El congreso Cibertodos 2019, organizado por ISACAMadrid comenzó constatando una realidad; las cuestiones relativas a la seguridad en general, y la ciberseguridad concretamente, ya trascienden el ámbito de los especialistas y es una cuestión de Estado e, incluso, de soberanía, que se pueden ver atacados a través de la red o de la hegemonía de las grandes empresas tecnológicas.
Con esta reflexión Miguel Ángel Rodriguez, Fundador de ProtAAPP, comunidad de Ciberseguridad en el sector público, explicó que su asociación persigue que las administraciones públicas tengan a los mejores profesionales en el ámbito de la ciberseguridad, que “le preocupa bien poco a la sociedad, pero sí la privacidad, la seguridad ciudadana y la soberanía que los Estados pierden frente a estas grandes empresas”.
Según este experto, la transformación digital es un cambio social que afecta a todos los niveles, que varía la manera de relacionarnos, “un ecosistema que cambia constantemente y consigue que cambie todo los demás”. Por ello, insistió en la necesidad de que las empresas cuenten con profesionales debidamente certificados, porque es la garantía necesaria para poder ofrecer servicios ciber; “además de ser expertos, hay que parecerlo” aseguró.
Para Rodríguez, vivimos una auténtica revolución generacional y educativa, con la gran influencia de los GAFAM (Google, Amazon, Facebook, Apple, Microsoft) todo esto no está llegando de la manera más adecuada. “Tan solo con el tema de las fake ya las administraciones tienen que están alertas, y hay grandes empresas que consumen este tipo de servicios, pero en cambio las pymes se quedan fuera”.
Desde PrtoAAP,creen que en materia de formación y concienciación debería hacerse más, porque falta talento, nos estamos quedando atrás, las administraciones van poco a poco y aunque se han diseñado ciertas políticas, no se ha dedicado suficiente presupuesto. “Queda mucho por hacer. La industria está cambiando y genera grandes servicios paquetizados que la mayor parte de las empresas aún no pueden o no están preparados para consumir. Quizá 5G genere nuevos servicios de seguridad más básicos y adecuados a pymes y las empresas que no son grandes corporaciones”, explicó Rodríguez.
5G y el futuro
Definiéndose como “aquel que en mi compañía se dedica al futuro, y a pensar en los servicios que se pueden ofrecer”, Enrique Domínguez, Director Estratégico de Entelgy Innotec Security explicó qué es el 5G y qué retos plantea. Para él, las actuales tecnologías en materia de comunicación están al límite por la magnitud de cifras como la capacidad y volumen de información de 6.000 millones de líneas móviles existentes en el mundo, las 3,8 mill de búsquedas los 41, 5 millones de mensajes enviados que se producen en un minuto, entre otras cifras que impresionan, y cuyas necesidades en cuanto a capacidad se duplican en pocos meses.
Según Domínguez, “5G es una tecnología de red nueva, que nos va a enfrentar a retos nuevos, va a suponer un rediseño total de las comunicaciones, diferente a todo lo visto en generaciones anteriores y que nos va a ofrecer novedades en relación al ancho de banda y al flujo de datos”. Aunque es un estándar todavía en desarrollo, pese a que ya se ofrece, esta tecnología tendrá implicaciones prácticas desde el punto de vista de la ciberseguridad.
“Vamos a tener un ancho de banda diez veces mayor que nos permitirá crear redes y servicios personalizadas para distintos tipos de usuarios, (por la baja latencia para real time)”. Entre las cifras que el 5G nos permitirá en el futuro, Enrique Dominguez vaticina que se desarrollarán las comunicaciones ultra densas, el Internet de las cosas multiplicará por 1000 sus elementos, de 6000 millones de objetos conectados pasarán a 6 billones, Low power (1% consumo energético), ganaremos instantaneidad y con la baja latencia, más “mobile edge computing”, mayor cercanía y tiempos de respuesta que permitirán inventos que no se nos habían ocurrido todavía”.
Así, este experto en estudiar el futuro cree que hay que prepararse para saber reaccionar ante cualquier escenario porque “el despliegue de servicios será 1000 veces más rápido (de 90 días a 90 minutos), lo que requerirá mayor rapidez en imponer protocolos de seguridad y, en definitiva, “nos tendremos que reinventar; desde las empresas y los profesionales de la ciberseguridad, hasta cómo nos divertimos, nos relacionamos con otras personas o trabajamos”.
