La lucha tecnológica
contra el
fraude organizado
Cursos de Verano 2011
Universidad Rey Juan Carlos

Aranjuez, del 4 al 8 d...
EDICIÓN

PRODUCCIÓN

DISEÑO Y MAQUETACIÓN

Miguel Salgueiro / MSGráfica
IMPRESIÓN Y ENCUADERNACIÓN

Gráficas Monterreina
D...
Curso de Verano 2011

La lucha tecnológica contra el fraude organizado

ÍNDICE
INTRODUCCIÓN .................................
La lucha tecnológica contra el fraude organizado

Curso de Verano 2011

The rise of cybercrime: How lagging security
measu...
Curso de Verano 2011

La lucha tecnológica contra el fraude organizado

INTRODUCCIÓN
Santiago Moral Rubio
(Director del Cu...
La lucha tecnológica contra el fraude organizado



Curso de Verano 2011

Centro de Investigación para la Gestión Tecnológ...
Curso de Verano 2011

La lucha tecnológica contra el fraude organizado

PRÓLOGO
Pedro González-Trevijano
(Rector de la Uni...
La lucha tecnológica contra el fraude organizado



Curso de Verano 2011

Centro de Investigación para la Gestión Tecnológ...
Curso de Verano 2011

La lucha tecnológica contra el fraude organizado

SEGURIDAD Y EMPRESA:
EL DILEMA DEL ERIZO

Alberto ...
La lucha tecnológica contra el fraude organizado

donde asumimos la seguridad de la información
en los sistemas en producc...
Curso de Verano 2011

Y, finalmente, el quinto filtro está relacionado con
la necesidad de ser muy realistas, cumpliendo
t...
La lucha tecnológica contra el fraude organizado

A la hora de crear estos equipos multidisciplinares,
propongo dos modelo...
Curso de Verano 2011

La lucha tecnológica contra el fraude organizado

De este modo, se les ayudará a desarrollar nuevas
...
La lucha tecnológica contra el fraude organizado

en cuenta y si, además, has apostado por un
componente de marketing, tod...
Curso de Verano 2011

Si regalamos dispositivos de memoria cifrados o
protectores de pantalla, seguro que tendremos
asegur...
La lucha tecnológica contra el fraude organizado

16

Curso de Verano 2011

Centro de Investigación para la Gestión Tecnol...
Curso de Verano 2011

La lucha tecnológica contra el fraude organizado

ANTI-PHISHING WORKING GROUP
Gary Warner
(Director ...
La lucha tecnológica contra el fraude organizado

también a las unidades especiales de los cuerpos
y fuerzas de seguridad ...
Curso de Verano 2011

que nos va pidiendo (identificación de usuario,
contraseña, responder a tres preguntas de
seguridad,...
La lucha tecnológica contra el fraude organizado

Curso de Verano 2011

Tuvimos un caso de un phisher que organizó
más de ...
Curso de Verano 2011

llamado Zeus, que (una vez detectado el
movimiento del teclado) puede tomar el control
remoto del or...
La lucha tecnológica contra el fraude organizado

defendernos de los delincuentes. Que, incluso,
aunque estos conozcan nue...
Curso de Verano 2011

La lucha tecnológica contra el fraude organizado

THREAT HORIZON:
IDENTIFYING FUTURE TRENDS
Adrian D...
La lucha tecnológica contra el fraude organizado

Pero la cadena de suministro, en este movimiento de
cambio, sigue siendo...
Curso de Verano 2011

tecnológicas. En España celebraremos una
convocatoria del Capítulo Regional de ISF en marzo
en Madri...
La lucha tecnológica contra el fraude organizado

sufre. Por ejemplo, si la conexión a Internet no
funciona, debemos esper...
Curso de Verano 2011

Cuatro categorías y 5 puntos importantes
Podemos hablar de cuatro categorías de
amenazas según las c...
La lucha tecnológica contra el fraude organizado

El quinto está relacionado con el caos, el desorden,
con qué información...
Curso de Verano 2011

La lucha tecnológica contra el fraude organizado

EL RIESGO DE LO IMPREDECIBLE:
“THE BLACK SWANS”

J...
La lucha tecnológica contra el fraude organizado

La zona uno, la más caliente, es la que plantea la
existencia de una ele...
Curso de Verano 2011

Aquí hemos de tener en cuenta que la experiencia
solo predice lo más probable y que la curva
de Gaus...
La lucha tecnológica contra el fraude organizado

cambiado el móvil y no tengo el número nuevo”,
y prestar especial cuidad...
Curso de Verano 2011

también es cierto que es bastante complicado
validar su efecto, puesto que se trata de una
intervenc...
La lucha tecnológica contra el fraude organizado

resultamos más frágiles frente al atacante, y una
vulnerabilidad nuestra...
Curso de Verano 2011

Esto lo hemos visto claramente en lo que plantea
el Esquema Nacional de Seguridad. Y es que al
final...
La lucha tecnológica contra el fraude organizado

36

Curso de Verano 2011

Centro de Investigación para la Gestión Tecnol...
Curso de Verano 2011

La lucha tecnológica contra el fraude organizado

MESA REDONDA. NUEVAS AMENAZAS
Esta mesa redonda tu...
La lucha tecnológica contra el fraude organizado

Hablamos de los móviles, pero siguen siendo
inseguros (bajamos una aplic...
Curso de Verano 2011

de procedimientos de inteligencia para saber
qué ocurre y cómo se mueven los atacantes; la
incorpora...
La lucha tecnológica contra el fraude organizado

Elena Maestre García
Socia de PwC
Responsable de Riesgos Tecnológicos

V...
Curso de Verano 2011

muy complejo; el de las inversiones, que nunca
resultan suficientes; y el de la propia dinámica
de n...
La lucha tecnológica contra el fraude organizado

Y más aún, considero fundamental que los
Estados empiecen a considerar e...
Curso de Verano 2011

y dentro de ellas, otro problema añadido, que
viene a ser un reto a resolver: un gran recorte
presup...
La lucha tecnológica contra el fraude organizado

Juan Salom Clotet
Comandante de la Guardia Civil y
Jefe del Grupo de Del...
Curso de Verano 2011

joven invidente norteamericano de 9 años a la
compañía Bell. Descubrió que un sonido concreto
activa...
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
Upcoming SlideShare
Loading in …5
×

La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud

2,190 views
2,068 views

Published on

Libro ofrecido a los asistentes al curso de verano URJC-CIGTR en julio 2011.

Book provided to those attending the summer course URJC-CIGTR in July 2011.

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
2,190
On SlideShare
0
From Embeds
0
Number of Embeds
49
Actions
Shares
0
Downloads
43
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud

