Resiliencia y protección del dato para garantizar la supervivencia en entornos desafiantes

Este panel ha contado con la asistencia de los siguientes expertos en seguridad en el Cloud:

• Javier Armesto, EMEA Sales Engineer de Symantec
• Tiago Carrisosa, Iberia cyber Resilience sales lead de Dell Technologies
• Frank Reboiras, Senior Solutions Engineer de Acronis
• Roberto Sarsa, Desarrollo de Negocio de Nokia

Javier Armesto, EMEA Sales Engineer de Symantec, puso el foco en la importancia de contar con soluciones que permitan unir todas las herramientas que hay la nube, en los sistemas de Inteligencia Artificial y en los equipos On-premises. De este modo, los procedimientos, endpoints o antimalware se coordinarán con el cloud y con los accesos protegidos por VPN.

El resultado de toda esta coordinación de herramientas y recursos nos va a permitir “tener un control centrado en el dato” mediante soluciones CASB (Cloud Access Security Broker, una solución unificada de control de accesos entre proveedores cloud y usuarios), herramientas de control del correo electrónico con protección de datos y, también, un control de los datos cuando se navega fuera de los activos de la organización.

En definitiva, existen muchos puntos de fractura en los modernos ecosistemas TI de las organizaciones y es muy importante protegerlos todos, pero hacerlo de forma coordinada, para facilitar el mantenimiento y la gestión de incidentes.

Por su parte, Tiago Carrisosa, Iberia cyber Resilience sales lead de Dell Technologies, abrió su participación con un dato muy impactante, “el cibercrimen, si fuera una economía global, a día de hoy sería la tercera economía más grande del mundo”.

Esto refleja la verdadera dimensión del problema de la ciberdelincuencia y el enorme reto que plantea la ciberseguridad de las organizaciones. Si el rendimiento económico del cibercrimen tiene una magnitud tan grande, eso hará que los atacantes dediquen tiempo, esfuerzos y grandes cantidades de recursos a atacar, “no hay que pensar en las motivaciones y por qué lo hacen”, las cifras hablan por sí mismas, “es cuestión de dinero”.

Y planteó un escenario inquietante para muchas organizaciones, “si el próximo viernes atacan tu empresa a las seis de la tarde, ¿tienes la capacidad de recuperarte? No pregunto cuánto vas a tardar, sólo si podrás recuperarte”.

Para conseguir la protección adecuada, es importante conocer las fortalezas y debilidades de los sistemas. Tiago Carrisosa mencionó el ejemplo del estudio del estadístico Abraham Wald en la Segunda Guerra Mundial para minimizar las pérdidas de bombarderos bajo el fuego enemigo que estableció el término “sesgo del superviviente”[1].

El Statistical Research Group de la Universidad de Columbia examinó dónde estaban los daños en el fuselaje de los aviones que conseguían regresar y, de forma algo contraintuitiva, recomendó aumentar el blindaje en las zonas menos dañadas.

Porque las zonas dañadas eran aquellas en las que los bombarderos podían recibir daños y aún así regresar. No tenían información sobre las zonas dañadas en los bombarderos que no regresaron, pero dedujeron que sería allí donde los que sí regresaron no habían recibido impactos. Y este trabajo pasó a sentar las bases de la entonces reciente disciplina de investigación operativa.

Tiago Carrisosa trasladó este ejemplo histórico al presente de las organizaciones destacando que “el dato se vuelve muy importante. Sigue siendo el activo con más valor en las compañías”. Por eso proponen contar con un copia de datos críticos en un soporte inmutable desde el exterior para que, cuando se produzca ese ataque, no se comprometa esa información.

Este planteamiento requiere un importante nivel de análisis de información para decidir qué tiene que estar en esa copia y qué no. Así como para asegurar en todo momento que esa copia inmutable desde el exterior tenga los datos actualizados. De este modo tendremos la certeza de que se podrán recuperar los datos en caso de ciberataque.

[1] https://es.wikipedia.org/wiki/Sesgo_del_superviviente

Por eso concluyó Tiago Carrisosa que “la eficiencia no es solo detección. Es garantizar que, tras un ataque, se cuenta con la capacidad de recuperarse. Y apoyarse en una metodología de Zereo Trust (Confianza Cero), tener garantías de dónde se guarda la información, inmutabilidad, certeza, cumplimiento normativo y probar y probar todo hasta tener la certeza de que se estará listo para cuando llegue el ataque”.

Otro dato que define la importancia del cibercrimen es que, en 2024 hubo 97.000 incidencias registradas solo en España. Frank Reboiras, Senior Solutions Engineer de Acronis, destacó que esto representó un incremento del 16% respecto al 2023. Y para 2025 se estima que la cifra crecerá hasta los 110.000 incidentes.

Esto quiere decir que cualquier organización puede ser el objetivo de un ciberataque y, “muchas confían en una estrategia de redistribución de la seguridad, donde disponen de distintas soluciones de software para distintas capas de la seguridad” y esto “genera fisuras que son la base de los exploits que acaban por facilitar graves ciberataques”.

