Your SlideShare is downloading. ×
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

La lucha tecnológica contra el fraude organizado / The technological fight against organized fraud

1,705

Published on

Libro ofrecido a los asistentes al curso de verano URJC-CIGTR en julio 2011. …

Libro ofrecido a los asistentes al curso de verano URJC-CIGTR en julio 2011.

Book provided to those attending the summer course URJC-CIGTR in July 2011.

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,705
On Slideshare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
43
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  1. La lucha tecnológica contra el fraude organizado Cursos de Verano 2011 Universidad Rey Juan Carlos Aranjuez, del 4 al 8 de julio de 2011
  2. EDICIÓN PRODUCCIÓN DISEÑO Y MAQUETACIÓN Miguel Salgueiro / MSGráfica IMPRESIÓN Y ENCUADERNACIÓN Gráficas Monterreina Depósito Legal: M-22831-2012
  3. Curso de Verano 2011 La lucha tecnológica contra el fraude organizado ÍNDICE INTRODUCCIÓN ........................................................................................................................................................................................ Santiago Moral Rubio 5 PRÓLOGO ...................................................................................................................................................................................................... Pedro González-Trevijano 7 Seguridad y empresa: El dilema del erizo . ................................................................................................................ Alberto Partida 9 Anti-Phising Working Group ................................................................................................................................................. Gary Warner 17 Threat Horizon: Identifying Future Trends ......................................................................................................... 23 Adrian Davis El riesgo de lo impredecible: “The Black Swans” ................................................................................................ 29 José Antonio Mañas Mesa Redonda. Nuevas Amenazas........................................................................................................................................ 37 Intervienen: David Barroso Fernando García Vicent Juan Jesús León Cobos Elena Maestre García Alfonso Martín Palma Rafael Ortega García Tomás Roy Catalá Juan Salom Clotet Marta Villén Sotomayor Marcos Gómez Hidalgo Modera: José de la Peña Centro de Investigación para la Gestión Tecnológica del Riesgo
  4. La lucha tecnológica contra el fraude organizado Curso de Verano 2011 The rise of cybercrime: How lagging security measures fuel the growth in organized fraud . ............................................................................................. 49 Richard Stiennon Del “hackeo” a la inteligencia artificial . ................................................................................................................. 55 Víctor Chapela Seguridad jurídica y aspectos críticos en la protección de datos ....................................................................................................... 63 Francisco Javier Puyol La ley de protección de datos personales en México .................................................................................. 69 Ángel Trinidad Zaldívar La protección de datos y los nuevos desafíos tecnológicos .............................................................. 75 Artemi Rallo Mesa Redonda. La privacidad en “la nube” ................................................................................................................ 81 Intervienen: Manuel Carpio Cámara Francisco Javier García Carmona Guillermo Llorente Ballesteros Idoia Mateo Murillo Justo López Parra Francisco Javier Puyol Carles Solé Pascual Modera: Esperanza Marcos Understanding and Managing SaaS and Cloud Computing Risks . .................................................................................................................................... 91 Tom Scholtz La coevolución darwiniana como estrategia en la Innovación Tecnológica aplicada a la Gestión de Riesgos . ................................................................... 97 Santiago Moral Rubio ÁLBUM FOTOGRÁFICO ......................................................................................................................................................................... 103 Centro de Investigación para la Gestión Tecnológica del Riesgo
  5. Curso de Verano 2011 La lucha tecnológica contra el fraude organizado INTRODUCCIÓN Santiago Moral Rubio (Director del Curso de Verano “La lucha tecnológica contra el fraude organizado”) a globalización tecnológica ha supuesto un gran avance en la participación de los ciudadanos en los procesos de las administraciones públicas y las empresas que le prestan servicios, pero a ese ámbito se han trasladado los mismos riesgos que existen en el mundo real. Los delitos de baja intensidad, sin daño contra las personas o sus propiedades, eran poco rentables en el mundo físico y por ello son poco perseguidos; sin embargo, la globalización tecnológica permite hacer que sean rentables y continúen siendo de poco riesgo por el anonimato tecnológico internacional. Por tanto, cambia la morfología del riesgo al cambiar los parámetros de rentabilidad y eso hace que el phishing ahora sea rentable al ser anónimo y masivo. Cambian los riesgos y cambia la forma de gestionarlos. Las mismas tecnologías que han Centro de Investigación para la Gestión Tecnológica del Riesgo permitido crear este mundo globalizado deben ser utilizadas para gestionar los nuevos riesgos existentes en el mundo virtual. Por ejemplo, uno de los riesgos emergentes es la facilidad para la transmisión y replicación de los datos personales de los ciudadanos. Para hablar de todo esto, el Centro de Investigación para la Gestión Tecnológica del Riesgo convocó un Curso de Verano (en el marco de Escuela de Verano de la Universidad Rey Juan Carlos) que se desarrolló en Aranjuez (Madrid – España) entre los días 4 y 8 de julio de 2011 (ambos inclusive), contando con la activa participación de casi 100 asistentes y algunos de los principales ponentes a nivel mundial en esta materia. Ahora, en esta publicación, trasladamos a aquellas personas interesadas la transcripción de las ponencias presentadas en ese Curso de Verano.
  6. La lucha tecnológica contra el fraude organizado Curso de Verano 2011 Centro de Investigación para la Gestión Tecnológica del Riesgo
  7. Curso de Verano 2011 La lucha tecnológica contra el fraude organizado PRÓLOGO Pedro González-Trevijano (Rector de la Universidad Rey Juan Carlos) ue dos grandes instituciones de la vida económica, financiera y académica, como BBVA y la Universidad Rey Juan Carlos, pongan en común sus experiencias y, sobre todo, la cualificación y competencia de sus equipos, para crear experiencias de formación, investigación e innovación, solo podía ser el anticipo de grandes y esperanzadoras aportaciones a la comunidad científica. Así nació el Centro de Investigación para la Gestión Tecnológica del Riesgo. Bajo el liderazgo de Santiago Moral Rubio y de Francisco García Marín el pasado mes de julio se realizó el curso La lucha tecnológica contra el fraude organizado en el seno de los Cursos de Verano que la Universidad Rey Juan Carlos celebra anualmente en el Real Sitio de Aranjuez. La respuesta de la comunidad científica y académica fue masiva. El nivel de los participantes extraordinario. Y el resultado del trabajo, del rigor y de la seriedad de la experiencia estival de 2011 se refleja hoy en este magnífico volumen. Centro de Investigación para la Gestión Tecnológica del Riesgo La necesidad de responder a nuevos formatos de riesgo y fraude, adaptados a una realidad tecnológica global, es una auténtica exigencia de una experiencia de vida también universal. Lo significativo de la aportación que contiene esta obra es la capacidad de las instituciones académicas y centros de investigación para detectar los problemas, construir respuestas y soluciones eficaces y, a renglón seguido, transferir ese conocimiento a la sociedad. El Centro de Investigación para la Gestión Tecnológica del Riesgo ha sabido convertirse no solo en una instancia líder en esta materia, sino también en un ejemplo de la intensa colaboración que Universidad y Empresa pueden y deben acometer en un entorno histórico más exigente. Pero, sobre todas las cosas, un entorno apasionante y motivador; un entorno de oportunidades y desafíos para la energía, la reflexión desde el análisis, y la creatividad. Estoy convencido de que el trabajo del Centro de Investigación para la Gestión Tecnológica del Riesgo seguirá deparándonos, en el futuro inmediato, nuevos motivos de satisfacción como esta magnífica obra.
  8. La lucha tecnológica contra el fraude organizado Curso de Verano 2011 Centro de Investigación para la Gestión Tecnológica del Riesgo
  9. Curso de Verano 2011 La lucha tecnológica contra el fraude organizado SEGURIDAD Y EMPRESA: EL DILEMA DEL ERIZO Alberto Partida (Especialista en Seguridad autor del libro “IT Securiteers. Setting up an IT Security Function”) l filósofo Schopenhauer bautizó la expresión “el dilema del erizo” para explicar cómo funcionaban, en su opinión, las relaciones personales y sociales. Según sus investigaciones, los humanos hemos de asumir la siguiente paradoja: buscar el calor colectivo necesario para nuestra supervivencia y evitar al mismo tiempo cualquier daño que pudiera surgir de esa interacción con los demás. Como el erizo que busca compañía, pero ha de evitar que las púas de los demás le lastimen o lo haga él con las propias. Así podría explicar también yo la perspectiva desde la que asumí, hace cinco años, el reto de crear un equipo Centro de Investigación para la Gestión Tecnológica del Riesgo de seguridad que estuviera en sintonía con el negocio; y el motivo por el que me decidí a escribir un libro. El reto ha sido buscar el modo en el que evitar el daño de las respectivas “púas” entre el negocio y la seguridad, buscando al final más semejanzas en la interacción de los pingüinos, especies que pueden llegar a intimar más que los erizos al no poseer púas y al no tener miedo alguno a que le lastimen o a lastimar. El primer cambio que asumí en la definición de mi equipo de seguridad fue modificar el nombre original, pasando de “equipo de administración de la seguridad” a “equipo de seguridad operativa”,
  10. La lucha tecnológica contra el fraude organizado donde asumimos la seguridad de la información en los sistemas en producción; pero manteniendo el reto: lograr una sintonía entre el equipo de seguridad y el negocio. Para lograrlo, hay que abordar el tema desde dos perspectivas: una, científica o metodológica (analizando los filtros, los métodos y los pasos a dar en la siguiente etapa) y otra, humana (centrándonos en la necesidad de contar con un equipo multidisciplinar, que trabaje con pasión y motivación y que luche por la innovación). El elemento metodológico: el método y los 5 filtros Entender la organización, adaptarse a su cultura y cosechar éxitos… o, al menos, limitar el nivel de frustración. Esto es lo que queremos conseguir, y para ello necesitamos un método. Y el método se basa en la siguiente fórmula: Vulnerabilidades x Amenazas – Medidas para mitigar = Riesgos (VxA-M=R). Hay que tener en cuenta el impacto y la probabilidad (términos muy usados para cada una de las situaciones de riesgo), y también la malicia del atacante, aunque muchas veces la obviamos. Y por último, nos encontramos con la existencia de un ratio, el referido a la relación entre el beneficio que obtiene el atacante y el riesgo que corre al realizar ese ataque, que muchas veces es muy desequilibrado, como en el caso de los ataques de Anonymous, donde el atacante asume un mínimo riesgo comparado con los beneficios 10 Curso de Verano 2011 que busca. En la seguridad física está mucho más igualado este ratio. Llegados a este punto, podemos abordar la existencia de cinco filtros, que prefiero denominar “1+3+1”, para explicar los escenarios de riesgo con los que hay que tratar. El primero de ellos se refiere a, por un lado, que las amenazas reales sean iguales a las detectadas, obviando las que creemos que son reales o podrían pasar (de ahí la importancia de la monitorización); y, por otro, consecuentemente, a que los adversarios reales sean igualmente los detectados. En lo que respecta al segundo filtro, Impacto y ratio entre el beneficio y el riesgo, esto significa trabajar en la organización con escenarios de riesgo que tengan un alto impacto, pero un riesgo muy bajo para el atacante. El tercer filtro habla de los recursos y de la complejidad, y de su necesidad de que sean “amigables” para el cliente. En este sentido, de todos los escenarios de riesgo, hay que tratar primero aquellos que requieran menos cantidad y complejidad de recursos, y aquellos que no dañen o mermen la experiencia diaria del usuario o cliente; es decir: “qué podemos hacer con pocos recursos y que al mismo tiempo no estropee la vida que tenía el cliente”. El cuarto filtro se refiere a conseguir tener, dentro de la organización, una imagen positiva del equipo de seguridad. Centro de Investigación para la Gestión Tecnológica del Riesgo
  11. Curso de Verano 2011 Y, finalmente, el quinto filtro está relacionado con la necesidad de ser muy realistas, cumpliendo tanto con la normativa como con las peticiones de la Dirección. Y… ¿cómo logramos cumplir con estos cinco filtros? La respuesta es sencilla: con un método adecuado, que nos haga avanzar “pasito a pasito”, y que sea sencillo y limitado en el tiempo. Aunque resulte un tanto chocante, los primeros años solo se ha de planear el 40% de los recursos; y en lo que se refiere a los elementos técnicos a proteger, estos han de ser: las redes, los sistemas, las aplicaciones, los datos y las identidades. El elemento humano: profesionales con pasión Si bien hasta ahora hemos abordado el elemento metodológico, con la necesidad de recurrir a un método y superar los cinco filtros antes expuestos, ahora nos adentraremos en la idiosincrasia del segundo elemento al que me refería para lograr esa necesaria sintonía entre el equipo de seguridad y la parte de negocio, el que aborda el componente humano. Aquí volvemos a retomar las metáforas de los erizos y los pingüinos para referirnos a las relaciones humanas y a la necesidad de estrechar lazos con el prójimo, con otros departamentos en este caso, sin que las púas de ninguno de ellos lastimen al contrario. Considero fundamental contar con un equipo técnico altamente cualificado, o bien por personas Centro de Investigación para la Gestión Tecnológica del Riesgo La lucha tecnológica contra el fraude organizado de perfil técnico o que cuenten con muchos años de formación con que avalar sus conocimientos. Pero no nos quedamos ahí… es crucial apostar por la condición multidisciplinar del equipo para evitar estar aislados en la organización. Esto, en esencia, significa establecer lazos con otros departamentos y áreas, a los que comunicar nuestro trabajo y nuestras metas para lograr esa mayor sintonía de la que hablamos desde el principio. Evitar estar separados del resto, y que nadie pueda decir eso de “ahí están los de seguridad…” como si fuéramos unos entes al margen del negocio. Necesitamos también personas expertas en comunicaciones públicas o en marketing. Son esenciales para un equipo de seguridad, y lo son en dos dimensiones: en toda su práctica profesional, que pueden aplicar dentro del equipo; y también como canalizadores de estas nuevas perspectivas para los miembros del grupo, a los que pueden ir poco a poco proporcionando ideas nuevas en estos escenarios de marketing y comunicación… porque también necesitamos dar publicidad a nuestro mensaje y a nuestras tareas. Y no solo eso, es igualmente prioritario contar dentro del equipo con otros perfiles, como el de estadísticos, economistas, personas de negocio, etc. No obstante, he de reconocer que aún no he visto equipos donde haya otros perfiles aparte del de técnicos, aunque creo firmemente que un conjunto variado dará muchos mejores resultados a la organización. 11
  12. La lucha tecnológica contra el fraude organizado A la hora de crear estos equipos multidisciplinares, propongo dos modelos a seguir, y un lema común para ambos: “comparte, respeta y moviliza”. Para mí, compartir información es fundamental para ahondar en coherencia interna y éxito de resultados. También es prioritario el concepto de “movilizar”, más que el de “motivar”, porque esta última expresión es un término más enfocado al ámbito personal y es algo que solo se puede tener a título individual, no es algo que se pueda promover desde el equipo. Por eso, me refiero más a “movilizar” y al respeto de los miembros de distinta procedencia. Curso de Verano 2011 necesitamos es una persona que mantenga un cierto equilibrio entre estos tres ámbitos de su personalidad. Es lo que nos llevará al éxito del equipo; sin ello no será posible. Por otro lado, el segundo modelo encuentra su encrucijada en la pasión con la que se desempeña un trabajo en concreto… la encrucijada entre lo que te gusta hacer y lo que eres bueno haciendo. Y partiendo de esa premisa, buscar ese “algo” que requiere el mercado y que puede ajustarse a lo que el profesional, y el grupo de profesionales, pueden ofrecer. En este contexto, el primer modelo se puede resumir en una frase: implicar en el grupo a personas que gocen de un cierto grado de equilibrio entre todos los aspectos de su vida, tanto a título profesional como emocional y social. Es, en esencia, un modelo muy sencillo, y que puede servir de guía para decidir en qué área o escenario especializarse. Se trata de estar atentos no solo al aspecto profesional de los integrantes del equipo, sino también a su dimensión como seres humanos. Llegados a este punto, me gustaría trasladar otro mensaje fundamental: debemos evitar que haya un único líder, y contar, por el contrario, con la colaboración de dos o tres personas que asuman ese rol pero de manera solidaria. Hay que tener en cuenta lo equilibrada que sea su vida personal y emocional, porque eso influirá decisivamente en su faceta profesional; de manera que las organizaciones que no tengan en cuenta este modelo para seleccionar a los miembros de su departamento pueden encontrarse después con problemas derivados de la interrelación entre sus miembros. Y es que existen personas muy buenas a nivel profesional, pero con escasísimos recursos en las otras dos parcelas, y viceversa; y lo que nosotros 12 Más de un líder y aprendizaje continuo La explicación es sencilla: el trabajo de líder es bastante tenso y siempre requerirá contar con dos o tres colaboradores próximos para conseguir sus objetivos, entre los cuales podemos citar algunos muy significativos: identificar a las personas que no tengan mucha motivación y, quizá no tantas prioridades, para ayudarles a encontrar el camino que les lleve a estar más próximos al segmento del grupo que sí esté realmente motivado. Centro de Investigación para la Gestión Tecnológica del Riesgo
  13. Curso de Verano 2011 La lucha tecnológica contra el fraude organizado De este modo, se les ayudará a desarrollar nuevas habilidades, para poder llegar, incluso, a lo que denominamos la “masa crítica del equipo”, que son aquellos miembros con grandes habilidades, motivados y que son quienes imprimen el ritmo de trabajo al conjunto. con recursos técnicos, con más dotación de personal, etc. Por eso, precisamente, hay que aplicar modelos como los expuestos anteriormente, para que estos miembros sigan en el equipo, y lo hagan como miembros de calidad. Cinco provocaciones a la audiencia Paralelamente a todo lo explicado hasta este momento, y como avanzábamos antes también, no hay que olvidar la significación de compartir conocimientos entre todos los miembros del equipo, que es lo que hará al grupo fuerte y consolidado. Podemos compartir tanto los obtenidos mediante la formación académica, como los atesorados como resultado de largos años de experiencia profesional. El aprendizaje entre los miembros será constante, gracias a la comunicación en todas las direcciones y a propósito de todas las tareas a realizar. Y es que el conjunto crecerá cuando aprendan unos de otros; imposible de otro modo. Pero para lograr todo esto y alcanzar la sintonía entre el equipo de seguridad y la Dirección de la que venimos hablando desde el principio es fundamental también, y ahora hablamos explícitamente del papel de la Dirección, que ésta respalde las acciones del equipo, bien sea con presupuestos adecuados, Centro de Investigación para la Gestión Tecnológica del Riesgo Si esto no ocurre, el grado de frustración de nuestro personal puede aumentar significativamente. Para continuar, y a modo de una especie de “banco de ideas alternativas”, propongo a la audiencia las siguientes “cinco provocaciones”. La primera de ellas tiene que ver con la posibilidad de considerar tu CERT como tu equipo de “marketing de guerrilla”. Y para ilustrar esta opción, y aunque no sean de nuestro sector, os cuento algunos ejemplos recientes con los que me he encontrado: la colocación de un vehículo Mercedes Benz en un aeropuerto europeo, destinado a que el público lo pruebe y se familiarice con sus prestaciones; o la entrega del típico yogurt, por ejemplo, al salir del metro a primera hora de la mañana, invitándonos a ser potenciales consumidores. La idea es aplicar esto a los equipos de incidencia de seguridad. No que repartamos yogures, sino cuidar a nuestro equipo de respuesta a incidentes para convertirlo en nuestra herramienta de marketing más potente dentro de la organización. Cuando hay un incidente de seguridad, la gente se altera en la empresa y necesita saber dónde acudir y, más aún, tener la sensación de protección, de que todo está controlado. Si preparas el terreno, si tienes claros cuáles son los elementos a tener 13
  14. La lucha tecnológica contra el fraude organizado en cuenta y si, además, has apostado por un componente de marketing, todo mejora. Es similar a lo que ocurre en la seguridad física, que cuando sucede una catástrofe, los servicios de emergencia acuden al lugar del siniestro ataviados con una indumentaria especialmente llamativa, como chalecos reflectantes. Todo el mundo se fija en ellos y confía en sus indicaciones. La segunda provocación a la que quiero aludir es la que denomino “el efecto grafiti”, o el poder de las imágenes. Pondré un ejemplo: hace unos meses me fijé que en los baños públicos de un palacio de convenciones habían robado el dispensador de desinfectante del inodoro; y cuando volví, hace unos días, aún estaba sin reponer. La situación seguía igual, y eso supone un efecto visual demoledor a la hora de confiar en, en este caso, la limpieza de esos baños. Lo denomino “efecto grafiti”, porque es como pensar en una pared limpia y en otra repleta de grafitis… ¿cuál de las dos invita a hacer uno nuevo? ¿En cuál da la sensación de que no importará que haya uno más? Es lo mismo que ocurre con el equipo de seguridad. Es importante que sus instalaciones sean profesionales y atractivas. Además de otros detalles que redundan en la obtención de una mejor imagen, tanto dentro como fuera de la organización, concienciar a los empleados sobre las contraseñas, cuidar la confidencialidad, evitando papeles confidenciales por las mesas y cosas por el estilo… 14 Curso de Verano 2011 En lo que se refiere a la tercera de estas cinco provocaciones, ésta es la de utilizar conectores sociales, al modo que los define Malcolm Gladwell en su libro “Tipping Point”. En el libro, este autor se refiere a unos personajes, los conectores sociales, que no siendo miembros de la Dirección, conocen a todos los empleados de la organización y tienen un alto grado de conexión con todos los agentes activos de la empresa. La propuesta es identificar a estas personas dentro de la compañía, e invitarlas a que se unan a nuestras tareas, no como parte del equipo, sino como facilitadores y transmisores de los mensajes que queremos llevar a los miembros de la corporación. Nos ayudarán a concienciar a los empleados, proveedores o clientes sobre todo aquello que hayamos decidido implantar en el seno de la empresa. Por ejemplo, podemos regalarles un filtro de confidencialidad para su portátil, seguros de que lo recomendarán a sus compañeros; o invitarles a un seminario atractivo donde puedan llevarse algo tangible relacionado con la seguridad, o enseñarles a crear una contraseña fuerte. La idea es aprovechar lo que tenemos de la forma más astuta posible, la comunicación peer to peer, aprovechar la comunicación y la información que fluye al mismo nivel, nunca como una imposición. Por otro lado, la cuarta provocación se centra en lo que se conoce como “el poder del gratis”. Nadie puede abstraerse de la atracción que ejerce sobre nosotros todo aquello que es gratis. Centro de Investigación para la Gestión Tecnológica del Riesgo
  15. Curso de Verano 2011 Si regalamos dispositivos de memoria cifrados o protectores de pantalla, seguro que tendremos asegurado su uso. Finalmente, la quinta provocación se refiere al axioma de que “la seguridad no puede ser destructiva”, porque si esta es nuestra actitud para con la organización corremos el riesgo de aislarnos. Es más importante estar presente en proyectos clave de la organización que concluir uno propio concreto. En definitiva, y según decía un antiguo profesor, el negocio está para hacer negocio, no para Centro de Investigación para la Gestión Tecnológica del Riesgo La lucha tecnológica contra el fraude organizado hacer seguridad, salvo el negocio de seguridad, por lo que nos conviene siempre no perder de vista el baño de humildad y ser conscientes de que, como todos, nosotros también somos prescindibles. En este contexto, y para recapitular, si queremos desarrollar con éxito nuestro trabajo como departamento de seguridad, y encontrar esa armonía de la que hablábamos, necesitamos unos métodos, unos filtros, unos pasos a seguir, y un equipo multidisciplinar, con pasión, motivación y ganas de innovar. 15
  16. La lucha tecnológica contra el fraude organizado 16 Curso de Verano 2011 Centro de Investigación para la Gestión Tecnológica del Riesgo
  17. Curso de Verano 2011 La lucha tecnológica contra el fraude organizado ANTI-PHISHING WORKING GROUP Gary Warner (Director of Research in Computer Forensics. The University of Alabama at Birmingham) mpezaré mi exposición con una reflexión: aunque parece que las personas siempre primamos el factor económico, y los delincuentes lo que buscan es siempre dinero, realmente creo que hay un factor mucho más importante: la reputación. Hace poco pregunté a un Senador en EE UU si le había llegado alguna vez un ataque de phishing y me respondió que sí. Me dijo a qué banco se suplantaba y le pregunté qué opinaba sobre lo que le debía estar pasando a su banco para permitir tales ataques a su marca. Y me contestó que lo más seguro es que los del banco no se enteraran de que les estaban atacando, porque de lo contrario no lo permitirían. Creo que la buena fama es más importante que todo el oro del mundo. Y el factor de reputación es Centro de Investigación para la Gestión Tecnológica del Riesgo lo que hemos de considerar cuando permitimos que continúe o no un ataque de phishing. Eso y la impunidad que beneficia a los malhechores. Nosotros analizamos 85.000 webs de phishing de bancos afectados… ¿y saben cuántos de los delincuentes van a la cárcel? Solo el 1%, lo que significa que para el 99% restante vale la pena cometer estos delitos. Hay tres campos a los que prestamos especial importancia dentro de nuestro grupo de trabajo: La formación de los profesionales que lucharán el día de mañana contra el cibercrimen (que será aún más complejo). La preparación de las mejores herramientas y las técnicas más eficaces en esta lucha, ayudando 17
  18. La lucha tecnológica contra el fraude organizado también a las unidades especiales de los cuerpos y fuerzas de seguridad (trabajamos muy de cerca con la unidad específica del FBI para estos temas). La educación del público sobre las amenazas existentes sobre el cibercrimen. En mi laboratorio contamos con 35 puestos de trabajo y los organizamos en tres zonas distintas: una de spam y phishing, otra de malware y análisis forense y luego la parte de investigaciones. En esta última es donde realmente los estudiantes se relacionan con las fuerzas y cuerpos de seguridad, aprendiendo qué es lo importante y dónde hay que fijarse primero a la hora de detectar indicios de cibercrimen. Y en base a todos los datos que allí manejamos, aprenden a realizar y formalizar una investigación en este escenario. Tenemos un proyecto de spam, donde hemos recuperado más de 500.000 millones de correos electrónicos, que ya tenemos disponibles también para los cuerpos de seguridad. Allí trabajamos en cómo podemos identificar el malware para saber quiénes son los delincuentes que han enviado estos mensajes. Disponemos de un ordenador específico para el cibercrimen, con 14 servidores dedicados y otros noventa y tantos para almacenar información, y con ellos hacemos análisis y estudios y damos apoyo a las fuerzas del orden. También trabajamos con la oficina antidroga, incluso con cuerpos de cibercrimen en Alemania o los Países Bajos. 18 Curso de Verano 2011 Para realizar nuestro trabajo, tenemos que analizar muchos procesos para determinar si es una web de phishing. Y si tenemos éxito, entonces, automáticamente, buscamos un archivo de phishing. Empezamos la búsqueda manual e intentamos dilucidar la relación entre este sitio de phishing y otros webs de phishing que hemos visto en el pasado. Es importante conocer las relaciones entre las distintas páginas de phishing, porque, como nos gusta decir aquí, no todos los delincuentes son iguales, y si entendemos la relación entre las webs, entenderemos también ante qué tipo de delincuente estamos. Por ejemplo, hace poco descubrimos un caso curioso en un banco de Alabama, donde un hombre nigeriano había aprovechado copias del mes de febrero, considerado el de la historia negra del banco, para hacer phishing contra el banco. Lo teníamos todo de él, su página de Facebook y sabíamos quiénes eran sus amigos. También nos ocurrió con un phishing al Banco de América, que tienen en su departamento más de 800 webs de phishing detectadas contra su banco, y ahí sí hicimos una ardua labor para relacionar todas esas webs. Siete pasos para una investigación de phishing Como comentaba, intentamos buscar la relación existente entre la web de phishing en cuestión y las otras en las que hemos detectado la existencia de una relación de afinidad. Introducimos lo Centro de Investigación para la Gestión Tecnológica del Riesgo
  19. Curso de Verano 2011 que nos va pidiendo (identificación de usuario, contraseña, responder a tres preguntas de seguridad, volver a meter el correo electrónico y luego una clave…) y nos vamos dando cuenta de que así no trabaja una web de verdad. El funcionamiento es sencillo: cuando la web consigue lo que quiere nos envía a la web del banco y cuando nos preguntamos quién nos ha mandado allí podemos ver los archivos en el servidor. Y entonces podemos detectar cuántas webs de phishing tienen 100 víctimas y cuántas 1.000, por ejemplo. Y también podemos identificar quiénes han sido los clientes que han visitado la web de phishing. Lo que hacemos, básicamente, es seguir en siete pasos la metodología que hemos creado para la investigación de phishing. Primero preparamos un programa electrónico que se envía al cliente y luego analizamos el archivo en cuestión. Después intentamos determinar cómo esta web se relaciona con las otras webs que hemos visto anteriormente y más adelante miramos los logs, tanto en la web de la víctima como en el phishing. Y ahí sí ya somos capaces de identificar quién ha estado saboteando la web para introducir los datos de phishing. Encontramos entonces mucha información sobre el delincuente, que es quien más datos introduce en la web de phishing, porque quiere asegurarse de que funciona. De hecho, la primera dirección que vemos es casi siempre la dirección IP del atacante. Podemos recopilar todos los logs en diferentes webs y podemos ver la misma dirección de IP para diferentes webs de phishing. Centro de Investigación para la Gestión Tecnológica del Riesgo La lucha tecnológica contra el fraude organizado Como comentaba al principio, en EE UU trabajamos muy cerca de los cuerpos de seguridad. Ellos suelen manejar muchos datos, pero muchas veces no saben cómo procesarlos, y entonces nosotros lo hacemos con nuestras herramientas, en nuestro laboratorio. Viendo las cuentas en Yahoo, Hotmail o Gmail averiguamos quiénes son las víctimas. En la última parte de la investigación lo que hacemos es inteligencia de código abierto, haciendo un análisis del archivo. Puedo poner como ejemplo ilustrativo una web de phishing que operaba contra BBVA. Estaba diseñada desde un hotel en Barcelona, cuya web había sido saboteada para operar como un phisher del BBVA. En esta web descubrimos los correos electrónicos de los delincuentes, que los utilizan para robar las credenciales. Siguiendo con la investigación, nos encontramos el mismo phisher y su dirección de correo electrónico en 8 webs diferentes. En otras investigaciones lo que encontramos fueron intentos de phishing con características similares en 29 webs distintos. Con esto lo que demostramos es que cuando uno hace una investigación de phishing sobre su marca a menudo está tan centrado en ella que no puede imaginar que ese mismo delincuente también está atacando a la competencia. Por otro lado, hay que estar muy atentos a los errores que cometen los delincuentes, porque los cometen, y muchas veces son determinantes para dar con ellos. 19
  20. La lucha tecnológica contra el fraude organizado Curso de Verano 2011 Tuvimos un caso de un phisher que organizó más de 100 webs de phishing. Y pensaba que su dirección secreta estaba a salvo, pero no lo estaba tanto y desde el grupo conseguimos identificarlo. Conseguimos también identificar todos los sitios o webs de phishing que había modificado y las cuentas de correo electrónico con las que trabajaba. Después de un tiempo de investigación, conseguimos tener fotos de todas y cada una de estas personas. Había 33 personas involucradas dentro de nuestras fronteras y más de 100 en todo el mundo. Al final se detuvo la trama y al cabecilla le cayeron 13 años de cárcel, por delitos de phishing y, por cierto, también por cultivo de marihuana. Éxitos en la investigación En 2011 también investigamos el caso de tres corporaciones, contra cuya marca operaban más de 500 webs de phishing. Fue también una de nuestras investigaciones más importantes y conseguimos grandes avances con ella. Afortunadamente podemos decir que han sido ya unos cuantos éxitos los que avalan nuestro trabajo y nuestra dedicación en la lucha antiphishing. Con nuestra colaboración se pudieron detener a más de 70 personas que estaban realizando actividades fraudulentas en distintos países del mundo. Y en otra investigación reciente detectamos delincuentes en Rumanía y España, entre otros países, dedicados a hacer webs de phishing. Otra investigación que me gustaría destacar es una que llevamos a cabo en EE UU y que terminó con la detección de una persona que había estado viviendo en Egipto y que a su vuelta a EE UU empezó a trabajar como traductor de árabe. En su estancia en Egipto había conocido mucha gente, y parece que casi todos delincuentes, y cuando volvió a nuestro país desplegó una compleja red de colaboradores de primer y segundo nivel, en distintos Estados, como California, Nevada, Carolina, etc. Estas conexiones de segundo nivel sacaban dinero de los cajeros ATM con una identidad falsa y se enviaba dinero a Egipto. 20 En todo caso, lo que siempre nos gusta decir, para que todo el mundo esté prevenido, es que los delincuentes también tienen éxito. Pueden interceptar dinero muy fácilmente con el número de usuario y la clave. Dicho esto, lo que importa no es tanto que se diseñen las webs, porque de esas podemos encontrar cientos de casos. Lo que importa es que estas webs terminen obteniendo aquello para lo que fueron diseñadas: dinero de manera ilícita. El malware, más caro En otro orden de cosas, también quería comentar el asunto del malware, cuyos casos de vulnerabilidad terminan siendo más caros que los causados por los de phishing. Según algunos estudios, por cada dólar que se pierde en phishing, se pierden tres en malware. Uno de los más avanzados es un keylogger Centro de Investigación para la Gestión Tecnológica del Riesgo
  21. Curso de Verano 2011 llamado Zeus, que (una vez detectado el movimiento del teclado) puede tomar el control remoto del ordenador sin mucho problema. Con todo, para este tipo de técnicas fraudulentas, en la parte de la investigación tenemos otras que pueden contrarrestar sus efectos. Por ejemplo, hay opciones para conseguir que la web detecte si estás utilizando un ordenador distinto del habitual y te avise en esos casos. A mí, por ejemplo, sin ir más lejos, me pasó ayer mismo. Quise enviar dinero a mi hija, y me decía que estaba en un ordenador que no era el mío y me solicitaba otra forma de confirmar mi identidad. Introduje la otra clave y pude realizar la operación. Pero lo importante es el aviso que me llegó de que estaba operando desde otro ordenador, poniendo una barrera más a la hora de movilizar mi dinero. Huellas digitales de dispositivos Paralelamente, también nos enfrentamos a una vulnerabilidad donde aparece una técnica llamada “huella digital del dispositivo”. ¿Y cómo detectamos el fraude en estos casos? En EE UU hemos sufrido algún ataque en este sentido. Y se han detenido más de 40 personas entre Nueva York y Ucrania, que habían conseguido robar más de 200 millones de dólares. La dinámica de trabajo en este caso había sido muy sencilla. Se entraba en una página que daba problemas al usuario y donde para solucionar estos se le recomendaba recurrir a un teléfono Centro de Investigación para la Gestión Tecnológica del Riesgo La lucha tecnológica contra el fraude organizado de ayuda que aparecía en la misma página del phishing. El delincuente contestaba directamente al teléfono y te solicitaba distinta información que luego aprovechaba para utilizar en la página de phishing. Si hubiéramos podido desconfigurar el archivo de configuración nunca se hubiera visto este número de teléfono. Sobre estos archivos de configuración, una de las primeras medidas que hay que tomar en cuenta es confirmar si otros bancos están en el mismo archivo de configuración porque estén sufriendo al mismo delincuente. Y quizá aquellos tengan recursos de inteligencia más avanzada y nos puedan ayudar a ver quién es “el malo” y cómo detenerle. Un usuario final vulnerable Un fenómeno como el phishing, que se basa en ingeniería social, es cierto que solo puede ser perseguido con la gestión tecnológica del riesgo. Lo especialmente significativo aquí es algo que a veces se nos olvida, y es que el phishing depende y está basado en la existencia de un usuario final vulnerable. Mientras haya humanos que cometan errores y que no presten toda la atención que merecen las situaciones especialmente conflictivas, siempre existirá el riesgo. Desde el Anti-Phishing Working Group trabajamos y trabajaremos por evitar esta falta de concienciación. Y siempre intentaremos que los bancos sean conscientes de los mensajes que ellos mismos están enviando. Tenemos que alcanzar un nivel de seguridad, por tecnología y herramientas, y por concienciación de los propios bancos y de sus usuarios, que nos permita 21
  22. La lucha tecnológica contra el fraude organizado defendernos de los delincuentes. Que, incluso, aunque estos conozcan nuestra identificación de usuario y contraseña no puedan robarnos el dinero tan alegremente. Congresos y reuniones El Anti-Phishing Working Group se estableció para compartir información, y eso es lo que 22 Curso de Verano 2011 hacemos en nuestras reuniones periódicas. Organizamos dos Congresos importantes al año, y otra Cumbre General entre octubre y noviembre. Y, además, celebramos nuestra Cumbre de Investigadores de Delitos Electrónicos, y los distintos Comités locales, en los que les invitamos a participar desde aquí. Centro de Investigación para la Gestión Tecnológica del Riesgo
  23. Curso de Verano 2011 La lucha tecnológica contra el fraude organizado THREAT HORIZON: IDENTIFYING FUTURE TRENDS Adrian Davis (Principal Research Analyst. Information Security Forum - ISF) ablemos del futuro como una realidad, como algo que es concreto y que ya está aquí, y estaremos en mejores condiciones para entender por qué nos preocupa y cuáles son las amenazas y riesgos que nos esperan en la Sociedad de la Información. Pero hablar de futuro es hablar de globalización. Vivimos en un mundo globalizado donde ya no existen las fronteras, donde la gestión de la informática, e incluso del malware, se pueden externalizar. Hay un libro muy interesante que recomiendo, que se llama “La Tierra es plana: breve historia del mundo globalizado del siglo XXI”, de Thomas Friedman, que resulta muy ilustrativo al efecto y que habla precisamente de esto, de la ausencia Centro de Investigación para la Gestión Tecnológica del Riesgo de fronteras y de una nueva forma de entender el mundo. Las cosas han cambiado mucho en estos últimos años. Las empresas lo han hecho moviéndose libremente de unos países a otros y ampliando sus cadenas de suministro. Y esto sigue cambiado constantemente. Al igual que las cadenas de suministro y al igual que las amenazas y los riesgos a la seguridad de la información. Asimismo, la relación con los proveedores presenta nuevas características. Ahora más que nunca hay que confiar en el proveedor, que haga lo que ustedes quieren que haga, y que incluso, lo más importante, hagan todo lo que dicen que van a hacer o que están haciendo. Y ahí está la gran diferencia. 23
  24. La lucha tecnológica contra el fraude organizado Pero la cadena de suministro, en este movimiento de cambio, sigue siendo un componente crítico para las organizaciones, su información sigue siendo de vital importancia… y estos cambios nos hacen perder también gran parte de la información sobre ella, sabemos menos acerca de cómo funciona y opera. De manera que nos enfrentamos también a una cuestión muy importante: ¿cómo podemos auditar “la nube”, teniendo en cuenta que el entorno cloud cambia constantemente y no es un sistema estático? Todo ha cambiado, ¿y cuál es nuestro problema? Si tenemos muchos problemas y sucumbimos, la empresa sucumbe y será una catástrofe, nos pondrán muchas multas si no cumplimos las normativas ya impuestas… ¿Cómo decimos a nuestros colegas y colaboradores que lo importante sigue siendo la información? Tenemos que tener cuidado de que no nos ocurra lo mismo que a aquel niño que de tanto decir que venía el lobo, el día que vino de verdad nadie le creyó. Curso de Verano 2011 útil porque había muy pocos y la capacidad de comunicación era muy escasa, pero ahora no podemos vivir sin él. Igual que las redes sociales, que extienden sus tentáculos más y más y establecen más y más relaciones entre nosotros. En cualquier entorno, la información está relacionada con las tecnologías de la información y estas se están convirtiendo en el centro de nuestra vida. La labor de ISF Y nosotros, desde ISF, ¿qué hacemos para ayudar a entender este entorno cambiante? Pues muy sencillo: recabamos información, hablamos con muchísimas personas de perfiles muy diferentes y así nos acercamos a factores legales, económicos, culturales, políticos, tecnológicos, etc. y conseguimos tener una visión más completa del mundo que se nos avecina. Todo es información De este modo, podemos saber cuáles serán las amenazas más importantes a la seguridad de la información y cómo se relacionarán con los cambios que sufriremos en la sociedad en un futuro inmediato. Vemos cómo cambia nuestra forma de trabajar y cómo entramos en otra dimensión, que tiene sus propias amenazas y sus propios problemas. Tenemos que estar preparados, hay que estar muy atentos a qué podría pasar, independientemente de que llegue a pasar, o no. Y toda esta información la compartimos con el sector a través de los informes que publicamos y las reuniones que celebramos. Yo, particularmente, tengo la suerte de haber gestionado este proyecto desde los últimos cuatro informes. Los avances se miden según su utilidad y su popularización. En 1876 el teléfono no era nada Celebramos varias reuniones al año y ahí preguntamos cuáles serán las nuevas tendencias 24 Centro de Investigación para la Gestión Tecnológica del Riesgo
  25. Curso de Verano 2011 tecnológicas. En España celebraremos una convocatoria del Capítulo Regional de ISF en marzo en Madrid; y allí, entre otros temas, se hablará de la seguridad en los entornos industriales, de la protección de infraestructuras críticas y del programa de trabajo de ISF para este año. Como decía, en estas reuniones hablamos con la gente que trabaja en fabricación, en banca, en sanidad, y también hablamos con el World Economic Forum y con futurólogos (aquí destaco un libro que lleva por título “Los siguientes 50 años”, y que resulta muy interesante); y después ponemos todo en común en nuestro Congreso Anual, que se celebrará en Chicago del 4 al 6 de noviembre. Y es a partir de ahí cuando ya recabamos toda la información final y los datos correctos para empezar a redactar el informe. Lo que estamos viendo es que en Reino Unido, también en EE UU y, sobre todo, en la Unión Europea se está haciendo un esfuerzo por integrar, cada vez más, normas sobre información y privacidad. En la Unión Europea, el 1 de mayo de 2011 entró en vigor la llamada “ley de cookies”, que lo que viene a decir es que no se puede almacenar información en cookies de las personas que visiten la web, a no ser que se permita expresamente. En Reino Unido, por ejemplo, si se pierde información personal, nuestra Oficina de Privacidad de Datos puede llegar a poner una multa de medio millón de libras por cada una de las veces que se viola esa privacidad. Centro de Investigación para la Gestión Tecnológica del Riesgo La lucha tecnológica contra el fraude organizado Amenazas más importantes de 2011 Conocemos muchos ataques anónimos y muchos están causados simplemente por errores, que podrían fácilmente subsanarse. Por ejemplo, porque no tenemos los parches instalados o porque no actualizamos correctamente los servidores. Y esto es lo que conocemos, porque luego está lo que no conocemos, y lo que los delincuentes pueden hacernos. Y un entorno que, desde luego, no está a salvo de los ataques de los ciberdelincuentes es “la nube”. Cada vez más negocios migran algunas de sus plataformas, o incluso sistemas críticos, a “la nube”. Visto esto, ¿cuáles son las principales amenazas en la Red? ¿Qué juega ahora mismo en nuestra contra? Por un lado, la ilusión de fronteras. Ahora estamos conectados a mucha más gente y ni siquiera sabemos que lo hacemos. Tenemos todo tipo de dispositivos electrónicos, conectados entre sí y con otras muchas personas, de manera que ya no existe un muro tras el que esconder nuestra privacidad. Por otro lado, otra amenaza en Internet es la existencia de infraestructuras más débiles. Dependemos de muchas organizaciones para que nuestros negocios funcionen bien y para mantenerse en contacto. A veces estos tienen problemas, y si ellos tienen problemas, entonces nuestro negocio también 25
  26. La lucha tecnológica contra el fraude organizado sufre. Por ejemplo, si la conexión a Internet no funciona, debemos esperar a que el ISP ponga a funcionar su sistema de respaldo para que nos afecte la caída lo menos posible. Además, las leyes suelen redactarse con mucho retraso. Cuando se aprueban, las amenazas contra las que imponían regulación ya han evolucionado a otro nivel, lo que hace que esta regulación se quede obsoleta enseguida. Y tampoco se evoluciona a la par de tecnologías punteras, como los servicios de geolocalización, ni de aspectos empresariales clave como las cadenas de suministro, cada vez más débiles y más “deslocalizadas”. Otras amenazas importantes son también el incremento y sofisticación de los ataques criminales, las reglas de juego cada vez más estrictas y las particularidades de los entornos de outsourcing/offshoring. Un apunte sobre el malware en los teléfonos móviles: apenas nos hemos encontrado con esta amenaza porque los delincuentes no encuentran este escenario atractivo. Pero eso es solo una parte, lo que ahora nos importa también es no perder el móvil con datos sensibles en su interior. En Londres, cada día se dejan olvidados en los taxis hasta 10 teléfonos móviles, con datos muy importantes de las compañías para las que trabajan sus usuarios. Hay que proteger estos dispositivos, cada vez más centrados en el negocio y con una información crecientemente confidencial. 26 Curso de Verano 2011 Por otro lado, el plan de continuidad de negocio se vuelve fundamental si lo que queremos es evitar complicaciones mayores después. El coste que supone la pérdida de datos por persona y año para una compañía alcanza los 75 dólares, de manera que si una empresa pierde datos de, pongamos, 100.000 personas, el coste es elevadísimo, y ello independientemente de las multas, las auditorías, etc. Y es que el auge de lo que ya denominamos “derechos humanos digitales” es imparable. El derecho a estar conectado o a navegar libremente por Internet es ya un derecho adquirido que nadie está dispuesto a perder. Es un tema interesante en la actualidad, y lo será más cuando el resto de países del mundo participen también de esta conexión. Cuando África o Asia se integren de verdad en nuestras redes y reclamen el mismo protagonismo. Y ahí tendremos que resolver un problema cuantitativo, porque incorporaremos a “nuestra tarta” a muchos millones de personas. Habrá muchas oportunidades, pero también muchas amenazas. Y en medio de ese panorama explotarán también otros temas, como la Internet de las cosas, dispositivos que hablan con dispositivos sin intervención humana; y el acortamiento de la cadena de suministro. Ya no dependeremos de una única fuente de suministro, sino de múltiples fuentes. Y será importante tener detectado cuáles serán los proveedores críticos para nuestro negocio. Centro de Investigación para la Gestión Tecnológica del Riesgo