  1. 1. La lucha tecnológica contra el fraude organizado Cursos de Verano 2011 Universidad Rey Juan Carlos Aranjuez, del 4 al 8 de julio de 2011
  2. 2. EDICIÓN PRODUCCIÓN DISEÑO Y MAQUETACIÓN Miguel Salgueiro / MSGráfica IMPRESIÓN Y ENCUADERNACIÓN Gráficas Monterreina Depósito Legal: M-22831-2012
  3. 3. Curso de Verano 2011 La lucha tecnológica contra el fraude organizado ÍNDICE INTRODUCCIÓN ........................................................................................................................................................................................ Santiago Moral Rubio 5 PRÓLOGO ...................................................................................................................................................................................................... Pedro González-Trevijano 7 Seguridad y empresa: El dilema del erizo . ................................................................................................................ Alberto Partida 9 Anti-Phising Working Group ................................................................................................................................................. Gary Warner 17 Threat Horizon: Identifying Future Trends ......................................................................................................... 23 Adrian Davis El riesgo de lo impredecible: “The Black Swans” ................................................................................................ 29 José Antonio Mañas Mesa Redonda. Nuevas Amenazas........................................................................................................................................ 37 Intervienen: David Barroso Fernando García Vicent Juan Jesús León Cobos Elena Maestre García Alfonso Martín Palma Rafael Ortega García Tomás Roy Catalá Juan Salom Clotet Marta Villén Sotomayor Marcos Gómez Hidalgo Modera: José de la Peña Centro de Investigación para la Gestión Tecnológica del Riesgo
  4. 4. La lucha tecnológica contra el fraude organizado Curso de Verano 2011 The rise of cybercrime: How lagging security measures fuel the growth in organized fraud . ............................................................................................. 49 Richard Stiennon Del “hackeo” a la inteligencia artificial . ................................................................................................................. 55 Víctor Chapela Seguridad jurídica y aspectos críticos en la protección de datos ....................................................................................................... 63 Francisco Javier Puyol La ley de protección de datos personales en México .................................................................................. 69 Ángel Trinidad Zaldívar La protección de datos y los nuevos desafíos tecnológicos .............................................................. 75 Artemi Rallo Mesa Redonda. La privacidad en “la nube” ................................................................................................................ 81 Intervienen: Manuel Carpio Cámara Francisco Javier García Carmona Guillermo Llorente Ballesteros Idoia Mateo Murillo Justo López Parra Francisco Javier Puyol Carles Solé Pascual Modera: Esperanza Marcos Understanding and Managing SaaS and Cloud Computing Risks . .................................................................................................................................... 91 Tom Scholtz La coevolución darwiniana como estrategia en la Innovación Tecnológica aplicada a la Gestión de Riesgos . ................................................................... 97 Santiago Moral Rubio ÁLBUM FOTOGRÁFICO ......................................................................................................................................................................... 103 Centro de Investigación para la Gestión Tecnológica del Riesgo
  5. 5. Curso de Verano 2011 La lucha tecnológica contra el fraude organizado INTRODUCCIÓN Santiago Moral Rubio (Director del Curso de Verano “La lucha tecnológica contra el fraude organizado”) a globalización tecnológica ha supuesto un gran avance en la participación de los ciudadanos en los procesos de las administraciones públicas y las empresas que le prestan servicios, pero a ese ámbito se han trasladado los mismos riesgos que existen en el mundo real. Los delitos de baja intensidad, sin daño contra las personas o sus propiedades, eran poco rentables en el mundo físico y por ello son poco perseguidos; sin embargo, la globalización tecnológica permite hacer que sean rentables y continúen siendo de poco riesgo por el anonimato tecnológico internacional. Por tanto, cambia la morfología del riesgo al cambiar los parámetros de rentabilidad y eso hace que el phishing ahora sea rentable al ser anónimo y masivo. Cambian los riesgos y cambia la forma de gestionarlos. Las mismas tecnologías que han Centro de Investigación para la Gestión Tecnológica del Riesgo permitido crear este mundo globalizado deben ser utilizadas para gestionar los nuevos riesgos existentes en el mundo virtual. Por ejemplo, uno de los riesgos emergentes es la facilidad para la transmisión y replicación de los datos personales de los ciudadanos. Para hablar de todo esto, el Centro de Investigación para la Gestión Tecnológica del Riesgo convocó un Curso de Verano (en el marco de Escuela de Verano de la Universidad Rey Juan Carlos) que se desarrolló en Aranjuez (Madrid – España) entre los días 4 y 8 de julio de 2011 (ambos inclusive), contando con la activa participación de casi 100 asistentes y algunos de los principales ponentes a nivel mundial en esta materia. Ahora, en esta publicación, trasladamos a aquellas personas interesadas la transcripción de las ponencias presentadas en ese Curso de Verano.
  6. 6. La lucha tecnológica contra el fraude organizado Curso de Verano 2011 Centro de Investigación para la Gestión Tecnológica del Riesgo
  7. 7. Curso de Verano 2011 La lucha tecnológica contra el fraude organizado PRÓLOGO Pedro González-Trevijano (Rector de la Universidad Rey Juan Carlos) ue dos grandes instituciones de la vida económica, financiera y académica, como BBVA y la Universidad Rey Juan Carlos, pongan en común sus experiencias y, sobre todo, la cualificación y competencia de sus equipos, para crear experiencias de formación, investigación e innovación, solo podía ser el anticipo de grandes y esperanzadoras aportaciones a la comunidad científica. Así nació el Centro de Investigación para la Gestión Tecnológica del Riesgo. Bajo el liderazgo de Santiago Moral Rubio y de Francisco García Marín el pasado mes de julio se realizó el curso La lucha tecnológica contra el fraude organizado en el seno de los Cursos de Verano que la Universidad Rey Juan Carlos celebra anualmente en el Real Sitio de Aranjuez. La respuesta de la comunidad científica y académica fue masiva. El nivel de los participantes extraordinario. Y el resultado del trabajo, del rigor y de la seriedad de la experiencia estival de 2011 se refleja hoy en este magnífico volumen. Centro de Investigación para la Gestión Tecnológica del Riesgo La necesidad de responder a nuevos formatos de riesgo y fraude, adaptados a una realidad tecnológica global, es una auténtica exigencia de una experiencia de vida también universal. Lo significativo de la aportación que contiene esta obra es la capacidad de las instituciones académicas y centros de investigación para detectar los problemas, construir respuestas y soluciones eficaces y, a renglón seguido, transferir ese conocimiento a la sociedad. El Centro de Investigación para la Gestión Tecnológica del Riesgo ha sabido convertirse no solo en una instancia líder en esta materia, sino también en un ejemplo de la intensa colaboración que Universidad y Empresa pueden y deben acometer en un entorno histórico más exigente. Pero, sobre todas las cosas, un entorno apasionante y motivador; un entorno de oportunidades y desafíos para la energía, la reflexión desde el análisis, y la creatividad. Estoy convencido de que el trabajo del Centro de Investigación para la Gestión Tecnológica del Riesgo seguirá deparándonos, en el futuro inmediato, nuevos motivos de satisfacción como esta magnífica obra.
  8. 8. La lucha tecnológica contra el fraude organizado Curso de Verano 2011 Centro de Investigación para la Gestión Tecnológica del Riesgo
  9. 9. Curso de Verano 2011 La lucha tecnológica contra el fraude organizado SEGURIDAD Y EMPRESA: EL DILEMA DEL ERIZO Alberto Partida (Especialista en Seguridad autor del libro “IT Securiteers. Setting up an IT Security Function”) l filósofo Schopenhauer bautizó la expresión “el dilema del erizo” para explicar cómo funcionaban, en su opinión, las relaciones personales y sociales. Según sus investigaciones, los humanos hemos de asumir la siguiente paradoja: buscar el calor colectivo necesario para nuestra supervivencia y evitar al mismo tiempo cualquier daño que pudiera surgir de esa interacción con los demás. Como el erizo que busca compañía, pero ha de evitar que las púas de los demás le lastimen o lo haga él con las propias. Así podría explicar también yo la perspectiva desde la que asumí, hace cinco años, el reto de crear un equipo Centro de Investigación para la Gestión Tecnológica del Riesgo de seguridad que estuviera en sintonía con el negocio; y el motivo por el que me decidí a escribir un libro. El reto ha sido buscar el modo en el que evitar el daño de las respectivas “púas” entre el negocio y la seguridad, buscando al final más semejanzas en la interacción de los pingüinos, especies que pueden llegar a intimar más que los erizos al no poseer púas y al no tener miedo alguno a que le lastimen o a lastimar. El primer cambio que asumí en la definición de mi equipo de seguridad fue modificar el nombre original, pasando de “equipo de administración de la seguridad” a “equipo de seguridad operativa”,
  10. 10. La lucha tecnológica contra el fraude organizado donde asumimos la seguridad de la información en los sistemas en producción; pero manteniendo el reto: lograr una sintonía entre el equipo de seguridad y el negocio. Para lograrlo, hay que abordar el tema desde dos perspectivas: una, científica o metodológica (analizando los filtros, los métodos y los pasos a dar en la siguiente etapa) y otra, humana (centrándonos en la necesidad de contar con un equipo multidisciplinar, que trabaje con pasión y motivación y que luche por la innovación). El elemento metodológico: el método y los 5 filtros Entender la organización, adaptarse a su cultura y cosechar éxitos… o, al menos, limitar el nivel de frustración. Esto es lo que queremos conseguir, y para ello necesitamos un método. Y el método se basa en la siguiente fórmula: Vulnerabilidades x Amenazas – Medidas para mitigar = Riesgos (VxA-M=R). Hay que tener en cuenta el impacto y la probabilidad (términos muy usados para cada una de las situaciones de riesgo), y también la malicia del atacante, aunque muchas veces la obviamos. Y por último, nos encontramos con la existencia de un ratio, el referido a la relación entre el beneficio que obtiene el atacante y el riesgo que corre al realizar ese ataque, que muchas veces es muy desequilibrado, como en el caso de los ataques de Anonymous, donde el atacante asume un mínimo riesgo comparado con los beneficios 10 Curso de Verano 2011 que busca. En la seguridad física está mucho más igualado este ratio. Llegados a este punto, podemos abordar la existencia de cinco filtros, que prefiero denominar “1+3+1”, para explicar los escenarios de riesgo con los que hay que tratar. El primero de ellos se refiere a, por un lado, que las amenazas reales sean iguales a las detectadas, obviando las que creemos que son reales o podrían pasar (de ahí la importancia de la monitorización); y, por otro, consecuentemente, a que los adversarios reales sean igualmente los detectados. En lo que respecta al segundo filtro, Impacto y ratio entre el beneficio y el riesgo, esto significa trabajar en la organización con escenarios de riesgo que tengan un alto impacto, pero un riesgo muy bajo para el atacante. El tercer filtro habla de los recursos y de la complejidad, y de su necesidad de que sean “amigables” para el cliente. En este sentido, de todos los escenarios de riesgo, hay que tratar primero aquellos que requieran menos cantidad y complejidad de recursos, y aquellos que no dañen o mermen la experiencia diaria del usuario o cliente; es decir: “qué podemos hacer con pocos recursos y que al mismo tiempo no estropee la vida que tenía el cliente”. El cuarto filtro se refiere a conseguir tener, dentro de la organización, una imagen positiva del equipo de seguridad. Centro de Investigación para la Gestión Tecnológica del Riesgo
