Damián Ruiz: "Todo puede ser objetivo de un ciberataque. Es cuestión de tiempo y recursos"

Es el presidente de Clúster Cybermadrid, celebrado recientemente. En este entrevista nos habla de los grandes retos de la ciberseguridad.

Guardar

Damián Ruiz.
Damián Ruiz.

Damián Ruiz, además de presidente del Clúster Cybermadrid, cuya primera edición tuvo lugar el pasado 18 de octubre, es, en la actualidad  CISO (Chief Information Security Officer) de Singular Bank, el responsable del Gobierno de la Ciberseguridad corporativa y la gestión de su framework de Protección, Detección y Respuesta.

Posee más de 20 años de experiencia en Ciberseguridad: consultoría final a clientes, adjunto a una Dirección de Ciberseguridad, auditor tanto técnico como de procesos de esquemas de Detección (SIEM), gestión de Incidencias y Respuesta (SOCs), arquitecturas de seguridad, gestión de vulnerabilidades, securización de sistemas y elementos del gobierno de la Ciberseguridad. Y ha hablado para nosotro.

¿Qué lugar ocupa Madrid en el ámbito de la ciberseguridad a nivel mundial?

Si sumamos el lugar de España a nivel mundial, que apunta a que estamos entre los primeros países del mundo y que en Madrid se concentra la mayoría de las empresas, profesionales de ciberseguridad, oferta académica… Creo que ya tenemos la respuesta: Madrid es una de las capitales de la Ciberseguridad más importantes del mundo. Sin ánimo de quitar protagonismo a las políticas de descentralización, diversificación, potenciación de regiones, en un horizonte muy cercano nos gustaría presentar a Madrid como capital europea de la Ciberseguridad, tenemos músculo empresarial, talento, infraestructuras e imagen como ciudad. Insisto, haciéndolo totalmente compatible con todo movimiento centrífugo al cual nos sumamos con colaboraciones y apoyos.

¿Cómo surgió la idea de crear el Clúster CyberMadrid?

Si enlazamos la anterior afirmación de Madrid como referente a nivel Ciberseguridad con la promoción del asociacionismo como modelo colaborativo e impulsor del Sector y mejora nacional y social de la Ciberseguridad, lo primero que se nos ocurre es CyberMadrid: un ecosistema colaborativo abierto para empresas, instituciones, universidades y asociaciones que trabajan en el sector de la Ciberseguridad.

¿Cuál es el principal problema al que se enfrentan las pymes madrileñas y españolas?

Las pymes son un sector muy desfavorecido a nivel de ciberseguridad. Son múltiples los informes que constatan este hecho. Por una parte, se ven bajo la presión de la crisis económica y por otra parte se deben a su core de negocio. Muchas son conscientes de sus deficiencias y estoy convencido que les gustaría protegerse. Y a lo anterior si sumamos la presión de la digitalización, en un entorno de amenazas creciente, creo que nos encontramos con panorama crítico. A nadie le gusta reconocer que es un analfabeto digital.

¿Deberían los organismos públicos y los bancos, en una sociedad tan bancarizada como la nuestra, ayudar y enseñar a la gente a manejarse en Internet?

Todos y cada uno de los profesionales que directa o indirectamente nos dedicamos a la ciberseguridad debemos tener como parte de nuestras tareas evangelizar y concienciar. Hay que tomarlo desde dos puntos de vista: en primer lugar,  el espíritu de servicio a la sociedad a título personal y, en segundo lugar, cierta forma de Responsabilidad Social Corporativa a nivel de entidad.

La administración tiene obligación de ayudar a la gente si no dispone de medios digitales, está entre las leyes del Estado, por culpa de la pandemia no lo ha hecho. ¿Qué opina?

La administración tiene que llegar donde la iniciativa privada no llega y ayudar a los sectores más desfavorecidos, todo ello en un marco de justicia, proporcionalidad, transparencia y priorizaciones. En un ejercicio de riesgos global la ciberseguridad es un asunto de Seguridad Nacional: hace falta ponerlo en perspectiva y materializar acciones con las anteriores variable.

La sobredigitalización tiene problemas, especialmente en tiempos de crisis energética y ante la posibilidad de ciberataques ¿Cómo ve el futuro?

Personalmente no mezclaría planos (permíteme la licencia). La tan aclamada digitalización básica por un lado parte con deficiencias en materia de ciberseguridad y, por otro, no termino de ver planes intensivos y extensivos de ciberseguridad.

¿Se imaginó alguna vez un escenario en el que las gasolineras iraníes pudieran ser ciberatacadas?

