Вы находитесь на странице: 1из 84

Revista especializada en Seguridad de la Información Nº 80 primer trimestre 2018 Época II

El 25 de mayo de 2018 será de aplicación la nueva


normativa europea sobre protección de datos

¿Está su empresa preparada y actualizada?


No espere más, la cuenta atrás llega a su fin
www.segurlex.com.es
segurlex.com.es
+34 91 401 88 74
info@segurlex.com.es

www.redseguridad.com
editorial

Un especial
interés de todos

El escenario tecnológico en el que se desenvuelven realmente trasladen tales directrices a realidades


las organizaciones es ya de por sí complejo, pero nada concretas, especialmente en el ámbito de la colabo-
comparado con lo que se les viene encima. El mundo ración público-privada. Los profesionales de la segu-
está cada vez más conectado y, con ello, las redes ridad de la información demandan cauces y proce-
y sistemas de información cada vez más expuestos dimientos específicos es este campo que mejoren la
a las amenazas, caracterizadas por una constante gestión y respuesta ante incidentes de envergadura
capacidad de innovación. La transformación digital como WannaCry o NotPethya.
segura será, por tanto, uno de los principales
desafíos a los que tendrán que hacer frente las Algunas de las dudas que existen en torno a la colabo-
empresas en los próximos años, en medio de un ración u otros aspectos que preocupan podrán des-
torbellino de nuevas tecnologías y tendencias que, si pejarse con la transposición definitiva de la Directiva
saben aprovechar, serán beneficiosas para su capa- NIS, pero otras muchas seguramente no lo hagan
cidad de defensa. De lo contrario, difícilmente podrán hasta que se elabore un documento de desarrollo. No
afrontar un contexto en el que los cibercriminales sí obstante, al margen de la aprobación de la Ley sobre
saben explotar todas las herramientas a su alcance. Seguridad de las Redes y Sistemas de Información (al
cierre de esta edición de RED SEGURIDAD en fase
de borrador de anteproyecto) que ponga negro sobre
La ciberseguridad blanco todos los cambios previstos, lo que queda
claro es que la ciberseguridad requiere un esfuerzo
requiere un esfuerzo conjunto, debe funcionar como un engranaje en el
conjunto. Debe funcionar que todas las partes implicadas pongan esfuerzos
de su parte. Por ello es necesario pulir aquellos
como un engranaje en aspectos que el sector considere susceptibles
de mejora con la premura que exige el entorno
el que todas las partes actual: comunicación de incidentes, intercambio de
implicadas pongan información, exigencias para los proveedores, con-
fidencialidad de la información sensible, cesión de
esfuerzos datos, motivos y atenuantes de las sanciones… Ha
de quedar interiorizado que en la ciberseguridad los
esfuerzos deben proceder de todas las partes impli-
En esta realidad se centra una parte de la nueva cadas, no se solucionarán los posibles inconvenientes
Estrategia de Seguridad Nacional (ESN), aproba- actuales con aportaciones aisladas.
da en diciembre del año pasado, que considera
la ciberseguridad como un ámbito de "especial En 2018 se presentan múltiples retos para todo el
interés". El documento, que recoge seis líneas de ecosistema de la seguridad de la información,
acción en esta materia, defiende la necesidad de entre los que hemos seleccionado algunos –la
reforzar las capacidades de prevención, detección, lista de desafíos es inabarcable– para conocer la
reacción, análisis, recuperación, respuesta e inves- opinión de los especialistas en la materia. Destaca
tigación frente a las ciberamenazas, y plantea la significativamente el impacto normativo, que no solo
conveniencia de mejorar la colaboración público- se manifiesta a través de la normativa NIS, sino tam-
privada. En definitiva, muestra un compromiso por bién mediante el Reglamento General europeo de
parte de la Administración de potenciar los medios Protección de Datos (que alumbrará una nueva ley
necesarios encaminados a la protección de las redes orgánica sobre la materia, ya en marcha); e igual-
y sistemas de la información ante un presente enca- mente surgen retos tecnológicos, con la incorpora-
minado hacia un futuro cada vez más dependiente ción de tecnologías disruptivas o la convergencia
de este tipo de tecnologías. Ese propósito deberá entre los mundos IT (Information Security) y OT
plasmarse en los próximos años en acciones que (Operation Security).

red seguridad primer trimestre 2018 3


sumario
editorial
3
Un especial interés 22 Opinión
de todos Retos del CISO

corporativo
6
I Jornada de Seguridad protagonista
e Inteligencia 38 segurTIC
Elena Matilla
CISO de Red Eléctrica de
España

8 sobre la mesa
Proteger el 'endpoint',
un reto tecnológico de 44 actualidad
la Administración
5º Congreso PIC
Participaron: Symantec, Servicio Andaluz de Salud, Madrid
Digital, Servicio de Salud de Castilla-La Mancha y SACYL.
Patrocinado por Symantec

16 Trofeos de Seguridad TIC monográfico IoT


64
Abierto el plazo de reportaje
2017
presentación de candidaturas
Seguridad por
hasta el 16 de abril
defecto y diseño,
primer paso en la
protección IoT

CONSEJO TÉCNICO ASESOR


PRESIDENTE Joaquín González Casal José Valiente Ricardo Barrasa CONSEJEROS
Guillermo Llorente Ballesteros Asociación de Ingenieros Centro de Ciberseguridad ISACA Capítulo de Madrid INDEPENDIENTES
Mapfre e Ingenieros Técnicos en Indutrial (CCI) Gianluca D'Antonio Tomás Arroyo
Informática (ALI) Miguel Manzanas ISMS Forum Spain Javier Moreno Montón
VOCALES Vicente Aceituno Canal Unidad de investigación Javier Pagès
Vicente Aguilera Díaz Olof Sandstrom
José Luis Rodríguez Álvarez Asociación Española para la tecnológica (UIT) del Cuerpo
Open Web Application
Agencia Española de Seguridad de los Sistemas de Nacional de Policía Security Project (OWASP)
Protección de Datos (AEPD) Información (ISSA España) Óscar de la Cruz Yagüe PRESIDENTE DE HONOR
Jorge Ramió Aguirre Alfonso Mur Bohigas
José Manuel de Riva Juan Muñoz Escribano Grupo de Delitos Telemáticos Universidad Politécnica de
Ametic ASIS España (GDT) de la Guardia Civil Madrid (UPM)
Fernando Rodríguez del Estal Ricardo López Lázaro Alberto Hernández Moreno
Asociación de Empresarios de Confederación Española de Instituto Nacional de
TIC de Andalucía (ETICOM) Cajas de Ahorros (CECA) Ciberseguridad (INCIBE)

STAFF
Borrmart: Presidente: Francisco Javier Borredá Martín. Directora general: Ana Borredá. Adjunto a la Presidencia y a la Dirección
General: Antonio Caballero Borredá. Publicidad: Marisa Laguna, Pedro Jose Pleguezuelos, Paloma Melendo, Yolanda Duro, Fco. Javier
Borredá García. Directora de Relaciones Institucionales: Mª Victoria Gómez.
Red Seguridad: Directora: Ana Borredá. Redactor Jefe: Enrique González Herrero. Redactor: Juanjo Sanz. Colaboradores:
Bernardo Valadés, David Marchal, Leticia Duque Guerrero y Jaime Sáez de la Llave. Maquetación: Macarena Fernández
Suscripción anual:
López y Jesús Vicente Ocaña. Fotografía: Banco de imágenes Thinkstock/GettyImages. Diseño: Escriña Diseño Gráfico.
50 euros (España), 110 euros (Europa,
Responsable soportes online: Laura Borredá. Soportes audiovisuales: Ancor Morales.
zona euro), 150 euros (resto países)
Suscripciones: Mª Isabel Melchor y Elena Sarriá. Dirección Financiera: Javier Pascual Bermejo. Redacción, Administración y
suscripciones@borrmart.es
Publicidad: C/ Don Ramón de la Cruz, 68. 28001 Madrid Tel.: +34 91 402 96 07
Depósito Legal: M-46198-2002
ISSN: 1695-3991 www.borrmart.es www.redseguridad.com red@borrmart.es. Fotomecánica e impresión: Reyper.

RED SEGURIDAD no se responsabiliza necesariamente de las opiniones o trabajos firmados, no autoriza la reproducción de textos e ilustraciones sin autorización escrita.
Usted manifiesta conocer que los datos personales que facilite pasarán a formar parte de un fichero automatizado titularidad de BORRMART, S.A. y podrán ser objeto de tratamiento, en los términos previstos en la Ley Orgánica 15/1999, de 13
de Diciembre y normativa al respecto. Para el cumplimiento de los derechos de acceso, rectificación y cancelación previstos en dicha ley diríjase a BORRMART, S.A. C/ Don Ramón de la cruz, 68. 28001 Madrid.
Prepárese para los 2C1076C6206C6974746 65E0
nuevos retos que plantea 3212023DATA BREACH034EAF

la ciberseguridad 122 02E6F616368573204C6E

9701CYBER ATTACK6F61 368

Uno de los desafíos al que se enfrentan los CISOs de hoy en día es el de ser capaces de
analizar el máximo de información para detectar actividades maliciosas.
¿Dispone de visibilidad para identificar todas las amenazas?
Le invitamos a descubrir cómo afrontar los retos en ciberseguridad detectando
amenazas, acelerando el tiempo de investigación y respondiendo a incidentes.

Conozca nuestra página web para CISOs


ibm.biz/security-ciso

La aplicación GDPR
se acerca.
¿Está su organización preparada?

Uno de los puntos más relevantes del nuevo Reglamento General de Protección de
Datos es la defensa de esos datos contra posibles ataques.

Regístrese para nuestro webinar del próximo


20 de Marzo y conozca cómo actuar en caso
de un ciberataque.
ibm.biz/gdrp-webinar

© Copyright IBM Corporation 2018. IBM, el logo IBM, ibm.com, Smarter Planet y el icono del planeta son marcas
registradas de International Business Machines Corporation en los Estados Unidos y otros países. Otras denominaciones
de empresas, productos y servicios pueden ser marcas registradas de terceros. Todos los derechos reservados.
corporativo
eguridad &
inteligencia y seguridad nteligencia
I Jornada de

Las revistas RED SEGURIDAD y SEGURITECNIA ponen en marcha una nueva jornada anual

Inteligencia, ingrediente imprescindible


nteligencia I Jornada de
eguridad &

para mejorar la seguridad


La primera Jornada de Seguridad e Inteligencia, que tendrá continuidad en próximas ediciones,
permitió una aproximación al concepto de inteligencia y a los diferentes escenarios en los que
se aplica. Entre ellos la Red, donde esta práctica ha cobrado auge en los últimos años como
método de defensa y planificación de estrategias predictivas por parte de las empresas.

Tx.: David Marchal y Bernardo Valadés Universidad Francisco de Vitoria, que parte del estudio de la situación y
Ft.: RED SEGURIDAD quien definió inteligencia como "más de las circunstancias, y es necesario
que información, conocimiento que para alcanzar el objetivo marcado,
Aunque se trata de un término ha sido especialmente preparado para lo cual a veces hay que apoyar-
ampliamente conocido en el ámbito para las circunstancias específicas se en distintas fuentes. Así, una vez
de la seguridad, la inteligencia ha de un usuario". A partir de ahí, con- obtenida la información, según Díaz,
experimentado una evolución en los tinuó, "el proceso que define parcial- "hay que hacer un análisis detallado
últimos años. De esta forma, y según mente la inteligencia es la continua de lo que nos ha sido dado".
explicó Ana Borredá, directora de obtención, verificación y análisis de Finalmente, Carlos Blanco, jefe de
RED SEGURIDAD, durante la inaugu- información que permite comprender la Unidad de Inteligencia de Eulen
ración de la jornada, "este concepto el problema o la situación de forma Seguridad, abordó los mitos de la
se está desarrollando desordena- clara y adaptar seguidamente el pro- inteligencia dividiéndolos en cuatro
damente, quizá por la irrupción de ducto al contexto de las circunstan- apartados. Del primero, la práctica
nuevas tecnologías, el marketing, las cias del usuario". Para ello se sigue de inteligencia, destacó igualmente
estrategias comerciales, etc. Esto está un proceso a través del cual se pasa cuatro aspectos: la inteligencia es
distorsionando el mercado, confun- del mundo físico a los datos. "De ahí, una disciplina; cuenta con un método
diendo al consumidor y pervirtiendo se estructuran, se extrae información, científico; se habla del ciclo de la inte-
su empleo". Por eso, con este even- se contextualiza, se le da significado ligencia, pero en realidad "no existe";
to, continuó, "pretendemos mejorar el y, finalmente, es cuando se puede y el paso de los datos a la informa-
conocimiento en el sector privado, y hablar de inteligencia", desarrolló. ción y, de ahí, al conocimiento.
especialmente en los departamentos En el segundo bloque, relaciona-
de Seguridad Corporativa y de los Investigación do con los beneficios esperables,
directores de Seguridad". Seguidamente, José Carlos Díaz agrupó tres nuevos mitos: las ins-
Tras la inauguración, tomó la pala- Trigo, general de Brigada de la trucciones de actuación, la inteli-
bra Valentín Martínez Valero, director Guardia Civil y especialista en investi- gencia como sinónimo de espionaje
del Máster de inteligencia econó- gación e información, explicó en qué o investigación privada y la manida
mica y experto en análisis de la consiste el "ciclo de la inteligencia", frase "eso ya lo sabía yo".

6 red seguridad primer trimestre 2018


inteligencia y seguridad
tema corporativo
noticias

eguridad &
I Jornada de nteligencia

En el tercer apartado, el uso de la información", a la que bautizó como En este nuevo escenario de trans-
tecnología, también destacó otros "el petróleo del siglo XXI". formación digital, Castillejo consideró
tres rasgos: no todas las perso-
eguridad & Por ello, observó, "la transforma- que "la ciberseguridad es el pilar
Inas sabende
Jornada qué esnteligencia
el Big Data y el ción digital nos obliga a entender clave para soportar el negocio vir-
machine learning o cómo utilizarlo; nuestro entorno y los negocios de tual" y se lamentó de que, pese a los
creer que con tener herramientas de otra manera" en un momento en el esfuerzos que se realizan en materia
análisis es suficiente; y entender la que los riesgos y las amenazas no de formación, no existan profesio-
tecnología como "una caja mágica". son los mismos que hace unos años nales suficientes para satisfacer las
Finalmente, en el último bloque de y en el que juegan un importante demandas del mercado. Además,
mitos, relativo a los profesionales de la papel la ciberseguridad y la ciberinte- por lo que respecta a la aplicación de
inteligencia, Blanco destacó al "gurú" ligencia. En relación con esta última, la inteligencia en la ciberseguridad,
de la inteligencia, en tanto que hay Mitxelena se mostró categórico: "ha estimó que el liderazgo y la relevancia
expertos en el tema, pero no ha de ser de ser un producto que nos debe de la primera es cada vez mayor.
el único elemento en este ecosistema; ayudar a ser competitivos, ya que, si
y el "espía" de la inteligencia, "profe- deseamos superar a otros países, las Análisis de inteligencia
sionales que consideran que mante- estructuras que tenemos son absolu- La primera Jornada de Seguridad e
ner la oscuridad sobre la inteligencia tamente insuficientes", apuntó. Inteligencia contó con otros paneles
es positivo para esta profesión". En esta línea, Juan Antonio Gómez dedicados a las herramientas de
Bule, presidente de Walhalla y miem- obtención de datos, la automati-
Ciberinteligencia bro del consejo académico de Next zación de los procesos, la inte-
Durante la jornada tuvo lugar un panel International Business School, señaló ligencia al servicio de la seguri-
dedicado a la ciberinteligencia, para que "la ciberinteligencia debe crecer a dad corporativa (sobre este tema
analizar la realidad de este concepto. la misma velocidad que los desarrollos moderó una mesa Elena Maestre,
¿Cómo influye la automatización de de las nuevas tecnologías", y ensalzó socia de EY y responsable de Risk
los procesos y la transformación digi- su importancia para que contribuya Advisory Services) y el apoyo insti-
tal de la información en una actividad a afianzar el concepto de seguridad tucional (en un panel conducido por
como la inteligencia? ¿Puede hablarse económica. "Si no trabajamos en ese Francisco Muñoz Usano, patrono de
de una nueva disciplina denominada modelo de inteligencia que nos permi- la Fundación Borredá).
ciberinteligencia? Estos interrogan- ta generar capacidades de influencia Entre las ponencias desta-
tes sirvieron para que César Álvarez, real y contrainteligencia para abordar có la de Vicente Furió, gerente de
miembro del Comité Asesor y coordi- determinadas cuestiones, nos encon- Monitorización e Inteligencia de la
nador de Proyectos de la Fundación traremos en una situación de indefini- división de Seguridad de everis,
Borredá, iniciara la moderación de un ción", señaló. quien explicó que su empresa puede
panel en el que destacados expertos Por último, Joaquín Castillejo, direc- ayudar a las organizaciones en la fase
reflexionaron sobre dichas cuestiones. tor ejecutivo de Cyrity, no fue ajeno Tx:
de obtención y procesado de datos,
El primero de ellos, un día después al mundo digitalizado actual, cuyo Ft:
no así en la de la interpretación de
de desvincularse de S21sec, fue valor radica en la información. "La la información, pues "esa labor le
Xabier Mitxelena, quien se refirió a la transformación digital es necesaria. Y corresponde al analista". "Nuestra
transformación digital como un "cam- no solo porque suponga una ventaja especialización son las fuentes físicas
bio cultural". Una vez expuestas las competitiva. Se trata de una cues- y lógicas para extraer metadatos, los
principales revoluciones que se han tión de supervivencia, de garantizar cuales servirán después a los analis-
producido desde el siglo XIX hasta la continuidad del negocio a través de tas para extraer las conclusiones", a
la actualidad, fue rotundo al afirmar nuevos productos y servicios en un lo que añadió: "somos fuertes en las
que "ahora, cuando alguien desea entorno en el que hay grandes riesgos técnicas de adquisición, obtención,
competir contigo, lo que busca es tu y amenazas", recordó. normalización y procesado".
Además, Santiago Cuadro, miem-
bro del consejo asesor en el desa-
rrollo del área de Ciberinteligencia
de S21sec, explicó los factores que
influyen en las decisiones estratégi-
cas de las compañías y que convie-
ne tener en cuenta desde el punto
de vista de la inteligencia. Así, repa-
só desde el uso de las tecnologías
de la información y la comunicación
en conflictos geopolíticos hasta la
utilización de las redes sociales.
Si desea leer la crónica completa
de la jornada, acuda al número 448
de SEGURITECNIA o a su página
Más de 150 profesionales de diferentes especialidades de la seguridad se dieron web: www.seguritecnia.es.
cita en la primera Jornada de Seguridad e Inteligencia.

red seguridad primer trimestre 2018 7


administración
sobre la mesa

Proteger el 'endpoint', un reto


tecnológico de la Administración

Patrocinado por:

De izda. a dcha., Marta Pírez (Symantec), Víctor Murrieta (Symantec), Francisco Carbonell (Servicio Andaluz de Salud), Guillermo
García (Madrid Digital), Alberto Cita (Symantec), Cayetano Fuentes (Servicio de Salud de Castilla-La Mancha), Enrique González
(RED SEGURIDAD), Carlos Alonso (SACYL) y Paloma Melendo (RED SEGURIDAD).

Hoy en día ninguna empresa o institución puede dejar de lado la seguridad de sus equipos,
dispositivos o endpoints que se conectan a la red corporativa. Ni siquiera la Administración
Pública. Sin embargo, tal y como se puso de manifiesto en este "Sobre la mesa...", la falta de
homogeneización y simplificación, así como la existencia de hardware y software anticuado,
complica la labor de protección de los organismos públicos. Lo bueno es que hay solución.