  11. 11. Curso de Verano 2011 Y, finalmente, el quinto filtro está relacionado con la necesidad de ser muy realistas, cumpliendo tanto con la normativa como con las peticiones de la Dirección. Y… ¿cómo logramos cumplir con estos cinco filtros? La respuesta es sencilla: con un método adecuado, que nos haga avanzar “pasito a pasito”, y que sea sencillo y limitado en el tiempo. Aunque resulte un tanto chocante, los primeros años solo se ha de planear el 40% de los recursos; y en lo que se refiere a los elementos técnicos a proteger, estos han de ser: las redes, los sistemas, las aplicaciones, los datos y las identidades. El elemento humano: profesionales con pasión Si bien hasta ahora hemos abordado el elemento metodológico, con la necesidad de recurrir a un método y superar los cinco filtros antes expuestos, ahora nos adentraremos en la idiosincrasia del segundo elemento al que me refería para lograr esa necesaria sintonía entre el equipo de seguridad y la parte de negocio, el que aborda el componente humano. Aquí volvemos a retomar las metáforas de los erizos y los pingüinos para referirnos a las relaciones humanas y a la necesidad de estrechar lazos con el prójimo, con otros departamentos en este caso, sin que las púas de ninguno de ellos lastimen al contrario. Considero fundamental contar con un equipo técnico altamente cualificado, o bien por personas Centro de Investigación para la Gestión Tecnológica del Riesgo La lucha tecnológica contra el fraude organizado de perfil técnico o que cuenten con muchos años de formación con que avalar sus conocimientos. Pero no nos quedamos ahí… es crucial apostar por la condición multidisciplinar del equipo para evitar estar aislados en la organización. Esto, en esencia, significa establecer lazos con otros departamentos y áreas, a los que comunicar nuestro trabajo y nuestras metas para lograr esa mayor sintonía de la que hablamos desde el principio. Evitar estar separados del resto, y que nadie pueda decir eso de “ahí están los de seguridad…” como si fuéramos unos entes al margen del negocio. Necesitamos también personas expertas en comunicaciones públicas o en marketing. Son esenciales para un equipo de seguridad, y lo son en dos dimensiones: en toda su práctica profesional, que pueden aplicar dentro del equipo; y también como canalizadores de estas nuevas perspectivas para los miembros del grupo, a los que pueden ir poco a poco proporcionando ideas nuevas en estos escenarios de marketing y comunicación… porque también necesitamos dar publicidad a nuestro mensaje y a nuestras tareas. Y no solo eso, es igualmente prioritario contar dentro del equipo con otros perfiles, como el de estadísticos, economistas, personas de negocio, etc. No obstante, he de reconocer que aún no he visto equipos donde haya otros perfiles aparte del de técnicos, aunque creo firmemente que un conjunto variado dará muchos mejores resultados a la organización. 11
  12. 12. La lucha tecnológica contra el fraude organizado A la hora de crear estos equipos multidisciplinares, propongo dos modelos a seguir, y un lema común para ambos: “comparte, respeta y moviliza”. Para mí, compartir información es fundamental para ahondar en coherencia interna y éxito de resultados. También es prioritario el concepto de “movilizar”, más que el de “motivar”, porque esta última expresión es un término más enfocado al ámbito personal y es algo que solo se puede tener a título individual, no es algo que se pueda promover desde el equipo. Por eso, me refiero más a “movilizar” y al respeto de los miembros de distinta procedencia. Curso de Verano 2011 necesitamos es una persona que mantenga un cierto equilibrio entre estos tres ámbitos de su personalidad. Es lo que nos llevará al éxito del equipo; sin ello no será posible. Por otro lado, el segundo modelo encuentra su encrucijada en la pasión con la que se desempeña un trabajo en concreto… la encrucijada entre lo que te gusta hacer y lo que eres bueno haciendo. Y partiendo de esa premisa, buscar ese “algo” que requiere el mercado y que puede ajustarse a lo que el profesional, y el grupo de profesionales, pueden ofrecer. En este contexto, el primer modelo se puede resumir en una frase: implicar en el grupo a personas que gocen de un cierto grado de equilibrio entre todos los aspectos de su vida, tanto a título profesional como emocional y social. Es, en esencia, un modelo muy sencillo, y que puede servir de guía para decidir en qué área o escenario especializarse. Se trata de estar atentos no solo al aspecto profesional de los integrantes del equipo, sino también a su dimensión como seres humanos. Llegados a este punto, me gustaría trasladar otro mensaje fundamental: debemos evitar que haya un único líder, y contar, por el contrario, con la colaboración de dos o tres personas que asuman ese rol pero de manera solidaria. Hay que tener en cuenta lo equilibrada que sea su vida personal y emocional, porque eso influirá decisivamente en su faceta profesional; de manera que las organizaciones que no tengan en cuenta este modelo para seleccionar a los miembros de su departamento pueden encontrarse después con problemas derivados de la interrelación entre sus miembros. Y es que existen personas muy buenas a nivel profesional, pero con escasísimos recursos en las otras dos parcelas, y viceversa; y lo que nosotros 12 Más de un líder y aprendizaje continuo La explicación es sencilla: el trabajo de líder es bastante tenso y siempre requerirá contar con dos o tres colaboradores próximos para conseguir sus objetivos, entre los cuales podemos citar algunos muy significativos: identificar a las personas que no tengan mucha motivación y, quizá no tantas prioridades, para ayudarles a encontrar el camino que les lleve a estar más próximos al segmento del grupo que sí esté realmente motivado. Centro de Investigación para la Gestión Tecnológica del Riesgo
  13. 13. Curso de Verano 2011 La lucha tecnológica contra el fraude organizado De este modo, se les ayudará a desarrollar nuevas habilidades, para poder llegar, incluso, a lo que denominamos la “masa crítica del equipo”, que son aquellos miembros con grandes habilidades, motivados y que son quienes imprimen el ritmo de trabajo al conjunto. con recursos técnicos, con más dotación de personal, etc. Por eso, precisamente, hay que aplicar modelos como los expuestos anteriormente, para que estos miembros sigan en el equipo, y lo hagan como miembros de calidad. Cinco provocaciones a la audiencia Paralelamente a todo lo explicado hasta este momento, y como avanzábamos antes también, no hay que olvidar la significación de compartir conocimientos entre todos los miembros del equipo, que es lo que hará al grupo fuerte y consolidado. Podemos compartir tanto los obtenidos mediante la formación académica, como los atesorados como resultado de largos años de experiencia profesional. El aprendizaje entre los miembros será constante, gracias a la comunicación en todas las direcciones y a propósito de todas las tareas a realizar. Y es que el conjunto crecerá cuando aprendan unos de otros; imposible de otro modo. Pero para lograr todo esto y alcanzar la sintonía entre el equipo de seguridad y la Dirección de la que venimos hablando desde el principio es fundamental también, y ahora hablamos explícitamente del papel de la Dirección, que ésta respalde las acciones del equipo, bien sea con presupuestos adecuados, Centro de Investigación para la Gestión Tecnológica del Riesgo Si esto no ocurre, el grado de frustración de nuestro personal puede aumentar significativamente. Para continuar, y a modo de una especie de “banco de ideas alternativas”, propongo a la audiencia las siguientes “cinco provocaciones”. La primera de ellas tiene que ver con la posibilidad de considerar tu CERT como tu equipo de “marketing de guerrilla”. Y para ilustrar esta opción, y aunque no sean de nuestro sector, os cuento algunos ejemplos recientes con los que me he encontrado: la colocación de un vehículo Mercedes Benz en un aeropuerto europeo, destinado a que el público lo pruebe y se familiarice con sus prestaciones; o la entrega del típico yogurt, por ejemplo, al salir del metro a primera hora de la mañana, invitándonos a ser potenciales consumidores. La idea es aplicar esto a los equipos de incidencia de seguridad. No que repartamos yogures, sino cuidar a nuestro equipo de respuesta a incidentes para convertirlo en nuestra herramienta de marketing más potente dentro de la organización. Cuando hay un incidente de seguridad, la gente se altera en la empresa y necesita saber dónde acudir y, más aún, tener la sensación de protección, de que todo está controlado. Si preparas el terreno, si tienes claros cuáles son los elementos a tener 13
  14. 14. La lucha tecnológica contra el fraude organizado en cuenta y si, además, has apostado por un componente de marketing, todo mejora. Es similar a lo que ocurre en la seguridad física, que cuando sucede una catástrofe, los servicios de emergencia acuden al lugar del siniestro ataviados con una indumentaria especialmente llamativa, como chalecos reflectantes. Todo el mundo se fija en ellos y confía en sus indicaciones. La segunda provocación a la que quiero aludir es la que denomino “el efecto grafiti”, o el poder de las imágenes. Pondré un ejemplo: hace unos meses me fijé que en los baños públicos de un palacio de convenciones habían robado el dispensador de desinfectante del inodoro; y cuando volví, hace unos días, aún estaba sin reponer. La situación seguía igual, y eso supone un efecto visual demoledor a la hora de confiar en, en este caso, la limpieza de esos baños. Lo denomino “efecto grafiti”, porque es como pensar en una pared limpia y en otra repleta de grafitis… ¿cuál de las dos invita a hacer uno nuevo? ¿En cuál da la sensación de que no importará que haya uno más? Es lo mismo que ocurre con el equipo de seguridad. Es importante que sus instalaciones sean profesionales y atractivas. Además de otros detalles que redundan en la obtención de una mejor imagen, tanto dentro como fuera de la organización, concienciar a los empleados sobre las contraseñas, cuidar la confidencialidad, evitando papeles confidenciales por las mesas y cosas por el estilo… 14 Curso de Verano 2011 En lo que se refiere a la tercera de estas cinco provocaciones, ésta es la de utilizar conectores sociales, al modo que los define Malcolm Gladwell en su libro “Tipping Point”. En el libro, este autor se refiere a unos personajes, los conectores sociales, que no siendo miembros de la Dirección, conocen a todos los empleados de la organización y tienen un alto grado de conexión con todos los agentes activos de la empresa. La propuesta es identificar a estas personas dentro de la compañía, e invitarlas a que se unan a nuestras tareas, no como parte del equipo, sino como facilitadores y transmisores de los mensajes que queremos llevar a los miembros de la corporación. Nos ayudarán a concienciar a los empleados, proveedores o clientes sobre todo aquello que hayamos decidido implantar en el seno de la empresa. Por ejemplo, podemos regalarles un filtro de confidencialidad para su portátil, seguros de que lo recomendarán a sus compañeros; o invitarles a un seminario atractivo donde puedan llevarse algo tangible relacionado con la seguridad, o enseñarles a crear una contraseña fuerte. La idea es aprovechar lo que tenemos de la forma más astuta posible, la comunicación peer to peer, aprovechar la comunicación y la información que fluye al mismo nivel, nunca como una imposición. Por otro lado, la cuarta provocación se centra en lo que se conoce como “el poder del gratis”. Nadie puede abstraerse de la atracción que ejerce sobre nosotros todo aquello que es gratis. Centro de Investigación para la Gestión Tecnológica del Riesgo
  15. 15. Curso de Verano 2011 Si regalamos dispositivos de memoria cifrados o protectores de pantalla, seguro que tendremos asegurado su uso. Finalmente, la quinta provocación se refiere al axioma de que “la seguridad no puede ser destructiva”, porque si esta es nuestra actitud para con la organización corremos el riesgo de aislarnos. Es más importante estar presente en proyectos clave de la organización que concluir uno propio concreto. En definitiva, y según decía un antiguo profesor, el negocio está para hacer negocio, no para Centro de Investigación para la Gestión Tecnológica del Riesgo La lucha tecnológica contra el fraude organizado hacer seguridad, salvo el negocio de seguridad, por lo que nos conviene siempre no perder de vista el baño de humildad y ser conscientes de que, como todos, nosotros también somos prescindibles. En este contexto, y para recapitular, si queremos desarrollar con éxito nuestro trabajo como departamento de seguridad, y encontrar esa armonía de la que hablábamos, necesitamos unos métodos, unos filtros, unos pasos a seguir, y un equipo multidisciplinar, con pasión, motivación y ganas de innovar. 15
  16. 16. La lucha tecnológica contra el fraude organizado 16 Curso de Verano 2011 Centro de Investigación para la Gestión Tecnológica del Riesgo
  17. 17. Curso de Verano 2011 La lucha tecnológica contra el fraude organizado ANTI-PHISHING WORKING GROUP Gary Warner (Director of Research in Computer Forensics. The University of Alabama at Birmingham) mpezaré mi exposición con una reflexión: aunque parece que las personas siempre primamos el factor económico, y los delincuentes lo que buscan es siempre dinero, realmente creo que hay un factor mucho más importante: la reputación. Hace poco pregunté a un Senador en EE UU si le había llegado alguna vez un ataque de phishing y me respondió que sí. Me dijo a qué banco se suplantaba y le pregunté qué opinaba sobre lo que le debía estar pasando a su banco para permitir tales ataques a su marca. Y me contestó que lo más seguro es que los del banco no se enteraran de que les estaban atacando, porque de lo contrario no lo permitirían. Creo que la buena fama es más importante que todo el oro del mundo. Y el factor de reputación es Centro de Investigación para la Gestión Tecnológica del Riesgo lo que hemos de considerar cuando permitimos que continúe o no un ataque de phishing. Eso y la impunidad que beneficia a los malhechores. Nosotros analizamos 85.000 webs de phishing de bancos afectados… ¿y saben cuántos de los delincuentes van a la cárcel? Solo el 1%, lo que significa que para el 99% restante vale la pena cometer estos delitos. Hay tres campos a los que prestamos especial importancia dentro de nuestro grupo de trabajo: La formación de los profesionales que lucharán el día de mañana contra el cibercrimen (que será aún más complejo). La preparación de las mejores herramientas y las técnicas más eficaces en esta lucha, ayudando 17
