Hoy día, la ciberseguridad y la seguridad de la información ya no sólo incumbe a las grandes empresas. Durante la pasada XX Jornada Internacional de la Seguridad organizada por ISMS Forum en el Círculo de Bellas artes de Madrid, tuvimos la oportunidad de hablar con Francisco Lázaro, Director del Centro de movilidad e IoT de ISMS Forum y CISO de Renfe.
CyberSecurity News (CSN): Hablando de Internet Of Things, cómo sabe, actualmente nos encontramos en una sociedad hiperconectada. ¿Cuáles cree que serán los retos que deberemos afrontar desde el punto de vista de la ciberseguridad en el futuro próximo?
Francisco Lázaro (FL): Los retos vienen dados no sólo por las amenazas sino también por los actores que están haciendo esas amenazas, es decir, los atacantes. Ahora aparecen países con intereses que quieren proteger a sus empresas y les quiere dar una posición ventajosa competitiva, lo que significa que las empresas pueden ser espiadas incluso por países amigos con el fin de defender los intereses de un estado y sus empresas.
Por otro lado, como sabemos, hay mucho dinero circulando en Internet lo que lo hace muy goloso para todos los que viven de la delincuencia. Eso significa que son gente preparada y redes preparadas, que hay dinero y por lo tanto se puede invertir en conseguir dinero de forma fraudulenta. Ese es uno de los grandes riesgos.
Después, otro de los elementos que es crucial en todo este nuevo panorama, es lo terriblemente fácil que es el ceder nuestros datos y tener una actitud muy confiada ante las nuevas tecnologías. Esto por un lado no está mal porque se supone que la tecnología llega para ayudarnos, pero por otro lado, hay que tener en cuenta que toda tecnología conlleva un riesgo. Lo único que tenemos que hacer es aprender a manejarla de forma segura.
Estos son los principales retos junto a la mayor regulación de los datos. Aquí, las empresas deben de entender que la seguridad no es una línea paralela al negocio sino que forma parte intrínseca del negocio. Aunque parece una tontería, este tema es esencial.
CSN: ¿Cree que las pequeñas y medianas empresas en España son conscientes de que también son vulnerables de recibir ciberataques? ¿Cree igualmente que están preparadas para afrontar la nueva normativa GDPR?
FL: Las grandes empresas lo que tienen es un músculo y una madurez para afrontar la seguridad. Y aún así, hay que hacer mucho en estas grandes empresas. Las pequeñas y medianas empresas se dedican fundamentalmente para lo que tienen capacidad en cuanto al número de personas. Por eso creo que es muy importante primero, concienciar a estas empresas sobre que aunque sean pequeñas empresas, también ponen en riesgo a sus clientes y a sus negocios.
En este sentido, hay empresas con un pequeño número de empleados que mueven un gran volumen de ingresos. Estas empresas tampoco tienen especial sensibilidad en la seguridad de la información porque en muchos casos no tienen ni departamento de comunicación. Por tanto, si no tienen departamento TIC, de comunicación o de informática, mucho menos lo van a tener de seguridad.
Entonces creo que deben de entender que todo esto va con ellos y tienen que dotarse de las herramientas que les permitan para su tamaño, ser competitivos y a la vez dedicar esfuerzo a una capa que ellos no ven tan necesaria como la seguridad. Y eso alomejor, viene con ideas como el CISO virtual.
CSN: ¿Cuál es la diferencia entre la ciberseguridad y la seguridad de la información?
FL: Mi opinión al respecto es que la ciberseguridad es un salto cualitativo y el impacto no sólo tiene que ver con el daño de la información en sí misma sino que salta también a las vidas humanas. Entonces para mi es un cambio radical.
Es decir, cuando hablas de seguridad de la información, piensas que el impacto puede ser el fraude ,que es un impacto importante, pero se queda al final en los bienes. Mientras, cuando hablamos de ciberseguridad, en mi opinión, pegas un salto cualitativo y hablamos de vidas humanas. Y ahí tienes diferentes elementos como las infraestructuras críticas: Las centrales nucleares (que todos entendemos cómo pueden afectar a nuestras vidas), sistemas de potabilización del agua o incluso en los marcapasos. En noviembre del año pasado, se citaron a revisión a 750.000 personas porque el marcapasos podría provocar un infarto.