Tx: David Marchal actual de estas últimas a la hora jefe de Área de Coordinación y
Ft: RED SEGURIDAD de salvaguardar sus endpoints, RED Asistencia a Usuarios de Sanidad de
SEGURIDAD, en colaboración con Castilla y León (SACYL).
el fabricante Symantec, organizó un El debate comenzó con una valora-
E l ataque del ransomware desayuno de trabajo con el título: ción por parte de todos los asistentes
WannaCry el pasado mes de mayo "Protección del endpoint en entor- sobre la realidad actual de las entida-
puso de manifiesto la importancia nos públicos". La mesa contó con la des públicas en lo que se refiere a la
de actualizar y proteger los sistemas presencia de Francisco Carbonell, protección de sus activos tecnológi-
informáticos de las organizaciones, y responsable de Sistemas e cos, sobre todo a partir del menciona-
en especial lo que se conoce como Infraestructuras del Servicio Andaluz do ataque. La coincidencia general fue
endpoints; es decir, todos los equi- de Salud; Guillermo García, jefe del que "la seguridad ha dejado de ser un
pos y dispositivos que se conectan Área de Soluciones y Servicios del coto del área de Sistemas e Informática
a la red corporativa. Ahora bien, Puesto de Trabajo Digital de Madrid y se ha convertido en una preocupa-
este malware no solo fue un peligro Digital; Alberto Cita, ingeniero de ción a todos los niveles", en palabras
para las empresas privadas, sino que ventas de Symantec; Cayetano de Guillermo García, de Madrid Digital.
también puso en alerta a todas las Fuentes, director del Departamento Alberto Cita, de Symantec, añadió
administraciones públicas. de Operaciones y Servicios del además que esta materia se encuentra
Precisamente, para conocer con Servicio de Salud de Castilla-La ahora "en la agenda de los directivos,
más detalle cuál es la situación Mancha; y Carlos Alonso Gómez, porque cada vez hay mayor depen-

8 red seguridad primer trimestre 2018


administración sobre la mesa

dencia de ello y porque cualquier asun-


to que vulnera la integridad corporativa
tiene un gran impacto".
Ahora bien, las administraciones
públicas tienen una serie de particula-
ridades que les hacen diferenciarse de
las empresas privadas y que también
condicionan la forma de salvaguardar
los endpoints, según explicaron los par-
ticipantes. En opinión de Carlos Alonso
Gómez, del Servicio de Salud de la
Junta de Castilla y León, el problema
reside en la existencia de "hardware y
software anticuado y bastante difícil de
gestionar a la hora de garantizar que
funcionan ciertos sistemas para deter-
minadas plataformas que, como se
sabe, tienen vulnerabilidades", comentó.
Carlos Alonso Para Francisco Carbonell, del Servicio Cayetano Fuentes
Andaluz de Salud, el reto se encuentra
Jefe de Área de Director de Operaciones
también en "la falta de homogenei-
Coordinación y Asistencia y Servicios del Servicio
zación y simplificación en el gobierno
a Usuarios SACYL del endpoint", lo cual "lleva a situa-
de Salud de Castilla-La
ciones que ya deberían estar supera- Mancha
"La dificultad de
das" como la actualización automática
gestionar el 'endpoint' "Cada gerencia
de los sistemas. Una observación que
en la Administración constató igualmente Cayetano Fuentes, cuenta con su
reside en la existencia del Departamento de Operaciones departamento de
de hardware y software y Servicios de Salud de Castilla-La seguridad que se
Mancha, para quien el puesto de traba-
anticuado y difícil jo es especialmente crítico. "Tenemos
ocupa de concienciar
de administrar a la hora un parque muy amplio, usado por per- sobre la responsabili-
de garantizar que sonal con particularidades concretas, dad de los datos que
como los profesionales sanitarios que se manejan y el uso
funcionan ciertos trabajan las 24 horas los siete días a
sistemas para la semana, y es utilizado por diferentes
de los medios de la
plataformas vulnerables" usuarios, con perfiles y capacidades Administración"
distintas", argumentó en ese sentido.

Protección en el 'endpoint' de Symantec, integración en un único agente


Symantec ha anunciado recientemente el lanzamiento de una
nueva solución para la seguridad en el endpoint corporativo. La
compañía californiana asegura que se trata de la "más avan-
zada y completa disponible actualmente" al reunir tecnología
de deception, defensa contra amenazas móviles, detección y
respuesta en el punto final, así como endurecimiento y protec-
ción intensiva gracias a un avanzado aprendizaje automatizado.
Se trata de una solución que ofrece la "mejor protección y
detección de su clase" integrada en un único agente, lo que
ayuda a las organizaciones a hacer frente a los retos de la
Generación Cloud al simplificar y optimizar sus entornos, redu-
ciendo costes y mejorando la seguridad.
Mike Fey, presidente y COO de Symantec, señaló tras la
presentación: "nuestra nueva solución para endpoints responde
exactamente a lo que los clientes nos han estado pidiendo:
extraordinarias capacidades, integradas en un único agente,
para ayudarles a optimizar, reducir costes y combatir eficaz-
mente las amenazas avanzadas, el malware y el ransomware".
"Y lo que es más importante, estas tecnologías no están simplemente integradas, ganan al ir codo con codo frente a sus
competidores individuales de la industria. Lo denominamos la seguridad del punto final para la Generación Cloud y estamos
muy orgullosos de ofrecer este nivel de avance a nuestros clientes, lo que supone un nuevo hito en nuestra estrategia en el
endpoint", añadió el responsable de la compañía.

red seguridad primer trimestre 2018 9


administración
sobre la mesa

"les atacan a ellos y ese camino permi- de la tecnología, Madrid Digital trabaja
te a los ciberdelincuentes lanzar otros en estos momentos en el desarrollo
ataques dirigidos a terceros mediante de un SOC –que está previsto a lo
procesos y dominios de confianza". largo de este año–, el cual servirá para
monitorizar y hacer un seguimiento de
¿Cómo abordar la situación? su parque de endpoints, según explicó
El escenario, a juicio de los asistentes Guillermo García.
al encuentro, es un tanto pesimista. Otro de los aspectos que también
No obstante, y a pesar de ello, todas salió a relucir durante el debate es la
las administraciones públicas están necesidad de aplicar mejores prácticas
trabajando para afianzar la protección de seguridad, para lo cual Alberto Cita,
de sus endpoints. "Por nuestra parte, de Symantec, expuso la propuesta
en 2013 comenzamos un proceso de su compañía al respecto. "Hasta
de transformación del puesto clien- ahora, se ha abordado la protección
te", recordó Francisco Carbonell, del del endpoint desde un punto de vista
Servicio Andaluz de Salud. "Lo primero negativo, como la creación de listas
que hicimos fue realizar un inventario negras. Nosotros, en cambio, imple-
de nuestro parque de equipos y dis- mentamos un modelo de seguridad
positivos para conocer exactamente positivo". Para ello se basan en su
Francisco Carbonell los recursos con los que contamos, forma de actuar en el caso de los
Responsable de Sistemas incluyendo su estado, su grado de servidores, donde el fabricante crea
e Infraestructuras del obsolescencia, los contratos de man- una especie de "jaula" que permite
Servicio Andaluz de Salud tenimiento, etc.". La finalidad, según
el invitado, es "simplificar el puesto
"Estamos en proceso cliente" implementando "sistemas de
de simplificación del virtualización que permitan que, aun-
que el terminal sea atacado, no tenga
puesto cliente
consecuencias porque los datos no se
mediante sistemas de almacenan en él".
virtualización que A juicio de Alberto Cita, de Symantec,
evitarían consecuencias ese es uno de los caminos que es
necesario recorrer. "Para lograr seguri-
si algún sistema es dad hace falta visibilidad y control, para
atacado, porque los lo cual contamos con herramientas
datos no se almacenan específicas que facilitan esa tarea",
en ellos, sino en apuntó.
Otra de las soluciones propuestas
nuestros data center" por los asistentes es la restricción de
funciones a los usuarios. Así sucede,
por ejemplo, en el Servicio de Salud
A este contexto hay que añadir, ade- de la Junta de Castilla y León. "En
más, otro hecho que destacó Fuentes: nuestro caso, las Wi-Fi disponibles
"Luchamos cada cuatro años con un solo sirven para descargar correo y Guillermo García
cambio de gobierno que nos puede aplicaciones internas, no para navegar Jefe de Soluciones y Servicios
pillar a mitad de camino de una evo- por Internet, pues todo está filtrado", del Puesto de Trabajo Digital
lución del parque tecnológico, porque comentó Carlos Alonso Gómez. de Madrid Digital
contamos con infraestructura muy En Madrid Digital, por su parte, están
obsoleta. De hecho, estamos trabajan- apostando por aplicar políticas y perfi- "Aplicamos políticas de
do con versiones de Java con recono- les de seguridad que eviten que cual- seguridad que impiden
cidas vulnerabilidades y sistemas ope- quier dispositivo que no sea de la red
que un dispositivo que
rativos que son la puerta de entrada a corporativa se pueda usar, con el fin
muchos ataques de día cero". de evitar que los usuarios utilicen los no pertenezca a la red
Por si fueran pocas las vicisitu- suyos propios. "No damos acceso a corporativa pueda
des mencionadas, Alberto Cita, de una VPN para un dispositivo que no conectarse a ella, para
Symantec, añadió otra realidad que controlemos nosotros directamente",
viene a complicar aún más la situación. afirmó su representante.
evitar que los usuarios
Se trata del "incremento del número Todo ello está obligando a las enti- traigan los suyos. No
de ataques a la cadena de suministro, dades a incorporar la seguridad en damos acceso a la VPN
principalmente centrada en proveedo- cada actividad que realizan desde el a ningún dispositivo que
res de software, que es el eslabón más departamento de TI. Precisamente, en
débil", puntualizó Cita. Y es que, añadió, esa labor por potenciar la protección no controlemos"

10 red seguridad primer trimestre 2018


Milipol Qatar 2018
International Event
QATAR 2018
For Homeland Security
12th session

NEW!
Incorporating the
“Civil Defence
Exhibition & Conference”

The World’s Leading Network of


Homeland Security Events

QATAR 2018
administración
sobre la mesa

ejecutar únicamente determinadas les o a distancia, de concienciar sobre


aplicaciones. Después trasladan este la responsabilidad de los datos que se
modelo al endpoint, dividiendo las manejan y el uso de los medios que la
aplicaciones en dos tipos: "En las que Administración pone a su disposición".
debemos confiar porque se necesitan Además, desde su departamen-
para el trabajo, como el navegador, to continúan insistiendo en una idea
Office, Flash, etc.; y el resto. Las extendida desde hace años: que los
primeras las conocemos y las 'enjau- usuarios guarden sus credenciales en
lamos'. El resto las dividimos entre un lugar seguro y que si observan algo
las que tienen buena reputación, que sospechoso se lo transmitan rápida-
las tenemos monitorizadas; y las que mente al responsable de seguridad.
no, que volvemos a enjaular para que Afortunadamente, según este pro-
no toquen recursos críticos del siste- fesional, los empleados cada vez son
ma", explicó el directivo. En palabras más conscientes de la importancia de
de Cita, "este modelo de seguridad proteger los endpoints y de que "los
positivo permite dar una mayor fle- datos que manejan no son suyos, sino
xibilidad al usuario para que decida de los pacientes". En cualquier caso,
qué quiere instalar sin comprometer periódicamente monitorizan los equi-
la seguridad del puesto de trabajo". pos para controlar que todo vaya bien. Alberto Cita
Aparte de esto, Cayetano Fuentes Ingeniero de ventas de
Concienciación y formación explicó que también han hecho audi- Symantec
Además de todas las protecciones torías de seguridad, certificándose en
necesarias para mantener a salvo los ISO 27000 y en el Esquema Nacional "Hasta ahora se ha
endpoints, los asistentes a este desa- de Seguridad, y periódicamente entre- abordado la protección
yuno de trabajo insistieron en la impor- gan informes de las auditorías a la del 'endpoint' desde
tancia de concienciar y formar tanto dirección, "que, cada vez que los lee
a los altos cargos como al resto de detenidamente, se conciencia un poco un punto de vista
empleados, con el fin de que tengan más con el tema de la seguridad", negativo. Nosotros, en
siempre la seguridad en su punto de añadió. cambio, implementamos
mira. En esa línea también están traba-
un modelo positivo que
Para dar ejemplo, cada uno de ellos jando en el Servicio Andaluz de Salud,
expuso qué están haciendo en su donde, además de realizar campañas da mayor flexibilidad al
entidad en ese sentido. Por ejemplo, de prevención, se ha creado la figura usuario para que decida
en el Departamento de Operaciones del responsable de seguridad quien, qué quiere instalar sin
y Servicios de Salud de Castilla-La en palabras de Francisco Carbonell,
Mancha "se han creado a escala regio- "realiza una labor 'evangelizadora".
correr riesgos"
nal unidades para ayudar a transmitir Asimismo, en esta entidad apuestan
a los empleados la importancia de por la formación a distancia.
la seguridad", comentó Cayetano Por su parte, en Madrid Digital están datos. "Hasta ahora, hemos puesto
Fuentes. "Cada gerencia cuenta con haciendo mucho hincapié en concien- mucho el foco en este sentido, pero
su departamento de Seguridad, que se ciar a los empleados en materia de también tenemos que hacer un esfuer-
ocupa, a través de jornadas presencia- nueva legislación sobre protección de zo en fomentar el resto de aspectos
relacionados con la seguridad, empe-
zando con formaciones específicas",
confirmó Guillermo García.
En este punto, Carlos Alonso Gómez
recalcó un aspecto en el que están
poniendo mucho énfasis en SACYL:
"Uno de los puntos clave en este sen-
tido es el propio informático, que sabe
cómo saltarse las restricciones y llevar
a cabo determinadas políticas de ges-
tión que van en contra de las directri-
ces establecidas. Por eso, estamos
incidiendo en formar a los propios
técnicos, porque, a la larga, son una
fuente importante de la que aprenden
los usuarios".
Claro que, en todo este procedi-
El encuentro reunió a representantes de diferentes administraciones públicas de varias miento, también hay que ser realistas
comunidades autónomas, expusieron la situación de sus respectivas áreas. y saber hasta dónde se puede llegar

12 red seguridad primer trimestre 2018 especial


administración sobre la mesa

en el proceso de formación de los tiene conocimientos técnicos y piensa llegue a fechas concretas. A pesar de
usuarios, tal y como apuntó en una que los ataques son algo que solo les ello, cada vez se está poniendo más
de sus intervenciones Alberto Cita, de sucede a otros", apuntó. interés en que el ciudadano se sienta
Symantec. Para este directivo, es sen- seguro y en que la información que se
cillo concienciar en torno a las medidas Normativa almacena esté protegida", comentó.
básicas, como no prestar las contra- Tan importante es hacer ver a los En este sentido, el directivo agrade-
señas a nadie o no introducir una llave empleados la necesidad de estar ció el trabajo que, al respecto, lleva
USB en un ordenador corporativo. "Sin alerta en términos de protección a cabo el CCN-CERT, "colaborando
embargo, hay otro tipo de conceptos de la información, como adaptarse con las Administraciones, generando
que no los van a entender. Por ejemplo, y adecuarse a la nueva normativa guías y trabajando activamente para
la criptografía de clave pública", matizó. que llegará a lo largo de este año. facilitar la adaptación al Esquema
Nacional de Seguridad".
Esto último lo compartieron el resto
de invitados a la mesa de trabajo,
Los empleados públicos son cada vez como cuando Francisco Carbonell,
más conscientes de la importancia del Servicio Andaluz de Salud, apuntó
que él observa "un intento positivo de
de proteger sus dispositivos, potenciar las buenas prácticas". Sin
embargo, este profesional no tiene
afirmaron los invitados claro todavía que exista "un vector
de dirección hacia donde se pueda
converger" en materia de seguridad.
Para estos casos, es imprescindible Precisamente, ese fue otro de los A continuación, los asistentes tam-
implementar controles desde el depar- temas que se trató seguidamente en bién abordaron una de las normativas
tamento de TI y prestar mucha aten- este "Sobre la mesa...". más importantes que entrará en apli-
ción a la ingeniería social. Por eso, Cita En primer lugar, los asistentes cación en los próximos meses como
recomendó llevar a cabo campañas pusieron de manifiesto la dificul- es el Reglamento General Protección
de ataques controlados a los usuarios tad que existe en el ámbito de la de Datos (RGPD). Desde el punto de
a través de phishing o cualquier otra Administración Pública con el cum- vista de Symantec, a la que como
técnica para que tomen conciencia de plimiento de los plazos. En palabras empresa privada también afecta esta
la necesidad de proteger sus activos de Cayetano Fuentes, del Servicio de legislación, el "principal desafío es
tecnológicos y la información que en Salud de Castilla-La Mancha, "es difí- que la normativa no es muy clara, deja
ellos almacenan. "Es una técnica que cil que la Administración, con los pla- muchos claroscuros y componentes
funciona muy bien a todos los niveles, zos que se manejan de adaptación de subjetivos. Y también que queda un
incluso con gente que considera que sistemas de información y protocolos, ámbito asociado a la jurisprudencia

Proteger los dispositivos IoT, el siguiente paso en la Administración Pública


Durante el transcurso del encuentro, los asistentes abordaron tam-
bién el futuro de la protección de los sistemas tecnológicos, el cual
pasa por salvaguardar cada vez más y mejor la enorme cantidad de
dispositivos del Internet de las Cosas (IoT, por sus siglas en inglés)
que llegan diariamente al mercado. "Lo cierto es que todavía no
vemos la que se nos viene encima con el IoT en materia de seguri-
dad. Por un lado, la gente quiere que todo se conecte a todo; pero,
por otro, debe haber cierto sentido común a la hora de utilizar estos
dispositivos, sobre todo por la gran capacidad que tienen de manejar
información", subrayó Cayetano Fuentes, del Servicio de Salud de
Castilla La Mancha.
Por su parte, Francisco Carbonell, del Servicio Andaluz de Salud,
apuntó que hoy en día todavía "falta orden y concierto" en este ámbi-
to. "Si no somos capaces de ordenar esto, los que nos ocupamos de
gestionar la seguridad tecnológica viviremos mucho peor sin técnicas
de control de acceso y dispositivos", consideró. Por eso, para el
directivo, es importante explicar bien las carencias de esta tecnología
y fomentar también la concienciación.
Y es que, a juicio de Carlos Alonso Gómez, de Sanidad de la
Junta de Castilla y León, "el usuario tendrá que asumir su parte de
cuota de responsabilidad en la seguridad". Por ello es importante,
tal y como señaló Guillermo García, de Madrid Digital, no dejarse llevar por este boom. "Tenemos que ser capaces de
darle coherencia con la dificultad que esto tiene. Hay que plantear modelos para ir ganando experiencia, coger de la
mano al usuario para formarle y que adquiera conocimiento sobre el Internet de las Cosas, y no dejarnos llevar por su
iniciativa", recalcó el directivo.

red seguridad primer trimestre 2018 13


administración
sobre la mesa

La importancia de concienciar y formar tanto a los empleados como a los altos cargos de la Administración en temas relacionados
con la seguridad fue uno de los asuntos que se abordó durante el debate.

con el que no se sabe qué ocurrirá busca en un proveedor de estas carac- encuentra en la actualidad "muy
hasta que no se lleve a cabo", sos- terísticas que sea "un socio tecnológi- fragmentado", donde "si uno quiere
tuvo Alberto Cita. Y continuó: "Desde co". "Queremos que sea un partner seguir alguna directriz de seguridad,
el punto de vista técnico, que puedas que nos dé otro punto de vista, que ha de contar con varias soluciones
estar protegido frente a sanciones, conozca la organización, que colabore que le protejan, pero luego no son
aboca a las empresas al cifrado. Se contigo en ofrecerte la mejor solución capaces de comunicarse entre sí".
trata de un procedimiento sencillo, y empatice con el negocio; no que te Por ello, para Cita, es fundamen-
pero no resulta muy amigable para venda una solución y se vaya". tal implementar herramientas que no
los usuarios". A pesar de esto último, Esto resulta todavía más impor- sean silos y que hablen entre sí. "Es
recalcó que están haciendo "avances
para que el componente técnico del
cifrado sea más fácil y vaya asociado
a la identidad". Para mejorar la seguridad de los
Soluciones tecnológicas
dispositivos conectados hay que
Para finalizar el debate, los asistentes impulsar su visibilidad y control
abordaron un tema muy importante
a la hora de gestionar el endpoint: la con soluciones tecnológicas
tecnología; concretamente, la exis-
tencia de soluciones que les ayu-
dan a mejorar la protección de sus tante teniendo en cuenta el nuevo importante contar con una plataforma
sistemas. Francisco Carbonell, del modelo de contratación de servicios de ciberseguridad abierta en la que
Servicio Andaluz de Salud, reconoció tecnológicos que se está imponiendo otras empresas o startups puedan
que hay muchos productos en el hoy en día; esto es, "el pago por ser- engancharse para poder simplificar
mercado destinados a esa finalidad. vicios", constató Guillermo García, de el funcionamiento tanto de entornos
Sin embargo, "materializarlos en las Madrid Digital. de seguridad preventivos como reac-
organizaciones en difícil". Por eso, Por su parte, Alberto Cita, de tivos", concluyó.
defendió el papel que actualmente Symantec, puso el énfasis en que Tras casi tres horas de debate, una
desempeñan los integradores en la los proveedores de soluciones tec- sensación quedó clara: la protección
cadena de puesta en marcha de nológicas están madurando porque del endpoint es una misión compleja
una nueva solución. En ese sentido, la superficie de amenazas no deja en las administraciones públicas (más
afirmó: "Veo la figura del integrador de crecer. "Ahora se está viendo una si cabe que en las empresas privadas
interesante, porque aporta el punto cierta tendencia a la consolidación ante el modelo de asignación y apro-
de unión entre los productos de la que va a llevar a que el mercado de la bación de recursos); pero con una
multinacional y la cercanía de estas ciberseguridad se acabe concentran- suma de concienciación, tecnología,
organizaciones locales". do en unos pocos grandes proveedo- normativa y talento, el futuro se pre-
Al respecto también se pronunció res", opinó este profesional. senta menos sombrío frente a los
Cayetano Fuentes, del Servicio de La principal razón de este plan- retos que plantea un mundo cada vez
Salud de Castilla-La Macha, quien teamiento es que el mercado se más conectado.