  27. Curso de Verano 2011 Cuatro categorías y 5 puntos importantes Podemos hablar de cuatro categorías de amenazas según las conozcamos o no: La referida a aquellas que conocemos y con las que podemos hacer algo para trabajar. Las cosas que conocemos, pero no podemos hacer nada para evitarlas. Las amenazas de las que no tenemos ni idea. Y, finalmente, las que nadie contemplaría pero que pueden causar mucho daño a la organización. En esencia, tenemos que tener en cuenta: Que las personas son cada vez menos fieles a las empresas. Que hay entornos que no podemos gestionar ni controlar, como los medios sociales. Los requerimientos de los distintos gobiernos. Los delincuentes y sus formas optimizadas de engañar y ganar más dinero. Y, por último, nuestros particulares “cisnes negros”. Entonces, ¿qué podemos hacer? Empezar a planificar ahora mismo. Trabajar para que nuestros sistemas sean más seguros. Y lo haremos siguiendo unos pasos sencillos. Viendo primero cuáles son los riesgos que pueden afectar a nuestra organización y nuestra información, y cuáles son las amenazas que más daño podrían hacernos. Y una vez puesto eso en común recurrir a la tecnología, y no solo a las tecnologías conocidas, sino también a aquellas emergentes que puedan aportarnos un extra de protección. También hay que tener los parches y actualizaciones necesarias y prestar la atención que se merece a la gestión de identidades. Centro de Investigación para la Gestión Tecnológica del Riesgo La lucha tecnológica contra el fraude organizado Y desde luego dedicar más recursos a la formación y al conocimiento. Aquí, un dato: la mayoría de las organizaciones gastan alrededor del 4% de su presupuesto en la seguridad de su información; pero las empresas que trabajan mejor, con mayores beneficios y normalmente con menos incidentes, gastan entre un 15% y un 25% de su presupuesto en programas de conocimiento, porque creen que es lo que da mejores resultados. 7 pecados capitales del cloud A continuación quisiera enumerar las problemáticas más comunes que existen en “la nube”, lo que denominamos también los “7 pecados capitales del cloud”. El primero sería que hay que conocer bien lo que queremos gestionar después. El segundo que siempre hay que conocer nuestras responsabilidades, porque el proveedor en “la nube” nos venderá un servicio, pero la responsabilidad siempre será nuestra. El tercer pecado capital es que hay que entender muy bien qué nos ofrecerá el proveedor y cómo lo podremos medir. Tenemos que poder respondernos a las siguientes preguntas: ¿Están haciendo lo que dicen que van a hacer? ¿Cómo lo puedo saber? Y ello teniendo en cuenta que la evaluación en “la nube” es diferente porque todo cambia. El cuarto pecado capital tiene que ver con infringir la ley, ya que podemos estar infringiendo una ley en un país determinado y no saberlo. 27
  28. La lucha tecnológica contra el fraude organizado El quinto está relacionado con el caos, el desorden, con qué información está en “la nube”, cuál es crítica y sensible y qué tengo que hacer con ella. El sexto pecado es la vanidad. Pensar que tus infraestructuras están perfectamente preparadas para “la nube” porque tienes instalados cortafuegos y otras herramientas, pensar que no te puede afectar a ti… Y, por último, el séptimo pecado capital es la complacencia. Nos tenemos que asegurar de que nuestro proveedor de nube tiene planes de continuidad de negocio y de recuperación ante desastres. Y lo último, la “consumerización” En último término, hay que tener en cuenta que la tecnología de cloud ha llegado para quedarse. No 28 Curso de Verano 2011 va a desaparecer y hay que aprovecharse lo mejor posible de ella. Por eso hay que educar también a nuestros usuarios para tener más conocimiento, y para ver qué dispositivos vamos a apoyar y cuáles no, y qué aplicaciones vamos a utilizar y con qué datos. Hay que tomar estas decisiones hoy, porque si no mañana estaremos inundados de información por todas partes y no habremos decidido ninguna estrategia al respecto. Lo mejor que hay que hacer es mantenerse al día con los cambios. No pensar que podemos trabajar como lo hacemos ahora. Hay que trabajar para el negocio y por el negocio. Y si el negocio cambia, cambiamos todos. Nuestro mundo va a cambiar y tenemos que estar preparados. Centro de Investigación para la Gestión Tecnológica del Riesgo
  29. Curso de Verano 2011 La lucha tecnológica contra el fraude organizado EL RIESGO DE LO IMPREDECIBLE: “THE BLACK SWANS” José Antonio Mañas (Catedrático de la ETSI Telecomunicación. Universidad Politécnica de Madrid) i ponencia tiene como hilo conductor el concepto de los “cisnes negros” o black swans, que según se recoge en el libro de Nassim Nicholas, y según se maneja en el sector, tiene que ver con el impacto de lo extremadamente improbable. El concepto se refiere a aquellos acontecimientos que a veces ocurren, pero que no son, en absoluto, predecibles. En realidad, adaptados a nuestra tierra, deberíamos decir “perros verdes”, como cuando se decía en mi pueblo eso de que “eres más raro que un perro verde”. No obstante, esto de la predictibilidad es algo totalmente relativo, puesto que lo que para unos es predecible para otros no lo es en absoluto. Centro de Investigación para la Gestión Tecnológica del Riesgo Valga como ejemplo el pavo que nos comemos en Navidad. Nada podría haber llevado a pensar al pavo que nos lo vamos a comer en esa fecha, él tan feliz y bien cuidado. Sin embargo, para el que hará la cena es algo totalmente predecible. Impredecible con alto impacto En este contexto de lo impredecible, lo que nos interesa son las cosas y acontecimientos que aparte de impredecibles tienen un grandísimo impacto para nuestra organización. De modo que para entender cómo llegamos a esta parte, podemos analizar cómo funciona el análisis de riesgo según los esquemas de zonas frías y zonas calientes. 29
  30. La lucha tecnológica contra el fraude organizado La zona uno, la más caliente, es la que plantea la existencia de una elevada probabilidad y un alto impacto. Son cosas que ocurren a menudo y que, además, “duelen”. Esto es, sin duda, lo primero que tenemos que afrontar como responsables de seguridad de nuestra organización. Según bajamos hacia debajo de la zona uno, se sigue manteniendo la alta frecuencia de los acontecimientos, pero no así el impacto, que ya empieza a ser más bajo. De todo esto no se suele hablar mucho porque no tiene mayor consecuencia, aunque sí son lo que podemos llamar “moscas cojoneras”. Llegando ya a la zona más templada, con cosas menos probables y con menos impacto, el llamado nivel 2… aquí hemos de decidir qué hacemos y qué arriesgamos. Pensamos en qué beneficio obtenemos y nos fijamos, por ejemplo, en qué hace la competencia. En este apartado, nuestra actuación es, con frecuencia, resuelta por el regulador y las normativas que se aplican. Después de estas dos zonas, estaría la zona 3, donde nos encontramos con sucesos que aparte de ocurrir pocas veces, además no tienen importancia. En mi opinión, no hay problema en olvidarse de estos sucesos. O en su defecto considerarlos “oportunidades” en vez de riesgos. Y es que el riesgo siempre hay que verlo desde la perspectiva del beneficio que nos reporta asumirlo, siempre es necesario hacer un cálculo de negocio. Asumirás un riesgo si existe un beneficio potencial; en caso contrario, no lo asumirás. 30 Curso de Verano 2011 Por último tenemos el apartado cuatro, donde se dan las dos circunstancias siguientes: es muy raro que ocurra; pero, sin embargo, tiene un elevado impacto en caso de suceder. Es eso que en el lenguaje de una pyme se perfila en la expresión “que sea lo que Dios quiera”. Pero si estás en una empresa más grande, es inevitable estar pendiente de todo aquello que podría pasar aunque sea algo completamente remoto. Decir probabilidad muy baja es hablar de sucesos extremadamente infrecuentes; aquellos otros no imposibles, pero jamás observados; y aquellos que, aun siendo posibles, hemos atajado preventivamente hasta hacerlos prácticamente imposibles. Esta última opción se refiere a lo que supone nuestra acción como responsables de seguridad y el abordaje hecho en barreras de seguridad, criptografía, centros de respaldo, etc. Aunque, cuidado con lo que se observa. Porque lo que no se ve en un lugar o en un entorno sí puede llegar a acontecer en otro. Como el “cisne negro”, que no se observa en ningún lugar, en ningún momento y, sin embargo, aparece en algún otro lugar del mundo. ¿Calcular la probabilidad? Llegados a este punto, la gran pregunta es si podemos calcular la probabilidad, si podemos hacer un análisis de riesgo, y si podemos llegar al “efecto del punto medio”, que es todo aquello que ocurre muchas veces. Centro de Investigación para la Gestión Tecnológica del Riesgo
  31. Curso de Verano 2011 Aquí hemos de tener en cuenta que la experiencia solo predice lo más probable y que la curva de Gauss requiere multitud de observaciones, lo que en mi opinión nos lleva al concepto de incertidumbre extrema y nos indica que es poco probable que ocurra. Así, cuando estamos hablando de un objeto singular, no hay estadística que nos valga y aquí no podemos ser capaces de predecir. Y con respecto a que la experiencia solo puede predecir lo que es probable, hay que reseñar que esto depende, en todo caso, del sujeto, de la propia experiencia, de la situación, etc. También hemos de hablar de lo que es improbable, remoto que ocurra y donde el impacto es incierto. No sabemos qué ocurrirá, pero sospechamos que puede tener un impacto costoso para el negocio y para nuestros activos. Aquí no hay experiencia propia ni ajena, y podemos considerarnos como parte del problema. Aquí, como decía Heráclito con aquello de “en el mismo río entramos y no entramos, pues somos y no somos”, nada es igual que la primera vez, el río no es el mismo por eso de que el agua corre y nunca nos podemos bañar entonces dos veces en el mismo río. Estamos en los casos inciertos, en ese impacto. En estos casos, entramos a analizar nuestra propia reacción en la carrera contra el impacto, y la reacción externa. La de los accionistas, los clientes (que pueden ser muy fieles, pero también pueden optar por penalizarte al más Centro de Investigación para la Gestión Tecnológica del Riesgo La lucha tecnológica contra el fraude organizado mínimo impacto detectado), los poderes públicos (que a veces parece que no hacen nada y otras parece que contribuyen a generar más alarma aún) y la sociedad (donde se te puede hacer un juicio público sin grandes garantías, donde se preguntan si te aprovechas de la situación, si has llegado a hacer todo lo posible, etc.). El marco en el que nos encontramos tiene un modelo matemático de probabilidad difícil de conocer y otro de impacto difícil de salvaguardar, con lo cual todos los planes y predicciones hay que hacerlos con “cierta dosis de arte”. En este escenario de la gestión del riesgo lo primero a considerar es prevenir todo lo que podamos prevenir, siempre y cuando se justifique el coste, pudiendo abordar acciones de gestión, de prevención del riesgo, de limitación del impacto, etc. También es importante una segunda cuestión, considerando los escenarios de desastre previstos, si es que el incidente era previsible. En tercer lugar, en esto de la gestión del riesgo hay que considerar la propia gestión de crisis. Aquí podemos hablar de cuatro cosas: … de indicadores predictivos (a partir de las causas podemos predecir lo que va a acontecer. Por ejemplo en los semáforos en ámbar, sabemos que le sigue el color rojo. Con todo, hay que ir con cuidado con estos indicadores, porque ocurren en pocas ocasiones); … de la detección y el escalado de la alarma (debemos contar con detectores, con una cadena controlada de ellos… “no me digas que has 31
  32. La lucha tecnológica contra el fraude organizado cambiado el móvil y no tengo el número nuevo”, y prestar especial cuidado a los llamados falsos positivos, que pueden “anestesiar” e impedir que, después, se detecte la problemática en el momento en que ocurre); … de la gestión de los afectados (ya sean los propios sistemas de información, el propio negocio, los clientes, los proveedores, la cadena de suministro o la sociedad…); … y de la recuperación para lograr colocar al negocio en su práctica habitual (aquí tenemos nuestro plan de recuperación de desastres, el sistema de respaldo… y es que, el “business as usual” ya no existe). La gestión del incidente A la hora de abordar la gestión del incidente, hay dos opciones: o tenemos una actitud pasiva o nuestra forma de abordar el conflicto es reactiva. Si nuestra forma de interactuar es pasiva, entonces podemos quedarnos impasibles a ver cómo evoluciona el desastre. Esto conlleva un alto grado de parálisis, como aquello que decíamos de las pymes de “que sea lo que Dios quiera”. Curso de Verano 2011 todas las telas. La forma en la que se gestionó aquella crisis dio como resultado la aventura de la marca como firma de los conocidos vaqueros. Una vez llegado el desastre, seguimos teniendo también diferentes opciones, que nos llevarán a diferentes resultados. Puede ser que regresemos a donde estábamos antes de acontecer el susodicho, pudiendo aplicar diferentes planes de recuperación ante desastres; podemos aprovechar las nuevas oportunidades que se abren ante nosotros. En este contexto, podemos igualmente aprender a anticiparnos a estos desastres y a reaccionar según lo que más nos interese, pudiendo aprender siempre de la experiencia. Y ante todo ello, una pregunta fundamental: ¿dejamos de Directores a los mismos ciegos que no supieron prever este desastre? No habrá más remedio que contestarse a esta cuestión, aunque la respuesta definitiva muchas veces no dependerá más que de los accionistas de la empresa. Regulación y cumplimiento Si, por el contrario, nuestra actitud es reactiva, que creo que es lo mínimo de lo que tenemos que partir, podemos o bien frenarlo para que no llegue “a mayores” o bien reconducirlo para sacar el máximo provecho posible. En el apartado de regulación y cumplimiento, a menudo nos encontramos con la asunción de respuestas “rápidas” frente a escenarios que, quizás, nunca más se darán; pero muchas veces no queda más remedio que hacerlo. Esto es como lo que le ocurrió a la clásica firma Levi Strauss, que empezó vendiendo telas para hacer carpas y un día se le hundió el barco con Cumplir con las diferentes reglamentaciones da respuesta a varios cometidos que no podemos desdeñar, como calmar la alarma social; pero 32 Centro de Investigación para la Gestión Tecnológica del Riesgo
  33. Curso de Verano 2011 también es cierto que es bastante complicado validar su efecto, puesto que se trata de una intervención rápida en un proceso impredecible. Dicho de otro modo, no sabemos si se podrá medir, no podemos validar si lo que estamos haciendo es o no correcto, es lo que se llama “sistemas realimentados”, desde la perspectiva de que muchas veces se legisla con mucha premura para un suceso que puede que ocurra cada 300 años, por ejemplo. Por otro lado, y como no podía ser de otro modo, las regulaciones sirven para que las empresas adopten determinadas medidas que de otra forma no asumirían. Es lo que se conoce como “miedo al incumplimiento”. Son muchas las razones que hacen que una corporación no dude en cumplir con aquellas regulaciones que le afectan. Entre otras podemos destacar las siguientes: quedar fuera del mercado, si estás en un ámbito regulado; o, por supuesto, evitar que nos pillen con “los deberes sin hacer” en caso de sufrir un incidente impredecible; y, mucho menos, acabar en prisión. Proteger y diversificar Visto lo anterior, la mejor solución para sobrevivir a un incidente contundente, que puede tener un alto impacto en el negocio, es “no poner todos los huevos en la misma cesta”, lo que se entiende por diversificar (clientes, servicios, segmentar el mercado, etc.). Pero para entender cómo llegamos a esto y por Centro de Investigación para la Gestión Tecnológica del Riesgo La lucha tecnológica contra el fraude organizado qué, hemos de hacer antes un recorrido que ilustre esta evolución. Tenemos que hablar de lo que denominamos “previsores” del negocio, y que, a su vez, se dividen en dos categorías: expuestos y protegidos, filosofía esta última donde situaríamos esta teoría de diversificación y segmentación. Empezando por el principio, y dentro de los previsores expuestos, el mayor impacto de todos los posibles acontece cuando, como decía antes, hemos puesto “todos los huevos en la misma cesta”, cuando tenemos todo interconectado y vulnerable a un ataque al mismo tiempo. También estamos más expuestos cuando no hemos definido correctamente el margen de seguridad, allí donde te recomendaban poner varias puertas y esconderte, segregando redes o diseñando una cloud DMZ. En resumen, ganas mucho con estas líneas de defensa, que puedes tener desplegadas por toda tu organización. Nos aprovechamos de las alarmas, y de la ventaja que nos dan frente a los riesgos. Y esto es muy importante tenerlo en cuenta, a pesar de que estos márgenes de seguridad resulten a menudo costosos y complejos. También aquí es importante hacer una referencia a la optimización de los recursos, algo a lo que se recurre en muchas ocasiones, más aún en tiempos de recesión económica como los que vivimos. Esto es importante y tiene sus ventajas, por supuesto, pero también nos sitúa en la siguiente tesitura: precisamente porque somos óptimos 33
  34. La lucha tecnológica contra el fraude organizado resultamos más frágiles frente al atacante, y una vulnerabilidad nuestra puede echar por tierra muchos logros conseguidos con tanto esfuerzo. También en nuestra contra juega la condición de “rápida propagación”, cuando cualquier vulnerabilidad o ataque supone la llegada inminente a nuestros sistemas y la rápida expansión por nuestras redes e infraestructuras. Esto la gente de seguridad física lo tiene más controlado, y apuesta siempre por evitar estas rápidas propagaciones, recurriendo a lo que denominan “retardadores”. Valga como ejemplo, en el caso del fuego, la utilización de material ignífugo en la construcción de unas determinadas instalaciones o como parte de la vestimenta de quienes tienen que realizar tareas de salvamento; al final, de lo que se trata es de retardar el efecto de propagación del fuego. Y siguiendo el ejemplo que nos brinda la seguridad física, en nuestros departamentos de seguridad lógica hemos de ir más allá de instalar una clave, un token, etc., y pensar en la capacidad de propagación de una amenaza que alcance esa vía. Y es que siempre hay que tener en cuenta la dinámica y la versatilidad de los incidentes, porque si lo vemos seremos capaces de adaptarnos y luchar contra sus efectos. No obstante, viendo el tema de las dinámicas, el problema más importante que yo veo es la globalización, de manera que un incidente puede llegar a nuestros sistemas con más celeridad que antes y desde cualquier parte del globo. 34 Curso de Verano 2011 Además, siempre hay que ver si hay compartimentos estancos, y tener en cuenta que muchas veces lo que hacemos es, simplemente, prever un incidente aislado, pero no la concurrencia de varios de ellos. Y en lo que respecta al cloud computing, he de decir que me da mucho miedo la utilización de criptografía en estos entornos, y es que si tenemos el impacto acotado estamos protegidos, pero no así en caso contrario. A modo de repaso de lo comentado anteriormente y para dejar claro cuáles serían los elementos y las acciones que permiten tener los activos de una organización protegidos, retomaremos el tema de impacto acotado y de la diversificación de las actuaciones, lo que enunciaba como “no poner todos los huevos en la misma cesta”. Del mismo modo, es necesario contar con un margen de seguridad adecuado, con capas de defensa, redundancia de sistemas y capacidad de resiliencia. Esta última capacidad, la de mantener los servicios esenciales tras el ataque y recuperarse lo antes posible del mismo, es lo que define la calidad de supervivencia de una organización, así como su adaptabilidad a un entorno cambiante. Finalmente, quisiera hacer el siguiente apunte: que la responsabilidad sobre el riesgo esté localizada en la persona que tiene que tomar las decisiones, que puede ser el Director de la compañía, y no el operador o el responsable de sistemas. Centro de Investigación para la Gestión Tecnológica del Riesgo
  35. Curso de Verano 2011 Esto lo hemos visto claramente en lo que plantea el Esquema Nacional de Seguridad. Y es que al final, lo que no puede ocurrir es que uno tome las decisiones y otro asuma las consecuencias. Las decisiones las debe tomar quien va a sufrir las consecuencias. Para finalizar, resaltaría lo siguiente: hay una serie de riesgos, que más o menos conocemos, otros ni los conocemos, situaciones en las cuales nos podemos encontrar y no quisiéramos, pero que Centro de Investigación para la Gestión Tecnológica del Riesgo La lucha tecnológica contra el fraude organizado no supimos prever… y para ese día tenemos que tener alguna solución. Por eso es importante, también, que cuando los directores de producción diseñan el portafolio de servicio, incluyan el análisis de riesgo de cada servicio. Creo que este puede ser un buen objetivo para 2012. 35
  36. La lucha tecnológica contra el fraude organizado 36 Curso de Verano 2011 Centro de Investigación para la Gestión Tecnológica del Riesgo
  37. Curso de Verano 2011 La lucha tecnológica contra el fraude organizado MESA REDONDA. NUEVAS AMENAZAS Esta mesa redonda tuvo como finalidad debatir sobre si existen nuevas amenazas o solo, y por ahora, nuevos escenarios. En ella participaron David Barroso, Fernando García Vicent, Juan Jesús León Cobos, Elena Maestre García, Alfonso Martín Palma, Rafael Ortega García, Tomás Roy Catalá, Juan Salom Clotet, Marta Villén Sotomayor y Marcos Gómez Hidalgo, siendo moderada por José de la Peña (director de la revista SIC). David Barroso Director de S21sec e-Crime (actualmente Responsable de Security Intelligence AN DLAB. Telefónica Digital) Yo cambiaría el título de la mesa y lo llamaría mejor “viejas amenazas”, porque, en el fondo, lo que estamos viviendo en la actualidad no es más que un calco de las que veníamos sufriendo hace seis u ocho años. Aunque cabría considerarlo, más que como nuevas o viejas amenazas, como nuevas plataformas (smartphones, por ejemplo); y, fundamentalmente, de nuevos jugadores. Todo ello unido a la problemática de que nos seguimos sustentando sobre unas bases Centro de Investigación para la Gestión Tecnológica del Riesgo inseguras y de que estamos fallando en la forma de abordar estas amenazas. Sobre el hecho de que sustentamos nuestra filosofía de seguridad sobre unas bases inseguras, baste decir que seguimos hablando de TCPIP, SMTPs, IDSs; seguimos utilizando contraseñas; nos inventamos nuevas palabras como las clouds, pero que ya estaban antes; estamos ante ataques que incorporan ingeniería social. En el fondo, las amenazas de siempre. Lo que ha cambiado es la forma de llegar hasta nosotros. Fallamos igualmente en la forma de abordar las amenazas, porque no estamos yendo a la raíz del problema, sino poniendo parches sobre parches. 37
  38. La lucha tecnológica contra el fraude organizado Hablamos de los móviles, pero siguen siendo inseguros (bajamos una aplicación que puede tener un caballo de Troya). Así que, como decía, más que de nuevas amenazas yo hablaría de “nuevos jugadores”, entre los que destacan nuevos grupos organizados que hemos ido conociendo; la amenaza que surge de la propia ciudadanía, como ha demostrado Anonymous; o la referida a los gobiernos, que también ocupan su protagonismo en los ataques de Internet. Al final, lo importante es la formación de los usuarios y sin más pasos en este sentido no se puede luchar ni contra nuevas ni contra viejas amenazas. Fernando García Vicent Director de Seguridad de la información y SOC. Grupo Mnemo Curso de Verano 2011 En esta tesitura, me gustaría destacar dos puntos, que podrían ser interesantes para el debate. El primero es la importancia que, para batallar contra el fraude, tiene el prevenir los agujeros de seguridad dentro de la propia organización. Y es que cualquier agujero, normalmente proviene de una acción ilícita que viene desde dentro, y se materializa lanzando información al exterior. Dicho de otro modo, la mayoría de ataques que hemos registrado tenían su raiz, por ejemplo, en un phishing interno, utilizando redes profesionales como LinkedIn. Por eso es importante saber qué pasa dentro de la propia organización para prevenir fugas de información. Y es importante prestar especial atención a la seguridad perimetral y a las amenazas derivadas de los dispositivos móviles, que son ya un elemento dinamizador muy importante. En mi opinión, e intentando enlazar con lo que acaba de plantear el Sr. Barroso, no solamente nos estamos encontrando con reglas de juego diferentes y nuevos jugadores, sino que, además, están también cada vez más profesionalizados, lo que nos lleva a un giro desde la ciberdelincuencia a lo que es el ciberterrorismo. En segundo lugar, hay que hablar de la verificación de autenticidad y firma de código en las aplicaciones que se descargan. E, incluso, del uso de técnicas de firma electrónica y de verificación de firma en transacciones que provienen de dispositivos móviles; que, utilizadas de forma conjunta, pueden aportar más luz que de forma individual. Es decir, creo que hemos pasado de ataques de motivación económica a otros ataques donde ya hay otros intereses, más centrados en hacer un daño real, y que hemos visto en algunos actos de denegación de servicio y de actuaciones de Estados contra Estados. Dicho todo esto, resalto igualmente la importancia de definir estrategias globales para las amenazas detectadas y que son de alcance global. Hay aquí dos elementos: uno, defendido por los principales analistas del mercado, que es compartir información, relacionado con el establecimiento 38 Centro de Investigación para la Gestión Tecnológica del Riesgo
  39. Curso de Verano 2011 de procedimientos de inteligencia para saber qué ocurre y cómo se mueven los atacantes; la incorporación de técnicas de detección on-line y herramientas de scoring para que podamos de alguna manera ver cuándo se produce fraude; y otro: el producto de la suma de herramientas de análisis para obtener medidas, indicadores de cómo se están produciendo ese tipo de amenazas. Y por último, están las denominadas “Internet de las personas” e “Internet de las cosas”. Juan Jesús León Cobos Director de Productos. GMV Soluciones Globales Internet SA Estoy de acuerdo en lo expresado: más que de nuevas tecnologías de lo que se trata es de la existencia de nuevos jugadores. Con todo, en mi opinión, en los últimos años sí hemos visto cosas nuevas. Y, de hecho, considero que ha habido un cambio que afecta a los tres tipos distintos de amenazas que conocemos: las que persiguen dinero o beneficio económico (cibercrimen), las que buscan poder (ciberterrorismo o ciberespionaje) y las que, simplemente, buscan “fastidiar” (ciberanarquistas). En lo que respecta a la ciberdelincuencia, todo ha ido muy rápido. Ha habido consolidación de malware, parece que están organizando una especie de sistema monopolístico para gestionar mejor su maldad, y ahí nos tienen un poco vencidos. Centro de Investigación para la Gestión Tecnológica del Riesgo La lucha tecnológica contra el fraude organizado Si bien contamos con tecnología para combatir contra los “malos” (autenticación robusta, seguridad moderna del end point, etc.), es difícil que las organizaciones vayan al ritmo de la tecnología, mientras que los delincuentes sí van al ritmo de la tecnología. En mi opinión, tienen todo lo que necesitan. En lo que se refiere al ciberanarquismo, que es un fenómeno nuevo y orquestado por cosas nuevas como las redes sociales, creo que será la amenaza que progresará más a lo largo de los próximos años. Y creo, además, que es muy difícil de combatir. Solo podemos prevenirlo, y no del todo, y para cualquier acción necesitaremos mucha inteligencia. Pueden hacer mucho daño atacando a las clouds y por su filosofía antisistema; pueden infiltrarse también en las redes sociales y tomar el control. Y creo que muchos gobiernos lo que podrían hacer es infiltrarse también para seguirles la pista y estar más al tanto de los nuevos escenarios de ciberterrorismo y ciberespionaje. Finalmente, también podemos hacer referencia a un nuevo término, que acuñó un excelente profesional, Javier Osuna, que es el de ciberdemocracia, que viene a definirse como un mecanismo de reacción de la “gente buena” que está en las redes sociales para, de una manera colaborativa, combatir a estos antisistemas que pueden resultar tan negativos. 39
  40. La lucha tecnológica contra el fraude organizado Elena Maestre García Socia de PwC Responsable de Riesgos Tecnológicos Voy a referirme a tres temas fundamentales: la definición de lo que son las nuevas amenazas y su relación con el fraude; lo que llamo los siete dilemas de la evolución de las amenazas; y, por último, cómo veo algunas conclusiones y el reto de la respuesta ante el fraude. En relación con el primer escenario, cuando decimos nuevas amenazas relacionadas con el fraude nos referimos a actos ilícitos que persiguen beneficio económico (que, además, puede ser directo o indirecto o, lo que yo llamo “incubadora de ideas”, que permiten a terceros aprovecharse para cometer actos delictivos). Así, en esencia, cuando hacemos referencia a nuevas amenazas hablamos de dos cosas: de una cuestión de capacidad, que hoy tiene que ver mucho con avances tecnológicos: y, por otra parte, de aspectos relacionados con la intencionalidad. En lo que respecta a los siete dilemas de la evolución de las amenazas, estos son los siguientes: un primer driver que tiene que ver con los avances tecnológicos y de las comunicaciones, que al haber avanzado tan rápidamente ha abierto nuevas brechas de seguridad, ahora con un golpe único a la globalidad; los cambios en la operativa y la forma de realizar los negocios, como, por ejemplo, la contratación on-line, que abren nuevas vías de fraude; el aumento de la información vertida en las redes sociales, y, sobre todo, en 40 Curso de Verano 2011 un entorno menos profesional y de menor nivel de rigor; el aspecto de la globalización, como el cuarto factor, donde es más sencillo aprender y replicar ataques, y más difícil poner barreras a un mundo interconectado; el anonimato, que introduce cierta dosis de impunidad a la hora de cometer un delito; la profesionalización o la industrialización del lado del hacker, donde ya hay redes organizadas dispuestas a pagar mucho dinero por datos sensibles; y, en séptimo y último lugar, el coste, el hecho de que en algunos entornos el fraude tiene ROI. Me gustaría también hacer referencia a la masiva penetración de los ciberataques; ya que, según algunos estudios, el 80% de las compañías que conocemos ha admitido algún acto de ciberataque. Y esto ya no es una preocupación exclusivamente empresarial, sino también a escala gubernamental, y que afecta además a la protección de las llamadas infraestructuras críticas. Por todo ello, ante este panorama, considero que las respuestas deben cambiar. Hay que evolucionar hacia una nueva forma de gestionar estas amenazas, más allá de la estricta protección perimetral. En realidad hay que tomar una posición más proactiva en la lucha contra el fraude, asumiendo que el reto está en los frentes del análisis de información, de manera que necesitamos poder aumentar el conocimiento y los patrones de comportamiento sobre las conductas. Otros aspectos serían el de la demostración de esas situaciones de fraude, muchas veces algo Centro de Investigación para la Gestión Tecnológica del Riesgo
  41. Curso de Verano 2011 muy complejo; el de las inversiones, que nunca resultan suficientes; y el de la propia dinámica de negocio, donde a menudo es difícil poner los niveles de seguridad razonables para evitar el fraude. Alfonso Martín Palma Responsable de Ciberseguridad INDRA En nuestra organización, a la hora de identificar las nuevas amenazas relacionadas con el fraude tecnológico, nos centramos en tres aspectos: las técnicas que se utilizan para atacar; las tecnologías que se atacan, y el cambio de perfil del atacante. Sobre las técnicas que se usan para atacar, creemos que si bien han surgido nuevas amenazas, lo cierto es que el tema del contraataque está lo suficientemente maduro. No hay duda de que necesitamos más inversión, y que los atacantes cada vez son más sofisticados; pero también podemos argumentar que nuestro nivel de respuesta ha aumentado en contundencia y madurez. Por otro lado, la movilidad, las redes sociales o la geolocalización son algunas de las nuevas tecnologías objeto de los más recientes ataques. También lo que se denomina “la Internet de las cosas” y las infraestructuras críticas, donde un ataque permitiría tomar el control de activos tan significativos como el agua corriente, la luz o el gas natural, y las comunicaciones. En mi opinión, en todos estos escenarios hay un riesgo, y es que Centro de Investigación para la Gestión Tecnológica del Riesgo La lucha tecnológica contra el fraude organizado en muchos casos se está primando, por encima de la seguridad, el ahorro de costes y la facilidad de uso, y eso a veces puede llevarnos a un sistema más vulnerable que antes. El cambio del perfil del atacante es lo que está suponiendo una modificación más drástica en el panorama actual de ataques. Nos enfrentamos a grupos terroristas tradicionales, pero también a grupos de ciberanarquistas, los antisistema, y dentro de estos vemos a los llamados “indignados”. Lo mejor que tienen estos grupos es la gran capacidad de movilización de personas afines, que pueden en un momento dado realizar ataques simultáneos combinados. Y, finalmente, donde más ha cambiado el panorama en los próximos años es en ciberdefensa y ciberguerra. Ya están poniendo actos de guerra en el ciberespacio, ya se sabe que Rusia estuvo detrás de los ataques a Estonia, sabemos también que los chinos están siendo muy activos aunque se están basando más en la parte de espionaje, ya se han detectado acciones en el canal de Canadá o en puertos canadienses para controlar el tráfico marítimo… o las acciones desarrolladas por EE UU o Israel, o conjuntamente, para conseguir dañar el programa nuclear iraní. Aquí ya se mezcla la ciberguerra con la protección de infraestructuras críticas. Ante estas circunstancias, lo que debemos hacer es cambiar nuestra estrategia e invertir más en ciberinteligencia, y así aprovechar toda la experiencia, tanto en el mundo físico como en el mundo virtual. 41
  42. La lucha tecnológica contra el fraude organizado Y más aún, considero fundamental que los Estados empiecen a considerar el fraude tecnológico como un tema de defensa nacional. Es necesario que el Estado garantice la seguridad del ciudadano y de las empresas cuando cualquiera de ellos opera en Internet. Creo que no debe ser algo solo ligado al mundo empresarial, no debe ser solo responsabilidad de las empresas del sector, sino también gubernamental. Igual que tenemos servicios como la policía, ejército, bomberos, etc, también el Estado puede velar por nuestros derechos e intereses en este ámbito. Así se están dando los primeros pasos. EE UU y la OTAN tienen su propio centro de ciberdefensa, y en muchos otros países occidentales se están lanzando iniciativas similares. Rafael Ortega García Socio Advisory de Ernst Young (actualmente Responsable del Área de Gobierno, Riesgos y Seguridad IT de Solium) Sinceramente, no tengo ni idea de cómo plantear el advenimiento del futuro partiendo de la visión de lo que tenemos ahora. Lo que creo es que nos enfrentamos a un problema importante que dificulta el avance, y es que llevamos 20 años con el mismo modelo de seguridad. Con la aparición de Internet y la protección de datos, nos hemos creado un entorno muy confortable, en el cual yo manejo el análisis de gestión de riesgos, mi SGSI, mi cumplimiento 42 Curso de Verano 2011 normativo, y mi gestión de vulnerabilidades, y estoy ahí tranquilo. Y, encima, subcontratando. Y este entorno confortable es el problema, porque origina una falsa sensación de seguridad, que en muchos casos nos dificulta acercarnos a un entorno de incertidumbre, que es donde realmente deberíamos estar para crecer. La clave es que hay que estar y manejarse en un entorno de incertidumbre. Y para eso hay que mantenerse en un estado de alerta permanente, preparado para un imposible. Por otra parte, también considero que hemos hecho una seguridad más light, y ahora lo que se nos avecinan son “vitorinos”. Ahora creamos modelos predictivos, pero para esto tenemos que tener guardados históricos… pero, ¿cuántos tenemos guardados? Y este es uno de los principales frentes en los que nos hemos volcado la gente de seguridad y ahora hay que hacer un stop. Al mismo tiempo la cuestión clave en estos puntos es el equipo, el factor humano que puede luchar y dar respuestas a lo que se avecina… y esto solo lo da la experiencia, el entrenamiento, y la continua formación. Tomás Roy Catalá Director del área de Calidad, Seguridad y Relaciones con Proveedores. Centro de Telecomunicaciones y Tecnologías de la Información (CTTI) Generalitat de Catalunya Desde mi perspectiva, sí hay nuevas amenazas; Centro de Investigación para la Gestión Tecnológica del Riesgo
  43. Curso de Verano 2011 y dentro de ellas, otro problema añadido, que viene a ser un reto a resolver: un gran recorte presupuestario en medio de la crisis, lo que genera grandes riesgos de viabilidad al tipo de proyectos y servicios que hay que prestar y cómo adecuarse a ello. Otra amenaza derivada es que se están generando procesos de transformación y servicios, y procesos de transformación tecnológicos, que se resumen en el lema de “más por menos y mejor”; y, además, estamos también teniendo problemas de obsolescencia de aplicativos y de mantenimiento de los servicios. Son amenazas, por tanto, a las que no estábamos acostumbrados (en Cataluña nos encontramos, por vez primera desde el año pasado, en una situación donde no hay crecimiento económico), y contra las que CESICAT, con su Unidad de Delitos Informáticos, no para de luchar. Ahora, monitorizando las redes sociales para hallar indicios de nuevos movimientos y criminalidades. En este sentido, no podemos obviar los ataques sufridos, al igual que otros organismos, de la mano de grupos ciudadanos. Sufrimos distintas tipologías de ataques, como las referidas a la integridad de los datos, a la imagen del organismo, de tipo económico o de denegación de servicio. Al margen de todo esto, hay una amenaza que me preocupa especialmente y es la referida a las infraestructuras críticas. Aquí hay una crítica que me gustaría hacer, y es que las TIC no están Centro de Investigación para la Gestión Tecnológica del Riesgo La lucha tecnológica contra el fraude organizado incluidas en los planes de protección civil, sí las nevadas, las inundaciones, etc. Nunca están las TIC por el medio, y sería interesante plantear en estos escenarios la recuperación y la resiliencia de las TIC. Y en segundo lugar, también abogo por crear un plan de ataque cuando el factor de ataque son las propias TIC. Es decir, un plan de recuperación cuando el ataque, como está pasando actualmente, se dirige contra el negocio. En esencia, deberíamos centrar nuestros esfuerzos, por este orden: infraestructuras críticas, continuidad de negocio, y aseguramiento de los servicios. Y después de esto, dos términos que son muy importantes y que vamos cubriendo desde la seguridad, el rendimiento de las aplicaciones y las infraestructuras. Y el reto de los logs y la monitorización. Yo creo que los tiempos van a cambiar. Es verdad que hemos vivido un tiempo de comodidad, pero estos ataques van a poner al responsable de seguridad en una posición de responsabilidad, abocándolo a tomar decisiones. Aquí hago una reflexión muy breve: todas las empresas que tienen activos definen responsables para protegerlos y garantizar que los mantendrán en el tiempo (puede ser dinero, la parte de recursos humanos, etc.), pero hay uno que queda ampliamente desprotegido: la información, porque quizá el CISO no está cumpliendo el cometido que le corresponde. 43
  44. La lucha tecnológica contra el fraude organizado Juan Salom Clotet Comandante de la Guardia Civil y Jefe del Grupo de Delitos Telemáticos (actualmente Director de Seguridad Internacional del Grupo Santander) Voy a hablar de dos escenarios que para mí suponen dos nuevas amenazas para el fraude tecnológico. El primero es la socialización del fraude tecnológico y el segundo el juego on-line. Con respecto al primer punto, y esto puede ser a priori contradictorio con lo dicho aquí sobre la especialización, considero que hemos pasado de aquel maridaje especial que vimos entre hackers y delincuencia especializada para explotar la banca electrónica (hoy ya creo que podemos decir que ha sido la banca la que ha ganado la batalla, minimizando el impacto de estos fraudes) al hecho de que actualmente no hace falta tener dinero ni organizarse para cometer un delito de fraude tecnológico. El negocio del malware se diseña y se vende a muy bajo precio, como quedó demostrado con, por ejemplo, la “Operación Mariposa”, donde unos chavales habían comprado unas botnets por 500 euros, capaces de controlar una increíble cantidad de sistemas. Ya no estamos hablando de grupos organizados, sino de pequeños grupitos que compran malware, una botnet u otra herramienta, y los explotan. Estamos bajando del fraude al minifraude, donde las víctimas se multiplican. Y este se está enfocando, mayoritariamente, hacia el comercio electrónico. Y estamos asistiendo a un importante 44 Curso de Verano 2011 movimiento de pérdida de confianza en todo el sistema, en el negocio, en Internet. Por otro lado, y tal y como apuntaba antes, el segundo escenario de fraude tecnológico es el del juego online, que no está regulado, ni para la prestación de servicios ni para la presión fiscal, a pesar de que hemos estrenado una ley del juego en Internet; pero a mi modo de ver muy abierta y que adolece de desarrollo reglamentario. Desde nuestra unidad en la Guardia Civil hemos vivido situaciones en que, o se convierte en escenario de blanqueo para otros actos delictivos, o se realizan prácticas delictivas en el propio juego. Aquí es muy difícil llevar un control, porque el juego está dominado por multinacionales o grupos que operan a nivel internacional, y que preservan las ganancias huyendo a paraísos fiscales de la red. Marta Villén Sotomayor Departamento de Seguridad Lógica y Prevención del Fraude. Telefónica España Yo voy a hablar de un caso muy específico, el fraude que sufrimos las operadoras de telecomunicaciones. Cómo ha cambiado en los últimos años y cómo ahora está convirtiéndose en un fraude al cliente, no a la operadora. Hablamos de microfraudes y a un elevado número de clientes. El primer caso documentado de fraude telefónico fue fechado en 1958, realizado por un Centro de Investigación para la Gestión Tecnológica del Riesgo
  45. Curso de Verano 2011 joven invidente norteamericano de 9 años a la compañía Bell. Descubrió que un sonido concreto activaba el modo programación de las centralitas, y así llamaba gratis. Después de aquello, llegamos a una época donde las mafias realizaban ataques detallados a una operadora, o a varias; pero ahora el panorama ha cambiado. Antes luchábamos contra un fraude de establecimiento de locutorios, y ahora de verdaderos sumideros de tráfico en la red, donde se realiza tráfico ficticio para enriquecimiento de los “malos”. El mes pasado sufrimos un ataque donde se vieron involucradas varias operadoras de telecomunicaciones. El fraude lo originaban teléfonos de Vodafone que llamaban masivamente a un único teléfono de Movistar que tenía un desvío automático a un teléfono de Yoigo, que a su vez hacía un enrutado internacional que acababa en un operador francés… El desvío ha sido el último azote a todas las operadoras, afortunadamente nosotros en Internacional no lo permitíamos, lo que nos ha liberado de algunos fraudes. ¿Y cómo se hacen estos fraudes? Muy sencillo. Existe toda una industria de comercialización de dispositivos específicos para tal tarea, que pueden costar unos 400 euros. Máquinas como Simbox, el Pool en modo GSM… Centro de Investigación para la Gestión Tecnológica del Riesgo La lucha tecnológica contra el fraude organizado Además, tienen mecanismos para poder rotar las SIM y así evitar que parezcan delictivos, de forma que todos los algoritmos que teníamos de detección y patrones ya no nos sirven. Su potencia es significativa, pueden enviar hasta 42.000 mensajes en 24 horas. Pero ahora, como apuntaba, lo que están haciendo es atacar directamente a los clientes. Valgan como ejemplo los dos siguientes: el año pasado tuvimos una media de un ataque al día en las centralitas de clientes, donde vulneraban su seguridad y les cargaban llamadas; y los recientes ataques a dos redes sociales. En una de ellas, Tuenti, hicieron un phishing que se propagaba entre los contactos para obtener una suscripción fraudulenta. Marcos Gómez Hidalgo Subdirector de programas. Dirección de Operaciones. Instituto Nacional de Tecnología de la Comunicación (INTECO) De los 15.000 incidentes que suele resolver INTECO al año, de usuarios y pymes, cerca del 40% atienden a temas de fraude electrónico, unos 7.000. De estos, más del 90% atienden a ataques apoyados en ingeniería social. Así las cosas, y según un estudio sobre fraude, realizado en el último trimestre de 2010, el 53% de los usuarios declararon haber sido víctimas de un intento (no necesariamente consumado) de fraude en los últimos 3 meses, destacando la invitación a visitar una web sospechosa (35% de los casos), fraude a través de correo electrónico (26%) y a través de ofertas de trabajo sospechosas (21%). 45
  46. La lucha tecnológica contra el fraude organizado Por su parte, entre las formas que adoptan los emisores de las comunicaciones sospechosas, podemos destacar la suplantación de identidades bancarias, páginas de compraventa y comercio electrónico y juegos y loterías on-line. Aun así somos optimistas, el 95% de los internautas dice no haber sufrido en esos últimos tres meses un perjuicio económico (y quienes lo han sufrido, no en una cuantía mayor de 400 euros). Además, el número de caballos de Troya bancarios se ha reducido a lo largo de 2010 en casi 4 puntos porcentuales, quedándose en un 39%. Tampoco hemos registrado muchas microestafas en dispositivos móviles. Las redes sociales, por su parte, junto con la movilidad, son para nosotros el verdadero quid de la cuestión. Y a ello se une, a nivel gubernamental, la protección de las infraestructuras críticas, donde trabajamos activamente con ENISA. Con todo, sigo destacando nuestro trabajo en detección de amenazas, que también sigue la estela en Europa. La Comisión Europea ha creado un CERT, el EUCERT, que (aunque aún no tiene las competencias y los objetivos definidos) confiamos en que haga una labor de coordinación que dé frutos pronto. También hay que destacar los Ciberejercicios. El primero europeo se realizó en 2010, donde se resolvieron más de 400 incidentes en tiempo real; y en 2011 se realizó junto con el Homeland Security de EE UU. 46 Curso de Verano 2011 En nuestro país, destaca la Estrategia Española de Seguridad, donde hemos colaborado en la redacción del capítulo dedicado a la ciberseguridad, en el que aparecen los roles de la administración que se dedicarán a proteger en ciberseguridad al ciudadano, a la empresa, al país… y en el cual veremos futuros Reales Decretos articulando este tema. DEBATE ¿Hasta qué punto es compatible combatir las nuevas amenazas con presupuestos reducidos, como los que ahora tenemos? Tomás Roy Catalá: Cuando hay que hacer una reducción presupuestaria no significa que todo, y siempre, se tenga que reducir. Al final es una cuestión de sentido común. Por ejemplo, nosotros lo que hemos hecho ha sido evitar la redundancia, y aprovechar las potencialidades de seguridad de los dispositivos de red. ¿Y cómo se compatibiliza también esa reducción en I+D+i con esta reducción de presupuestos? Fernando García Vicent: El nivel de las amenazas que existen hoy, nos obliga a ser más eficaces y eficientes. No podemos seguir planteando los mismos métodos que antes; y también nos conmina a tener más conocimiento de la tecnología y los dispositivos disponibles. También nos exige más eficiencia en los procesos de negocio internos de cada organización. Centro de Investigación para la Gestión Tecnológica del Riesgo
  47. Curso de Verano 2011 ¿Han convertido en algo positivo los ataques sufrido en sus organizaciones para conseguir mayor valoración y justificar la necesidad de mayor dotación presupuestaria? Marta Villén Sotomayor: Realmente creo que sí. Hay que aprovechar estos incidentes para sensibilizar aún más a la cúpula directiva. Tomás Roy Catalá: A nosotros nos ha generado un nivel de interlocución elevada, y una mayor sensibilización; por este lado muy bien. Aunque quiero dejar claro que hay que asumir responsabilidades en todo caso, no delegarlas y actuar en crisis. Marcos Gómez Hidalgo: Nosotros hemos sido reactivos, y esto lo digo con pena. Y creo que es mucho mejor presentar a nuestro departamento por los incidentes que hemos evitado, y no por otras publicidades. ¿Se está perdiendo la batalla frente al “lado oscuro”? Marta Villén Sotomayor: En mi opinión, no la hemos perdido. Creo que es una batalla muy difícil, y nos mantiene siempre activos e innovando. Juan Salom Clotet: Opino que nos ganan por goleada. Porque tenemos herramientas para luchar, pero el problema es la impunidad con que los “malos” trabajan. Además, nos fijamos en las grandes sumas, pero realmente este escenario está plagado de delitos pequeños, donde muchas veces no se llega a los 400 euros. Centro de Investigación para la Gestión Tecnológica del Riesgo La lucha tecnológica contra el fraude organizado Tomás Roy Catalá: Sobre el “lado oscuro” tengo que decir dos cosas: no todos son delitos, como demuestran algunas actuaciones de grupos de ciudadanos organizados; y creo que hay que buscar otros canales, porque ha habido una cierta manipulación en este juego de ir contra las instituciones públicas. Rafael Ortega García: La lucha ha existido siempre y seguirá existiendo. Soy igual de pesimista que Juan Salom en la parte legislativa, pero también creo que esto hace que evolucione la tecnología. Con todo, a mí lo que más me importa son los delitos que no salen a la luz, que se quedan dentro de la empresa. Fernando García Vicent: Añadiría a la sensación de impunidad la alta inconsciencia que parece que hay en la sociedad y en las empresas. David Barroso: Nos llevan ventaja y son más decididos. Y nosotros no estamos creando leyes más duras para compensar. Marcos Gómez Hidalgo: También es una cuestión de imagen, con figuras como el Ciberzar de la seguridad. Más del 40% de los ataques vienen de EE UU… ellos vienen a detener a Europa, pero nosotros no vamos a detener allí. ¿Cómo ven el rol de los reguladores en el ámbito de seguridad de la información? Rafael Ortega García: Europa está híper-regulada, así que creo que o se minimizan mucho las transposiciones, por ejemplo, o es imposible 47
  48. La lucha tecnológica contra el fraude organizado implantarlas. A mí me gustaría contar con una regulación por sector, y sería suficiente. Elena Maestre García: Es importante regular y definir unos marcos comunes de actuación y homogeneización, siempre con una dosis de realidad, sin que sea “regular por regular”. Y, además, hay que ser más exquisito, porque veo un exceso de regulación nunca jamás supervisado. Curso de Verano 2011 Alfonso Martín Palma: Sorprende que haya sectores donde no hay regulación al efecto, sobre todo en EE UU, como en el ámbito nuclear. Creo que tiene que haber imposiciones en materia de regulación, porque, ya se sabe, si las cosas son optativas, se aplicarán poco o nada. Fernando García Vicent: La legislación siempre va por detrás. Se requiere una labor de coordinación y ejecución por parte de los Estados, tanto a nivel local como europeo. 48 Centro de Investigación para la Gestión Tecnológica del Riesgo