  18. 18. La lucha tecnológica contra el fraude organizado también a las unidades especiales de los cuerpos y fuerzas de seguridad (trabajamos muy de cerca con la unidad específica del FBI para estos temas). La educación del público sobre las amenazas existentes sobre el cibercrimen. En mi laboratorio contamos con 35 puestos de trabajo y los organizamos en tres zonas distintas: una de spam y phishing, otra de malware y análisis forense y luego la parte de investigaciones. En esta última es donde realmente los estudiantes se relacionan con las fuerzas y cuerpos de seguridad, aprendiendo qué es lo importante y dónde hay que fijarse primero a la hora de detectar indicios de cibercrimen. Y en base a todos los datos que allí manejamos, aprenden a realizar y formalizar una investigación en este escenario. Tenemos un proyecto de spam, donde hemos recuperado más de 500.000 millones de correos electrónicos, que ya tenemos disponibles también para los cuerpos de seguridad. Allí trabajamos en cómo podemos identificar el malware para saber quiénes son los delincuentes que han enviado estos mensajes. Disponemos de un ordenador específico para el cibercrimen, con 14 servidores dedicados y otros noventa y tantos para almacenar información, y con ellos hacemos análisis y estudios y damos apoyo a las fuerzas del orden. También trabajamos con la oficina antidroga, incluso con cuerpos de cibercrimen en Alemania o los Países Bajos. 18 Curso de Verano 2011 Para realizar nuestro trabajo, tenemos que analizar muchos procesos para determinar si es una web de phishing. Y si tenemos éxito, entonces, automáticamente, buscamos un archivo de phishing. Empezamos la búsqueda manual e intentamos dilucidar la relación entre este sitio de phishing y otros webs de phishing que hemos visto en el pasado. Es importante conocer las relaciones entre las distintas páginas de phishing, porque, como nos gusta decir aquí, no todos los delincuentes son iguales, y si entendemos la relación entre las webs, entenderemos también ante qué tipo de delincuente estamos. Por ejemplo, hace poco descubrimos un caso curioso en un banco de Alabama, donde un hombre nigeriano había aprovechado copias del mes de febrero, considerado el de la historia negra del banco, para hacer phishing contra el banco. Lo teníamos todo de él, su página de Facebook y sabíamos quiénes eran sus amigos. También nos ocurrió con un phishing al Banco de América, que tienen en su departamento más de 800 webs de phishing detectadas contra su banco, y ahí sí hicimos una ardua labor para relacionar todas esas webs. Siete pasos para una investigación de phishing Como comentaba, intentamos buscar la relación existente entre la web de phishing en cuestión y las otras en las que hemos detectado la existencia de una relación de afinidad. Introducimos lo Centro de Investigación para la Gestión Tecnológica del Riesgo
  19. 19. Curso de Verano 2011 que nos va pidiendo (identificación de usuario, contraseña, responder a tres preguntas de seguridad, volver a meter el correo electrónico y luego una clave…) y nos vamos dando cuenta de que así no trabaja una web de verdad. El funcionamiento es sencillo: cuando la web consigue lo que quiere nos envía a la web del banco y cuando nos preguntamos quién nos ha mandado allí podemos ver los archivos en el servidor. Y entonces podemos detectar cuántas webs de phishing tienen 100 víctimas y cuántas 1.000, por ejemplo. Y también podemos identificar quiénes han sido los clientes que han visitado la web de phishing. Lo que hacemos, básicamente, es seguir en siete pasos la metodología que hemos creado para la investigación de phishing. Primero preparamos un programa electrónico que se envía al cliente y luego analizamos el archivo en cuestión. Después intentamos determinar cómo esta web se relaciona con las otras webs que hemos visto anteriormente y más adelante miramos los logs, tanto en la web de la víctima como en el phishing. Y ahí sí ya somos capaces de identificar quién ha estado saboteando la web para introducir los datos de phishing. Encontramos entonces mucha información sobre el delincuente, que es quien más datos introduce en la web de phishing, porque quiere asegurarse de que funciona. De hecho, la primera dirección que vemos es casi siempre la dirección IP del atacante. Podemos recopilar todos los logs en diferentes webs y podemos ver la misma dirección de IP para diferentes webs de phishing. Centro de Investigación para la Gestión Tecnológica del Riesgo La lucha tecnológica contra el fraude organizado Como comentaba al principio, en EE UU trabajamos muy cerca de los cuerpos de seguridad. Ellos suelen manejar muchos datos, pero muchas veces no saben cómo procesarlos, y entonces nosotros lo hacemos con nuestras herramientas, en nuestro laboratorio. Viendo las cuentas en Yahoo, Hotmail o Gmail averiguamos quiénes son las víctimas. En la última parte de la investigación lo que hacemos es inteligencia de código abierto, haciendo un análisis del archivo. Puedo poner como ejemplo ilustrativo una web de phishing que operaba contra BBVA. Estaba diseñada desde un hotel en Barcelona, cuya web había sido saboteada para operar como un phisher del BBVA. En esta web descubrimos los correos electrónicos de los delincuentes, que los utilizan para robar las credenciales. Siguiendo con la investigación, nos encontramos el mismo phisher y su dirección de correo electrónico en 8 webs diferentes. En otras investigaciones lo que encontramos fueron intentos de phishing con características similares en 29 webs distintos. Con esto lo que demostramos es que cuando uno hace una investigación de phishing sobre su marca a menudo está tan centrado en ella que no puede imaginar que ese mismo delincuente también está atacando a la competencia. Por otro lado, hay que estar muy atentos a los errores que cometen los delincuentes, porque los cometen, y muchas veces son determinantes para dar con ellos. 19
  20. 20. La lucha tecnológica contra el fraude organizado Curso de Verano 2011 Tuvimos un caso de un phisher que organizó más de 100 webs de phishing. Y pensaba que su dirección secreta estaba a salvo, pero no lo estaba tanto y desde el grupo conseguimos identificarlo. Conseguimos también identificar todos los sitios o webs de phishing que había modificado y las cuentas de correo electrónico con las que trabajaba. Después de un tiempo de investigación, conseguimos tener fotos de todas y cada una de estas personas. Había 33 personas involucradas dentro de nuestras fronteras y más de 100 en todo el mundo. Al final se detuvo la trama y al cabecilla le cayeron 13 años de cárcel, por delitos de phishing y, por cierto, también por cultivo de marihuana. Éxitos en la investigación En 2011 también investigamos el caso de tres corporaciones, contra cuya marca operaban más de 500 webs de phishing. Fue también una de nuestras investigaciones más importantes y conseguimos grandes avances con ella. Afortunadamente podemos decir que han sido ya unos cuantos éxitos los que avalan nuestro trabajo y nuestra dedicación en la lucha antiphishing. Con nuestra colaboración se pudieron detener a más de 70 personas que estaban realizando actividades fraudulentas en distintos países del mundo. Y en otra investigación reciente detectamos delincuentes en Rumanía y España, entre otros países, dedicados a hacer webs de phishing. Otra investigación que me gustaría destacar es una que llevamos a cabo en EE UU y que terminó con la detección de una persona que había estado viviendo en Egipto y que a su vuelta a EE UU empezó a trabajar como traductor de árabe. En su estancia en Egipto había conocido mucha gente, y parece que casi todos delincuentes, y cuando volvió a nuestro país desplegó una compleja red de colaboradores de primer y segundo nivel, en distintos Estados, como California, Nevada, Carolina, etc. Estas conexiones de segundo nivel sacaban dinero de los cajeros ATM con una identidad falsa y se enviaba dinero a Egipto. 20 En todo caso, lo que siempre nos gusta decir, para que todo el mundo esté prevenido, es que los delincuentes también tienen éxito. Pueden interceptar dinero muy fácilmente con el número de usuario y la clave. Dicho esto, lo que importa no es tanto que se diseñen las webs, porque de esas podemos encontrar cientos de casos. Lo que importa es que estas webs terminen obteniendo aquello para lo que fueron diseñadas: dinero de manera ilícita. El malware, más caro En otro orden de cosas, también quería comentar el asunto del malware, cuyos casos de vulnerabilidad terminan siendo más caros que los causados por los de phishing. Según algunos estudios, por cada dólar que se pierde en phishing, se pierden tres en malware. Uno de los más avanzados es un keylogger Centro de Investigación para la Gestión Tecnológica del Riesgo
  21. 21. Curso de Verano 2011 llamado Zeus, que (una vez detectado el movimiento del teclado) puede tomar el control remoto del ordenador sin mucho problema. Con todo, para este tipo de técnicas fraudulentas, en la parte de la investigación tenemos otras que pueden contrarrestar sus efectos. Por ejemplo, hay opciones para conseguir que la web detecte si estás utilizando un ordenador distinto del habitual y te avise en esos casos. A mí, por ejemplo, sin ir más lejos, me pasó ayer mismo. Quise enviar dinero a mi hija, y me decía que estaba en un ordenador que no era el mío y me solicitaba otra forma de confirmar mi identidad. Introduje la otra clave y pude realizar la operación. Pero lo importante es el aviso que me llegó de que estaba operando desde otro ordenador, poniendo una barrera más a la hora de movilizar mi dinero. Huellas digitales de dispositivos Paralelamente, también nos enfrentamos a una vulnerabilidad donde aparece una técnica llamada “huella digital del dispositivo”. ¿Y cómo detectamos el fraude en estos casos? En EE UU hemos sufrido algún ataque en este sentido. Y se han detenido más de 40 personas entre Nueva York y Ucrania, que habían conseguido robar más de 200 millones de dólares. La dinámica de trabajo en este caso había sido muy sencilla. Se entraba en una página que daba problemas al usuario y donde para solucionar estos se le recomendaba recurrir a un teléfono Centro de Investigación para la Gestión Tecnológica del Riesgo La lucha tecnológica contra el fraude organizado de ayuda que aparecía en la misma página del phishing. El delincuente contestaba directamente al teléfono y te solicitaba distinta información que luego aprovechaba para utilizar en la página de phishing. Si hubiéramos podido desconfigurar el archivo de configuración nunca se hubiera visto este número de teléfono. Sobre estos archivos de configuración, una de las primeras medidas que hay que tomar en cuenta es confirmar si otros bancos están en el mismo archivo de configuración porque estén sufriendo al mismo delincuente. Y quizá aquellos tengan recursos de inteligencia más avanzada y nos puedan ayudar a ver quién es “el malo” y cómo detenerle. Un usuario final vulnerable Un fenómeno como el phishing, que se basa en ingeniería social, es cierto que solo puede ser perseguido con la gestión tecnológica del riesgo. Lo especialmente significativo aquí es algo que a veces se nos olvida, y es que el phishing depende y está basado en la existencia de un usuario final vulnerable. Mientras haya humanos que cometan errores y que no presten toda la atención que merecen las situaciones especialmente conflictivas, siempre existirá el riesgo. Desde el Anti-Phishing Working Group trabajamos y trabajaremos por evitar esta falta de concienciación. Y siempre intentaremos que los bancos sean conscientes de los mensajes que ellos mismos están enviando. Tenemos que alcanzar un nivel de seguridad, por tecnología y herramientas, y por concienciación de los propios bancos y de sus usuarios, que nos permita 21
  22. 22. La lucha tecnológica contra el fraude organizado defendernos de los delincuentes. Que, incluso, aunque estos conozcan nuestra identificación de usuario y contraseña no puedan robarnos el dinero tan alegremente. Congresos y reuniones El Anti-Phishing Working Group se estableció para compartir información, y eso es lo que 22 Curso de Verano 2011 hacemos en nuestras reuniones periódicas. Organizamos dos Congresos importantes al año, y otra Cumbre General entre octubre y noviembre. Y, además, celebramos nuestra Cumbre de Investigadores de Delitos Electrónicos, y los distintos Comités locales, en los que les invitamos a participar desde aquí. Centro de Investigación para la Gestión Tecnológica del Riesgo
  23. 23. Curso de Verano 2011 La lucha tecnológica contra el fraude organizado THREAT HORIZON: IDENTIFYING FUTURE TRENDS Adrian Davis (Principal Research Analyst. Information Security Forum - ISF) ablemos del futuro como una realidad, como algo que es concreto y que ya está aquí, y estaremos en mejores condiciones para entender por qué nos preocupa y cuáles son las amenazas y riesgos que nos esperan en la Sociedad de la Información. Pero hablar de futuro es hablar de globalización. Vivimos en un mundo globalizado donde ya no existen las fronteras, donde la gestión de la informática, e incluso del malware, se pueden externalizar. Hay un libro muy interesante que recomiendo, que se llama “La Tierra es plana: breve historia del mundo globalizado del siglo XXI”, de Thomas Friedman, que resulta muy ilustrativo al efecto y que habla precisamente de esto, de la ausencia Centro de Investigación para la Gestión Tecnológica del Riesgo de fronteras y de una nueva forma de entender el mundo. Las cosas han cambiado mucho en estos últimos años. Las empresas lo han hecho moviéndose libremente de unos países a otros y ampliando sus cadenas de suministro. Y esto sigue cambiado constantemente. Al igual que las cadenas de suministro y al igual que las amenazas y los riesgos a la seguridad de la información. Asimismo, la relación con los proveedores presenta nuevas características. Ahora más que nunca hay que confiar en el proveedor, que haga lo que ustedes quieren que haga, y que incluso, lo más importante, hagan todo lo que dicen que van a hacer o que están haciendo. Y ahí está la gran diferencia. 23