No lo dudaba. De mi experiencia de Red Team Manager durante años si algo te queda claro es que todo es objetivo: personas, procesos y tecnologías. Y en este último punto todo aquello que esté expuesto en una superficie de ataque: no sólo equipos de usuarios, servicios o servidores… Controladoras de equipamiento industrial, sistemas inteligentes de edificios -energía, clima-, seguridad física -alarmas, cámaras-. Todo puede ser objetivo de un ataque. Es cuestión de tiempo y recursos.

¿Por qué existe tanto rechazo al reconocimiento facial?

Creo que es una mezcla de miedo o temores -respetables- a aspectos de protección de la intimidad y ciertas dudas sobre su infalibilidad como esquema de identificación y autenticación.

¿Es deseable que queden obsoletas las contraseñas como forma de acceso?

Mientras no se consoliden otras soluciones lo deseable -y ya se está en ello- es que se refuerce este clásico con más factores de autenticación para los usuarios, dispositivos y se gane en la inteligencia de detección de anomalías (esquema con ML, User and Entity Behavior Analytics, …). Creo que hay recorrido todavía según las líneas anteriores y sobre todo ganar en UX y soluciones frictionless.

La gente ya empieza a saber, en general, lo que es la ciberseguridad, pero se está instalando un cierto miedo hacia la tecnología. ¿Somos demasiado intensos los periodistas y los expertos a la hora de comunicar los riesgos?

Creo que el periodismo hace cada vez mejor su papel. En los comienzos se observaba cierta falta de profesionalidad -con perdón- en la narración de los hechos, sobre todo en temas técnicos. Últimamente ha mejorado mucho la comunicación y se intuye especialización y asesoramiento por terceros a la hora de comunicar temas en ciberseguridad.

La sensación es que ha aumentado el peligro a ser robado con respecto a otras generaciones, ¿realmente es así?

Más que una sensación es una realidad. Los ataques siguen en aumento y sofisticación, el negocio del cibercrimen se industrializa, se profesionaliza y adopta estructuras organizativas empresariales.

¿Cuáles son las principales amenazas para las pymes, usuarios domésticos y grandes empresas?

Tenemos varios focos: el ransomware, el fraude de clientes de servicios y la fuga de información. Y detrás de toda amenaza tenemos las vulnerabilidades que son explotadas: protección de la identidad, ausencia de protecciones en equipamientos, esquema deficiente de actualizaciones u control de la obsolescencia, ausencia de revisiones intensivas y extensivas… mejoras en detección y respuesta.

"En cuanto a pagar o no los rescates no me gusta usar la palabra "Nunca", hay mucha casuística por tipo de empresa, tamaño, sector, operativa, criticidad, capacidad de recuperación"

¿Cuáles son los ataques más costosos para los ciberdelincuentes?

Las Amenaza Persistentes Avanzadas (ATP, Advanced Persistent Threat).  En función del objetivo necesitará más planificación, arsenal propio y a medida de la víctima, tiempo para evadir protecciones, ganar persistencias en la entidad víctima y hacer movimientos laterales no detectados… obtener la inteligencia interna hasta obtener el objetivo… Podemos hablar de semanas o meses de operaciones hostiles.

¿Nunca se deben pagar los rescates?

Personalmente no me gusta usar la palabra nunca. Hay muchas casuísticas por tipo de empresa, tamaño, sector, operativa, criticidad, capacidad de recuperación… Lo que hay que tener articulado un adecuado Incident Response Plan con su Comité de Crisis con Directivos, equipo Legal, terceros colaboradores (reguladores, CCN-CERT, INCIBE, FFCCSE, Ciberseguro, etc…) y dentro de ese marco tomarse las decisiones bajo un modelo de riesgos que pondere todas las opciones. No es un tema baladí.

Un reciente estudio indicaba que precisamente la gente más joven y mejor formada era la que más ignoraba las medidas de seguridad en comparación con los baby boomers. ¿Prisas, menor sentido del riesgo, peores sueldos?

Supongo que es un tema social. Creo que tenemos pendiente estudios sociológicos de las nuevas categorías (millenials, generación Z…), su cultura, gustos, hábitos, perspectivas… Al parecer en muchos ámbitos cotidianos no se tiene percepción real de los riesgos o existe una asunción implícita de los riesgos… o simplemente otro esquema de prioriades.

¿Qué recomendaciones haría a una pyme que empieza y quiere hacerse visible en Internet?

Un mini Plan de Seguridad a partir de diagnóstico básico que cubra un decálogo básico:

  1. Protección del Endpoint y servidores core.
  2. Protección del correo y entornos colaborativos.
  3. Protección de las identidades
  4. Arquitecturas básicas de protección proxy, cortafuegos y WAF donde proceda
  5. Protección de los accesos remotos.
  6. Revisión profunda de su exposición en Internet -pentesting
  7. Seguridad de sus elementos en la nube,
  8. Capacidad de restauración y recuperación de sistemas y operaciones
  9. Una vez que tengamos el anterior esquema cubierto contratar un Ciberseguro.