  49. Curso de Verano 2011 La lucha tecnológica contra el fraude organizado THE RISE OF CYBERCRIME: HOW LAGGING SECURITY MEASURES FUEL THE GROWTH IN ORGANIZED FRAUD Richard Stiennon (Chief Research Analyst. IT Harvest) l cibercrimen ha aumentado espectacularmente a lo largo de los últimos años a pesar de que ha crecido también la fuerza de los inhibidores, como una mayor seguridad y una más fructífera cooperación internacional para luchar contra él. Aunque claro, también existen drivers cada vez más poderosos que favorecen la facilidad de los ataques, como la ubicuidad de Internet, la llegada del comercio electrónico y la aparición de un mercado de identidades, que han traído, fundamentalmente, nuevas vulnerabilidades. El tema del mercado de identidades es especialmente complejo y dañino. Aquí los Centro de Investigación para la Gestión Tecnológica del Riesgo hackers se especializaron en robar identidades a la banca para luego venderlas en el mercado donde las utilizaban los fabricantes de tarjetas fraudulentas. Se recurría al reclutamiento de personas de dentro de la organización, utilizando los privilegios de las personas que están en las redes. Y ahí se organizan en grandes sociedades fraudulentas dedicadas a comprar y vender identidades y herramientas específicas. El problema aquí es que todo aquel que tiene acceso a la información se convierte en un ladrón potencial. Pero eso no puede seguir siendo así, porque entonces es como si no pudieras confiar en nadie. 49
  50. La lucha tecnológica contra el fraude organizado Estamos entrando en la fase de lo que llamamos el hacking de los procesos de negocio. Y lo que puede romper de algún modo esta tendencia es la cooperación internacional entre todas las fuerzas legales. A pesar de que se han hecho muchos esfuerzos, es aún un proceso muy lento, puesto que aunque un país capture a sus propios delincuentes, el mundo y las amenazas son globales y nos terminamos encontrando con los delincuentes de otros países, como Rusia, que ostenta el puesto de liderazgo en estas actividades. El peor panorama posible Hace un par de años me pidieron dar una conferencia de 10 minutos para presentar el peor escenario posible al que podemos llegar en materia de ciberdelitos. A mi modo de ver, lo que podemos llegar a presenciar es cómo los cibercriminales podrían llegar a influir muchísimo en las jurisdicciones y en los entornos legales de los distintos países del mundo, a imitación de las mafias colombianas o italianas. Y de hecho, esto no suena a invención, porque por ejemplo en Rusia los cibercriminales ya tienen acceso a muchos entornos en las instituciones de cumplimiento de la ley. El cibercrimen empezó con la llegada de las páginas de comercio electrónico, y el deseo de sus propietarios de atraer cuantos más usuarios mejor. Lo que ocurrió entonces, en esos primeros momentos, fue que los hackers robaban información y recibían sus búsquedas a través 50 Curso de Verano 2011 del ordenador. Aquella época se caracterizó por funcionar “a golpe de estadística”, apareciendo multitud de ordenadores infectados con gusanos, adware, spam, etc. En 2004, este escenario llegó a suponer un negocio de 2.400 millones de dólares, según estimaciones de Webroot. En Israel se vivió hace unos años un caso especialmente significativo de cibercrimen, protagonizado por la compañía telefónica Bezeq. Allí, un consultor modificó y comercializó un software específico, vendiéndolo a investigadores privados de Israel para que después lo utilizaran para infectar estos objetivos. A su vez, Bezeq contrataba a investigadores privados para espiar a otras compañías de telefonía móvil. Todo esto se descubrió cuando se percataron en la compañía de que estaba transfiriendo su información a otros ordenadores en Alemania y Reino Unido. Este fue el primer caso de servicios de hacking de datos en “la nube”. También Reino Unido ha sufrido ataques cibercriminales especialmente dolorosos, como los acaecidos en más de un banco de aquella geografía. En esencia, considero que hay paralelismo entre lo ocurrido en Israel y lo acontecido en Gran Bretaña: que en ambos casos había personas implicadas de dentro de la organización, que fueron capaces de instalar unos inhibidores de seguridad sin grandes problemas. En Inglaterra, por ejemplo, les dieron las contraseñas para poder entrar dentro de la sucursal y transferir 120 millones de libras a distintos bancos de todo el mundo. Centro de Investigación para la Gestión Tecnológica del Riesgo
  51. Curso de Verano 2011 También puedo aportar el ejemplo de una cadena de tiendas inglesa donde unos delincuentes sustituyeron la máquina de pago con tarjeta de la tienda, de tal manera que robaban todas las noches los datos de todos aquellos que metían su tarjeta de crédito para pagar. Al final, los hackers consiguieron robar las identidades a más de 100.000 personas. Estos ejemplos que he puesto y los muchos que todos conocemos nos hacen plantearnos la siguiente cuestión: todos sabemos lo costoso que es realizar la inversión necesaria para optimizar y garantizar la seguridad de nuestros negocios, pero también es cierto que un ataque puede costarnos una gran suma dinero, así que, ¿qué es mejor? ¿qué preferimos? El hacking de procesos de negocio Un paso muy importante que las organizaciones de todo el mundo han de dar para poder considerar que sus activos de información están seguros es tener muy clara su estrategia en el caso del hacking de procesos de negocio. En este sentido, podemos abordar esta problemática dando cuatro pasos: el primero, identificar el proceso de negocio (es decir, cuándo se realizan los movimientos de negocio esenciales, cuándo cambia exactamente el dinero de manos y con qué operativa, etc.); el segundo, identificar las vulnerabilidades clave y las relaciones de confianza (con clientes, con partners, con el personal de dentro de la organización, con los socios, etc.; en esencia, con cualquiera que pueda tener acceso a la información de nuestra Centro de Investigación para la Gestión Tecnológica del Riesgo La lucha tecnológica contra el fraude organizado compañía y que por eso pudiera infringir un daño importante a nuestros activos); el tercero, definir qué información o activo de la organización es susceptible de ser robado para convertirse en algo provechoso y rentable que pueda reportar importantes sumas de dinero a quien los robase (aquí es importante tener en cuenta que el valor de esta información o activos no es tanto el que tenga para nosotros o la propia organización, sino para el mercado o la competencia); y cuarto, monitorizar nuestros sistemas para que nos aporten información y registros de los pasos que recorren nuestros datos. Cuando entendí de verdad todo esto que acabo de explicar, buscamos incansables dónde había vulnerabilidades e intentamos tener un acceso directo a ellas para tratar de paliar un posible ataque en su contra. También es importante que recurramos a hacer una auditoría si fuera necesario. El peligro del personal interno Para ilustrar lo peligroso que puede resultar no prestar suficiente atención a la fidelidad del personal interno, comentaré dos casos de fraude en EE UU, uno de un fabricante de informática y otro de una compañía ferroviaria. El fabricante de informática nos contrató en 1998 para hacer una evaluación en su página web de e-commerce, que según ellos era la número uno en facturación. Buscamos una manera de entrar y violar la seguridad de sus routers Cisco, sus cortafuegos Check Point, y el resto de componentes de sus sistemas de seguridad. 51
  52. La lucha tecnológica contra el fraude organizado Pero lo que empecé a estudiar inmediatamente también fue su modelo de negocio. Me di cuenta de que con una simple contraseña podías entrar a la cuenta vip, donde se ofrecían claramente instrucciones de cómo adquirir el último ordenador de la compañía. Nos dimos cuenta entonces de la escasa seguridad que tenía esta empresa en su página web y, por extensión, en su negocio. Y ahí fue la primera vez que yo pude identificar una brecha de seguridad en un proceso de negocio. Y lo que recuerdo también de aquella experiencia es que fue muy difícil convencer a la dirección de que existía un problema del que tenían que responsabilizarse ellos, que no era exactamente un problema del departamento de seguridad, sino del propio modelo de negocio. Por otro lado, y en lo que se refiere al análisis del proceso de negocio de la compañía de ferrocarril de EE UU, a la que por la noche robaban la mercancía de los vagones y, precisamente, de los vagones más valiosos, comprobamos que todo el personal podía tener acceso a la venta de billetes por Internet e intuimos que los “malos” trabajaban con alguien de dentro que podría estar facilitándoles información sobre qué vagones contenían qué mercancía. Más ataques Como estamos viendo, el mundo de los ataques es diverso, pero sobre todo resulta muy sencillo violar la privacidad de los datos de muchas webs que, en muchas ocasiones, no han sido muy conscientes de lo peligroso que era 52 Curso de Verano 2011 dejar sus sistemas tan abiertos y con tantas vulnerabilidades. Hemos asistido a lo largo de los años a ataques de todo tipo, algunos incluso que lo que pretendían era demostrar la vulnerabilidad del sistema al mundo. Por ejemplo, en 2008 hubo un ataque que consistía en colocar noticias falsas en la prensa on-line. Los atacantes lo hicieron de un modo tan sencillo que resultó alarmante la impunidad con la que podía perpetrarse una amenaza de este tipo. Otro fraude muy sonado fue el de los billetes electrónicos. En las líneas de ferrocarril indias, los hackers trabajaban con tickets concertados, evitando los sistemas de detección de fraude, para revenderlos inmediatamente después en sitios como StubHub.com o TicketsNow.com por 1.000 dólares. También había otra modalidad que consistía en comprar asientos por parte de los estafadores y bloquear otros desde “gettings seats”. Igualmente podemos hacer referencia a lo que se conoció como los “créditos de carbono”. Fue un ataque de phishing lanzado contra una docena de compañías en 2010, que afectó a siete de cada 2.000 empresas alemanas. Se robaron, mediante la transferencia a dos cuentas propiedad de los atacantes, un total de 4 millones de dólares. La “hazaña” se repitió en 2011 y entonces se consiguió robar a la filial rumana de la compañía cementera Holcim un total de 36 millones de dólares. Objetivos más suculentos Visto todo lo anterior nos damos cuenta de lo expuestos que estamos (aunque muchas Centro de Investigación para la Gestión Tecnológica del Riesgo
  53. Curso de Verano 2011 veces creamos que no) a ataques de todo tipo y condición. Y la secuencia continúa. Porque, si antes los atacantes han elegido formas de vulneración concretas y a veces más sectoriales, en el futuro asistiremos a una explosión de amenazas que buscan mayores objetivos. Entonces, la seguridad que hemos utilizado desde hace años para proteger nuestros sistemas ya no resulta eficiente para salvarnos de amenazas que han optimizado sus vías de entrada a nuestros sistemas y que, en muchas ocasiones, apenas dejan rastro. Por eso es urgente encontrar una nueva seguridad que realmente nos sirva para enfrentarnos a los nuevos retos y las nuevas amenazas. La seguridad de hace diez años ya no vale y nos tenemos que dar cuenta de eso lo antes posible para responder a ataques que, ahora sí, pueden ir directamente contra las “joyas de la corona” de cualquier empresa. Tenemos que estar muy atentos, al mismo tiempo, a las nuevas modalidades de malware, cada vez más sofisticado, como veíamos. Hay especialmente uno que me llama la atención y es el conocido como TDL-4 o Alureon, que es un software malicioso de tipo botnet que (desde la versión 4) es considerado por los expertos en seguridad informática como un virus indestructible. Centro de Investigación para la Gestión Tecnológica del Riesgo La lucha tecnológica contra el fraude organizado Su actualización constante afectó en tres meses a más de 4 millones de ordenadores. En esencia, su forma de funcionar es como la de un archivo que se instala en el core del ordenador y permite introducir en él hasta 40 formas distintas de malware. Tiene un servicio de proxy, que puede descargarse y realizar búsquedas en webs a través de proxys anónimos. Esta es la realidad de esta amenaza y contra esta y otras como ella hemos de luchar. Y una de las mejores formas de hacerlo es a través de los logs que van dejando a su paso, así que la mejor recomendación es tener acceso a los logs y poder seguir así la estela que han seguido los atacantes en su acción. Procesos de negocio vulnerables Para entender mejor cómo defendernos y contra qué y quiénes, demos también un repaso a los procesos de negocio que resultan especialmente vulnerables, como las funciones de tesorería. Aquí se hace inevitable contar con funcionalidades de autenticación si de lo que se trata es de salvaguardar los fondos de nuestra compañía y proteger sus activos financieros. También es importante no dejar desprotegida nuestra parte de logística, donde puede ser muy atractivo cualquier ataque a las rutas de nuestros camiones; así como las plataformas de energía, recursos naturales, commodities, etc. (aquí es importante evitar ser atacados constantemente como les ocurre a los japoneses con sus vecinos chinos, que no dudan en atacarles en su intento 53
  54. La lucha tecnológica contra el fraude organizado Curso de Verano 2011 de controlar todas las materias primas del mundo). Las web de apuestas y los juegos en línea, con transacciones de millones de dólares, también son objeto de vulneración. Y es que desde 2004 hay casos muy famosos de ataques para extorsionar dinero de las web de apuestas, y estos ataques están creciendo. A mí siempre me sorprende lo extraordinariamente fácil que es hacer una ataque de denegación de servicio. También hay que salvaguardar lo relacionado con el proceso de nóminas de los trabajadores, para que no nos ocurra como a una empresa norteamericana a la que robaron los talones firmados que repartía a sus empleados con una flota de camiones. El lugar donde se imprimían esos talones tenía una fosa para evitar el acceso de los camiones y de cualquier posible atacante a su interior, pero al final no se puedo evitar el ataque. 54 En resumen, el comercio depende de la confianza, y si no hay confianza, fracasa. La gente ya no confía en los negocios, y creo que va a ser perjudicial para todo el mundo. Centro de Investigación para la Gestión Tecnológica del Riesgo
  55. Curso de Verano 2011 La lucha tecnológica contra el fraude organizado DEL “HACKEO” A LA INTELIGENCIA ARTIFICIAL Víctor Chapela (Chairman of the Board. Sm4rt Security) iskVolution es el nombre del libro que, junto a mis colaboradores, estoy ultimando para abordar la evolución del riesgo. Con mi ponencia intentaré acercar a los asistentes cómo ha sido la definición y diseño del contenido del volumen. En primer término dedicaré mi exposición a mostrar las opciones de hackeo en un determinado sistema, para llegar a la base de datos de usuarios, las aplicaciones y tomar el control del sistema operativo y de toda la información. Básicamente lo que hicimos fue conectarnos desde la web y penetrar en la base de datos, Centro de Investigación para la Gestión Tecnológica del Riesgo lo que a su vez nos permitió tomar otra base y conectar de regreso al sistema operativo, instalando privilegios para después enviarnos un acceso. Con todo esto, me estoy preguntando cómo puedo automatizar el hackeo. En este proceso nos hemos encontrado con un total de diez puntos donde hubiéramos podido parar el ataque del hacker, diez puntos donde podríamos cambiar nuestra estrategia para evitar en el futuro ser objeto de estas amenazas. Y es que entender cómo modelar el hackeo para que se pudiera automatizar nos llevó a entender del otro lado cómo modelar cosas mucho más sofisticadas, como por ejemplo, cómo 55
  56. La lucha tecnológica contra el fraude organizado modificar la protección en esos diez puntos antes mencionados. La clave es la síntesis Hemos visto todo lo que llamamos “análisis” (ya sea de riesgos, de vulnerabilidades…). Y ese es el fallo: el método científico se dedica a analizar, a romper en pedazos, bajo la creencia de que las distintas piezas, por sí solas, nos van a permitir acercarnos al concepto total o global. Sin embargo, cuando empezamos a separar las piezas, perdemos mucha información de la relación establecida entre todas ellas… como el coche de Volvo hecho con piezas de Lego… si te doy una pieza, es como no darte nada. Es precisamente este reduccionismo lo que ha impedido que estos modelos de análisis de vulnerabilidades funcionen correctamente. El todo no es igual a la suma de las partes, falta la interacción entre las partes. Y lo que nos permite unir todas las piezas es lo que se conoce como “síntesis”, y este es, precisamente, el modelo de RiskVolution. Con nuestro modelo proponemos una nueva síntesis de las mismas piezas que todos conocemos; no estamos haciendo algo nuevo, sino acomodándolo de una forma nueva. Hay un dicho que me gusta especialmente, de George E.P. Box, que dice “En su esencia, todos los modelos están mal, pero algunos son útiles”. Y estoy de acuerdo, todos están mal, porque en el fondo son solo una mala réplica de la realidad; 56 Curso de Verano 2011 pero algunos son útiles, como el nuestro, que nos brinda nuevas formas de gestionar el riesgo de un modo mucho más sencillo que otros modelos actuales. Tres premisas de RiskVolution El planteamiento que hacemos en el libro está basado en tres premisas: que prevalece quien gestiona mejor el riesgo; que sobreviven las especies (genes) y los colectivos (memes: todo aquello que está en nuestra mente como si fuera “de serie” y que ha sido transmitido de generación en generación) que mejor mitigan sus riesgos; y que quienes perdurarán en el futuro serán aquellos que mejor gestionen el riesgo digital, algo que actualmente parece que no somos capaces de hacer. Para continuar con mi explicación, recurriré ahora al concepto de “entropía”, que podemos resumir como el desorden o incertidumbre de un sistema. En mi opinión, la vida es, en el fondo, una lucha contra ella, que se va plasmando en la diversificación y en la adaptación para subsistir. Con todo, hay que tener un especial cuidado con la “sobre adaptación”, puesto que si nos adaptamos completamente al medio no contaremos con mecanismos rápidos de readaptación y nos extinguiremos, como les ocurrió a los dinosaurios. Echando un vistazo a la evolución, nos encontramos con la sorprendente capacidad de adaptación de los mamíferos, donde los humanos destacamos especialmente por una extraordinaria Centro de Investigación para la Gestión Tecnológica del Riesgo
  57. Curso de Verano 2011 capacidad para predecir y encontrar las anomalías en esa predicción. Predecimos que nuestra mesa estará igual que la dejamos ayer, y somos capaces de observar si hay un elemento nuevo. Todo esto nos lleva a la afirmación de que predecir riesgos nos hace adaptarnos a otros nuevos. Y lo hacemos gracias a la suma de tres capacidades, que se convierten en la esencia de la gestión del riesgo: la educación, la experiencia, y la experimentación. Por qué no entendemos el riesgo digital El riesgo digital es igual a impacto multiplicado por probabilidad. No obstante, y aunque estas ideas básicas siguen prevaleciendo, en nuestro libro hemos preferido cambiar el nombre y convertirlo en: riesgo digital intencional es igual a amenaza por accesibilidad. ¿La razón? Porque estos conceptos son medibles y más certeros en los controles de riesgo que solemos analizar. La lucha tecnológica contra el fraude organizado Asimismo, es un hecho que sin una percepción del riesgo todos nos volvemos transgresores. Y en este contexto, el riesgo que existe para quien quiera delinquir en un entorno digital también es menor, mientras que la rentabilidad (que es igual a retorno/riesgo) ha crecido en gran medida. Por su parte, como veíamos, la accesibilidad se ha incrementado de manera exponencial. Hasta que empezamos a conectarnos en red, todo era más seguro y los ordenadores eran totalmente deterministas. Pero cuando nos conectamos perdimos el control, y los ordenadores se volvieron también “indeterministas”, convirtiéndose en máquinas tan complejas que ya no resultan predecibles, debido a la incapacidad de entender la relación entre todos los componentes de la máquina. Es cierto que ganamos en valor con la llegada de las redes, pero también en complejidad, porque el número de usuarios conectados y de posibles atacantes ha crecido exponencialmente. Sin embargo, ¿podemos explicar por qué están creciendo los riesgos digitales? Es sencillo: la amenaza se ha incrementado de forma geométrica; y la accesibilidad, de forma exponencial. En resumen, nos enfrentamos a dos males: una amenaza mayor, por el mayor desequilibrio existente con respecto al posible riesgo que supone atacar; y una complejidad mayor. En lo que respecta a la amenaza, una premisa que resulta esencial para entender este crecimiento es el anonimato implícito en el mundo digital. Si nosotros nos sentimos anónimos, los “malos” también, y sienten mayor impunidad a la hora de cometer cualquier acto delictivo. Para enfrentarnos a estos retos necesitamos patrones espacio-temporales, y en Internet no existe nada de esto, puesto que se puede transmitir desde cualquier parte del mundo y de manera inmediata, sin consecuencias temporales. Centro de Investigación para la Gestión Tecnológica del Riesgo 57
  58. La lucha tecnológica contra el fraude organizado Así las cosas, y volviendo a otra exposición anterior, nuestra educación no sirve para solucionar esta problemática, nuestra experiencia tampoco… entonces, nos queda experimentar como una forma de encontrar las mejores formas de gestionar este riesgo. Y llegados aquí, ¿cómo podemos modelar este riesgo digital? En mi opinión, el riesgo digital se compone de diferentes cosas y hay que entender un cambio de paradigma fundamental, y es que el riesgo digital no es lo que pensábamos que era. Y el error es que partimos de una base equivocada, puesto que nos basamos en la idea de que hay vulnerabilidades que tienen que ser corregidas, y asegurar nuestros activos con parches y contraseñas pero sin entender por qué. Tres tipos de riesgos Para entender mejor la problemática hemos de acercarnos a los diferentes tipos de riesgos y que, a nuestro modo de ver, se dividen en: accidentales, oportunistas e intencionales. Los riesgos accidentales están relacionados con la probabilidad de que ocurra un siniestro casual. Están ligados a los problemas de disponibilidad, y para conseguir mitigar sus potenciales efectos lo hacemos mediante la redundancia. Por su parte, los riesgos oportunistas están muy relacionados con la complejidad de los sistemas y nuestra forma de mitigarlos es colocar barreras de protección, instalando antivirus, cortafuegos, etc. Aquí tenemos que optar por una tecnología que 58 Curso de Verano 2011 imite el mundo de la salud, que se consigue con una suma de esfuerzos. En esencia, tratamos de mantener sanos nuestras redes y sistemas, de manera que introduciremos solo componentes sanos, complementaremos con parches y actualizaciones, los aislaremos de amenazas externas, generaremos alertas que nos reporten cualquier fallo, guardaremos bitácoras o logs para entender el riesgo, etc. En lo que respecta al riesgo intencional, si bien en los riesgos accidentales “el mejor esfuerzo prevalece” (si uno funciona, nos quedamos con ese), y en los oportunistas es “la suma de esfuerzos”, en el intencional lo que hay que tener en cuenta es “el mínimo esfuerzo”, puesto que con que solo haya una contraseña débil en el sistema, nuestra infraestructura corre peligro. Está relacionado con la accesibilidad a mis datos, y con la confidencialidad e integridad de los mismos y su valor en el mercado. Su fórmula hasta ahora era la de ser igual a impacto por probabilidad, pero en nuestra opinión es mejor hablar de amenaza por accesibilidad. El impacto se determina al estimar el valor económico (no solo valor económico directo, sino el valor de beneficio para el atacante o contrincante). La probabilidad es medida al calcular las conexiones potenciales. El riesgo intencional se alimenta de todo lo que dejamos de hacer en el riesgo oportunista (un nivel de estar sano es suficiente), de manera que aquí necesitamos liberar recursos para utilizarlos en la lucha contra aquellos ataques de tipo intencional. Centro de Investigación para la Gestión Tecnológica del Riesgo
  59. Curso de Verano 2011 Visto todo esto, hemos de llegar a la siguiente conclusión: necesitamos aceptar riesgo. Es imposible tener la estrategia adecuada porque las amenazas y los contrincantes son muchos y muy dinámicos. El valor de nuestra información por tipo de dato se puede establecer haciendo un inventario del ciclo de vida del dato, así como determinando qué información tiene valor para potenciales competidores. También podemos generar políticas, definición de controles, estándares y procedimientos, y luego implementación y auditoría. Cómo se calcula la vulnerabilidad Para calcular la vulnerabilidad, que no es otra cosa que la accesibilidad, podemos convertir a todos los usuarios y accesos en los vértices de un grafo. Y vemos cómo están de conectados, puesto que en esa interconexión es donde está el riesgo y la vulnerabilidad. Y es que lo más valioso es lo más fácil de hackear, por ejemplo la base de datos, porque está conectada con decenas de aplicaciones, y con todo tipo de protocolos. Una vez que entendamos estas interconexiones entre los nodos, podremos gestionar de manera diferente. Gestionar en “la nube” los accesos, donde podemos tener un punto de acceso único, es más sencillo que, por ejemplo, en el correo electrónico, donde pueden estar conectados los administradores del dominio, del servidor, del correo… “La nube” nos da la capacidad de gestionar estos accesos, clave para el riesgo intencional. Centro de Investigación para la Gestión Tecnológica del Riesgo La lucha tecnológica contra el fraude organizado Entonces, por un lado, lo tenemos virtualmente separado de donde está el riesgo (los clientes, los proveedores…) y, por otro, nos concentra los puntos de acceso, lo que resulta muy ventajoso. Para reducir el riesgo para mi organización tenemos dos vías. En cuanto al control de la accesibilidad, podemos reducirla haciendo labores de filtrado, aislado, autenticado, etc. Y en la parte de la rentabilidad, podemos reducir el anonimato y sus consecuencias, y/o reducir el valor (“un cheque que no está firmado no vale casi nada”). La idea es que estos tres vectores (accesibilidad, anonimato y valor para terceros) los podamos utilizar de forma cotidiana para ver nuestra manera de gestionar el riesgo. Puedo rebajar los tres ejes del grafo, pero también puedo rebajar solamente uno; lo que, por sí solo, reduce mi riesgo a la mitad. En todo caso, hay que tener en cuenta que la accesibilidad tiene un efecto negativo dentro de nuestra organización (a más confidencialidad, menor disponibilidad), por eso muchas veces se hace más sencillo gestionar mejor los otros dos vectores. Estrategias para gestionar el riesgo Llegados a este punto, nos acercamos a las estrategias más óptimas para gestionar el riesgo: filtrar y aislar, para temas de accesibilidad; disociar y separar, para temas de valor; y monitorear y registrar. Y cada una de ellas nos permite hacer cosas diferentes en el tiempo. 59
  60. La lucha tecnológica contra el fraude organizado Aquí destacan, por ejemplo, estándares como PCI, que lo que han hecho ha sido “no pegar todo a la accesibilidad”, no cifrarlo todo y disociar parte de la información para restarle valor. Con todo, hay que tener especial cuidado con el tema de la redundancia, que es a lo que hemos estado recurriendo toda la vida. En mi opinión, va por otro lado, no tiene nada que ver, y hasta se contrapone, de modo que hay que tener especial cuidado con cuánta redundancia vamos a poner porque si tenemos un centro de datos alternativo al final tendremos los controles duplicados y seremos más vulnerables. Cómo se relaciona esto con los asuntos de regulación Hemos trabajado con el IFAI en México, con el objetivo de “evitar el acceso no autorizado a los datos personales guardados por el responsable en cuestión”. La regulación te dice qué hacer o no hacer en términos de privacidad, pero hemos de manejar también el término de volumen: a mayor volumen de datos, más riesgo; y a mayor volumen y mayor riesgo, entonces los controles también serán mayores. Lo que vamos a utilizar para cubrir estos riesgos es, precisamente, lo que decíamos antes: filtrado, disociación y monitorización. Se sugerirá cumplir un área máxima por nivel de riesgo (recordemos que son tres, accesibilidad, anonimato y valor para terceros), y aquí podremos elegir entre diferentes controles para 60 Curso de Verano 2011 reducir esa área, otorgándoles una puntuación determinada en cada uno de los vectores para poder determinar cuánto estamos aumentando o disminuyendo la seguridad de nuestra información. Esta actuación resulta muy eficiente para la empresa, porque puede elegir sus propios controles; y efectiva para la persona porque cualquiera de los tres vectores que uno mitigue repercute directamente en la reducción del riesgo potencial para los datos de la empresa. “Cibermemes” y bases de datos negativas Quisiera también hablarles, para concluir, de un mecanismo de gestión de riesgos muy particular, lo que nosotros hemos llamado “los cibermemes”. Creemos que así como nosotros hemos desarrollado unos memes para gestionar el riesgo, estamos ahora viendo cómo está empezando a moverse esta gestión del riesgo hacia nuestros sistemas; de tal manera que habrá un nivel de abstracción que permitirá a nuestros equipos gestionar el riesgo que nosotros no podamos gestionar. Esto, por ejemplo, se ve muy bien en el fraude de tarjetas. Existe actualmente un proyecto de investigación al respecto que lo que busca no es el enfoque analítico tradicional (“tendríamos 7 millones de formas de ver los datos y nos volveríamos locos”), sino afrontarlo utilizando las secuencias de estos fraudes y con modelos similares a los que utiliza el neocortex humano, de memoria temporal Centro de Investigación para la Gestión Tecnológica del Riesgo
  61. Curso de Verano 2011 La lucha tecnológica contra el fraude organizado jerárquica, permitiéndonos entender patrones espacio-temporales. y generar anticuerpos nuevos comparándolos con los anteriores”. Por otro lado, también estamos empezando a trabajar en “bases de datos negativas”, que vienen a emular el sistema inmunológico, “que tienen que reaccionar contra cosas que nunca han visto En definitiva, estamos al inicio de un nuevo viaje y estas aportaciones serán las que contribuirán a las futuras disciplinas de seguridad y de gestión del riesgo. Centro de Investigación para la Gestión Tecnológica del Riesgo 61
  62. La lucha tecnológica contra el fraude organizado 62 Curso de Verano 2011 Centro de Investigación para la Gestión Tecnológica del Riesgo
  63. Curso de Verano 2011 La lucha tecnológica contra el fraude organizado SEGURIDAD JURÍDICA Y ASPECTOS CRÍTICOS EN LA PROTECCIÓN DE DATOS Francisco Javier Puyol (Director de Asesoría Jurídica Contenciosa Corporativa. BBVA) on mi ponencia quisiera conseguir dos cosas: ofrecer una visión crítica de la situación actual y aportar elementos de reflexión para el camino de la protección de datos. No podemos obviar que el mundo ha cambiado y sigue haciéndolo vertiginosamente, y que en este sentido la globalidad está afectando a la seguridad jurídica de los datos más sensibles. Hay un cambio y tenemos que ser realistas en esta definición. Hoy, cuando hablamos de protección de datos estamos ante una situación de protección de datos de tercera generación, ya no es la ley y el reglamento lo que nos preocupa, ni las relaciones jurídicas complejas desde el punto de vista Centro de Investigación para la Gestión Tecnológica del Riesgo mercantil, sino que estamos en algo más. Estamos inmersos en nuevos mundos como las redes sociales o el cloud computing, y con elementos que marcan un nuevo ritmo, como puede ser la autorregulación o el giro hacia la privatización de la protección de datos mediante normas corporativas, las BCRs (binding corporate rules). En esencia, además, parece que estamos cambiando el panorama de lo estrictamente público en protección de datos a una visión más empresarial, más privada. Falta de adaptación de la normativa Estos importantes cambios en la sociedad, en base a un desarrollo tecnológico cada vez mayor, 63
  64. La lucha tecnológica contra el fraude organizado hacen imprescindible que la normativa cambie y evolucione para adaptarse a la sociedad y al desarrollo tecnológico, y eso es algo que está yendo mucho más lento de lo necesario. La ley de protección de datos del año 92 duró 7 años, y la del 99 ya está durando demasiado. Es cierto que el reglamento ha incluido las reformas fundamentales que la ley necesitaba para evolucionar, pero esto no es suficiente. Lo que necesitamos es “ir a la simplicidad de modelos”, a modelos mucho más sencillos desde el punto de vista regulatorio. Y a una visión internacional, que se hace imprescindible en un mundo globalizado como el actual. Es muy importante darse cuenta de que estamos en un entorno con muchos vacíos legales, por la rapidez del desarrollo tecnológico; y que también tenemos contraindicaciones desde el punto de vista de la regulación interna, pero sobre todo de las exigencias del tráfico jurídico mercantil afectado por la privacidad. En este contexto, podemos resaltar la celebración de la conferencia internacional de datos que se desarrolló en Madrid hace un par de años. Ahí se habló del desarrollo de unos estándares en materia de transferencias internacionales de datos, fundamentalmente basados en la directiva comunitaria y en la legislación española y con los valores que tienen que tener las transferencias internacionales de datos. Fue un intento de normalizar esta materia, donde además se apostó por la creación de nuevas figuras, como la de “receptor de los datos”, que 64 Curso de Verano 2011 puede tener un ámbito distinto a lo que es el responsable de fichero o el responsable de tratamiento. Nuevos desarrollos legislativos Por otro lado, se necesita una concienciación sobre el derecho al olvido y un cuestionamiento sobre algunos aspectos, como el hecho de que el elemento de seguridad sea el elemento patrón de las transferencias internacionales de datos. Es necesario ir a modelos más generosos, que permitan una perspectiva global. Igualmente, desde el punto de vista empresarial, la protección de datos choca con realidades que tenemos que tener muy presentes. Muchas empresas trabajan para cumplir con lo mínimo y lo básico, son más o menos formales, pero optan por un cumplimiento más estético que material de la protección de datos. Y esto tiene que ser erradicado de raíz porque si no, no se cumplen los derechos de los ciudadanos, el habeas data recogido en el artículo 8.4 de la Constitución. Este tema de los cumplimientos estéticos formales, pero ausencia de cumplimiento efectivo, que también se traslada a otros temas como las políticas sobre cookies, necesitan otro tratamiento desde el punto de vista empresarial, y eso se concreta en lo que se denomina responsabilidad social. Igual que lo que se refiere a los sistemas de auditoría, los controles de cumplimiento normativo han de ser de cumplimiento fundamental en cualquier empresa, y además en la integridad de la normativa. Hasta que eso no ocurra, habrá una Centro de Investigación para la Gestión Tecnológica del Riesgo
  65. Curso de Verano 2011 sombra de cumplimiento, pero no se respetarán los derechos de los ciudadanos. Ventaja competitiva para las empresas Otro punto a tener en cuenta es la consideración del cumplimiento normativo como un valor y ventaja competitiva para las empresas que lo cumplan, cosa que no ocurre y sería muy interesante plantear. En nuestro país, tanto la ley como el reglamento prevén desarrollos en este sentido. Así, las compañías que se comprometan no solo a cumplir la ley, sino a establecer unos estándares de cumplimiento superiores, podrían ver valorada su actitud desde el punto de vista reputacional, dándose a conocer al mercado como cumplidoras de los cánones de protección de datos, suponiendo una ventaja competitiva con respecto a otras entidades que no estén tan concienciadas. Por otro lado, considero que la potestad sancionadora del propio organismo de protección de datos ha de ser objeto de revisión, porque a veces hay duplicidad de sanciones por lo ya previsto en los códigos tipo. Y con los BCRs ocurre lo mismo. Está muy bien que los grupos puedan establecer normas internas de transferencia internacional de datos, que se intente privatizar. Y esto puede tener mucha lógica si tiene un carácter transnacional, pero a nivel nacional o reducimos la burocracia a la hora de reducir estas transferencias internacionales de datos o a la hora de crear unas BCRs internas que no hacen más que complicarnos la vida. Centro de Investigación para la Gestión Tecnológica del Riesgo La lucha tecnológica contra el fraude organizado La autorregulación Con respecto al tema de la autorregulación, creo que tenemos que perderle el miedo, ya que puede dinamitar la experiencia del control de datos. Aunque, no obstante, hemos de hacerlo con control, puesto que la autorregulación por sí sola puede traer consigo situaciones de negación de los derechos fundamentales. Poco a poco tendremos que ir adaptando este modelo al del ámbito europeo, que es regulatorio, y que puede dejar espacios a ese modelo de autorregulación. Y un ejemplo de ello es el sistema de autodenuncia interna. No hay que olvidar, de otra parte, que el modelo de protección de datos no solo es un modelo legislativo, es también un elemento cultural, que está vinculado al desarrollo de la sociedad, a la conciencia de los ciudadanos como consumidores, que pueden ejercer sus derechos contra el titular de los ficheros. Es necesario que tenga un componente cultural, porque si nos quedamos solo en el carácter formal, es más complicado que cale en la conciencia de los ciudadanos. Nuevo modelo regulatorio Una crítica muy importante que podemos hacer es que el modelo de la protección de datos se antoja como un modelo intocable, pero ya han pasado dos décadas de los primeros proyectos, y ahora hace falta una reflexión seria sobre el modelo de regulador que tiene que haber en España y en la Unión Europea. 65
  66. La lucha tecnológica contra el fraude organizado Nuestro modelo está fundamentalmente basado en la supervisión y en la sanción, y yo personalmente no estoy a favor de que tenga como único criterio la acción punitiva. Está bien, pero no ha de ser la única. También es importante la acción formativa, e incluso, algún criterio más, como el reputacional de que hablábamos antes, según el cual los ciudadanos puedan conocer qué responsables de ficheros cumplen o no con la normativa y en qué medida, y que eso sea un elemento de atracción. En mi opinión, más allá del modelo punitivo, hay que abogar por el formativo y el reputacional. Y aquí, en un nuevo modelo donde se introdujeran elementos reputacionales, entrarían los incentivos positivos. No hablamos de incentivar a las compañías por el cumplimiento de la ley, sino tratar este hecho como punto de partida, como mínimo exigible, e incentivar a aquellas corporaciones que desarrollen un cumplimiento ortodoxo y una tutela eficaz en el marco de una política proactiva. Los incentivos que podrían plantearse pueden pasar por ser facilidades en distintos trámites y actuaciones, reducción de la burocracia, transmisión social de ese cumplimiento para que se beneficien de esa ventaja competitiva que veíamos antes. Porque al final, la protección de datos es también una cuestión de libre competencia. Los mercados regulados implican la existencia de empresas éticas, que compitan en condiciones de igualdad. Por eso, esto también tiene que estar relacionado con otras áreas como la competitividad y la competencia desleal, llegando a considerar un acto de competencia desleal el efectuado por 66 Curso de Verano 2011 una empresa que “canibalice” datos. Por eso el propio regulador debería tener en estos casos la sensibilidad necesaria para valorar que existe un uso irregular de los mismos. También necesitamos un modelo que se anticipe a los problemas y que no vaya detrás de las circunstancias, y que siga algunos ejemplos internacionales, como la estela mexicana que habla también de personas jurídicas y no solo físicas. Por otra parte, el modelo de protección de datos habría de adaptarse igualmente a cada ámbito de la industria. Y es que lo que no puede ser es que haya una normativa especial cada dos por tres, y que la agencia se vea obligada a admitir exenciones a la ley orgánica y al reglamento para no dejar que se colapsen los sectores. Otro elemento a tener en cuenta es la importancia de las asociaciones de consumidores, pero hoy por hoy no están cumpliendo su papel. Estamos ante materias muy serias y técnicas y nos encontramos con este vacío. Cuestionamientos a la seguridad jurídica Hay temas regulados por el derecho mercantil, penal, civil o administrativo donde la aplicación de estas normas de derecho sustantivo interno choca con la normativa vigente en materia de protección de datos, y es necesario buscar un criterio de interpretación para aplicar las normas de privacidad. Hoy en día, cualquier contrato necesita además de la sustantiva esa visión de protección de datos y necesitamos una Centro de Investigación para la Gestión Tecnológica del Riesgo
  67. Curso de Verano 2011 integración, porque de lo contrario o cumplimos con la legislación sustantiva e incurrimos en irregularidades en la de protección de datos o cumplimos la protección de datos y, sin embargo, incurrimos en irregularidades desde el punto de vista sustantivo. Esto es también lo mismo que ocurre con las legislaciones especiales, como las de videovigilancia, seguridad privada, ley financiera o el blanqueo y financiación del terrorismo. Que puede ocurrir que una ley ordinaria haga incumplir una ley orgánica, como ocurre con la ley financiera o de financiación del terrorismo, que si cumples esta muchas veces no cumples con la específica de protección de datos. Con todo, en la nueva regulación conjunta entre blanqueo y financiación del terrorismo, hay normas específicas en materia de protección de datos, donde antes se vivía como una situación completamente anómala y que dejaba a libre elección de las organizaciones cumplir con una u otra. Además, también se hace necesario conjugar la materia en protección de datos con las nuevas tecnologías. Y esto parece sencillo, pero plantea un enorme conflicto desde el punto de vista jurídico, que necesita soluciones. Visto lo anterior, nos acercamos a las nuevas perspectivas en protección de datos. Se trata de un ámbito de negocio en relación con los directorios de empresa, los directorios profesionales, los datos profesionales y el concepto de agenda personal. Como todos estos conceptos están interrelacionados, se hace Centro de Investigación para la Gestión Tecnológica del Riesgo La lucha tecnológica contra el fraude organizado necesario simplificar los modelos para evitar zonas grises de regulación. Delimitación de conceptos En otro orden de cosas, también se hace imperioso trabajar por la delimitación de determinados conceptos, como los derechos de cancelación, olvido y revocación del consentimiento; así como los de cancelación, bloqueo y borrado de los datos, donde se hace necesario buscar una regulación mucho más sencilla para el ciudadano. Otro tema se refiere a las responsabilidades del responsable de ficheros. Por un lado, están las derivadas de la protección de datos, y, por otro, las derivadas del negocio jurídico subyacente. Con respecto a las primeras, tienen un plazo de prescripción de tres años, de manera que si yo borro el dato a los tres años, el contrato ha terminado y lo bloqueo, y a los tres años los borro porque ya ha prescrito (o a los seis, según el código de comercio). Pero nos podemos encontrar con situaciones paradójicas como que, siendo una entidad bancaria, una vez borrados los datos tengo un juicio por movimientos de cuenta corriente en los que el cliente discrepa, el juez me condenará porque no me puedo defender por haber hecho un cumplimiento ortodoxo de la ley de protección de datos. Y esto es un disparate. Aquí lo que digo es que no se decante por las responsabilidades derivadas del tratamiento porque va a quedar en indefensión. Por eso es importante que se tomen como referencia las derivadas del negocio jurídico subyacente, y, 67
  68. La lucha tecnológica contra el fraude organizado concretamente, el tiempo de prescripción de las acciones que pueden ejercitar en mi contra en los contratos que suscribí. De igual modo, hay que apostar por el principio de calidad de los datos y la actualización de los mismos de oficio, incentivando la actualización de los aquellos. Además de por modelos que ayuden a construir más que aquellos que solo castigan, como decía antes, porque, por ejemplo, en el ámbito de la cesión de datos, donde necesito un consentimiento, resulta que en caso de tener problemas me encuentro con una sanción duplicada con respecto a la prestación de servicios. Y en lo que tiene que ver con el consentimiento, hace falta recurrir a la autenticación para poder realmente constatar las identidades, y eso tiene un régimen jurídico distinto. Y desde luego mucho cuidado con el consentimiento tácito, que se está posibilitando su uso pero no acompañado de un control de cómo y para qué se utiliza. Sorprende que el rigor de la AEPD en estos temas sea tan banal: mando una comunicación y digo que si no contesta en un plazo entonces optamos por el consentimiento tácito. Pero puede que esa contestación no sea devuelta por múltiples causas, de manera que tenemos que evitar las situaciones abusivas y proteger siempre los derechos de los titulares. En este punto del consentimiento nos encontramos también con algunas situaciones problemáticas, como la del consentimiento para los menores de edad, donde existe una pluralidad de normas a cumplir: el Reglamento, 68 Curso de Verano 2011 la LO 1/1982, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen, la Ley del menor, que dice que tenemos que acudir al ministerio fiscal, etc. Y es un desastre porque lo que esta situación hace es desincentivar que los derechos de los menores puedan ser tratados, y eso que son regulables. Para mí la norma más sencilla es la siguiente: menores de 14 años, siempre padres, tutores y representantes legales; mayores de 14 años, los propios menores. También problemática es la prestación del consentimiento en el caso de los discapacitados, donde no sabemos quién tiene exactamente que prestarlo. Finalmente, también hemos de buscar nuevas fórmulas para plantear la subcontratación, prestando especial atención a los límites legales versus los contractuales; y para las transferencias internacionales de datos. Sobre la subcontratación, hay que buscar soluciones desde el punto de vista contractual. Y esta flexibilización del régimen de subcontratación tiene que ser compatible con la tutela de los derechos, evidentemente, del titular, y con las responsabilidades de ante quién tiene que ejercer esos derechos. Sobre las transferencias internacionales de datos, los estándares han hecho mucho, pero no son la panacea. Hay que buscar criterios homogéneos, y un paralelismo entre las transferencias, las redes sociales y el cloud computing. Hay que buscar un acercamiento y una regulación unitaria. Centro de Investigación para la Gestión Tecnológica del Riesgo
  69. Curso de Verano 2011 La lucha tecnológica contra el fraude organizado LA LEY DE PROTECCIÓN DE DATOS PERSONALES EN MÉXICO Ángel Trinidad Zaldívar (Comisionado del Instituto Federal de Acceso a la Información y Datos Personales de México. IFAI) uestra ley de protección de datos personales entró en vigor hace casi dos años, e incluye aspectos novedosos de cara a la legislación española, como el tratamiento que hace de las personas jurídicas y no solo de las físicas. Además, como organismo regulador no solo trabajamos para el sector privado sino también para el gubernamental. (resolución 509 de CE “Derechos humanos y nuevos logros científicos y técnicos”; Convenio 108 de CE, en 1981, de protección de las personas con respecto al tratamiento automatizado de los datos de carácter personal) llegamos a la Directiva 95/46/CE de 1995 sobre protección de personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos. Para mí lo fundamental es por qué proteger. Y esto es algo que ya se planteó en 1967, en el seno del Consejo de Europa, donde una Comisión consultiva estudió las tecnologías de información y su potencial agresividad a los derechos de la persona. Después de varias regulaciones Con las leyes de datos personales se busca no perder el control sobre nuestra información más sensible, cada vez más dispersa por la Red; mientras que en otras latitudes, como en EE UU, la necesidad de privacidad se expresa más en términos del derecho a “no ser molestado”. Centro de Investigación para la Gestión Tecnológica del Riesgo 69
  70. La lucha tecnológica contra el fraude organizado Destaca en este sentido una sentencia del 15 de diciembre de 1983 del Tribunal Constitucional Alemán, que enunciaba que “la proliferación de centros de datos ha permitido, gracias a los avances tecnológicos, producir una imagen total y pormenorizada de la persona respectiva (un perfil de la personalidad), incluso en el ámbito de su intimidad, convirtiéndose así el ciudadano en un hombre de cristal”. Como ejemplo de lo peligroso que puede resultar la generación de estos perfiles de personalidad, nos encontramos con que las empresas recurren a las redes sociales para recabar información sobre los solicitantes a un empleo. Un estudio realizado en EE UU en 2010 dejó de manifiesto que el 40% de las organizaciones afirmaron haber dejado de contratar a una persona en concreto por la información que de ella encontraron en las redes sociales. Un estrato especialmente vulnerable a esta transparencia es el de los jóvenes. Muchas veces les digo a mis hijos que quizá se pueden arrepentir dentro de 10 años, cuando ingresen en el mercado laboral, de comentarios que ahora escriben indiscriminadamente en las redes sociales. Y esto es precisamente lo que pretenden evitar las leyes de protección de datos, evitar esta discriminación. Del sector público al privado En México nos estrenamos en 2002 con una ley de transparencia y acceso a la información pública gubernamental (la LFTAIPG), que en siete artículos reconocía el ámbito de la protección de datos personales en el sector público (expedientes médicos de las instituciones públicas, documentación oficial, etc.). En 2007 se 70 Curso de Verano 2011 publica una reforma al artículo 6 constitucional, y ahí se hace un reconocimiento mucho más explícito sobre los datos personales y la necesidad de regularlos y protegerlos. Eleva a rango de garantía fundamental el derecho de acceso a la información, con dos limitaciones: la información referida a la vida privada será protegida en términos de una ley respectiva, y toda persona tiene derecho a acceder y rectificar sus datos personales. En 2009 se vuelve a reformar la Constitución, esta vez el artículo 16, y aquí ya se reconoce la protección de datos personales “como un derecho autónomo e independiente”, reconociendo los llamados derechos ARCO (acceso, rectificación, cancelación y oposición). Aquí ya se reconoce lo siguiente: “toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley, la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de datos, por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros”. Y ya en 2010 se aprueba la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP), extendiendo por fin la regulación en la materia al terreno del sector privado. Desde la regulación de datos personales en el sector público a su extensión al sector privado pasaron 8 años y durante ese tiempo hubo en nuestro país un agitado debate entre algunos ámbitos de ambos sectores. En total, Centro de Investigación para la Gestión Tecnológica del Riesgo