  24. 24. La lucha tecnológica contra el fraude organizado Pero la cadena de suministro, en este movimiento de cambio, sigue siendo un componente crítico para las organizaciones, su información sigue siendo de vital importancia… y estos cambios nos hacen perder también gran parte de la información sobre ella, sabemos menos acerca de cómo funciona y opera. De manera que nos enfrentamos también a una cuestión muy importante: ¿cómo podemos auditar “la nube”, teniendo en cuenta que el entorno cloud cambia constantemente y no es un sistema estático? Todo ha cambiado, ¿y cuál es nuestro problema? Si tenemos muchos problemas y sucumbimos, la empresa sucumbe y será una catástrofe, nos pondrán muchas multas si no cumplimos las normativas ya impuestas… ¿Cómo decimos a nuestros colegas y colaboradores que lo importante sigue siendo la información? Tenemos que tener cuidado de que no nos ocurra lo mismo que a aquel niño que de tanto decir que venía el lobo, el día que vino de verdad nadie le creyó. Curso de Verano 2011 útil porque había muy pocos y la capacidad de comunicación era muy escasa, pero ahora no podemos vivir sin él. Igual que las redes sociales, que extienden sus tentáculos más y más y establecen más y más relaciones entre nosotros. En cualquier entorno, la información está relacionada con las tecnologías de la información y estas se están convirtiendo en el centro de nuestra vida. La labor de ISF Y nosotros, desde ISF, ¿qué hacemos para ayudar a entender este entorno cambiante? Pues muy sencillo: recabamos información, hablamos con muchísimas personas de perfiles muy diferentes y así nos acercamos a factores legales, económicos, culturales, políticos, tecnológicos, etc. y conseguimos tener una visión más completa del mundo que se nos avecina. Todo es información De este modo, podemos saber cuáles serán las amenazas más importantes a la seguridad de la información y cómo se relacionarán con los cambios que sufriremos en la sociedad en un futuro inmediato. Vemos cómo cambia nuestra forma de trabajar y cómo entramos en otra dimensión, que tiene sus propias amenazas y sus propios problemas. Tenemos que estar preparados, hay que estar muy atentos a qué podría pasar, independientemente de que llegue a pasar, o no. Y toda esta información la compartimos con el sector a través de los informes que publicamos y las reuniones que celebramos. Yo, particularmente, tengo la suerte de haber gestionado este proyecto desde los últimos cuatro informes. Los avances se miden según su utilidad y su popularización. En 1876 el teléfono no era nada Celebramos varias reuniones al año y ahí preguntamos cuáles serán las nuevas tendencias 24 Centro de Investigación para la Gestión Tecnológica del Riesgo
  25. 25. Curso de Verano 2011 tecnológicas. En España celebraremos una convocatoria del Capítulo Regional de ISF en marzo en Madrid; y allí, entre otros temas, se hablará de la seguridad en los entornos industriales, de la protección de infraestructuras críticas y del programa de trabajo de ISF para este año. Como decía, en estas reuniones hablamos con la gente que trabaja en fabricación, en banca, en sanidad, y también hablamos con el World Economic Forum y con futurólogos (aquí destaco un libro que lleva por título “Los siguientes 50 años”, y que resulta muy interesante); y después ponemos todo en común en nuestro Congreso Anual, que se celebrará en Chicago del 4 al 6 de noviembre. Y es a partir de ahí cuando ya recabamos toda la información final y los datos correctos para empezar a redactar el informe. Lo que estamos viendo es que en Reino Unido, también en EE UU y, sobre todo, en la Unión Europea se está haciendo un esfuerzo por integrar, cada vez más, normas sobre información y privacidad. En la Unión Europea, el 1 de mayo de 2011 entró en vigor la llamada “ley de cookies”, que lo que viene a decir es que no se puede almacenar información en cookies de las personas que visiten la web, a no ser que se permita expresamente. En Reino Unido, por ejemplo, si se pierde información personal, nuestra Oficina de Privacidad de Datos puede llegar a poner una multa de medio millón de libras por cada una de las veces que se viola esa privacidad. Centro de Investigación para la Gestión Tecnológica del Riesgo La lucha tecnológica contra el fraude organizado Amenazas más importantes de 2011 Conocemos muchos ataques anónimos y muchos están causados simplemente por errores, que podrían fácilmente subsanarse. Por ejemplo, porque no tenemos los parches instalados o porque no actualizamos correctamente los servidores. Y esto es lo que conocemos, porque luego está lo que no conocemos, y lo que los delincuentes pueden hacernos. Y un entorno que, desde luego, no está a salvo de los ataques de los ciberdelincuentes es “la nube”. Cada vez más negocios migran algunas de sus plataformas, o incluso sistemas críticos, a “la nube”. Visto esto, ¿cuáles son las principales amenazas en la Red? ¿Qué juega ahora mismo en nuestra contra? Por un lado, la ilusión de fronteras. Ahora estamos conectados a mucha más gente y ni siquiera sabemos que lo hacemos. Tenemos todo tipo de dispositivos electrónicos, conectados entre sí y con otras muchas personas, de manera que ya no existe un muro tras el que esconder nuestra privacidad. Por otro lado, otra amenaza en Internet es la existencia de infraestructuras más débiles. Dependemos de muchas organizaciones para que nuestros negocios funcionen bien y para mantenerse en contacto. A veces estos tienen problemas, y si ellos tienen problemas, entonces nuestro negocio también 25
  26. 26. La lucha tecnológica contra el fraude organizado sufre. Por ejemplo, si la conexión a Internet no funciona, debemos esperar a que el ISP ponga a funcionar su sistema de respaldo para que nos afecte la caída lo menos posible. Además, las leyes suelen redactarse con mucho retraso. Cuando se aprueban, las amenazas contra las que imponían regulación ya han evolucionado a otro nivel, lo que hace que esta regulación se quede obsoleta enseguida. Y tampoco se evoluciona a la par de tecnologías punteras, como los servicios de geolocalización, ni de aspectos empresariales clave como las cadenas de suministro, cada vez más débiles y más “deslocalizadas”. Otras amenazas importantes son también el incremento y sofisticación de los ataques criminales, las reglas de juego cada vez más estrictas y las particularidades de los entornos de outsourcing/offshoring. Un apunte sobre el malware en los teléfonos móviles: apenas nos hemos encontrado con esta amenaza porque los delincuentes no encuentran este escenario atractivo. Pero eso es solo una parte, lo que ahora nos importa también es no perder el móvil con datos sensibles en su interior. En Londres, cada día se dejan olvidados en los taxis hasta 10 teléfonos móviles, con datos muy importantes de las compañías para las que trabajan sus usuarios. Hay que proteger estos dispositivos, cada vez más centrados en el negocio y con una información crecientemente confidencial. 26 Curso de Verano 2011 Por otro lado, el plan de continuidad de negocio se vuelve fundamental si lo que queremos es evitar complicaciones mayores después. El coste que supone la pérdida de datos por persona y año para una compañía alcanza los 75 dólares, de manera que si una empresa pierde datos de, pongamos, 100.000 personas, el coste es elevadísimo, y ello independientemente de las multas, las auditorías, etc. Y es que el auge de lo que ya denominamos “derechos humanos digitales” es imparable. El derecho a estar conectado o a navegar libremente por Internet es ya un derecho adquirido que nadie está dispuesto a perder. Es un tema interesante en la actualidad, y lo será más cuando el resto de países del mundo participen también de esta conexión. Cuando África o Asia se integren de verdad en nuestras redes y reclamen el mismo protagonismo. Y ahí tendremos que resolver un problema cuantitativo, porque incorporaremos a “nuestra tarta” a muchos millones de personas. Habrá muchas oportunidades, pero también muchas amenazas. Y en medio de ese panorama explotarán también otros temas, como la Internet de las cosas, dispositivos que hablan con dispositivos sin intervención humana; y el acortamiento de la cadena de suministro. Ya no dependeremos de una única fuente de suministro, sino de múltiples fuentes. Y será importante tener detectado cuáles serán los proveedores críticos para nuestro negocio. Centro de Investigación para la Gestión Tecnológica del Riesgo
  27. 27. Curso de Verano 2011 Cuatro categorías y 5 puntos importantes Podemos hablar de cuatro categorías de amenazas según las conozcamos o no: La referida a aquellas que conocemos y con las que podemos hacer algo para trabajar. Las cosas que conocemos, pero no podemos hacer nada para evitarlas. Las amenazas de las que no tenemos ni idea. Y, finalmente, las que nadie contemplaría pero que pueden causar mucho daño a la organización. En esencia, tenemos que tener en cuenta: Que las personas son cada vez menos fieles a las empresas. Que hay entornos que no podemos gestionar ni controlar, como los medios sociales. Los requerimientos de los distintos gobiernos. Los delincuentes y sus formas optimizadas de engañar y ganar más dinero. Y, por último, nuestros particulares “cisnes negros”. Entonces, ¿qué podemos hacer? Empezar a planificar ahora mismo. Trabajar para que nuestros sistemas sean más seguros. Y lo haremos siguiendo unos pasos sencillos. Viendo primero cuáles son los riesgos que pueden afectar a nuestra organización y nuestra información, y cuáles son las amenazas que más daño podrían hacernos. Y una vez puesto eso en común recurrir a la tecnología, y no solo a las tecnologías conocidas, sino también a aquellas emergentes que puedan aportarnos un extra de protección. También hay que tener los parches y actualizaciones necesarias y prestar la atención que se merece a la gestión de identidades. Centro de Investigación para la Gestión Tecnológica del Riesgo La lucha tecnológica contra el fraude organizado Y desde luego dedicar más recursos a la formación y al conocimiento. Aquí, un dato: la mayoría de las organizaciones gastan alrededor del 4% de su presupuesto en la seguridad de su información; pero las empresas que trabajan mejor, con mayores beneficios y normalmente con menos incidentes, gastan entre un 15% y un 25% de su presupuesto en programas de conocimiento, porque creen que es lo que da mejores resultados. 7 pecados capitales del cloud A continuación quisiera enumerar las problemáticas más comunes que existen en “la nube”, lo que denominamos también los “7 pecados capitales del cloud”. El primero sería que hay que conocer bien lo que queremos gestionar después. El segundo que siempre hay que conocer nuestras responsabilidades, porque el proveedor en “la nube” nos venderá un servicio, pero la responsabilidad siempre será nuestra. El tercer pecado capital es que hay que entender muy bien qué nos ofrecerá el proveedor y cómo lo podremos medir. Tenemos que poder respondernos a las siguientes preguntas: ¿Están haciendo lo que dicen que van a hacer? ¿Cómo lo puedo saber? Y ello teniendo en cuenta que la evaluación en “la nube” es diferente porque todo cambia. El cuarto pecado capital tiene que ver con infringir la ley, ya que podemos estar infringiendo una ley en un país determinado y no saberlo. 27
  28. 28. La lucha tecnológica contra el fraude organizado El quinto está relacionado con el caos, el desorden, con qué información está en “la nube”, cuál es crítica y sensible y qué tengo que hacer con ella. El sexto pecado es la vanidad. Pensar que tus infraestructuras están perfectamente preparadas para “la nube” porque tienes instalados cortafuegos y otras herramientas, pensar que no te puede afectar a ti… Y, por último, el séptimo pecado capital es la complacencia. Nos tenemos que asegurar de que nuestro proveedor de nube tiene planes de continuidad de negocio y de recuperación ante desastres. Y lo último, la “consumerización” En último término, hay que tener en cuenta que la tecnología de cloud ha llegado para quedarse. No 28 Curso de Verano 2011 va a desaparecer y hay que aprovecharse lo mejor posible de ella. Por eso hay que educar también a nuestros usuarios para tener más conocimiento, y para ver qué dispositivos vamos a apoyar y cuáles no, y qué aplicaciones vamos a utilizar y con qué datos. Hay que tomar estas decisiones hoy, porque si no mañana estaremos inundados de información por todas partes y no habremos decidido ninguna estrategia al respecto. Lo mejor que hay que hacer es mantenerse al día con los cambios. No pensar que podemos trabajar como lo hacemos ahora. Hay que trabajar para el negocio y por el negocio. Y si el negocio cambia, cambiamos todos. Nuestro mundo va a cambiar y tenemos que estar preparados. Centro de Investigación para la Gestión Tecnológica del Riesgo