14 red seguridad primer trimestre 2018


CERTAMEN INTERNACIONAL

“XII TROFEOS DE LA SEGURIDAD TIC”


Red Seguridad, revista independiente especializada en Seguridad de la Información, manifestando su
y privadas, relacionadas con las distintas actividades, productos y servicios de seguridad TIC, instituye
del Certamen Internacional de este nombre, el cual se desarrollará con arreglo a las siguientes Bases,

ESPECIFICACIONES DE LOS TROFEOS


Los “TROFEOS DE LA SEGURIDAD TIC” serán otorgados anualmente por el Jurado, constituido por el Pleno del Consejo Técnico
Asesor de Red Seguridad, previo análisis y estudio de las distintas candidaturas, a las personas o entidades -del sector público y
privado- que se hagan acreedoras de ellos.

T1.- TROFEO AL PRODUCTO/SERVICIO O SISTEMA DE SEGURIDAD MÁS INNOVADOR


Producto/servicio en vigor y comercializado o sistema implantado y operativo en España y/o por empresas españolas (cloud, movili-
PLAZO HASTA EL 16 DE ABRIL

dad, scada, IOT, etc..).

T2.- TROFEO A LA EMPRESA SegTIC DEL AÑO


A la empresa del ámbito privado que más se haya destacado por un alto grado de excelencia en materia de Seguridad TIC.

T3.- TROFEO A LA INSTITUCIÓN U ORGANISMO PÚBLICO EN MATERIA DE SEGURIDAD TIC


A la institución u organismo público que destaque por una actuación, operación o iniciativa llevada a cabo con éxito en materia de seguridad TIC.

T4.- TROFEO A LA TRAYECTORIA PROFESIONAL PÚBLICA O PRIVADA EN SEGURIDAD TIC


A la persona que más se haya destacado por su trayectoria y proyección profesional, empresarial y social, y por su aportación al sector
de la Seguridad TIC.

T5.- TROFEO A LA CAPACITACIÓN, DIVULGACIÓN, CONCIENCIACIÓN O FORMACIÓN EN SEGURIDAD TIC


A la persona o entidad, pública o privada, que más se haya distinguido por su aportación a la capacitación, divulgación, conciencia-
ción y/o formación en materia de Seguridad TIC, desarrollada en España y/o por empresas o entidades españolas.

T6.- TROFEO AL CENTRO EDUCATIVO SegTIC DEL AÑO


Al centro educativo que se haya distinguido por difundir la cultura de la seguridad entre sus alumnos y promover entre los menores la
concienciación en materia de ciberseguridad, para brindar una especial protección de a los menores frente a los riesgos cibernéticos.

TE.- TROFEO EXTRAORDINARIO DEL JURADO


A la persona, entidad o colectivo que más se haya destacado a lo largo del año por sus valores humanos, acciones meritorias o labor
extraordinaria en pro del desarrollo y difusión de la cultura de la Seguridad en Tecnologías de la Información y las Comunicaciones, en
el ámbito nacional o internacional.

CATEGORÍAS T1
Requisitos de carácter técnico: Memoria personalizada (mínimo, 3 folios). Presencia del producto o sistema o del servicio en el mer-
cado, así como de la innovación que se haya desarrollado en el periodo de esta edición. Presentación de certificaciones de acuerdo
con la normativa vigente, si existen. Presentación de homologaciones de acuerdo con la normativa vigente, si existen. Subvenciones, si
las hubiere. Disponibilidad, garantizada por el candidato, del producto o sistema, o del servicio, la innovación o la investigación, para la
realización de pruebas o ensayos, en caso de que lo considerase pertinente la Comisión que estudie la propuesta.Los posibles gastos
derivados de análisis, ensayos, contrastes, etc., que requiera la respectiva Comisión de Estudio para emitir su dictamen (cuyos resultados
quedarán en poder del candidato al premio), así como las visitas del Jurado, serán sufragados por el candidato.

Presidente
GUILLERMO LLORENTE BALLESTEROS VICENTE ACEITUNO CANAL ÓSCAR DE LA CRUZ YAGÜE
MAPFRE Asociación Española para la Seguridad de los Grupo de Delitos Telemáticos (GDT) de la
Sistemas de Información (ISSA España) Guardia Civil
Vocales
JOSÉ LUIS RODRÍGUEZ ÁLVAREZ ALBERTO HERNÁNDEZ MORENO Consejeros independientes
J Agencia Española de Protección de Datos
JUAN MUÑOZ ESCRIBANO
ASIS España
Instituto Nacional de Ciberseguridad (INCIBE) TOMÁS ARROYO
(AEPD) JAVIER MORENO MONTÓN
U RICARDO BARRASA JAVIER PAGÈS
JOSÉ MANUEL DE RIVA RICARDO LÓPEZ LÁZARO ISACA Capítulo de Madrid
R AMETIC Confederación Española de Cajas de Ahorros
OLOF SANDSTROM

A FERNANDO RODRÍGUEZ DEL ESTAL


(CECA) GIANLUCA D’ANTONIO
ISMS Forum Spain Presidente de Honor
D Asociación de Empresarios de Tecnología de
la Información y Comunicación de Andalucía
JOSÉ VALIENTE
VICENTE AGUILERA DÍAZ
ALFONSO MUR BOHIGAS
Centro de Ciberseguridad Industrial (CCI)
O (ETICOM) Open Web Application Security Project
(OWASP)
JOAQUÍN GONZÁLEZ CASAL MIGUEL MANZANAS
Asociación de Ingenieros e Ingenieros Unidad de Investigación Tecnológica (UIT) del JORGE RAMIÓ AGUIRRE
Técnicos en Informática (ALI) Cuerpo Nacional de Policía Universidad Politécnica de Madrid (UPM)
2017

voluntad de reconocer y exaltar los méritos que concurren en las personas, fabricantes, entidades públicas
a tal fin, la duodécima edición de los “TROFEOS DE LA SEGURIDAD TIC”, otorgados en el marco
que se consideran aceptadas por cuantos intervengan en su actividad.

CATEGORÍAS T2. T3, T4. T5 Y T6


Requisitos que comprenden valores humanos, en general, y profesionales, en particular: Memoria personalizada (mínimo, 3
folios) de los hechos y proyectos, y sus resultados, historiales profesionales u otros antecedentes si se creen pertinentes a efectos del
mejor conocimiento de la persona o colectivo propuesto.

BASES DEL PROCEDIMIENTO DE CONCESIÓN

PLAZO HASTA EL 16 DE ABRIL


PRIMERA.- El Jurado del Certamen lo constituye el Consejo Técnico Asesor de Red Seguridad, convocado y reunido el Pleno
bajo la Presidencia de su titular que, previo análisis de los dictámenes no vinculantes de las Comisiones de Estudio designadas por el
mismo, decidirá la concesión de los Trofeos a la correspondiente edición anual.

El Jurado podrá declarar desiertos alguno o algunos de los Trofeos si, a su juicio, el candidato/os no reúne los méritos suficientes. Sus
decisiones son inapelables.

Las propuestas para los Trofeos T2, T3, T4, T5 y T6 también podrán ser formuladas por los propios Consejeros al Pleno del propio ór-
gano, que resolverá sobre las mismas.

Las propuestas al Trofeo Extraordinario (TE) únicamente podrán ser formuladas por los propios Consejeros al Pleno del propio órgano,
que resolverá sobre las mismas.

SEGUNDA.- Las Comisiones de Estudio serán nombradas por el Pleno del Consejo Técnico Asesor, que designará a los componen-
tes y a su coordinador. Un componente de cada Comisión lo será por nombramiento del Presidente del Jurado. Cada Comisión estará
formada, al menos, por tres consejeros y por la directora de Red Seguridad, que participará con voz, pero sin voto.

TERCERA.- Las candidaturas o propuestas para cada uno de los Trofeos que se reseñan (con excepción del TE) pueden ser
formuladas directamente por las personas, entidades, organismos o empresas que crean reunir méritos suficientes para obtener el
premio o premios que soliciten. Los miembros del Jurado podrán proponer, a su vez, sin limitación en cuanto al número, a cuantos
consideren merecedores de algún galardón. En cada solicitud deberá constar la filiación completa del solicitante o proponente o,
en su caso, de ambos.

CUARTA.- Las candidaturas o propuestas para cada uno de los Trofeos que se reseñan (con excepción del TE, que queda a
consideración exclusiva del Jurado) se presentarán a la Dirección de la revista Red Seguridad, a la que deberán enviar carta de
presentación, el ejemplar de la documentación digitalizada, siendo obligatorio la cumplimentación del formulario que está a su dis-
posición en nuestra página web, así como la descripción de la candidatura siguiendo la plantilla para el dossier que igualmente está
en la web.

QUINTA.- El plazo de presentación de las candidaturas o propuestas (excepto las de los premios TE) será antes del próximo 16
de abril de 2018, que se enviarán únicamente en formato digital al siguiente correo electrónico: trofeos.redseguridad@borrmart.es.
Los expedientes quedarán, con carácter confidencial, en poder de la revista y no se mantendrá correspondencia sobre los mismos.

SEXTA.- TROFEO EXTRAORDINARIO DEL JURADO (TE). Deberá ser propuesto exclusivamente por los miembros del Jurado -uno o
varios miembros-, por escrito al presidente del Consejo Técnico Asesor (CTA), pudiendo unir al escrito de la propuesta cuanta docu-
mentación se considere oportuna para acreditar los méritos de la candidatura.

Oportunamente, la revista publicará el fallo del Jurado y la fecha del solemne acto de entrega -en el transcurso del almuerzo o cena de
gala-, en el que los premiados recibirán los “TROFEOS DE LA SEGURIDAD TIC” de Red Seguridad.

SÉPTIMA.- El Jurado del certamen, así como las Comisiones de Estudio designadas por el mismo, mantendrán la protección de la
intimidad y la confidencialidad de la información obtenida en el ejercicio de sus funciones.

Asimismo, deberán desempeñar sus cometidos con objetividad, la debida diligencia e independencia y rigor. Por ello, y para asegurar
la objetividad e imparcialidad de su función, explícitamente se requiere al miembro del Jurado o Comité abstenerse de votar su propia
labor o trabajos de la organización en que preste sus servicios.

Editorial Borrmart • C/ Don Ramón de la Cruz, 68 28001-Madrid • Tel.: +34 91 402 96 07 • www.borrmart.com
actualidad tecnológica
noticias

El Gobierno creará en 2018 un SOC


para la Administración del Estado
El Gobierno creará en 2018 un centro de operaciones de seguridad destinado a
mejorar las capacidades de vigilancia y protección de la Administración General del
Estado. La vicepresidenta del Gobierno lo anunció en las Jornadas STIC CCN-CERT,
que congregaron a más de 1.700 profesionales de la seguridad TIC. Las revistas RED
SEGURIDAD y SEGURITECNIA participaron en el evento como medios colaboradores.

Tx: E. González y D. Marchal de inteligencia y comunicación para


Ft: Redacción garantizar una respuesta más eficaz".

El nuevo SOC
España contará a partir de 2018 Las Jornadas STIC CCN-CERT,
con el Centro de Operaciones de organizadas por el CCN –organis-
Seguridad de la Administración mo adscrito del Centro Nacional
General del Estado, cuyo objetivo de Inteligencia–, contaron durante
será "reforzar las capacidades de vigi- los dos días de duración con la
lancia" y "proporcionar una respuesta intervención de cerca de 60 espe-
aún más eficaz ante las ciberamena- cialistas en diversos temas, cuyas
zas". La vicepresidenta del Gobierno, ponencias se dividieron en sesio-
Soraya Sáenz de Santamaría, anunció nes plenarias y paralelas. Miguel
la creación de este órgano durante la Ángel Amutio, subdirector adjun-
inauguración de las Jornadas STIC to de la Subdirección General de
CCN-CERT, donde también avanzó Coordinación de Unidades TIC de la
–ya en declaraciones posteriores a la SGAD, y Pablo López, segundo jefe
Soraya Sáenz de Santamaría en la
prensa– que tendrá un coste inicial de del Departamento de Ciberseguridad
inauguración./ Foto: CCN-CERT.
16 millones de euros. del CCN, ampliaron en una de ellas
El organismo, que dependerá del información sobre el nuevo centro de
Ministerio de Hacienda a través de la haciéndolos compatibles con la liber- control de seguridad (SOC, por sus
Secretaría General de Administración tad de expresión. siglas en inglés). "El centro permitirá
Digital (SGAD), entrará previsible- También se refirió al desafío que la protección de perímetro de seguri-
mente en funcionamiento a partir del representa la desinformación en dad de la Administración central y de
próximo junio. El subdirector gene- Internet al afirmar: "La tecnología ha sus organismos frente a amenazas
ral del Centro Criptológico Nacional modificado profundamente el acceso externas y perseguirá una mayor
(CCN), Luis Jiménez, aseguró por a la información y quién la produce. capacidad de vigilancia y respues-
su parte que el nuevo centro servirá Internet es el mayor medio de comu- ta ante incidentes; todo ello con
para facilitar una "respuesta rápida y nicación actual y las noticias falsas una visión de economía de escala,
centralizada" frente a los ataques que pueden poner en jaque la estabilidad capacidad técnica y reducción de
se produzcan sobre las tecnologías de los gobiernos y de la economía de costes", expuso López.
de la información y las comunicacio- los países". Para hacer frente a esta Según explicó a continuación
nes de la Administración del Estado. problemática, añadió, es necesaria Amutio, la SGAD será responsable
La vicepresidenta del Gobierno "la actuación y el compromiso firme" de coordinar la respuesta a las cibe-
daba la noticia en unas jornadas de los medios de comunicación y las ramenazas y a los diferentes actores
donde se concentraron, los días 13 grandes compañías mundiales. que intervengan en ella, así como del
y 14 de diciembre, en Madrid, más Durante su discurso, la vicepre- seguimiento del servicio. Por su parte,
de 1.700 profesionales de la segu- sidenta sostuvo además que "los el CCN-CERT se hará cargo de la
ridad TIC. Durante su intervención, riesgos y amenazas del ciberespacio implantación de las infraestructuras,
también apuntó algunos de los prin- son globales y solo pueden defen- procedimientos, inteligencia, investi-
cipales retos tecnológicos a los que derse con una respuesta conjunta y gación de amenazas y análisis de vul-
se enfrenta España, como son el coordinada". No en vano, mencionó nerabilidades, entre otras funciones.
Big Data, el Internet de las Cosas, la que en los últimos años se ha produ- Es decir, este último prestará el ser-
protección de los menores en la Red, cido un incremento de los ataques vicio bajo la supervisión de la SGAD.
la seguridad de los datos o garantizar procedentes desde el exterior contra De este modo, el centro ofrecerá
derechos de los ciudadanos como la intereses nacionales, ante lo que "es servicios "de alerta temprana, detec-
intimidad, el honor o la privacidad, necesaria la mejora de capacidades ción, respuesta coordinada, soporte

18 red seguridad primer trimestre 2018


actualidad tecnológica noticias

Más de 1.700 profesionales asistieron a las jornadas organizadas por el CCN-CERT, un 21% más que en la edición anterior.