  71. Curso de Verano 2011 se presentaron 9 proyectos de ley distintos, oscilando las propuestas entre un modelo garantista que obstaculizaba el libre flujo de datos (opt-in) al modelo liberalizado sin puntos mínimos regulatorios que den certeza al ciudadano. El logro más importante de la regulación de 2010 es haber llegado a un modelo híbrido, que tomó lo mejor de todas estas iniciativas, y también de diversas experiencias internacionales, como la de la AEPD, que resultó muy útil para nosotros. Creemos que tenemos una legislación moderna que reconoce y protege los llamados derechos de “tercera generación”, en particular la autodeteminación informativa, que viene a ser esto último la capacidad de no perder el control de los datos personales, que cada uno de nosotros sepa quién tiene nuestros datos, para qué, por cuánto tiempo los debe guardar, etc. Coloca a la persona en el centro de la tutela del Estado, reconociendo y respetando su dignidad y valía; y establece un marco general que contempla reglas claras, concretas y mínimas para lograr un equilibrio entre protección de la información personal y la libre circulación de la misma en un mundo globalizado, en concordancia con los estándares internacionales La lucha tecnológica contra el fraude organizado porque al final en este mundo globalizado en el que vivimos los datos personales pueden estar en cualquier sitio. Nuestra ley se alinea con las máximas expresadas en este sentido por organismos como la OCDE, APEC (recogiendo sus elementos del marco de privacidad) y la Unión Europea, y recoge también los “Estándares Internacionales para la Protección de la Privacidad”, adoptados en Madrid en noviembre de 2009 como apuntaba en su intervención el maestro Puyol, siempre buscando el beneficio de la persona e incentivando las transferencias comerciales. Brinda certeza jurídica en los intercambios comerciales nacionales y transfronterizos, propiciando con ello, la llegada de mayor inversión extranjera y por consecuencia la generación de empleos; y permite a las empresas establecer o mejorar sus políticas de privacidad, incidiendo de manera directa en una mayor seguridad en el manejo de la información. Influencias y diferencias Además, no impone cargas excesivas e innecesarias de cumplimiento, por ejemplo; no se requiere un registro de las bases de datos en posesión de los particulares; se prevé que el consentimiento del titular sea tácito (opt-out) para casi la totalidad de tratamientos; y no se prevé la obligación de solicitar al órgano garante la autorización de las transferencias internacionales. Lo que hemos buscado ha sido lograr un equilibrio entre todas las posibilidades normativas que se nos presentaron. Algunos apuntan que existen básicamente dos modelos: el americano y el europeo, pero lo cierto es que también tomamos en cuenta otros modelos En este contexto, desde el IFAI nos queremos presentar como el órgano garante de la protección de datos personales, además del derecho de acceso a la información. Y hacerlo también con la participación de otros ministerios, lo que hará que nuestra norma esté más pegada a Centro de Investigación para la Gestión Tecnológica del Riesgo 71
  72. La lucha tecnológica contra el fraude organizado la realidad. Entre las ventajas de nuestra autoridad reguladora destacan la autonomía (técnica, de gestión y de decisión, así como con personalidad jurídica y patrimonio propios); la unicidad de criterio, eliminándose el riesgo de asimetrías en el grado de observancia a los principios de protección de datos personales exigidos a los responsables, provengan del sector público o bien, del privado; y la curva de aprendizaje, aprovechando la acumulación de conocimiento y especialización en materia de datos personales. En España, sin embargo, aún se discute si debería haber o no una ley de acceso a la información y transparencia. Y ahí la ayuda ha sido a la inversa, desde el IFAI hemos contado nuestra experiencia a las autoridades españolas, que tampoco ven claro si entonces la AEPD se convertiría también en agencia de transparencia y acceso a la información, como nosotros con el IFAI, o si se crea otra institución distinta. En nuestra opinión, mejor una sola autoridad porque hay unicidad de criterios. Pero aparte de las similitudes con otras normativas similares, nuestra legislación en materia de protección de datos tiene diferencias particulares con respecto a lo legislado en la Unión Europea y en España. Entre otras, destacan las siguientes: no se requiere registro de bases de datos, puesto que después de nuestra experiencia en el sector público nos dimos cuenta de que no servía para nada; el consentimiento del titular es tácito para casi todas las actuaciones, excepto para aquellas en que se requiere el expreso, como los expedientes médicos o las actuaciones financieras; y notificación al regulador y al 72 Curso de Verano 2011 ministerio de economía para las transferencias internacionales, en vez de obligación de solicitar al órgano garante la autorización. Principales desafíos y primeras acciones Entre los principales desafíos están: evitar que esta garantía constitucional se convierta en “letra muerta”; difundir el conocimiento de este nuevo derecho entre la sociedad mexicana, además de promover su ejercicio y vigilar su debida observancia; emitir la legislación secundaria que dé plena vigencia a las disposiciones contenidas en la Ley; construir un “compromiso de corresponsabilidad” con el sector privado, a fin de lograr altos niveles de acatamiento de la Ley, y a través de diversos mecanismos como la autorregulación; promover el modelo de terceros certificados (autorregulación); brindar de manera rápida y oportuna, apoyo técnico a los responsables para el cumplimiento de las obligaciones; instrumentar los sistemas informáticos de atención de protección de derechos; crear conciencia entre los nativos informáticos, sobre la importancia de este derecho; iniciar las gestiones correspondientes para solicitar la adecuación de México ante la Comisión Europea; e impulsar entre la comunidad internacional la aprobación de desarrollos normativos en la materia. Siendo estos los principales desafíos a los que nos enfrentamos, desde el IFAI hemos iniciado ya las primeras acciones con la creación de un sistema tecnológico de acceso libre en Internet, Sistema Gestor de Casos, donde copiamos el modelo con que ya contamos en la ley de transparencia, Centro de Investigación para la Gestión Tecnológica del Riesgo
  73. Curso de Verano 2011 donde se facilita un sistema electrónico al ciudadano para poder hacer la solicitud de acceso a la información vía Internet. La idea es que esté funcionando en el primer trimestre de 2012. Lo más difícil será el proceso de autenticación de quién hace esa solicitud de acceso o rectificación, pero estamos buscando asesoría y trabajando por encontrar la mejor solución. Este Sistema Gestor de Casos facilitará a los particulares el ejercicio de sus derechos ARCO, favorecerá la atención de quejas en todo el país, ofrecerá formatos tipo de aviso de privacidad para los responsables, facilitará la identificación de las medidas de seguridad adecuadas para el tipo de datos tratados y los responsables podrán consultar tablas de equivalencia entre regulación y normas para instaurar medidas de seguridad. Por otro lado, también estamos trabajando en programas de certificación sobre la importancia del reconocimiento de este derecho a la protección de datos personales; en la capacitación de sujetos regulados, titulares de los datos, y personal del Instituto; en la elaboración de una base de datos con preguntas frecuentes, que sirva para ofrecer orientación telefónica y por Internet; en decidir el modelo de implantación territorial de atención a procedimientos; en definir el sistema de atención de consultas, quejas y procedimientos de conciliación; en definir la metodología para el desahogo de procedimientos de verificaciones y elaboración de temario y contenidos para la formación de inspectores; y en determinar el procedimiento de acreditación de terceros certificados. Centro de Investigación para la Gestión Tecnológica del Riesgo La lucha tecnológica contra el fraude organizado En este último punto estamos inmersos en ver quién va a certificar en este proceso a los certificadores, decidiendo dónde acudirán las empresas para que les den un certificado que garantice este proceso. Pero aún tenemos que solventar el problema de que esta garantía solo certifica esa acreditación el día en que se solicita y no a largo plazo. Por eso, aquí no tenemos más remedio que esperar a que un ciudadano presente una queja y entonces sí volver a verificar. Aparte de lo anterior, el Instituto ha diseñado modelos de aviso de privacidad para disposición del sector privado; y ha sostenido reuniones con algunos miembros el sector privado, a fin de despejar dudas concretas sobre la implementación de la Ley. Y hay una actuación especialmente significativa, y es el sometimiento a consulta pública del Reglamento específico de la materia, que elaboramos conjuntamente con el Ministerio de Economía. Tendremos en cuenta las sugerencias que recibamos en las próximas semanas y valoraremos realizar las oportunas modificaciones. Esperamos tener el Reglamento aprobado antes de que concluya 2011. La normativa mexicana permite una amplia variedad de procedimientos, como los derechos ARCO (destaca nuestra norma por el hecho de no tener que esperar al derecho de acceso previamente solicitado, para poder pedir también una rectificación o cancelación; y porque todas las empresas están obligadas a contar con una unidad especializada en materia de protección de datos, además de disponer con su propio 73
  74. La lucha tecnológica contra el fraude organizado aviso de privacidad). El sujeto regulado tiene que haber nombrado una oficina especializada en materia de datos personales. También están los procedimientos de protección de derechos, de verificación, de falta de respuesta, de conciliación (algo interesante que dice la norma es que tendrá efectos vinculantes, de manera que en el momento que el sujeto regulado se compromete a algo, tiene que cumplirlo, porque si no sufrirá una sanción) y de imposición de sanciones. En este último apartado, nuestra intención no es recurrir constantemente a acciones punitivas. Contamos también con un mecanismo para imponer sanciones a través de salarios mínimos vigentes, que nos sirve como una referencia. También tenemos la opción de pena de cárcel, de hasta cinco años, o el doble si se trata de datos sensibles, pero nuestra filosofía es evitar las 74 Curso de Verano 2011 acciones punitivas y fomentar los procesos de conciliación. Por último, me gustaría hacer un apunte sobre la facultad que nos concede la norma para hacer posible la autorregulación. Estamos convencidos de sus beneficios, y tratamos de aprender de las distintas experiencias del mundo, como las reglas transfronterizas de privacidad, o las reglas corporativas vinculantes de las que ya se habló aquí antes. En este escenario entra todo el proceso de acreditaciones y certificaciones, donde lo que buscamos es animar a que las empresas se certifiquen, que sientan que tienen un aval en materia de protección de datos. Nuestra idea básica es, simplemente, que haya corresponsabilidad entre titulares. Centro de Investigación para la Gestión Tecnológica del Riesgo
  75. Curso de Verano 2011 La lucha tecnológica contra el fraude organizado LA PROTECCIÓN DE DATOS Y LOS NUEVOS DESAFÍOS TECNOLÓGICOS Artemi Rallo (Catedrático de Derecho Constitucional de la Universidad Jaume I de Castellón, y exdirector de la Agencia Española de Protección de Datos, AEPD) omo Director de la Agencia Española de Protección de Datos desde 2007, considero que es interesante insistir en que, en sus 20 años de historia, el Organismo ha realizado un importante esfuerzo en lo que los americanos llaman “enforcement”. Cada institución adquiere un perfil propio y nosotros lo hemos hecho en garantía del cumplimiento de la ley, concediendo una relevancia especial a la actitud preventiva. Es cierto que también hemos desarrollado una importante labor sancionadora, atendiendo a todas las reclamaciones que nos llegan de los ciudadanos, pero la prevención sigue siendo una de nuestras máximas. Centro de Investigación para la Gestión Tecnológica del Riesgo En este sentido, tenemos larga experiencia en el plano de estas investigaciones sectoriales preventivas, las cuales hemos realizado en diversos ámbitos a lo largo de todos estos años, y que últimamente están más centradas en escenarios nuevos, como la publicidad en los medios tecnológicos más novedosos, como Internet o los teléfonos móviles inteligentes, ocupándose de temas como el acceso de menores a Internet o el uso de medios de videovigilancia. Además, también hemos prestado especial importancia a la transposición de la Directiva europea sobre tráfico y localización de comunicaciones electrónicas, o a otros temas no tan centrados en tecnologías emergentes, como 75
  76. La lucha tecnológica contra el fraude organizado son el cumplimiento de la protección de datos en el ámbito sanitario. 4.300 denuncias en 2010 La capacidad investigadora de la agencia ha ido creciendo singularmente a lo largo de los años. En 2007, gestionamos unas 1.600 reclamaciones y denuncias; y en 2010 casi lo hemos triplicado, habiendo alcanzado las 4.300 denuncias. Este incremento está relacionado con el aumento de la concienciación de los ciudadanos, no tanto con el incremento del incumplimiento o el alejamiento de la ley por parte de las empresas y administraciones públicas. Si nos preguntamos por cuáles han sido los sectores que han registrado un mayor número de denuncias, nos encontramos con dos ámbitos históricamente conflictivos: el de telecomunicaciones y el financiero; y a los que se ha sumado también el de videovigilancia. Con respecto a este último, hemos asistido a un crecimiento muy significativo de esta tecnología en los últimos años. Y con ello, también al incremento en el número de denuncias relacionadas con esta práctica, desde que en 2006 la Agencia dictara una instrucción que regulaba la instalación de cámaras de seguridad privada con una serie de requisitos. Así, en 2010 el sector de la videovigilancia fue el que más denuncias acaparó, con un 20% de las totales, convirtiéndose en el sector más sancionado, aunque no en lo que a volumen de multas se refiere. Por otro lado, también están emergiendo las distintas problemáticas derivadas de Internet, 76 Curso de Verano 2011 que en los indicadores de la Agencia no ocupan una posición principal, porque en número no son muy significativas (168 investigaciones en estos ámbitos en 2010), pero no así en términos cualitativos, donde su valor es especialmente relevante. Porque a diferencia de los otros sectores como telco y financiero, los ciudadanos tienen más dificultades para identificar los problemas que pueden afectar a la seguridad de sus datos, y no conocen una institución de referencia en Internet donde poder denunciar estas vulneraciones. Por eso, en el mundo Internet las denuncias aún no son tan numerosas, y la agencia suple esta situación con una actuación de naturaleza más preventiva, haciendo inspecciones sectoriales o análisis de los distintos servicios de Internet donde pudiera detectarse algún tipo de inseguridad de la información. Si nos paramos a analizar el tema de las sanciones, estas también se han ido incrementando de modo significativo, alcanzando su punto más álgido, en términos relativos, en el año 2006, donde la cifra de sanciones (casi 25 millones de euros) se generó por poco más de 300 acciones declaradas. En 2009 esa cifra de sanciones se alcanzó por el doble de acciones declaradas, lo que demuestra un descenso del 50% en términos relativos; y una tendencia que cabe imaginar a la baja, especialmente después de la entrada en vigor, en marzo, de la ley que modificó el régimen sancionador de la Agencia. Derechos ARCO Más allá de la sanción, la AEPD atiende también los llamados derechos ARCO (acceso, Centro de Investigación para la Gestión Tecnológica del Riesgo
  77. Curso de Verano 2011 rectificación, cancelación y oposición) cuando no son atendidos por las entidades públicas o privadas. Y en un ritmo creciente en los últimos 4 años, y consolidado en los últimos 2, con una cifra de reclamaciones que duplica las del año 2007. Los ejercidos en un mayor número de veces (54% de los casos) se refieren al derecho de cancelación, con ejemplos como la cancelación de datos en compañías de telecomunicaciones que ya han dejado de prestar servicios. Y a estos les siguen los de acceso (34%). Específicamente, los derechos de acceso más frecuentemente expresados han sido los referidos a los datos sobre morosidad que obran en poder de entidades financieras y la historia clínica; mientras que el derecho de oposición, por su parte, ha estado relacionado, principalmente, con la recepción de publicidad. También es destacable la aportación singular de la Agencia con el Registro General de Protección de Datos, donde se obliga a inscribir todos los ficheros existentes. El Registro concluyó 2010 con la cifra de más de 2,1 millones de ficheros, experimentándose un crecimiento significativo con respecto a la cifra de 2009. Tres ejes: videovigilancia, publicidad e Internet En mi opinión, la protección de datos se puede resumir en tres palabras: videovigilancia, publicidad e Internet. Es mi sensación, pero también lo que la prensa expresa y quiere transmitir a la sociedad. Centro de Investigación para la Gestión Tecnológica del Riesgo La lucha tecnológica contra el fraude organizado De la videovigilancia o el conflicto entre la protección de datos y la seguridad, ya hemos hablado con anterioridad. Es una tecnología en crecimiento y que plantea diversos interrogantes y retos, habiendo sido el sector que mayor número de denuncias acapara en los últimos tiempos. No obstante, supone un reto significativo para el sector. Sobre la publicidad, pondré en valor el hecho de que ha existido una mutación muy significativa en este escenario. Hemos pasado con mucha celeridad de un ejercicio de la actividad publicitaria basada en los medios tradicionales, como el correo postal, que a fecha de hoy no plantea ninguna problemática en lo que respecta a la protección de datos, a la compleja idiosincrasia asociada a los medios tecnológicos. En este contexto, la AEPD desarrolló en 2009 un plan sectorial de oficio que resumía la actuación en la sociedad de la publicidad y el marketing a través de la telefonía fija y móvil y a través de Internet. Con todo, si hay un entorno que evidencia el reto principal de la protección de datos ese es Internet. Supone un reto máximo para la legislación específica, que añade nuevas problemáticas a aquellas con las que ya contaba la Agencia y que muchas veces aún quedaban por resolver. Y es que la protección de datos se vuelve más compleja y problemática una vez se intuye el riesgo que para la información personal tiene el tratamiento automatizado de todo tipo de datos. Así las cosas, los grandes tratadores de datos, las entidades financieras o las empresas de servicios 77
  78. La lucha tecnológica contra el fraude organizado han visto cómo sus conflictos con la salvaguarda de esta información personal se iban resolviendo en gran medida gracias a la experiencia de los últimos años; de manera que hemos asistido a un importante proceso de adecuación de estos sectores a la legislación específica de protección de datos. Pero como en el resto de ámbitos, la llegada de Internet ha sumado un mayor número de complejidades. En este escenario, el primer paso lo dio la Agencia hace casi cuatro años para analizar un servicio de Internet y conocer su adecuación a la legislación de protección de datos. La Agencia española y las europeas sometieron a análisis, en este sentido, el funcionamiento de los buscadores y sus políticas en materia de cancelación de datos personales referido a la dirección IP. Fue un primer paso que poco después dio lugar a la emergencia de otros servicios que han dejado en un lugar secundario a estos buscadores, como son la web 2.0 y las redes sociales, donde los ciudadanos son ya actores no pasivos del sistema. Pueden suministrar e intercambiar información y no solo recibirla. Sin embargo, la popularización de estos sitios y la extensión de su uso no han aumentado, sino disparado, los riesgos sobre los datos personales, puesto que, por ejemplo, en las redes sociales, resulta alarmante la cantidad de información de naturaleza sensible, y muy sensible, que se suministra y comparte en la Red, como datos sobre salud, creencias religiosas, naturaleza sexual o, incluso, la propia comunicación que se establece, que resulta también extremadamente sensible a su vulneración. 78 Curso de Verano 2011 Nadie duda de que las redes sociales son el mayor reto al que se enfrentan hoy los organismos reguladores de la protección de datos personales. Nacen sin prestar la más mínima atención a la privacidad de la información, puesto que nacen con la “lógica de Internet”, que busca la máxima difusión y publicidad. Los diseños no se definen pensando en la privacidad y en cómo proteger los datos personales más sensibles, sino buscando la mayor difusión, sin importar las consecuencias, porque no se valoran; simplemente, se obvian. Esto nos lleva a una pobre y deficiente protección de los derechos fundamentales de los ciudadanos, que deja en franca indefensión nuestra vida más íntima y privada, sin que a nosotros parezca importarnos demasiado. Problemáticas en Internet Después de dejar claro que Internet es el mayor reto al que nos enfrentamos los reguladores en materia de protección de datos, veamos cuáles son las principales problemáticas que lleva asociada la Red para entender mejor la capacidad de reacción con que contamos. Antes de entrar en otras consideraciones, no podemos olvidar la dificultad añadida que supone la limitada formación de un usuario medio. Esto es especialmente preocupante: el usuario utiliza el buscador, escribe algún correo electrónico, accede a las páginas que le interesan y se crea un perfil en una red social y allí expone, muchas veces, sin los filtros adecuados, una gran suma de datos personales. El problema es que este usuario medio no está en condiciones de hacer un uso responsable de los servicios de Internet Centro de Investigación para la Gestión Tecnológica del Riesgo
  79. Curso de Verano 2011 que sea compatible con la protección de su información más sensible. No es consciente de la necesidad de privacidad que reclaman sus datos, ni de los riesgos que conlleva no protegerlos adecuadamente. Por ejemplo, redirige o contesta a correos electrónicos sin utilizar la copia oculta de direcciones, de manera que termina compartiendo las direcciones de otras personas en la Red. En este contexto, a la hora de abordar cómo garantizar la información personal en Internet hay varias preguntas que aún están sin resolver, porque la legislación de protección de datos nació en origen pensada para el mundo real, para las bases de datos físicas, y no tienen su referente en este nuevo ámbito. Pero, por supuesto, esto tiene que ir cambiando poco a poco, a la par que se vayan solventando las dudas que empañan un avance más rápido. Focalizaría estas dudas en cuatro ámbitos distintos: conceptuales, tecnológicas, de desarrollo de Internet y de jurisdicción. La lucha tecnológica contra el fraude organizado en Internet con el hecho físico de quedar en casa de los amigos para ver juntos las fotos de las vacaciones de verano? Hay quien defiende desde el punto de vista conceptual que sí lo es, y que entonces no resultaría de aplicación la ley de protección de datos; pero hay quien, por supuesto, también opina lo contrario. Estas dudas se terminaron por resolver en un documento en el que se negaba el carácter doméstico o personal cuando los supuestos amigos no son lo que se entiende como “amigos”, sino que en esa cuenta de la red social el número de contactos excede de un número que puede considerarse asimilable a ese concepto. En cuanto a las primeras, las conceptuales, las legislaciones de protección de datos exceptúan de su ámbito de aplicación el entorno doméstico o personal, la llamada “excepción doméstica”. La legislación española solo exceptúa de su aplicación los ficheros de inteligencia, los aplicados a la lucha contra el crimen organizado y el terrorismo, y los ficheros de naturaleza personal o doméstica. En lo que respecta a las dudas tecnológicas, nos encontramos con algunos interrogantes, como el hecho de cómo poder verificar el cumplimiento de determinadas exigencias de la legislación de protección de datos en Internet. Aquí, si tomamos como ejemplo la obligación que impone la legislación española de que cualquier entidad que recabe datos personales de un menor de 14 años debe procurar diligentemente la comprobación de la edad de esa persona, algo que en el mundo real es tan fácil, llama la atención lo complicado que resulta llevar esto al mundo Internet. En todo caso, también hemos de decir que hay un debate abierto sobre esto, porque sí hay medios tecnológicos que lo permiten. Siendo eso así, ¿cómo se puede categorizar o asimilar a ese concepto lo que representan en Internet las redes sociales? Allí se comparten datos, fotos, comunicaciones, etc. ¿Estamos hablando de una relación estrictamente personal o doméstica? ¿Es asimilable compartir una foto Por otro lado, existe un riesgo importante de sacrificio del propio desarrollo de Internet. Antes hacía referencia a la transposición de la propia directiva europea, que exige consentimiento informado o previo de los ciudadanos antes de la instalación de las cookies en sus PCs. Centro de Investigación para la Gestión Tecnológica del Riesgo 79
  80. La lucha tecnológica contra el fraude organizado Pues bien, una transposición literal maximalista de esa exigencia de la Directiva llevaría a poner en jaque el propio desarrollo de Internet tal y como se le entiende hoy en día, porque exigiría un consentimiento constante por parte de los ciudadanos a cada acto de navegación. O también la propia exigencia de seguridad que se le impone a los servicios de Internet, ya que muchos opinan que al hacer de la gestión de la información personal su actividad básica les es exigible un plus de seguridad en la custodia de esa información, frente a otras entidades menores. Finalmente, tendríamos también un problema de jurisdicción, ya que hay empresas que reivindican la aplicación de la legislación norteamericana, negando la aplicación de los derechos del país desde el que opera el usuario. Nuevos horizontes Vistas las problemáticas, los organismos de regulación hemos de trabajar muy duramente para solventar estas situaciones en el menor 80 Curso de Verano 2011 tiempo posible, porque la Red evoluciona a un ritmo vertiginoso y podríamos correr el riesgo de no responder a la misma velocidad. Hemos de destacar, en este sentido, la discusión que hoy existe en España y la Unión Europea sobre cómo transponer (en España ya hay un proyecto de ley presentado) la Directiva de la privacidad de las comunicaciones electrónicas en relación con la publicidad basada en el comportamiento de los internautas. Una transposición que plantea dificultades en distintos escenarios, como es el caso de lo relacionado con la “Internet de las cosas”, la tecnología RFID o el cloud computing. Aparte, hace pocos días conocimos que Facebook está implantando lo que se denomina el reconocimiento facial en Internet (ni siquiera Google lo ha utilizado, aunque tiene la tecnología). Yo, por mi parte, reconozco tener dudas sobre cómo atajar estos problemas, pero confío en que en un breve espacio de tiempo tengamos respuesta para los más importantes. Centro de Investigación para la Gestión Tecnológica del Riesgo
  81. Curso de Verano 2011 La lucha tecnológica contra el fraude organizado MESA REDONDA. LA PRIVACIDAD EN “LA NUBE” Esta mesa redonda abordó dos temáticas: Cambio del paradigma de seguridad: de lo cercano a lo lejano; y La Seguridad en “la nube”. Para ello, contó con la participación de Manuel Carpio Cámara (Director de Seguridad de la Información y Prevención del Fraude. Telefónica); Francisco Javier García Carmona (Director de Seguridad de la Información y las Comunicaciones. Iberdrola); Guillermo Llorente Ballesteros (Subdirector General Corporativo de Seguridad y Medio Ambiente. MAPFRE); Idoia Mateo Murillo (Directora de Riesgos Global. Produban. Grupo Santander); Justo López Parra (Responsable de Seguridad Informática. ENDESA); Francisco Javier Puyol (Director de Asesoría Jurídica Contenciosa Corporativa. BBVA) y Carles Solé Pascual, (Director de Seguridad de la Información. La Caixa); siendo moderada por Esperanza Marcos (Catedrática de lenguajes y sistemas informáticos II. Universidad Rey Juan Carlos, URJC). Cambio del paradigma de seguridad: de lo cercano a lo lejano Francisco Javier García Carmona: Cada vez necesitamos almacenar más información, consumir menos, aumentar la memoria y el volumen de datos, y por supuesto compartir y flexibilizar la información. Y al principio todo era más cercano, había una relación más directa entre todas estas Centro de Investigación para la Gestión Tecnológica del Riesgo realidades, pero recientemente el concepto que ha revolucionado la forma de hacer las cosas es la cloud computing, donde se asocian palabras clave como elasticidad, demanda, compartir, servicio, abaratamiento, beneficio, exigencia, agilidad… Como diría Shakespeare, “ir o no ir a ‘la nube’, esa es la cuestión”. En tiempos de crisis, los entornos de “la nube” permiten un pago por uso y evitan la necesidad de montar grandes infraestructuras de software 81
  82. La lucha tecnológica contra el fraude organizado o de aplicaciones. Se adapta a las necesidades del cliente, e incluso a sus necesidades de seguridad más acuciantes. En mi opinión, llegados a este punto, hay que responder a dos preguntas: “¿Para qué empezar?” y “¿Por qué empezar?” ¿Y cómo se materializa el concepto de lo cercano a lo lejano? Pues con un cambio de orientación tecnológica, por un servicio por uso, por entenderlo de un modo simple. Pasamos de lo terrenal a la fe, en otras palabras. Y una pregunta clave: ¿quién presta los servicios en “la nube”? ¿Están dispuestos a garantizar su seguridad? ¿Están los datos seguros en “la nube”? Y es que nuestra gran preocupación es la seguridad de nuestra información en el entorno cloud. Además del nivel de seguridad, es importante para quien contrata saber dónde se encuentra “la nube” (si está en terceros países, por ejemplo), qué ofrece el propietario de “la nube” proveedora, qué posibles subcontrataciones suscribe, etc. Es una moda imparable. “La nube” arrasa con todo. En verdad tiene muchas ventajas, pero también tenemos que estar muy atentos al volumen de información que colocamos en su seno. Sí creo que será muy positivo que todos nos traslademos al ámbito cloud, pero siempre con precaución y seguridad. Y eso es lo que supone la actuación de algunos organismos como INTECO, que trabaja muy de cerca en los beneficios de “la nube”, y la 82 Curso de Verano 2011 Cloud Security Alliance, que aglutina a grandes fabricantes del sector. Podemos perder autonomía en la capacidad de gestión, y, por supuesto, siempre nos acompaña la misma duda, sobre la privacidad y la seguridad de nuestros datos. Pero es imparable. En “la nube” estamos todos… ¿Es un avance o una nueva historia? ¿Supone un cambio tecnológico o un cambio económico? Realmente, lo que supone es un cambio de paradigma. Por otro lado, también tenemos ante nosotros un dilema importante: si triunfa la cloud… ¿habrá más paro en nuestro sector? Son cosas que quedan ahí sobre la mesa. Aunque estoy seguro de que algo se nos ocurrirá, cambiaremos el modelo… Y teniendo en cuenta que muchos servicios básicos, como la luz, el gas o los servicios de energía, llevan en “la nube” desde hace mucho tiempo… ¿Cloud siempre? Yo diría que “depende”. Hay beneficios obvios y otros que pueden venir, pero también hay muchos riesgos y otros que irán surgiendo… Llegados a este punto… planteo dos cuestiones: ¿Tenemos necesidad de correr tanto o es preferible esperar al segundo asalto? Y, por otro lado, ¿Vamos o nos llevan? Y todo ello en medio de un dilema interno: ¿Soy “cloudizable” o “cloudicable”? Guillermo Llorente Ballesteros: Visto así, el paisaje del cloud es tan idílico… ¿quién no habría de quererlo? Pero esa no es la pregunta ni el debate es ese. La pregunta es qué queremos Centro de Investigación para la Gestión Tecnológica del Riesgo
  83. Curso de Verano 2011 La lucha tecnológica contra el fraude organizado externalizar y en qué condiciones. Y qué obligaciones y qué necesidades sentimos cuando externalizamos algo. Y qué riesgos existen. negocio, de dinero. Aunque también hay un pequeño problema legal… cómo van los datos a “la nube”… si van desnudos o no… En mi opinión, hay una enorme presión sobre la mesa, porque parece que si no estás en “la nube” eres arcaico. Y depende… Para una empresa pequeña puede que no. ¿Por qué vamos a suponer que vas a ser más eficiente que yo gestionando algo? Depende… De todos modos hay un error de precisión. No estamos ante un debate de si “la nube” sí o “la nube” no… quien lo está pidiendo es el negocio. Según datos aportados en la International Cloud Alliance, celebrada en marzo pasado en Barcelona, el 80% de las empresas norteamericanas están en “la nube”, mientras que en Europa sólo lo están el 5%. Hay que ir a “la nube”, es inevitable. Y el problema de la privacidad se puede resolver porque tenemos tecnología… La pregunta clave es qué puedo externalizar, cuál es tu core de negocio. Porque a lo mejor no tienes ningún core y lo único que haces es gestionar partes de empresas. En mi opinión, dar por supuesto que hay que ir a la nube es un error. Habrá que analizar los costes, los presentes y los futuros, los visibles y los ocultos. ¿Es mejor comprar o alquilar este edificio? Depende. Si este edificio resulta que es el core de tu negocio, puede que sea mejor comprar; de otra manera, quizá no. Ir por ir, desde mi punto de vista, no resulta adecuado. Carles Solé Pascual: Dependerá de a quién le preguntes. Para mí “la nube” es una ventaja competitiva hoy en día, porque puedes montar un negocio sin necesidad de dimensionar la empresa desde el principio, momento en el que no sabes cuántos clientes y qué necesidades tendrás. Por otro lado, en empresas consolidadas como la nuestra, posiblemente no tenga la misma funcionalidad, y no sea tan buena idea llevar todo a “la nube”, con la cantidad de datos personales que manejamos. Aquí el tamaño sí importa. Manuel Carpio Cámara: En realidad la decisión de ir o no ir a “la nube” es una cuestión de puro Centro de Investigación para la Gestión Tecnológica del Riesgo Si los chinos están en entornos cloud y EE UU también; si los indios y los brasileños se dirigen a ella… en Europa no podemos estar pensando si vamos a “la nube” o no. Nos puede pesar en un futuro no hacer nada ahora. Idoia Mateo Murillo: Estoy de acuerdo con usted, Sr. Carpio, en que al final todos acabaremos yendo a “la nube”; pero también estoy de acuerdo con el Sr. Llorente sobre el hecho de que “la nube” no es apta para todos los servicios, y, desde luego, probablemente no lo es para nuestro core de negocio. Nosotros como entidades financieras y como entidades del negocio energético, tenemos una terrible presión reguladora y auditora. Y como bien dice las tecnologías están ahí… llevamos años como responsables de seguridad, montando un SOC, dando miles de evidencias al año, pasando miles de auditorías. Estamos en un modelo confortable y no creo que todo sea externalizable, la esencia de nuestro negocio no, en mi opinión. 83
  84. La lucha tecnológica contra el fraude organizado Otra cosa es el despliegue de un proyecto concreto y puntual, de, por ejemplo, unos ocho meses. Ahí sí, porque será más rentable desplegar una infraestructura rápida en un entorno cloud que montarla físicamente. Pero no así en el core de mi negocio. Manuel Carpio Cámara: Me está dando argumentos de negocio, y eso es lo que yo quería. No creo que tengamos que dejarnos llevar por un miedo atávico de ir o no a “la nube”, ni tampoco por la moda de que muchos ya están ahí (hay empresas que están externalizando el correo en la cloud porque lo están haciendo otras compañías de renombre) sin plantearse métricas de costebeneficio. Yo lo que pido es rigurosidad a la hora de tomar estas decisiones. Justo López Parra: Estoy de acuerdo con casi todo lo expuesto. Y también creo que será el negocio el que nos diga si vamos o no vamos a “la nube”. Otra cosa será lo de poner seguridad en el entorno cloud, que eso ya nos supondrá más de un problema. Lo que creo es que sí habrá una parte de nuestro negocio que estará en “la nube”; pero también habrá otra que no, porque será muy complicado poner seguridad en esos entornos. Guillermo Llorente Ballesteros: Que el negocio lo pide… ¿qué negocio?, vuelvo a decir… Vamos a ver, yo soy de negocio, de tecnología no tengo ni idea… ¿Ustedes creen de verdad que mi presidente o mi vicepresidente están pensando si llevarse la tecnología a “la nube”? Ellos no lo 84 Curso de Verano 2011 piensan. Solo lo piensan si se juntan con el de usted, Sr. Carpio y se lo comenta. Cuando le dice que tiene un servicio estupendo que le va a ahorrar mucho dinero. Y mi jefe dice “estupendo”. Y yo digo que también. El problema estriba, igualmente, en cómo medimos cuánto dinero me ahorra, y quién entonces asumirá el riesgo. ¿Tengo entonces que ser menos exigente con Telefónica o BT de lo que lo soy con mi sufrida gente de producción? Lo que yo considero es que no todas las tendencias son positivas. Tampoco digo mirar para otro lado. Lo que digo es que hay que evaluarlas y entonces, ya veremos. Ya sabemos que Google te ofrece correo a 60 dólares, sí; pero ¿sabes que no te garantiza la recuperación del correo? Parece que tienes que recurrir a un acto de fe… “Me llamo Google y seguro que te mantendré el correo, pero si no…”. Lo que sí me produce indignación es que alguien me quiera vender una moto y no me deje preguntar qué cilindrada tiene. Y me diga: “hombre, pero si es una Harley…” sí vale, lo sé, y me parece estupendo… pero ¿qué cilindrada tiene? ¿Es tuya o es mía? ¿Dónde estará guardada? Manuel Carpio Cámara: Conviene aclarar que “la nube” así dicho en genérico son muchas “nubes”. Hay nubes grises, nubes blancas, nubes negras… hay muchos tipos de nubes, y hay muchas formas de externalizar infraestructuras y servicios. Lo que quiero decir es que una cosa es Google, una versión barata y grosera de “la nube”, y otra cosa es un servicio serio con sus SLAs. Centro de Investigación para la Gestión Tecnológica del Riesgo
  85. Curso de Verano 2011 Francisco Javier García Carmona: Es, como decía yo antes, un cambio de paradigma. Un cambio de modelo tecnológico a un modelo de pago por uso. No consiste nada más que en eso. El negocio no tiene que hablar en clave de seguridad, sino en clave de servicio, de nivel de servicio. Idoia Mateo Murillo: Opino que los riesgos de seguridad no son del negocio, son nuestro problema. Por ejemplo, en “la nube” que propone Google el problema está en que no dejan auditarla, sus cláusulas lo impiden. Las empresas financieras estamos sujetas a muchas regulaciones, y hemos de cumplir con lo planteado en muchos países. Entonces, cuando lo tenemos nosotros intentamos cumplir con mil normativas, controles, y evidencias… pero cuando está en “la nube” no podemos hacerlo. DEBATE En el pueblo de mi familia en Mallorca, no existía agua canalizada y tenían sus aljibes de agua. Cuando llegó el agua canalizada, siguieron manteniendo los aljibes, por si acaso… ¿Mantengo yo también mis infraestructuras por si “la nube” no resuelve del todo mis necesidades? La lucha tecnológica contra el fraude organizado Manuel Carpio Cámara: No somos nosotros quienes decidimos si queremos ir o no a “la nube”. Las cosas están así, y puedes reconocer esto y unirte o no unirte. Vale, son decisiones de negocio, vamos donde hay negocio, y si está en “la nube” pues allí iremos. No es algo que hayamos inventado nosotros, nos viene impuesto por la sociedad. Guillermo Llorente Ballesteros: Es justo lo que oí decir hace unos cuantos años a un profesional de las Cajas de Ahorros: “Es el mercado inmobiliario, hay que estar ahí…”. Manuel Carpio Cámara: Pues en ese caso nos caeremos, pero nos caeremos todos. Sobre esa idea que decía el Sr. Carpio antes de que “todos sabemos lo que es una cloud”, yo veo dos aspectos: una es la filosofía, la externalización; y otra es la tecnología, donde antes me conectaba punto a punto ahora lo hago a través de Internet. ¿A qué se refería entonces, Sr. Carpio, a la filosofía o a la tecnología de distribuir y virtualizar? Carles Solé Pascual: En el modelo estoy de acuerdo. Aquí hablamos de ir o no ir, y yo de lo que hablo es de qué pasar y qué no pasar. Manuel Carpio Cámara: Hay muchos modelos de cloud: IAAs, SAASs, etc. Hay muchas tipologías de nube, y Google es solo una de ellas. Yo hablo de filosofía y de tecnología, de externalización en todo caso. Francisco Javier García Carmona: El problema hoy en día no es la “confianza”. Todos tenemos que entrar en “la nube”… y “la nube” tiene que adaptarse a los condicionantes del servicio, no tanto a los tecnológicos. Francisco Javier García Carmona: Yo creo que solo tenemos que hablar de filosofía. A mí no me importa cómo reciben mi servicio y cómo me lo van a dar. Lo que importa es que cumplas con una serie de requerimientos. Estamos hablando de Centro de Investigación para la Gestión Tecnológica del Riesgo 85
  86. La lucha tecnológica contra el fraude organizado cloud y de externalización… no hay nada nuevo bajo el sol. Es una gran crítica que hay que hacer a estos proveedores de servicios de externalización… Señores, sigamos llamando las cosas de la misma manera, no cambiemos la realidad porque estamos hablando de una única realidad. La seguridad en “la nube” Francisco Javier Puyol: Soy el único jurista de la mesa y por eso estoy callado. Se habla mucho de seguridad y de negocio y poco de derecho, pero es importante también definir jurídicamente los marcos. El concepto de nube es un concepto de evolución jurídica. Hay muchos elementos que están cambiando el panorama del derecho, ya que hay que regular las nuevas situaciones, la nueva sociedad y la nueva tecnología. Hasta ahora no se ha hablado mucho de “la nube”, y solo se ha abordado en regulaciones parciales. Hay que tener muy presente qué es exactamente “la nube”: es información, son infraestructuras, son aplicaciones y son servicios. Con lo cual habremos de regular sobre la base de estos cuatro conceptos y ver qué normativa es aplicable. Pero me encuentro con regulaciones sectoriales parciales sobre cada uno de los conceptos, y lo que necesito es una regulación global. En todo caso, sobre las normas a aplicar… hay que tener también en cuenta que no es lo mismo una nube a pequeña escala que otra a gran escala y con un importante número de servicios. Tampoco es lo mismo una nube nacional que otra 86 Curso de Verano 2011 internacional… ¿Qué jurisdicción aplicaríamos? ¿Nos referimos solo de prestadores de servicios y servicios prestados a empresas o también en relación a clientes o a consumidores? Aquí estoy hablando desde una perspectiva sustantiva, pero también desde una perspectiva de protección de datos, frente por el que tenemos que velar por ella. Y aquí se tienen que aplicar los mismos parámetros, desde jurisdicción a normativa aplicable. Hoy en día se discute mucho sobre estos temas, pero “la nube” tendrá que estar también acompañada de aquellos desarrollos legales que nos permitan destinarla a todo tipo de servicios, de aplicaciones y a todo tipo de infraestructuras. Y todos sabemos que cuando salimos de la Unión Europea y de los puertos seguros, nuestros cimientos tiemblan. Este proyecto es muy interesante, pero estamos desacompasados con la normativa jurídica. Idoia Mateo Murillo: Estoy de acuerdo en una cosa. Me parece muy importante conocer dónde está nuestro proveedor en “la nube”, porque ahí hay un marco aplicable y la cloud albergará no solo datos de carácter personal, sino que tendremos otro tipo de información que también tiene que cumplir con la normativa. Para mí es importante saber físicamente dónde está mi proveedor de nube, porque tendré que resolver la cuestión de qué CPD mostraré a los reguladores y los auditores. Francisco Javier Pujol: Y, por supuesto, también es importante que los reguladores nos apoyen. Centro de Investigación para la Gestión Tecnológica del Riesgo
  87. Curso de Verano 2011 Nosotros podemos tener una regulación impecable, pero si no tenemos el visto bueno de los reguladores… Podemos plantear una cuestión a la AEPD a ver qué manifiesta: qué ocurre si presentamos un contrato donde nuestro proveedor no está identificado en una dirección física… podría estar en Tanzania… La AEPD nos dirá que no es legal y nos requerirá el lugar concreto donde se encuentre. Carles Solé Pascual: Y más allá de la falta de seguridad en determinados sitios, también están las normas de los distintos gobiernos. Si se envían datos a EE UU o a China, estos gobiernos requieren que esta información sea visible… así que también estamos hablando de un problema de confidencialidad. Francisco Javier García Carmona: Como decía, hablamos de este tema en dos claves: la de confidencialidad y la de privacidad. Nosotros trabajamos en muchos lugares distintos del mundo y redunda en un cúmulo de complejidades. Al final, creo que se beneficiarán los países que estén dentro del paraguas de los que se llaman “puertos seguros” o “sitios de confianza”. Es infinitamente complejo y aquí ahora se van a emplear a fondo los abogados y la AEPD, para todo lo que se les avecina. Francisco Javier Pujol: La lectura legal de todo esto es potenciar el desarrollo normativo de los diferentes mercados y no solamente como mercados regulados, donde las empresas puedan competir en situación de igualdad y donde exista una regulación moderna. Nos encontraremos con dificultades según vayamos Centro de Investigación para la Gestión Tecnológica del Riesgo La lucha tecnológica contra el fraude organizado o hagamos transacciones a unos países y otros. La única forma es que se creen más puertos seguros y se regularicen todas las situaciones posibles. DEBATE Los datos están protegidos no solo cuando se encuentran en un lugar con las mismas leyes que tu país, sino que puede haber otros modelos: puerto seguro de EE UU, donde es cierto que las leyes son muy diferentes de las europeas pero existe la opción de que las empresas se adhieran a otras legislaciones más equiparables., ¿Qué opina, Sr. Puyol, acerca de estos modelos? Francisco Javier Pujol: Estamos en un periodo de transición normativa. Tiene que haber un cambio de filosofía en la regulación de datos que hoy conocemos. Hasta ahora solo hemos abordado la perspectiva del ciudadano, y ahora hemos de incorporar nuevos desarrollos que den respuesta a otros entornos, como “la nube” o las redes sociales. Y eso ya no lo podemos abordar desde una perspectiva local. En una primera fase buscaremos mercados regulados, donde las empresas puedan competir en condiciones de igualdad y no haya un canibalismo con los datos de las personas. Y se necesita que la seguridad, aun siendo un aspecto fundamental, no resulte el único con el que abordar este escenario. Tenemos que perder también esa sensación de normativismo, de localización… estamos poniendo puertas al campo. 87
  88. La lucha tecnológica contra el fraude organizado ¿Piensan que es más segura una tarjeta de crédito contratada con el Santander o BBVA o con el Citibank de Nueva York, que, a diferencia de las europeas, puede llevar sus datos a cualquier parte del mundo? Francisco Javier García Carmona: Si se cumplen estándares internacionales, me da lo mismo dónde lo contrates. Guillermo Llorente Ballesteros: Hay gran preocupación por la privacidad de los datos, y también por la disponibilidad y confidencialidad de los mismos. Mi percepción es que estas dos entidades, Santander y BBVA, tienen un grado de seguridad superior que el ofrecido por la banca norteamericana en general. Manuel Carpio Cámara: Si nos atenemos únicamente a lo regulatorio, las tres están bajo la losa de las PCI DDS, así que digamos que están a la par. Otra cosa es la percepción de la privacidad que tenemos en Europa y en EE UU (donde actualmente se está tramitando una LOPD). En Europa, espacio en el que la privacidad sí es un derecho fundamental, las empresas no quieren que nadie juegue con sus datos, mientras que en EE UU la privacidad se entiende como el “derecho a que me dejen en paz, sobre todo el gobierno, que no se metan en mi vida privada”. Idoia Mateo Murillo: Necesitamos la misma flexibilidad que los americanos, que seguro que tienen el mismo control de accesos y la misma tecnología, pero más flexibilidad para operar. 88 Curso de Verano 2011 Manuel Carpio Cámara: El problema es la flexibilidad, en efecto. En Telefónica hemos tenido reuniones sesudas donde hemos discutido sobre si la LOPD nos permitía compartir los listines del lotus notes de un compañero de otra parte del mundo. Y que resulta que saber el nombre, apellidos y teléfono de un compañero de Perú es transferencia internacional de datos. ¿Qué piensan de la compatibilidad entre “la nube” y la ley de Protección de Infraestructuras Críticas? Guillermo Llorente Ballesteros: Lo crítico lo queremos tener controlado. Estamos externalizando un servicio que lleva asociado unos datos, y ya no estamos dependiendo de nosotros mismos para la continuidad del negocio. Manuel Carpio Cámara: “La nube” tiene una ventaja fundamental. Si tú eres un terrorista y quieres saber dónde estrellar un camión cargado de explosivos, eso en “la nube” no se sabe. Las operadoras europeas nos hemos unido en un acuerdo global para tratar de que la ley española y la europea sobre protección de infraestructuras críticas no se conviertan en un freno a “la nube” por esto, por una mala interpretación del problema de la seguridad. Creo en la cloud, si lo que buscamos es la disponibilidad. Lo último que haría sería meter todo en un bunker porque los “malos” lo tendrían localizado. Idoia Mateo Murillo: Al final, el problema es la continuidad de negocio. Y es un tema de deslocalización: el terremoto en Chile no nos Centro de Investigación para la Gestión Tecnológica del Riesgo