La seguridad en redes 5G
La tecnología 5G presenta riesgos similares a las redes anteriores pero con ella entrarán clientes nuevos con riesgos nuevos. Sobre la seguridad en las nuevas redes que se implantarán debatieron Adolfo Ranero, CEO de Deep Mirror Automotive Cybersecurity, David Ferrer i Canosa, Secretari de Polítiques Digitals de la Generalitat de Catalunya, Pedro Cabrera, Fundador de Ethon Shield y Vicente Moret, Of Counsel Andersen Tax & Legal, Letrado de las Cortes Generales, Ie Law School Associate Professor,
Este último comenzó aportando datos de las impresionantes repercusiones económicas del despliegue de las redes 5G; 62.500 millones de € de en la UE en el año 2015 y 14.600 millones de euros por año en España. Sin embargo recordó que las dos empresas europeas que están en este tema son las número 36 y 37 del mundo, por lo que “Europa se puede quedar atrás, como un continente que no inventa y no innova”.
La mesa habló de los riesgos que plantearán las redes 5G, cómo que tendrá clientes nuevos con exigencias nuevas, máquinas que estarán conectadas a máquinas y que como red de redes ofrecerá más oportunidades para ser atacada, por lo que será necesario autenticar de manera segura y robusta todos los dispositivos conectados.
Adolfo Ranero insistió en que no somos conscientes del cambio “gigantesco y disruptivo que se avecina con la digitalización total, no solo con 5G, sino con coches autónomos, la IA, las máquinas que toman decisiones entre ellas, sin contar con humanos… que va cambiar las sociedades drásticamente y las va a volver quebradizas por muy fuertes que sean. Al estar todo tan conectado y tan rápidamente, un fallo puede acabar con toda la organización, o la red, en poco tiempo” y alertó del peligro que la llegada de los ordenadores cuánticos, capaces de reventar todos los sistemas de cifrado certificados ya en 2030.
Todos los participantes estuvieron de acuerdo en lamentar que la tecnología vaya siempre por delante de la regulación y que no haya “ningún caso de legislación que se adelante, así que lo que hay que pedirle es que no frene a la tecnología”, en opinión de David Ferrer, quien valoró positivamente la legislación europea en cuanto a privacidad, por estar envidiada a nivel internacional. En el caso de las redes 5G, “deberíamos tender a que la legislación también se homogeneizara a nivel europeo” dijo.
Vicente Moret aportó una visión positiva al afirmar que en las altas instancias ha cambiado el paradigma en los últimos 2 o 3 años, en los que la ciberseguridad se ha convertido en una cuestión de Estado importante desde el punto de vista de Seguridad Nacional. “Y se han puesto a regular”. Para este experto legalista, “se ha producido un cambio de mentalidad, al entender la tecnología por parte de los legisladores; ven que esto ya no es cosa de tecnólogos y de científicos. Han entendido que se debe dar servicio en esta materia desde el Estado de Derecho, porque éste necesita de certezas. En un mundo interconectado con el 5G, la ciberseguridad va a ser el oxígeno”.
Para los componentes de la mesa, desde el punto de vista de la geopolítica en Europa tenemos que protegernos. En España se nos da mal hacer inversión y desarrollo y la UE llega tarde para competir con China y USA. “No nos falta talento, -explicó Pedro Cabrera- pero se nos va y hay que atraerlo, no solo con dinero, también con calidad de vida, y siendo más ágiles con nuestra política proteccionista, para que se cuente con la tecnología europea”. Precisamente la UE acaba de habilitar 20.000 millones de € en cinco años para invertir en ciberseguridad. Está empezando a tener más importancia y poder el conocimiento que el dinero, según sentenció Ranero.
El esfuerzo normativo de la Administración
Tras la presentación de CrictoCert, una certificación en materia de criptografía desarrollada por el experto en la materia Jorge Ramio, el responsable de Ciberseguridad de Eulen Seguridad, Alberto José Rodríguez, inició su intervención sobre “Ciberataques a la Administración Pública” con una frase clave para él; “la confiabilidad es el más grande portal que conduce a las tranquilidad y seguridad de los pueblos”. La seguridad 100% no existe, pero para este experto dar al ciudadano la sensación de que está seguro es muy importante. Las RRSS generan actualmente nuevas amenazas y riesgos que deben gestionarse a nivel privado y público.
Defacement, incidentes y ciberataques críticos pueden cambiar la vida de las personas, al anular el funcionamiento de cualquier servicio esencial, tal y como demostró con algunos ejemplos. Por ello valoró positivamente que “las administraciones públicas estén realizando un gran esfuerzo para gobernar y gestionar esta difícil tarea. Hoy por hoy la gestión pública se realiza por vía telemática, lo que supone un gran esfuerzo para segurizarlo”. Desde 2013 se está creando la Esquema Nacional de Seguridad (ENS), porque Internet carece de un gobierno y se trata de dotarle de unos marcos normativos para garantizar la seguridad de sus usuarios.