Estos ataques proceden de comunidades criminales muy sofisticadas, inmersas en una carrera industrial clandestina contra la que hay que defenderse con herramientas igualmente sofisticadas.

Una de las bases en las que se apoya su compañía es en la detección temprana de patrones de comportamiento a través de todos los sistemas que tiene repartidos por el mundo en dispositivos Apple, Office 365 o Google Space, entre otros.

Cuando los patrones señalan una actividad potencialmente maliciosa, esta información llega al corazón del sistema, donde se replica en sistemas EDR para descubrir tanto las firmas conocidas como las desconocidas.

Roberto Sarsa, Desarrollo de Negocio de Nokia comenzó por mencionar la posición que ocupan los equipos de este fabricante en las infraestructuras de comunicaciones de nuestro país.

Son los fabricante del 30% de las estaciones base 5G, de la mitad de los conmutadores de fibra de los proveedores de fibra y gran parte de sus redes de interconexión, así como de una gran parte de la electrónica de control de las seis zonas de alta disponibilidad de Microsoft Azure. Con esto puso de relieve que, “incluso sin saberlo estáis utilizando nuestra tecnología todos los días”.

Y esto dio paso a que destacase que “nosotros reivindicamos la soberanía tecnológica de Europa y el no tener que depender de tecnología de otros continentes. Tenemos miles de empleados en centros de competencia e I+Den Europa desarrollando productos y eso forma parte también de la ciberseguridad, elegir proveedores confiables”.

Puso sobre la mesa dos asuntos muy importantes sobre dos problemas importantes relativos a los ciberataques. Uno, su plataforma de mitigación de ataques DDoS (Distributed Denial of Service, o Ataques Distribuidos de Denegación de Servicio) que está presente en centenares de proveedores de Internet en todo el mundo. Gracias a ella tienen una visión clara de cómo están evolucionando, ya que la mayoría de sus clientes comparten información de sus plataformas.

Y la imagen que pueden trasladar ahora mismo es que los ataques suelen proceder de dispositivos IoT de instalaciones domésticas que han sido secuestrados mediante vulnerabilidades (webcams, routers WiFi, etc) y que son orquestados para lanzar ataques en un momento dado.

Han visto ataques de 40 terabits por segundo que es más del doble que el mayor ataque del año pasado, lo que hace pensar que esta cifra seguirá creciendo. Y, además, han visto que los ataques son cada vez más cortos, “el 78% de los ataques duraron menos de 5 minutos y el 37% incluso menos de 2 minutos”.

¿Qué sucede cuando llega ese límite de dos minutos?, “que migran a otro vector de ataque con otras Ips de origen. Porque así no da tiempo a reaccionar y a instalar las reglas de mitigación de este ataque”. Hay que ser realmente rápidos.

Han desarrollado un mapa de Internet y recorren todos los días billones de direcciones IP y cuentan con el histórico de todos los ataques que han detectado en los últimos 10 años.

Al estar registradas todas las IPs que alguna vez han participado en un ataque de denegación, si vuelven a mostrarse saben qué tipo de dispositivo IoT es y cómo instalar a gran velocidad las reglas para defenderse.

La segunda gran conclusión es que “hace falta Inteligencia Artificial porque los ciberdelincuentes están usando IAs en sus ataques. Esa transmutación de vector de ataque cada dos minutos no la puede hacer un grupo de humanos. Necesitas estar orquestado por IA y para combatir a la IA solo hay una forma: con IA”. Y por este motivo su motor de defensa está basado en IA.

Todo este despliegue les permite reaccionar y desplegar las reglas de mitigación para defenderse de un ataque en tan solo 30 segundos gracias a un estándar propio que han desarrollado.

Otro asunto de actualidad que destacó el representante de Nokia es el riesgo que plantean los futuros ordenadores cuánticos, “funcionan de una forma muy distinta a los ordenadores clásicos. Y han traído un problema muy grave a las redes y a la ciberseguridad. Para un ordenador cuántico, descifrar el cifrado de las comunicaciones en la web es un problema trivial de resolver”.

Eso amenaza a casi todos los protocolos de seguridad que se utilizan hoy en día en Internet y en los centros de datos. “¿Y sabemos si ya hay en el mundo un ordenador cuántico suficientemente potente para hacer un ataque de este tipo? Las referencias públicas hablan de hasta 1000 Qubits”.

Se estima que serán necesarios entre 100 y 1000 veces más para hacer un ataque práctico a la criptografía de clave pública. Roberto Sarsa apunta que “por si acaso hay organismos que ya están tomando medidas preventivas. Se sospecha que hay estados y organizaciones que están almacenando información cifrada, para poder descifrarla cuando tengan un ordenador cuántico dentro de 5 a 10 años”.

En ese momento lo descifrarán, todo lo que han ido almacenando y todavía puede ser que haya información relevante allí almacenada. Por eso las organizaciones y organismos más previsores ya están utilizando cifrados Quantum Safe, para evitar que estos datos sean descifrados en un futuro.