  89. Curso de Verano 2011 afectó porque el host está en España. Ahora mismo hago pruebas de contingencias anuales, tengo recuperación de desastres local y nacional, pero si está en “la nube”, no sabemos qué nos va a suponer. Justo López Parra: A nosotros sí nos ha tocado. Nuestros sistemas informáticos que dan soporte a la generación y distribución eléctrica, que tienen un nivel de seguridad muy alto, están en una red separada. Pero nunca es incompatible con llevárselo a “la nube”. Francisco Javier García Carmona: En este apartado, sí podríamos referirnos a determinados servicios que los entornos de producción pudieran tener externalizados, en esto de las infraestructuras críticas y “la nube”. Para los críticos, sin embargo, no hay esa mentalidad. Lo que pueda ser crítico habrá que atarlo y reatarlo con acuerdos de nivel de servicio adecuados. ¿Piensan que se puede evitar que el ciudadano vaya a “la nube”? Dos ejemplos: el año pasado Google y Apple desbancaron a Nokia como primer fabricante de teléfonos móviles; y Paypal, que es una empresa de “la nube”, es el banco que gestiona el 50% de los pagos por internet. Idoia Mateo Murillo: Se trata de un relevo generacional. A la gente joven le da igual si es seguro, utilizan los servicios y lo seguirán haciendo en el futuro. Para ellos, la seguridad en “la nube” será como un commodity. Francisco Javier Pujol: Esto es un juego de oferta y demanda, de prestación de servicios, de Centro de Investigación para la Gestión Tecnológica del Riesgo La lucha tecnológica contra el fraude organizado garantía. Es un juego reputacional. El conjunto de todos estos factores hará que el consumidor opte por una empresa de corte tradicional o por una en el entorno cloud. En mi opinión, no tiene más lectura que un tema de ajuste de oferta y demanda. Guillermo Llorente Ballesteros: ¿Y por qué Paypal es el banco de “la nube”? Porque la percepción del ciudadano es que es más seguro. Parece que los que tienen miedo de entrar en “la nube” son las entidades financieras… Manuel Carpio Cámara: Creo que es una oportunidad. Anonymous nos atacó el fin de semana pasado y hemos sabido defendernos. En cuanto a las infraestructuras críticas, donde en la ley también se dice “contra ataques no deliberados”, el catálogo elaborado al efecto nos coloca en tercera línea de playa (en primera están las eléctricas y la energía; y luego los transportes). Nosotros creemos fehacientemente en las posibilidades de “la nube”. Lo venimos soportando desde hace tiempo, no es nada nuevo, y estamos encantados de que ustedes contraten en “la nube”. No hay razón para agobiarse ni para tener miedo… Guillermo Llorente Ballesteros: A mí sí me agobia, porque lo que se planta es hacerlo con el corazón de mi compañía. Y yo no estoy tranquilo. Una última reflexión: volviendo sobre Paypal: yo puedo darme de alta como Juan Carlos I Rey de España y no tiene por qué verificar mi 89
  90. La lucha tecnológica contra el fraude organizado identidad. Como industria, ¿vamos a tener que competir con modelos no regulados? ¿Vamos a tener la capacidad, como corporaciones, como multinacionales, de luchar y competir contra esas nubes? Idoia Mateo Murillo: O nos ayudan los legisladores y las normativas, o será imposible. Nosotros tenemos que tener trazabilidad de nuestros clientes, saber cómo se llaman, conocer sus DNIs, hemos de guardar su información por un tiempo concreto, etc. Contra esto que se plantea no pueden competir ninguna de nuestras entidades. Francisco Javier Puyol: Creo que los reguladores son importante pero no determinantes en este tema. Yendo más allá, lo estamos comprobando día a día con las noticias económicas, y con las relacionadas con entidades financieras: el mundo está cambiando y la sociedad nos está 90 Curso de Verano 2011 exigiendo un cambio. Ahí está el quid de la cuestión. Pensamos en autenticación, pero al final tendremos que evolucionar más y desarrollar sistemas que sean mucho más ágiles y que nos permitan estar en igualdad de condiciones con estas empresas que tienen un nivel de seguridad jurídica muy escaso y una importante ausencia de regulación. Manuel Carpio Cámara: Es lo que dice Javier. A nosotros lo que nos ocurre es que luchamos con un brazo atado a la espalda, y no es justo. Francisco Javier García Carmona: Hace poco vi un reportaje sobre un fabricante alemán que hablaba de por dónde irá la tecnología de aquí a 15 años. Todos nuestros datos estarán en “la nube”. Y también estarán las nuevas tecnologías RFID y los servicios de geolocalización. La privacidad en el ámbito personal, que ya no empresarial, va a ser “menos 10”. Centro de Investigación para la Gestión Tecnológica del Riesgo
  91. Curso de Verano 2011 La lucha tecnológica contra el fraude organizado UNDERSTANDING AND MANAGING SAAS AND CLOUD COMPUTING RISKS Tom Scholtz (VP Distinguished Analyst Gartner) no de los temas más novedosos y apasionantes para nosotros los analistas es, sin duda alguna, el mundo cloud. Estos entornos se han erigido como la nueva panacea en el mundo de la seguridad de la información y los clientes necesitan entender cuáles son sus oportunidades, así como sus riesgos e incertidumbres. Aunque no lo parezca con lo que voy a exponerles en mi exposición, soy un defensor de “la nube”, creo en sus beneficios, no estoy en contra de un progreso tan importante como el que supone, pero sí soy muy crítico con los costes que tiene asociados y que pueden influir negativamente en nuestros negocios. No se trata de decir “no” Centro de Investigación para la Gestión Tecnológica del Riesgo a la tecnología, sino de ayudar a los clientes a comprenderla mejor. Qué valoran las empresas de “la nube” La situación de crisis en la que nos encontramos hace que las organizaciones trabajen por una mayor efectividad de costes en los servicios de informática, y esta valoración, el ahorro asociado, es una de las principales consideraciones que aluden los clientes a la hora de optar por una infraestructura cloud. Pero los costes no son ni la única ni la más importante consideración que las organizaciones tienen en cuenta a la hora de optar por estos 91
  92. La lucha tecnológica contra el fraude organizado entornos. Preguntados en una de nuestras encuestas anuales por cuáles son los requerimientos que tienen en cuenta cuando se plantean contratar servicios en “la nube”, las compañías apuntaron cuestiones como la seguridad, la privacidad, la fiabilidad, el riesgo de negocio y la pérdida de control. Esto demuestra que más allá de su inquietud inicial, existe una sana comprensión sobre lo que “la nube” significa y una preocupación también sobre los riesgos potenciales asociados con el uso de estos modelos. Dos caras de la misma moneda: más potencial y más incertidumbre En mi opinión, la informática de nube, como muchas otras cosas, tiene en su definición dos perspectivas, como si fueran las dos caras de una misma moneda. Por un lado, nos encontramos con un medio muy atractivo que nos impulsa a utilizar todo su potencial. Y es que aquí, pensando como hombres de negocio, podemos argumentar que por qué no pagar por estos servicios como lo hacemos por otro tipo de servicios públicos. Muchos conciben los servicios de informática en “la nube” como los de electricidad, agua u otras utilities, y se preguntan entonces por qué no realizar el pago por uso igual que hacemos en el resto de estos servicios, y no gastar grandes cantidades de dinero en infraestructuras complejas y fijas. La otra cara de la moneda, sin embargo, es que “la nube” es, en esencia, un mecanismo de subcontratación. Y todos sabemos que si se subcontrata se pierde el control directo de las acciones de seguridad referidas a la protección de nuestra información. Y estando subcontratado, 92 Curso de Verano 2011 uno de los mayores retos de “la nube” es la falta de transparencia para el cliente. Nosotros no podemos entrar a validar estos servicios que nos ofrecen para gestionar nuestra seguridad, no podemos controlar apenas ni el proceso ni el resultado, no conocemos los procedimientos de contratación de quien suministra el servicio. Cuando lo subcontratamos, lo estamos poniendo en manos de otros, con todo lo que ello significa. Con todo el incremento de incertidumbre que supone. Y por esto, entonces, también nos supone mayor dosis de riesgo. Riesgos: tecnología y personas Entonces, ¿cuáles son los riesgos más peligrosos de “la nube”? Estamos hablando de economías de escala, sacando cargas de trabajo de servidores dedicados, utilizando entornos de cargas dinámicas de trabajo y optimizándolas para ofrecer el mejor servicio al mejor precio… y todo esto nos plantea una cuestión primordial: ¿quién se va a encargar de que mi carga de trabajo opere efectivamente en un entorno virtualizado? ¿Que mi carga de trabajo vaya a ser trasladada para optimizar el rendimiento? ¿Cómo sé que las personas que trabajan para apoyar estos servicios han sido debidamente seleccionadas y puedo confiar plenamente en ellas? Es cierto que mis colegas tecnológicos dicen que las tecnologías de virtualización tienen muy buenas herramientas. Pero no solo se trata de una cuestión de tecnología. También aquí es fundamental el comportamiento de las personas. Hay casos documentados que hablan de cómo algunos administradores de “la nube” accedían de Centro de Investigación para la Gestión Tecnológica del Riesgo
  93. Curso de Verano 2011 forma no autorizada a información personal del correo electrónico suministrado. De este modo, no solo tenemos que comprender y resolver temas de tecnología, sino también de comportamiento de las personas. Y ese es el gran dilema: la tecnología nos puede ofrecer formas de controlar el procedimiento, pero hay otros aspectos que necesitamos que funcionen también de la forma más optimizada posible. Y se trata de las personas, de cómo podemos garantizar la integridad de las personas que acceden a nuestras instalaciones y datos. Otro gran asunto es el relacionado con la recuperación de los datos. ¿Cómo va a conseguir el proveedor de nube optimizar estas capacidades de recuperación? Existen voces en la industria que transmiten el mensaje de que la localización de los datos no importa, de que es indiferente. Y otras, al mismo tiempo, que aseguran que no necesitamos contar con ninguna infraestructura de apoyo, ya que matizan que existen tal cantidad de copias de los datos que, si algo va mal, en una parte del mecanismo de almacenamiento vamos a tener otra copia redundante de información… y muchas veces no nos damos cuenta de que la infraestructura no ha estado nunca disponible. Siempre existe otra versión disponible de los datos en otro lugar. Pero, cuidado. Porque se han dado casos de ataques al sistema de correo para corromper el sistema deliberadamente. Aquí no hay apoyos asíncronos para los clientes, todos los apoyos están on-line, de manera que todos fueron destruidos como consecuencia del ataque de los hackers. Centro de Investigación para la Gestión Tecnológica del Riesgo La lucha tecnológica contra el fraude organizado De este modo, cuando alguien nos diga que la localización de los datos no importa, seamos cautos, porque depende. Si estamos sujetos a la legislación de la Unión Europea, sí importa dónde esté localizada la información. Si nos encontramos fuera del ámbito de acción de la Unión Europea atenderemos a unas implicaciones legales en cuanto a la privacidad de datos. Y el asunto es que si esos datos son replicados vamos a tener toda esta cantidad de copias de la información entiempo real, y ¿qué ocurre si decidimos cambiar de un sitio a otro? ¿cómo vamos a conseguir recuperar todos los datos? Es como lo que les decimos a nuestros hijos en relación con Facebook, que tengan cuidado de lo que allí escriben, porque puede que no puedan borrarlo jamás y eso dañe su futuro. Sobre el cloud es parecido, ¿Cómo podemos saber cuántas versiones de nuestros datos van a estar flotando por ahí? ¿Serán accesibles para otras personas? Dos perspectivas del outsourcing: la responsabilidad no se subcontrata y no se subcontrata lo que no se entiende Dicho todo esto, no me cansaré de recomendar precaución con las personas a las que escuchamos. Tenemos hombres en la industria que confunden, que dicen que no importan dónde están localizados los datos y que no es necesario contar con un apoyo asíncrono. Y hay que tener especial cuidado porque esto viene a contradecir los dos principios esenciales del outsourcing: que nunca podemos subcontratar la responsabilidad de proteger a 93
  94. La lucha tecnológica contra el fraude organizado nuestras organizaciones, y que jamás se debe subcontratar lo que no se entiende. Con respecto al primer punto, desde una perspectiva de seguridad, nunca se puede subcontratar la responsabilidad de la seguridad de la información. Tengo que garantizar que el riesgo es gestionado de un modo suficientemente correcto y adecuado. Podemos subcontratar las operaciones, la ejecución, la integración, pero no la responsabilidad de proteger la información. Y un buen ejemplo de ello sería, por ejemplo, lo que ocurrió en el Golfo de México con el vertido de BP. En realidad, las operaciones las había contratado esta compañía a un total de cinco empresas distintas; pero ¿a quién se consideró culpable? Por supuesto a BP, y no a los subcontratistas. Con respecto a la segunda perspectiva, no hay que ser tan ingenuos como para subcontratar lo que no entendemos. Es como entregar un cheque en blanco. ¿Cómo vamos a saber cuánto pagar por un servicio si no entendemos las tecnologías y el proceso de lo que hacemos? Esto nos lleva a lo siguiente: que hay muchas tecnologías novedosas y seguramente no tenemos información y formación suficiente para valorarlas en su justa medida. Más de un modelo De todos modos, hemos de partir de la idea de que “la nube” no se define en un único modelo, sino que existen diferentes versiones y necesidades. Y la elección de unas u otras influye directamente en el nivel de control y de responsabilidad que tengamos sobre las acciones 94 Curso de Verano 2011 de seguridad. Si operamos más que en función del software como servicio en función de la plataforma como servicio, las responsabilidades estarán compartidas, y el proveedor tendrá en este caso una mayor responsabilidad sobre una gran parte de las operaciones. El mensaje importante es que tenemos que comprender la naturaleza del servicio y comprender cómo se van a plasmar las responsabilidades de seguridad en la práctica. Pero, eso sí, recordando siempre, que al margen del modelo nunca podremos subcontratar la responsabilidad, solo algunas de las operaciones. Y el proveedor, por su parte, habrá de ser capaz de validar si está cumpliendo o no con éxito las tareas encomendadas. En el tema de los proveedores de nube, también nos encontramos con un espectro muy variado de jugadores. Tenemos proveedores que, viniendo del lado del negocio, comprenden nuestras necesidades de negocio; y otros que, desgraciadamente, vienen del lado del consumo y su actitud es otra: la de ofrecer el servicio sin más, la de “no se preocupe y firme aquí”, pretendiendo que no quieras saber más sobre el contrato ni sobre cómo van a garantizar la seguridad de los datos. No les puedes preguntar cómo van a abordar la protección de tu información ni pedirles que te demuestren cómo gestionan los mecanismos de recuperación ante desastres. No te lo dirán porque consideran que eso no tienes por qué saberlo. El mensaje es que cuanta más información y más control interno tengamos, más fácil será verificar Centro de Investigación para la Gestión Tecnológica del Riesgo
  95. Curso de Verano 2011 los controles. Se trata de conseguir unos niveles menores de incertidumbre y, por ello, de tener finalmente también menos riesgo. La verificación lo es todo. Puedes tener más capacidad de escala, tener todos los recursos para lograr un entorno más seguro, etc., pero el problema está en la capacidad de verificación, de pasar pruebas de vulnerabilidad, hacer auditorías en nuestro nombre. Tenemos que darnos cuenta de que el negocio tiene que comprender que hay diferencias de riesgo basadas en nivel de información, y esto suponiendo que el proveedor de servicios esté dispuesto a facilitarnos los datos necesarios. Entonces, ¿qué es lo que pueden darme estos mecanismos de control? Pueden darnos la oportunidad de controlar la protección de los datos confidenciales e identificar la gestión de accesos e identidades, pudiendo llegar a conocer quién tiene acceso a qué, y desde dónde. Este último control puede resultar útil para retirar los accesos a aquellos empleados del proveedor de servicio cuando abandonan la empresa. En definitiva, no se trata de que el proveedor tenga o no tenga las herramientas, sino de que haga o no uso de ellas. De que cumplan con los requisitos y las necesidades del cliente, de compartir el proceso de monitorización y de demostrar el proceso de gestión de incidentes. En realidad, si comparamos el coste de realizar un servicio inhouse con el coste que supone subcontratarlo a un proveedor de nube, veremos que es bastante más bajo en este segundo caso. Centro de Investigación para la Gestión Tecnológica del Riesgo La lucha tecnológica contra el fraude organizado Pero lo que hay que tener también en cuenta es si estamos dispuestos a invertir recursos para contar con garantías adicionales que nos ayuden a controlar los riesgos. Porque al final puede resultar que “la nube” se convierta en una opción más cara, o a lo sumo, que la diferencia entre ambas propuestas no sea tan grande. En este contexto, he escuchado en algunas reuniones que muchas veces los costes asociados a “la nube” en términos de incremento de la seguridad, o la mayor amplitud del ancho de banda necesaria, pueden haber llegado a suponer unos gastos muchas veces similares a los de ofrecido ese servicio desde casa del cliente. Seguramente estemos pensando en subcontratar uno o dos proveedores de tecnología y servicios en el cloud, pero muchas veces se termina subcontratando a un número mayor. En un estudio que hicimos en Reino Unido hace unos meses, nos encontramos con que la mayoría de las organizaciones ya utilizaban, como media, un total de 6 proveedores de servicio. Puede ocurrir que exista un lugar en Internet donde el volumen de datos sea muy alto y la sensibilidad asociada a los mismos sea, por el contrario, muy baja, como Facebook; pero, por lo general, por el uso de la aplicación, hoy la sensibilidad de los datos corporativos suele ser bastante más alta, y entonces tenemos que enfrentarnos con más riesgos. Podemos tener casos donde el valor de los datos sea muy bajo y la sensibilidad alta. Por ejemplo, si trabajamos en un departamento federal. Ahí 95
  96. La lucha tecnológica contra el fraude organizado creo que es una buena idea pasar todas las aplicaciones de seguridad a “la nube”. Aunque lo que haríamos sería bloquear la información más sensible, como los correos electrónicos o determinados informes en los que estuviéramos trabajando. También podemos encontrarnos con que la sensibilidad de la información es muy alta y también es alto el valor para el negocio. En este caso, tenemos que utilizarlo, pero gestionarlo. Un ejemplo serían las relaciones con los clientes, o las relaciones de venta. Este es un modelo simple, que nos muestra que la gente de seguridad no tiene que participar en todas las actividades de nube. Y llegados a este punto, ¿cuáles son los motivos clave que nos llevan a adoptar servicios en “la nube”? (antes veíamos en otra encuesta por qué adoptarlos). En esta ocasión, se apuntan requisitos de seguridad y privacidad, incluso más que la 96 Curso de Verano 2011 capacidad de crecer. Creo que el sentido común prevalece. En esencia, esto es lo que quería compartir con ustedes. “la nube”, la infraestructura, el software, son modelos válidos, que potencialmente otorgan mucho valor para el negocio. Sin embargo, tienen incertidumbres asociadas. La forma en la que las tecnologías están siendo utilizadas y la forma en que cambian la operativa del trabajo y la gestión de las cargas de trabajo ofrecen una mayor incertidumbre, por eso tenemos que estar especialmente atentos a cómo están siendo gestionados todos estos escenarios. La informática de nube es buena, estoy a favor, aunque tenga unos riesgos adicionales asociados a la tecnología. Creo que existe una oportunidad para nosotros como responsables de seguridad. Con precaución, pero mirando hacia las oportunidades. Centro de Investigación para la Gestión Tecnológica del Riesgo
  97. Curso de Verano 2011 La lucha tecnológica contra el fraude organizado LA COEVOLUCIÓN DARWINIANA (como estrategia en la innovación tecnológica aplicada a la gestión de riesgos) Santiago Moral Rubio (Director de Riesgo IT, Fraude y Seguridad del Grupo BBVA) odos recordaréis aquel concurso llamado “Un, dos, tres…”, donde había que elegir entre tres opciones (dos calabazas y un apartamento en Torrevieja) y que imita al conocido como “juego de la cabra”. Con el juego que propongo se explica que el porcentaje de posibilidad que tenemos de conseguir el apartamento en Torrevieja o el regalo que esté escondido en la tríada cambia si, siendo la primera carta descartada una calabaza o una cabra, y quedándonos dos cartas a elegir, modificamos nuestra elección inicial. Es decir, si tenemos las cartas A, B y C, y hemos de elegir una pensando en que sea el apartamento en Torrevieja: ¿qué posibilidades tenemos de Centro de Investigación para la Gestión Tecnológica del Riesgo conseguirlo? Parece que 1/3 y es cierto. Pero… y si elegida A, descartamos, por ejemplo, la carta B y esta es una calabaza… y ahora nos quedamos con A y C: ¿tendré el mismo porcentaje de probabilidad de conseguir el apartamento si sigo quedándome con la elección A o aumentará si me cambio a la opción C? Todos ustedes dirán que da igual, pero no. Si modificamos nuestra elección primera justo ahora, las probabilidades de conseguir el apartamento aumentan hasta 2/3. A muchos les parecerá palabrería, pero si aplicamos el juego de la lógica comprobamos que así es y, de paso, comprobamos “lo idiotas que somos los humanos, que estamos incapacitados para razonar sobre acontecimientos de origen distinto. Creemos que en la tercera ronda tenemos 97
  98. La lucha tecnológica contra el fraude organizado el 50% de posibilidades y que mi historia pasada no cuenta. Pero yo les digo que sí. De modo que si en un juego os quitan el malo, cambiad siempre, doblarán ustedes las posibilidades de acertar”. Creencias sin contrastar: lo que no es Casandra Ahora haremos otro juego. Probad a decir “bronca” veinte veces seguidas. Ocurrirá que llegará un punto en que no sé cuántas veces habré dicho realmente “bronca” o el taco en el que todos están pensando, y es que tendemos a creer que la causa de la vigésima sigue siendo la misma que la primera y, posiblemente, no sea así. Visto esto, otra pregunta: ¿Qué piensan que es más seguro, un token o una tarjeta de coordenadas? Todos pensarán que un token. Pues bien, no es así, aunque parezca lo contrario. Lo cierto es que es más sencillo diseñar un caballo de Troya para atacar la seguridad de un acceso bancario mediante token, donde se establecería una comunicación unidireccional, donde el usuario estará dándole todo el tiempo información al hacker aunque no lo sepa, que mediante una tarjeta de coordenadas. Más preguntas: ¿Alguien puede decirme de donde viene la idea o creencia de que hay que cambiar las contraseñas de vez en cuando? Quizá en los primeros sistemas de información esto tenía sentido, significaba que la contraseña “hola” siempre daba el mismo resultado… con lo cual era muy fácil construir un diccionario inverso de contraseña. Pero en el fondo es algo no contrastado y todos nos hemos inventado un 98 Curso de Verano 2011 montón de justificaciones mentales para seguir defendiendo esta idea no contrastada. Todo esto en el fondo se resume en el mensaje que lanzó Víctor Chapela en su exposición: “Las unidades de riesgo con las que pensamos raramente las hemos contrastado. En el 90 y tantos por ciento no las comprobamos… son memes que nos metieron a capón”. Esto es lo que intentamos con el modelo Casandra… con el que nos forzamos a analizar las verdades, no las creencias. La esencia del modelo es esa: si conseguimos diferenciar qué hacemos de verdad para defendernos y qué hacemos siguiendo “memes” o la moda o lo que “nos toca hacer”, posiblemente tendremos oportunidad de poner a nuestras empresas y naciones por encima de la competencia, al reducir el coste operacional del riesgo y reducir el coste operativo de la empresa. Innovación-coevolución Cambiando ahora de asunto nos adentraremos en el concepto de la coevolución, en torno al que hemos creado nuestro Centro de Investigación para la Gestión Tecnológica del Riesgo (CIGTR); dicho concepto lo explicaré recurriendo al descubrimiento de una orquídea bautizada como “Estrella de Navidad”. En 1822 el botánico francés Louis-Marie-Aubert du Petit-Thouars descubrió en Madagascar esta orquídea, cuya característica más especial es que su espolón mide mucho más que el de cualquiera de sus congéneres, en total 29 centímetros de Centro de Investigación para la Gestión Tecnológica del Riesgo
  99. Curso de Verano 2011 longitud. El problema es que el botánico no encontró ningún polinizador que pudiera acceder al néctar ubicado tan profundamente, estando en el fondo y ocupando como mucho cuatro centímetros. En 1862, Charles Darwin en una obra sobre la fertilización de las orquídeas propuso una solución al enigma: el polinizador de la particular orquídea malgache debía ser una mariposa con una espiritrompa de una longitud de entre 25 y 28 centímetros. Pero como por aquella época no se conocía ninguna mariposa con una trompa tan larga, varios entomólogos ridiculizaron la hipótesis de Darwin. Hubo que esperar hasta 1910, para que Karl Jordan y Lionel Walter Rothschild encontrasen el insecto que polinizaba la orquídea “Estrella de Navidad”: una subespecie (raza geográfica) de la esfinge de Morgan. Y hasta hace 9 años, no había sido filmada nunca. Su nombre: la mariposa de las orquídeas predicha. He contado esta historia porque es curioso que alguien prediga un ejemplar al observar la existencia de otro. Y tras esto se enunció la teoría de la coevolución en 1980… que dice que hay especies que no hubieran evolucionado si a la vez no hubieran evolucionado otras especies junto a ella. Y en mi opinión, esto es algo que podemos trasladar a la idiosincrasia misma de la sociedad del conocimiento: ahora todo está relacionado, y la información que compartimos avanza un efecto en el receptor que permite la creación de nuevas “ideas” que seguir compartiendo. Centro de Investigación para la Gestión Tecnológica del Riesgo La lucha tecnológica contra el fraude organizado La sociedad del conocimiento cambia de paradigma: ya no vivo de mis ideas, sino de que mis ideas se difundan. Y esto significa que, en ese compartir, mis ideas se pueden enriquecer, y con ello crecer… Y en eso se basa nuestra filosofía en BBVA: si quieres ser grande, tu entorno tiene que ser grande. Hoy en día no vale que solo tú seas grande, no se puede sostener, por eso apostamos por un modelo de información donde compartes el conocimiento como eje central del movimiento; y en eso, precisamente, se fundamenta nuestro CIGTR, donde ya hemos empezado a tener resultados. Veamos, pues, qué resultados ha dado la coevolución. Hace ocho años arrancamos en BBVA, junto con GMV, algunos proyectos innovadores, como el que bautizamos como Gesvult, que era un sistema de monitorización para tener controlado el perímetro de nuestra organización; y hace cinco años nacieron otros proyectos, fruto de un intercambio de ideas también con GMV. Empezamos a contarnos todo lo que creíamos que tenía que tener un cajero para ser seguro, y se desarrolló un software, que hoy se comercializa en el mercado. Y en la actualidad, por ejemplo, yo personalmente llevo varios años trabajando con Víctor Chapela en un libro que esperemos que salga algún día, donde unimos su gran experiencia en grafos y su percepción de que esa es la mejor forma de medir la seguridad, y mi aportación con mi libro sobre la teoría de juegos, ya que estamos convencidos de que en el futuro ambas cosas convergen. Lo que importa es el camino, no el resultado final. Importa lo que hemos disfrutado y lo que hemos 99
  100. La lucha tecnológica contra el fraude organizado aprendido. Tanto que yo ya no sé cuáles son aportaciones mías y cuáles del entorno. Objetivo del centro En este campo de la teoría de juegos, además, ya estamos trabajando en el CIGTR, junto con la Fundación de la Universidad Rey Juan Carlos, para el desarrollo de una metodología de este estilo. Y, paralelamente, estamos también trabajando con la Facultad de Matemáticas en un par de proyectos, en cuyo contexto destaco uno dedicado a la ampliación del modelo Casandra con una metodología de análisis basada en grafos. El objetivo del Centro es compartir la información y crear un conocimiento mayor con buenos científicos, en un espacio neutro. Pero ¿en qué está basado este sistema? Pues en la convergencia de tres puntos: empresas que tenemos datos y necesidades (para investigar hacen falta datos: si quiero diseñar un nuevo sistema de análisis de fraude, o tengo datos de fraude o es imposible); científicos que quieren tener más conocimiento; e industria que quiere tener más y mejor producto. Este Curso es el primer acto de escaparate del CIGTR. En adelante vamos a observar qué interés generamos en otras universidades, en proveedores, empresas de ingeniería, de consultoría, etc., que quieran trabajar con nosotros. Proyectos en marcha Hemos desarrollado, con la parte de Criptografía de Matemáticas, unos algoritmos de preservación 100 Curso de Verano 2011 de formato y un token, que nos ayudarán al cumplimiento de PKI. Asimismo, hemos ayudado a la compañía RSA, la División de Seguridad de EMC, a desarrollar hardware para entornos host, lo cual se suma a su gran experiencia en entornos distribuidos. Ya está diseñada una primera versión en nuestras instalaciones… Con todo esto, la mejora de conocimiento entre criptógrafos de BBVA y científicos de la Universidad ha sido espectacular. No sé si de este modelo sacaremos algo utilizable o no… pero lo que sí sé es que los expertos criptógrafos de BBVA son también ahora expertos en algoritmos de preservación de formato. No sé si haremos algo o instaremos a algún fabricante para que lo saque sobre hardware. También estamos trabajando con este Departamento en unos algoritmos que relacionan niveles de inversión con nivel de servicio para ver cómo se proyecta la caída del nivel de servicio cuando bajas el nivel de inversión. Es especialmente interesante en modelos de crisis. Por otro lado, y siguiendo con la enumeración de otras líneas de trabajo, destacaremos la de modelos de ciberbiometría, campo en el que hemos empezado a combinar parámetros del comportamiento de los usuarios junto con un reconocimiento biométrico en un modelo que llamamos “ciberbiométrico”, donde el comportamiento y la biometría se mezclan para poder tener un concepto que hemos bautizado como “autenticación natural”, y con el que ya estamos trabajando también en colaboración con otras Universidades. Centro de Investigación para la Gestión Tecnológica del Riesgo
  101. Curso de Verano 2011 En otro orden de cosas, y ya fuera del CIGTR, pero dentro del Plan de Innovación de BBVA, estamos trabajando en la fabricación de nuevos modelos de análisis de fraude basados en mecanismos disruptivos de inteligencia artificial, o de otros tipos de mecanismos artificiales. Aquí, por ejemplo, trabajábamos con una empresa californiana, Numenta, en un mecanismo de inteligencia artificial basado en el funcionamiento del neocortex y la memoria temporal jerárquica. Al mismo tiempo, trabajamos con GMV en otro proyecto utilizando inmunidad artificial, que nos está reportando muy buenos resultados. Llegados aquí tenemos que destacar que trabajamos en modelos productivos de tres fases. Hacemos primero una valoración de si el modelo puede funcionar; en la segunda fase, se construye para hacer una verificación formal de que el modelo puede aguantar; y en la tercera, ya se asume la construcción completa de lo que es un sistema donde ya se le pueda meter toda la carga de trabajo. En el acto de hoy estamos comunicando lo que estamos haciendo, y qué vamos a seguir haciendo… Los siguientes pasos se dirigirán a hablar con el resto de empresas de nuestro entorno. La lucha tecnológica contra el fraude organizado momento la Dirección del grupo nos forzó a que justificáramos de forma fehaciente qué es exactamente en lo que estábamos trabajando. La dirección nos apoyó en todas las acciones, pero a cambio había que justificarlas y razonarlas todas. Explicamos nuestra máxima: la segregación entre los datos y el aplicativo es cero, así que no sirve para nada tenerlo en redes distintas. Esta actitud nuestra de no dejar de cuestionarnos es la parte fundamental del ADN de nuestro Departamento de Seguridad. Nos cuestionamos las best practices, y cuando teníamos algo fundamentado, la Dirección nos apoyaba y mucho. Se trata de un comportamiento fractal de la seguridad, no lineal. Y hay un momento en que empezamos a romper esto de la causa-efecto para intentar ver más allá… y nos dimos cuenta que tenía que ver con la teoría de los juegos y empecé a leer el primer libro de teoría de juegos. Y ahora me gustaría hablar del modelo Casandra, que en sí mismo es uno de los mejores ejemplos que yo puedo poner de coevolución. En esencia, el modelo Casandra lo único que hace es cuestionarse los “memes” de los que hemos hablado estos días, y a partir de ahí, construye todo basándose en que ha de ser rentable. Está basado en el análisis de la realidad, que no puede hacerse sin conocimiento. Hicimos una base de datos en 2005 con todos los incidentes de seguridad que conocíamos de la industria, cuya parte pública se puso a disposición de INTECO hace unos años. “Cuando decimos que se haga o no se haga algo, cuando aconsejamos, no lo hacemos sobre opiniones, sino sobre hechos”. Si hacemos un poco de historia… en 2001, cuando estaba en un “círculo de confort”, tuve la suerte de tener como jefe a Javier Viñuales, y en aquel En esencia, respondemos a un esquema que hemos llamado “el dibujo del huevo frito”, donde vamos pasando de un círculo concéntrico a otro Modelo Casandra Centro de Investigación para la Gestión Tecnológica del Riesgo 101
  102. La lucha tecnológica contra el fraude organizado Curso de Verano 2011 según su impacto en nuestro negocio: pasamos de “cosas de seguridad que pueden pasar” a “cosas que han sucedido”, para después llegar a “cosas que han pasado en nuestro sector” y “cosas que me han pasado a mí”, para llegar a “cosas que me pasan con relativa frecuencia” y a, finalmente, “cosas que me pasan todos los días”. La pregunta fundamental es la siguiente: ¿dónde está el problema que queremos solucionar? Si está en el “me pasa todos los días” habrá que hacer lo que sea, aunque sea sin presupuesto, y de ahí ya se irá viendo en el sistema de priorización… para presupuestos, tiempo y recursos. ¿Y qué tiene que ver esto con la teoría de juegos? La respuesta se centra en el contexto de la intencionalidad y la coevolución en el caso del fraude (recuerden el ejemplo de la orquídea, cuya existencia “obligaba” a la existencia de una mariposa en concreto). Si hay fraude es porque resulta rentable, porque genera un beneficio a un atacante, bien sea económico, o bien de satisfacción moral. Es la esencia de este modelo. Esto se analiza con teoría de juegos… no sucede nada que no sea rentable para nadie, si no es un accidente. Y además, las formas en que suceden son las óptimas para el atacante. Sobre el resto, trabajamos con distintas metodologías también. Por ejemplo, con tecnologías de continuidad de negocio abordamos aquellas “que pasan poco”; mientras, recurrimos a métodos clásicos para aquellas que pasan “muy poquitas veces, pero cuyo impacto es increíble”. En la parte troncal de los problemas de seguridad, que tienen que ver con confidencialidad e integridad, es donde aplicamos el modelo Casandra. Y este es el modelo de razonamiento en virtud del cual diseñamos la política de seguridad, el modelo de control, etc. Dicho esto, voy a dar por concluido este primer Curso, donde no hemos pretendido llegar a conclusiones, sino abrir nuevas posibilidades y vías de comunicación. Esperamos haberlo logrado. 102 Veremos si es de interés repetir el formato en próximos años, y con qué contenidos. Muchas gracias a todos por sus aportaciones, y por las sinergias que nos va a proporcionar la coevolución. Centro de Investigación para la Gestión Tecnológica del Riesgo
  103. Curso de Verano 2011 La lucha tecnológica contra el fraude organizado ÁLBUM FOTOGRÁFICO Centro de Investigación para la Gestión Tecnológica del Riesgo 103
  104. La lucha tecnológica contra el fraude organizado I Curso de Verano 2011 Centro de Investigación para la Gestión Tecnológica del Riesgo
  105. Centro de Investigación para la Gestión Tecnológica del Riesgo Al curso asistieron más de un centenar de alumnos de distintos países. More than one hundred students from different countries attended the Course. Pedro González-Trevijano, Rector de la Universidad Rey Juan Carlos, pronunciando el discurso de apertura del Curso. Pedro González-Trevijano, Rector of the Rey Juan Carlos University, giving the Course opening speech. Course Opening. (Left to Right) Alberto Partida, Gary Warner, Francisco García Marín, Pedro González-Trevijano and Santiago Moral. Inauguración del Curso. (De izq. a dcha.): Alberto Partida, Gary Warner, Francisco García Marín, Pedro GonzálezTrevijano y Santiago Moral. Curso de Verano 2011 La lucha tecnológica contra el fraude organizado II
  106. III Adrian Davis, Principal Research Analyst of the Information Security Forum - ISF. Adrian Davis, Analista Principal de Investigación del Information Security Forum. Alberto Partida, Security specialist and author of the book “IT Securiteers. Setting up an IT Security Function”. Alberto Partida, Especialista en Seguridad y autor del libro “IT Securiteers. Setting up an IT Security Function”. José Antonio Mañas, Professor at the School of Telecommunications Engineering. University of Madrid. José Antonio Mañas, Catedrático de la ETSI Telecomunicación. Universidad Politécnica de Madrid. Gary Warner, Director of Research in Computer Forensics at the University of Alabama in Birmingham and member of the AntiPhising Working Group. Gary Warner, Director de Investigación en Forensía Informática de la Universidad de Alabama en Birmingham, y miembro del AntiPhishing Working Group. La lucha tecnológica contra el fraude organizado Curso de Verano 2011 Centro de Investigación para la Gestión Tecnológica del Riesgo
  107. Centro de Investigación para la Gestión Tecnológica del Riesgo Francisco Javier Puyol, Director of Corporate Litigious Legal Counseling of BBVA. Francisco Javier Puyol, Director de Asesoría Jurídica Contencioso Corporativa de BBVA. Ángel Trinidad Zaldívar, Commissioner of the Federal Institute of Information Access and Personal Data of Mexico. IFAI. Ángel Trinidad Zaldívar, Comisionado del Instituto Federal de Acceso a la Información y Datos Personales de México. IFAI. Artemi Rallo, Professor of Constitutional Law of the University Jaume I of Castellón, ex Director of the Spanish Data Protection Agency. Artemi Rallo, Catedrático de Derecho Constitucional de la Universidad Jaume I de Castellón, exdirector de la Agencia Española de Protección de Datos. Curso de Verano 2011 La lucha tecnológica contra el fraude organizado IV
  108. V Tom Scholtz, VP Distinguished Analyst of Gartner. Tom Scholtz, Vicepresidente Analista Distinguido de Gartner. Richard Stiennon, Chief Research Analyst of IT Harvest Richard Stiennon, Analista Jefe de Investigaciónde IT Harvest. Víctor Chapela, Chairman of the Board at Sm4rt Security. Víctor Chapela, Presidente del Consejo de Sm4rt Security. La lucha tecnológica contra el fraude organizado Curso de Verano 2011 Centro de Investigación para la Gestión Tecnológica del Riesgo
  109. Centro de Investigación para la Gestión Tecnológica del Riesgo The course had its manifestation also in the social networking environments. El Curso tuvo su manifestación también en los entornos sociales de red. Between lectures, the attendees took the opportunity to get in touch and exchange experiences. Entre conferencia y conferencia, los asistentes aprovecharon para tomar contacto e intercambiar experiencias profesionales. (Left to Right.): Ángel Trinidad, Santiago Moral, Artemi Rallo and Francisco Javier Puyol, a historic image where privacy and security mingle with law and technology. (De izq. a dcha.): Ángel Trinidad, Santiago Moral, Artemi Rallo y Francisco Javier Puyol, una imagen histórica en la que se funden la privacidad y la seguridad con el derecho y la tecnología. Curso de Verano 2011 La lucha tecnológica contra el fraude organizado VI
  110. VII Francisco Javier Puyol, Justo López Parra, Esperanza Marcos (moderator), Carles Solé, Idoia Mateo, Santiago Moral, Guillermo Llorente, Francisco Javier García Carmona, Manuel Carpio and Francisco García Marín. Francisco Javier Puyol, Justo López Parra, Esperanza Marcos (moderadora), Carles Solé, Idoia Mateo, Santiago Moral, Guillermo Llorente, Francisco Javier García Carmona, Manuel Carpio y Francisco García Marín. Participants in the round table about “New Threats” (Left to Right) Rafael Ortega, Alfonso Martín Palma, David Barroso, Marcos Gómez Hidalgo, Elena Maestre, José de la Peña (moderator), Marta Villén, Tomás Roy, Juan Jesús León, Fernando García Vicent and Juan Salom. Participantes en la mesa redonda sobre “Nuevas amenazas”. (De izd. a dcha.) Rafael Ortega, Alfonso Martín Palma, David Barroso, Marcos Gómez Hidalgo, Elena Maestre, José de la Peña (moderador), Marta Villén, Tomás Roy, Juan Jesús León, Fernando García Vicent y Juan Salom. La lucha tecnológica contra el fraude organizado Curso de Verano 2011 Centro de Investigación para la Gestión Tecnológica del Riesgo
  111. Santiago Moral Rubio, Director of the Summer Course and Director of IT Risk, Fraud and Security of BBVA Group, in two moments of his lecture, where he explained the principles that inspire the Cassandra methodology. Santiago Moral Rubio, Director del Curso de Verano y Director de Riesgo IT, Fraude y Seguridad del Grupo BBVA, en dos momentos de su conferencia, en la que explicó los principios que inspiran la metodología Casandra. Curso de Verano 2011 La lucha tecnológica contra el fraude organizado Centro de Investigación para la Gestión Tecnológica del Riesgo VIII
  112. Curso de Verano 2011 El Curso de Verano dejó imágenes inolvidables de relaciones sociales y amistad en el marco incomparable de Aranjuez. La lucha tecnológica contra el fraude organizado IX Centro de Investigación para la Gestión Tecnológica del Riesgo
  113. La lucha tecnológica contra el fraude organizado The Summer Course left unforgettable testimonies of social relationships and friendship in the incomparable setting of Aranjuez. Curso de Verano 2011 Centro de Investigación para la Gestión Tecnológica del Riesgo X
  114. The technological fight against organized fraud 2011 Summer Course Rey Juan Carlos University Aranjuez, 4–8 July 2011
  115. PUBLISHING PRODUCTION DESIGN AND LAYOUT Miguel Salgueiro / MSGráfica PRINTING AND BINDING Gráficas Monterreina Legal Deposit: M-22831-2012
  116. 2011 Summer Course The technological fight against the organized fraud INDEX INTRODUCTION ........................................................................................................................................................................................ Santiago Moral Rubio 5 PROLOGUE ................................................................................................................................................................................................... Pedro González-Trevijano 7 SECURITY AND BUSINESS: THE HEDGEHOG’S DILEMMA ................................................................................................ Alberto Partida 9 ANTI-PHISING WORKING GROUP ................................................................................................................................................... 15 Gary Warner Threat Horizon: Identifying Future Trends ........................................................................................................... 21 Adrian Davis THE RISK OF THE UNPREDICTABLE: “THE BLACK SWANS” ........................................................................................... 27 José Antonio Mañas ROUND TABLE. NEW THREATS ........................................................................................................................................................ 33 Taking part: David Barroso Fernando García Vicent Juan Jesús León Cobos Elena Maestre García Alfonso Martín Palma Rafael Ortega García Tomás Roy Catalá Juan Salom Clotet Marta Villén Sotomayor Marcos Gómez Hidalgo Modera: José de la Peña Centro de Investigación para la Gestión Tecnológica del Riesgo
  117. The technological fight against the organized fraud 2011 Summer Course The rise of cybercrime: How lagging security measures fuel the growth in organized fraud ................................................................................................. 45 Richard Stiennon FROM HACKING TO ARTIFICIAL INTELLIGENCE ................................................................................................................... 51 Víctor Chapela LEGAL CERTAINTY AND CRITICAL ASPECTS OF DATA PROTECTION ............................................................................................................................. 57 Francisco Javier Puyol THE LAW OF PERSONAL DATA PROTECTION IN MEXICO ............................................................................................... 63 Ángel Trinidad Zaldívar DATA PROTECTION AND THE NEW TECHNOLOGICAL CHALLENGES ..................................................................... 69 Artemi Rallo ROUND TABLE: PRIVACY IN “THE CLOUD” . .............................................................................................................................. 75 Taking part: Manuel Carpio Cámara Francisco Javier García Carmona Guillermo Llorente Ballesteros Idoia Mateo Murillo Justo López Parra Francisco Javier Puyol Carles Solé Pascual Modera: Esperanza Marcos Understanding and Managing SaaS and Cloud Computing Risks ....................................................................................................................................... 85 Tom Scholtz THE DARWINIAN COEVOLUTION (As a strategy in the technological innovation applied to risk management) ........................................................................ 91 Santiago Moral Rubio PHOTO GALLERY ...................................................................................................................................................................................... 97 Centro de Investigación para la Gestión Tecnológica del Riesgo
  118. 2011 Summer Course The technological fight against the organized fraud INTRODUCTION Santiago Moral Rubio (Director of the Summer Course “The technological fight against organized fraud”) echnological globalization has led to a breakthrough in the participation of citizens in processes of public administrations and businesses that provide them with services, but the same risks that exist in the real world have moved to this field. The crimes of low intensity, without harming people or their property, were unprofitable in the physical world and therefore are little persecuted; however, technological globalization makes that they are profitable and continue to be of small risk because of the international technological anonymity. Therefore, the risk morphology changes as the parameters of profitability change and that makes now phishing profitable as it is anonymous and massive. Centro de Investigación para la Gestión Tecnológica del Riesgo Risks change and the way to manage them change. The same technologies that have allowed creating this globalized world must be used to manage the new risks existing in the virtual world. For example, one of the emerging risks is the ease of transmission and replication of the personal data of citizens. In order to talk about all this, the Research Center for Technological Risk Management convened a Summer Course (within the framework of Summer School at the Rey Juan Carlos University) that was held in Aranjuez (Madrid – Spain) between the 4th and 8th July 2011 inclusive, with the active participation of almost 100 attendees and some of the main speakers at the global level in this field. Now, in this publication, we transfer to those interested the transcription of the papers presented at the Summer Course.
  119. The technological fight against the organized fraud 2011 Summer Course Centro de Investigación para la Gestión Tecnológica del Riesgo
  120. 2011 Summer Course The technological fight against the organized fraud PROLOGUE Pedro González-Trevijano (Rector of the Rey Juan Carlos University) hat two major institutions of the economic and financial and academic life, as BBVA and the Rey Juan Carlos University, put together their experiences and, above all, the qualification and competence of their teams, to create experiences of training, research and innovation, could only be the advance of great and encouraging contributions to the scientific community. Thus was born the Research Center for Technological Risk Management. Under the leadership of Santiago Moral Rubio and Francisco García Marín last July the course “The technological fight against organized fraud” was held within the summer courses that the Rey Juan Carlos University holds annually at the Royal site of Aranjuez. The response of the scientific and academic community was massive. The participant’s level was extraordinary. And the result of work, rigor and the seriousness of the summer experience of 2011 is today reflected in this magnificent volume. Centro de Investigación para la Gestión Tecnológica del Riesgo The need to respond to new formats of risk and fraud, adapted to a global technological reality, is a genuine requirement of an also universal life experience. The significant of the contribution that this work contains is the ability of academic institutions and centers of research to detect problems, build effective solutions and responses and, straight afterwards, transferring this knowledge to the society. The Research Center for Technological Risk Management has become not only a leading resort in this area, but also an example of the intense collaboration that universities and companies can and should undertake in a historical setting more demanding. But, above all things, an exciting and motivating environment; an environment of opportunity and challenges for energy, the reflection from the analysis, and creativity. I am convinced that the work of the Research Center for Technological Risk Management will continue to bring, in the immediate future, new grounds for satisfaction like this magnificent work.
  121. The technological fight against the organized fraud 2011 Summer Course Centro de Investigación para la Gestión Tecnológica del Riesgo
  122. 2011 Summer Course The technological fight against the organized fraud SECURITY AND BUSINESS: THE HEDGEHOG’S DILEMMA Alberto Partida (Security specialist Author of the book “IT Securiteers. Setting up an IT Security Function”) he philosopher Schopenhauer baptized the expression “hedgehog’s dilemma” to explain, in his view, how the personal and social relationships worked. According to his research, the human must assume the following paradox: find the collective heat necessary for our survival and avoid any damage that might arise from such interaction with others at the same time. As the hedgehog that seeks company, but must avoid spikes of others hurt him or do so with their own. Hence I could also explain the perspective from which I took, five years ago, the challenge of creating a security team that was in tune with the business; and the reason why I decided to write a book. Centro de Investigación para la Gestión Tecnológica del Riesgo The challenge has been to find a way in which we avoid the damage of the respective “quills” between business and security, seeking at the end more similarities in the interaction of the penguins, species that can reach intimacy more than hedgehogs as they don’t have spikes and have no fear to hurt or be hurt. The first change I assumed in the definition of my security team was to modify the original name, from “security administration team” to “operational security team”, where we took on the security of the information on production systems; but maintaining the challenge: achieve a harmony between the security team and the business.
