José Miguel Rosell (S2 Grupo): «Lo que puede venir si no tomamos en serio la seguridad es brutal, de magnitudes bíblicas»

Eugenio Mallol.- En materia de sostenibilidad, Sara Mediavilla decía en La Hora Premium que, ya desde el momento del diseño del producto, tenemos que empezar a pensar en su reutilización, reciclado, impacto, porque es un asunto que implica a toda la empresa. Sin embargo, conversando en Londres con Rik Ferguson, vicepresidente de investigación en seguridad de Trend Micro, se quejaba de que internet, primero, e internet de las cosas, ahora, se están diseñando sin tener en cuenta la ciberseguridad.

José Miguel Rosell.-Es la disponibilidad lo que prima. La seguridad no forma parte del diseño ni siquiera ahora que tenemos muchos incidentes. El security by design no existe como tal, pese a que la seguridad a priori es barata, pero a posteriori es carísima. La gente no tiene la cultura de la seguridad. Si la tuviesen, al plantearse qué es lo que van a hacer se preguntarían qué implicaciones tiene desde el punto de vista de la seguridad. El problema principal es que el mercado de la tecnología va muy rápido y prima el time to market antes que el security by design, con lo cual nos encontramos con productos diseñados desde la inseguridad.

Eugenio Mallol.-Me llama la atención que siga sucediendo lo que denunciaba Ferguson hace cuatro años, porque ahora mismo se están diseñando una infinidad de dispositivos conectados al internet de las cosas, en vehículos autónomos, en edificios, en infraestructuras críticas…

José Miguel Rosell.-Eso es un coladero, el peor de los coladeros, es un desastre, es frustrante. Y no sólo en internet de las cosas, que es mucho más que unos cacharritos que te pones en casa, sino cuando hablamos de sistemas de control industrial, que son cosas mucho más serias. Parece que los dispositivos del internet de las cosas, que son baratos, los puedas poner en una industria tal cual y no es así. En el diseño de los PLC (controlador lógico programable), esa inseguridad existe. Incluso, aun sabiendo que hay protocolos inseguros y que hay versiones seguras para los sistemas de control industrial, no se usan. Porque sigue imperando esa idea de que eso a mí no me va a pasar. Esa cultura, que para los malos es buenísima, a la sociedad le está haciendo mucho daño.

Eugenio Mallol.-Si yo diseño un dispositivo para el gran consumo y no tengo en cuenta el factor estético o el medioambiental, el mercado me va a penalizar. Pero si me olvido de la ciberseguridad, no me castiga.

José Miguel Rosell.-Por ahora no te penaliza, en efecto, porque no hay cultura en el que compra ni en el que vende. Sólo apuestan por la ciberseguridad los que están teniendo incidentes. Esto empieza a cambiar, se empiezan a notar cambios, pero no es generalizado. Nadie pregunta si una cámara web tiene seguridad para ponérsela en casa.

Eugenio Mallol.-La cuestión es si está preparada la industria de la ciberseguridad para participar en el proceso de diseño. Porque vosotros en software sois muy buenos, pero ¿también lo sois en el diseño de hardware en la industria como para estar desde el principio?

José Miguel Rosell.-Es que yo no veo diferencia. Está todo fusionado e imbricado. En calidad sí estamos preparados para participar en el diseño, en cantidad tenemos problemas de recursos, lo que sigue siendo también un tema cultural. Cuando hablas del software también hablas de firmware, que tiene vulnerabilidades desde hace mucho tiempo. El propio hardware las tiene. Al final lo que es vulnerable es el sistema, por no decir la sociedad en su conjunto. Los vectores de ataque, que son extraordinariamente sofisticados, atacan sistemas, y en función del dónde y el para qué el software y el hardware tienen que implementarse de una forma diferente. Lo primero que hay que hacer es que el producto en origen en sí mismo sea seguro. Y no sólo desde el punto de vista de la seguridad física, sino también de la seguridad lógica. La gente no se puede ni siquiera imaginar lo que se puede llegar a hacer con ciertas capacidades tecnológicas y digitales, es una auténtica burrada. ¿Por qué no estamos viendo eso? Porque los que tienen las capacidades no las quieren usar. Hay campos de batalla abiertos en ciberguerra, como Ucrania, en los que se están usando ciberarmas casi de juguete, contra sistemas de control industrial, eléctricos, de transporte. Pero lo que puede llegar a venir si no tomamos cartas en el asunto es brutal. O tienes en cuenta los riesgos o puedes tener un problema de magnitudes bíblicas.

Eugenio Mallol.-Escribía Josep Borrell que ya no se pueden distinguir los espacios de guerra y los de paz, y cada vez será más difícil separar el papel de los Estados y las empresas en el ejercicio de la soberanía.

José Miguel Rosell.-No tenemos leyes para trabajar en la sociedad digital. Nuestra normativa está preparada para una sociedad física que tiene fronteras, pero si intento aplicar el Código Penal español en China, evidentemente los funcionarios de aquel país se reirán de mí. Es imposible. Y lo mismo en el caso del ámbito militar. Tampoco es fácil declarar una guerra, aunque existen el Manual de Tallín y el artículo 5 del Tratado de la OTAN para ello. En el caso digital es casi imposible, porque demostrar una atribución es my difícil.

