Más allá de la PC: los celulares y robots aspiradoras, nuevos vectores de los ciberataques
Admite haber recibido llamadas de quienes nunca pensó que le contactarían. "Tenemos por norma no hablar de conversaciones privadas…", zanja educadamente Gil Shwed (Jerusalén, 1968) tras una pausa dramática. Es normal que acudan a él: este informático israelí fundó y dirige Check Point, una referencia mundial en ciberseguridad.
El complejo sistema de protección que inventó y patentó en 1994 le ha valido el mote de padre del firewall moderno. Según dicen, en la dark web se usa el sello "vulnerabilidad no detectada por Check Point" como garantía de las ciberarmas que allí se compran y venden. ¿Una exageración? "En los últimos cuatro años se han encontrado unas 150 vulnerabilidades en productos de la competencia. En los nuestros, cero", responde.
Seleccionado en su día por el Foro Económico Mundial como uno de los 100 líderes más importantes del mundo, se estima que su fortuna supera los 2.500 millones de euros. Él sigue empeñado en hacer que este mundo sea más seguro. Y eso pasa, dice, por repensar la ciberseguridad.
Usted sostiene que Wannacry y NotPetya pertenecen a la quinta generación de ciberseguridad. ¿A qué se refiere?
Los riesgos crecen porque todo está conectado y los atacantes desarrollan nuevas técnicas. Los ataques de quinta generación usan tecnologías profesionales que, por cierto, suelen estar al alcance de casi cualquiera y son capaces de derribar infraestructuras críticas. El desafío para defendernos de esta ola es enorme.
¿Debemos tener miedo de las aspiradoras Roomba?
Sí, de todo lo que esté conectado. Desde Check Point estamos promoviendo un nuevo enfoque del problema. Necesitamos una arquitectura de defensa que tenga en cuenta todos los vectores de amenaza de los aparatos conectados. Hay por lo menos 16 formas distintas de atacar cualquier dispositivo, que además se apoyan en una veintena de tecnologías. Si lo combinamos todo tenemos casi 400 métricas de las que preocuparnos. Eso no es práctico. Debemos crear sistemas que integren todas esas tecnologías y tengan la habilidad de atajar todos esos vectores de ataque. Esa arquitectura debe ser lo suficientemente flexible como para absorber nuevas metodologías según se desarrollen.
¿Qué tipo de metodologías?
Por ejemplo, tenemos una nube que incluye todos los IOC (indications of compromise) en tiempo real. Reunimos centenares de miles de IOC cada día. Si mi ordenador detecta una web de phishing, se actualiza inmediatamente en nuestra nube y se bloquea esa web en medio segundo.
¿De dónde sacan a los profesionales necesarios para un trabajo tan especializado?
Hay gente muy inteligente en Israel. La mayoría de nuestros empleados son profesionales a los que hemos formado nosotros mismos. Tenemos nuestro propio programa de formación. Nos valen quienes tienen 20 años de experiencia o quienes ni siquiera empezaron la universidad, lo importante son sus cualidades.
¿Son los celulares un gran problema para nuestra seguridad?
Creo que el smartphone es el problema número uno en ciberseguridad. Contiene información muy sensible, está siempre encendido y nos escucha a todas horas. Muy poca gente tiene software antimalware en el teléfono, puede que uno de cada mil usuarios. Hemos visto robos de fotos y datos personales, también redes que han infectado millones de móviles, lo cual es devastador, pero el mundo ha sobrevivido. ¿Qué pasaría si en vez de sacar provecho económico de esos datos el atacante quisiera colapsar la infraestructura? Podría suceder.
¿Existe un prototipo de cibercriminal?
No. En el mundo físico, quienes tienen las armas más sofisticadas suelen ser los gobiernos, a los que al menos puedes situar. En el mundo cibernético eso no es así. La NSA, la organización de inteligencia más sofisticada del mundo, dedicó muchos recursos a desarrollar una serie de ciberarmas que, hace dos años, fueron filtradas en su totalidad. Hoy cualquiera puede tener acceso a ellas: un adolescente aburrido, organizaciones criminales que quieran ganar dinero, terroristas, otros gobiernos… Si quieres preparar un ataque no necesitas a informáticos expertos, basta con entrar en la dark web y teclear en un buscador "herramientas de ataque".
¿Es cierto que algunas de esas organizaciones criminales funcionan como empresas?
Sí. Y muchas de ellas se sirven de las criptomonedas para recaudar y mover dinero. Antes tenían problemas para conseguir fondos, ahora les resulta más sencillo monetizar el crimen. Esas organizaciones, además, son en algunos casos virtuales: sus integrantes no se conocen porque trabajan desde varios puntos del mundo, y eso hace más difícil todavía localizarles.
¿Hasta qué punto pueden los cibercriminales vivir seguros de que no serán atrapados?
Es muy difícil atraparlos. En el mundo físico siempre te podrán reconocer por restos biológicos o huellas dactilares; en el cibernético, puedes trabajar desde Bulgaria y conectarte a un servidor de África que esté conectado a otro de Europa que esté conectado a uno de EEUU y cometer el crimen en Asia. Es prácticamente imposible rastrear un caso así, a no ser que el atacante cometa varios errores.
¿Están las instituciones realmente poniéndolo todo de su parte en esta lucha?
Creo que el poder de los estados es muy limitado, no es fácil hacer respetar la ley con el actual sistema legal. Resulta además que los recursos necesarios para protegerse de los cibercriminales son muy superiores a los que requieren estos para delinquir.
¿Cuánto ayudan los hackers éticos a proteger el sistema?
El investigador de seguridad que encuentre una vulnerabilidad de algún sistema tiene tres opciones: desarrollar un malware con ella y luego usarla o vendérsela a los malos; publicarla para alertar a la comunidad, siguiendo unos protocolos determinados; o venderla a una compañía legal de algún país, de manera que luego esa herramienta sea utilizada por el Estado que la compre, suponiendo que no se filtre. Existe todo un mercado gris —no es negro porque es legal— en torno a esta opción.
¿Qué parte de responsabilidad tienen los productores de que se vulnere la seguridad de sus productos?
Las grandes compañías dedican muchísimos recursos a seguridad. ¿Son seguras? Más bien lo contrario: solo en 2018 se reportaron 736 vulnerabilidades en iOS y Android. No se trata tanto del dinero invertido, sino del método que se use. Cuanta más complejidad vayan ganando los sistemas, más difícil será protegerlos. Pero yo soy optimista. Creo que es factible defender nuestro mundo.
Ha trabajado en este negocio durante años. ¿Cuál ha sido el ataque más brutal que ha visto?
No sabría decirle uno solo. Los conocidos Wannacry y NotPetya demostraron el poder que pueden tener. Pero lo que más asusta es que vemos herramientas con ese potencial a diario, aunque por suerte no suelen entrar en acción. En los últimos años hemos visto ataques reales que han afectado a plantas nucleares en Irán, pozos petroleros de Arabia Saudí, infraestructuras del agua en Nueva York, fábricas en Alemania… No hablamos de posibilidades teóricas: se puede hacer eso y mucho más.
El panorama que dibuja no es muy halagüeño...
Espero no haberle asustado demasiado. Pero no me malinterprete, mi mensaje es positivo: pese a todo, podemos protegernos.
Manuel G. Pascual