  29. 29. Curso de Verano 2011 La lucha tecnológica contra el fraude organizado EL RIESGO DE LO IMPREDECIBLE: “THE BLACK SWANS” José Antonio Mañas (Catedrático de la ETSI Telecomunicación. Universidad Politécnica de Madrid) i ponencia tiene como hilo conductor el concepto de los “cisnes negros” o black swans, que según se recoge en el libro de Nassim Nicholas, y según se maneja en el sector, tiene que ver con el impacto de lo extremadamente improbable. El concepto se refiere a aquellos acontecimientos que a veces ocurren, pero que no son, en absoluto, predecibles. En realidad, adaptados a nuestra tierra, deberíamos decir “perros verdes”, como cuando se decía en mi pueblo eso de que “eres más raro que un perro verde”. No obstante, esto de la predictibilidad es algo totalmente relativo, puesto que lo que para unos es predecible para otros no lo es en absoluto. Centro de Investigación para la Gestión Tecnológica del Riesgo Valga como ejemplo el pavo que nos comemos en Navidad. Nada podría haber llevado a pensar al pavo que nos lo vamos a comer en esa fecha, él tan feliz y bien cuidado. Sin embargo, para el que hará la cena es algo totalmente predecible. Impredecible con alto impacto En este contexto de lo impredecible, lo que nos interesa son las cosas y acontecimientos que aparte de impredecibles tienen un grandísimo impacto para nuestra organización. De modo que para entender cómo llegamos a esta parte, podemos analizar cómo funciona el análisis de riesgo según los esquemas de zonas frías y zonas calientes. 29
  30. 30. La lucha tecnológica contra el fraude organizado La zona uno, la más caliente, es la que plantea la existencia de una elevada probabilidad y un alto impacto. Son cosas que ocurren a menudo y que, además, “duelen”. Esto es, sin duda, lo primero que tenemos que afrontar como responsables de seguridad de nuestra organización. Según bajamos hacia debajo de la zona uno, se sigue manteniendo la alta frecuencia de los acontecimientos, pero no así el impacto, que ya empieza a ser más bajo. De todo esto no se suele hablar mucho porque no tiene mayor consecuencia, aunque sí son lo que podemos llamar “moscas cojoneras”. Llegando ya a la zona más templada, con cosas menos probables y con menos impacto, el llamado nivel 2… aquí hemos de decidir qué hacemos y qué arriesgamos. Pensamos en qué beneficio obtenemos y nos fijamos, por ejemplo, en qué hace la competencia. En este apartado, nuestra actuación es, con frecuencia, resuelta por el regulador y las normativas que se aplican. Después de estas dos zonas, estaría la zona 3, donde nos encontramos con sucesos que aparte de ocurrir pocas veces, además no tienen importancia. En mi opinión, no hay problema en olvidarse de estos sucesos. O en su defecto considerarlos “oportunidades” en vez de riesgos. Y es que el riesgo siempre hay que verlo desde la perspectiva del beneficio que nos reporta asumirlo, siempre es necesario hacer un cálculo de negocio. Asumirás un riesgo si existe un beneficio potencial; en caso contrario, no lo asumirás. 30 Curso de Verano 2011 Por último tenemos el apartado cuatro, donde se dan las dos circunstancias siguientes: es muy raro que ocurra; pero, sin embargo, tiene un elevado impacto en caso de suceder. Es eso que en el lenguaje de una pyme se perfila en la expresión “que sea lo que Dios quiera”. Pero si estás en una empresa más grande, es inevitable estar pendiente de todo aquello que podría pasar aunque sea algo completamente remoto. Decir probabilidad muy baja es hablar de sucesos extremadamente infrecuentes; aquellos otros no imposibles, pero jamás observados; y aquellos que, aun siendo posibles, hemos atajado preventivamente hasta hacerlos prácticamente imposibles. Esta última opción se refiere a lo que supone nuestra acción como responsables de seguridad y el abordaje hecho en barreras de seguridad, criptografía, centros de respaldo, etc. Aunque, cuidado con lo que se observa. Porque lo que no se ve en un lugar o en un entorno sí puede llegar a acontecer en otro. Como el “cisne negro”, que no se observa en ningún lugar, en ningún momento y, sin embargo, aparece en algún otro lugar del mundo. ¿Calcular la probabilidad? Llegados a este punto, la gran pregunta es si podemos calcular la probabilidad, si podemos hacer un análisis de riesgo, y si podemos llegar al “efecto del punto medio”, que es todo aquello que ocurre muchas veces. Centro de Investigación para la Gestión Tecnológica del Riesgo
  31. 31. Curso de Verano 2011 Aquí hemos de tener en cuenta que la experiencia solo predice lo más probable y que la curva de Gauss requiere multitud de observaciones, lo que en mi opinión nos lleva al concepto de incertidumbre extrema y nos indica que es poco probable que ocurra. Así, cuando estamos hablando de un objeto singular, no hay estadística que nos valga y aquí no podemos ser capaces de predecir. Y con respecto a que la experiencia solo puede predecir lo que es probable, hay que reseñar que esto depende, en todo caso, del sujeto, de la propia experiencia, de la situación, etc. También hemos de hablar de lo que es improbable, remoto que ocurra y donde el impacto es incierto. No sabemos qué ocurrirá, pero sospechamos que puede tener un impacto costoso para el negocio y para nuestros activos. Aquí no hay experiencia propia ni ajena, y podemos considerarnos como parte del problema. Aquí, como decía Heráclito con aquello de “en el mismo río entramos y no entramos, pues somos y no somos”, nada es igual que la primera vez, el río no es el mismo por eso de que el agua corre y nunca nos podemos bañar entonces dos veces en el mismo río. Estamos en los casos inciertos, en ese impacto. En estos casos, entramos a analizar nuestra propia reacción en la carrera contra el impacto, y la reacción externa. La de los accionistas, los clientes (que pueden ser muy fieles, pero también pueden optar por penalizarte al más Centro de Investigación para la Gestión Tecnológica del Riesgo La lucha tecnológica contra el fraude organizado mínimo impacto detectado), los poderes públicos (que a veces parece que no hacen nada y otras parece que contribuyen a generar más alarma aún) y la sociedad (donde se te puede hacer un juicio público sin grandes garantías, donde se preguntan si te aprovechas de la situación, si has llegado a hacer todo lo posible, etc.). El marco en el que nos encontramos tiene un modelo matemático de probabilidad difícil de conocer y otro de impacto difícil de salvaguardar, con lo cual todos los planes y predicciones hay que hacerlos con “cierta dosis de arte”. En este escenario de la gestión del riesgo lo primero a considerar es prevenir todo lo que podamos prevenir, siempre y cuando se justifique el coste, pudiendo abordar acciones de gestión, de prevención del riesgo, de limitación del impacto, etc. También es importante una segunda cuestión, considerando los escenarios de desastre previstos, si es que el incidente era previsible. En tercer lugar, en esto de la gestión del riesgo hay que considerar la propia gestión de crisis. Aquí podemos hablar de cuatro cosas: … de indicadores predictivos (a partir de las causas podemos predecir lo que va a acontecer. Por ejemplo en los semáforos en ámbar, sabemos que le sigue el color rojo. Con todo, hay que ir con cuidado con estos indicadores, porque ocurren en pocas ocasiones); … de la detección y el escalado de la alarma (debemos contar con detectores, con una cadena controlada de ellos… “no me digas que has 31
  32. 32. La lucha tecnológica contra el fraude organizado cambiado el móvil y no tengo el número nuevo”, y prestar especial cuidado a los llamados falsos positivos, que pueden “anestesiar” e impedir que, después, se detecte la problemática en el momento en que ocurre); … de la gestión de los afectados (ya sean los propios sistemas de información, el propio negocio, los clientes, los proveedores, la cadena de suministro o la sociedad…); … y de la recuperación para lograr colocar al negocio en su práctica habitual (aquí tenemos nuestro plan de recuperación de desastres, el sistema de respaldo… y es que, el “business as usual” ya no existe). La gestión del incidente A la hora de abordar la gestión del incidente, hay dos opciones: o tenemos una actitud pasiva o nuestra forma de abordar el conflicto es reactiva. Si nuestra forma de interactuar es pasiva, entonces podemos quedarnos impasibles a ver cómo evoluciona el desastre. Esto conlleva un alto grado de parálisis, como aquello que decíamos de las pymes de “que sea lo que Dios quiera”. Curso de Verano 2011 todas las telas. La forma en la que se gestionó aquella crisis dio como resultado la aventura de la marca como firma de los conocidos vaqueros. Una vez llegado el desastre, seguimos teniendo también diferentes opciones, que nos llevarán a diferentes resultados. Puede ser que regresemos a donde estábamos antes de acontecer el susodicho, pudiendo aplicar diferentes planes de recuperación ante desastres; podemos aprovechar las nuevas oportunidades que se abren ante nosotros. En este contexto, podemos igualmente aprender a anticiparnos a estos desastres y a reaccionar según lo que más nos interese, pudiendo aprender siempre de la experiencia. Y ante todo ello, una pregunta fundamental: ¿dejamos de Directores a los mismos ciegos que no supieron prever este desastre? No habrá más remedio que contestarse a esta cuestión, aunque la respuesta definitiva muchas veces no dependerá más que de los accionistas de la empresa. Regulación y cumplimiento Si, por el contrario, nuestra actitud es reactiva, que creo que es lo mínimo de lo que tenemos que partir, podemos o bien frenarlo para que no llegue “a mayores” o bien reconducirlo para sacar el máximo provecho posible. En el apartado de regulación y cumplimiento, a menudo nos encontramos con la asunción de respuestas “rápidas” frente a escenarios que, quizás, nunca más se darán; pero muchas veces no queda más remedio que hacerlo. Esto es como lo que le ocurrió a la clásica firma Levi Strauss, que empezó vendiendo telas para hacer carpas y un día se le hundió el barco con Cumplir con las diferentes reglamentaciones da respuesta a varios cometidos que no podemos desdeñar, como calmar la alarma social; pero 32 Centro de Investigación para la Gestión Tecnológica del Riesgo
  33. 33. Curso de Verano 2011 también es cierto que es bastante complicado validar su efecto, puesto que se trata de una intervención rápida en un proceso impredecible. Dicho de otro modo, no sabemos si se podrá medir, no podemos validar si lo que estamos haciendo es o no correcto, es lo que se llama “sistemas realimentados”, desde la perspectiva de que muchas veces se legisla con mucha premura para un suceso que puede que ocurra cada 300 años, por ejemplo. Por otro lado, y como no podía ser de otro modo, las regulaciones sirven para que las empresas adopten determinadas medidas que de otra forma no asumirían. Es lo que se conoce como “miedo al incumplimiento”. Son muchas las razones que hacen que una corporación no dude en cumplir con aquellas regulaciones que le afectan. Entre otras podemos destacar las siguientes: quedar fuera del mercado, si estás en un ámbito regulado; o, por supuesto, evitar que nos pillen con “los deberes sin hacer” en caso de sufrir un incidente impredecible; y, mucho menos, acabar en prisión. Proteger y diversificar Visto lo anterior, la mejor solución para sobrevivir a un incidente contundente, que puede tener un alto impacto en el negocio, es “no poner todos los huevos en la misma cesta”, lo que se entiende por diversificar (clientes, servicios, segmentar el mercado, etc.). Pero para entender cómo llegamos a esto y por Centro de Investigación para la Gestión Tecnológica del Riesgo La lucha tecnológica contra el fraude organizado qué, hemos de hacer antes un recorrido que ilustre esta evolución. Tenemos que hablar de lo que denominamos “previsores” del negocio, y que, a su vez, se dividen en dos categorías: expuestos y protegidos, filosofía esta última donde situaríamos esta teoría de diversificación y segmentación. Empezando por el principio, y dentro de los previsores expuestos, el mayor impacto de todos los posibles acontece cuando, como decía antes, hemos puesto “todos los huevos en la misma cesta”, cuando tenemos todo interconectado y vulnerable a un ataque al mismo tiempo. También estamos más expuestos cuando no hemos definido correctamente el margen de seguridad, allí donde te recomendaban poner varias puertas y esconderte, segregando redes o diseñando una cloud DMZ. En resumen, ganas mucho con estas líneas de defensa, que puedes tener desplegadas por toda tu organización. Nos aprovechamos de las alarmas, y de la ventaja que nos dan frente a los riesgos. Y esto es muy importante tenerlo en cuenta, a pesar de que estos márgenes de seguridad resulten a menudo costosos y complejos. También aquí es importante hacer una referencia a la optimización de los recursos, algo a lo que se recurre en muchas ocasiones, más aún en tiempos de recesión económica como los que vivimos. Esto es importante y tiene sus ventajas, por supuesto, pero también nos sitúa en la siguiente tesitura: precisamente porque somos óptimos 33