Eugenio Mallol.-¿Estamos en guerra, José Miguel?

José Miguel Rosell.-Sí y no. No es una guerra convencional, clásica. Sí estamos en una ciberguerra. En el ámbito digital se está zumbando todo el mundo… si consideras en el mundo físico casi como una declaración de guerra entrar en una zona que no es tuya con tu equipo militar, te diría que las intrusiones en el mundo digital no son diarias, pero casi. En el mundo físico sería impensable que Estados Unidos declarara que China entra en los sistemas de sus empresas, pero en el digital los parámetros son distintos. El concepto de guerra clásico pasó a la historia, ahora se habla guerra híbrida. Yo puedo atacar un aeropuerto sin tirar ni una bomba ni mandar a un soldado. Si lo hago y dejo sin capacidad de operación, ¿es un acto hostil o no? ¿Y quién lo ha hecho? Es muy difícil de atribuir. Es muy complejo.

Eugenio Mallol.-La Ley de Seguridad Nacional que rige la custodia de los datos de acceso restringido en España sigue siendo la de 1962. Aunque haya habido desarrollos reglamentarios, es la ley vigente. Ahora se quiere actualizar aprovechando la reforma de la ley mordaza.

José Miguel Rosell.-Es evidente que eso hay que cambiarlo y tiene que evolucionar. Hemos creado una ciudadanía digital y esto es el Lejano Oeste, un mundo sin ley. La UE está legislando mucho en materia digital, en materia de derechos, pero falta mucho. El principal problema es que las leyes se aplican a fronteras y toda la legislación está pensada así. Quizás el mundo marítimo es el que tiene una normativa más global desde el principio, gracias al Convenio SOLAS. Aquí necesitaríamos algo parecido. Hay propuestas como el Convenio de Budapest, pero su aplicación es limitada. Con lo cual, si un policía español quiere investigar un delito cometido en China ya me explicarás. Porque la primera pregunta es: ¿lo ha cometido un chino? ¿Por qué? ¿Porque la máquina está en China? No, puedes comprar una máquina virtual en China y lanzar un ataque a la empresa más grande que se te ocurra desde allí, pero detrás hay un señor de Burgos. La atribución es hípercompleja, muy, muy difícil.

Eugenio Mallol.-El vicepresidente y chief information security officer de Amazon Web Services, Stephen Schmidt, me decía en Boston que su objetivo era eliminar el factor humano en la ciberseguridad.

José Miguel Rosell.-Es imposible, absolutamente imposible. Es cierto que la mayoría de los incidentes se producen a través de personas, pero el ataque a las máquinas, pese a que quizás resulte más complejo, es más directo, más efectivo. Entiendo que lo que propone Schmidt es eliminar las personas de la gestión de la seguridad y que sean máquinas la que lo hagan. Yo pondría en la gestión de la seguridad a personas y en el uso de la tecnología a máquinas, ahora es al revés. En un centro de operaciones de seguridad como el nuestro procesamos miles de millones de eventos de seguridad al día en la gestión de empresas grandes. Es evidente que eso no hay equipo de personas que lo maneje y necesitamos mucha tecnología, pero ¿todo tecnología? No, ni mucho menos. Las amenazas evolucionan, las que tenemos hoy hace dos años no existían. Cuando empecé a trabajar en seguridad nos llevábamos las manos a la cabeza porque había mil amenazas nuevas diarias, ahora estamos hablando de 250.000 o 300.000 ¡diarias! Hecha la defensa, se diseña la contradefensa, al final es todo inteligencia y contrainteligencia, es un juego eterno.

Eugenio Mallol.-Me recuerda a esa batalla en el ámbito de la comunicación entre la inteligencia artificial que es capaz de crear cada vez realidades que no existen, como un paisaje o el rostro de una persona, y la inteligencia artificial que pugna por descubrir cuáles de esas imágenes son reales y cuáles no. Es interesante esta carrera de innovación. De momento, gana la primera, y por goleada.

José Miguel Rosell.-No estamos en esa partida. La inteligencia artificial está haciendo muchos avances, en efecto, en la deformación de la realidad y las fake news, y ahí hay mucho trabajo para hacer y descubrir. En el mundo de la ciberseguridad hay robots, pero de ahí a decir que hay inteligencia artificial permíteme que lo dude. Llegará seguro, porque todo esto es una evolución continua. Y la computación cuántica, también. Pero no estamos ahí, yo estoy en las trincheras.

Eugenio Mallol.-Estamos en la Primera Guerra Mundial. Combate cuerpo a cuerpo.