  123. The technological fight against the organized fraud To achieve this, the issue must be addressed from two perspectives: one, scientific or methodological (analyzing filters, methods and the steps to take in the next stage) and another, human (focusing on the need for a multidisciplinary team, that work with passion and motivation and fight for innovation). The methodological element: the method and 5 filters Understanding the organization, adapt to their culture and harvest successes… or at least limit the level of frustration. This is what we want to achieve, and for that we need a method. And the method is based on the following formula: Vulnerabilities x Threats – Measures to mitigate = Risks (VxT–M = R). The impact and the probability should be taken into account (very used terms for each of the risk situations), and also the malice of the attacker, though many times we overlook it. And finally, we find the existence of a ratio, referred to the relationship between the benefit that the attacker gets and the risk to carry out that attack, which is often very unbalanced, as in the case of the attacks from Anonymous, where the attacker assumes a minimum risk compared with the benefits he is looking for. This ratio is much more even in physical security. At this point, we can deal with the existence of five filters, which I prefer to call “1 + 3 + 1”, to explain the risk scenarios that we must deal with. 10 2011 Summer Course The first of these refers to, on the one hand, the fact that real threats are equal to the detected, ignoring those that we believe are real or pretend to be (hence the importance of monitoring); and, on the other, consequently, that the real opponents are likewise the detected ones. In regards to the second filter, impact and ratio between benefit and risk, this means working in the organization with risk scenarios which have a high impact, but a very low risk for the attacker. The third filter talks about resources and complexity, and the need to be “friendly” to the client. In this sense, of all risk scenarios, we must deal first with those requiring less amount and complexity of resources, and those that do not harm or weaken the daily experience of the user or client; i.e.: “what can we do with few resources and at the same time not damaging the life that the client had”. The fourth filter refers to getting to have a positive image of the security team, within the organization. And, finally, the fifth filter is related to the need to be very realistic, complying both with requests from the Management team and with the regulation. And… how do we comply with these five filters? The answer is simple: with a suitable method, that will make us go “step by step”, and that is simple and limited in time. Centro de Investigación para la Gestión Tecnológica del Riesgo
  124. 2011 Summer Course Although it is somewhat shocking, the first years only 40 percent of the resources have to be planned; and when it comes to the technical elements to protect, these must be: networks, systems, applications, data and identities. The human element: Professionals with passion Although so far we have dealt with the methodological element, with the need to resort to a method and overcome the five filters exposed before, we will now enter in the idiosyncrasy of the second element which I meant to achieve the necessary harmony between the security team and the business part, which deals with the human component. Here we return to the metaphors of hedgehogs and penguins to refer to human relations and the need to strengthen ties with others, with other departments in this case, while the spikes of none of them hurt the counterpart. I believe it is essential to have a highly qualified technical team, either people of technical profile or who have many years of training that support their knowledge. But we don’t remain there... is crucial to bet on multidisciplinary team capabilities to avoid being isolated in the organization. This, in essence, means to establish ties with other departments and areas, those to whom we communicate our work and our goals to achieve that greater harmony of which we speak from the beginning. Centro de Investigación para la Gestión Tecnológica del Riesgo The technological fight against the organized fraud Avoid being separated from the rest, and that no one can say that of “there those of safety are…” as if we were entities out of the business. We also need experts in public communications or marketing. They are essential for a security team, and are in two dimensions: in all their professional practice, which can be applied within the team; and also as conduits of these new perspectives for the group members, to whom they can gradually provide new ideas in these scenarios of marketing and communication... because we also need to advertise our message and our tasks. And not only that, it is also a priority to count within the team with other profiles, such as statisticians, economists, business people, etc. However, I must admit that I have not seen teams where there are other profiles besides the technical, though I firmly believe that a varied set will give much better results to the organization. When creating these multidisciplinary teams, I propose two models to follow, and a common slogan for both: “share, respect and mobilize”. For me, sharing information is essential to go deeper into internal consistency and success of results. The concept of “mobilize” is also a priority, rather than “motivate”, because this latter term is a term more focused to the personal sphere and is something that only can be owned on an individual basis, is not something that can promote from the team. That’s why, I refer more to “mobilize” and the respect for members of different origin. 11
  125. The technological fight against the organized fraud 2011 Summer Course In this context, the first model can be summarized in one sentence: involve in the group people who benefit from a degree of balance among all aspects of his/her life, professionally as well as emotionally and socially. It is, in essence, a very simple model, and that can serve as a guide to decide in what area or scenario to specialize. It’s about paying attention not only to the professional aspects of the team members, but also to their dimension as human beings. At this point, I would like to transfer another key message: we must avoid having a single leader, and count, on the contrary, with the collaboration of two or three people who assume that role in a collaborative way. We must take into account the balance between their personal and emotional life, because that will decisively influence in his/her professional side; so that organizations that do not take into account this model to select the members of their department, can discover later problems arising from the interaction among their members. And it is that there are very good people at a professional level, but with very few resources in the other two fields, and vice versa; and what we need is someone who keeps a certain balance among these three areas of his personality. This is what will lead us to the success of the team; without it, it won’t be possible. On the other hand, the second model meets its crossroads in the passion with which we perform a specific work… the crossroads between what you like to do and what you are good at making. And based on that premise, find that “something” that the market requires and that can be adjusted to what the professional, and the group of professionals, can offer. 12 More than one leader and continuous learning The explanation is simple: the leader work is quite tense and always will require to have two or three close partners to achieve his/her goals, among which we can mention some very significant: identify persons who do not have much motivation and, perhaps not so many priorities, to help them to find the way that takes them to be closer to the segment of the group which is really motivated. Thus, they will be helped to develop new skills, so they can reach, even, what we call the “critical mass of the team”, which are those members with great skills, motivated and who set the pace of work to all. Because of that, precisely, models like those outlined above should be applied, so that these members remain in the team, and do so as members of quality. In parallel with everything explained so far, and as we also advanced before, we must not forget the significance of sharing knowledge among all members of the team, which is what will make the group strong and consolidated. Centro de Investigación para la Gestión Tecnológica del Riesgo
  126. 2011 Summer Course We may share both, the knowledge obtained by academic training, and the accumulated as a result of long years of professional experience. Learning among members will be constant, thanks to the communication in all directions and regarding all the tasks to be performed. And it is that the set will grow when they learn from each other; otherwise impossible. But to achieve this and reach the harmony between the security team and the Management we have been talking about from the beginning, is essential also, and now we talk explicitly about the role of Management, that it supports the actions of the team, either with adequate budgets, with technical resources, with more provision of personnel, etc. If this doesn’t happen, the degree of frustration of our staff may increase significantly. Five provocations to the audience To continue, and like a kind of “alternative ideas bank”, I propose to the audience the following “five provocations”. The first of these has to do with the possibility of considering your CERT as your team of “guerrilla marketing”. And to illustrate this option, and although they are not in our sector, I am telling you some recent examples that I found: placing a Mercedes Benz vehicle at an European airport, so the public try it and get acquainted with its performance; or giving out the typical yogurt, for example, when leaving the subway early in the morning, inviting us to be potential consumers. Centro de Investigación para la Gestión Tecnológica del Riesgo The technological fight against the organized fraud The idea is to apply this to the incident security team.. Not that we give out yogurts, but take care of our incident response team to become our most powerful marketing tool inside the organization. When a security incident occurs, the people is disturbed in the company and need to know where to go and, even more, have a sense of protection, so that everything is controlled. If you prepare the ground, if you are clear about the elements to be taken into account and if, moreover, you’ve bet on a marketing component, everything improves. It is similar to what happens in physical security, which when a disaster happens, the emergency services arrived at the place of the incident dressed with a particularly striking clothing, such as reflective vests. Everyone focuses on them and trusts on their instructions. The second provocation to which I refer is what I call “the graffiti effect”, or the power of images. I will give an example: a few months ago I noticed that in the public baths of a palace of conventions someone had stolen the toilet disinfectant dispenser; and when I returned, a few days ago, it was still without replacement. The situation remained equal, and that means a devastating visual effect when it comes to trust on, in this case, the cleaning of these baths. I call it “graffiti effect”, because it’s like thinking about a clean wall and another full of graffiti… Which of the two invites to make a new one? In which does it feel it won’t matter that there is one more? 13
  127. The technological fight against the organized fraud It is the same thing that happens with the security team. It is important that their facilities are professional and attractive. In addition to other details which benefit obtaining a better image, both inside and outside the organization, educating employees about passwords, take care of confidentiality, avoiding confidential papers on the tables and things like that… When it comes to the third of these five provocations, this is the one regarding using social connectors, as they are defined by Malcolm Gladwell in his book “Tipping Point”. In the book, the author refers to some characters, the social connectors, though not being members of the Management know all employees of the organization and have a high degree of connection with all active agents of the company. The proposal is to identify these people within the company, and invite them to join our tasks, not as part of the team, but as facilitators and transmitters of the messages that we want to bring to the members of the corporation. They will help us to make the employees, suppliers or customers aware of everything that we have decided to implant within the company. For example, we can give them a confidentiality filter for their laptop, being sure that they will recommend it to their colleagues; or invite them to an attractive seminar where they can just take away something tangible related to security, or teach them to create a strong password. 14 2011 Summer Course The idea is to take advantage of what we have in the smartest way, peer to peer communication, take advantage of the communication and the information that flows at the same level, never as an imposition. On the other hand, the fourth provocation focuses on what is known as “the power of free”. No one can abstract from the attraction that everything that is free exerts on us. If we give away encrypted memory devices or display protectors, surely we will have its use assured. Finally, the fifth provocation refers to the axiom that “security may not be destructive” because if this is our attitude towards the organization we run the risk of isolating ourselves. It is more important to be present in key projects of the organization rather than complete your own particular one. In short, and as a former professor said, business exists to do business, not to do security, except for the security business, which is why we should always not lose sight of the lesson of humility and be aware of the fact that, like everyone, we are also dispensable. In this context, and to recap, if we want to successfully develop our work as department of security, and find that harmony which we talked about, we need a few methods, filters, some steps to follow, and a multidisciplinary team, with passion, motivation and desire to innovate. Centro de Investigación para la Gestión Tecnológica del Riesgo
  128. 2011 Summer Course The technological fight against the organized fraud ANTI-PHISHING WORKING GROUP Gary Warner (Director of Research in Computer Forensics. The University of Alabama at Birmingham) will start my presentation with a reflection: although it seems that people always prioritize the economic factor, and what criminals are looking for is always money, I really believe that there is a much more important factor: reputation. Recently I asked a Senator in the U.S. If he has ever got a phishing attack and he said yes. He told me what bank was supplanted and I asked him his opinion about what should be happening to his bank allowing such attacks against its brand. And he replied that most certainly those at the bank were not aware that they were under attack, because they otherwise wouldn’t allow it. I think that good reputation is more important than all the gold in the world. And the reputation factor is what we must consider when we allow a Centro de Investigación para la Gestión Tecnológica del Riesgo phishing attack to continue or not. It’s that and the impunity that benefits the wrongdoers. We analyzed 85,000 phishing websites of affected banks… And do you know how many of the criminals go to jail? Only 1%, which means that for the remaining 99% is worth committing these crimes. There are three areas to which we attach special importance within our working group: The Training of the professionals that tomorrow will fight cybercrime (which will be even more complex). The preparation of the best tools and most effective techniques in this fight, helping also the special units of the law enforcement and security 15
  129. The technological fight against the organized fraud agencies (we work very closely with the specific unit of the FBI for these matters). Educating the public in existing cybercrime threats. In my laboratory we have 35 jobs and organize them in three different zones: one for spam and phishing, another one for malware and forensic analysis and then the research part. The latter is where the students really relate with the law enforcement and security agencies, learning what’s important and where to focus first when detecting signs of cybercrime. And based on all the data that we handle there, they learn to perform and formalize an investigation in this scenario. We have a spam project, where we have recovered more than 500 billion emails that we have already made available also for the law and security enforcement agencies. There we work on how we can identify malware in order to know who the criminals that have sent these messages are. We have a specific computer for cybercrime, with 14 dedicated servers and another ninety something to store information, and with them we do analyses and studies and give support to the law enforcement forces. We also work with the drug enforcement administration, even with cybercrime bodies in Germany or the Netherlands. To carry out our work, we must analyze many processes to determine if it is a phishing website. And if we succeed, then, automatically, we look 16 2011 Summer Course for a phishing record. We start the manual search and try to figure out the relationship among this phishing site and other phishing websites that we have seen in the past. It is important to know the relationships among the various phishing pages, because, as we like to say here, not all criminals are equal, and if we understand the relationship among the websites, we will understand also what kind of criminal we are facing. For example, recently we discovered a curious case in a bank of Alabama, where a Nigerian man took advantage of copies from the month of February, considered as the black history of the bank, to make phishing against the bank. We had everything from him, his Facebook page and we knew who his friends were. It also happened to us with a phishing to Bank of America, that have in their department more than 800 detected phishing websites against their bank, and there we did make a hard work to relate all of those websites. Seven steps to a phishing research As I said, we try to find the relationship among the phishing web in question and the others where we have detected the existence of an affinity relationship. We introduce what we are being asked for (user id, password, answer three security questions, enter again the email address and then a passkey…) and we start to realize that a true website doesn’t work like this. Centro de Investigación para la Gestión Tecnológica del Riesgo
  130. 2011 Summer Course The operation is simple: when the website gets what it wants, it sends us to the bank website and when we wonder who has sent us there, we can see the files on the server. And then we can detect how many phishing websites have 100 victims and how many have 1,000, for example. And we can also identify the customers who have visited the phishing website. What we do, basically, is to follow in seven steps the methodology that we have created for the investigation of phishing. First we prepare an electronic program that is sent to the client and then analyze the file in question. Afterwards we try to determine how this website relates to the other websites that we have seen earlier and then we look at the logs, both on the website of the victim as well as on the phishing website. That’s when we are able to identify who has been sabotaging the website to introduce the phishing data. We then find a lot of information on the offender, who is the one introducing most data on the phishing website, because he wants to make sure it’s working. In fact, the first address we see is nearly always the IP address of the attacker. We may collect all logs in different websites and we can see the same IP address for different phishing websites. As I said at the beginning, in the U.S. we work very close to the law enforcement and security agencies. They usually handle lots of data, but they often do not know how to process them, and then we do it with our tools, in our laboratory. By looking at the accounts in Yahoo, Hotmail or Gmail we find out who the victims are. Centro de Investigación para la Gestión Tecnológica del Riesgo The technological fight against the organized fraud In the last part of the research what we do is open source intelligence, making an analysis of the file. We can take as an illustrative example a phishing website that operated against BBVA. It was designed from a hotel in Barcelona, whose website had been sabotaged to operate as a phisher of BBVA. On this website we discovered the emails of the criminals, who use them to steal the credentials. Following the investigation, we find the same phisher and email address in 8 different websites. In other researches we found phishing attempts with similar characteristics in 29 different websites. With this we demonstrate that when someone makes a phishing research on their brand, often they are so focused on it, that cannot imagine that the same offender is also attacking the competition. On the other hand, we should pay attention to the errors committed by criminals, because they do commit them, and many times these errors are crucial to find them. We had a case of a phisher who organized more than 100 phishing websites. And he thought that his secret address was safe, but it was not so much and from the group we managed to identify him. We also managed to identify all sites or websites of phishing that he had changed and the email accounts he was working with. 17
  131. The technological fight against the organized fraud Success in research Fortunately we can say that there have already been quite a few successes which support our work and our dedication in the fight against antiphishing. With our collaboration more than 70 people who were carrying out fraudulent activities in different countries of the world were arrested. And in another recent research we detected criminals in Romania and Spain, among other countries, dedicated to make phishing websites. Another research that I would like to highlight is one that we carried out in the U.S. and ended with the detection of a person that he had been living in Egypt and on his return to the U.S. he began to work as a translator of Arabic. During his stay in Egypt he met many people, and it seems that almost all of them were offenders, and when he returned to our country deployed a complex network of collaborators of first and second level, in different States, such as California, Nevada, Carolina, etc. These second level connections withdrew money from ATMs with a false identity and were seding money to Egypt. After a period of research, we managed to have pictures of each and every one of these people. There were 33 people involved within our borders and over 100 worldwide. At the end the plot was stopped and the ringleader and he got 13 years in jail, for crimes of phishing and, by the way, also by cultivation of marijuana. In 2011 we also investigated the case of three corporations, against whose brand more than 500 18 2011 Summer Course phishing websites were operating. It was also one of our most important investigations and we got breakthroughs with it. In any case, what we always like to say, so everyone is aware, is that offenders are also successful. They can intercept money very easily with the user id and password. Having said that, what matters is not so much that websites are designed, because of these we can find hundreds of cases. What matters is that these sites end up getting what they were designed for: illicit money. Malware, more expensive In addition, I also wanted to comment on the matter of malware, whose vulnerability cases end up being more expensive than those caused by the phishing. According to some studies, for every dollar lost in phishing, three are lost in malware. One of the most advanced is a keylogger called Zeus, which (once the keyboard activity is detected) can take remote control of your computer without much problem. However, for this type of fraudulent techniques, in the part of the investigation we have others that can counteract its effects. For example, there are options to get the website to detect if you are using a computer other than the usual and alert you in such cases. For example, it happened to me just yesterday. I wanted to send money to my daughter, and it told me that I was in a computer that wasn’t mine and Centro de Investigación para la Gestión Tecnológica del Riesgo
  132. 2011 Summer Course asked me another way to confirm my identity. I introduced the other passkey and I could perform the operation. But the important thing is the warning I got saying that I was operating from another computer, putting one more barrier when it comes to move my money. Device fingerprints In parallel, we are also faced a vulnerability where a technique called “device fingerprinting” appears. And how we detect fraud in these cases? In the U.S. we have suffered some attacks in this respect. And more than 40 people have been arrested between New York and Ukraine, who had managed to steal more than 200 million dollars. The work dynamics in this case was very simple. A webpage giving problems to the user was accessed and the user was recommended to use a support telephone number that appeared on the same phishing webpage in order to solve these problems. The offender directly answered the phone and he asked for different information which then took the opportunity to use it in the phishing page. If we’d have been able to set up the configuration file this phone number would never show up. On these configuration files, one of the first steps that should be taken into account is to confirm if other banks are in the same configuration file because they are suffering from the same offender. And perhaps those could afford more advanced intelligence resources and could help us to see who “the bad guy” is and how to arrest him. Centro de Investigación para la Gestión Tecnológica del Riesgo The technological fight against the organized fraud A vulnerable end user It is true that a phenomenon such as phishing, which relies on social engineering, can only be prosecuted with the technological risk management. Particularly significant here is something that sometimes we forget, and it is that phishing depends on and is based on the existence of a vulnerable end user. As long as there are humans who make mistakes and don’t pay all the attention that these especially controversial situations deserve, risk will always exist. At the Anti-Phishing Working Group we have worked and will work to prevent this lack of awareness. And we will always try to make the banks aware of the messages they are sending. We must achieve a level of security, because of technology and tools, and the awareness of the banks themselves and their users, allowing us to defend from criminals. So, even though these know our user ID and password, cannot steal the money so easily. Conferences and meetings The Anti-Phishing Working Group was set up to share information, and that’s what we do at our regular meetings. We plan two major Conferences a year, and another General Summit between October and November. And, in addition, we hold our eCrime Researchers Summit, and the various local Committees, where we invite you to participate from here. 19
  133. The technological fight against the organized fraud 20 2011 Summer Course Centro de Investigación para la Gestión Tecnológica del Riesgo
  134. 2011 Summer Course The technological fight against the organized fraud THREAT HORIZON: IDENTIFYING FUTURE TRENDS Adrian Davis (Principal Research Analyst. Information Security Forum - ISF) et’s talk about the future as a reality, as something that is concrete and that is already here, and we will be in a better position to understand why we are concerned about it and what are the threats and risks that await us in the Information Society. Things have changed a lot in recent years. Companies have done it by moving freely from some countries to others and expanding their supply chains. And this is still changing constantly. Just like supply chains and information security threats and risks. But talking about the future is talking about globalization. We live in a globalized world where borders no longer exist, where information technology management, or even malware management, can be outsourced. Also, the relationship with suppliers has new features. Now more than ever we must trust the provider, so they do what you want them to do, and even the most important, do what they say they’ll do, or that they are doing. And that’s the big difference. There is a very interesting book which I recommend, it is called “The World is flat: a brief history of the globalized world of the twentyfirst century”, by Thomas Friedman, that is very illustrative for this purpose and that speaks precisely about this, the absence of borders and a new way of understanding the world. Centro de Investigación para la Gestión Tecnológica del Riesgo But the supply chain, in this movement for change, remains a critical component for organizations, its information remains of vital importance… and these changes make us lose also much of the information about it, we know less about how it works and operate. 21
  135. The technological fight against the organized fraud So that we are also facing a very important issue: How can we audit “the cloud”, taking into account that the cloud environment is constantly changing and is not a static system? Everything has changed, and what’s our problem? If we have many problems and succumb, the company succumbs and it will be a catastrophe, we will be heavily fined if we don’t comply with the regulations already enforced… How do we tell our colleagues and partners that the important thing is still the information? We have to be careful so the same that happened to the boy crying wolf so many times does not happen to us, the day when the wolf really appeared nobody believed him. Everything is information We see how the way we work changes and how we are entering another dimension, which has its own threats and its own problems. We have to be prepared, must pay close attention to what might happen, regardless of that occurring, or not. Progress is measured according to its utility and its popularization. In 1876 the telephone was not helpful because there were very few and the communication capacity was very scarce, but now we cannot live without it. Just as the social networks do, which extend their tentacles more and more and establish more and more relations among us. In any environment, information is related to information technologies and these are becoming the center of our live. 22 2011 Summer Course The work of ISF And at ISF, what do we do to help understand this changing environment? Very simple: we collect information, talk to quite a lot of people of very different profiles and thus we approach legal, economic, cultural, political and technological factors, etc. and manage to have a more complete view of the world that lies ahead of us. Thus, we may know what the most important threats for the information security will be and how they will relate to the changes that we will suffer in the society in the near future. And we share all this information with the sector through the reports we publish and the meetings that we hold. I particularly have the luck to have managed this project from the last four reports. We hold several meetings a year and there we ask what the new technological trends will be. In Spain we will hold a call for the Regional ISF Chapter in March in Madrid; and there, among other topics, we will talk about the security in industrial environments, the protection of critical infrastructures and the work program of ISF for this year. As I said, in these meetings we speak with people who work in manufacturing, banking, health care, and also talk with the World Economic Forum and futurists (I highlight here a book entitled “The next 50 years”, which is very interesting); and then we put everything in common in our annual Congress, to be held from 4 to 6 November in Chicago. And it is from there when we gather Centro de Investigación para la Gestión Tecnológica del Riesgo
  136. 2011 Summer Course together the final information and the correct data to begin drafting the report. What we are seeing is that in United Kingdom, also in the U.S. and, above all, in the European Union an effort is being done to integrate, more and more, information and privacy regulations. In the European Union, on May 1st, 2011 the socalled “cookies law” came into effect, which says that the information of people who visit the web cannot be stored on cookies, unless expressly allowed. In the United Kingdom, for example, if personal information is lost, our Data Privacy Office can impose a fine of half a million pounds each times this privacy is violated. Most important threats for 2011 We know many anonymous attacks and many are simply caused by errors, which could be easily remedied. For example, because we do not have the patches installed or because we don’t update the servers correctly. And this is what we know, because after we have the unknown, and what criminals can do. And an environment that most certainly is not safe from the attacks of the cybercriminals is “the cloud”. More and more business migrate some of their platforms, or even critical systems, to “the cloud”. In view of this, what are the main threats in the Network? What does it work now against us? Centro de Investigación para la Gestión Tecnológica del Riesgo The technological fight against the organized fraud On the one hand, the illusion of borders does. We are now connected to many more people and do not even know that we do. We have all kinds of electronic devices, connected among them and with many other people, so that there is no longer a wall behind which we can hide our privacy. On the other hand, another threat on the Internet is the existence of weaker infrastructures. We depend on many organizations to make our business run well and to keep in touch. These sometimes have problems, and if they have problems, then our business suffers too. For example, if the Internet connection doesn’t work, we must wait for the ISP to stat up the backup system so the system failure affect us as little as possible. Moreover, laws are often written with much delay. When they are approved, the threats against which the regulation was imposed have evolved to another level, what makes this regulation obsolete soon. And we are not evolving either at the same pace as the cutting-edge technologies do, such as geolocation, or key business aspects as supply chains, increasingly weaker and more relocated. Other important threats are also the increased number and sophistication of criminal attacks, the increasingly stricter rules and the characteristics of the outsourcing/offshoring environments. A note about the malware on mobile phones: we have barely encountered this threat because 23
  137. The technological fight against the organized fraud criminals do not find this scenario attractive. But that is only a small part; the important thing now is for us to avoid losing the phone with sensitive data inside. In London, every day up to 10 mobile phones are left forgotten in taxis, with very important data of the companies for which their users work. We must protect these devices, increasingly focused on the business and with increasingly confidential information. On the other hand, the business continuity plan becomes essential if we are to avoid major complications later. The cost of data loss per person per year for a company reaches $75, so if a company loses data of, say, 100,000 people, the cost is very high, and this is regardless of the fines, audits, etc. And it is that the rise of what we now call “digital human rights” is unstoppable. The right to be connected or to freely surf the Internet is already an acquired right that nobody is willing to lose. It is an interesting topic nowadays, and it will be more when the other countries of the world participate also in this connection. When Africa or Asia are truly integrated into our networks and claim the same role. And there we will have to solve a quantitative problem, because we will incorporate into our “cake” many millions of people. There will be many opportunities, but also many threats. And in the middle of this picture other topics will explode, such as Internet of things, devices that 24 2011 Summer Course speak with devices without human intervention; and the shortening of the supply chain. We will no longer depend on a single source of supply, but from multiple sources. And it will be important to detect what will be the critical suppliers for our business. Four categories and 5 important points We can speak of four threat categories depending on whether we know them or not: that referring to those we know and that we can do something to work with. The things we know, but we can do nothing to avoid them. We also have threats where we have no idea. And, finally, those not considered by anyone but that can cause much harm to the organization. In essence, we must take into account: People are increasingly less loyal to the companies. There are environments that we cannot manage or control, like social media. The requirements demanded by different governments. Offenders’ optimized ways to deceive and earn more money. And, finally, we have our particular “Black Swans”. Then, what can we do? Start planning now. Work to make our systems more secure. And we will do so by following a few simple steps. First we have to look at the risks that can affect our organization and information, and then look at the threats that could harm us most. And once we have common ground on that, resort to using technology, and not only known technologies, but also those emerging that can Centro de Investigación para la Gestión Tecnológica del Riesgo
  138. 2011 Summer Course provide us with an extra protection. We must also have the necessary patches and updates, and pay the attention it deserves to identity management. And of course devote more resources to training and knowledge. Some data regarding this point: most organizations spend around 4 % of their budget on information security; but the companies that work better, with greater benefits and usually with fewer incidents, spend between 15% and 25% of their budget on programs of knowledge, because they think that it is what gives best results. 7 deadly sins of the cloud I’d like to list below the most common problems that exist in “the cloud”, which we also call the “7 deadly sins of the cloud”. The first would be to be familiar with what we want to manage after. The second, we always have to know our responsibilities, because “the cloud” provider will sell us a service, but we will always be liable for it. The third deadly sin is that we must understand very well what the provider will provide us and how we can measure it. We must be able to answer the following questions: are they doing what they say they are going to do? How do I know? And this is taking into account that evaluation in “the cloud” is different because everything changes. Centro de Investigación para la Gestión Tecnológica del Riesgo The technological fight against the organized fraud The fourth deadly sin has to do with breaking the law, as we may be breaking a law in a given country and not know it. The fifth is related to the chaos, disorder, what information is in “the cloud”, which is critical and sensitive and what I have to do with it. Sixth sin is vanity. Thinking that your infrastructures are perfectly prepared for “the cloud” because you have installed firewalls and other tools, thinking that it cannot affect you… And, finally, the seventh deadly sin is indulgence. We must ensure that our cloud provider has business continuity and disaster recovery plans. And lastly, “consumerization” Ultimately, we must keep in mind that the cloud technology has come to stay. It will not disappear and we must take full advantage of it. That’s why we must also educate our users to have more knowledge, and to see what devices we are going to support and what not, and what applications we are going to use and with what data. We must make these decisions today, because if we don’t tomorrow we will be flooded with information everywhere and we have decided no strategy in this regard. The best thing to do is keep up with changes. We must not intend to work as we do now. We must work towards business and because of business. And if business changes, we all change. Our world is going to change and we have to be prepared. 25
  139. The technological fight against the organized fraud 26 2011 Summer Course Centro de Investigación para la Gestión Tecnológica del Riesgo
  140. 2011 Summer Course The technological fight against the organized fraud THE RISK OF THE UNPREDICTABLE: “THE BLACK SWANS” José Antonio Mañas (Professor at the School of Telecommunications Engineering. University of Madrid) y presentation has as a common thread the concept of the “Black Swans”, which as stated in the book of Nassim Nicholas, and as handled in the sector, has to do with the impact of the highly improbable. The concept refers to those events that sometimes occur, but are not, at all, predictable. that we will eat it on that date, being so happy and well cared. However, it is something totally predictable for the one who will cook the dinner. Unpredictable with high impact Actually, adapted to our land, we should say “green dogs”, as when it was said in my town that “you are odder than a green dog”. However, this predictability thing is something entirely relative, sine what is predictable for some it is not at all for others. In this context of the unpredictable, the most interesting for us are the things and events that besides being unpredictable have a great impact on our Organization. So to understand how we arrived to this part, we can analyze how the risk analysis works according to the schemes of cold and hot areas. I take as an example the Turkey we eat at Christmas time. Nothing could have led the turkey to think Area one, the hotter, raises the existence of a high probability and high impact. They are things Centro de Investigación para la Gestión Tecnológica del Riesgo 27
  141. The technological fight against the organized fraud that occur often and that, moreover, “hurt”. This is, undoubtedly, the first thing we have to face as the responsible people of security of our Organization. As we descend down below area one, the high frequency of events remains, but not the impact, which is starting to decrease. We don’t usually talk about all this because it doesn’t have more effects, but they are what we can call “annoying flies”. Approaching the warmer area, with less likely things and with less impact, the so–called level 2... here we must decide what we do and what we risk. We think of what benefit we get and look at, for example, what the competition does. In this section, our action is often solved by the regulator and the regulations that apply. After these two areas, we would be at area three, where we come across with events that besides to occur rarely, also are not important. In my opinion, there is no problem forgetting these events. Or otherwise consider them “opportunities” rather than risks. And the fact is that we always have to look at risk from the perspective of the benefit that brings us to assume it, it is always necessary to make a business estimate. You’ll take on a risk if there is a potential benefit; otherwise, you won’t. Finally we have section four, where the following two conditions take place: it occurs very rarely; but, however, it has a high impact if it happens. That is outlined in the expression “whatever comes, God willing” * in SME language. But if you 28 2011 Summer Course are in a bigger company, it is inevitable to be aware of everything that could happen even if it is something completely remote. When you say very low probability is to talk about extremely infrequent events; those others not impossible, but never observed; and those that, although possible, we have tackled preventively to make them virtually impossible. The latter refers to what is our action as responsible for security and boarding made on barriers of security, cryptography, centers of support, etc. Although, be careful with what is observed. Because what we don’t see in a place or in an environment can happen in another. As the “Black Swan”, not observed in any place, at any time, and yet it appears somewhere else in the world. Calculating probability? At this point, the big question is if we can calculate the probability, if we can do a risk analysis, and if we can reach the “midpoint effect”, which is everything that occurs many times. Here we must take into account that experience predicts only what is more likely and that the Gaussian curve requires lots of observations, which in my opinion leads to the concept of extreme uncertainty and tells us that it is unlikely to happen. Thus, when we are talking about a singular object, there is no valid statistic and here we are not able to predict. And with regard to that experience Centro de Investigación para la Gestión Tecnológica del Riesgo
  142. 2011 Summer Course The technological fight against the organized fraud can only predict what is likely, we must note that this depends on, in any case, the subject, the own experience, the situation, etc. of difficult to safeguard impact, therefore all the plans and predictions should be done with a “certain amount of art”. We also have to talk about what is unlikely, remotely to happen, and where the impact is uncertain. We do not know what will happen, but we suspect that it may have a costly impact for the business and our assets. Here there is no experience of our own or someone else’s, and we can consider ourselves as part of the problem. In this scenario of risk management the first thing to consider is to prevent everything that we can prevent, provided that cost is justified, where we could deal with actions of management, risk prevention, impact limitation, etc. It is also important a second issue, considering the expected disaster scenarios, if the incident was predictable. Here, as Heraclitus said “into the same river we enter and don’t enter, because we are and are not”, nothing is like the first time; the river is not the same because the water runs and then we can never bathe twice in the same river. We are in the uncertain cases, in that impact. Thirdly, regarding risk management we have to consider the crisis management itself. Here we can talk about four things: *Note from the Translator: Spanish saying “Que sea lo que Dios quiera”. ...the predictive indicators (from the causes we can predict what is going to happen.) For example in amber traffic lights, we know that the red color follows. (Nevertheless, we have to be careful with these indicators, because they seldom occur); In these cases, we begin analyzing our own reaction in the race against impact, and the external reaction. The reaction of Shareholders, customers (which can be very loyal, but can also opt to penalize you when the slightest impact is detected), the public authorities (which sometimes seem to do nothing and other times seem to contribute generating even more alarm) and society (where you can be in a public trial without big guarantees, where they wonder if you take advantage of the situation, if you’ve done everything possible, etc.). ...the alarm detection and escalation (we must have detectors, with a controlled chain of them…) (“don’t tell me you’ve changed the mobile phone number and I don’t have the new one”, and take special care with the so called false positives, which may “harden” and prevent us from detecting the problems later when they happen); The framework where we are has a mathematical model of hard to know probability and another ...and the recovery to bring the business back to its usual practice (here we have our disaster Centro de Investigación para la Gestión Tecnológica del Riesgo ...the management of those affected (whether information technology systems, the business itself, customers, providers, supply chain or society…); 29
  143. The technological fight against the organized fraud 2011 Summer Course recovery plan, the backup systems… and that is because “business as usual” no longer exists). interests us, being always able to learn from the experience. The incident management And above all, a fundamental question: do we leave as Managers the same blind people that failed to anticipate this disaster? There will be no choice but to answer this question, although the definitive answer many times will depend only on the company stakeholders. When it comes to dealing with the management of the incident, there are two options: either we have a passive attitude or the way we handle the conflict is reactive. If our way of interacting is passive, then we cannot remain impassive to see how it evolves the disaster. This carries a high level of paralysis, as what we said SMEs “which is what God wants”. If, on the contrary, our attitude is reactive, which I think is the least we have to start with, we can either stop it so it doesn’t become serious or redirect it to make the most of it. The same thing happened to the classic firm Levi Strauss, which began selling fabrics to make tents and one day the ship with all of the fabrics sank. The way that crisis was managed resulted in the adventure of the brand as a firm of the well-known jeans. Once we reach the disaster, we still have different options too, which will lead us to different results. It may be that we return to where we were before the aforementioned happens, being able to apply different disaster recovery plans; we can take advantage of the new opportunities coming up in front us. Within this context, we can also learn to anticipate these disasters and react according to what most 30 Regulation and compliance In the regulation and enforcement section, we often find the assumption of “fast” responses to scenarios that, perhaps, never will happen; but many times we have no option but doing so. Complying with the different regulations responds to several tasks that we cannot disdain, as calming the social alarm; but it is also true that it is quite complicated to validate its effect, since it’ is a rapid intervention in an unpredictable process. In other words, we do not know if we can measure it, we cannot validate whether we do is correct or not, this is called “feedback system”, from the point of view that we often legislate under much pressure to an event that may happen every 300 years, for example. On the other hand, and inevitably, regulations serve to make companies take certain measures that otherwise would not assume. This is what is known as “fear of failure to comply”. There are many reasons that make a Corporation not to hesitate to comply with those regulations affecting them. Among others we can highlight Centro de Investigación para la Gestión Tecnológica del Riesgo
  144. 2011 Summer Course The technological fight against the organized fraud the following: staying out of the market, if you are in a regulated field; or, of course, we must avoid being caught “without doing our homework” in case of an unpredictable incident; and, much less, to end up in prison. organization. We take advantage of alarms, and the advantage they give us against risks. And this is very important to take into account, despite the fact that these safety margins are often costly and complex. Protect and diversify Here it is also important to make a reference to resource optimization, something we resort to on many occasions, even more so in times of economic recession as those we live now. That being so, the best solution to survive a severe incident, which can have a high impact on the business, is “not putting all the eggs in the same basket”, what is meant by diversifying (clients, services, segmenting the market, etc.). But in order to understand how we arrived at this point and why, we have to go through a tour before that illustrates this development. We have to talk about what we’ll call “business forecasters”, and which, in turn, are split into two categories: exposed and protected, a philosophy where we’d place this theory of diversification and segmentation. Starting from the beginning, and within the mentioned “forecasters”, the greatest impact of all possible happens when, as I said before, we have put “all the eggs in the same basket”, when everything is interconnected and vulnerable to an attack at the same time. We are also more exposed when we have not defined properly the safety margin, where you were recommended to put several doors and hide away, by segregating networks or designing a DMZ cloud. In short, you win much with these lines of defense, which can be deployed throughout your Centro de Investigación para la Gestión Tecnológica del Riesgo This is important and it has its advantages, of course, but also puts us in the following position: precisely because we are optimal we end up being more fragile against the attacker, and our vulnerability can scupper many achievements obtained with so much effort. The “rapid spread” condition also plays against us, when any vulnerability or attack means the imminent arrival to our systems and the rapid expansion through our networks and infrastructure. The physical security people have this more controlled, and always advocate avoiding these fast propagations, by resorting to what they call “retarders”. I take as an example, in case of fire, the use of fire-retardant materials in the construction of certain facilities or as part of the clothing of those who have to perform rescue tasks; in the end, the idea is to delay the spread effect of the fire. And following the example provided by the physical security, in our departments of logical security we must go beyond installing a password, 31
  145. The technological fight against the organized fraud 2011 Summer Course a token, etc., and think about the ability to spread of a threat that reaches that route. And we should always take into account the dynamics and the versatility of the incidents, because if we see them we will be able to adapt to them and fight against their effects. This last capacity, to keep the essential services after the attack and recover as soon as possible from the same, it is what defines the selfpreservation quality of an organization, as well as its adaptability to a changing environment. However, when we look at the dynamics topic, the most important problem that I see is globalization, so that an incident may reach our systems more quickly than before and from any part of the globe. Finally, I should like to make the following point: the responsibility for the risk is located in the person who has to make decisions, who can be the Director of the company, and not the operator or systems manager. In addition, we always have to see if there are watertight compartments, and bear in mind that what we often do is, simply, to foresee an isolated incident, but not the concurrence of several of them. And in relation to cloud computing, I have to say that I’m very afraid of the use of cryptography in these environments, because if we have the impact bounded we are protected, but we aren’t otherwise. We have clearly seen this in the National Security Scheme approach. And finally, the fact that one makes decisions and another one assumes the consequences must not happen. Decisions must be made by the people who will suffer the consequences. Summarizing the above-mentioned and to make it clear what would be the elements and actions that allow to have the assets of an organization protected, we shall return to the subject of bounded impact and the diversification of actions, which I stated as “not putting all the eggs in the same basket”. In the same way, it is necessary to have an adequate safety margin, with layers of defense, systems redundancy and resilience capacity. 32 Finally, I highlight the following: there are a number of risks that more or less we know of, we don’t even know of other risks, we can find ourselves in situations that we wouldn’t want to be, but we failed to foresee them… and we must have a solution for that day. This is why it is also important that when production managers design the service portfolio, they include the risk analysis of each service. I think that this may be a good target for 2012. Centro de Investigación para la Gestión Tecnológica del Riesgo
  146. 2011 Summer Course The technological fight against the organized fraud ROUND TABLE. NEW THREATS This roundtable was intended to discuss whether there are any new threats or only, and so far, new scenarios. It had the following participants: David Barroso, Fernando García Vicent, Juan Jesús León Cobos, Elena Maestre García, Alfonso Martín Palma, Rafael Ortega García, Thomas Roy Catalá, Juan Salom Clotet, Marta Villén Sotomayor and Marcos Gómez Hidalgo, chaired by José de la Peña (director of the SIC magazine). David Barroso S21sec Director e-Crime (Currently head of Security Intelligence AN DLAB. Telefónica Digital) I would change the title of the table and would rather call it “old threats”, because, deep down, what we are experiencing today is no more than a copy of what we were suffering six or eight years ago. Though we might consider it as new platforms (for example, smartphones), rather than as new or old threats; and, mainly, as new players. All this coupled with a situation where we continue to be supported on unsafe foundations and are failing in the way to address these threats. Centro de Investigación para la Gestión Tecnológica del Riesgo Regarding the fact that we support our philosophy of security on unsafe foundations, suffice it to say that we are still talking about TCPIP, SMTPs, IDSs; we are still using passwords; we invent new words like “clouds”, but they already were here before; we are facing attacks that incorporate social engineering. In essence, we have the usual threats. What has changed is the way they reach us. We also fail in the way to address threats, because we are not going to the root of the problem, but patching on patches. We talk about mobile phones, but they are still unsafe (downloading an application that may have a Trojan horse). 33
  147. The technological fight against the organized fraud So, as I said, instead of talking about new threats I’d talk about “new players”, where we can highlight the organized groups that we came to know so far; the threat arising from the citizenry itself, as Anonymous has demonstrated; or related to Governments, which also play a role in Internet attacks. At the end, user training is the most important thing and without further steps in this direction we cannot fight neither new nor old threats. Fernando García Vicent Director, information security and SOC. Group Mnemo In my opinion, and trying to link up with what Mr. Barroso have just raised, we are not only encountering a new level playing field and players, but also, in addition, they are also more and more professional, which leads us to a change of direction from cybercrime to cyberterrorism. 2011 Summer Course materializes by releasing information to the outside. In other words, most of attacks that we have registered had their root, for example, in an internal phishing, using professional networks such as LinkedIn. That is why it is important to know what is happening within the organization to prevent information leaks. And it is important to pay particular attention to the security perimeter and threats arising from mobile devices, which are already a very important dynamic element. Secondly, we must talk about verification of authenticity and code signature of applications that are being downloaded. And, even, the use of digital signature techniques and signature verification on transactions from mobile devices; if used together, they can provide more light than individually. In this position, I would like to stress two points, which could be interesting for discussion. The first is the importance of security holes prevention within the organization, to struggle with fraud. Having said all that, I also stress the importance of defining global strategies for the detected threats and that are of global scope. Here there are two elements: one, championed by leading analysts of the market, which is sharing information, related to the establishment of procedures of intelligence to know what happens and how the attackers move; the incorporation of on-line detection techniques and scoring tools so we can somehow see when fraud occurs; and another: the product of the sum of analysis tools to obtain measurements, indicators of how such threats are occurring. And as any hole usually comes from an illegal action that in turn comes from inside and it And finally, there are the so-called “Internet of people” and “Internet of things”. In other words, I think that we have gone from attacks of economic motivation to other attacks where there are already other interests, more focused on doing real damage, as we have seen in some denial of service and Nation vs. Nation actions. 34 Centro de Investigación para la Gestión Tecnológica del Riesgo
  148. 2011 Summer Course Juan Jesús León Cobos Product Manager. GMV solutions global Internet SA I agree with what has been said: instead of new technologies this is about the existence of new players. However, in my opinion, in recent years we do have seen new things. The technological fight against the organized fraud his anti-establishment philosophy; they can also infiltrate social networks and take control. And I think that many Governments could also infiltrate to keep track of them and be more aware of the new scenarios of cyberterrorism and cyberespionage And, in fact, I think that there has been a change that affects the three different types of threats we know: which pursue money or profit (cybercrime), those looking for power (cyberterrorism or cyberespionage) and which simply seek to “annoy” (cyber-anarchist). Finally, we can also refer to a new term, coined by an excellent professional, Javier Osuna, which is cyberdemocracy, which is defined as a mechanism of reaction of the “good people” who are in social networks to combat, in a collaborative way, these anti-establishment people who can be so negative. In regards to cybercrime, everything has gone very quickly. There has been consolidation of malware, it seems that they are organizing a kind of monopoly system to better manage their evil, and here they defeated us a bit. Elena Maestre García While we have technology to fight against the “bad guys” (robust authentication, modern end point security, etc.), it is difficult that organizations follow the pace of technology, while the criminals do follow the pace of technology. In my opinion, they have everything they need. I am going to refer to three fundamental issues: the definition of what the new threats are and their relationship with fraud; what I call the seven dilemmas of the threat evolution; and finally, how I see some conclusions and the challenge of responding to fraud. Regarding the cyber-anarchist, which is a new phenomenon and orchestrated by new things like social networks, I think that it will be the threat making more progress over the next years. And I think, also, that it is very difficult to combat. Regarding the first scenario, when we say new fraud-related threats we refer to unlawful acts which pursue profit (which, moreover, can be direct or indirect, or what I call “incubator of ideas”, allowing third parties to take advantage to commit criminal acts). We only can prevent it, and not at all, and for any action we will need much intelligence. They can do much damage by attacking the clouds and by Centro de Investigación para la Gestión Tecnológica del Riesgo Partner of PwC Head of Technological Risks So, in essence, when we refer to new threats we talk about two things: a question of capacity, 35
  149. The technological fight against the organized fraud which today has much to do with technological advances: and, on the other hand, aspects related to intentionality. In regards to the seven dilemmas of the threats evolution, these are as follows: a first driver that has to do with advances in technology and communications, which have advanced so rapidly that it has opened up new security breaches, now with a single blow to the whole world; changes in the operation and the way of doing business, as, for example, on-line recruitment, which open new routes for fraud; the rise of information poured into social networks, and, above all, in a less professional environment and of lower level of rigor; the aspect of globalization, as the fourth factor, where it is easier to learn and replicate attacks, and harder to put barriers to an interconnected world; anonymity, which introduces certain amount of impunity when it comes to commit an offence; the professionalization and industrialization on the hacker’s side, where there are already organized networks willing to pay big money for sensitive data; and, in the seventh and last place, cost, the fact that in some environments fraud has a ROI. I would like also to mention the massive penetration of the cyberattacks; since, according to some studies, 80% of the companies that we know have admitted some act of cyberattack. And this is no longer a concern exclusively of businesses, but also at governmental scale, and also affects the protection of critical infrastructures. 36 2011 Summer Course Therefore, in view of this situation, I believe that the responses must change. We must evolve towards a new way of managing these threats, beyond the strict perimeter protection. Actually we must take a more proactive position in the fight against fraud, assuming that the challenge is on the fronts of information analysis, so we need to increase the knowledge and the behavioral patterns on conducts. Other aspects would be the demonstration of these situations of fraud, many times something very complex; the aspect regarding investments, which are never enough; and the dynamics of business, where it is often difficult to put reasonable security levels to avoid fraud. Alfonso Martín Palma Head of Cybersecurity INDRA In our Organization, when it comes to identify new threats related to technological fraud, we focus on three aspects: the techniques used to attack; the technologies that are being attacked, and the change in profile of the attacker. Regarding the techniques used to attack, we think that while new threats have emerged, the fact is that the counterattack matter is mature enough. There is no doubt that we need more investment, and that the attackers are becoming more sophisticated; but we can also argue that our level of response has increased in strength and maturity. Centro de Investigación para la Gestión Tecnológica del Riesgo
  150. 2011 Summer Course On the other hand, mobility, social networks or the geolocation are some of the new technologies targeted by the latest attacks. What is also called “the Internet of things” and the critical infrastructures, where an attack would allow taking control of assets as significant as running water, electricity power or natural gas, and communications. In my opinion, there is a risk in all these scenarios, as in many cases cost savings and ease of use have more priority than security, and this can sometimes lead us to a system more vulnerable than before. The change of the profile of the attacker is posing a more drastic change in the current situation of attacks. We are facing traditional terrorist groups, but also groups of cyber-anarchists, the antiestablishment people, and inside these we see the so-called “outraged”. The best of these groups is the great mobilization capacity of the like-minded people, which at any given time can perform combined simultaneous attacks. And, finally, cyber-defense and cyberwarfare will be the biggest changes in this landscape in the coming years. There are already acts of war in the cyberspace, it is already known that Russia was behind the attacks on Estonia, we also know that the Chinese are very active although they are more based on the side of espionage, actions on the Canada channel or in Canadian ports have been already detected to control sea traffic… or the actions developed by the United States or Israel, or jointly, to get Iran’s nuclear program damaged. Here cyberwarfare is already mixed with the protection of critical infrastructures. Centro de Investigación para la Gestión Tecnológica del Riesgo The technological fight against the organized fraud In these circumstances, what we have to do is to change our strategy and invest more in cyberintelligence, and thus take advantage of all the experience, both in the virtual world and the physical world. And moreover, I consider it is essential that Nations begin to consider technological fraud as a matter of national defense. It is necessary that the Nation guarantees the security of citizens and enterprises when any of them operate on the Internet. I think that it should be something not only linked to the business world, it should not be just the responsibility of the companies in the sector, but also governmental. Just as we have services such as the police department, army, fire department, etc., also the Government can ensure our rights and interests in this area. Thus the first steps have already been taken. U.S. and NATO have their own cyber-defense Centre, and in many other Western countries are launching similar initiatives. Rafael Ortega García Advisory Partner at Ernst Young (Currently responsible for the area of Governance, Risk and IT security of Solium) Honestly, I have no idea of how to raise the advent of the future based on the vision of what we have now. What I believe is that we face a major problem hindering progress, and the fact is that we have been 20 years with the same security model. 37
  151. The technological fight against the organized fraud With the emergence of the Internet and data protection, we have created a very comfortable environment, where I handle the analysis of risks management, my ISMS, my compliance, and my vulnerability management, and there I am quiet. And, on top of that, I’m subcontracting. And this comfortable environment is the problem, because it creates a false sense of security, which in many cases makes us difficult to approach an environment of uncertainty, where we really should be to grow. The key is that we must stay and handle in an environment of uncertainty. And for that to happen we must maintain a state of permanent alertness, prepared for an impossible. On the other hand, I also believe that we have made a lighter security, and now the “bulls” that are approaching us are bigger. Now we create predictive models, but for this we must have saved historical records…, but how many do we have saved? And this is one of the main fronts where the security people have thrown ourselves into and now have to make a stop. At the same time the key question in these points is the team, the human factor that can fight and give answers to what is coming… and this is only provided by the experience, training, and continuous education. 2011 Summer Course Thomas Roy Catalá Director of the area of Quality, Security and Relations with suppliers. Centre for telecommunications and information technology (CTTI) Generalitat de Catalunya From my perspective, there are new threats; and within them, another problem, which amounts to a challenge to solve: a big budget cut amid the crisis, which generates big risks of viability to the type of projects and services that should be provided and how to fit into this. Another threat is coming from the creation of transformation processes and services, and technological transformation processes, which are summarized in the motto “more for less and better”; and, in addition, we are also having problems of obsolescence of applications and maintenance of services. They are threats, therefore, which we are not used to (in Catalonia we are, for the first time since last year, in a situation where there is no economic growth), and against those the CESICAT (Centro de Seguridad de la Información de Cataluña), with its Computer Crime Unit, cannot fight. Now, we are monitoring social networks to find indications of new movements and criminal actions. In this sense, we cannot obviate the attacks we suffered, just like other agencies, coming from citizen groups. We suffer from different types of attacks, such as those concerning the data integrity, the image of the Agency, of economic type or denial of service. 38 Centro de Investigación para la Gestión Tecnológica del Riesgo