Rodríguez recordó que el ENS se aplicará a más de10.000 administraciones, pero afectará también a empresas privadas que opten a licitaciones públicas. Tras recorrer los diferentes marcos normativos que muestran ese gran esfuerzo realizado por el sector público, lamentó que, pese a ello, “sigue existiendo una brecha importante entre el marco normativo y su aplicación”.
Liga joven organizada por la Guardia Civil
El Capitán de la Guardia Civil, Jefatura de Información, Unidad en las Tecnologías de Información y Comunicaciones (UTIC) Manuel Fernández presentó la “I National Cyber League”, una liga nacional Interuniversitaria de retos de Ciberseguridad orientada a la participación de la gente joven que sale de la universidad y la FP.
La idea de la liga es detectar el talento, ponerlo en valor y conseguir que se dediquen a esto en los próximos años las 300.000 personas que serán necesarias en la profesión, poniendo en contacto a empresas y jóvenes. Al evento se han apuntado 15 universidades de toda España, con menor participación de la FP, y en él se pretende informar, divertir y acercar a los jóvenes a este mundo que puede suponer un gran futuro profesional. “No damos dinero –explicó Fernandez- pero hemos creado el Tricoin, una “criptomoneda” canjeable por regalos, entre ellos un viaje a China y por contratos en prácticas por valor de 30.000 €. La fase final se realizará en el centro de la Guardia Civil, constará de conferencias, clases, ejercicios ofensivos y defensivos y contará como padrino con el tenista Rafa Nadal.
Ciberataques a las instituciones
El camino seguido por las instituciones españolas y su adaptación a las diferentes normativas se puso en valor en el debate sobre "Ciberataques a la Administración Pública y activos estratégicos", en el que participaron José Miguel González Aguilera, Consejero Técnico de Informática del Ayuntamiento de Madrid, Ricardo Nieto Salinero, Jefe de Sección de Operaciones de Ciberseguridad y OCC del CNPIC, el Capitán de la Guardia Civil Manuel Fernández, y Ramón Sáez, Responsable de la Gestión de Incidentes y los Sistemas de Alerta del CCN-CERT.
Ramón Nieto comenzó explicando las capacidades del CCN-CERT en la coordinación de la gestión de incidentes en la Administración, que cuantificó desde 2009 en 130.705, con una media de 3 ciberincidentes diarios de un nivel de impacto muy alto.
Por su parte, Ricardo Nieto recordó que el CNPIC ha sido el iniciador de la labor de securización de los operadores críticos y que cuando se conoció la directiva NIS, “no nos costó demasiado aplicarla en las insitituciones, porque ya existía la estructura para ello, al igual que ocurre para la seguridad privada con INCIBE”. Nieto habló del trabajo realizado con motivo de la transposición de la directiva NIS, cómo se ha desarrollado la planificación, localizado cuáles eran los operadores críticos afectados, elaborado el plan y coordinado con el trabajo operativo de las FFCC de SE para proteger las insfraestructuras críticas. “Nosotros consideramos la ciberseguridad tanto como la seguridad física”, aseguró.
Como ejemplo, habló del dispositivo preventivo que se pondrá en marcha en las próximas elecciones generales, en el que están implicadas todas las administraciones que tienen que ver con los comicios. El objetico del operativo es la búsqueda de información de todas las amenazas que puedan poner en riesgo la voluntad del votante, prever cualquier ataque que pueda poner en riesgo los dispositivos y la infraestructura tecnológica, identificar posibles campañas de desinformación y cualquier tipo de injerencia o amenaza, que sería notificada al Departamento de Seguridad nacional (DNS)
Por su parte, el responsable de la Guardia Civil, Manuel Fernandez, explicó cómo se encargan en su departamento de delitos como el hacktivismo, el ciberdelito y el ciberterrorismo, pero alertó de que “estamos totalmente desprotegidos ante los delincuentes hackers y actualmente se pierde el 5% del PIB mundial con ciberataques”. Su recomendación es clara para empresas y administraciones; “denunciar, recopilar pruebas, ponerse en contacto con los organismos…y concienciar al personal, hacer análisis de riesgos, invertir en ciberseguridad, mantener actualizados los sistemas y al personal, poner contraseñas fuertes y tener una adecuada política de copias de seguridad”.
El factor humano y la escasez de formación
En la cultura de la ciberseguridad el eslabón más débil es factor humano. Con su exposición sobre la “Auditoría experta del proceso de formación y concienciación en Ciberseguridad” Guillermo Rodríguez Suárez, Senior Manager Risk Advisory - Cyber de Deloitte, evidenció que el 90% de los ciberataques se deben a fallos humanos, “porque siempre es el eslabón más débil de todas las estructuras de seguridad; las personas”.
