La seguridad ya no es un coste más, según Cisco
Desde Cisco se advierte: “Esta vez hemos podido ver al ‘bicho’, pero quizá la próxima no se deje ver”
Al ciberataque masivo del viernes 12, se le puede aplicar la socorrida frase “un antes y un después”. Durante años, se dio por sabida la existencia de intrusos cibernéticos que, tras cifrar y bloquear los datos contenidos en un ordenador, pedían dinero como rescate para desbloquearlos. Lo nuevo, a partir de la pesadilla de WannaCry, es que se ha tratado de un ciberataque global y coordinado, poco sofisticado técnicamente pero muy eficaz en sus resultados.
A Eutimio Fernández, director de ciberseguridad en la filial española de Cisco, la noticia no le pillaba por sorpresa: su experiencia le dicta que “nadie debería creer que está libre de ser atacado ni debería dudar de que en un alto porcentaje de los casos, los atacantes tienen éxito, esta es la primera regla”. Cisco –por cuyos equipos de red pasa una gran parte del tráfico de internet y publica exhaustivos estudios al respecto– postula que la visibilidad de lo que pasa en las redes es insuficiente, y no se asegura el vínculo entre las fases de prevención, inspección y detección que condicionan la capacidad de respuesta.
“Ahora mismo, si voy a una compañía cualquiera, no sé si una o ninguna sabría decirme por dónde le han entrado; debería ser la condición para defenderse del próximo ataque”. De partida, algo que no se conoce del caso WannaCry es el “paciente cero”, como llaman los especialistas a la primera víctima de un ataque, que inicia la propagación.
“Esta es una carrera interminable, en la que ‘los malos’ siempre van por delante. Primero, se intentó combatirlos mediante el análisis de ‘firmas’, pero la fórmula duró lo que tardaron los hackers en coger el truco [...]. Se han desarrollado sucesivas tecnologías de detección, desde el firewall (cortafuegos), supuesta bala de plata para matar al hombre lobo, y ahora se ponen esperanzas en la inteligencia artificial”.
Avisa Fernández de que se trata de una lucha desigual entre fuerzas dispares. Está calculado que las empresas más conscientes del problema dedican hasta un 5% o un 8% de su presupuesto de T.I. a la ciberseguridad, necesariamente con limitaciones; en el otro bando, los ciberdelincuentes pueden multiplicar su propia infraestructura porque tienen entre manos un negocio muy lucrativo, porque no pagan nóminas ni impuestos [...] y , además, comparten información entre ellos, algo que no suele hacerse en el lado de ‘los buenos’. Por no hablar de los (presuntos) patrocinios y complicidades estatales, que de todo hay.
En la conversación con Dinero, Fernández no tuvo reparo en reconocer “nos han dado una buena lección, no somos invulnerables y hemos de estar preparados para ver venir la siguiente ola”. Esta es la lección de WannaCry, según él: las empresas han descuidado temerariamente el parcheo de las vulnerabilidades identificadas. Sorprende que en este caso el portador fuera una vulnerabilidad conocida de Windows XP, sistema operativo que data del 2001 y que desde 2014 no recibe soporte de Microsoft. A sus dieciséis años, todavía representa un 8% del parque total de todos los sabores de Windows.
¿Qué hacer? “No hay recetas, pero lo más urgente es preparar medidas de control de los accesos a la red; además, es esencial saber qué se protege [...]. Dentro de la gravedad, esta vez hemos podido ver el bicho, a éste ya lo conocemos, pero quizá la próxima no se deje ver, seguro que cambiará de disfraz”.
La pregunta del cronista tenía una intención. Hansido afectadas miles de empresas en todo el mundo, pero se han puesto de relieve las flaquezas del sector de la ciberseguridad. “Algo muy importante –apunta Fernández– será consolidar las soluciones: conozco empresas que tienen instalados entre 40 y 50 productos de seguridad diferentes; según se ha agravado la complejidad de los ataques, han ido añadiendo productos de protección [...]” .
Cisco propone automatizar los elementos de defensa. “Si tenemos que parar, desactivar y después limpiar, será peligrosamente lento hacerlo manualmente; si automatizamos, tendremos más posibilidades de aislar el vector de ataque [...], hasta que no pasan cosas como ésta, no nos damos cuenta de las carencias de las víctimas para reaccionar”.
Una vez pasado el susto, “sería bueno que los altos niveles corporativos tuvieran claro que cada proyecto que se les presente ha de contener una solución de seguridad embebida”. Hasta hace bien poco, la seguridad se consideraba un coste que añadir a los propios del proyecto, y no pocas veces acababa sacrificada. “Al menos, esto ha cambiado –concluye Fernández– se acepta con naturalidad que la seguridad no es un coste más sino un habilitador”.