José Miguel Rosell.-Pues sí, en el ámbito cíber estamos en la Primera Guerra Mundial. En S2 tenemos nuestra área de investigación en inteligencia artificial, pero muy aplicada a la automatización de tareas. ¿La IA puede crear bots que averigüen cómo atacar de forma diferente? Lo veo complicado aún. Estamos con la bayoneta calada. Hay automatización, sobre todo en las primeras fases de un incidente. Pero los ataques efectivos, los duros, tienen operadores detrás. Al final son amenazas híbridas, entendidas como juego hombre-máquina-espacio físico, eso es lo que prima ahora.

Eugenio Mallol.-Las empresas que están en el ecosistema de una gran corporación es posible que cada vez más se sientan seguras en su perímetro de protección. Da la sensación de que las ciberamenazas van a feudalizar aún más la economía, creando bolsas de seguridad en las que estás a cubierto a cambio de integrarte en su cadena de valor.

José Miguel Rosell.-Ese es quizás un concepto que tiene que ver más con cómo se van a mover los grandes grupos en la economía. Por una parte, las grandes empresas tienen una superficie de ataque gigantesca, están más preparadas, pero más expuestas, con lo que el riesgo, que es probabilidad/impacto, sigue siendo equivalente al de las pymes. Éstas están menos expuestas, aunque el hecho de que tengan firewall les garantiza que tienen un firewall, nada más. Un firewall mal gestionado es casi peor que no tenerlo, porque es una puerta de entrada clarísima. En definitiva, lo por el hecho de ser grande tienes garantizado nada. Ahora se ven mucho los ataques a la cadena de suministro: un banco puede ser seguro, pero ¿y sus proveedores? Empezando por los proveedores de limpieza. Los caminos del abuso de la tecnología son infinitos, puedes usar una empresa de limpieza para introducir un elemento que te interese detonar en cualquier momento.

Eugenio Mallol.-Kaspersky comentaba el caso de un hotel hackeado a través de la pecera.

José Miguel Rosell.-Bueno, Kaspersky es una compañía rusa, no lo olvidemos y eso se subraya. En la ciberseguridad hay grupos y es muy interesante analizar con quién estamos hablando. Está el grupo de los Five Eyes (FVEY), que integran Australia, Nueva Zelanda, Reino Unido, Estados Unidos y Canadá; después tenemos a Rusia y China, un grupito con Irán, Corea del Norte y compañía, y finalmente Europa. Quizás tienes que incluir a Israel como productor de tecnología, ni siquiera como receptor de ciberataques. En Europa tenemos muchas cosas que valen dinero y nos están robando sin que nos demos cuenta. Geopolíticamente es muy complejo el mundo de la ciberseguridad digital.

Eugenio Mallol.-Dame un ranking de cinco sectores ordenados de más a menos seguros.

José Miguel Rosell.-Puedo hacerte un ranking de los que invierten más en seguridad, pero no de los más seguros. La banca invierte mucho, pero ¿es segura? No, ni la banca ni nadie. Durante mucho tiempo estuvo tranquila porque al que atacaban era al cliente, pero de un tiempo a esta parte están yendo a por ella. El incidente de Bangladesh, que está documentado, estaba diseñado, según el forense, para robarles mil millones y por una falta de ortografía en los scripts sólo pudieron llevarse 90. Luego fueron a por el banco de Chile con un ataque que parece extraído de El Arte de la Guerra, lanzaron un ransomware contra el banco y, mientras el equipo informático y de seguridad atendían ese incidente, el ataque grave lo tenían por otra parte, en el sistema de intercambio bancario. La gente tiene mucha imaginación.

Eugenio Mallol.-Se diría que la gente más creativa del mundo está metida en esto.

José Miguel Rosell.-Hay muchísimo dinero, esto es mucho más lucrativo que las drogas y la pornografía. Y lo que viene es muchísimo más gordo de lo que hemos vivido. Ahora se habla de secuestro de ayuntamientos o empresas, pero ¿y si te secuestran los sistemas de control de un tren? No hay películas de ciencia ficción en la ciberseguridad, no existe la ciencia ficción. La realidad es la ciencia ficción.

Eugenio Mallol.-Con los coches autónomos nos la jugamos.

José Miguel Rosell.-Claro que te la juegas. De hecho, el hackeo de un coche como tal no tiene mucho misterio, lleva unos 20-30 microprocesadores y atacar el PLC es fácil. La clave son los ataques de clase. En el laboratorio tenemos un coche con un punto de recarga y nuestro objetivo es zumbarnos a toda una clase de dispositivos de carga con todo lo que eso conlleva: apagar todos los coches en bloque. Eso son armas supersofisticadas y si lo hago yo en el laboratorio evidentemente se puede hacer. ¿Están los sistemas preparados para proteger eso? Ni de casualidad. Es que no están pensando en eso. Y así como en el mundo del software Apple saca una actualización y en dos minutos la podemos tener todos, en el mundo hardware, en el de los PLC, ni de casualidad. Nos acercamos a un mundo muy complejo desde el punto de vista cíber, hay que tomar cartas en el asunto.

Eugenio Mallol.-Pensaba que te iba a encontrar más tranquilo.

José Miguel Rosell.-No se trata de estar tranquilo, si yo lo estoy, pero es la realidad que tenemos.