  152. 2011 Summer Course Apart from all this, there is a threat that worries me especially and it is the one concerning critical infrastructures. Here there is a criticism that I would like to make, because ICTs are not included in the plans of civil protection, however heavy snowfalls, floods, etc., are included. ICT are never considered, and it would be interesting to raise in these scenarios the recovery and resilience of ICT. And secondly, I also advocate the development of an action plan when the ICTs are the factor of attack. In other words, we develop a recovery plan when the attack, as is happening now, is targeted against the business. In essence, we should focus our efforts, in this order: critical infrastructures, business continuity, and services assurance. And after this, two very important topics we have been dealing with from the security area, the applications performance and the infrastructures. And we have the challenges of the logs management and the monitoring. I think that times will change. It is true that we have lived a period of comfort, but these attacks will put the head of security in a position of responsibility, leading him/her to make decisions. Here I make a very brief reflection: all companies that hold assets define people responsible to protect them and ensure that they will be supported over time (may be money, the human resources part, etc.), but there is one that remains largely unprotected: information, maybe because the CISO is not fulfilling his/her job. Centro de Investigación para la Gestión Tecnológica del Riesgo The technological fight against the organized fraud Juan Salom Clotet Major of the Civil Guard and Head of the Group of Telematic Crime (currently Director of International Security of the Santander group) I am going to talk about two scenarios which for me are two new threats in the technological fraud. The first is the socialization of technological fraud and the second is on-line gaming. With regard to the first point, and this can be a priori contradictory with what was said here about the specialization, I believe that we have gone from that particular pairing we saw between hackers and specialized crime to exploit the electronic banking (today I already think we can say that the banks have won the battle, minimizing the impact of these frauds) to the fact that currently they do not need money nor being organized to commit a crime of technological fraud. The business of malware is designed and sold at a very low price, as demonstrated by, for example, the “Operation Mariposa”, where some kids had bought some botnets for 500 euros, able to control an incredible quantity of systems. We are no longer talking about organized groups, but about small groups who buy malware, a botnet, or another tool, and exploit them. We are lowering the fraud to the mini-fraud, where the victims are multiplying. And this is focusing, mostly, on e-commerce. And we are witnessing an important movement of loss of confidence in the entire system, in the businesses, in the Internet. 39
  153. The technological fight against the organized fraud On the other hand, and as I pointed out before, the second stage of technological fraud is online gaming, which is not regulated, neither for the services delivery nor for the fiscal aspect, even though we have introduced an Internet gaming law; but in my view is very open and lacks regulatory development. From our unit at the Civil Guard we have lived situations that either become a money laundering scene for other criminal acts, or carry out criminal practices in the game itself. Here it is very difficult to keep track, because gaming is ruled by multinationals or groups that operate internationally, and safeguard the profits fleeing to tax havens of the network. Marta Villén Sotomayor Department of Logical Security and Fraud Prevention. Telefónica Spain I’m going to talk about a very specific case, the fraud we suffer from in the telecommunications operators. How it has changed in recent years and how now is becoming a fraud to the customer, not the operator. We talk about micro-frauds and a large number of clients. The first documented case of telephone fraud was dated in 1958, carried out by a young American 9 year old blind to the Bell Company. He discovered that a specific sound activated the PBX programming mode, and so he called for free. 40 2011 Summer Course After that, we came to a time where the mafias carried out detailed attacks to an operator, or several; but now the picture has changed. Before we were fighting against a fraud of establishment of booths, and now they are real sinks of traffic on the network, where fictitious traffic for the “bad guys” enrichment is performed. Last month we suffered an attack where several telecom operators were involved. The fraud was originated by Vodafone phones calling en masse to a single Movistar phone which had automatic call forwarding to a Telstra phone, which in turn made an international routing ending in a French operator… Call diversion has been the latest scourge to all operators, and fortunately we didn’t allow it for international call, which has freed us from some fraud. And how are these frauds carried out? It’s very simple. There is a whole marketing industry of specific devices for such a task, which can cost 400 euros. Machines like Simbox, the Pool GSM mode… In addition, they have mechanisms to be able to rotate the SIM cards so they avoid seeming criminal, so that all the detection and patterns algorithms we had are no longer useful. Their power is noteworthy; they can send up to 42,000 messages within 24 hours. But now, as I pointed out, what they are doing is to attack directly the customers. I take as examples Centro de Investigación para la Gestión Tecnológica del Riesgo
  154. 2011 Summer Course the following two: last year we had an average of one attack per day on the switchboards of customers, where they compromised the security and charged them calls; and the recent attacks on two social networks. In one of them, Tuenti, they made a phishing spreading among the contacts to obtain a fraudulent subscription. Marcos Gómez Hidalgo Assistant Director of programs. Operations office. National Institute of Communication Technology (INTECO) From the 15,000 Incidents that INTECO usually solve per year, related to end users and SMEs, nearly 40% deal with electronic fraud issues, about 7,000. Of these, more than 90% deal with attacks based on social engineering. This being so, and according to a study on fraud, carried out in the last quarter of 2010, 53% of users declared to have been victims of an attempt (not necessarily accomplished) of fraud in the last 3 months, highlighting the invitation to visit a suspicious website (35% of the cases), fraud through email (26%) and through suspicious job offers (21%). On the other hand, among the forms that the issuers of suspicious communications take, we highlight the banking identity theft, e-commerce and buying and selling webpages and online lottery and gaming. Even so we are optimistic, 95% of Internet users said not having suffered economic damage in Centro de Investigación para la Gestión Tecnológica del Riesgo The technological fight against the organized fraud those last three months (and those who have suffered from it, in an amount not greater than 400 euros). In addition, the number of banking Trojan horses has been reduced throughout 2010 in almost 4 percent, staying at 39%. We have not registered many micro-frauds on mobile devices. Social networks, on their part, together with mobility, are the real crux of the matter for us. And on top of this, at government level, we have the protection of critical infrastructures, where we work actively with ENISA (European Network and Information Security Agency). However, I continue to emphasize our work in threat detection, which also follows the lead in Europe. The European Commission has created a CERT, named EUCERT, (though it still doesn’t have the competences and objectives defined), we hope it will do a work of coordination bearing fruit soon. We also have to highlight the Cyber-exercises. The first European cyber-exercise was carried out in 2010, where more than 400 incidents were solved in real time; and in 2011 it was carried out along with the US Homeland Security Department. In our country, the Spanish Security Strategy stands out, where we have collaborated on the drafting of the chapter on cyber-security, in which appear the roles of the administrations that will be devoted to protect in cyber-security the citizen, the companies, the country... and in which we will see future Royal Decrees articulating this issue. 41
  155. The technological fight against the organized fraud DEBATE To what extent is compatible to combat new threats with reduced budgets, as we now have? Tomás Roy Catalá: when you have to make a budget reduction it does not mean that everything, and always, will have to be reduced. In the end it is a matter of common sense. For example, we have avoided redundancy, and make the most of the security capacities of the network devices. And how do you make also the reduction in RD compatible with this budget reduction? Fernando García Vicent: The level of threats existing today, makes us to be more effective and efficient. We cannot continue to pose the same methods as before; and also requires us to have more knowledge of the technology and available devices. It also demands us more efficiency in each organization’s internal business processes. Have you turned into something positive the attacks suffered in your organizations to achieve greater valuation and justify the need for greater budgetary allocation? Marta Villén Sotomayor: I really think so. We must take advantage of these incidents to further raise the awareness of senior management. Tomás Roy Catalá: It has created us a level of high interaction and a greater awareness; on this side very well. Although I would like to make it clear that we have to assume responsibilities in any case, not delegate them and act in case of crisis. 42 2011 Summer Course Marcos Gómez Hidalgo: We have been reactive, and I say this with regret. And I think it is much better to present our Department by the incidents that we have avoided, and not by other type of news. Are we losing the battle against the “dark side”? Marta Villén Sotomayor: In my opinion, we have not lost it. I think it is a very difficult battle, and always keeps us active and innovating. Juan Salom Clotet: I think they win by a mile. Because we have tools to fight, but the problem is that the “bad guys” work with impunity. In addition, we look at the large sums, but really this scenario is riddled with small offences, where often they don’t reach 400 euros. Tomás Roy Catalá: Regarding the “dark side” I have to say two things: not all are crimes, as demonstrated by some actions of organized citizen groups; and I think that we must seek other channels, because there has been a certain manipulation in this game to go against public institutions. Rafael Ortega García: The fight has always existed and will continue to exist. I am as pessimistic as Juan Salom on the legislative part, but I also believe that this makes the technology evolve. However, the offences that do not come to light are what matters most to me, remaining inside the company. Fernando García Vicent: I would add to the feeling of impunity the big lack of awareness that seems to exist in society and enterprises. Centro de Investigación para la Gestión Tecnológica del Riesgo
  156. 2011 Summer Course David Barroso: They are quite ahead of us and are more determined. And we are not creating tougher laws to compensate. Marcos Gómez Hidalgo: It is also a matter of image, with figures such as the Cyber-Czar of the security. More than 40% of the attacks come from the US... they come to stop to Europe, but we are not going to stop things there. How do you see the role of regulators in the field of information security? Rafael Ortega García: Europe is hyper-regulated, so I think that either we minimize the transpositions, for example, or it is impossible to deploy them. I would like to count on a regulation by sector, and it would be enough. Centro de Investigación para la Gestión Tecnológica del Riesgo The technological fight against the organized fraud Elena Garcia Maestre: It is important to regulate and define some common frameworks for action and homogenization, always with a dose of reality, without it being “regulate for the sake of it”. And, in addition, we should be more exquisite, because I see an over-regulation that is never supervised. Fernando García Vicent: The legislation will be always behind. We require a work of coordination and implementation from the States, both at local and European levels. Alfonso Martín Palma: It is surprising that there are sectors where there is no regulation to the effect, especially in the US, as in the nuclear field. I believe there must be impositions in the field of regulation, because, as we know, if things are optional, they will be applied seldom, if ever. 43
  157. The technological fight against the organized fraud 44 2011 Summer Course Centro de Investigación para la Gestión Tecnológica del Riesgo
  158. 2011 Summer Course The technological fight against the organized fraud THE RISE OF CYBERCRIME: HOW LAGGING SECURITY MEASURES FUEL THE GROWTH IN ORGANIZED FRAUD Richard Stiennon (Chief Research Analyst. IT Harvest) ybercrime has increased dramatically over the past years even though the strength of the inhibitors has also increased, such as a greater security and a more fruitful international cooperation to fight it. Although certainly, there are also more and more powerful drivers that promote the ease of attacks, such as the ubiquity of Internet, the advent of electronic commerce and the emergence of a identity market, that have essentially brought new vulnerabilities. The identity market subject is especially complex and harmful. Here the hackers specialized in stealing identities from the banks to sell them Centro de Investigación para la Gestión Tecnológica del Riesgo later in the market where the fraudulent card manufacturers used them. They resorted to the recruitment of people from within the Organization, using the privileges of the people in networks. And there they got organized in large fraudulent companies dedicated to buying and selling identities and specific tools. The problem here is that anyone who has access to the information becomes a potential thief. But that can no longer be so, because it is as though you could not trust anyone. We are entering the phase of what we call hacking of business processes. And what can somehow 45
  159. The technological fight against the organized fraud break this trend is the international cooperation among all legal forces. While many efforts have been made, it is still a very slow process, since even if a country captures its own criminals, the world and threats are global and we end up encountering criminals in other countries, such as Russia, which holds the lead on these activities. The worst possible scenario A couple of years ago I was asked to give a lecture of 10 minutes to present the worst possible scenario that we can arrive at with regard to cybercrime. In my view, what we can get to witness is how the cyber-criminals could greatly influence jurisdictions and legal environments of the different countries of the world, imitating the Italian or Colombian mafia. And in fact, this doesn’t sound like a story, because for example in Russia the cyber-criminals already have access to many environments in the institutions of law enforcement. Cybercrime began with the arrival of e-commerce webpages and the desire of their owners so the more users they could attract the better. What happened then, in those early days, was that hackers stole information and received their searches through the computer. That time was characterized by working by means of statistics, appearing multitude of computers infected with worms, adware, spam, etc. 46 2011 Summer Course In 2004, this scenario came to represent a 2.4 billion dollars business, according to estimates by Webroot. Israel experienced a few years ago an especially significant case of cybercrime, involving the Bezeq telephone company. There, a consultant modified and marketed a specific software, and sold it to private researchers of Israel so they could use it later to infect their objectives. In turn, Bezeq hired private investigators to spy on other mobile telephony carriers. All this was discovered when the company realized that their information was being transferred to other computers in Germany and United Kingdom. This was the first case of data hacking services in “the cloud”. United Kingdom has also suffered especially painful attacks from cyber-criminals, like those that occurred in more than one bank of that geography. In essence, I believe that there are parallels between what happened in Israel and what occurred in Great Britain: that in both cases there were people involved inside of the organization, who were able to install some inhibitors of security without major problems. In England, for example, they gave them the passwords in order to enter the branch and transfer 120 million pounds to various banks around the world. I can also provide the example of a British chain of stores where some criminals replaced the credit card terminals of the store, in such a way that every night they stole data from all those that used the credit card to pay. In the end, the hackers Centro de Investigación para la Gestión Tecnológica del Riesgo
  160. 2011 Summer Course managed to steal identities from more than 100,000 people. These examples I’ve put and the many others that we all know make us raise the following question: we all know how costly is to make the necessary investment to optimize and assure the security of our business, but it is also true that an attack can cost us a large sum of money, so, what is it better? What do we prefer? Business process hacking A very important step that organizations around the world must take to consider that their information assets are safe is to have very clear strategy is case of hacking of business processes. In this sense, we can address this problem by taking four steps: first, identify the business process (i.e., when the essential business movements are performed, when the money changes hands exactly, the operational procedures, etc.); second, identify key vulnerabilities and trust relationships (with customers, with partners, with the staff from within the Organization, etc.; in essence, with anyone who can access the information of our company so they could cause a significant damage to our assets); third, define what information or organization asset is likely to be stolen so it turns into something useful and profitable that can bring large sums of money to those stealing them (here it is important to note that the value of this information or assets is not so much what it means for us or the organization itself, but for the market or competition); and Centro de Investigación para la Gestión Tecnológica del Riesgo The technological fight against the organized fraud four, monitor our systems so they provide us the information and records regarding the steps our data goes through. When I really understood all this I have just explained, we tirelessly look for vulnerabilities and attempt to access them directly trying to mitigate a possible attack against them. It is also important that we resort to doing an audit if necessary. The danger of internal staff In order to illustrate how dangerous might be not paying enough attention to internal staff loyalty, I shall comment on two cases of fraud in the US, one involving a computer manufacturer and another one of a railway company. The computer manufacturer hired us in 1998 to make an assessment on their e-commerce web page, which according to them was the number one on billings. We tried to find a way to enter and break the security of their Cisco routers, Check Point firewalls, and the remaining components of their security systems. But what I also began to study immediately was their business model. I realized that with a simple password you could enter the VIP account, where the instructions on how to obtain the latest computer of the company were clearly shown. We then realized the scanty security that this company had on their website and, by extension, on their business. And hence it was the first time that I could identify a breach of security in a business process. 47
  161. The technological fight against the organized fraud 2011 Summer Course And I also remember from that experience how difficult it was to convince management that there was a problem they should be responsible for, which it was not exactly a problem of the department of security, but of the business model itself. systems, so that they could resale them immediately afterwards at sites such as StubHub.com or TicketsNow.com for $1,000. There was also another method that involved buying seats by scammers and prevented others from getting seats. On the other hand, regarding the business process analysis of the US railway company, where during the night someone was stealing the goods from the cars and precisely, the most valuable cars, we realized that all the staff could have access to the sale of tickets on the Internet and we knew by intuition that the “bad guys” worked with someone from inside who could be providing information about what cars contained what freight. We can also mention what was known as “carbon credits”. It was a phishing attack launched against a dozen companies in 2010, which affected seven of every 2,000 German companies. A total of $4 million were stolen by transferring to two accounts owned by the attackers. The “feat” was repeated in 2011 and then they managed to steal the Romanian subsidiary of the Holcim cement company with a total of $36 million. More attacks More succulent objectives As we can see, the world of attacks is diverse, but above all it is very easy to violate the privacy of data from many websites where, in many cases, someone has not been very aware of how dangerous was to leave their systems so open and with so many vulnerabilities. That being so, we realize how exposed we are (although many times we don’t think so) to attacks of all kinds and condition. We have witnessed attacks of all kinds over the years, where some of them were even pretending to show the system vulnerability to the world. For example, in 2008 there was an attack that involved placing false news in the on-line press. The attackers did it in a way so simple that it turned out to be alarming they could carry out a threat of this kind with impunity. Another well-known fraud was the electronic tickets one. In the Indian railways, the hackers worked with confirmed tickets, avoiding fraud detection 48 And the sequence continues. Because, while the attackers have chosen specific forms of violation and sometimes more sectorial in the past, in the future we will see an explosion of threats that seek bigger goals. Then, the security that we have used for years to protect our systems is no longer efficient enough to save us from threats that have optimized their routes of entry to our systems and, in many cases, without a trace. That is why it is urgent to find a new security that really serves us to confront new challenges and new threats. Centro de Investigación para la Gestión Tecnológica del Riesgo
  162. 2011 Summer Course The security we had ten years ago is no longer valid and we have to realize this as soon as possible to respond to attacks that, finally, can go directly against the “Crown jewels” of any company. At the same time, we must pay close attention to new forms of malware, more and more sophisticated, as we have seen. There is one that especially catches my attention and is known as TDL-4 or Alureon, which is a malware of botnet type that (since version 4) is considered by the experts in computer security as an indestructible virus. Its constant update affected more than 4 million computers in three months. In essence, it works as a file that is installed in the core of the computer and makes possible to insert up to 40 different forms of malware in it. It has a proxy service, which can download and perform searches on websites through anonymous proxies. This is the reality of this threat and we have to fight against this one and others alike. And one of the best ways to do so is through the trail of logs they leave, so the best recommendation is access these logs and follow the trail that the attackers have followed in their action. The technological fight against the organized fraud Here it’s inevitable to have authentication functionalities so that we safeguard the funds of our company and protect its financial assets. It is also important not to leave unprotected our part of logistics, where any attack on our truck routes can be very attractive; as well as energy, natural resources, utilities, etc. platforms (here it is important to avoid being constantly attacked as it happens to the Japanese with their Chinese neighbors, who do not hesitate to attack them in their attempt to control all the raw materials in the world). We must also safeguard everything related to the workers payroll process, so we don’t go through the same that happen to an American company where someone stole the signed checks distributed to their employees with a fleet of trucks. The place where these checks were printed had a pit to prevent trucks and any possible attacker from accessing the inside, but in the end the attack couldn’t be avoided. Vulnerable business processes Gambling and gaming websites, with transactions of millions of dollars, are also subject to violation. And since 2004 there are very famous cases of attacks extorting money from the gambling websites, and these attacks are growing. I’m always surprised at how remarkably easy it is to make a denial of service attack. In order to better understand how to defend ourselves from what and from whom, let us also review the business processes that are particularly vulnerable, as the treasury functions. In short, trading depends on trust, and if there is no confidence, it fails. People no longer trust in businesses, and I think that it is going to be harmful to everyone. Centro de Investigación para la Gestión Tecnológica del Riesgo 49
  163. The technological fight against the organized fraud 50 2011 Summer Course Centro de Investigación para la Gestión Tecnológica del Riesgo
  164. 2011 Summer Course The technological fight against the organized fraud FROM HACKING TO ARTIFICIAL INTELLIGENCE Víctor Chapela (Chairman of the Board. Sm4rt Security) iskVolution is the name of the book that, along with my colleagues, I am finalizing to address the risk evolution. With my presentation I will try to bring over to the attendees how the definition and design of the content of the volume has been done. Firstly I will devote my presentation to show the hacking options in a given system to reach the users database, applications and take control of the operating system and the information. Basically what we did was to connect from the web and enter in the database, which in turn allowed us to take another base and connect back Centro de Investigación para la Gestión Tecnológica del Riesgo to the operating system, installing privileges so it sends us an access later. With all this, I am asking myself how I can automate hacking. In this process we have found a total of ten points where we’d been able to stop the hacker attack, ten points where we could change our strategy to avoid in the future being subject to these threats. The understanding of how to shape hacking so it could be automated led us to understand on the other hand how to shape much more complicated things such as, for example, how to modify protection in those ten points mentioned above. 51
  165. The technological fight against the organized fraud 2011 Summer Course The key is the synthesis Three premises of RiskVolution We have seen what they call “analysis” (either of risks, vulnerabilities…). And that is the mistake: the scientific method is dedicated to analyze, to break into pieces under the belief that the different pieces, by themselves, will allow us to bring us closer to the total or global concept. The approach we present in the book is based on three premises: those who best manage risk will prevail; the species (genes) and the communities (memes: everything that is in our mind as a standard and that is has been transmitted from generation to generation) that best mitigate their risks will survive; and those who best manage digital risk will endure in the future, something that we are not able to do now. However, when we start to separate the pieces, we lose much information of the relationship established among all of them… like the Volvo car made from lego blocks… if I give you a piece , is like not giving you anything. It is precisely this reductionism that has prevented these models of vulnerability analysis from working correctly. The whole does not equal the sum of its parts, because we missed the interaction among the parties. What is known as “synthesis” allows us to join all the pieces together, and this is precisely the model of RiskVolution. With our model we propose a new synthesis of the same pieces we all know; we are not doing something new, but adapting it to a new way. There is a saying that I like particularly, from George Edward Pelham Box, which says “In its essence, all models are wrong, but some are useful”. And I agree, all are wrong, because they are essentially just a poor replica of reality; but some are useful, like ours, which gives us new ways to manage risk much more easily than other current models. 52 Moving on with my explanation, I will now resort to the concept of “entropy”, which can be summarized as the disorder or uncertainty of a system. In my opinion, life is, ultimately, a fight against it, which is translating in diversification and adaptation to survive. However, we should take special care with “over adaptation”, if we adapt completely to the environment we will not have rapid re-adaptation mechanisms and will become extinct, as it happened to the dinosaurs. Looking at the evolution, we have the surprising capacity of adaptation of the mammals, where humans stand out especially by an extraordinary capacity to predict and find anomalies in that prediction. We predict that our table will remain the same tomorrow, and we are able to see if there is a new element. All this leads to the assertion that risk prediction allows us to adapt to new ones. Centro de Investigación para la Gestión Tecnológica del Riesgo
  166. 2011 Summer Course And we do this thanks to the sum of three capabilities that become the essence of risk management: education, experience and experimentation. Why we do not understand the digital risk Digital risk equals impact multiplied by likelihood. However, and though these basic ideas are still prevalent, in our book we have preferred to rename and convert it into: intentional digital risk equals threat multiplied by accessibility. What is the reason for this? Because these concepts are measurable and more accurate in the risk controls we usually analyze. However, can we explain why digital risks are growing? It is simple: the threat has increased geometrically; and the accessibility, exponentially. In regards to the threat, a premise which is essential to understand this growth is the implicit anonymity in the digital world. If we feel anonymous, the “bad guys” too, and they feel greater impunity in order to commit any offence. Also, it is a fact that without a perception of risk we all turn into transgressors. And in this context, the risk that exists for those who want to commit an offence in a digital environment is also lower, while profitability (which is equal to return/risk) has grown to a large extent. For its part, as we have seen, the accessibility has increased exponentially. Before we started to be connected through networks, everything was Centro de Investigación para la Gestión Tecnológica del Riesgo The technological fight against the organized fraud more secure and computers were completely deterministic. But when we were connected we lost control, and the computers also became “indeterministic”, becoming machines so complex that they are no longer predictable, due to the inability to understand the relationship among all components of the machine. It is true that we gained in value with the advent of networks, but also in complexity, because the number of users and possible attackers has grown exponentially. In short, we are facing two evils: a greater threat, due to the greater imbalance with regard to the potential risk posed by attacking; and a greater complexity. To confront these challenges we need space-time patterns, and on the Internet there is none of this, given that it can be transmitted from any part of the world and immediately, without temporary consequences. Having said that, and turning to another previous presentation, our education does not solve this problem, neither our experience… so, we still can experience as a way to find the best ways to manage this risk. At this point, how can we shape this digital risk? In my opinion, digital risk is composed of different things and we have to understand a fundamental paradigm shift, because digital risk is not what was supposed to be. 53
  167. The technological fight against the organized fraud And the error is that we start from a wrong basis, since we rely on the idea that there are vulnerabilities that have to be corrected, and secure our assets with patches and passwords but without understanding why. Three types of risks To better understand the problems we must bring us closer to the different types of risks that, in our view, are divided into: accidental, opportunistic and intentional. Accidental risks are related to the probability of a casual disaster occurring. They are linked to the problems of availability, and through redundancy we mitigate its potential effects. On the other hand, opportunistic risks are closely related to the complexity of systems and our way to mitigate them is to place protection barriers, install antivirus, firewalls, etc. Here we have to opt for a technology that mimics the health world, achieved with a sum of efforts. In essence, we try to keep our networks and systems healthy, so that we insert only healthy components, complement them with patches and updates, isolate them from external threats, generate alerts that report us any error, we will keep logs to understand risk, etc. Regarding intentional risk, while in the accidental risks “the best effort prevails” (if one works, we end up with this), and in the opportunistic is “the sum of efforts”, in the intentional what we must keep in mind is “the minimum effort”, if 54 2011 Summer Course there is any weak password on the system, our infrastructure is in danger. It is related to the accessibility to my data, and to its confidentiality and integrity and its value in the market. The formula so far was impact multiplied by probability, but in our opinion it is better to speak of threat multiplied by accessibility. The impact is determined by estimating the economic value (not only the direct economic value, but also the value of the benefit for the attacker or opponent). The probability is measured by calculating the potential connections. Intentional risk feeds on everything that we left undone in the opportunistic risk (a level of being healthy is sufficient), so here we need to free up resources for the fight against those attacks of intentional type. In view of all this, we arrive at the following conclusion: we need to accept risk. It is impossible to have the appropriate strategy because the threats and the opponents are many and very dynamic. The value of our information by data type can be set by making an inventory of the life cycle of the data, as well as determining what information has value for potential competitors. We can also generate policies, definition of controls, standards and procedures, and then implementation and auditing. How to calculate the vulnerability To calculate the vulnerability, which is not other than accessibility, we can convert all users and Centro de Investigación para la Gestión Tecnológica del Riesgo
  168. 2011 Summer Course accesses into the vertices of a graph. And we can see how they are connected, since at this junction is where risk and vulnerability are. And in fact the most valuable is the easiest to hack, for example the database, because it is connected with tens of applications, and all kinds of protocols. Once we understand these interconnections between the nodes, we can manage differently. Managing access in “the cloud”, where we can have a single point of access, is simpler than, for example, in the email, where the administrators of the domain, the server, the email… can be connected. The “cloud” gives us the ability to manage these accesses, the key to the intentional risk. Then, on the one hand, you have it virtually separated from where the risk is (clients, suppliers…) and, on the other, it concentrates us the access points, which is very advantageous. The technological fight against the organized fraud In any case, we must keep in mind that the accessibility has a negative effect within our Organization (the more privacy, the less availability), therefore many times it’s easier to manage better the other two vectors. Strategies to manage risk At this point, we are approaching the most optimal strategies to manage risk: filter and isolate, for accessibility issues; dissociate and separate, for items of value; and monitor and record. And each one of them allows us to do different things over time. Here we can highlight, for example, standards such as PCI, where they say “don’t put everything on the accessibility”, do not encrypt everything and separate part of the information to decrease its value. However, we should be especially careful with the redundancy issue, which we have been resorting to throughout our lives. In order to reduce the risk of our organization we have two ways. Regarding the control of accessibility, we can reduce it by means of filtering, isolation, authentication, etc. And on the profitability part, we can reduce the anonymity and its consequences, and/or reduce the value (“an unsigned check that is worth almost nothing”). In my opinion, on the other hand, it has nothing to do, and it’s even at odds, so we must be especially careful with how much redundancy we are going to put because if we have an alternative data center at the end we will have duplicate controls and will be more vulnerable. The idea is that we can use these three vectors (accessibility, anonymity and value for third parties) on a daily basis to see how we manage risk. I can reduce the three axes of the graph, but I can also reduce only one; which all alone halved my risk. We have worked with the IFAI (Federal Institute of Information Access and Data Protection) in Mexico, in order to “avoid unauthorized access to the personal data saved by the person in charge”. Regulation tells you what to do or not do in terms of privacy, but we must also handle volume: Centro de Investigación para la Gestión Tecnológica del Riesgo How this is related to regulatory compliance 55
  169. The technological fight against the organized fraud the greater volume of data, the higher the risk; and the greater the volume, the higher the risk, therefore controls will also be greater. What we are going to use to cover these risks is, precisely, what we said before: filtering, dissociation and monitoring. It will be suggested to keep a maximum area per risk level (remember there are three, accessibility, anonymity and value for third parties), and here we can choose among different controls to reduce the area, giving them a certain score on each vector in order to determine how much we’re increasing or decreasing the security of our information. This action is very efficient for the company, because you can choose your own controls; and effective for the person because for every vector we mitigate we get a direct impact on the reduction of the potential risk to the company’s data. 2011 Summer Course We think that just as we have developed a few memes to manage risk, we now see how this risk management is beginning to shift to our systems; in such a way that there will be a level of abstraction that will enable our teams to manage the risk that we cannot manage. For example, this can clearly be seen on credit card fraud. There is currently a research project on the subject that is not looking for the traditional analytical approach (“we would have 7 million ways to see the data and we’d go crazy”), but face it using the sequences of these frauds and with models similar to those used by the human neocortex, of hierarchical temporal memory, allowing us to understand space-time patterns. “Cyber-memes” and negative databases On the other hand, we are also beginning to work on “negative databases”, which come to emulate the immune system, “they have to react against things that have never seen and generate new antibodies by comparing them with the previous ones”. In conclusion, I would like also to talk about a very particular risk management mechanism, which we have called “cyber-memes”. In short, we are at the beginning of a new journey and these contributions will help to support future security and risk management disciplines. 56 Centro de Investigación para la Gestión Tecnológica del Riesgo
  170. 2011 Summer Course The technological fight against the organized fraud LEGAL CERTAINTY AND CRITICAL ASPECTS OF DATA PROTECTION Francisco Javier Puyol (Director of Corporate Litigious Legal Counseling BBVA) ith my presentation I would like to achieve two things: give a critical view of the current situation and provide elements of reflection on the way of data protection. We cannot ignore that the world has changed and continues to do so rapidly, and that in this sense globalization is affecting the legal certainty of the most sensitive data. There is a change and we have to be realistic in this definition. Today, when we speak of data protection we are faced with a situation of third-generation data protection, it is no longer the law and regulation what concerns us, nor the complex legal relations Centro de Investigación para la Gestión Tecnológica del Riesgo from the commercial point of view, but the fact that we are in something else. We are immersed in new worlds such as social networks and cloud computing, and with elements that set a new pace, such as selfregulation or the shift towards the privatization of data protection through corporate rules, the BCRs (binding corporate rules). In essence, moreover, it seems we are changing the landscape of the strictly public on data protection to a more business oriented, more private vision. Lack of adaptation of the regulation These major changes in society, on the basis of an ever-increasing technological development, 57
  171. The technological fight against the organized fraud 2011 Summer Course make it essential that the regulation changes and evolves to adapt to society and to the technological development, and that’s something that is going much slower than necessary. The law of data protection of 1992 lasted 7 years, and the law of 1999 is already lasting too much. It is true that the regulation handbook has included fundamental reforms that the law needed to evolve, but this is not enough. New legislative developments What we need is to “go to the simplicity of models”, towards much simpler models from the regulatory standpoint. And towards an international vision, which is essential in a globalized world as the current one. Also, from the business standpoint, data protection clashes with realities that we must bear in mind. Many companies are working to comply with the minimum and the basics, they are more or less reliable, but opt for more cosmetic than substantive data protection compliance. And this has to be eradicated because otherwise, the rights of citizens are not met, the habeas data set forth in article 8.4 of the Spanish Constitution. It is very important to realize that we are in an environment with many legal loopholes, due to the speed of technological development; and also we have contraindications from the internal regulation standpoint, but above all from the demands of the commercial legal traffic affected by privacy. In this context, we highlight the event of the International Conference of data held in Madrid a couple of years ago. The topic discussed there was the development of standards with regard to international transfers of data, mainly based on the European Community directive and the Spanish legislation and with the values that the international data transfers must have. It was an attempt to normalize this matter, where they also opted for the creation of new figures, such as the “data recipient”, which can have a scope other than the party responsible for the file or for data processing. 58 On the other hand, we require awareness of the right to oblivion and a questioning on some aspects, such as the fact that the security element is the pattern element of international data transfers. It is necessary to go to more generous models, which allow us to have a global perspective. This issue of formal cosmetic compliances, but lack of effective compliance, which also shifts to other topics such as cookie policies, needs another treatment from the business standpoint, and that is materialized in what is known as social responsibility. Like the auditing systems, regulatory compliance controls have to be mandatory in any company, as well as the integrity of the rules. Until we get that done, there will be a hint of compliance, but the citizen rights won’t be respected. Competitive advantage for enterprises Another point to keep in mind is the consideration of the regulatory compliance as a value and competitive advantage for the companies that Centro de Investigación para la Gestión Tecnológica del Riesgo
  172. 2011 Summer Course fulfill it, something that does not happen and would be very interesting to pose. In our country, both the law and the regulation handbooks foresee developments in this regard. Thus, companies that are committed not only to obbey the law, but to establish higher standards of compliance, could see their attitude valued from the reputation standpoint, so the market knows them for fulfilling the canons of data protection, representing a competitive advantage over other entities that don’t have the same level of awareness. On the other hand, I believe that the legal authority to sanction of the data protection organization itself has to be reviewed, because sometimes there is duplication of sanctions because it was already foreseen in type codes. And this is the case with BCRs. It is all right that groups can establish internal rules of international data transfer, that we intend to privatize. And this is quite logical if it has a transnational character, but at the national level we must reduce the bureaucracy either when it comes to reduce these international data transfers or when it comes to create some internal BCRs that do nothing but make life difficult for us. Self-regulation * On the subject of self-regulation, I believe that we have to overcome our fear, as it can destroy the experience of data control. Although, however, * Note from Translator: Self-Regulation is a general concept used in other disciplines. The actual translation should be “Self-Regulatory Organizations”. Centro de Investigación para la Gestión Tecnológica del Riesgo The technological fight against the organized fraud we have to do with control, since self-regulation alone can bring about situations of denial of fundamental rights. Little by little we will have to adapt this model to the European level, which is regulatory, and that can leave gaps to this model of self-regulation. And an example of this is the internal self-reporting system. It should not be forgotten, moreover, that the data protection model is not only a legislative model, but also is a cultural element, which is linked to the development of society, to the citizens awareness as consumers, who can exercise their rights against the owner of the files. It is necessary to have a cultural component, because if we stay only in the formal nature, it is more complicated that permeate in the awareness of the citizens. New regulatory model A very important criticism we can make is that the data protection model seems like an untouchable model, but it’s been two decades since the first projects, and now we require a serious reflection on the model of regulator that there has to be in Spain and in the European Union. Our model is fundamentally based on supervision and sanctions, and I am not personally in favor of having as the only criterion the punitive action. It is ok, but it should not be the only one. The formative action is also important, and even some criterion again, as the reputation that we talked about before, according to which citizens can get to know what parties responsible of files comply or not with the rules and to what extent, and so that is an element of attraction. In my opinion, 59
  173. The technological fight against the organized fraud beyond the punitive model, we should advocate for the formative and the reputation ones. And here, in a new model where the reputation elements were introduced, the positive incentives would come. We are not talking about giving incentives for companies to comply with the law, but treat this fact as a starting point, as a required minimum, and encourage those corporations to develop an orthodox compliance and an effective guidance in the framework of a proactive policy. The incentives that could be proposed can pass for being facilities in various proceedings and actions, bureaucracy reduction, social transmission of such compliance so that they benefit from the competitive advantage that we saw earlier. In the end, data protection is also a matter of free competition. Regulated markets entail the existence of ethical companies that compete on equal terms. For this reason, this must also be related to other areas such as competitiveness and unfair competition, coming to be regarded as an act of unfair competition the act carried out by a company “cannibalizing” data. That’s why the regulator itself should have in these cases the necessary sensitivity to assess that there is an irregular use of them. We also need a model to anticipate problems and that is not going behind the circumstances ,and which follows international examples, as the Mexican wake that also deals with legal persons and not only natural persons. On the other hand, the data protection model should adapt likewise to every area of the 60 2011 Summer Course industry. And accordingly there shouldn’t be special regulations every other minute, and that the agency would be forced to admit exemptions to the organic law and the regulation handbook to prevent the sectors from coming to a standstill. Another element to take into account is the importance of consumer associations, but at the present time they are not fulfilling their role. We are facing very serious and technical matters and we come across this loophole. Questioning legal certainty There are matters governed by commercial, criminal, civil or administrative law where the application of these rules of substantive law collides with the existing rules on data protection, and it is necessary to find a criterion of interpretation to apply privacy rules. Nowadays, any contract needs not only the substantive legislation but also that vision of data protection and we need an integration, because otherwise or we comply with the substantive legislation and make irregularities in the data protection or comply with data protection and, however, we make irregularities from the substantive point of view. This is also the same occurring with the special legislations, such as video surveillance, private security, financial law or money laundering and financing of terrorism. That may make an ordinary law breaking an organic law, as it is the case with the financial o terrorism funding law, as if you comply with it, many times you don’t comply with the specific one for data protection. However, Centro de Investigación para la Gestión Tecnológica del Riesgo
  174. 2011 Summer Course in the new joint regulation between moneylaundering and financing of terrorism, there are specific rules on data protection, where it used to be a completely abnormal situation and that let the organizations choose freely to comply with one or the other. In addition, it is also necessary to combine data protection with new technologies. And this seems simple, but it poses a huge conflict from the legal point of view, which needs solutions. In the light of this, we are approaching new perspectives on data protection. It is an area of business in relation to company directories, professional directories, professional data and the concept of personal agenda. As all of these concepts are interrelated, it is necessary to simplify the models to avoid grey areas of regulation. The technological fight against the organized fraud contract has ended and I block it, and when the three years period ends I delete it because it has already prescribed (or six years period, according to the commercial code). But we may find paradoxical situations such as, in the case of a bank, once data is deleted I go to court for discrepancies the customer on the current account operations, the judge will sentence me because I cannot defend myself for making an orthodox observance of the law on data protection. And this is nonsense. What I say here is that you should not opt for the responsibilities deriving from the treatment because you’ll end up defenseless. That is why it is important that we take as a reference the derivatives of the underlying legal business, and, specifically, the time of limitation of actions that may be exercised against me in the contracts that I subscribed. Furthermore, also it is imperative to promote the delimitation of certain concepts, such as the cancellation rights, oblivion and revocation of consent; as well as the cancellation, blocking and deletion of data, where it is necessary to find a much simpler regulation for the citizen. Similarly, we must be bet on the principle of quality of data and updating them ex officio, encouraging the updating of those. In addition on models that help to build instead of those that only punish, as I said before, because, for example, in the field of data cession, where I need consent, it turns out that in case of problems I come across a duplicated doubled sanction with respect to the provision of services. Another issue relates to the responsibilities of the party responsible for files. On the one hand, there are derivatives of data protection, and, on the other, those derived from the underlying legal business. With regard to the former, they have a limitation period of three years, in a way that if I delete the data within three years, the Regarding consent, we need to use authentication to be able to truly verify identities, and that has a different legal regime. And of course we must be very careful with the tacit consent, as its use is being enabled but it’s not accompanied by a control of how and for what is used. It is surprising that the rigor of the AEPD (Spanish Delimitation of concepts Centro de Investigación para la Gestión Tecnológica del Riesgo 61
  175. The technological fight against the organized fraud Data Protection Agency) on these issues is so banal: I send you a communication and say that if we get no answer within a deadline then we opt for the tacit consent. But maybe this answer is not returned due to multiple causes, so we need to avoid abusive situations and always protect the rights of the owners. Regarding consent we also have some problematic situations, such as the consent for minors, where there are various rules to fulfill: regulation handbook, LO 1/1982, of civil protection of the right to honor, to personal and family privacy and self-image of the minors law, which says that we must turn to the attorney general’s office, etc. And it is a disaster because this situation discourages from treating the minors’ rights, even though they are adjustable. For me the simplest rule is the following: under the age of 14, always the parents, guardians and legal representatives; over 14 years, the minors themselves. 62 2011 Summer Course The provision of consent in the case of the disabled is also problematic, where we do not know who exactly should render it. Finally, we must also find new ways to deal with subcontracting, paying special attention to the legal limits versus the contractual ones; and also for international data transfers. In regard to subcontracting, we must find solutions from the contractual point of view. And this flexibilization of the legal regime of subcontracting must be compatible with the protection of rights, obviously, of the holder, and with the responsibilities of the party before whom has to exercise these rights. Regarding international transfers of data, standards have done much, but they are not a panacea. We must look for homogeneous criteria and a parallel among transfers, social networks and cloud computing. We must seek common ground and a joint regulation. Centro de Investigación para la Gestión Tecnológica del Riesgo
  176. 2011 Summer Course The technological fight against the organized fraud THE LAW OF PERSONAL DATA PROTECTION IN MEXICO Ángel Trinidad Zaldívar (Commissioner of the Federal Institute of Information Access and Personal Data of Mexico. IFAI) ur data protection law came into effect nearly two years ago, and it includes novel aspects towards the Spanish legislation, as the treatment that it does of the legal persons and not only the natural persons. Furthermore, as a regulatory organization we not only work to the private sector but also for the governmental. To me the key is why protect. And this is something that was raised in 1967, within the Council of Europe, where an Advisory Committee studied the information technologies and its potential aggressiveness to the rights of the individual. After several regulations (“Human rights and new technical and scientific achievements” EC resolution 509; Convention Centro de Investigación para la Gestión Tecnológica del Riesgo 108 of EC, in 1981, of protection of individuals with regard to automatic processing of personal data) we come to Directive 95/46/EC of 1995 on the protection of natural persons with regard to the processing of personal data and on the free circulation of such data. With the personal data laws we seek not to lose control over our most sensitive information, increasingly more scattered throughout the network; while in other latitudes, as in the US, the need for privacy is expressed more in terms of the right “freedom to hold opinions without interference”. In this regard we can highlight a sentence of 15 December 1983 of the German Constitutional 63
  177. The technological fight against the organized fraud Court, which stated that “the proliferation of data centers has allowed, thanks to technological advances, to produce a total image and detailed the respective person (a personality profile), even in the field of privacy, thus the citizen becomes a man of glass”. As an example of how dangerous the generation of these personality profiles can be, we observe that enterprises rely on social networks to gather information about applicants to employment. A study conducted in the US in 2010 revealed that 40% of organizations claimed to stop hiring a particular person based on the information they found in social networks. A stratum particularly vulnerable to this transparency is that of young people. Many times I tell my children that perhaps they may regret in 10 years, when entering the labor market, the comments they now write indiscriminately in social networks. And this is precisely what the laws of data protection aim to prevent, this discrimination. From the public to the private sector In Mexico we started our activity in 2002 with a law of transparency and access to governmental public information (LFTAIPG), which in seven articles recognized the range of the personal data protection in the public sector (medical records of public institutions, official documentation, etc.). In 2007 a reform of article 6 of the Constitution is published, and there is a much more explicit recognition on the personal data and the need to regulate and protect them. It elevates to rank of fundamental guarantee the right of access to information, with two limitations: information concerning the private life shall be protected in 64 2011 Summer Course terms of a corresponding law, and everyone has the right to access and rectify their personal data. In 2009 the Constitution is reformed again, this time article 16, and here it already recognizes the protection of personal data “as an autonomous and independent right”, recognizing the so-called ARCO rights (access, rectification, cancellation and opposition). Here it is already recognized the following: “every person has the right to the protection of their personal information, access, rectification and cancellation of the same, as well as to express their opposition, in the terms established by law, which shall establish the assumptions for exception to the principles that govern the treatment of data, for reasons of national security, public order provisions, public health and safety or to protect the rights of third parties”. And in 2010 the Federal Law for Protection of Personal data in the Possession of Individuals (LFPDPPP) is passed, finally extending the regulation on the matter into the realm of the private sector. Since the regulation of personal data in the public sector to its extension to the private sector 8 years have passed and during that time there was in our country a hectic discussion between some areas of both sectors. In total, 9 different bills were presented, ranging proposals from a guaranteebased model that hindered the free flow of information (opt-in) to the model liberalized without minimum regulatory points giving certainty to the citizen. The most important achievement of the regulation of 2010 is to have come to a hybrid Centro de Investigación para la Gestión Tecnológica del Riesgo
  178. 2011 Summer Course model, which took the best from all these initiatives, and also from diverse international experiences, such as the AEPD one, which proved to be very useful for us. We believe that we have a modern legislation that recognizes and protects the so-called rights of “third generation”, in particular the informative self-determination, which translated into this last capacity of not losing control of personal data, that each one of us knows who has our data, for what, how long should they keep them, etc. It places the individual at the center of the guardianship of the State, recognizing and respecting their dignity and worth; and it establishes a general framework that provides clear, specific and minimum rules to achieve a balance between protection of personal data and the free circulation of the same in a globalized world, in accordance with international standards Influences and differences What we have sought has been a balance between all the possible regulations presented to us. Some suggest that there are basically two models: the American and the European, but the truth is that we also take into account other models because at the end in this globalized world in which we live, personal data may be anywhere. Our law aligns with the maximum expressed in this regard by bodies such as the OECD, APEC (picking up their elements in the framework of privacy) and the European Union, and also contains the “International Standards for the Protection of Privacy”, adopted in Madrid in Centro de Investigación para la Gestión Tecnológica del Riesgo The technological fight against the organized fraud November 2009 as pointed out in his presentation by the master Puyol, always looking for the benefit of the person and encouraging commercial transfers. It provides legal certainty in crossborder and national trade, favoring thereby, the arrival of more investment and consequently the generation of employment; and it enables companies to establish or improve their privacy policies, directly resulting in greater security on the information handling. In addition, it does not impose excessive and unnecessary burdens of compliance, for example; it does not require a registration of databases owned by individuals; it’s expected the holder’s consent to be tacit (opt-out) for almost all treatments; and the obligation to request consent from the guarantor body for international transfers is not expected. In this context, from the IFAI we want to present ourselves as the guarantor organ for the protection of personal data, as well as the right of access to information. And also do it with the involvement of other ministries, which will make our policy closer to reality. The advantages of our regulatory authority include the autonomy (technical, managerial and decision making, as well as with its own legal personality and assets); the unification of criterion, eliminating the risk of asymmetries in the level of adherence to the principles of protection of personal data demanded from those responsible, whether they come from the public or private sector; and the learning curve, taking advantage of the accumulation of knowledge and specialization in the field of personal data. 65
  179. The technological fight against the organized fraud In Spain, however, is still discussed whether or not it should be a law on access to information and transparency. And there help has come the other way round, we have told from the IFAI our experience to the Spanish authorities, who are either unclear about whether the AEPD also becomes an agency of transparency and access to information, like us with the IFAI, or if a different institution is created. In our opinion, the best is to have one authority because there is uniqueness of criteria. But apart from the similarities with other similar regulations, our legislation on data protection has specific differences in relation to the legislated in the European Union and Spain. We can highlight among others: a registration of databases is not required, as after our experience in the public sector we realized that it was not useful for anything; the consent of the owner is tacit to almost any action, except for those that require the latter, such as medical records or financial actions; and reporting to the regulator and to the Ministry of Economy for international transfers, instead of the obligation to request authorization from the guarantor body. Main challenges and first actions Among the main challenges stand: to prevent this constitutional guarantee from becoming “dead letter”; spread the knowledge of this new right among the Mexican society, as well as promote their realization and monitor its due observance; issue secondary legislation to give full effect to the provisions contained in the law; build a “commitment of responsibility” 66 2011 Summer Course with the private sector, in order to achieve high levels of compliance with the law, and through various mechanisms such as self-regulation; promote the model of certified third parties (self-regulation); provide in a rapid and timely way, technical support to those responsible for the fulfillment of obligations; implement computer systems of support for the protection of rights; raise awareness among the computer users, about the importance of this right; initiate appropriate actions to request the adaptation of Mexico before the European Commission; and encourage among the international community the adoption of regulatory developments in this area. Being these challenges the main ones that we face, from the IFAI we have already begun the first actions with the creation of a technological system of open access on the Internet, Case Management System, where we copy the model that we already have in the law on transparency, where an electronic system is provided to citizens in order to make the request for access to information via the Internet. The plan is that it will be running in the first quarter of 2012. The hardest thing will be the authentication process of those making such request for access or rectification, but we are looking for advice and working to find the best solution. This case management system will facilitate individuals to exercise their ARCO rights, will favor the treatment of complaints throughout the country, will offer type formats of privacy notices for those responsible, will facilitate the identification of security measures appropriate Centro de Investigación para la Gestión Tecnológica del Riesgo
  180. 2011 Summer Course for the type of processed data and the responsible parties may look up tables of equivalence between regulation and rules to establish security measures. On the other hand, we are also working on certification programs on the importance of recognition of this right to the protection of personal data; on the training of regulated subjects, holders of the data, and staff of the Institute; the development of a database with frequently asked questions, which are used to provide guidance though the telephone and Internet; deciding the model of territorial implementation of attention to procedures; the definition of the system for the treatment of queries, complaints and conciliation procedures; the definition of the methodology for the relief of procedures of verification and the preparation of list of topics and contents for the training of inspectors; and determine the procedure of accreditation of certified third parties. On this last point we are immersed in seeing who is going to certify the certifiers in this process, deciding where companies will turn to so they give them a certificate that guarantees this process. But we still have to solve the problem that this warranty only certifies the accreditation the day when requested and not in the long term. Therefore, here we have no choice but to wait for a citizen to place a complaint and then do verify again . Apart from the above, the Institute has designed models of privacy available for the private sector; and has held meetings with some members the Centro de Investigación para la Gestión Tecnológica del Riesgo The technological fight against the organized fraud private sector, in order to clear specific doubts about the implementation of the law. There is a particularly significant action, and this is the submission for public consultation of the specific regulation handbook on the matter, which we prepared together with the Ministry of Economy. We will take into account the suggestions that we receive in the coming weeks and assess whether we make appropriate modifications. We hope to have the regulation adopted before 2011. The Mexican regulations allow a wide variety of processes, such as the ARCO rights (we can highlight our rule by the fact of not having to wait for the right to access previously requested, also to request a correction or cancellation; and because all companies are required to have a specialized unit in the field of data protection, as well as having its own privacy notice). The regulated subject must have appointed an Office specialized in the field of personal data. There are also procedures for the protection of rights, verification, lack of response, conciliation (something interesting that the regulation says is that it will have binding effects, so that at the time that the regulated subject is committed to something, it has to fulfill it, because if not it will suffer a penalty) and imposition of sanctions. In this last section, our intention is not to constantly resort to punitive actions. We also have a mechanism to impose sanctions through existing minimum wage, which serves as a reference. We also have the option of penalty of imprisonment, of up to five years, or twice as long 67
  181. The technological fight against the organized fraud in the case of sensitive data, but our philosophy is to avoid punitive actions and promote the processes of conciliation. Finally, I would like to make a point about the power that the regulation gives us to enable selfregulation. We are convinced of its benefits, and try to learn from the different experiences from around the world, as the cross-border privacy rules, or 68 2011 Summer Course the binding corporate rules that were already discussed here. The whole process of accreditations and certifications enters this scenario, where we seek to encourage companies to become certified, so they feel that they have a backing with regard to data protection. Our basic idea is, simply, that there is shared responsibility between holders. Centro de Investigación para la Gestión Tecnológica del Riesgo