CSN: Hablando sobre esta hiperconectividad, otro tema interesante y de actualidad es el de los coches autónomos. Como sabe, se han producido diferentes accidentes mortales con esta tecnología, ¿cuándo cree que estará el coche autónomo realmente integrado en nuestra sociedad?
FL: Los diferentes estudios que hablan sobre el coche autónomo, hablan de que para el año 2020 o 2022 habrá una conducción autónoma. Aunque realmente, hoy día los coches de conducción asistida permiten una conducción autónoma (como en los modelos Tesla), lo que ocurre que como no está regulada, pues tienen que hacer cosas como que cada cierto tiempo, la persona se haga una interacción con el sistema para que exista una conducción supervisada.
Lo que sé es que aún tienen que avanzar mucho en muchos temas. Por ejemplo, los mecanismos de sensores y actuadores es una baca en el techo y eso ocupa. Eso hay que reducirlo y meterlo en cadena de producción, hacerlos económicos. Por lo tanto, la gente que tienen tanta ilusión en este sector y cree que estos coches ya están aquí, tienen que tener en cuenta que una cosa son los pilotos y otra la producción.
Por otro lado, respecto al tema de la seguridad, la primera persona que falleció en vehículo autónomo, falleció viendo Harry Potter, lo cual ya debería de decirnos algo. Si vemos la imagen de la persona atropellada hace poco, veremos que la persona mira algo (creo que el teléfono). Es decir, aunque digas expresamente que no es una conducción desatendida, la gente ve la publicidad y si la publicidad te habla de una persona tumbada leyendo un libro o viendo una película, la gente hace eso.
Hay que tener en cuenta que la conducción que se está haciendo ahora, supervisada de forma remota, a mi me preocupa porque lo que dice es que está pensado no para mantener la supervisión completa, sino sólo para cuando los sistemas duden.
Por lo tanto, queda mucho, queda mucho para enseñarle al vehículo cuando salir de la rotonda, enseñarle que no es la mismo el espacio entre dos coches que el de un coche y un autobús…etc.
Por último, queda mucho que hacer respecto a la seguridad. En este sentido se han provocado fallos tan tontos como pintar una señal de gira a la izquierda y engañar de esta manera al coche.
CSN: ¿Cree que las criptodivisas favorece más a los `malos´?
FL: Aquí habría que distinguir dos cosas. Por un lado el blockchain que para mí es la reutilización de manera muy inteligente de unas tecnologías que ya existían como por ejemplo las bases de datos distribuidas. Y por otro lado, la aplicación del blockchain en las criptodivisas.
Las criptodivisas se basan en que no hay autoridad de control, lo cual como idea es muy buena pero si no hay autoridad de control, cuando tengas un problema ¿dónde reclamas?
Por otro lado, la tecnología no se utiliza de manera individualizada. Por ejemplo, se han encontrado agujeros de seguridad en los monederos de las criptodivisas. Entonces, hablamos de que te roban por los propios monederos.
Ahora y respondiendo a tu pregunta, evidentemente todo lo que conlleva anonimato favorece a las personas que quieren ese anonimato (con la mejor de las intenciones) pero también a aquellas personas que aprovechan ese anonimato para el blanqueo de capitales, para el robo, para todo lo que es amenazar y obtener una recompensa para que no divulgue o cuente…etc. ¿Cuánta gente pica? Entre el 10% y 15% de la gente, confía en lo que recibe.
CSN: Cómo sabe, facebook se ha visto envuelto en una gran polémica recientemente con el Caso de Cambridge Analítica. ¿Qué opina al respecto?
FL: En realidad es porque la gente no nos leemos los avisos. Nosotros hicimos un pequeño análisis de las gafas de Snapchat y claramente te lo dicen: las imágenes no son tuyas desde el momento en que las subes, son de la plataforma. Igualmente, si lo buscas, Google también te lo dice.
Aquí entramos en un mundo interesante que es que a nosotros nos gusta que nos hagan la vida más fácil y más fácil significa que alguien piensa por tí y alguien te elabora las cosas. Cuando ahora te dicen que el asistente de Google es capaz de reservar en un restaurante por tí, eso es muy cómodo pero conlleva a que Google sepa tu agenda, tus gustos…etc. Y ese es el problema, que cedemos nuestros datos por comodidad. Es decir, ya no sólo es el tener claro que cuando no pagas por el producto, el producto eres tú, sino que para tener esa facilidad y comodidad, se requiere información.