a la investigación, análisis de vulne- en los que se detuvo Candau. Sobre la ellos, los más conocidos fueron los
rabilidades, etc.", enumeró Amutio. notificación de incidentes, el responsa- ransomware WannaCry o NonPetya,
Asimismo, el SOC dispondrá de tres ble del CCN sostuvo que es necesario pero también se produjeron intentos
niveles –operación, vigilancia e inteli- "eliminar burocracia y reportar solo de injerencia política a través de dife-
gencia– y ejercerá de "nexo de unión" por una vía", para lo que el centro rentes técnicas (como las acciones
entre el CERT competente y el orga- se apoyará en la herramienta LUCIA maliciosas dirigidas a manipular las
nismo que esté afectado. Para ello (Listado Unificado de Coordinación elecciones autonómicas de octubre en
incorporará en un plazo de tres años a de Incidentes y Amenazas), desarro- Cataluña) o las amenazas persistentes
entre 50 y 60 profesionales. llada por el propio CCN-CERT para avanzadas contra diferentes empresas
Aunque comenzará a operar este la gestión de ciberincidentes en las o la Administración (como el caso de
año, el desarrollo completo del pro- entidades del ámbito de aplicación del Emissary Panda, cuyo objetivo fue
yecto irá más allá. A lo largo de 2018 Esquema Nacional de Seguridad. robar información y conseguir creden-
se procederá a la instalación y el equi- El jefe del Departamento de ciales de acceso de varias compañías
pamiento del SOC, mientras que en Ciberseguridad del CCN defendió americanas).
2019 se extenderá el servicio a todos además la necesidad aumentar la Uno de los aspectos característicos
los organismos de la Administración inversión para el refuerzo de la vigilan- de algunos de estos ataques es el
Central. cia y la respuesta a las ciberamenazas, desconocimiento real de su autoría.
así como fomentar la formación y el De hecho, suenan con frecuencia las
Actividad del CCN-CERT intercambio de información. operaciones llamadas 'de falsa bande-
La operación del SOC de la ra', definidas por David Barroso, CEO
Administración se sumará por tanto Cerca de 26.500 ataques de CounterCraft, como: "operaciones
a los servicios del CNN-CERT, cuya De lo contrario el futuro se presenta encubiertas de gobiernos, corporacio-
actividad en 2017 resultó intensa. complicado porque la cantidad de nes y otras organizaciones, diseñadas
Como explicó en sesión plenaria Javier ataques contra la Administración y para que parezca que fueron llevadas
Candau, jefe del Departamento de las empresas estratégicas no para de a cabo por otras personas".
Ciberseguridad del CCN, el organismo aumentar. El CCN-CERT ha registrado Las pautas de observación de los
dependiente del Centro Nacional de este año cerca de 26.500 incidentes analistas para evitar este engaño
Inteligencia publicó una veintena de sobre dichos objetivos; es decir, un deben centrarse –aclaró Barroso– en
guías –entre las que destacó la 652: 26,5 por ciento más en comparación la infraestructura (dominios, correos,
Seguridad en cortafuegos Palo Alto–, con 2016. De todos ellos, 1.126 fue- IP, binarios, etc.), así como en aspec-
lanzó nuevas herramientas –como ron catalogados como muy peligrosos tos geopolíticos, operacionales (hora
Gloria, para el análisis de amenazas, y 65 como críticos. del ataque, por ejemplo) o en la reuti-
y Atenea, una aplicación de retos para Los datos los ofrecieron dos lización de código de ataques ante-
encontrar talento– y aumentó "nota- miembros del equipo de Gestión de riores.
blemente" el número de auditorías a Incidentes del CCN, quienes también Uno de los mayores exponentes de
empresas. realizaron un recorrido por los princi- ataque de falsa bandera fue el que
La alerta temprana y recepción de pales ciberataques que se han produ- sufrió hace dos años la cadena de
incidencias es otro de los apartados cido en los últimos 12 meses. Entre televisión francesa TV5 Monde, que

red seguridad primer trimestre 2018 19


actualidad tecnológica
noticias

aparentemente procedía del grupo


terroristas Daesh aunque quien estaba
detrás realmente era el grupo APT28,
ligado a Rusia.
En todo caso, la identificación de los
culpables que hay detrás de un ataque
también presenta lo que el profesor de
Ciencias Políticas de la Universidad
Pablo de Olavide de Sevilla Manuel
Torres llamó el 'dilema de la interpre-
tación'. El experto se refería con ello a
las dificultades que se presentan a la
hora de conocer cómo se comportan
los enemigos en la red. La visión seg-
mentada de la realidad, dar por válidos
ciertos axiomas que no están demos-
trados o los límites de la medición
Javier Candau, jefe del Departamento de Ciberseguridad del CCN.
son algunos de los obstáculos que se
encuentra el analista en Internet.
Para atenuar esa incertidumbre, sobre la mesa los problemas que capas de redes neuronales que permi-
Torres ofreció lo que desde su punto tienen las administraciones públicas te a la máquina aprender qué variables
de vista es la mejor opción: la inte- a la hora de contratar tecnología de de datos son importantes para la pre-
ligencia. "El análisis técnico no nos seguridad. "En España, en los proce- gunta que se le ha hecho".
dice, por ejemplo, si un ataque es sos de contratación se prima mucho A las capacidades relacionadas con
un acto de represalia o si tiene una la libre competencia y el precio, y a la inteligencia artificial se suman otras
inspiración política. Por ello, hace falta veces se dejan a un lado las certifi- que ya son una incipiente realidad,
incorporar otros elementos que tienen caciones o la calidad de las personas como el Internet de las Cosas. La
que ver con la ciencia política, el cono- que dan el servicio", afirmó el jefe del seguridad es ya un reto cuando todos
cimiento experto, etc.", sostuvo. Departamento de Ciberseguridad del los dispositivos que se fabrican cuen-
CCN. Algo, continuó, sobre lo que se tan con algún modo de conexión a
Vulnerabilidades debe trabajar. Internet; por ello, como alertó Juan
Ya en el segundo día del evento, Raúl Para terminar su intervención, Garrido, investigador en ciberseguri-
Siles, fundador y analista de seguridad Candau enumeró los objetivos del dad, es necesario apostar por la segu-
de Dinosec, desgranó algunas vulne- sector público para ser más seguro: ridad desde el diseño de los aparatos
rabilidades y explicó cómo los atacan- "Tenemos que auditar y controlar la o aplicaciones. "Tenemos muchos dis-
tes se aprovechan de ellas para aden- calidad del sistema; también hay que positivos y todos ellos nacen con la
trarse en los sistemas tecnológicos de parchear; así como vigilar seleccionan- idea de poder conectarse a Internet.
las organizaciones. Para concienciar do la mejor tecnología; y por último, Ahora bien, en ese proceso hay que
a los presentes, este profesional se compartir las amenazas para que el tener en cuenta un aspecto importante
refirió a BlueBorne, una vulnerabilidad resto se beneficie de ello". como es el de la seguridad", advirtió.
del Bluetooth que puede afectar a A partir de aquí, las sesiones se Otros muchos profesionales com-
5.000 millones de dispositivos, pues dividieron en varias salas. En una de pletaron con sus intervenciones unas
simplemente con que se tenga acti- ellas, Ramsés Gallego, experto de jornadas que crecen en interés cada
vada esta conectividad inalámbrica un Symantec, abordó el tema de la inteli- año, como muestras sus cifras de
atacante puede enlazar con el disposi- gencia artificial y el machine learning, y asistencia. No en vano, la asisten-
tivo e infectarlo con malware. Por eso, cómo estas tecnologías pueden ayu- cia aumentó en esta edición de las
recomendó para 2018 "inventariar dar al sector de la ciberseguridad. Jornadas STIC un 21 por ciento res-
todas las tecnologías de la empresa "Con el machine learning pretendemos pecto a la de 2016.
y actualizarlas a las últimas versiones entrenar a las máquinas para predecir
disponibles". patrones. Para ello, es necesario tener Premios CCN-CERT
El sector público volvió a ser el datos, muchos datos y plantear una El CCN entregó durante las Jornadas
protagonista en una mesa redonda hipótesis que será cierta o no, según STIC sus primeros premios a la trayec-
donde participaron directivos de ocho la calidad de esos datos". toria profesional en favor de la ciberse-
empresas de seguridad TIC. Todos El experto confirmó que el machine guridad. La vicepresidenta del
ellos se refirieron a la necesidad de learning se divide en cuatro pilares fun- Gobierno fue la encargada de entre-
mejorar las medidas de seguridad en damentales: el supervisado, en el que garles el galardón a los dos premiados
las distintas administraciones públicas la presencia humana es fundamental de este año: José Antonio Mañas,
fomentando la colaboración público- para sacar conclusiones; el no super- catedrático de la Universidad
privada y mejorando la concienciación visado, en el que no se necesita tanta Politécnica de Madrid y desarrollador
entre todos los usuarios. intervención; el reinforcement learning, de la herramienta PILAR de análisis de
Para concluir dicho encuentro, en el que la máquina aprende de sí riesgos, y José Antonio Mirá, asesor
intervino Javier Candau, quien puso misma; y el deep learning, "basado en del CCN.

20 red seguridad primer trimestre 2018


INTRODUCING
II NN TT RR OO DD UU CC II NN GG
INTRODUCING
I N T RC HO EDCUK CPIONI NGT
CC HH EE CC KK PP OO II NN TT
INFINITY
INFINITY
CHECK POINT
THE CYBER C H E C KARCHITECTURE
POINT
INFINITY
SECURITY

INFINITY
OF THE FUTURE
THE CYBER SECURITY ARCHITECTURE
THE CYBEROFSECURITY ARCHITECTURE
THE FUTURE
OF THE FUTURE
THE CYBER SECURITY ARCHITECTURE
OF THE FUTURE
THE CLOUD
CYBER SECURITY
MOBILE ARCHITECTURE
THREAT PREVENTION
OF THE FUTURE
CLOUD MOBILE THREAT PREVENTION
CLOUD MOBILE THREAT PREVENTION

CLOUD MOBILE THREAT PREVENTION

CLOUD MOBILE THREAT PREVENTION


retos 2018
opinión

El CISO frente a un mundo


cada vez más conectado

La transformación digital de las los Chief Information Security Officer complejas y sofisticadas, más difíciles
empresas, en un entorno cada vez (CISO) sea cada vez mayor. de detectar y neutralizar, más espe-
más conectado donde cobran peso Todos esos cambios tecnológicos cializadas y peligrosas.
megatendencias como el Internet de que experimenta hoy día la sociedad Ocho CISO de diferentes perfiles
las Cosas o el Big Data y en el que la en general y el sector de las TIC en de organización han compartido con
normativa evoluciona para establecer particular añaden presión en la ges- RED SEGURIDAD sus reflexiones en
nuevas reglas en torno a la protec- tión y el gobierno de la seguridad torno a algunas de estas cuestiones,
ción de las redes, las tecnologías y en las empresas. Una evolución que que forman parte de la lista de retos
los datos de las organizaciones, pro- también aprovechan quienes están que tienen ante sí en 2018 y en los
voca que el peso de la responsabili- detrás de unas ciberamenazas que próximos años. Para ello, les hemos
dad que recae sobre las espaldas de se caracterizan por ser cada vez más formulado la siguiente pregunta:

De los siguientes retos que planteamos a continuación, ¿cuál cree que representa un
mayor desafío actualmente para los departamentos de Seguridad de la Información de
las organizaciones?

• Seguridad en la transformación digital.

• Adaptación a la normativa: Reglamento General europeo de Protección de Datos


(RGPD), Directiva NIS, Ley sobre Protección de Infraestructuras Críticas (Ley PIC),
etc.

• Megatendencias: Big Data, Internet de las Cosas (IoT), inteligencia artificial…

• Confluencia entre los mundos IT (Information Security) y OT (Operation Security).

• Otros (como, por ejemplo, las amenazas avanzadas, capacidad de resiliencia, etc.).

22 red seguridad primer trimestre 2018


retos 2018 opinión

"Es el momento de que IT y OT Ω La creciente digitalización de los


procesos productivos en la fábri-
confluyan en seguridad" ca (y no solo de negocio) permite
extraer gran cantidad de datos
tivas de los negocios y clientes con útiles para la planificación de las
retos tecnológicos y operacionales. operaciones, así como para el
Los entornos de IT y OT ya com- control automatizado y remoto
parten tecnologías: en función de dicha información,
Ω La virtualización y la nube pri- integrando esta con los procesos
vada o pública, que pueden ser de negocio.
también empleadas en una gran Ω El análisis de grandes cantidades
cantidad de sistemas industriales. de datos procedentes de diferen-
Ω Las redes de comunicaciones, tes ámbitos de la organización
que permiten conectar las plan- (planificación, cliente, línea pro-
tas/sistemas de control de mane- ductiva, etc.) como un elemento
Rafael Hernández ra estándar y más eficiente con para impulsar la productividad.
CISO de CEPSA los sistemas de negocio (siempre Ω Los medios sociales exigen mayor
considerando los requisitos de conocimiento y transparencia de
seguridad pertinentes). lo que sucede en campo/planta/
De todos los retos que tienen sobre Ω Mayores capacidades de los sis- negocio. La regulación y requi-
la mesa los CISO, la confluencia temas IT para la operación en sitos de sostenibilidad son cada
entre los mundos IT y OT es el mayor tiempo real (aumento de potencia) vez más exigentes.
desafío desde el punto de vista de y los sistemas OT para represen- Ha llegado el momento de que
la seguridad de la información. En tar las funciones gráficas. ambos entornos confluyan en una
dicha confluencia nos encontramos Ω Capacidades de movilidad de gestión conjunta de la seguridad, de
muchos de los vectores de riesgo estos sistemas, dada su reduc- manera que demos el valor espera-
que más impactan en nuestro día ción de consumo, tamaño y peso. do a nuestras organizaciones. Es
a día: ciberataques, cumplimiento Dispositivos móviles como termi- necesario entender que tanto los
normativo (RGPD, NIS, Ley PIC), la nales de operación. riegos de IT y OT como su gestión
problemática que se desprende de Además, la transformación digital deben ser realizados bajo los mis-
las nuevas necesidades y expecta- abarca tanto al mundo IT como al OT: mos criterios y organización.

"Un reto: aprovechar el potencial La información que se genera en


de las nuevas tecnologías" torno al uso de los sistemas de
información en una organización con
miles de usuarios es gigantesca y
Artificial o Machine Learning ponen su análisis no puede realizarse con
a nuestro alcance en muy diversos medios y tratamientos tradicionales.
escenarios. Los sistemas de gestión de eventos
Cada vez más, nos encontramos de seguridad suelen tener su limita-
con soluciones de seguridad de ción en la aplicación de reglas confor-
diversos fabricantes que, mediante me a patrones conocidos; pero hasta
el uso de estas tecnologías, son que no se ha producido una ofensa
capaces de identificar amenazas que o una intrusión, no se descubren
escapan a los controles de las defen- nuevas vías de ataque, que pueden
sas habituales, basados en firmas o detectarse mediante nuevas reglas.
Vicente Moscardó en la mera identificación de indicado- Anticiparse mediante el análisis
CISO de Bankia res de compromiso. masivo de la información generada
Estas soluciones, basándose en por millones de eventos de seguridad
el análisis de patrones de compor- diarios a detectar un comportamien-
Uno de los mayores retos para los tamiento, son capaces de identificar to no habitual, que al investigarse
departamentos de Seguridad de la anomalías que levantan alertas para permite concluir que se puede tratar
Información es el uso de las capaci- que se investiguen como posibles de un ataque y crear la regla para su
dades y el potencial que las diferentes ataques o intrusiones en los sistemas detección antes de que ocurra, es un
tecnologías de Big Data, Inteligencia de información. reto nada desdeñable.

red seguridad primer trimestre 2018 23


retos 2018
opinión

"Estamos en una etapa de seguridad dos factores: el primero, que todo


el mundo puede comprometer la
por agilidad, debemos correr mucho" seguridad y, el segundo, que cada
vez estamos inmersos en un mundo
sonas, era necesaria una base técni- digital conectado; es decir, más ries-
ca sólida y no se contaba con interés gos con más probabilidad.
económico, sino más bien cultural; Además, no solo hay mucha más
existían pocos recursos, información información de todo tipo, sino que
limitada y la transferencia de conoci- se mantiene, actualiza y mejora más
miento se hacía de una forma mayo- rápido que cualquier sistema, ya que
ritariamente altruista. la comunidad de ciberdelincuentes
En cambio, hoy en día existe infi- es muy grande y activa. Esto hace
nidad de información accesible fácil- que nuestros equipos y nosotros
mente en la que cualquier persona mismos tengamos un fuerte desgas-
sin conocimientos técnicos puede te al estar al tanto de las amenazas,
Gonzalo Asensio hacer uso de la misma. Por tanto, ya que por la mañana es una cosa
CISO de Bankinter hemos pasado de pocos hackers y al medio día otra (miremos casos
inteligentes y selectos a masas de como Meltdown y Spectre en los
"hackers" que, gastando unos cuan- que la propia vulnerabilidad va evo-
Uno de los principales retos a los tos dólares, son capaces de poner lucionando y, por tanto, el riesgo es
que se enfrenta el departamento de en compromiso a particulares y dinámico).
Seguridad de la Información es la empresas de todo el mundo. Sin duda, estamos en una etapa
evolución de la "seguridad desde la Este factor de acceso fácil a cre- de seguridad por agilidad, debemos
oscuridad" a la "seguridad por agili- denciales robadas, a identidades correr mucho para ir un poco por
dad". Este concepto se basa en que, falsas, a botnets, a kits de exploits, detrás, ya que asumimos que ellos,
anteriormente, la seguridad informá- etc., hace que haya muchos pun- lamentablemente, siempre irán por
tica estaba al alcance de pocas per- tos de riesgo. Por tanto, se juntan delante.

de negocio que represente el uso de


"La transformación digital será un una tecnología diferente (por ejem-
plo, la explotación de modelos de Big
reto cada vez más significativo" Data, la incorporación de dispositivos
IoT, la utilización de la realidad virtual
tornará en más significativo en los o el uso de la tecnología blockchain).
próximos. Un desafío no solo para Esos ejemplos tienen en común
la seguridad TIC sino para los nego- la necesidad de garantizar unas
cios en todo su conjunto, procesos adecuadas medidas de seguridad,
y personas, y en el que la seguridad desde las tradicionales de seguri-
de la información tiene que estar dad de la información (disponibilidad,
presente desde el momento en el confidencialidad e integridad), a las
que un comité de dirección empiece más actuales relacionadas con la
a pensar ello. ciberseguridad (resiliencia, privaci-
Esto, entendiendo la transforma- dad, autenticidad, ciberinteligencia,
ción digital desde diversos ángulos: cibercrimen, hacktivismo, análisis
Carlos Coscollano (1) el cambio del paradigma actual forense).
CISO de HomeServe Spain de configuración y explotación de El uso de nuevas tecnologías se ha
sistemas (por ejemplo, el paso de impuesto en todos los negocios y en
modelos de gestión y explotación nuestra forma de vida, y como vemos
Por mi experiencia, y porque creo on-premise a modelos de servicios a diario son tecnologías imperfectas
que es algo por lo que, tarde o tem- Cloud-IaaS y PaaS), (2) la incorpo- desde el punto de vista de la seguri-
prano, todas las empresas tendrán ración de una nueva aplicación de dad, por lo que se hace necesario
que pasar, la transformación digital negocio (por ejemplo, la sustitución involucrar recursos que se preocu-
es uno de los grandes retos que de aplicaciones legacy/desarrollos pen y ocupen de implementar un
la seguridad TIC está afrontando internos por modelos SaaS) o (3) la ambiente de seguridad adecuado a
desde hace algunos años y que se incorporación de un nuevo modelo cada necesidad.

24 red seguridad primer trimestre 2018


retos 2018
opinión

"La seguridad forma parte cia, no es una actividad separada


que debe alinearse con el resto.
intrínseca del negocio" Lo que denominamos "negocio"
es el verdadero responsable de pro-
De una manera sencilla (y por qué porcionar productos y servicios con
no, simplista) podemos hacer las seguridad, y no el CISO. La figura
siguientes fórmulas: del CISO garantiza una interpretación
Ω RGPD es igual a la suma de correcta de los requisitos de segu-
"Legal" más "Cumplimiento" más ridad de la información que están
"Ciberseguridad" más "Áreas de presentes en las leyes antes men-
negocio". cionadas. En consecuencia, permite
Ω PIC es igual a "Seguridad física" acometer las actividades necesarias
más "Ciberseguridad" más "Áreas para alcanzar los objetivos de con-
de negocio". fianza y estabilidad, asesorando ade-
Ω NIS es igual a "Cumplimiento" cuadamente al negocio y ayudando a
Francisco Lázaro más "Ciberseguridad" más "Áreas una gestión eficaz y eficiente tanto de
de negocio". los riesgos como de las medidas de
CISO de Renfe
Ω Notificaciones es igual a la seguridad a aplicar.
suma de "Comunicación" más Como resultado, la organización
"Alinear la seguridad con el nego- "Comité de Crisis" más "Legal" ("el negocio") no solo es más segura,
cio", una frase mantra que se repite más "Comité de Seguridad" más evitando o mitigando de esta forma
desde el área de seguridad, pero "Ciberseguridad" más "Áreas de los costes asociados a un posible
que desgraciadamente no tiene un negocio". incidente, sino que, además, la ges-
reflejo equivalente en lo que solemos Ω Gestión de incidentes es igual a tión de la seguridad se hace de forma
llamar "el negocio". Las obligaciones la suma de "CISO" más "Legal" más racional, reduciendo la carga
que traen aparejadas la Ley PIC, el más "Recursos Humanos" más económica para las empresas.
RGPD o la Directiva NIS en materia "Compras (terceros)" más "Áreas Siendo así, a muchos profesionales
de seguridad de la información nos de negocio". nos parece un error que, si las figuras
deben inducir a reflexionar sobre del responsable de seguridad y enlace
dicha frase: no es que la seguridad Esto nos lleva a un sumatorio final o del delegado de protección de datos
deba estar alineada con el negocio, donde se aprecia que la cibersegu- se han considerado necesarias (y lo
sino que forma parte intrínseca del ridad es una parte del conjunto de son), la transposición de la Directiva
mismo. áreas implicadas y, en consecuen- NIS no recoja la figura del CISO.

"Hay que mejorar los procesos tes. Aquí los proveedores juegan un
papel clave para ofrecer tecnología y
de monitorización y análisis" servicios que estén a la altura para la
gestión de controles eficientes que
no limiten las iniciativas de negocio.
A nivel organizativo, la transfor- Pero no va a ser suficiente la mejo-
mación digital en la que estamos ra de nuestras defensas. La forma-
inmersos en las empresas representa ción de nuestro personal en materia
un gran reto, al que nos enfrenta- de ciberseguridad ante la compleji-
mos para ofrecer a las unidades dad de los ataques, así como la ela-
de negocio una respuesta ágil en boración de protocolos de colabora-
nuestra participación durante todo ción entre áreas clave, es relevante
el proceso. para ser eficaces en la respuesta.
Desde el punto de vista opera- Por último, la llegada del nuevo
cional, los incidentes de seguridad Reglamento Europeo de Protección
siguen aumentando en número e de Datos supone un reto mayúsculo
Gustavo Lozano impacto, por lo que es necesario en la redefinición de procesos inter-
CISO de Grupo DIA mejorar los procesos de monitoriza- nos, relación con terceros, diseño de
ción y análisis de datos incremen- medidas de seguridad y gestión de
tando el porcentaje de detección y incidentes para garantizar el cumpli-
disminuyendo el número de inciden- miento normativo.