  182. 2011 Summer Course The technological fight against the organized fraud DATA PROTECTION AND THE NEW TECHNOLOGICAL CHALLENGES Artemi Rallo (Professor of Constitutional Law of the University Jaume I of Castellón, and exdirector of the Spanish Data Protection Agency, AEPD) s Director of the Spanish Data Protection Agency since 2007, I think it is interesting to emphasize that, in its 20 year history, the Agency has made a major effort in what Americans call “enforcement”. Each institution gains its own profile and we have done this to assure the compliance with the law, giving a special relevance to the preventive attitude. It is true that we have also developed an important sanctioning task, attending to all claims that come to us from the citizens, but prevention remains one of our maxims. Centro de Investigación para la Gestión Tecnológica del Riesgo In this sense, we have long experience in terms of these preventive sectorial investigations, which we have made in various areas throughout all these years, and which are lately more focused on new scenarios, such as advertising in the newest technological means, such as Internet or mobile smart phones, dealing with issues such as the access of minors to Internet or the use of video surveillance systems. In addition, we have also attached special importance to the transposition of the European directive on traffic and location of electronic communications, or to other topics not so focused 69
  183. The technological fight against the organized fraud on emerging technologies, such as compliance with data protection in the health sector. 4,300 complaints in 2010 The research capacity of the Agency has grown remarkably over the years. In 2007, we managed approximately 1,600 claims and complaints; and in 2010 we have almost tripled this figure, reaching 4,300 complaints. This increase is related to the increase of awareness of citizens, not so much to the increase of breaches or by moving away from the law by enterprises and public administrations. If we wonder about the sectors that have registered an increased number of complaints, we have two historically conflicting areas: telecommunications and financial; where video surveillance has been also added. With regard to the latter, we have witnessed a significant growth of this technology in recent years. And with this, also the increase in the number of complaints relating to this practice since in 2006 the Agency issued an instruction governing the installation of private security cameras with a series of requirements. Thus, in 2010 video surveillance was the sector with most complaints collected, with 20% of the total, becoming the most penalized sector, but not regarding the volume of fines. On the other hand, the different problems arising from Internet are also emerging, which are not in the first position of the Agency’s indicators, because the number (168 investigations on these areas in 2010) is not very significant, but not so in qualitative terms, where its value is particularly relevant. Because unlike other sectors such as 70 2011 Summer Course telecommunications and financial, citizens have more difficulties to identify problems that may affect the security of their data, and do not know an institution of reference in Internet where to report these violations. That’s why, in the Internet world complaints are not so numerous yet, and the Agency makes up for this situation by a more preventive action, making sectorial inspections or analysis of the different services of the Internet where some kind of insecurity of the information could be detected. If we stop to analyze the issue of sanctions, these also have been increasing significantly, reaching its climax, in relative terms, in 2006, where the sanctions figure (almost 25 million euros) was generated by little more than 300 reported actions. In 2009 that figure of sanctions was reached by twice as many reported actions, showing a decrease of 50% in relative terms; and a trend we expect to go downward, especially after the entry into force in March, of the law which amended the sanctioning regime of the Agency. ARCO Rights Beyond of the sanction, the AEPD deals with the so-called ARCO rights (access, rectification, cancellation and opposition) when they are handled by public or private entities. And at an increasing pace in the last 4 years and consolidated in the last two, with a claims figure twice that of year 2007. The rights exercised more often (54% of cases) are those referring to the right of cancellation, with examples such as the cancellation of data in Centro de Investigación para la Gestión Tecnológica del Riesgo
  184. 2011 Summer Course telecommunications companies that have already ceased to provide services. And these are followed by those of access (34%). Specifically, the rights of access most frequently expressed have been those referred to data on payment delinquency in possession of financial institutions and the medical history; while the right of opposition, for its part, has been mainly related to the reception of advertising. Also noteworthy is the unique contribution of the Agency to the Data Protection General Registration Office, where they oblique to register all the existing files. The Registration Office ended 2010 with a figure of more than 2.1 million files, experiencing a significant growth with respect to the figure of 2009. Three axes: Video surveillance, advertising and Internet In my opinion, data protection can be summarized in three words: video surveillance, advertising and Internet. It is my feeling, but also what the press says and wants to transmit to society. About video surveillance or the conflict between data protection and security, we have talked earlier. It is a growing technology and raises various questions and challenges, having been the sector that accounts for the greater number of complaints in recent times. Nevertheless, it is a significant challenge for the sector. With regard to advertising, I will put in value the fact that there has been a very significant Centro de Investigación para la Gestión Tecnológica del Riesgo The technological fight against the organized fraud mutation in this scenario. We have moved very quickly from an exercise of the advertising activity based on the traditional means such as postal mail, which as of today does not pose any problem in regards to data protection, to the complex idiosyncrasies associated with technological media. In this context, the AEPD developed in 2009 an ex officio sectorial plan that summarized the actions in the society of advertising and marketing through fixed and mobile telephony and Internet. However, if there is an environment that demonstrates the main challenge of data protection that is the Internet. It poses a maximum challenge for the specific legislation, which adds new problems to those the Agency already had and often remained unresolved. And that is because data protection becomes more complex and problematic once we sense the risk that the automated processing of all kinds of data has for personal information. Having said that, the big handlers of data, financial institutions or service companies have seen how their conflicts with the safeguarding of this personal information were resolved largely thanks to the experience of recent years; so we have witnessed an important process of adaptation of these sectors to the specific legislation of data protection. But as in other areas, the advent of the Internet has added a greater number of complexities. In this scenario, the first step was taken by the Agency almost four years ago to analyze an Internet service and learn about their adaptation 71
  185. The technological fight against the organized fraud to the data protection legislation. The European and Spanish Agencies subjected to analysis, in this sense, the functioning of search engines and their policies on cancellation of personal data referring to the IP address. It was a first step that later caused the emergence of other services that have left in a secondary place these search engines, such as web 2.0 and social networks, where citizens are active actors of the system. They can provide and exchange information and not only receive it. However, the popularization of these sites and the extension of its use have increased, if not skyrocketed, the risks on the personal data, as for example, in social networks, it’s alarming the amount of information of a sensitive and very sensitive nature that is provided and shared on the Internet, such as data on health, religious beliefs, sexual nature, or, even the communication that is established, which is also extremely sensitive to its violation. There is no doubt that social networks are the greatest challenge that regulatory agencies of personal data protection face nowadays. They are born without paying the slightest attention to the privacy of the information, since they are born with the “logic of the Internet”, which seeks the widest dissemination and publicity. The designs are not defined thinking about privacy and how to protect the most sensitive personal data, but looking for the widest dissemination, regardless of the consequences, because they are not valued; they are simply avoided. This leads to poor and inadequate protection of the fundamental rights of citizens, which leaves our most intimate and private life utterly defenseless, without us worrying too much. 72 2011 Summer Course Problems on the Internet After making it clear that the Internet is the greatest challenge that the regulators face in the field of data protection, let’s see what are the main problems associated to the Internet to better understand the ability we have to react. Before entering other considerations, we cannot forget the added difficulty posed by the limited training of an average user. This is particularly worrying: the user uses the search engine, writes some email, access the pages of interest and creates a profile on a social network and there he posts, often without the adequate filters, a large amount of personal data. The problem is that this average user is unable to make a responsible use of the Internet service that is compatible with the protection of her/his most sensitive information. She/he is not aware of the need for privacy practices claimed by her/his data, or the risks entailed in not protect them adequately. For example, he forwards or answers to emails without using the carbon copy field, so he ends up sharing the addresses of other people on the network. In this context, when it comes to address how to guarantee personal information on the Internet there are several questions that are still unresolved, because the data protection legislation was born originally for the real world, the physical database, and it doesn’t have its reference in this new area. But, of course, this has to be changing slowly, at the same time that the doubts that tarnish a faster progress are being solved. I’d focus these questions in four different Centro de Investigación para la Gestión Tecnológica del Riesgo
  186. 2011 Summer Course areas: conceptual, technological, development of the Internet and of jurisdiction. Regarding the conceptual, the laws of data protection exclude from its scope of application the domestic or personal environment, the so-called “domestic exception”. The Spanish legislation only exempts from its application the intelligence files, those applied to the fight against organized crime and terrorism, and the files of personal or domestic nature. That being so, how can we categorize or assimilate to that concept what the social networks represent on the Internet? There the data, photos, communications, etc. are shared. Are we talking about a relationship strictly personal or domestic? Can we assimilate to share a photo on the Internet with the physical fact of stay at home of friends to see the pictures of the summer holidays together? Some defend from the conceptual point of view that we can, and hence it wouldn’t result in the application of the data protection law; but some others, of course, also believe otherwise. These doubts were completed to resolve in a document in which the domestic or personal character was refused when the socalled friends are not what we understand as “friends”, but in this account on the social network the number of contacts exceeds the number that can be considered assimilable to that concept. In regards to the technology doubts, we have some questions, such as how to verify compliance with certain requirements of the law of data protection on the Internet. Here, if we take as an example the obligation under the Spanish law Centro de Investigación para la Gestión Tecnológica del Riesgo The technological fight against the organized fraud that any entity to seek personal information of a child less than 14 years must try diligently to check the age of that person, something that in the real world is so easy, it draws attention to how complicated it is to bring this to the Internet world. In any case, we also say that there is an open debate on this, because indeed there are technological means that allow it. On the other hand, there is a significant risk of sacrifice of the development itself of the Internet. I earlier referred to the transposition of the European directive, which requires informed and prior consent of the citizens before the installation of cookies on their PCs. Well, a maximalist literal transposition of such a requirement of the Directive would put in check the development of Internet itself as we see it today, because it would require a constant consent by citizens to each act of navigation. Or also the demand itself for security that is imposed to Internet services, as many think that when managing the personal information of their basic activity then an extra security is required in the custody of such information, in front of other small entities. Finally, we would have also a problem of jurisdiction, since there are companies that claim the application of the US legislation, denying the application of the rights of the country from which the user operates. New horizons In light of these issues, regulatory bodies have to work very hard to solve these situations in the 73
  187. The technological fight against the organized fraud shortest possible time, because the Internet is evolving at a dizzying pace, and we could run the risk of not responding at the same speed. We must emphasize, in this regard, the discussion that now exists in Spain and the European Union on how to transpose (in Spain there is already a draft law presented) the directive of the privacy of electronic communications with regard to advertising based on the behavior of Internet users. A transposition which poses difficulties in different scenarios, as it is the case of what is 74 2011 Summer Course related to the “Internet of things”, RFID technology or cloud computing. In addition, a few days ago, we knew that Facebook is implementing what is known as the facial recognition on the Internet (not even Google has used it, although it has the technology). I, for my part, acknowledge having doubts about how to tackle these problems, but I am confident that in a short space of time we will have answer to the most important. Centro de Investigación para la Gestión Tecnológica del Riesgo
  188. 2011 Summer Course The technological fight against the organized fraud ROUND TABLE: PRIVACY IN “THE CLOUD” This round table addressed two subjects: Security paradigm shift: from the near to the distant; and Security in “the cloud”. For that purpose, it had the contributions of Manuel Carpio Cámara (Director of Information Security and Prevention of Fraud. Telefónica); Francisco Javier García Carmona (Director of Information and Communications Security. Iberdrola); Guillermo Llorente Ballesteros (Deputy Corporate Director of Security and Environmental Protection. MAPFRE); Idoia Mateo Murillo (Global Director of Risks. Produban. Group Santander); Justo López Parra (Responsible for Computer Security. ENDESA); Francisco Javier Puyol (Director of Corporative Contentious Legal Counseling. BBVA) and Carles Solé Pascual, (Director of Information Security. La Caixa); moderated by Esperanza Marcos (Professor of languages and computer systems II. Rey Juan Carlos University, URJC). SECURITY PARADIGM SHIFT: FROM THE NEAR TO THE DISTANT Francisco Javier García Carmona: Increasingly we need to store more information, consume less, increase the memory and the volume of data, and of course share and make the information more flexible. And at the beginning everything was closer, there was a more direct relationship among all Centro de Investigación para la Gestión Tecnológica del Riesgo these realities, but recently the concept that has revolutionized the way of doing things is cloud computing, where associated keywords such as flexibility, demand, sharing, service, cost reduction, benefit, requirement, agility… As Shakespeare would say, “to go or not to go to ‘the cloud’, that is the question.” In times of crisis, “the cloud” environments allow a pay per use and avoid the need to set up largescale infrastructures of software or applications. 75
  189. The technological fight against the organized fraud It adapts to the customers’ needs, and even their most pressing security needs. In my opinion, at this point, we must answer two questions: “Start for what?” and “Why start?” And how does the concept from the near to the distant materialize? Certainly with a new technological direction, with a pay-per-use service, so we understand it in a simple way. We move from the earthly to the faith, in other words. And a key question: who provides the services in “the cloud”? Are they ready to guarantee their security? Are data in “the cloud” safe? Since our great concern is the security of our information in the cloud environment. In addition to the security level, it is important for those who contract to know where “the cloud” is located (whether is located in third countries, for example), what the owner of “the provider cloud” offers, what possible subcontracting subscribes, etc. It is an unstoppable craze. “The cloud” sweeps everything. It indeed has many advantages, but we also have to pay close attention to the volume of information that we place in its inside. I think it will be very positive that we all move to the cloud area, but always with caution and security. And that is what the action of some agencies such as INTECO means, which works closely in the benefits of “the cloud”, and the Cloud Security Alliance, which brings together major manufacturers in the sector. 76 2011 Summer Course We can lose autonomy in the management capacity, and of course, the same question on the privacy and security of our data always goes with us. But it is unstoppable. We are all in “the cloud”... Is it a step forward or a new story? Does it involve a technological change or an economic change? Actually, it involves a paradigm shift. On the other hand, we also have before us an important dilemma: if the cloud triumphs… Is there going to be more unemployment in our sector? They are things that are there on the table. Although I am sure that something will happen, we’ll change the model… And taking into account that many basic services, such as electricity power, gas and energy services, have been in “the cloud” for a long time... Always cloud? I would say that “it depends”. There are obvious benefits and others that may come, but there are also many risks and others that will arise… At this point... I pose two questions: Do we need to run so much or is it preferable to wait for the second round? And, on the other hand, are we going or is someone taking us to? And all this in the midst of a domestic dilemma: Am I “cloudable” or “abandonable”? Guillermo Llorente Ballesteros: From this perspective, the landscape of the cloud is so idyllic… who shouldn’t want it? But that’s not the question or the debate. The question is what we want to outsource and under what conditions. And what obligations and what needs we feel when we externalize something. And what are the risks involved. Centro de Investigación para la Gestión Tecnológica del Riesgo
  190. 2011 Summer Course In my opinion, there is huge pressure on the table, because it seems that if you’re not in “the cloud” you are archaic. And it depends… For a small company might not be the case. Why are we going to assume that you’ll be more efficient that I managing something? It depends. The key question is what I can outsource, what your core business is. Because maybe you have no core and all you do is to manage parts of companies. In my view, if we assume that we must go to the cloud it’s a mistake. We’ll have to analyze the costs, the present and future ones, the visible and hidden ones. Is it better to buy or rent this building? It depends. If this building is the core of your business, it might be better to buy it; otherwise, perhaps not. If you go just because you have to, from my point of view, is not appropriate. Carles Solé Pascual: It will depend on to whom you ask. For me “the cloud” is a competitive advantage today, because you can start a business without having to estimate the size of the company since the beginning, when you do not know how many customers and what needs you’ll have. On the other hand, in consolidated companies like ours, it’s possible that “the cloud” may not have the same functionality, and it’d be a not so good idea to bring everything to “the cloud”, with the amount of personal data that we handle. Here size does matter. Manuel Carpio Cámara: In fact the decision on whether or not to go to “the cloud” is a matter of pure business, money. Although there is also a small legal problem... How the data will move to “the cloud”... If they are naked or not… Centro de Investigación para la Gestión Tecnológica del Riesgo The technological fight against the organized fraud Anyway, there is an error of precision. We are not dealing with a discussion about whether “the cloud” yes or “the cloud” no… who is asking for is the business. According to the data provided in the International Cloud Alliance, held in March in Barcelona, 80% of North American companies are in “the cloud”, while in Europe they are only 5%. We must go to “the cloud”, it is inevitable. And the problem of privacy can be solved because we have the technology... If the Chinese are in cloud environments as well as the US; If the Indians and Brazilians are heading to it… in Europe we cannot be thinking whether we are going to “the cloud” or not. We may regret in the future if we don’t do anything now. Idoia Mateo Murillo: I agree with you, Mr. Carpio, that in the end all of us will end up going to “the cloud”; but I also agree with Mr. Llorente on the fact that “the cloud” is not suitable for all services, and probably it isn’t for our core business. We as financial institutions and entities in the energy business, have a terrible regulatory and audit pressure. And as you said the technologies are there... we have been at this for years as security officers, setting up a SOC, giving thousands of evidences per year, passing thousands of audits. We are in a comfortable model, and I don’t think that everything could be outsourced; the essence of our business does not, in my opinion. Another thing is the deployment of a specific project, of, for example, about eight months. This is ok, because it will be more cost-effective 77
  191. The technological fight against the organized fraud to deploy a rapid infrastructure in a cloud environment that setting it up physically. But that’s not the case in the core of my business. Manuel Carpio Cámara: You are giving me business arguments, and that’s what I wanted. I don’t think that we shouldn’t get carried away by an atavistic fear of going or not to “the cloud”, and not even because it’s trendy that others are already there (there are companies which are externalizing the email in the cloud because other renowned companies are doing so) without raising cost-benefit metrics. What I’m asking for is thoroughness when making these decisions. Justo López Parra: I agree with almost everything exposed. And I also think that it will be the business that tells us if we are or are not going to “the cloud”. Another thing will be that of putting security in the cloud environment, which will mean more than one problem. What I think is that there will be indeed a part of our business in “the cloud”; but there will also be other than not, because it will be very difficult to put security in these environments. Guillermo Llorente Ballesteros: That the business asks for it… what business, I say again... Let’s see, I’m from business, and have no idea on technology... Do you really believe that my President or my Vice President is thinking whether they take technology to “the cloud”? They do not think about it. They only think about it if they come together with yours, Mr. Carpio and he tells him about it. When he says that has a great 78 2011 Summer Course service that will save money. And my boss says “great”. And I say that too. The problem is, equally, how you measure how much money I save, and who will then assume the risk. Do I have to be less demanding with Telefónica or BT than with my long-suffering people from IT production? What I consider is that not all trends are positive. I don’t say either that they look at the other side. What I am saying is that we must evaluate them and then, we’ll see. We already know that Google offers email at $60, indeed; but do you know that it does not guarantee the recovery of email? It seems that you have to resort to an act of faith... “My name is Google and am sure that you will keep the email, but if not…” What is causing me outrage is that someone wants to sell me a motorbike and doesn’t let me ask what engine capacity it has. And he tells me: “hey, it’s a Harley…” Yes okay, I know, and I think it’s great… but what engine capacity does it have? Is It yours or mine? Where will it be stored? Manuel Carpio Cámara: I should clarify that “the cloud” that said in generic are many “clouds”. There are gray clouds, white clouds, black clouds… there are many types of clouds, and there are many ways to outsource infrastructure and services. What I mean is that one thing is Google, a cheap and rude version of “the cloud”, and otherwise is a serious service with its SLAs. Francisco Javier García Carmona: It’s, as I said before, a paradigm shift. It’s a change from a Centro de Investigación para la Gestión Tecnológica del Riesgo
  192. 2011 Summer Course technological model to a pay-per-use model. It is not anything more than that. The business does not have to speak in security terms, but in terms of service, level of service. Idoia Mateo Murillo: I think that security risks are not owned by the business, they are our problem. For example, in “the cloud” proposed by Google the problem is in that they don’t allow us to audit it, their agreement clauses prevent us from doing so. The financial institutions are subject to many regulations, and we must comply with what was raised in many countries. Then, when we deal with it we try to comply with thousand regulations, controls, and evidences… but when it is in “the cloud” we can’t do it. DEBATE In the village of my family in Majorca, there was no running water and they had their water cisterns. When the running water arrived, they continued to keep the cisterns, just in case…Do I also keep my infrastructure if “the cloud” does not solve all my needs? Carles Solé Pascual: I agree on the model. Here we talk about going or not going, and I talk about what we move and what we don’t. Francisco Javier García Carmona: The problem nowadays is not “trust”. We all have to enter “the cloud”... and “the cloud” has to adapt itself to the conditions of the service, not so much to the technological. Centro de Investigación para la Gestión Tecnológica del Riesgo The technological fight against the organized fraud Manuel Carpio Cámara: We are not those who decide if we want to go or not to “the cloud”. This is the way things are, and you can recognize this and join or not join. Okay, they are business decisions, where there is business, and if it is in “the cloud” so there we go. It is not something that we have invented, it comes imposed by society. Guillermo Llorente Ballesteros: This is just what I heard to say a few years ago from a professional of the savings banks: “It’s the real estate market, you have to be there...” Manuel Carpio Cámara: In that case we will fall, but we will all fall. In regard to this idea that Mr. Carpio said before “we all know what a cloud is”, I see two aspects: one is the philosophy, the outsourcing; and the other is the technology, where I connected before point to point now I do it over the Internet. What were you referring to, Mr. Carpio, philosophy or the technology to distribute and virtualize? Manuel Carpio Cámara: There are many models of cloud: IAAs, SAASs, etc. There are many types of cloud, and Google is just one of them. I speak of philosophy and technology, of outsourcing in any case. Francisco Javier García Carmona: I think we just have to talk about philosophy. I don’t care how they get my service and how they are going to give it to me. What matters is that you meet a series of requirements. We are talking about cloud and outsorucing… there is nothing new under the Sun. 79
  193. The technological fight against the organized fraud 2011 Summer Course It is a great critique that we have to do to these outsourcing service providers… Gentlemen, let’s continue calling things in the same way, do not change the reality because we are talking about a single reality. Here I am talking from a substantive perspective, but also from the perspective of data protection, front for which we must take care. And here we have to apply the same parameters, from jurisdiction to applicable regulations. SECURITY IN “THE CLOUD” Nowadays much is discussed about these issues, but “the cloud” will be also accompanied by those legal developments that allow us to devote it to all kinds of services, applications and all types of infrastructures. And we all know that when we come out of the European Union and secure ports, our foundations tremble. This project is very interesting, but we are out of step with the regulation of law. Francisco Javier Puyol: I am the only jurist of the table and therefore I’m quiet. There is much talk of security, business and little about law, but it is important to also define legal frameworks. The concept of cloud is a concept of legal development. There are many elements that are changing the landscape of the law, because we have to regulate the new situations, new society and new technology. So far we haven’t talked much about “the cloud”, and only it has addressed in partial regulations. We must bear in mind what “the cloud” is exactly: it is information, infrastructures, applications and services. Thus we must regulate on the basis of these four concepts and see what regulation is applicable. But I find with sectorial regulations partial on each of the concepts, and what I need is a global regulation. In any case, regarding the rules to apply… we must also keep in mind that a cloud on a small scale is not the same as other on large scale and with a significant number of services. Nor is the same a national cloud than another international… what jurisdiction would apply? We refer only to service providers and services provided to companies or also to customers or consumers? 80 Idoia Mateo Murillo: I agree on one thing. It seems to me very important to know where our provider in “the cloud” is, because there is a framework there and the cloud will house not only personal data, but also other types of information that also has to comply with the regulations. To me it is important to know physically where my cloud provider is, because I will have to resolve the question of what Data Center I will show to regulators and auditors. Francisco Javier Puyol: And, of course, it is also important that regulators support us. We can have an impeccable regulation, but if we don’t have the approval of the regulators… We can make a point to the AEPD to see what it says: what happens if we present a contract where our provider is not identified in a physical address… it could be in Tanzania… The AEPD will tell us that it is not legal and will require us the specific place where it’s located. Centro de Investigación para la Gestión Tecnológica del Riesgo
  194. 2011 Summer Course Carles Solé Pascual: And beyond the lack of security in certain places, there are also the rules of the various Governments. If data is sent to the US or China, these Governments require this information to be visible… so we are also talking about a problem of confidentiality. Francisco Javier García Carmona: As I said, we talk about this issue in two keys: confidentiality and privacy. We work in many different parts of the world and it generates a pile of complexities. In the end, I think that the countries that fall within the umbrella of the so called “safe ports” or “trusted sites” will benefit from this. It is infinitely complex and here the lawyers and the AEPD will now have to work hard, on all that is coming. Francisco Javier Puyol: The legal reading of all this is to promote the regulations development of the different markets and not only as regulated markets, where companies can compete on equal footing and where there is a modern regulation. We will find difficulties as we move or make transactions to some countries and others. The only way is to create more safe ports and regularize all possible situations. DEBATE Data is protected not only when is in a place with the same laws as your country, but there may be other models: the US safe harbor, where it is true that the laws are very different from the European but there is the option that companies adhere to other laws more comparable. What is your view, Mr Puyol, on these models? Centro de Investigación para la Gestión Tecnológica del Riesgo The technological fight against the organized fraud Francisco Javier Puyol: We are in a period of regelation transition. There has to be a change in philosophy in the regulation of data that we know today. Until now we have dealt with the perspective of the citizen, and now have to incorporate new developments that respond to other environments, such as “the cloud” or social networks. And we cannot address that from a local perspective. In the first phase we will look for regulated markets, where companies can compete on equal terms and there is not cannibalism with the data of persons. And we require that security, while still being a fundamental aspect, is not the only one with that we address this scenario. We must also lose that sense of “normativism”, of localization… we are putting restrictions to ourselves. Do you think that is more secure a credit card contracted with the Santander or BBVA, or with the Citibank of New York, which, unlike the European, can carry your data to anywhere in the world? Francisco Javier García Carmona: If the international standards are met, I don’t care where you contract it. Guillermo Llorente Ballesteros: There is great concern for the privacy of data, and also for the availability and confidentiality of the same. My perception is that these two entities, Santander and BBVA, have a degree of higher security than that offered by the American banks in general. Manuel Carpio Cámara: If we stick only to the regulatory matter, the three are under the burden of the PCI DDS, so let’s say that they go hand in hand. 81
  195. The technological fight against the organized fraud Another thing is the perception of privacy that we have in Europe and in the US (where currently a Personal Data Protection Act is under way). In Europe, space in which privacy is a fundamental right, companies do not want anybody to play with their data, while in the US the privacy is understood as the “right to leave me alone, especially the Government, that they do not get in my private life”. Idoia Mateo Murillo: We need the same flexibility as the Americans, who surely have the same access control and the same technology, but more flexibility to operate. Manuel Carpio Cámara: The problem is flexibility, indeed. In Telefónica we have had wise meetings where we discussed about whether the data protection act allowed us to share the directories of the lotus notes of a fellow team member in another part of the world. And it turns out that knowing the name, surname and phone numbers of a fellow team member of Peru is international transfer of data. What do you think about the compatibility between “the cloud” and the law on Protection of Critical Infrastructures? Guillermo Llorente Ballesteros: We want the critical to be under control. We are outsourcing a service that carries associated data, and we are no longer depending on ourselves for the continuity of the business. Manuel Carpio Cámara: “The cloud” has a fundamental advantage. If you are a terrorist and 82 2011 Summer Course you want to know where to crash a truck loaded with explosives, that in “the cloud” is not known. European operators have joined together in a global agreement to try that Spanish and the European laws on critical infrastructure protection will not become a restriction on “the cloud”, because of a misinterpretation of the security problem. I believe in the cloud, if what we are looking for is the availability. The last thing I’d do is to put everything in a bunker because the “bad guys” might have it located. Idoia Mateo Murillo: In the end, the problem is the business continuity. And it’s an issue of relocation: the earthquake in Chile did not affect us because the host computer is in Spain. Now I make annual contingency tests, I have local and national disaster recovery, but if you are in “the cloud”, we do not know what it will mean for us. Justo López Parra: We went indeed through this. Our computer systems that support the electricity generation and distribution, which have a very high level of security, are on a separate network. But it’s never incompatible with taking them away to “the cloud”. Francisco Javier García Carmona: In this regard, we could refer to certain services that could have outsourced the production environments, in this issue of the critical infrastructure and “the cloud”. For the critics, however, there isn’t such a mindset. What can be critic will have to be closely tied and re-tied with appropriate service level agreements. Centro de Investigación para la Gestión Tecnológica del Riesgo
  196. 2011 Summer Course Do you think that we can prevent the citizen from going to “the cloud”? Two examples: last year Google and Apple displaced Nokia as leading manufacturer of mobile phones; and Paypal, which is a company of “the cloud”, is the Bank that manages 50% of payments by the Internet. Idoia Mateo Murillo: It’s a generational shift. Young people don’t care about whether it is safe, they use the services and will continue to do so in the future. For them, the security in “the cloud” will be like a commodity. Francisco Javier Puyol: This is a game of supply and demand of services, guarantee. It is a reputation game. All of these factors will make the consumer to opt for a traditional company or one in the cloud environment. In my opinion, it has no more reading than a matter of adjustment of supply and demand. Guillermo Llorente Ballesteros: And why is Paypal the Bank of “the cloud”? Because the perception of the citizen is that it is more secure. It appears that those who are afraid of entering “the cloud” are financial entities… Manuel Carpio Cámara: I think that it is an opportunity. Anonymous attacked us last weekend and we have been able to defend ourselves. Regarding critical infrastructures, where the law also says “against non-deliberate attacks”, the catalog listing developed to the effect puts us in third line of beach (in first line we have Centro de Investigación para la Gestión Tecnológica del Riesgo The technological fight against the organized fraud the electrical power and energy; and then transport). We strongly believe in the possibilities of “the cloud”. We have been supporting it for some time, it’s nothing new, and we are delighted that you contract in “the cloud”. There is no reason to overwhelm or to have fear... Guillermo Llorente Ballesteros: It does overwhelm me, because what has been proposed deals with the core of my company. And I am not quiet. One last thought: Coming back to Paypal: I can register as Juan Carlos I King of Spain and it doesn’t have necessarily to verify my identity. As an industry, Will we have to compete with unregulated models? Are we going to have the capacity, as corporations, as multinationals, to fight and compete against these clouds? Idoia Mateo Murillo: If the legislators and regulations don’t help us, it will be impossible. We have to have traceability of our customers, know their names, know their IDs, keep their information for a specific time, etc. None of our entities can compete against what has been posed. Francisco Javier Puyol: I believe that regulators are important but not decisive in this topic. Going beyond, we are checking it every day with the economic news, and the news related to financial institutions: the world is changing and the society is demanding a change from us. That is the crux of the matter. We think of authentication, but at 83
  197. The technological fight against the organized fraud the end we will have to evolve more and develop systems that are much more agile and that allow us to be on equal terms with these companies that have a very low level of legal certainty and a significant absence of regulation. Manuel Carpio Cámara: It’s what Javier said. What happens to us is that we are fighting with one arm tied behind our backs, and it’s not fair. 84 2011 Summer Course Francisco Javier García Carmona: Recently I saw a report about a German manufacturer who talked about where the technology will be within 15 years. All our data will be in “the cloud”. And we will also have the new RFID technologies and geolocation services. Privacy in the personal sphere, no longer the business sphere, will be “minus 10”. Centro de Investigación para la Gestión Tecnológica del Riesgo
  198. 2011 Summer Course The technological fight against the organized fraud UNDERSTANDING AND MANAGING SAAS AND CLOUD COMPUTING RISKS Tom Scholtz (VP Distinguished Analyst Gartner) ne of the most innovative and exciting topics for us analysts is, without a doubt, the cloud world. These environments have emerged as the new panacea in the information security world and customers need to understand what their opportunities are, as well as their risks and uncertainties. Despite what you may think with what I am about to explain in my exhibition, I am an advocate of “the cloud”, I believe in its benefits, I am not against a progress as important as that is, but I am very critical with the costs it has associated and which may adversely affect our business. It is not Centro de Investigación para la Gestión Tecnológica del Riesgo about saying “no” to the technology, but about helping customers to better understand it. What the companies in “the cloud” value The crisis situation where we find ourselves makes organizations work for greater effectiveness of costs in the computer services, and this valuation, the associated savings, is one of the main considerations that customers refer to when it comes to opt for a cloud infrastructure. But the costs are neither the only nor the most important consideration that organizations have in mind when opting for these environments. 85
  199. The technological fight against the organized fraud 2011 Summer Course When asked in one of our annual surveys for the requirements to take into account when they consider to contract services in “the cloud”, the companies pointed out issues such as security, privacy, reliability, business risk and loss of control. This demonstrates that apart from its initial concern, there is a healthy understanding of what “the cloud” means and a concern also about the potential risks associated with the use of these models. that they provide to manage our security, can barely control either the process or the result, and don’t know the contracting procedures of who provides the service. When we outsource it, we are putting it in the hands of others, with all that this means. With the entire increase of uncertainty it entails. And for this reason, then, it also means greater dose of risk for us. Two sides of the same coin: more potential and more uncertainty Then, what are the most dangerous risks of “the cloud”? We are talking about economies of scale, taking out work loads of dedicated servers, using dynamic workload environments and optimizing them to offer the best service at the best price... and all this poses a major issue: who will take care of my workload to operate effectively in a virtualized environment? That my workload will be moved to optimize performance? How do I know that the people who work to support these services have been properly selected and I can fully trust them? In my opinion, cloud computing, like many other things, has in its definition two perspectives, as if they were two sides of the same coin. On the one hand, we have a very attractive environment which encourages us to use its full potential. And here, thinking like businessmen, we can argue why not pay for these services as we do for other types of public services. Many conceive the computing services in “the cloud” the same as electricity power, water or other utilities, and then wonder why not make the payment per use as we do in the rest of these services, and not spend large amounts of money in complex and fixed infrastructures. The other side of the coin, however, is that “the cloud” is, in essence, an outsourcing mechanism. And we all know that if we outsource we lose direct control of the security actions related to the protection of our information. And when you are outsourced, one of the biggest challenges of “the cloud” is the lack of transparency for the customer. We can’t enter to validate these services 86 Risks: technology and people It is true that my technological colleagues say that virtualization technologies have very good tools. But this is not just a question of technology. The behavior of the people is fundamental also here. There are documented cases that talk about how some “cloud” administrators accessed unauthorized personal information of the supplied email. Thus, we not only have to understand and solve topics of technology, but also on people’s behavior. And that is the great dilemma: technology can offer us ways to control the procedure, but there Centro de Investigación para la Gestión Tecnológica del Riesgo
  200. 2011 Summer Course are other aspects that we need them to work also in the most optimized manner possible. And it’s about people, about how we can ensure the integrity of people accessing our facilities and data. Another big issue is the one related to the recovery of the data. How will the cloud provider get these recovery capabilities optimized? There are voices in the industry that convey the message that the location of data doesn’t matter, that makes no difference. And others, at the same time, ensure that we don’t need to have any support infrastructure, since they clarify that there are so many copies of the data that, if something goes wrong, in a part of the storage mechanism we have another redundant copy of information… and often we don’t realize that the infrastructure hasn’t been ever available. There is always another version of the data somewhere else. But, beware. Because there have been cases of attacks on the e-mail system to corrupt the system deliberately. Here there is no asynchronous backup system for customers; all the systems are on-line, so that all of them were destroyed as a result of the attack by hackers. In this way, when someone tells us that the location of the data doesn’t matter, we must be careful, because it depends. If we are subject to the legislation of the European Union, it does matter where the information is located. If we are outside the scope of action of the European Union we will attend to legal implications with regard to the privacy of data. And the issue is that if these data are replicated we have all this amount of Centro de Investigación para la Gestión Tecnológica del Riesgo The technological fight against the organized fraud copies of the information in real time, and what happens if we decide to change from one place to another? How are we going to recover all the data? It’s like what we say to our children with regards to Facebook, that they have to be careful with what they write there, because it might be the case that you can’t delete it ever and that could harm their future. With regard to the cloud is similar, How can we know how many versions of our data are going to be floating out there? Will they will be accessible to other people? Two perspectives of outsourcing: responsibility is not outsourced and you don’t outsource what you don’t understand Having said all that, I will not tire of recommending caution with the people we listen at. We have people in the industry that confuse, claiming that it doesn’t matter where the data are located and that it is not necessary to have an asynchronous backup system. And we must take special care because this is contradicting the two essential principles of outsourcing: we can never outsource the responsibility to protect our organizations, and that we should never outsource what is not understood. With regard to the first point, from a security perspective, the responsibility of the information security may never be outsourced. I have to ensure that the risk is managed in a sufficiently correct and appropriate manner. We can 87
  201. The technological fight against the organized fraud outsource the operations, implementation, integration, but not the responsibility to protect the information. And a good example of this would be what happened in the Gulf of Mexico with the BP spill. In fact, the operations were contracted by this company to a total of five different companies; but, who was found guilty? Of course BP, and not the subcontractors. About the second perspective, we must not be so naive to outsource what we don’t understand. It’s like giving a blank check. How are we going to know how much to pay for a service if we don’t understand the technologies and the process of what we do? This leads us to the following: there are many innovative technologies and surely we don’t have information and sufficient training to properly assess them. More than one model Anyway, we have to start from the idea that “the cloud” is not defined in a single model, but that there are different versions and needs. And the choice of one or the other directly influences the level of control and responsibility that we have on the security actions. If we operate according to the platform as a service rather than the software as a service, the responsibilities will be shared, and the provider will have in this case a greater responsibility over a large part of the operations. The important message is that we have to understand the nature of the service and understand how to translate the responsibilities of security in practice. But, indeed, always 88 2011 Summer Course remembering that, regardless of the model we will never be able to outsource responsibility, only some of the operations. And the provider, for its part, will have to be able to validate if it is fulfilling or not successfully the mandated tasks. On the subject of cloud providers, we also find a wide spectrum of players. We have providers who, coming from the business side, understand our business needs; and others who unfortunately, come from the consumer side and their attitude is another: they just offer the service, “don’t worry and sign here”, pretending that you don’t want to know more about the contract nor how they will assure the security of the data. You can’t ask them how they are going to deal with the protection of your information or ask them to show you how to manage recovery mechanisms for disasters. They won’t tell you because they consider that you don’t have to know it. The message is that much more information and more internal control have, easier it will be to verify the controls. It’s get some minor uncertainty and, therefore, levels finally also have less risk. The verification is everything. You can have more capacity for scale, have all the resources to ensure a more secure environment, etc., but the problem is in the verification capacity, pass tests of vulnerability, do audits on our behalf. We have to realize that business has to understand that there are risk differences based on the level of information, assuming that the service provider is willing to provide us with the necessary data. Centro de Investigación para la Gestión Tecnológica del Riesgo
  202. 2011 Summer Course So, what can these control mechanisms give me? They can give us the opportunity to monitor the protection of confidential data and identify the management of access and identities, and we may get to know who has access to what and from where. This last control can be useful to remove access to those employees of the service provider when they leave the company. In short, it is not a question of whether the provider has the tools, but of whether or not they use them. That they meet the requirements and needs of the customer, share the monitoring process and demonstrate the process of incident management. Actually, if we compare the cost of an in-house service with the cost of outsourcing it to a cloud provider, we see it is much lower in this second case. But what should also be taken into account is whether we are prepared to invest resources to get additional guarantees that help us to control the risks. Because in the end it may be that “the cloud” becomes a more expensive option, or at most, that the difference between the two proposals is not so big. In this context, I heard in some meetings that many times the costs associated with “the cloud” in terms of increased security, or the greater extent of the necessary bandwidth, may have come to be costs often similar to those of the service provided from the customer premises. We are surely thinking about to subcontract one or two providers of technology and services in the cloud, but often we end up subcontracting Centro de Investigación para la Gestión Tecnológica del Riesgo The technological fight against the organized fraud a greater number. In a study we did on United Kingdom a few months ago, we found that the majority of organizations were already using, on average, a total of 6 service providers. It may happen that there is a place on the Internet where the volume of data is very high and the sensitivity associated with them is, on the contrary, very low, as Facebook; but, generally speaking, because of the use of the application, today the sensitivity of corporate data tends to be quite higher, and then we have to deal with more risks. We have cases where the value of the data is very low and the sensitivity is high. For example, if we work in a federal Department. There I believe that it is a good idea to pass all security applications to “the cloud”. Although we would do is to block the most sensitive information, such as emails or certain reports that we were working on. We can also come across a situation where the sensitivity of the information is very high and the value for the business is also high. In this case, we have to use it, and manage it. An example would be the relationships with customers, or sales relationships. This is a simple model, which shows that the security people don’t have to participate in all the cloud activities. And at this point, what are the key reasons that lead us to adopt services in “the cloud”? (Before we saw in another survey why adopt them). On this occasion, requirements for security and privacy are pointed out, even more than the ability to grow. I believe that common sense prevails. 89
  203. The technological fight against the organized fraud In essence, this is what I wanted to share with you. “The cloud”, the infrastructure, software, are valid models that potentially give much value to the business. However, they have associated uncertainties. The way in which technologies are being used and how the working methods and the workload management provide a greater uncertainty, that’s why we have to pay special attention to how all these scenarios are being managed. 90 2011 Summer Course Cloud computing is good, and I am in favor of it, although it has a few additional risks associated with the technology. I believe that there is an opportunity for us as security officers. We must act with caution, but looking towards the opportunities. Centro de Investigación para la Gestión Tecnológica del Riesgo
  204. 2011 Summer Course The technological fight against the organized fraud THE DARWINIAN COEVOLUTION (As a strategy in the technological innovation applied to risk management) Santiago Moral Rubio (Director de Riesgo IT, Fraude y Seguridad del Grupo BBVA) ll of you may recall that so-called quiz show * “one, two, three...” where the contestant had to choose among three options (two pumpkins and an apartment in Torrevieja) and that mimics the known as “goat game”. With the game that I propose it is explained that the percentage of possibility that we have to get the apartment in Torrevieja or the gift that is hidden in the triad changes if, being the first discarded card a pumpkin or a goat, and keeping with us two letters of your choice, we modify our initial choice. * Note from Translator: Spanish TV quiz show exported to other European countries. Centro de Investigación para la Gestión Tecnológica del Riesgo In other words, if we have the cards A, B and C, and we have to choose one thinking that it is the apartment in Torrevieja: what is the probability to get it? It seems that 1/3 and it’s true. But… and if A is chosen, and then we discard, for example, the card B and this is a pumpkin… and now we are left with A and C: will I have the same percentage of probability to get the apartment if I continue to keep with me the A choice or will it will if I switch to the C option? All you will say that it is the same, but it isn’t. If we modify our first choice right now, the chances of getting the apartment increase up to 2/3. To many this seems to be verbiage, but if we apply the logic game we can see that it is so and, by the way, check “how idiots that we are 91
  205. The technological fight against the organized fraud the human, we are unable to reason about events of different origin. We believe that we have 50% chance in the third round and that my past history doesn’t count. But I tell you that it does. So in a game if someone takes away the bad one, change always, you’ll double your chances of getting right”. Unverified beliefs: What is not Cassandra Now we’ll make another game. Try to say “row” twenty consecutive times. It will happen that I’ll get to a point where I don’t know how many times I really said “row” or the swearword that we all are thinking, and we tend to believe that the cause of the twentieth is still the same as the first, and possibly, this is not so. In view of this, another question: what do you think is safer, a token or a coordinates card? Everyone will think that a token. Well, it is not so, though it may seem otherwise. The truth is that it is easier to design a Trojan horse to attack the security of a banking access through token, where a one-way communication is established, where the user will be giving all the time information to the hacker even though he is not aware of it, than by means of a coordinates card. More questions: Can someone tell me where is coming from the idea or belief that we must change passwords from time to time? Perhaps in the first information systems that made sense, it meant that the password “Hello” always gave the same result… hence it was very easy to build a reverse password dictionary. But actually is something not contrasted and all we have 92 2011 Summer Course invented a lot of mental justifications to continue to defend this idea not verified. All this basically is summarized in the message araised by Victor Chapela in his presentation: “The units of risk that we use have been seldom contrasted. In the 90% something we don’t verify them… they are memes that we learned because we had to”. This is what we are trying to do with the Cassandra model… that force us to analyze the truths, not the beliefs. The essence of the model is that: If we manage to differentiate what we do really to defend ourselves and what we do following “memes” or fashion or what “we have to do”, possibly will have opportunity to put our businesses and Nations above the competition, as we reduce the operational cost of the risk and reduce the operating costs of the company. Innovation-coevolution Changing the subject, we will go into the concept of coevolution, around which we have created our Research Center for Technological Risk Management (CIGTR); I’ll explain this concept by resorting to the discovery of an orchid named “Christmas Star”. In 1822 the French botanist Louis-Marie-Aubert du Petit-Thouars discovered in Madagascar this orchid, whose most special feature is that its spur is much longer than that of any of its congeners, measuring 29 cm in length. The problem is that the botanist didn’t find any pollinator that could Centro de Investigación para la Gestión Tecnológica del Riesgo
  206. 2011 Summer Course access the nectar located so deeply, being at the bottom and occupying as much four centimeters. In 1862, Charles Darwin in a work on the fertilization of orchids proposed a solution to the enigma: the pollinator of the particular Madagascar orchid should be a butterfly with a Spiro-trunk between 25 and 28 centimeters in length. But as any Butterfly with such a long trunk was not known at that time, several entomologists ridiculed the hypotheses of Darwin. Had to wait until 1910, Karl Jordan and Lionel Walter Rothschild found the bug that pollinated the “Christmas Star” Orchid: a subspecies (geographical breed) of the sphinx of Morgan. And until 9 years ago, it hadn’t been filmed ever. Its name: the predicted orchid butterfly. I have told this story because it is curious that someone predicts a specimen when observing the existence of another. And after this the theory of coevolution was enunciated in 1980… which says that there are species that wouldn’t have evolved if at the same time others had not evolved together with them. And in my opinion, this is something that we can move to the same idiosyncrasy of the knowledge society: now everything is related, and the information we share advances an effect in the receiver that allows the creation of new “ideas” that we continue to share. The knowledge society shifts of paradigm: I no longer leave from my ideas, but from my ideas disseminating. And this means that, in this sharing Centro de Investigación para la Gestión Tecnológica del Riesgo The technological fight against the organized fraud of ideas, my ideas can enrich, and thus only grown... And our philosophy is based on that at BBVA: If you want to be great, your environment must be great. Nowadays is not worth that only you are large, it cannot be sustained, that is why we are committed to a model of information where you share knowledge as the central axis of motion; and that is, precisely, where our CIGTR is based on, where we have already begun to have results. Let us see, then, what results has given the coevolution. Eight years ago at BBVA, together with GMV, we started some innovative projects, such as the so named Gesvult, which was a monitoring system to have the perimeter of our organization controlled; and five years ago other projects were born too, thanks to an exchange of ideas with again GMV. We started to tell us everything that we thought an ATM had to have to be safe, and software was developed, which is marketed today. And currently, for example, I personally have been working with Victor Chapela for several years on a book that we hope will come out someday, where we combine his vast experience in graphs and his perception that this is the best way to measure security, and my contribution with my book on the game theory, because we are convinced that in the future both will converge. What matters is the path, not the final result. It is important what we have enjoyed and learned. So much that I already don’t know which are my own contributions and that of the environment. 93
  207. The technological fight against the organized fraud Goal of the Center In this field of the game theory, moreover, we are already working at the CIGTR, along with the Foundation of the Rey Juan Carlos University, for the development of a methodology of this style. And, at the same time, we are also working with the Faculty of Mathematics in a couple of projects, in which context I stress one dedicated to the extension of the Cassandra model with a methodology of analysis based on graphs. The Center aims to share information and create a greater knowledge with good scientists in a neutral space. But, what is this system based on? It’s then based on the convergence of three points: companies like us that have data and needs (to investigate we need data: if I want to design a new system of fraud analysis, either I have data of fraud or it is impossible); scientists who want to have more knowledge; and industry that wants to have more and better product. This course is the first action of the CIGTR. From now on we are going to see what interest we generate in other universities, suppliers, engineering and consultancy companies, etc., which want to work with us. Ongoing projects We have developed, with the part of Cryptography from the Faculty of Mathematics, some algorithms of preservation of format and a token, which will help us in the implementation of PKI. Also, we have helped the company RSA, the Security Division of EMC, to develop hardware for host 94 2011 Summer Course environments, which adds to its big experience in distributed environments. Already a first version is designed in our premises… With all this, the improvement of knowledge between BBVA cryptographers and scientists of the University has been spectacular. I don’t know if we’ll get from this model something usable or not… but what I do know is that the expert BBVA cryptographers are now experts in preservation of format algorithms. I don’t know if we will do something or urge any manufacturer to release it on hardware. We are also working with this Department in some algorithms that relate levels of investment with service level to see how the fall in the level of service is projected when you decrease the level of investment. It is especially interesting in models of crisis. On the other hand, and following the enumeration of other lines of work, we highlight the models of cyber-biometrics, field in which we have begun to combine parameters of the users behavior along with a biometric recognition in a model that we call “cyber-biometric”, where the behavior and biometrics mingle in order to have a concept that we have christened “natural authentication”, and with which we are already working also in collaboration with other Universities. Moving on to other issues, and already out of the CIGTR, but within the Plan of innovation of BBVA, we are working on the production of new models for fraud analysis based on disruptive mechanisms of artificial intelligence, or other Centro de Investigación para la Gestión Tecnológica del Riesgo
  208. 2011 Summer Course types of artificial mechanisms. Here, for example, we were working with a company from California, Numenta, on a mechanism of artificial intelligence based on the functioning of the neocortex and the hierarchical temporal memory. At the same time, we work with GMV in another project using artificial immunity, which is reporting us very good results. At this point we must emphasize that we are working on production models of three phases. We first make an assessment of whether the model can work; in the second phase, it is built to make a formal verification that the model can withstand; and in the third, it’s already assumed the complete construction of a system where we can put already all the workload. In today’s event we are communicating what we’re doing, and what we are going to continue doing… The following steps will be aimed to talk to the rest of companies in our area. Cassandra Model And now I would like to talk about the Cassandra model, which in itself is one of the best examples I can give you of coevolution. If we do a bit of history… in 2001, when I was in a “circle of comfort”, was fortunate to have as chief Javier Viñuales, and at that time the Group’s Management obliged us to justify in an irrefutable way what is exactly what we were working on. Management supported all actions, but I exchange we had to justify and reason out them all. We explain our maxim: the segregation between the data and the application is zero, so it is useless have them on different networks. Centro de Investigación para la Gestión Tecnológica del Riesgo The technological fight against the organized fraud This attitude of never stop questioning ourselves is the fundamental part of the DNA of our Security Department. We question the best practices, and when we had something based, Management indeed supports us. It’s a fractal of security, nonlinear behavior. And there is a moment in which we begin to break this cause-effect link to see beyond… and we realized that it had to do with the games theory and I started reading the first book of the game theory. In essence, the Cassandra model all it does is to question the “memes” of those who we have spoken these days, and from there, it builds everything on the basis that it has to be profitable. It is based on the analysis of reality, which cannot be done without knowledge. We made a database in 2005 with all the security incidents that we knew of from the industry, of which public part was made available to INTECO a few years ago. “When we say that you do or not do something, when we advise you, we don’t do it on opinions, but on facts”. In essence, we respond to a scheme that we have called “the drawing of the fried egg”, where we are going from a concentric circle to another according to their impact in our business: pass from “things in security that can happen” to “things that have happened”, then come to “things that have happened in our sector” and “things that have happened to me”, then come to “things that happen to me with relative frequency” and, finally, “things that happen to me every day”. The fundamental question is this: where is the problem you want to solve? If it is in the “happen to me every day” we will have to do whatever is 95
  209. The technological fight against the organized fraud necessary, even without budget, and hence you will see in the prioritization system… for budgets, time and resources. Regarding the rest, we work with different methodologies too. For example, with business continuity technologies we are dealing with those “that happen a few times”; meanwhile, we turn to classical methods for those “that happen very few times, but which impact is incredible”. In the backbone of security problems, which have to do with confidentiality and integrity, is where we apply the model Cassandra. And this is the model of reasoning by which we design the security policy, the model of control, etc. And what has this to do with the game theory? The response focuses on the context of the intentionality and the coevolution in the case of fraud (remember the example of the Orchid, whose existence “forced” the existence of a 96 2011 Summer Course butterfly in particular). If there is fraud is because it is profitable, because it generates a benefit to an attacker, either economic, or of moral satisfaction. It is the essence of this model. This is analyzed with theory of games... nothing happens that isn’t profitable for anyone, if it isn’t an accident. And moreover, the ways they happen are optimal for the attacker. Having said that, I‘m going to declare this first course closed, where we have not tried to reach conclusions, but open new possibilities and channels of communication. We hope to have achieved it. We’ll see if it is of interest to repeat the format in coming years, and with what content. I’d like to give many thanks to everyone for your contributions, and for the synergies that the coevolution will provide us. Centro de Investigación para la Gestión Tecnológica del Riesgo
  210. 2011 Summer Course The technological fight against the organized fraud PHOTO GALLERY Centro de Investigación para la Gestión Tecnológica del Riesgo 97

×