Guillermo Rodríguez aseguró que uno de los grandes problemas es la concienciación de los empleados de cualquier organización, “porque explicando que la seguridad es de todos no se consigue la necesaria motivación”. Según él se puede conseguir mediante el marketing, es decir, creando un mapa de empatía que mida los miedos de los empleados y así conocer las motivaciones que llevan a cambiar de conducta. “Hay que apelar a la solidaridad, la recompensa o la vergüenza”. En Delloitte aplican un modelo de medición con 16 áreas en materia de concienciación, nivel de cultura, la implicación de la alta dirección… para así obtener evidencias de si están llegando a todos los trabajadores.
Tras la presentación por parte de Francisco Luis de Andrés Pérez y Mildrey Carbonell Castro de Intelligence Led Cyber Attack Taxonomy (C@T), una herramienta de ataques para descubrir vulnerabilidades, tipos de ataques que pueden hacerse, amenazas y prevención de las mismas y metodología de trabajo, se trató el tema estrella de la jornada, el "Déficit de recursos en Ciberseguridad", con la participación de Jose Antonio Portilla Figueras, Director de la Escuela Politécnica Superior de la Universidad de Alcalá y Co-director de la Cátedra ISDEFE de Ciberseguridad, TIC y Avance Digital, Domingo A. Rodríguez Agulleiro, Subdirector General de Ordenación e Innovación de la Formación Profesional, Ministerio de Educación y Formación Profesional, Carolina Calvillo, IT & Digital (Systems-DevOps- Cybersecurity) Manager en Robert Walters, Jesús Sánchez, socio fundador y CEO de Áudea, Eva Aguado, Fundación Bankia por la Formación Dual, y moderada por un incisivo David Meléndez, Ingeniero I+D en Sistemas Embebidos, investigación con drones y ciberseguridad.
Los participantes describieron el músculo formativo de nuestro país, para lo que José Antonio Portilla contabilizó 50 facultades técnicas pero un con un grado “de ingeniería informática que tienen un componente en ciberseguridad, y 60 másteres específicos. Estamos un poquito obsoletos. Hay aspectos en los que precisamos actualizaciones. Las titulaciones actuales están determinadas por el Consejo Universidades y datan de 2009” aunque reconoció que la necesidad formativa ha crecido con la explosión de mundo ciber en los últimos 4 y 5 años.
La experta en formación de Bankia, Eva Aguado, reafirmó una idea que comparte toda la profesión; “la relación entre centros educativos y empresas tiene que ser más estrecha y cercana”. Desde su departamento ofertan una formación en Técnico Superior en Administración de Sistemas Informáticos y Redes, un proyecto piloto orientado a facilitar el acceso al mundo de la ciberseguridad “formándose en ciber, hacking, protección y defensa, durante 126 horas y tres meses de prácticas”. Su intención es dar respuesta a la actual demanda de expertos y proporcionar a las empresas profesionales altamente cualificados en ciberseguridad. y conseguir un certificado de calidad.
Con estas iniciativas formativas, las empresas van a un ritmo que los curriculums no pueden soportar, razón por la que Domingo A. Rodríguez explicó que desde su departamento ministerial responsable de Formación Profesional “constatamos la falta de formación en todo lo relativo a la inteligencia digital y por supuesto la ciberseguridad, por lo que tenemos avanzados ya cuatro cursos de especialización, que serían equivalentes a los masters de la universidad, tras un ciclo formativo”.
Como experta en reclutamiento, Carolina Calvillo relató la dificultad de encontrar profesionales que escasean. “Las empresas están locas porque no encuentran estos profesionales, y lo que tienen que hacer es trabajar también en mantenerlos”. Apeló a una mayor concienciación de las empresas y a los incidentes ocurridos el interés sobre esta profesión pero es un mercado escaso de profesionales y que cuenta con cierta burbuja salarial. “Ahora –explicó- el candidato no se interesa por tu oferta; prefiere las que incluyen visión de carrera, de certificaciones y de conciliación familiar”.
Jesús Sánchez, como CEO, confirmó por su parte que “si nos hace falta personal. Hay una brecha deformación, pero también en gestión del talento y en el desconocimiento de las directivas. La tecnología avanza muy rápidamente, la legislación no es capaz de seguirla y tampoco la formación. Las empresas piden ingenieros muy especializados, no técnicos de FP”.
Como moderador David Meléndez dinamizó el debate en el que participaron numerosos asistentes, culpando directamente a las empresas, que pese a su necesidad de profesionales “quieren Mac Giver a precio de Mc Donals” en un mercado en el que los profesionales quieren que se les ofrezca algo más que dinero, y en el que es un riesgo cubrir un puesto de perfil senior con un perfil junior.