  34. 34. La lucha tecnológica contra el fraude organizado resultamos más frágiles frente al atacante, y una vulnerabilidad nuestra puede echar por tierra muchos logros conseguidos con tanto esfuerzo. También en nuestra contra juega la condición de “rápida propagación”, cuando cualquier vulnerabilidad o ataque supone la llegada inminente a nuestros sistemas y la rápida expansión por nuestras redes e infraestructuras. Esto la gente de seguridad física lo tiene más controlado, y apuesta siempre por evitar estas rápidas propagaciones, recurriendo a lo que denominan “retardadores”. Valga como ejemplo, en el caso del fuego, la utilización de material ignífugo en la construcción de unas determinadas instalaciones o como parte de la vestimenta de quienes tienen que realizar tareas de salvamento; al final, de lo que se trata es de retardar el efecto de propagación del fuego. Y siguiendo el ejemplo que nos brinda la seguridad física, en nuestros departamentos de seguridad lógica hemos de ir más allá de instalar una clave, un token, etc., y pensar en la capacidad de propagación de una amenaza que alcance esa vía. Y es que siempre hay que tener en cuenta la dinámica y la versatilidad de los incidentes, porque si lo vemos seremos capaces de adaptarnos y luchar contra sus efectos. No obstante, viendo el tema de las dinámicas, el problema más importante que yo veo es la globalización, de manera que un incidente puede llegar a nuestros sistemas con más celeridad que antes y desde cualquier parte del globo. 34 Curso de Verano 2011 Además, siempre hay que ver si hay compartimentos estancos, y tener en cuenta que muchas veces lo que hacemos es, simplemente, prever un incidente aislado, pero no la concurrencia de varios de ellos. Y en lo que respecta al cloud computing, he de decir que me da mucho miedo la utilización de criptografía en estos entornos, y es que si tenemos el impacto acotado estamos protegidos, pero no así en caso contrario. A modo de repaso de lo comentado anteriormente y para dejar claro cuáles serían los elementos y las acciones que permiten tener los activos de una organización protegidos, retomaremos el tema de impacto acotado y de la diversificación de las actuaciones, lo que enunciaba como “no poner todos los huevos en la misma cesta”. Del mismo modo, es necesario contar con un margen de seguridad adecuado, con capas de defensa, redundancia de sistemas y capacidad de resiliencia. Esta última capacidad, la de mantener los servicios esenciales tras el ataque y recuperarse lo antes posible del mismo, es lo que define la calidad de supervivencia de una organización, así como su adaptabilidad a un entorno cambiante. Finalmente, quisiera hacer el siguiente apunte: que la responsabilidad sobre el riesgo esté localizada en la persona que tiene que tomar las decisiones, que puede ser el Director de la compañía, y no el operador o el responsable de sistemas. Centro de Investigación para la Gestión Tecnológica del Riesgo
  35. 35. Curso de Verano 2011 Esto lo hemos visto claramente en lo que plantea el Esquema Nacional de Seguridad. Y es que al final, lo que no puede ocurrir es que uno tome las decisiones y otro asuma las consecuencias. Las decisiones las debe tomar quien va a sufrir las consecuencias. Para finalizar, resaltaría lo siguiente: hay una serie de riesgos, que más o menos conocemos, otros ni los conocemos, situaciones en las cuales nos podemos encontrar y no quisiéramos, pero que Centro de Investigación para la Gestión Tecnológica del Riesgo La lucha tecnológica contra el fraude organizado no supimos prever… y para ese día tenemos que tener alguna solución. Por eso es importante, también, que cuando los directores de producción diseñan el portafolio de servicio, incluyan el análisis de riesgo de cada servicio. Creo que este puede ser un buen objetivo para 2012. 35
  36. 36. La lucha tecnológica contra el fraude organizado 36 Curso de Verano 2011 Centro de Investigación para la Gestión Tecnológica del Riesgo
  37. 37. Curso de Verano 2011 La lucha tecnológica contra el fraude organizado MESA REDONDA. NUEVAS AMENAZAS Esta mesa redonda tuvo como finalidad debatir sobre si existen nuevas amenazas o solo, y por ahora, nuevos escenarios. En ella participaron David Barroso, Fernando García Vicent, Juan Jesús León Cobos, Elena Maestre García, Alfonso Martín Palma, Rafael Ortega García, Tomás Roy Catalá, Juan Salom Clotet, Marta Villén Sotomayor y Marcos Gómez Hidalgo, siendo moderada por José de la Peña (director de la revista SIC). David Barroso Director de S21sec e-Crime (actualmente Responsable de Security Intelligence AN DLAB. Telefónica Digital) Yo cambiaría el título de la mesa y lo llamaría mejor “viejas amenazas”, porque, en el fondo, lo que estamos viviendo en la actualidad no es más que un calco de las que veníamos sufriendo hace seis u ocho años. Aunque cabría considerarlo, más que como nuevas o viejas amenazas, como nuevas plataformas (smartphones, por ejemplo); y, fundamentalmente, de nuevos jugadores. Todo ello unido a la problemática de que nos seguimos sustentando sobre unas bases Centro de Investigación para la Gestión Tecnológica del Riesgo inseguras y de que estamos fallando en la forma de abordar estas amenazas. Sobre el hecho de que sustentamos nuestra filosofía de seguridad sobre unas bases inseguras, baste decir que seguimos hablando de TCPIP, SMTPs, IDSs; seguimos utilizando contraseñas; nos inventamos nuevas palabras como las clouds, pero que ya estaban antes; estamos ante ataques que incorporan ingeniería social. En el fondo, las amenazas de siempre. Lo que ha cambiado es la forma de llegar hasta nosotros. Fallamos igualmente en la forma de abordar las amenazas, porque no estamos yendo a la raíz del problema, sino poniendo parches sobre parches. 37
  38. 38. La lucha tecnológica contra el fraude organizado Hablamos de los móviles, pero siguen siendo inseguros (bajamos una aplicación que puede tener un caballo de Troya). Así que, como decía, más que de nuevas amenazas yo hablaría de “nuevos jugadores”, entre los que destacan nuevos grupos organizados que hemos ido conociendo; la amenaza que surge de la propia ciudadanía, como ha demostrado Anonymous; o la referida a los gobiernos, que también ocupan su protagonismo en los ataques de Internet. Al final, lo importante es la formación de los usuarios y sin más pasos en este sentido no se puede luchar ni contra nuevas ni contra viejas amenazas. Fernando García Vicent Director de Seguridad de la información y SOC. Grupo Mnemo Curso de Verano 2011 En esta tesitura, me gustaría destacar dos puntos, que podrían ser interesantes para el debate. El primero es la importancia que, para batallar contra el fraude, tiene el prevenir los agujeros de seguridad dentro de la propia organización. Y es que cualquier agujero, normalmente proviene de una acción ilícita que viene desde dentro, y se materializa lanzando información al exterior. Dicho de otro modo, la mayoría de ataques que hemos registrado tenían su raiz, por ejemplo, en un phishing interno, utilizando redes profesionales como LinkedIn. Por eso es importante saber qué pasa dentro de la propia organización para prevenir fugas de información. Y es importante prestar especial atención a la seguridad perimetral y a las amenazas derivadas de los dispositivos móviles, que son ya un elemento dinamizador muy importante. En mi opinión, e intentando enlazar con lo que acaba de plantear el Sr. Barroso, no solamente nos estamos encontrando con reglas de juego diferentes y nuevos jugadores, sino que, además, están también cada vez más profesionalizados, lo que nos lleva a un giro desde la ciberdelincuencia a lo que es el ciberterrorismo. En segundo lugar, hay que hablar de la verificación de autenticidad y firma de código en las aplicaciones que se descargan. E, incluso, del uso de técnicas de firma electrónica y de verificación de firma en transacciones que provienen de dispositivos móviles; que, utilizadas de forma conjunta, pueden aportar más luz que de forma individual. Es decir, creo que hemos pasado de ataques de motivación económica a otros ataques donde ya hay otros intereses, más centrados en hacer un daño real, y que hemos visto en algunos actos de denegación de servicio y de actuaciones de Estados contra Estados. Dicho todo esto, resalto igualmente la importancia de definir estrategias globales para las amenazas detectadas y que son de alcance global. Hay aquí dos elementos: uno, defendido por los principales analistas del mercado, que es compartir información, relacionado con el establecimiento 38 Centro de Investigación para la Gestión Tecnológica del Riesgo
  39. 39. Curso de Verano 2011 de procedimientos de inteligencia para saber qué ocurre y cómo se mueven los atacantes; la incorporación de técnicas de detección on-line y herramientas de scoring para que podamos de alguna manera ver cuándo se produce fraude; y otro: el producto de la suma de herramientas de análisis para obtener medidas, indicadores de cómo se están produciendo ese tipo de amenazas. Y por último, están las denominadas “Internet de las personas” e “Internet de las cosas”. Juan Jesús León Cobos Director de Productos. GMV Soluciones Globales Internet SA Estoy de acuerdo en lo expresado: más que de nuevas tecnologías de lo que se trata es de la existencia de nuevos jugadores. Con todo, en mi opinión, en los últimos años sí hemos visto cosas nuevas. Y, de hecho, considero que ha habido un cambio que afecta a los tres tipos distintos de amenazas que conocemos: las que persiguen dinero o beneficio económico (cibercrimen), las que buscan poder (ciberterrorismo o ciberespionaje) y las que, simplemente, buscan “fastidiar” (ciberanarquistas). En lo que respecta a la ciberdelincuencia, todo ha ido muy rápido. Ha habido consolidación de malware, parece que están organizando una especie de sistema monopolístico para gestionar mejor su maldad, y ahí nos tienen un poco vencidos. Centro de Investigación para la Gestión Tecnológica del Riesgo La lucha tecnológica contra el fraude organizado Si bien contamos con tecnología para combatir contra los “malos” (autenticación robusta, seguridad moderna del end point, etc.), es difícil que las organizaciones vayan al ritmo de la tecnología, mientras que los delincuentes sí van al ritmo de la tecnología. En mi opinión, tienen todo lo que necesitan. En lo que se refiere al ciberanarquismo, que es un fenómeno nuevo y orquestado por cosas nuevas como las redes sociales, creo que será la amenaza que progresará más a lo largo de los próximos años. Y creo, además, que es muy difícil de combatir. Solo podemos prevenirlo, y no del todo, y para cualquier acción necesitaremos mucha inteligencia. Pueden hacer mucho daño atacando a las clouds y por su filosofía antisistema; pueden infiltrarse también en las redes sociales y tomar el control. Y creo que muchos gobiernos lo que podrían hacer es infiltrarse también para seguirles la pista y estar más al tanto de los nuevos escenarios de ciberterrorismo y ciberespionaje. Finalmente, también podemos hacer referencia a un nuevo término, que acuñó un excelente profesional, Javier Osuna, que es el de ciberdemocracia, que viene a definirse como un mecanismo de reacción de la “gente buena” que está en las redes sociales para, de una manera colaborativa, combatir a estos antisistemas que pueden resultar tan negativos. 39
  40. 40. La lucha tecnológica contra el fraude organizado Elena Maestre García Socia de PwC Responsable de Riesgos Tecnológicos Voy a referirme a tres temas fundamentales: la definición de lo que son las nuevas amenazas y su relación con el fraude; lo que llamo los siete dilemas de la evolución de las amenazas; y, por último, cómo veo algunas conclusiones y el reto de la respuesta ante el fraude. En relación con el primer escenario, cuando decimos nuevas amenazas relacionadas con el fraude nos referimos a actos ilícitos que persiguen beneficio económico (que, además, puede ser directo o indirecto o, lo que yo llamo “incubadora de ideas”, que permiten a terceros aprovecharse para cometer actos delictivos). Así, en esencia, cuando hacemos referencia a nuevas amenazas hablamos de dos cosas: de una cuestión de capacidad, que hoy tiene que ver mucho con avances tecnológicos: y, por otra parte, de aspectos relacionados con la intencionalidad. En lo que respecta a los siete dilemas de la evolución de las amenazas, estos son los siguientes: un primer driver que tiene que ver con los avances tecnológicos y de las comunicaciones, que al haber avanzado tan rápidamente ha abierto nuevas brechas de seguridad, ahora con un golpe único a la globalidad; los cambios en la operativa y la forma de realizar los negocios, como, por ejemplo, la contratación on-line, que abren nuevas vías de fraude; el aumento de la información vertida en las redes sociales, y, sobre todo, en 40 Curso de Verano 2011 un entorno menos profesional y de menor nivel de rigor; el aspecto de la globalización, como el cuarto factor, donde es más sencillo aprender y replicar ataques, y más difícil poner barreras a un mundo interconectado; el anonimato, que introduce cierta dosis de impunidad a la hora de cometer un delito; la profesionalización o la industrialización del lado del hacker, donde ya hay redes organizadas dispuestas a pagar mucho dinero por datos sensibles; y, en séptimo y último lugar, el coste, el hecho de que en algunos entornos el fraude tiene ROI. Me gustaría también hacer referencia a la masiva penetración de los ciberataques; ya que, según algunos estudios, el 80% de las compañías que conocemos ha admitido algún acto de ciberataque. Y esto ya no es una preocupación exclusivamente empresarial, sino también a escala gubernamental, y que afecta además a la protección de las llamadas infraestructuras críticas. Por todo ello, ante este panorama, considero que las respuestas deben cambiar. Hay que evolucionar hacia una nueva forma de gestionar estas amenazas, más allá de la estricta protección perimetral. En realidad hay que tomar una posición más proactiva en la lucha contra el fraude, asumiendo que el reto está en los frentes del análisis de información, de manera que necesitamos poder aumentar el conocimiento y los patrones de comportamiento sobre las conductas. Otros aspectos serían el de la demostración de esas situaciones de fraude, muchas veces algo Centro de Investigación para la Gestión Tecnológica del Riesgo
