muros, por lo que hay que proteger de nuevo los datos".
Además, ha puesto varios ejemplos de estas brechas de seguridad en las APIs. El más crítico es EQUIFAX por el enorme impacto en Estados Unidos, con más de 270 millones de americanos afectados por el robo de datos muy sensibles. Como conclusión, ha añadido que "nunca tendríamos que consumir datos antes de validarlos, antes de hacer cualquier cosa con ellos, hay que comprobarlo".
La ciberseguridad como "El quinto elemento"
Por último, Ruth González, Cloud Engineer en Keepler Data Tech, ha hablado de la ciberseguridad como "El quinto elemento". Tras realizar un repaso de los principales errores en seguridad existentes en la red, ha indicado que la mayoría de las empresas ya tienen sus datos en la nube.
También ha tratado varios casos como Google Dork, un sistema que se aprovecha de las técnicas en Google para encontrar agujeros de seguridad. Por ejemplo, acceder a impresoras online que no tienen ni usuarios ni contraseñas. Asimismo, ha hablado de otra herramienta como SHODAN, un motor que, en lugar de buscar web indexadas, lo que hace es buscar dispositivos específicos como credenciales, webcams, impresoras, etcétera.
Finalmente, Ruth González ha explicado diversas herramientas de monitorización que permiten ver "en tiempo real lo que está pasando en nuestros sistemas y si están haciendo algún intento de hackeo".