26 red seguridad primer trimestre 2018


retos 2018 opinión

"La transformación digital es un los datos que genera su práctica, es


vital contar con la confianza de los
desafío para las áreas de seguridad" clientes y los consumidores. Pero
no se podrá contar con ella sin infor-
negociables en ninguna iniciativa de mar previamente ni dar garantías en
transformación, de hecho son consi- cuanto a la privacidad y seguridad de
deradas en algunos casos como un esos datos e información generados.
factor de diferenciación y valoración Por tanto, habrá que asegurar el pro-
ante la competencia por parte de pio dispositivo, la nube utilizada para
usuarios y clientes. su tránsito y los sistemas corporati-
Esta cuestión enlaza de un modo vos del fabricante.
casi inmediato con los proyectos y Como en los casos anteriores, el
técnicas de Big Data, inherentes en componente de la seguridad (espe-
muchos procesos de transformación cialmente la integridad y disponibili-
digital en las empresas o modelos dad) de los procesos productivos,
Ramón Ortiz de negocio, y en donde las garantías industriales o de campo integrados
CISO de Mediaset en cuanto a seguridad, cumplimen- con sistemas IT unificando sistemas
to normativo y de información a aislados, dotando de eficacia adicio-
los interesados sobre el tratamiento nal, automatismo, movilidad, virtuali-
En Mediaset consideramos que la masivo de datos, en muchos casos zación, etc., eran capacidades
transformación digital es el mayor asociados al comportamiento de la impensables hasta hace poco en el
desafío para las áreas de seguridad audiencia o los clientes, según los mundo OT. En este sentido, éste
en tanto que pensamos que la pro- sectores, son en realidad exigencia ámbito se ha visto revolucionado con
tección en esta tendencia engloban de negocio y no tanto requisitos de el advenimiento de conceptos como
prácticamente al resto de retos que tipo técnico o legal. vulnerabilidades del equipamiento y
se han planteado. La aplicación de En cuanto a la expansión del IoT la necesidad de actualización y par-
las novedades normativas no son y el consiguiente valor de explotar cheado.

"IT y OT son dos mundos del mundo operacional está conde-


nado al fracaso más estrepitoso.
condenados a entenderse" Por ello, es necesario hablar de
acercamiento antes que de conver-
gencia. El entorno de la operación
seguros ni para soportar grandes requiere conocimiento específico del
cantidades en transmisión de datos, mismo, conocimiento que los profe-
gran impacto económico en caso de sionales IT deben adquirir antes de
parada de servicio y riesgo incluso abordar un proyecto de dichas carac-
de daño físico y pérdidas humanas, terísticas. Igualmente, los profesiona-
cosa impensable en un entorno IT les de la técnica de operación deben
tradicional. abrir los ojos (y la mente) a las nuevas
Por todos estos motivos, entre opciones que ofrece la tecnología y
otros, es especialmente complicado no seguir insistiendo en las tecnolo-
el uso de las estrategias tradiciona- gías tradicionales simplemente por-
Jesús Mérida les para implementar una solución que es lo que conocen, ya que dichas
CISO de Técnicas Reunidas tecnológica IT, además de que la tecnologías no están preparadas para
mayoría de las mismas no se pueden ser seguras, como han demostrado
simplemente aplicar a un entorno los innumerables casos de malware
El avance vertiginoso de las tecno- operativo. específico para el entorno industrial,
logías también ha llegado al mundo La convergencia trata de acercar véase Stuxnet, Dragonfly o Triton.
de la operación con el especial matiz el catálogo mucho más amplio de IT y OT son dos mundos condena-
de que la adopción de las mismas es soluciones, la economía de escala dos a entenderse, menos antagóni-
particularmente delicado por muchos y la potencia tecnológica de IT al cos de lo que pueda parecer a sim-
motivos: entornos legacy que deben entorno de OT; pero cualquier intento ple vista y que van a requerir de un
funcionar 24x7, protocolos de red de importar dichas soluciones, sin esfuerzo conjunto por parte de todos
antiguos y no diseñados para ser entender la idiosincrasia específica los actores del entorno industrial.

red seguridad primer trimestre 2018 27


retos 2018
opinión

Adaptación a la nueva normativa europea de


protección de datos: un reto con cuenta atrás

Carlos Tortosa
Responsable de grandes cuentas y
desarrollo de negocio de Eset España

A pesar de que la nueva norma- una nueva regulación que insta a En este punto comenzamos a actuar
tiva de protección de datos de la las empresas, sean o no europeas nosotros como compañía de ciberse-
Unión Europea ya está aprobada pero que traten con datos de ciu- guridad, aplicando las soluciones que
y faltan pocos meses para que su dadanos comunitarios, a adecuarse la propia ley indica para llevar a cabo
cumplimiento sea obligatorio (mayo a la nueva normativa, que será de la protección de esta información.
2018), aún son muchas las compa- obligado cumplimiento a partir del Básicamente se trata de cifrar y de
ñías que desconocen los cambios 25 de mayo de 2018. proteger los accesos, pero hablare-
que trae consigo. Es más, muchas El nuevo Reglamento Europeo de mos de ello más adelante.
desconocen que están obligadas a Protección de Datos comporta una En tercer lugar, las empresas tienen
cumplirla en tanto que manejan datos serie de retos para las empresas que preocuparse por formar a sus tra-
de terceros, y que, de no hacerlo, afectadas. Desde Eset estamos ayu- bajadores y colaboradores respecto a
se estarían exponiendo a multas de dando a muchas de ellas a cumplir esta nueva regulación, al uso de los
hasta 20 millones de euros o el con la normativa. Por ello, fruto de datos, a la ubicación de la información
cuatro por ciento de su facturación nuestra experiencia, pensamos que y de las herramientas a utilizar.
anual en caso de producirse una es necesario que cuando una empre- Por último, y una vez puestos
brecha de seguridad. Es por ello que sa se plantea adaptarse a la GDPR en práctica los pasos anteriores, se
desde Eset España consideramos la (General Data Protection Regulation) revela esencial auditar. Auditar que
implementación de esta normativa deba, en primer lugar, identificar e las medidas puestas en marcha son
en la empresa como uno de los retos inventariar toda la información mane- las adecuadas y, además, hacerlo de
que nos plantea 2018 en materia de jada por la organización que se una forma regular.
ciberseguridad. encuentre afectada por la normati- En todo este proceso, la nor-
va. Esto es información de carácter mativa indica que es necesario el
Objetivo: proteger los datos personal y que pueda identificar al nombramiento de un DPO (Data
Los cambios y avances tecnológi- propietario de la misma. Por ejemplo, Protection Officer), ya sea mediante
cos experimentados en los últimos un listado de nombres no sería con- una empresa externa o una persona
años han provocado que el volumen fidencial, pero sí si aparece asociado física en la organización. Esta figu-
de datos recopilados, procesados a unos DNI, emails o teléfonos. Hay ra, que deberá tener conocimientos
y compartidos por las empresas que señalar, por tanto, que no toda la especializados de legislación e infor-
crezca vertiginosamente. Por ello, información se ve afectada. mática, será la encargada de garan-
desde la Unión Europea se ha dado En segundo lugar, se deberá identi- tizar el cumplimiento de la normativa
un paso adelante para aunar las nor- ficar a qué nos obliga la ley respecto a de protección de datos en la orga-
mativas de protección de datos de esta información, es decir, la empresa nización y de realizar el seguimiento
los 28 países miembros en cuestión. se deberá plantear cómo aumentar la y la supervisión de las auditorías.
Desde el 25 de mayo de 2016 existe protección de los datos que maneja. Cabe señalar que las decisiones del

28 red seguridad primer trimestre 2018 especial


retos 2018 opinión

DPO serán de obligado cumplimiento cos, que se reforzarían con un tercer accesos no deseados. En nuestro
en todos los niveles jerárquicos de la vector. En primer lugar, hablaríamos caso, la herramienta que recomenda-
organización, dándose la paradoja de la protección de la información mos es Eset Secure Authentication,
de que no podrá ser despedido salvo por medio del cifrado para impedir una potente autenticación de doble
que se detecte una mala praxis. que una posible brecha de seguridad factor con una contraseña de un solo
acabe con el robo o copia de nues- uso que introducimos directamente
Necesidad de cifrar tros datos. Pero la solución escogida en el smartphone de los empleados
Miles de empresas necesitan cifrar. para cifrar no puede ser cualquiera. y/o colaboradores, aprovechando así
Mediante ataques informáticos, una Debe tener características concretas, para tapar otro posible agujero de
importante cantidad de informa- como las que posee Deslock by Eset, seguridad y tener implementadas, de
ción confidencial, datos personales que facilita el cifrado de portátiles, paso, una correcta política de BYOD
y secretos comerciales son sustraí- dispositivos extraíbles, correos elec- (bring your own device).
dos a diario. Por este motivo, las trónicos y archivos de empresas de Por último, el tercer vector que
compañías de seguridad informática todos los tamaños. Además, el sis- mencionaba con anterioridad se
han perfeccionado herramientas de tema profesional de cifrado robusto correspondería con la conveniencia
prevención y defensa que dificultan escogido debe cumplir con los están- de implantar un DLP en la empre-
e impiden la intrusión y el acceso a dares de calidad que la ley indica, y sa para intentar mitigar una posible
la información, y cuya aplicación es ha de ser capaz de mantener en todo brecha de seguridad interna. Este
requerida por la propia normativa momento las condiciones del cifrado extremo no está contemplado en
europea. No obstante, las empresas cumpliendo siempre con los requisi- el GDPR, pero como empresa de
que cifran son sumamente escasas y, tos de confidencialidad, integridad, ciberseguridad proponemos adoptar
en muchas ocasiones, incluso igno- disponibilidad y resiliencia permanen- soluciones que eviten la fuga de infor-
ran que están sufriendo brechas de te de los sistemas. Por último, la mación, protegiéndola frente a una
seguridad a través de las que son solución escogida para cifrar la infor- amplia gama de amenazas de segu-
sustraídos los datos que deben cus- mación tiene que disponer de una ridad con un origen común: el factor
todiar. Tenemos ante nosotros un herramienta que permita la gestión humano. Hablaríamos de soluciones
gran desafío, un reto para la ciber- centralizada de la solución. como Safetica, por ejemplo.
seguridad de todas estas empresas. En segundo término, la nueva nor-
Existe una necesidad, y en empre- mativa obliga a proteger los accesos Comunicación
sas proveedoras de seguridad como con la aplicación de herramientas de Finalmente, es necesario señalar que
la nuestra tenemos las herramientas doble factor de autenticación (2FA). una de las principales novedades que
necesarias para que puedan cumplir Concretamente, en la regulación se se incluyen en este nuevo reglamento
con los requisitos de la GDPR. indica que será necesario implemen- es la obligación de comunicar cual-
Podríamos decir que la protec- tar herramientas que puedan ayudar quier incidente que haya terminado
ción requerida por la nueva normativa a proteger el acceso a la información con una la filtración de datos de los
europea se basa en dos ejes bási- para evitar que se puedan producir usuarios. Sin embargo, si la empresa
dispone de un sistema de cifrado, se
dificultará que los datos puedan ser
vistos por cualquiera y, por tanto, tal
y como indica la normativa, esta noti-
ficación solo deberá comunicarse a
la agencia nacional de protección de
datos correspondiente.
Somos conscientes de que la nueva
normativa genera una carga de trabajo
adicional para todas las empresas que
manejan datos de terceros y que tie-
nen que ponerse al día, pero el tiempo
apremia. Este es un desafío obligatorio
para todas las empresas que tratan
información personal.

Las compañías de seguridad


informática han perfeccionado
herramientas de prevención y defensa
que dificultan e impiden la intrusión y
el acceso a la información.

especial red seguridad primer trimestre 2018 29


retos 2018
opinión

Preparados para los ciberataques de


Generación V

Mario García
Director general de Check Point para
España y Portugal

Hemos despedido un 2017 lleno de están a la orden del día. Además, des que involucran dispositivos
innovaciones en torno a los cibe- es probable que comencemos a inteligentes son ataques DDoS. Sin
rataques: las amenazas crecen a ver botnets que conviertan a un embargo, en los próximos meses la
un ritmo imparable y sus creadores gran número de smartphones en investigación de vulnerabilidades de
ya no solo se preocupan por ganar zombies, que minen criptomone- día cero en dispositivos inteligen-
dinero, sino también por mantener- das ilícitamente, sin necesidad de tes se convertirá en un escenario
se fuera de la cárcel. JavaScript. próspero, e incluso puede conducir
Sin duda, en este año hemos Y vuelve a aparecer la nube en a un nuevo mercado ilegal bastan-
visto cómo el cibercrimen ha esca- nuestra lista top. Las amenazas en
lado posiciones y ha lanzado nue- estos entornos se consolidan a la
vos ataques. Los criptojackers han misma velocidad que la confianza
saltado a la palestra, y se han en esta infraestructura, donde cada
convertido en la táctica favorita de vez se alojan más datos sensibles.
los ciberdelincuentes para ganar En los próximos meses, seremos
dinero. No es un malware nuevo, testigos de exploits a los servicios
pero la creciente popularidad de las de almacenamiento global, ataques
criptomonedas, así como el valor al dirigidos contra la infraestructura
alza de varias de ellas, han causado cloud de compañías específicas y
un aumento en su distribución. Una brechas de datos.
práctica muy común es agregarlos Y hablando de tecnologías que
a una página web mediante un van tomando cada vez más prota-
JavaScript y conseguir así que los gonismo en nuestra vida, el Internet
usuarios minen bitcoins sin saberlo de las Cosas (IoT, por sus siglas
mientras navegan, lo que ralentiza en inglés) será en 2018 otro de los
su ordenador o dispositivo móvil. principales objetivos de los ciber-
En 2018 la minería ilegal sigue en delincuentes. En la actualidad, las
alza y ha subido de nivel, atacando operaciones de ataque más gran-
a brokers de monedas virtuales
como Bitfinex, que ha perdido millo-
nes de dólares de los fondos de
sus clientes. La cosa no se queda En 2018, la minería ilegal seguirá en
ahí, los robos de billetera virtual, alza y, de hecho, ya ha subido de nivel,
credenciales y transacciones a tra- atacando a brokers de monedas virtua-
vés de troyanos bancarios también les, produciendo pérdidas millonarias.

30 red seguridad primer trimestre 2018 especial


Centro de
Ciberseguridad Industrial

Un ecosistema Internacional
para compartir Experiencias
Argentina - Brasil - Bélgica - Chile - Colombia - EEUU - España - Francia
Ecuador - México - Oriente medio - Paraguay - Perú - Reino Unido - Turquía - Uruguay
retos 2018
opinión

malware en dispositivos móviles


iOS y Android, identificación de
Las sofisticadas amenazas actuales redes maliciosas, contenedores
seguros, protección de datos y
burlan fácilmente las barreras encriptación de documentos e
integración EMM.
basadas en la detección estática Ω Protección de datos: anti-
ransomware, encriptación de
documentos y seguridad para
el navegador, para los endpo-
ints y forense.
te rentable. Las nuevas técnicas en tiempo real, anti-ransomware Ω Seguridad integrada y gestión
traerán consigo nuevas formas de y tecnologías anti-bot, impulsa- de amenazas: un entorno uni-
aprovechar los objetos infectados y das por inteligencia de amena- ficado de gestión de la seguri-
los datos que recopilan. zas integradas y en tiempo real dad compatible con la gestión
Y, por último, tampoco podemos basadas en cloud y learning- multidispositivo, multidominio
perder de vista los ataques cross- machine para identificar nuevos y multiadministración, con una
platform, que adoptarán nuevas y peligros. visibilidad completa de las infec-
variadas formas gracias al aumen- Ω Seguridad avanzada de redes: ciones que soporta la recopila-
to del número de dispositivos con el firewall más avanzado, pre- ción, correlación y análisis de
conectividad, y la creciente popu- vención de intrusiones y con- ataques, así como herramientas
laridad de los ataques ransomware. trol de aplicaciones, soportan- de generación de informes para
Estas amenazas permiten ataques do redes de cualquier tama- el cumplimiento y auditoría.
de extremo a extremo que secues- ño –desde sucursales hasta
tran todos los recursos de la empre- empresas globales– y a través Check Point Infinity Total
sa objetivo, así como su red cor- de ofertas de seguridad en la Protection cambia las reglas del
porativa y su centro de datos de nube pública y privada. juego con un modelo de todo inclui-
recursos en la nube. Ω Seguridad cloud: protección do con suscripción anual por usua-
avanzada de prevención de rio. Con ella, los suscriptores se
Ciberataques "Gen V" amenazas en entornos cloud benefician inmediatamente de la
Todos estos ataques avanzados que públicos, privados e híbridos, arquitectura unificada de Check
he mencionado tienen una serie de y SDN con microsegmentación Point Infinity y de la prevención total
características comunes, como su para el control de tráfico este- en todos los entornos empresaria-
amplia escala y su rápido movimien- oeste dentro de la nube. les, ya sean locales, móviles o en la
to entre distintos sectores. Sin duda, Ω Seguridad móvil: prevención de nube.
estamos ante una nueva genera-
ción de amenazas, los ciberataques
Gen V, que afectan a todas las indus-
trias. Estas sofisticadas amenazas
que atacan a móviles, clouds y redes
empresariales burlan fácilmente las
barreras basadas en la detección
estática, que son las que utilizan la
mayoría de las empresas actualmen-
te. Para mantener a salvo los datos
y las conexiones de las empresas,
éstas necesitan contar con ciberse-
guridad Gen V, que incluya:
Ω Prevención de amenazas en
tiempo real: Protección contra
APT y malware desconocido de
día cero, a través de sandboxing

Los nuevos ataques avanzados


poseen características comunes,
como su amplia escala y su rápido
movimiento entre distintos sectores.

32 red seguridad primer trimestre 2018 especial


11 & 12 ABRIL MADRID

PALACIO MUNICIPAL DE CONGRESOS MADRID

+ 2.500 m2
Security Cloud Mobility Collaboration
+ 10 Espacios
y Salas de Conferencias

Networks IoT DataCenter

+ 3.000

+ 6.000 + 100 + 150


asistentes ...empresas compañías speakers
procedentes de toda líderes en
Analytics Artificial de... España tecnologías
Intelligence y servicios IT

EXPO IT IT Enterprise KeyNotes Speakers Digital VIP & Institucional Company


Innovation Leaders & Government IT Corners Transformation Relationship Area WorkShops
Areas Forum Managers Meetings Awards

Impulsar la tecnología para acelerar la Transformación de empresas y administraciones: IT managers, partners,


service providers y startups tienen la oportunidad de liderar la Transformación Digital aportando su talento y experiencia.
Conocer las últimas innovaciones tecnológicas, y cómo transformar las organizaciones, es su gran reto en la nueva era
digital y el foco principal del Congreso ASLAN2018.

GLOBAL SPONSOR

Inscripción gratuita en www.congreso.aslan.es Síguenos y participa #ASLAN2018

CELEBRACION SIMULTÁNEA ORGANIZA

Creamos espacios de encuentro y divulgación tecnológica


gracias al apoyo de más de 100 empresas asociadas
retos 2018
opinión

¿Es blockchain (ciber)seguro?