  41. 41. Curso de Verano 2011 muy complejo; el de las inversiones, que nunca resultan suficientes; y el de la propia dinámica de negocio, donde a menudo es difícil poner los niveles de seguridad razonables para evitar el fraude. Alfonso Martín Palma Responsable de Ciberseguridad INDRA En nuestra organización, a la hora de identificar las nuevas amenazas relacionadas con el fraude tecnológico, nos centramos en tres aspectos: las técnicas que se utilizan para atacar; las tecnologías que se atacan, y el cambio de perfil del atacante. Sobre las técnicas que se usan para atacar, creemos que si bien han surgido nuevas amenazas, lo cierto es que el tema del contraataque está lo suficientemente maduro. No hay duda de que necesitamos más inversión, y que los atacantes cada vez son más sofisticados; pero también podemos argumentar que nuestro nivel de respuesta ha aumentado en contundencia y madurez. Por otro lado, la movilidad, las redes sociales o la geolocalización son algunas de las nuevas tecnologías objeto de los más recientes ataques. También lo que se denomina “la Internet de las cosas” y las infraestructuras críticas, donde un ataque permitiría tomar el control de activos tan significativos como el agua corriente, la luz o el gas natural, y las comunicaciones. En mi opinión, en todos estos escenarios hay un riesgo, y es que Centro de Investigación para la Gestión Tecnológica del Riesgo La lucha tecnológica contra el fraude organizado en muchos casos se está primando, por encima de la seguridad, el ahorro de costes y la facilidad de uso, y eso a veces puede llevarnos a un sistema más vulnerable que antes. El cambio del perfil del atacante es lo que está suponiendo una modificación más drástica en el panorama actual de ataques. Nos enfrentamos a grupos terroristas tradicionales, pero también a grupos de ciberanarquistas, los antisistema, y dentro de estos vemos a los llamados “indignados”. Lo mejor que tienen estos grupos es la gran capacidad de movilización de personas afines, que pueden en un momento dado realizar ataques simultáneos combinados. Y, finalmente, donde más ha cambiado el panorama en los próximos años es en ciberdefensa y ciberguerra. Ya están poniendo actos de guerra en el ciberespacio, ya se sabe que Rusia estuvo detrás de los ataques a Estonia, sabemos también que los chinos están siendo muy activos aunque se están basando más en la parte de espionaje, ya se han detectado acciones en el canal de Canadá o en puertos canadienses para controlar el tráfico marítimo… o las acciones desarrolladas por EE UU o Israel, o conjuntamente, para conseguir dañar el programa nuclear iraní. Aquí ya se mezcla la ciberguerra con la protección de infraestructuras críticas. Ante estas circunstancias, lo que debemos hacer es cambiar nuestra estrategia e invertir más en ciberinteligencia, y así aprovechar toda la experiencia, tanto en el mundo físico como en el mundo virtual. 41
  42. 42. La lucha tecnológica contra el fraude organizado Y más aún, considero fundamental que los Estados empiecen a considerar el fraude tecnológico como un tema de defensa nacional. Es necesario que el Estado garantice la seguridad del ciudadano y de las empresas cuando cualquiera de ellos opera en Internet. Creo que no debe ser algo solo ligado al mundo empresarial, no debe ser solo responsabilidad de las empresas del sector, sino también gubernamental. Igual que tenemos servicios como la policía, ejército, bomberos, etc, también el Estado puede velar por nuestros derechos e intereses en este ámbito. Así se están dando los primeros pasos. EE UU y la OTAN tienen su propio centro de ciberdefensa, y en muchos otros países occidentales se están lanzando iniciativas similares. Rafael Ortega García Socio Advisory de Ernst Young (actualmente Responsable del Área de Gobierno, Riesgos y Seguridad IT de Solium) Sinceramente, no tengo ni idea de cómo plantear el advenimiento del futuro partiendo de la visión de lo que tenemos ahora. Lo que creo es que nos enfrentamos a un problema importante que dificulta el avance, y es que llevamos 20 años con el mismo modelo de seguridad. Con la aparición de Internet y la protección de datos, nos hemos creado un entorno muy confortable, en el cual yo manejo el análisis de gestión de riesgos, mi SGSI, mi cumplimiento 42 Curso de Verano 2011 normativo, y mi gestión de vulnerabilidades, y estoy ahí tranquilo. Y, encima, subcontratando. Y este entorno confortable es el problema, porque origina una falsa sensación de seguridad, que en muchos casos nos dificulta acercarnos a un entorno de incertidumbre, que es donde realmente deberíamos estar para crecer. La clave es que hay que estar y manejarse en un entorno de incertidumbre. Y para eso hay que mantenerse en un estado de alerta permanente, preparado para un imposible. Por otra parte, también considero que hemos hecho una seguridad más light, y ahora lo que se nos avecinan son “vitorinos”. Ahora creamos modelos predictivos, pero para esto tenemos que tener guardados históricos… pero, ¿cuántos tenemos guardados? Y este es uno de los principales frentes en los que nos hemos volcado la gente de seguridad y ahora hay que hacer un stop. Al mismo tiempo la cuestión clave en estos puntos es el equipo, el factor humano que puede luchar y dar respuestas a lo que se avecina… y esto solo lo da la experiencia, el entrenamiento, y la continua formación. Tomás Roy Catalá Director del área de Calidad, Seguridad y Relaciones con Proveedores. Centro de Telecomunicaciones y Tecnologías de la Información (CTTI) Generalitat de Catalunya Desde mi perspectiva, sí hay nuevas amenazas; Centro de Investigación para la Gestión Tecnológica del Riesgo
  43. 43. Curso de Verano 2011 y dentro de ellas, otro problema añadido, que viene a ser un reto a resolver: un gran recorte presupuestario en medio de la crisis, lo que genera grandes riesgos de viabilidad al tipo de proyectos y servicios que hay que prestar y cómo adecuarse a ello. Otra amenaza derivada es que se están generando procesos de transformación y servicios, y procesos de transformación tecnológicos, que se resumen en el lema de “más por menos y mejor”; y, además, estamos también teniendo problemas de obsolescencia de aplicativos y de mantenimiento de los servicios. Son amenazas, por tanto, a las que no estábamos acostumbrados (en Cataluña nos encontramos, por vez primera desde el año pasado, en una situación donde no hay crecimiento económico), y contra las que CESICAT, con su Unidad de Delitos Informáticos, no para de luchar. Ahora, monitorizando las redes sociales para hallar indicios de nuevos movimientos y criminalidades. En este sentido, no podemos obviar los ataques sufridos, al igual que otros organismos, de la mano de grupos ciudadanos. Sufrimos distintas tipologías de ataques, como las referidas a la integridad de los datos, a la imagen del organismo, de tipo económico o de denegación de servicio. Al margen de todo esto, hay una amenaza que me preocupa especialmente y es la referida a las infraestructuras críticas. Aquí hay una crítica que me gustaría hacer, y es que las TIC no están Centro de Investigación para la Gestión Tecnológica del Riesgo La lucha tecnológica contra el fraude organizado incluidas en los planes de protección civil, sí las nevadas, las inundaciones, etc. Nunca están las TIC por el medio, y sería interesante plantear en estos escenarios la recuperación y la resiliencia de las TIC. Y en segundo lugar, también abogo por crear un plan de ataque cuando el factor de ataque son las propias TIC. Es decir, un plan de recuperación cuando el ataque, como está pasando actualmente, se dirige contra el negocio. En esencia, deberíamos centrar nuestros esfuerzos, por este orden: infraestructuras críticas, continuidad de negocio, y aseguramiento de los servicios. Y después de esto, dos términos que son muy importantes y que vamos cubriendo desde la seguridad, el rendimiento de las aplicaciones y las infraestructuras. Y el reto de los logs y la monitorización. Yo creo que los tiempos van a cambiar. Es verdad que hemos vivido un tiempo de comodidad, pero estos ataques van a poner al responsable de seguridad en una posición de responsabilidad, abocándolo a tomar decisiones. Aquí hago una reflexión muy breve: todas las empresas que tienen activos definen responsables para protegerlos y garantizar que los mantendrán en el tiempo (puede ser dinero, la parte de recursos humanos, etc.), pero hay uno que queda ampliamente desprotegido: la información, porque quizá el CISO no está cumpliendo el cometido que le corresponde. 43
  44. 44. La lucha tecnológica contra el fraude organizado Juan Salom Clotet Comandante de la Guardia Civil y Jefe del Grupo de Delitos Telemáticos (actualmente Director de Seguridad Internacional del Grupo Santander) Voy a hablar de dos escenarios que para mí suponen dos nuevas amenazas para el fraude tecnológico. El primero es la socialización del fraude tecnológico y el segundo el juego on-line. Con respecto al primer punto, y esto puede ser a priori contradictorio con lo dicho aquí sobre la especialización, considero que hemos pasado de aquel maridaje especial que vimos entre hackers y delincuencia especializada para explotar la banca electrónica (hoy ya creo que podemos decir que ha sido la banca la que ha ganado la batalla, minimizando el impacto de estos fraudes) al hecho de que actualmente no hace falta tener dinero ni organizarse para cometer un delito de fraude tecnológico. El negocio del malware se diseña y se vende a muy bajo precio, como quedó demostrado con, por ejemplo, la “Operación Mariposa”, donde unos chavales habían comprado unas botnets por 500 euros, capaces de controlar una increíble cantidad de sistemas. Ya no estamos hablando de grupos organizados, sino de pequeños grupitos que compran malware, una botnet u otra herramienta, y los explotan. Estamos bajando del fraude al minifraude, donde las víctimas se multiplican. Y este se está enfocando, mayoritariamente, hacia el comercio electrónico. Y estamos asistiendo a un importante 44 Curso de Verano 2011 movimiento de pérdida de confianza en todo el sistema, en el negocio, en Internet. Por otro lado, y tal y como apuntaba antes, el segundo escenario de fraude tecnológico es el del juego online, que no está regulado, ni para la prestación de servicios ni para la presión fiscal, a pesar de que hemos estrenado una ley del juego en Internet; pero a mi modo de ver muy abierta y que adolece de desarrollo reglamentario. Desde nuestra unidad en la Guardia Civil hemos vivido situaciones en que, o se convierte en escenario de blanqueo para otros actos delictivos, o se realizan prácticas delictivas en el propio juego. Aquí es muy difícil llevar un control, porque el juego está dominado por multinacionales o grupos que operan a nivel internacional, y que preservan las ganancias huyendo a paraísos fiscales de la red. Marta Villén Sotomayor Departamento de Seguridad Lógica y Prevención del Fraude. Telefónica España Yo voy a hablar de un caso muy específico, el fraude que sufrimos las operadoras de telecomunicaciones. Cómo ha cambiado en los últimos años y cómo ahora está convirtiéndose en un fraude al cliente, no a la operadora. Hablamos de microfraudes y a un elevado número de clientes. El primer caso documentado de fraude telefónico fue fechado en 1958, realizado por un Centro de Investigación para la Gestión Tecnológica del Riesgo
  45. 45. Curso de Verano 2011 joven invidente norteamericano de 9 años a la compañía Bell. Descubrió que un sonido concreto activaba el modo programación de las centralitas, y así llamaba gratis. Después de aquello, llegamos a una época donde las mafias realizaban ataques detallados a una operadora, o a varias; pero ahora el panorama ha cambiado. Antes luchábamos contra un fraude de establecimiento de locutorios, y ahora de verdaderos sumideros de tráfico en la red, donde se realiza tráfico ficticio para enriquecimiento de los “malos”. El mes pasado sufrimos un ataque donde se vieron involucradas varias operadoras de telecomunicaciones. El fraude lo originaban teléfonos de Vodafone que llamaban masivamente a un único teléfono de Movistar que tenía un desvío automático a un teléfono de Yoigo, que a su vez hacía un enrutado internacional que acababa en un operador francés… El desvío ha sido el último azote a todas las operadoras, afortunadamente nosotros en Internacional no lo permitíamos, lo que nos ha liberado de algunos fraudes. ¿Y cómo se hacen estos fraudes? Muy sencillo. Existe toda una industria de comercialización de dispositivos específicos para tal tarea, que pueden costar unos 400 euros. Máquinas como Simbox, el Pool en modo GSM… Centro de Investigación para la Gestión Tecnológica del Riesgo La lucha tecnológica contra el fraude organizado Además, tienen mecanismos para poder rotar las SIM y así evitar que parezcan delictivos, de forma que todos los algoritmos que teníamos de detección y patrones ya no nos sirven. Su potencia es significativa, pueden enviar hasta 42.000 mensajes en 24 horas. Pero ahora, como apuntaba, lo que están haciendo es atacar directamente a los clientes. Valgan como ejemplo los dos siguientes: el año pasado tuvimos una media de un ataque al día en las centralitas de clientes, donde vulneraban su seguridad y les cargaban llamadas; y los recientes ataques a dos redes sociales. En una de ellas, Tuenti, hicieron un phishing que se propagaba entre los contactos para obtener una suscripción fraudulenta. Marcos Gómez Hidalgo Subdirector de programas. Dirección de Operaciones. Instituto Nacional de Tecnología de la Comunicación (INTECO) De los 15.000 incidentes que suele resolver INTECO al año, de usuarios y pymes, cerca del 40% atienden a temas de fraude electrónico, unos 7.000. De estos, más del 90% atienden a ataques apoyados en ingeniería social. Así las cosas, y según un estudio sobre fraude, realizado en el último trimestre de 2010, el 53% de los usuarios declararon haber sido víctimas de un intento (no necesariamente consumado) de fraude en los últimos 3 meses, destacando la invitación a visitar una web sospechosa (35% de los casos), fraude a través de correo electrónico (26%) y a través de ofertas de trabajo sospechosas (21%). 45

×