Ángel Gavín
Project Manager de GMV

D icho en román paladino , nes, permaneciendo offline el resto de la víctima y la vació de fondos.
blockchain es un gigantesco libro del tiempo (aumentando así su Aunque puede parecer un fraude
de registros, distribuido y seguro, y seguridad). Disponen de un meca- sencillo de evitar (adquiriendo estos
en la práctica inviolable e inmutable nismo de recuperación de la clave. dispositivos a proveedores de con-
gracias al uso de técnicas cripto- Eso es precisamente lo que apro- fianza), lo cierto es que empiezan a
gráficas y de consenso (reforzado vechó un delincuente recientemente aparecer vulnerabilidades asociadas
por mecanismos como el proof-of- para robar unos 30.000 euros en a las carteras frías.
work). Además preserva el anonima- criptomonedas. La víctima adquirió Al margen del papel y de esas
to. Dicho así parece completamente en el portal eBay una de dichas carteras, nuestra clave puede que-
seguro, pero ¿realmente lo es? Me carteras frías, que resultó estar dar almacenada online si, como
temo que no. alterada. El delincuente engañó a es habitual, recurrimos a una casa
No porque la propia tecnología la víctima mediante un certificado de cambio de criptomonedas para
blockchain no lo sea, es totalmente falso de la clave de recuperación. adquirirlas. ¿Qué mejor objetivo
segura. Los fallos vienen en el cómo Al conectar la cartera fría, el esta- de la ciberdelincuencia que dichas
usamos y gestionamos dicha tec- fador se hizo con la clave privada casas de cambio?
nología, la capa que se encuentra
por encima de ella; tanto tecnoló-
gica como humana. Ahí los riesgos
y vulnerabilidades son los viejos
conocidos de siempre. Huelga decir
que está en el punto de mira de la
ciberdelincuencia.

Clave privada, 'phishing' y otros


La seguridad de blockchain se basa
en un esquema de claves pública
y privada. ¿Qué sucede si perde-
mos la clave privada? Nos pode-
mos despedir de nuestros activos
(sean bitcoins o lo que sea). Si nos
la roban, también. Salvaguardar la
clave privada es vital.
Las carteras frías son unos dis-
positivos que permiten almacenar la
clave pública de carteras de cripto-
monedas. Se conectan a Internet
únicamente para hacer transaccio-

34 red seguridad primer trimestre 2018 especial


retos 2018 opinión

La tecnología blockchain está habilitando numerosas


aplicaciones, algunas de ellas relacionadas con
aspectos de seguridad. Hay quien plantea un cambio
de paradigma hacia un modelo descentralizado

En julio de 2017, Bithumb, la


mayor casa de cambio de bitco-
in en Corea del Sur, y una de las
cinco mayores del mundo, fue ata-
cada. ¿Cómo? Los hackers consi-
guieron los nombres, números de
teléfono y correos electrónicos de
cerca de 32.000 usuarios del portal.
Según la propia Bithumb, extrajeron
la información del ordenador de
un empleado y usaron técnicas de
phishing social, llamando por teléfo-
no a las víctimas para hacerse con
sus credenciales.

La moda de los ICO


Las aplicaciones descentralizadas
(Dapps) son aplicaciones de código
abierto que se implementan sobre
una blockchain. Simplificando las
cosas, la forma que han ideado
los desarrolladores de Dapps para
financiar sus proyectos es una oferta
pública de los tokens/monedas de la
Dapp. Son los llamados ICO (Initial
Coin Offering). Hay quien dice que
los ICO son Kickstarter con esteroi- como el método de transacción de
Blockchain es un gigantesco
des más blockchain. Y regulación rescates en casos de ransomware.
libro de registros, distribuido y
nula. Anonimato y ausencia de regulación seguro; pero los fallos vienen en
En julio de 2017, tan sólo duran- son los factores que animan a los el cómo usamos y gestionamos
te los tres primeros minutos de la delincuentes a ello. esta tecnología.
ICO de la plataforma CoinDash, ¿Es por tanto imposible rastrear
unos hackers se hicieron con una las transacciones en blockchain?
cantidad aproximada de siete millo- Al contrario, las transacciones son aspectos de seguridad. Hay quien
nes de dólares en ethers (la cripto- públicas y visibles para cualquiera. plantea un cambio de paradigma en
moneda de la red Ethrereum). Se Lo que no se puede saber es quién el mundo de la seguridad, pasando
realizaron unas 2.100 transaccio- o quiénes están detrás de esas a un modelo descentralizado.
nes a un monedero virtual de los transacciones; hasta que se quie- Otro claro ejemplo es la gestión
ciberdelincuentes, que hackearon el ren convertir a "moneda del mundo de la identidad digital usando esta
portal web de la ICO para incluir su real". Obviamente la delincuencia tecnología, que está siendo impul-
propia dirección. Unos 2.800 euros toma sus precauciones, fraccionan- sada en España por el consorcio
(de media) por transacción práctica- do las transferencias entre dife- Alastria y su propuesta de una red
mente imposible de rastrear. rentes carteras y "mareando" las blockchain "semipública y permisio-
criptomonedas. Pero ya existen nada", preparada para el entorno
No todo son malas noticias incipientes avances en el análisis regulatorio español.
Lamentablemente, las criptomo- forense de transacciones en bloc- En cualquier caso, blockchain
nedas como bitcoin son la forma kchain. abre enormes retos y oportunidades
de pago de la delincuencia en la La tecnología blockchain está en lo que se refiere a la ciberseguri-
Internet profunda (para el tráfico de habilitando numerosas aplicaciones, dad. Viejos y nuevos enemigos a los
armas o blanqueo de capitales), así algunas de ellas relacionadas con que combatir.

especial red seguridad primer trimestre 2018 35


retos 2018
opinión

'Machine learning' aplicado a la


industrialización del 'malware'

Por Panda Labs

En los últimos años, las tecnologías exclusivo de los fabricantes de segu- Para ello, se entrenan estos
machine learning e inteligencia artifi- ridad. De la misma forma que es un modelos de predicción con cono-
cial se aplican con éxito en diversos recurso muy útil para la construcción cimiento de las clases que se quie-
campos científicos, como la medi- de modelos de detección heurís- ren separar –goodware y malware–
cina, la energía o la ciberseguridad. tica, en las manos de un hacker previamente etiquetado en el caso
Cada vez son más las empresas que o de un desarrollador de malware de los modelos supervisados. En
ofrecen soluciones de seguridad uti- estos algoritmos de modelización nuestro caso, ese conocimiento
lizando estas técnicas. pueden utilizarse para industrializar consiste en más de mil millones
Desde 2003, Panda Security ha el proceso de creación de nuevas de aplicaciones de ambas clases,
apostado por la aplicación de técnicas muestras de malware con pequeñas previamente etiquetadas.
de machine learning. Precisamente mutaciones con respecto a otros Conociendo el funcionamiento
en aquellos años, el perfil del hacker especímenes y con la capacidad de estándar de estos modelos, exis-
industrializó el negocio del malware. no ser detectadas por el antivirus. ten varias formas de industriali-
Como consecuencia, se incremen- ¿Cómo es esto posible? Un modelo zar la generación de muestras de
taron las muestras de malware que
se recibían en los laboratorios de
seguridad, se aumentaron los tiem-
pos de respuesta en la entrega de La utilización de esta tecnología
las vacunas (ficheros de firmas) y se
incrementó la ventana de oportuni- no es patrimonio exclusivo de los
dad de malware, que tardaba mucho
más en ser detectado. fabricantes de seguridad
La necesidad de proactividad en
la detección de especímenes nue-
vos de malware motivó la incursión
de Panda Security en el machi- de predicción heurística está cons- malware para burlar este tipo de
ne learning, que se aplicaba con truido modelando y ensamblando protecciones heurísticas tradicional-
éxito en la resolución de problemas varios clasificadores supervisados mente integradas en soluciones de
de clasificación –malware frente a de distinto tipo. seguridad, entre ellas, Generative
goodware–. De esta forma, el algoritmo es Adversarial Networks (GAN) y Deep
Las tecnologías TruPrevent que capaz de modelizar característi- Reinforcement Learning (DQNs).
vieron la luz en 2004 estaban basa- cas y patrones de comportamiento
das en este tipo de técnicas. Con del malware de forma genérica, de GAN
el mismo éxito, aplicamos machi- manera que permite detectar nue- Una de las características más inte-
ne learning a la automatización de vas mutaciones de malware antes resantes del deep learning es su
todos los procesos de clasificación de que dispongamos de ellas en capacidad de extraer de forma no
de muestras que recibíamos en el nuestro laboratorio. Los clasifica- supervisada información y/o carac-
laboratorio de malware para resolver dores analizan la distribución del terísticas ocultas en los datos en
el problema del escalado del servi- goodware y del malware creando crudo –por ejemplo, sobre una ima-
cio, llegando a gestionar el 99,9 por regiones seguras donde la detec- gen–, de forma similar a cómo lo
ciento de forma automática. ción de malware puede realizarse de hace el córtex cerebral humano,
Sin embargo, la utilización de este manera muy precisa y sin errar en el generando abstracciones de alto
tipo de tecnologías no es patrimonio diagnóstico. nivel de los datos (formas, bordes,

36 red seguridad primer trimestre 2018 especial


retos 2018 opinión

rasgos...) que a su vez son combi-


nadas formando objetos más com-
plejos, como un dígito, una cara, etc.
Este tipo de redes se estructu-
ran por capas, de modo que en la
primera entran los datos en crudo,
mientras que la salida de cada una
(abstracciones de mayor nivel: ojos,
nariz, boca) queda conectada la
siguiente, y así sucesivamente. En la
última capa es usual incluir un clasi-
ficador supervisado, que etiquetará
dichas salidas como pertenecientes
a una clase (por ejemplo: es o no
una cara, es un dígito de tipo 1 o de
tipo 2, etc.).
El objetivo de esta red es crear o
generar nuevas instancias de cono-
cimiento, fieles a los datos origina-
les (creíbles), de modo que dichos
sujetos ficticios sean muy difíciles de
diferenciar de un caso real. mismo tiempo puedan enriquecer los
Cada vez más empresas
Pongamos un ejemplo práctico. clasificadores.
ofrecen soluciones de
Imaginemos que el generador es un En este caso, la aproximación es seguridad machine learning,
vendedor de copias falsas de un diferente. Un algoritmo de "apren- pero los malos también usan
perfume de marca, mientras que el dizaje por reforzamiento" se basa esta técnica.
discriminador es un comprador que en el concepto de que tenemos un
busca un perfume, pero que no quie- agente que actúa sobre un determi-
re que le engañen. El objetivo del nado entorno, con un conjunto de muestras de malware "ficticias". De
primero es generar progresivamente posibles acciones que pueden recibir esta forma, se consigue que los pre-
copias falsas lo más creíbles posibles, un premio o un castigo en función dictores/clasificadores abran más las
mientras que el del discriminador es de cuánto alejen dichas secuencias regiones de aceptación del malware
ser cada vez más capaz de diferen- de acciones al agente de cumplir un desconocido, repercutiendo en una
ciar entre un producto real y uno falso. determinado objetivo. mayor protección y anticipación
El generador se retroalimenta en el Por ejemplo, un premio podría ser sobre el malware nunca antes vista.
momento del aprendizaje, de lo que que "el agente ha violado el antivi-
dice el discriminador, de modo que, si rus". De este modo, si cogemos un Enfoques
este detecta el engaño, intentará que determinado fichero malware que Ahora bien, los enfoques que garan-
la próxima vez no sea así. es detectado por el antivirus y apli- tizan la robustez de una protección
El resultado de este procesamien- camos sobre él distintas acciones frente a este tipo de técnicas son
to es una serie de casos nuevos, (lo empaquetamos, le añadimos aquellos basados en la monitoriza-
generados de manera automática bytes, modificamos cierta sección, lo ción continua del comportamiento
y totalmente funcionales, que sean renombramos, etc.), si el fichero deja de las aplicaciones en los endpoints
muy complicados de determinar si se de detectarse por el AV le damos con el objetivo de evaluar el riesgo de
tratan de algo real o no. un premio o, en caso contrario, un todas las aplicaciones en ejecución,
Aplicando este tipo de enfoque castigo. a medida que estas exhiben variacio-
sobre distintas familias de malware Esta metodología, de la misma nes en su comportamiento.
es posible generar nuevos elementos forma que la anterior, permitiría a El modelo de protección Adaptive
maliciosos a partir de unas muestras desarrolladores de malware la gene- Defense, basado en el cien por cien
de partida con la posibilidad, ade- ración de variantes que se salten uno en Attestation Service, proporciona
más, de probar que estas no son o incluso varias soluciones AV. las garantías de que ninguna aplica-
detectadas por los AV. Como contramedida, estas mis- ción que no sea confiable para Panda
mas estrategias podrían ser utiliza- será ejecutada, cerrando completa-
DQN das para robustecer los modelos de mente la ventana de oportunidad del
Otra técnica es la aplicación de protección, incrementando los data- malware, aunque este esté específi-
Reinforcement Learning para la sets construidos con conocimiento camente diseñado para saltarse las
generación de nuevos samples o real utilizados para el entrenamiento protecciones tradicionales AVs basa-
conocimientos de aprendizaje que al de los modelos supervisados con da en enfoques de blacklisting.

especial red seguridad primer trimestre 2018 37


protagonista segurtic
entrevista

Elena Matilla

CISO de Red Eléctrica de España

Las respuestas de Elena


"Hace falta una colaboración
Matilla al preguntarle por
algunos de los temas público-privada más específica
candentes en materia de en materia de ciberseguridad"
ciberseguridad le delatan
como una profesional Tx. y ft.: Enrique González Herrero. Red Eléctrica, hicimos un estudio
exhaustivo de diferentes modelos
con una enorme visión relacionados con el gobierno de las
del negocio y capacidad ¿Cómo está configurada la seguri- tecnologías de la información (como
dad en Red Eléctrica de España? la ISO 83500, la ISO 27014, COBIT,
de análisis. Una virtud En febrero de 2017, Red Eléctrica Gartner, etc.) y entre ellos el que más
de España (REE) hizo una gran encajaba con lo que buscábamos
sin duda muy valiosa
apuesta por integrar la seguridad y era el ES-C2M2 (Electricity Subsector
para quien tiene bajo creó el departamento de Seguridad Cybersecurity Capability Maturity
Corporativa, bajo la dirección del res- Model), que entiende la ciberseguri-
su responsabilidad la ponsable de Seguridad y Enlace. En dad en 10 dominios. Realizamos una
gestión y el gobierno dicha área se enmarca la gestión y el adaptación de ese modelo junto con
gobierno de la seguridad de la infor- aportaciones del resto de referencias
de la seguridad de mación y ciberseguridad, de la que estudiadas para conseguir el modelo
soy responsable como CISO. de seguridad integral de REE. Nuestro
la información de un A través del departamento desa- modelo disecciona la seguridad en
operador estratégico rrollamos el gobierno y la gestión de 11 capacidades e integra en todas
la seguridad, siempre con un cariz ellas la ciberseguridad y la seguridad
como Red Eléctrica de integral. Con lo cual hablamos de física. Éstas son: gestión del riesgo;
seguridad física, ciberseguridad de plan de seguridad; activos, cambios
España, que desde el
los sistemas de información (IT) y y configuración; intercambio de infor-
año pasado ha apostado ciberseguridad de la tecnología de la mación; dependencias externas; per-
operación (OT). El departamento está sonal en seguridad y capacitación;
de manera decidida estructurado de manera que conver- incidentes y continuación de opera-
por la integración de la jan esos tres mundos. ciones; amenazas y vulnerabilidades;
Con objeto de definir el mode- identidades y accesos; cumplimiento
seguridad. lo de seguridad ideal para el grupo y normativa y conciencia situacional.

38 red seguridad primer trimestre 2018


protagonista segurtic entrevista

Adicionalmente, y siguiendo el con- iteración para llevar a cabo el trata- ¿De qué manera trabajan en REE
cepto de las tres líneas de defensa, miento automatizado de los riesgos la ciberseguridad OT, un entorno
hemos separado el gobierno y la de ciberseguridad IT y OT, incluyendo que hasta hace unos años parecía
gestión de cada una de estas capaci- también los sistemas de seguridad ajeno a la seguridad?
dades de la operación de las mismas. físicos, y hemos dejado para este año Para REE la seguridad OT siempre
De esta forma, desde el departa- la segunda parte, la automatización ha sido importante. En 2007 ya se
mento de Seguridad Corporativa de de los riesgos de seguridad física. empezó a hacer una apuesta por la
REE se lleva el gobierno y la gestión Creemos que el mapa de riesgos protección a nivel de comunicaciones
de la seguridad, asignando responsa- de seguridad de una organización mediante la segmentación de redes.
bles de cada una de las capacidades debe aunarlos todos, sean de la natu- Desde entonces, hemos ido mejo-
del modelo y dejando la seguridad raleza que sean. De esta forma se rando la seguridad del mundo OT,
operativa a los departamentos téc- consigue una única foto completa de aunque evidentemente no al mismo
nicos: la Dirección de Tecnologías los riesgos más relevantes a los que ritmo ni madurez que en el mundo
de la Información y la Dirección de se enfrenta la organización. Con esta IT. Podríamos decir que se actuaba
Mantenimiento de Instalaciones. El información global se puede trabajar de una manera más reactiva que
modelo está echando a andar, pero en el tratamiento de esos riesgos, preventiva.
creemos que este es el camino y priorizando lo realmente importante. También es cierto que antes no
durante 2018 nuestro objetivo es existía una visión de la ciberseguridad
aterrizarlo e implantarlo. De hecho No obstante, ¿dispone el mercado como ahora porque la OT era un
hemos iniciado las primeras acciones de herramientas que faciliten la entorno aislado y, por tanto, comple-
conducentes a su puesta en marcha. integración de la seguridad? tamente controlado. Sin embargo,
La verdad es que no me consta que ese entorno se ha ido abriendo con
Llevada a la práctica, ¿en qué haya soluciones que permitan esa el tiempo, acercándose al mundo IT.
beneficios se traduce esa integra- integración como tal. Puede que uno Tenemos que aprovechar la madu-
ción de la seguridad? de los motivos sea que, hasta la fecha, rez del mundo IT para ganar terre-
El primero y más evidente es que da no se ha producido una demanda que no y proteger debidamente nuestro
respuesta a un requisito demandado empujara a los proveedores a ver esto negocio; pero trasladarlo es compli-
por la regulación nacional sobre pro- como una oportunidad. No obstante, cado. Nuestra opción en REE ha sido
tección de infraestructuras críticas. en el caso de la gestión de riesgos, empezar gestionando la seguridad
Pero más allá de una obligación, este por ejemplo, ya son muchas las pla- bajo unos mismos principios y marco
modelo nos ayuda a ser más eficien- taformas que, aunque en su origen de control para ambos entornos, por-
tes, más eficaces, controlando costes estaban pensadas para los riesgos que vimos que, a la hora de ponerlos
y, sobre todo, aprovechando siner- de ciberseguridad IT, han abierto sus en marcha, ni las herramientas están
gias. Para nuestra organización este catálogos de amenazas y activos al igual de maduras ni las soluciones
es el mejor camino a seguir en aras mundo OT, e incluso algunas a la parte que se pueden aplicar tienen el mismo
de mejorar la protección y la resiliencia física. Pero si hablamos de herramien- impacto. Así que la clave es empezar
de nuestras infraestructuras. Porque tas que nos ayuden a integrar la segu- por la definición de principios, directri-
si las amenazas son cada vez más ridad, la mayoría todavía están poco ces y objetivos comunes en la parte
sofisticadas, más especializadas y uti- maduras y requieren customización. de gestión y gobierno de seguri-
lizan la confluencia del mundo físico Partiendo de una buena herramien- dad, tener claro qué arquitecturas y
y el ciber para su materialización, ta de gestión es posible completarla modelos de seguridad se necesitan
las organizaciones deben protegerse para aportarle esa capacidad integral. y, posteriormente, implementar la pro-
bajo un marco común, estableciendo Pero lo primero que debemos tener tección atendiendo a la idiosincrasia
las medidas de protección según el claro es qué objetivo perseguimos, de cada uno de los mundos.
riesgo. Por tanto, no podemos seguir qué modelo buscamos y, a partir
trabajando en silos o de forma aislada de ahí, podemos valernos de herra- ¿Cree que esa brecha entre el
como se venía haciendo. mientas que nos puedan acompañar entorno IT y el OT se cerrará en un
a conseguir ese hito. Lo realmente tiempo razonable?
Describe un modelo integral de la importante es una buena definición de Me gustaría que fuera más rápido de
seguridad, pero ¿cómo se puede tu estrategia y tu táctica. lo que está siendo y creo que se han
realizar un análisis de riesgos Si hablamos de otro tipo de herra- dado condicionantes para ello. La
donde realmente confluyan ame- mientas, por ejemplo, de monitoriza- Estrategia de Ciberseguridad Nacional
nazas físicas y tecnológicas? ción, las diferencias son aún mucho ya hablaba en 2013 de la necesidad
Para una gestión integral de los ries- más tangibles. La realidad es que no no solo de impulsar la seguridad y la
gos debemos ser capaces de identifi- hay integración real, lo que vale para resiliencia de los sistemas de infor-
car cuáles son las amenazas de cada el mundo IT no siempre sirve para OT. mación usados en las infraestructuras
uno de los mundos, según los activos Sin embargo, es cierto que hay que críticas, sino también de fomentar y
que los conforman. Durante el año aprovechar la madurez del mundo IT mantener una actividad de I+D+i en
pasado, en REE hicimos una primera para llevarlo al OT adaptándolo. materia de ciberseguridad de manera

red seguridad primer trimestre 2018 39


protagonista segurtic
entrevista

efectiva. Pero la realidad en España ¿Y por dónde cree que debería Protección de las Infraestructuras
es que se avanza despacio, especial- pasar esa obligación, a través de Críticas (Ley PIC) y su reglamento de
mente en cuanto a la protección del estándares, de leyes...? desarrollo. La Directiva NIS empodera
mundo industrial. Falta capacitación, Considero que hay varias opciones. la idea de protección de los sistemas
recursos y herramientas específicas. La primera sería confiar en que los de información y comunicación, que
Los escenarios actuales en los que fabricantes se van a encargar de el Anteproyecto de Ley ha entendido
nos movemos todavía son dos: el de facto; es decir, que van a proporcio- como la necesidad de protección de
los especialistas de seguridad IT que narnos dispositivos donde la seguri- los sistemas de información y comu-
intentan trasladar su conocimiento dad venga por defecto, en su ADN. La nicación utilizados para la provisión de
directamente al mundo OT sin enten- seguridad de los productos puede ser los servicios esenciales; luego ambas
der realmente las peculiaridades de un valor diferencial a la hora de elegir regulaciones deben ir de la mano.
este ámbito o el del personal cono- uno u otro fabricante y, por tanto, los Para la transposición no se ha con-
cedor del mundo OT que no cree que fabricantes pueden ver en este factor tado con el colectivo de responsables
deba considerarse la seguridad den- diferencial un desarrollo de negocio. de seguridad de los operadores de
tro de sus funciones. Hay que recor- Pero teniendo en cuenta la realidad, servicios esenciales hasta la consulta
dar que el tiempo de vida medio de quizá la opción más razonable es la pública, en la que se nos ha permitido
los dispositivos de los entornos indus- de regular la obligatoriedad por parte comentar y proponer mejoras. Ha sido
triales puede ser de 20 ó 30 años, de la Administración. Habida cuenta un ejercicio que se ha hecho directa-
con lo cual, cuando se fabricaron, se de que la Administración nos están mente por parte de la Administración,
crearon bajo unos parámetros y con- exigiendo a los operadores de ser- pero desde los operadores considera-
diciones de entorno que en muchos vicios esenciales que garanticemos mos que ciertos aspectos no se han
casos han cambiado drásticamente. nuestro servicio, ¿por qué no exigir a tratado debidamente.
Por tanto, estos dispositivos no están los fabricantes acreditar la seguridad El primero y más evidente es el de
preparados para aplicar la seguridad de sus dispositivos, que son los que identificar dentro de las organizacio-
tal y como lo hacemos en el mundo IT. nosotros utilizamos para la prestación nes quién debe velar y ser el garante
Queda mucho trabajo también de los mismos? Creo que es lo suyo. del cumplimiento de esta ley. La Ley
desde la Administración, que debería NIS establece obligaciones para las
obligar a que los fabricantes apli- ¿Qué opinión le merece el organizaciones en cuanto a la identi-
quen la seguridad en el diseño y Anteproyecto de Ley sobre la ficación, prevención, detección, recu-
por defecto. Las empresas depende- Seguridad de las Redes y Sistemas peración, comunicación y respuesta
mos totalmente de los fabricantes de de Información (Ley NIS), con el ante incidentes que produzcan un
soluciones. Y en el mundo OT esta que se transpondrá la directiva efecto perturbador significativo. Pero,
situación se agrava por la baja com- europea sobre la materia? ¿Cuáles sin el reglamento que establezca las
petitividad entre fabricantes. Por ello, son las principales dificultades que reglas para su aplicación, esto queda
además de que la industria demande se encontrarán los responsables a criterio de las organizaciones, que
productos más seguros, creo que la de Seguridad de la Información? actuarán según su sensibilidad y
Administración debe disponer de los En España jugamos con ventaja por- madurez en materia de seguridad.
mecanismos necesarios para garan- que, para la protección de las infraes- Se echa en falta que el anteproyecto
tizar que dichas soluciones cumplen tructuras críticas, ya contamos como haya identificado la necesidad de que
con unos mínimos de seguridad. punto de partida con la Ley sobre las organizaciones cuenten con un
responsable de seguridad designado
para tal fin, que sea capaz de analizar
y gestionar los riesgos de seguridad
de los sistemas de información y
comunicaciones, y proponer las medi-
das de seguridad oportunas para su
tratamiento. Creo que, como ya ha
hecho el CNPIC [Centro Nacional
de Protección de Infraestructuras y
Ciberseguridad], esta ley debe obligar
como medida adicional a designar un
responsable de seguridad de la infor-
mación (CISO, siguiendo la nomen-
clatura del CNPIC) y espero que así
se recoja en el texto definitivo de la ley.
El responsable de seguridad debe
ser quien garantice las medidas de
seguridad aplicables según el riesgo,
siendo el garante del cumplimiento

40 red seguridad primer trimestre 2018


Adapta tu empresa
a la nueva normativa
de protección de datos

http://gdpr.eset.es 962913348
protagonista segurtic
entrevista

la que podamos comunicar cualquier


"Debería ser obligatorio vender tipo de incidente, sea cual sea su
impacto. Por ello, debe homogenei-
productos en los que la seguridad zar la información, los formularios de
reporte y un punto único de contacto.
venga en su ADN"
¿Qué le parece el procedimiento
de comunicación de incidentes del
Anteproyecto de Ley NIS?
de esta ley. Haciendo el símil con el CNPIC también vio la necesidad de En la ley queda claro con quién te
la regulación sobre protección de establecer una mesa de ciberseguri- tienes que poner en contacto, pero
datos, debería tener un rol similar al dad en la que se pudieran tratar los lo que no está aún definido es cómo.
Delegado de Protección de Datos temas relacionados con la cibersegu- Esperamos que eso aparezca en el
(DPD); es decir, debe tener obligacio- ridad. Por lo tanto, se podría decir que desarrollo reglamentario. En la mesa
nes, pero también cierto blindaje por los canales están establecidos. de ciberseguridad PIC se trabajó en
las acciones que lleva a cabo en el Ahora bien, como todo modelo de consensuar un formulario de reporte
ejercicio de sus funciones. relación, es susceptible de mejora. de ciberincidentes que debería ser el
En todo caso, habrá que esperar Los temas ciber deben ser tratados punto de partida para la Ley NIS.
a la redacción definitiva de la ley y de forma ágil, flexible y eficiente. Hace No obstante, una de las dudas
al desarrollo reglamentario posterior falta trabajar en un modelo de relación que me surgen es qué sucederá si
para saber las consecuencias reales "2.0" donde la ciberseguridad sea comunicamos un incidente muchas
de su aplicación. Entiendo que, en tratada directamente por los especia- organizaciones a la vez; puede que la
este sentido, el regulador sí contará listas, sin intermediarios. WannaCry otra parte no esté dimensionada para
con los operadores estratégicos para nos sirvió para darnos cuenta, entre dar una respuesta.
ayudar a establecer las debidas medi- otras cosas, de que el modelo de
das de protección. relación no era el más óptimo. Desde Otra norma que entrará en apli-
entonces, todos, la Administración cación en mayo es el Reglamento
La Ley NIS introducirá además un y los operadores, hemos trabaja- Europeo de Protección de Datos.
régimen sancionador, algo que no do en proponer mejoras que deben Una de las obligaciones destaca-
recoge la Ley PIC. materializarse. Por ejemplo, el CNPIC das será la necesidad de nombrar
La Ley PIC nació desde la colabora- está trabajando en una herramien- a un DPD. ¿Cree que esta figura
ción público-privada y su espíritu ha ta de comunicación para situaciones puede entrar en conflicto con la
sido siempre el de convencer frente a excepcionales denominada AlertPIC, labor del CISO?
sancionar. La Ley NIS debe estable- donde habrá distintos niveles para los De aquí al 25 de mayo creo que
cer un régimen sancionador porque responsables de enlace, los CISO y veremos cientos de escenarios dife-
así lo marca la directiva; el regulador los técnicos. rentes de relación entre los CISO y
ha hecho lo que tenía que hacer. Por otro lado, cuando las distin- los DPD. Dependerá muchísimo de
Se han contemplado supuestos tas regulaciones nos obligan a noti- la estructura de cada organización.
que mitigarían las sanciones y creo ficar incidentes o brechas de segu- Un CISO que tenga responsabilidad
que es todo lo más que se puede ridad, la Administración debe dotar sobre ciertos tratamientos, como, por
conseguir. Habrá que trabajar por de mecanismos de protección para ejemplo, datos de control de acceso,
hacer las cosas bien y esperar a que las comunicaciones que garanticen la en principio no puede ser DPD por
las sanciones vayan solo para aque- confidencialidad, integridad y disponi- tener conflicto de interés, pero en
llos que realmente no hacen nada. bilidad de la información que comuni- cualquier otro caso nadie impide que
camos. Y eso a veces no es así. el CISO sea el DPD. Ya dependiendo
¿Qué aspectos deben mejorar en la Como añadido, cuando tenemos de cada organización, la figura del
colaboración entre las empresas y que presentar denuncia por un inci- DPD se enmarcará más en el área jurí-
la Administración? dente que es delito, nos encontramos dica, de compliance, de seguridad o
La colaboración público-privada está con que las Fuerzas y Cuerpos de se externalizará. Por supuesto que, si
establecida, y eso ya es un primer Seguridad no disponen de herramien- las dos figuras convergen en la misma
paso. En el día a día hemos visto tas para hacer una comunicación digi- persona, el DPD/CISO deberá adquirir
que se ha dado un paso de gigante, tal segura y poder compartir informa- la competencia jurídica o técnica que
por ejemplo, en cuanto a que se han ción con ellos. Se ha de proceder por no tenga para poder desempeñar
establecido canales de colaboración los métodos tradicionales de denun- correctamente sus funciones.
como el del responsable de seguridad cia y evidencias en papel, y de manera En todo caso, en mi opinión son
y enlace para la protección de infraes- presencial. Eso ha de cambiar. dos figuras complementarias que
tructuras críticas como punto único Por último, la Administración tiene deben trabajar conjuntamente para
de contacto y su participación en la que trabajar (de hecho ya lo está conseguir la responsabilidad proactiva
mesa de seguridad PIC. A nivel ciber, haciendo) en una ventanilla única en de la protección de la información.

42 red seguridad primer trimestre 2018


TE AYUDAMOS A DAR EL

SALTO DIGITAL
Desde hace más de 30 años, GMV lleva sumergiéndose en
la más alta tecnología para ayudar a empresas e instituciones
a llegar a lo más alto del pódium en sus negocios.

Liderazgo tecnológico, capacidad de innovación, calidad,


eficiencia y flexibilidad son el trampolín perfecto que GMV
proporciona a sus clientes para acompañarles a dar el salto
al mundo digital.

GMV, CONSEGUIR TUS RETOS ES NUESTRA MEDALLA

GMV
www.gmv.es marketing.TIC@gmv.es

www.facebook.com/infoGMV
@infoGMV_es

AERONÁUTICA I ESPACIO I DEFENSA I SANIDAD I CIBERSEGURIDAD I ITS I TELECOMUNICACIONES I TECNOLOGÍAS DE LA INFORMACIÓN


actualidad tecnológica
noticias

La ciberseguridad, pieza clave


en todo el ecosistema PIC
Los pasados 15 y 16 de noviembre, el CNPIC, con la colaboración de la Fundación
Borredá, organizó en Madrid el 5º Congreso PIC, en el que se dieron cita diferentes
actores implicados en la protección de las infraestructuras críticas españolas, entre
ellos los presidentes de grandes compañías. RED SEGURIDAD estuvo presente en
este encuentro donde la ciberseguridad tuvo un papel protagonista.
normativos, como el que supon-
drá la trasposición de la Directiva
NIS a la legislación española, es
preciso aumentar las capacidades
de órganos como el CNPIC, por-
que se encuentra en primera línea
en la lucha contra acciones delicti-
vas provenientes del ciberespacio",
comentó.
Sobre este tema también se pro-
nunció en su intervención Fernando
Sánchez, director del CNPIC, el cual
calificó como un reto importante "la
adaptación de la Ley PIC a los avan-
ces normativos que han surgido,
muy especialmente en el campo de
Varios presidentes de grandes empresas españolas participaron en un panel la ciberseguridad, en un momento en
dedicado a la visión de la alta dirección sobre la seguridad en el ámbito PIC.
que se está a punto de trasponer la
Directiva NIS", subrayó.
Tx: David Marchal foro supone una excelente oportuni- Seguidamente, se dio paso a uno
Ft: Mar Sáez dad para que la Administración y las de los paneles que más expecta-
empresas se encuentren y se fusio- ción atrajo, el de la alta dirección,
nen en un aspecto tan importante en el que estuvieron presentes:
Coincidiendo con el décimo aniver- como es la seguridad en nuestro país Luis Miguel Gilpérez, presidente de
sario de la puesta en marcha del para garantizar nuestros servicios Telefónica España; José Folgado
Sistema de protección de infraes- esenciales". En ese contexto, Zoido Blanco, presidente de Red Eléctrica
tructuras críticas (PIC) en España, definió la ciberseguridad como "un de España; Juan Alfaro Grande,
el Centro Nacional de Protección aspecto clave" para la seguridad de presidente de Renfe; José Ignacio
de Infraestructuras y Ciberseguridad los españoles. "Dados los avances Goirigolzarri, presidente de Bankia;
(CNPIC), en colaboración con la Antonio Llardén Carratalá, presi-
Fundación Borredá, organizó en dente de Enagás; y Jaime Sánchez
el Museo Casa de la Moneda de Revenga, presidente-director general
Madrid el 5º Congreso PIC. de la Fábrica Nacional de Moneda
Entre el medio centenar de ponen- y Timbre. Entre todos, recalcaron la
tes que participaron se encontraban importancia que hoy en día tiene la
presidentes de grandes empresas seguridad corporativa en los conse-
españolas, así como responsables jos de administración de sus respec-
de diferentes organismos públicos, tivas compañías y constataron que
directores de seguridad de opera- esta cultura de protección, desde el
dores estratégicos y miembros de punto de vista físico y lógico, está
las Fuerzas y Cuerpos de Seguridad calando en la alta dirección.
(FCS). Las jornadas, además, con-
taron con una gran afluencia de Panel de ciberseguridad
asistentes, superando el medio millar. A continuación, tuvo lugar el panel
Muestra de la importancia de este que llevó por título: "Ciberseguridad
encuentro fue la presencia en la inau- en las infraestructuras críticas: prote-
guración del ministro del Interior, Juan Juan Ignacio Zoido, ministro del giéndonos en el ciberespacio". En él
Ignacio Zoido, quien aseguró: "este Interior. se abordó la salvaguarda de los ser-

44 red seguridad primer trimestre 2018


actualidad tecnológica noticias

Mesa "Ciberseguridad en las infraestructuras críticas: protegiéndonos en el ciberespacio", donde participaron responsables del CCN,
el Mando Conjunto de Ciberdefensa, Incibe y la OCC del CNPIC.

vicios esenciales desde el punto de bien lo que pasa. Se debe hacer ciones entre los organismos públi-
vista de la seguridad lógica. Para ello, en un lenguaje cercano y de forma cos", resaltó Cabeiro.
este espacio se dividió en dos mesas coordinada". A pesar de ello, el res- Este punto de vista también lo
redondas que trataron el modelo de ponsable de Incibe quiso recalcar las compartió Miguel Ángel Abad, jefe
ciberseguridad español y la gestión otras cuestiones que se hicieron bien de Ciberseguridad y de la Oficina de
de incidentes, así como la investiga- durante aquella crisis, como fue "la Coordinación Cibernética (OCC) del
ción y la persecución del ciberdelito. reacción de las empresas afectadas, CNPIC, quien señaló que "los actores
La primera de ellas fue modera- los organismos públicos y el resto del implicados están preparados para
da por José Valiente, presidente del sector", así como "la coordinación canalizar cualquier incidente, tanto
Centro de Ciberseguridad Industrial. entre todos los actores involucrados". por conocimientos como por forma-
En su introducción al debate, este Por su parte, Enrique Cabeiro, jefe ción"; y coincidió con lo expresado
profesional mencionó el ataque de operaciones del Mando Conjunto anteriormente en que "la gestión de
WannaCry que se produjo en mayo de Ciberdefensa, también reivindi- un incidente de ciberseguridad hay
del pasado, el cual, dentro de lo có el papel desempeñado por las que transmitirlo dentro y fuera de
malo, ha servido para concienciar empresas y entidades públicas en la organización con terminología no
sobre la importancia de la coopera- el incidente. "Después de WannaCry técnica y que sea entendible para
ción público-privada y ha permitido quedó la sensación de que había todos".
extraer tres lecciones: "La necesidad salido bien de casualidad, porque Aparte de este tema, durante la
de mayor coordinación, una mejor somos buenos improvisando; pero mesa también se abordaron otros
comunicación de las amenazas a la no creo que fuera así. En España aspectos relacionados con la seguri-
sociedad y un mayor esfuerzo para tenemos perfectamente delimitadas dad TIC, como la situación del mode-
extender la cultura de ciberseguridad las competencias y no hay áreas lo de ciberseguridad español compa-
en todos los ámbitos". desiertas. Cada uno de los CERT rado con otros países. En este senti-
En esa línea se pronunció el primer [Equipo de Respuesta a Incidentes do, todos los ponentes coincidieron
interviniente, Luis Jiménez, subdirec- de Ciberseguridad] sabe cuál es su con la afirmación de Abad: "Tenemos
tor general del Centro Criptológico cometido y hay unas excelentes rela- un nivel bastante aceptable, pero no
Nacional (CCN), para quien "el mode- nos vendemos bien fuera".
lo español resultó efectivo para ges-
tionar un incidente como WannaCry". El ciberdelito
No obstante, añadió: "El flujo de La segunda mesa de este panel
información, desde el punto de vista –"Investigación y persecución del
técnico, fue perfecto. El problema ciberdelito: mecanismos de coor-
es que no está procedimentado; es dinación con los operadores críti-
decir, no hay nada que nos obligue cos"– estuvo moderada por Ana
ni nos diga cómo hay que hacerlo. María Martín, fiscal adscrita a la
Se trabajó bien, pero informalmente". Unidad Central contra la Criminalidad
Alberto Hernández, director Informática de la Fiscalía General del
general del Instituto Nacional de Estado. En su presentación antes
Ciberseguridad (Incibe), coincidió con del debate, Martín remarcó el obje-
Jiménez en cuanto a que los men- tivo de la reciente legislación euro-
sajes lanzados sobre la crisis fue- pea en términos de ciberseguridad,
ron alarmistas. "Con el incidente nos materializada a través de la conocida
dimos cuenta de que, con un impacto como Directiva NIS –Directiva (UE)
pequeño, como fue el caso, se gene- Fernando Sánchez, director del 2016/1148, relativa a las medidas
ra una crisis grande si no se explica CNPIC. destinadas a garantizar un elevado

red seguridad primer trimestre 2018 45


actualidad tecnológica
noticias

nivel común de seguridad de las redes De todo ello dio fe el representante


y sistemas de información en la Unión– de la Guardia Civil, el teniente coronel
, cuyo fin es "fomentar la coopera- Juan Rodríguez Álvarez de Sotomayor,
ción entre los agentes, instando a jefe del Grupo de Delitos Telemáticos,
los Estados miembros a que estén quien explicó que la función de dicho
preparados para prevenir los riesgos grupo consiste en "recoger las eviden-
de seguridad y las vulnerabilidades de cias de un ataque", con el fin de que
los sistemas de información mediante les sirvan para "reconstruir los hechos,
el establecimiento de unas normas identificar al autor y proceder a su
mínimas de detección y comunicación detención". Para ello, están en contac-
en cada uno de los sectores involu- to todas otras unidades policiales espa-
crados". ñolas, europeas y americanas a través
Precisamente, Manuel Sicilia, jefe de distintas plataformas de intercambio
de la Sección de Análisis del Servicio de información. Sin embargo, todo esto
de Ciberseguridad y de la OCC del no sirve de nada, insistió, si las empre-
CNPIC, se refirió a la Directiva NIS en sas no denuncian. "Tenemos una cierta Juan Ignacio Zoido, con Javier
Borredá y Ana Borredá, presidente
su intervención. "Todavía no se sabe sensación de desazón, porque todo
de Borrmart y directora de RED
cómo será su materialización en la nuestro trabajo choca con la reticencia SEGURIDAD, respectivamente.
legislación nacional, pero sus objetivos por parte de las empresas a notificar",
están alineados con los del CNPIC", en aseguró el mando policial.
tanto en cuanto "identifica los servicios Finalmente, el comisario principal según Pérez, "es despertar en todos
esenciales objeto de protección", ase- Rafael Pérez, jefe de la Unidad de una mayor confianza en las Fuerzas y
guró este profesional. "Nuestra aporta- Investigación Tecnológica de la Policía Cuerpos de Seguridad".
ción, desde el Ministerio del Interior, ha Nacional, aparte de confirmar las
sido desarrollar una metodología para palabras de su compañero y afirmar Otros paneles
identificar a los operadores críticos y que ve este tema "con pesimismo", Las jornadas se completaron con
sus infraestructuras", comentó. aseguró tener "ciertas esperanzas". el desarrollo de tres paneles más:
Entre esos operadores se encuentra De hecho, ya están dando pasos "Convivencia del modelo PIC con otros
Red Eléctrica de España, cuyo director en la dirección correcta. "Hace unos sistemas", "Planificación de seguridad:
corporativo de recursos, Ángel Mahou, meses tuvimos una reunión de coor- el papel del operador crítico" y " El
alabó el modelo de trabajo del CNPIC, dinación con la OCC y el CNPIC, plano operativo en la PIC". El primero
al cual calificó como "un ejemplo que donde llegamos a tres acuerdos: si abordó cuestiones como la relación
debe trascender a la sociedad espa- algún operador denuncia en cualquie- existente entre el modelo PIC y nor-
ñola". "Para nosotros es importante ra de ambos cuerpos, trasladaremos mas como la de Seguridad Privada
cooperar con ellos en un modo de el contenido de la denuncia a la o las que surgirán de la transposición
trabajo basado en la confianza, la OCC; se crea un punto de contacto de la Directiva NIS y del Reglamento
interdependencia y la comunicación", para que, si hay algún problema, se General europeo de Protección de
sostuvo el directivo, quien defendió canalice al cuerpo correspondiente; Datos. El segundo, por su parte, tuvo
además la necesidad de denunciar y comunicaremos a la OCC cuándo como tema central el papel del ope-
"para poder perseguir judicialmente al empezamos y acabamos una inves- rador crítico, en el que destacó la
autor del delito". tigación". El objetivo con todo ello, importancia de que la alta dirección
esté concienciada con la seguridad,
una de cuyas mesas estuvo mode-
AlertPIC, una aplicación para comunicar y rada por Ana Borredá, presidenta de
la Fundación Borredá. El último se
coordinar incidentes en infraestructuras críticas dedicó a la prevención, la respuesta
y la gestión de crisis y emergencias,
Durante su intervención en el Congreso PIC, el ministro del Interior, Juan Ignacio
Zoido, presentó AlertPIC, una herramienta con la que "podrá intercambiarse infor- para lo cual se contó con la presen-
mación y ficheros en tiempo real como canal de comunicación alternativo ante cia de representantes de las FCS, de
situaciones de crisis motivadas por un incidente de tipo físico o cibernético, permi- Protección Civil y del Departamento de
tiendo realizar llamadas directas para comunicar alertas, notificación de incidencias Seguridad Nacional.
y difusión de comunicados entre otros servicios", explicó. Por último, el evento fue clausurado
Básicamente, se caracteriza por su alto grado de seguridad, al incluir el cifrado
por el secretario de Estado de
de las comunicaciones de extremo a extremo y de su almacenamiento. Y tiene
dos plataformas: una de carácter exclusivamente técnico, para la gestión de cibe- Seguridad, José Antonio Nieto, quien
rincidentes por parte de los especialistas de cada organización; y otra estratégica, explicó que la PIC "no es algo acceso-
para que los responsables de seguridad tengan una vía directa de comunicación rio, marginal, diferente, ni algo relacio-
con el CNPIC. Asimismo, cuenta con botones para secciones como chats, avisos nado fundamentalmente con lo tecno-
y notificaciones del CNPIC, así como geolocalización para ubicar el lugar donde
lógico. Se trata de seguridad, de prote-
se ha producido el incidente. El operador podrá llamar sin necesidad de tener en
el móvil el listado de teléfonos de emergencia, porque el terminal llama al teléfono ger a los ciudadanos para que puedan
predeterminado para establecer una primera gestión. La notificación de la inciden- desarrollar su vida en libertad y para
cia será un contacto bilateral entre operador y CNPIC. que puedan ejercer sus derechos con
normalidad y tranquilidad".

46 red seguridad Primer trimestre 2018


¿LE GUSTARÍA VIVIR
EN UNA CASA CON
50 PUERTAS
DIFERENTES?

Entonces, ¿por qué hay empresas que utilizan soluciones


de seguridad de más de 50 proveedores?

Ahora es el mejor momento para unificar todas sus


soluciones de seguridad con un solo proveedor.
actualidad tecnológica
noticias

Aprobado el borrador del anteproyecto de Ley de sobre


la Seguridad de las Redes y Sistemas de Información
El Ministerio de Energía, Turismo Además, aborda aspectos como las
y Agenda Digital ha aprobado el funciones de las autoridades compe-
borrador del anteproyecto de Ley de tentes, los requisitos y funciones de los
sobre la Seguridad de las Redes y CSIRT de referencia, la cooperación
Sistemas de Información, que traspon- con otras autoridades, la confiden-
drá al ordenamiento jurídico español la cialidad de la información sensible, la
conocida como Directiva NIS (Directiva autorización para la cesión de datos
2016/1148, relativa a las medidas des- personales o la supervisión de los
tinadas a garantizar un elevado nivel operadores de servicios esenciales y
común de seguridad de las redes y proveedores digitales, entre otros.
sistemas de información de la Unión). Uno de los aspectos que ha des- También establece un régimen de
El borrador, que ha estado abierto a pertado mayor interés por los sectores sanciones, clasificadas en infracciones
audiencia pública hasta el 8 de enero, afectados por esta norma es la comu- muy graves, graves y leves. Las prime-
tiene por objeto "regular la seguridad nicación de percances de ciberseguri- ras supondrían multas de entre 500.001
de las redes y sistemas de informa- dad. El anteproyecto recoge el deber y un millón de euros, y podrán ser publi-
ción utilizados para la provisión de los de notificar "a la autoridad competen- cadas en el Boletín Oficial del Estado;
servicios esenciales y de los servicios te, a través del CSIRT de referencia, los las graves entre 100.001 y 500.000
digitales y establecer un sistema de incidentes que puedan tener efectos euros; y las leves con amonestaciones
notificación de incidentes". significativos en sus servicios". o multas hasta los 100.000 euros.

La Comisión Europea publica unas orientaciones sobre


el futuro RGPD y crea una herramienta de ayuda 'online'
A falta de pocos meses para que entre resumen el trabajo aún pendiente por ha anunciado su participación en una
en aplicación el Reglamento General parte de las autoridades competentes. serie de actos para informar a los
de Protección de Datos (RGPD) de la Además, la Comisión insta a los ciudadanos acerca del impacto del
UE –concretamente lo hará el 25 de gobiernos y a las autoridades de pro- Reglamento. Asimismo, a partir del
mayo–, la Comisión Europea ha anun- tección de datos de la UE a que próximo mayo, seguirá la manera en
ciado la publicación de una serie de estén preparados y presten su apoyo. que los Estados miembros apliquen
orientaciones en las que se resumen De momento, solo dos de ellos han las nuevas normas y tomará las medi-
lo que les queda por hacer a este adoptado ya la legislación nacional das apropiadas en caso necesario.
organismo, a las autoridades nacio- pertinente, por lo que este organis-
nales de protección de datos y a las mo solicita al resto que aceleren la Blockchain
administraciones nacionales para que implantación en su legislación interna Adicionalmente, la Comisión presentó,
la preparación de estas normas con- y garantizar así que se ajusten al el 1 de febrero, el observatorio y foro
cluya de manera satisfactoria. Reglamento. de la cadena de bloques (blockchain)
Y es que, aunque el nuevo de la UE con el apoyo del Parlamento
Reglamento prevé un conjunto único Nueva herramienta en línea Europeo. Dicho observatorio resaltará
de normas directamente aplicables Por otro lado, y conocedora de que las principales novedades de la tecno-
en todos los Estados miembros, hace falta incrementar la conciencia- logía de cadena de bloques, promo-
la Comisión es consciente de que ción y contribuir a los esfuerzos que las verá los agentes europeos y reforzará
todavía requerirá ajustes importantes pymes realizan para cumplir la norma- el compromiso europeo con las partes
en determinados aspectos, como la tiva, la Comisión Europea ha puesto en interesadas que intervienen en activi-
modificación de las leyes vigentes por funcionamiento una nueva herramienta dades de blockchain.
los respectivos Gobiernos de la UE o práctica online en todas las lenguas de De esta manera, recopilará informa-
la creación de un Consejo Europeo de la UE para ayudar a los ciudadanos, a ción, efectuará un seguimiento y un
Protección de Datos por las autorida- las medianas y pequeñas empresas y análisis de las tendencias, abordará
des en la materia. a las grandes organizaciones a cumplir los retos y examinará el potencial
En este sentido, las orientaciones y aprovechar las nuevas normas de socioeconómico de las cadenas de
recuerdan las principales innovacio- protección de datos. bloques. Además, hará posible la
nes y las oportunidades que brindan Por último, y con la finalidad de cooperación transfronteriza en casos
las nuevas normas, hacen balance seguir prestando un apoyo activo a prácticos, reuniendo a los mejores
de los preparativos ya realizados y los Estados miembros, la Comisión expertos de Europa.

48 red seguridad primer trimestre 2018


Drones

Video Vigilancia

Ciberseguridad

La industria evoluciona,
nosotros también.

24−26 ABRIL
2018 Ciudad de México
Centro Citibanamex
Fuerzas del Orden Control de Acceso

¡Descubre nuestra transformación en


www.exposeguridadmexico.com!

GPS

Ciencias Forenses Alarmas

Patrocinadores Corporativos Patrocinadores Fundadores

Powered by Organizado por

www.exposeguridadmexico.com El logotipo de Expo Seguridad México es una marca de RELX Intellectual Properties SA, objeto de uso bajo licencia.
actualidad tecnológica
noticias

Las organizaciones expertas en ciberseguridad se unen La nueva ESN destaca


para responder coordinadamente los ataques globales los ciberataques
Las principales entidades expertas en tes de seguridad y cualquier otro tipo
entre las principales
ciberseguridad se han unido ante la de información de inteligencia, lanzar amenazas
necesidad de ofrecer una respuesta acciones coordinadas y recomenda-
coordinada y efectiva ante ataques ciones ante situaciones que así lo
globales, dando como resultado el requieran, fomentar la creación de nue-
relanzamiento del grupo CSIRT.es. vos CSIRT en el territorio español, ser-
En él se integran organismos públi- vir de sitio de referencia de eventos de
cos, tanto de la Administración General seguridad y colaborar con otros foros
del Estado como de las comunidades e iniciativas similares a nivel nacional e
autónomas, la universidad y empresas internacional.
que tienen o gestionan un CSIRT/CERT. Este grupo se reunirá de forma
Entre los principales objetivos de periódica para mejorar la coordinación,
CSIRT.es se encuentran promo- incrementar las capacidades de detec-
ver la cooperación entre los Equipos ción, prevención, defensa y recupera-
de Respuesta ante Emergencias ción de los ataques cibernéticos y, en
Informáticas españoles, compartir general, para gestionar la seguridad del El Consejo de Ministros apro-
información relevante sobre inciden- ciberespacio español. bó, el 1 de diciembre, la
nueva Estrategia de Seguridad
Nacional (ESN) 2017, en la que
Aprobados los PES del Transporte Urbano y destaca de manera especial los
Metropolitano y de la Alimentación ciberataques como una de las
principales amenazas.
La Comisión Nacional para la operadores críticos pertenecientes a Este documento pone espe-
Protección de las Infraestructuras estos dos sectores. cial énfasis en la naturaleza híbri-
Críticas, presidida por el secreta- Con la aprobación de estos planes, da de los conflictos actuales,
rio de Estado de Seguridad, José estos operadores pasan a formar entendida como la combinación
Antonio Nieto, aprobó el 1 de febrero parte del Sistema de Protección de de acciones que pueden incluir,
los Planes Estratégicos Sectoriales Infraestructuras Críticas, del que ya junto al uso de métodos milita-
(PES) del Transporte Urbano y forman parte nueve de los principales res tradicionales, ciberataques,
Metropolitano y de la Alimentación. sectores nacionales de producción y operaciones de manipulación de
Asimismo, designó a 33 nuevos 150 operadores críticos. la información o elementos de
presión económica.
Además, la ESN menciona
entre los principales desafíos
Meltdown y Spectre, nuevas vulnerabilidades que el ciberespacio, del que seña-
ponen en jaque los procesadores de varios fabricantes la su utilización como "medio
para realizar actividades ilícitas,
Un grupo de investigadores descubrió de otros programas y del sistema acciones de desinformación,
en enero dos fallos de seguridad en la operativo, afectando a ordenadores propaganda o financiación terro-
protección de los microprocesadores personales y a la infraestructura cloud. rista y actividades de crimen
que integran la inmensa mayoría de En cuanto a Spectre, esta variante organizado, entre otras", impac-
ordenadores del mundo y que per- rompe el aislamiento entre distintas tando todo ello en la Seguridad
miten accesos ilícitos a servidores y aplicaciones. Un atacante podría usarlo Nacional.
móviles, entre otros dispositivos. para vulnerar la seguridad de apli-
En un primer momento se habló de caciones que han sido programadas
Meltdown, el error de diseño de los perfectamente y siguiendo las mejores
microprocesadores de Intel, que se prácticas. De hecho, seguir esas prác-
Toda la actualidad
puede solucionar con parches. Pero ticas acaba siendo contraproducente, de la seguridad TIC,
después se descubrió que tiene una ya que hace estos programas más en nuestra web
variante más peligrosa: Spectre. vulnerables a Spectre.
Según el estudio, la diferencia fun- A diferencia de Meltdown, no hay
damental entre ambos ataques es parches software para Spectre, aun-
que Meltdown puede acceder a la que es más difícil de explotar que
memoria del sistema, mientras que Meltdown, pero también más difícil Para estar al día de toda la
Spectre a la de otras aplicaciones de mitigar. Algunos parches software actualidad del sector de la
Seguridad TIC, visita nuestra
para robar datos de las mismas. pueden evitar ataques Spectre con
web www.redseguridad.com, o
De esta manera, Meltdown permite exploits conocidos que traten de apro- síguenos en las redes sociales
a un programa acceder a la memoria vechar esta vulnerabilidad. Twitter y LinkedIn.

50 red seguridad primer trimestre 2018


ICEMD
I
INSTITUTO ECONOMIA
DIGITAL
ffl.r"SIC
lo':'6i;;;. BLJSINESS&MARKETINGSCHOOL

Conviértete en un experto
en ciberseguridad
y especialízate en hacking ético o compliance
¿

Programa Superior en Programa Superior en

■ g
Ciberseguridad y Hacking Ético Ciberseguridad y Compliance
Afmnta los nue,os relos y amenazas Implanta las políticas para
-:.
1 · de la ciberseguridad y conviértete garantizar el cumplimiento de la •
lil en un hacker ético ciberseguridad en tu empresa lil · .:

www.icemd.com - admisiones@icemd.com - 902 918 912


formación
entrevista

José Antonio
Rubio

Director del Programa Superior


en Ciberseguridad de ICEMD,
el Instituto de la Economía
Digital de ESIC

Poner en marcha
"Nuestro programa capacita
una estrategia de
ciberseguridad en una para entender cómo implantar la
empresa no consiste ciberseguridad en una empresa"
únicamente en instalar
una serie de soluciones Tx: David Marchal Es un modelo con un componen-
Ft: ICEMD te fundamentalmente práctico. Tras
tecnológicas para hacer unas breves introducciones
que protejan sus teóricas, se desarrollan casos de tra-
ICEMD cuenta con un programa bajo a fin de aquilatar todos los con-
infraestructuras. También superior en ciberseguridad. ¿Por ceptos vistos. El objetivo es poder
qué una escuela de negocios diseñar e implantar los mecanismos
es necesario contar con
apuesta por la formación en una necesarios de ciberseguridad en una
conocimientos técnicos, materia que, si bien requiere habi- organización.
lidades de gestión, también tiene También es importante resaltar
normativos, estratégicos un alto componente técnico? que hay dos especialidades, la de
y de negocio para La ciberseguridad se ha convertido compliance y la de hacking. En
en un tema estratégico para las la primera se ven materias como
que la política de organizaciones. Es uno de los pilares el diseño de sistemas de gestión
de toda transformación digital, y tam- de compliance, riesgos penales y
protección resulte bién una exigencia para poder operar delitos tecnológicos, el Reglamento
efectiva. Precisamente, en el mercado por el cumplimiento Europeo de Protección de Datos o
normativo. Un ejemplo claro de este cómo formarse para ejercer como
en todas estas punto es el Reglamento Europeo de compliance officer en el día a día de
Protección de Datos. La ciberseguri- una organización.
habilidades capacita
dad es un habilitador de negocio. Por Por otro lado, en la especialidad de
el Programa Superior tanto, tiene total sentido su presencia hacking ético se ve de forma práctica
en una escuela de negocios. cómo crear y gestionar un Red Team,
en Ciberseguridad de las principales técnicas de pentes-
ICEMD, el Instituto de la ¿Cuál es el modelo de formación ting, técnicas de análisis forense o
diseñado por ICEMD para este cómo protegernos de los ataques a
Economía Digital de ESIC. programa? aplicaciones web.

52 red seguridad primer trimestre 2018


formación entrevista

"Faltan profesionales con conocimientos


integrales que sepan entender el reto de
la ciberseguridad desde el punto de vista
operativo, normativo y estratégico"

¿Qué perfil de demanda tiene esta punto de vista operativo, normati- ridad de la información, o la puesta
formación y qué tipo de profesio- vo y estratégico. Es aquí de nuevo en marcha de planes de continuidad
nales les gustaría que salieran al donde entran en juego las escuelas de negocio.
mundo laboral una vez superado de negocio.
el programa? Una de las variables del progra-
La demanda es alta, ya que son En ese sentido, dentro de las dife- ma de ICEMD es el cumplimiento
muchas las vacantes existentes en rentes especialidades que abarca normativo. Como especialista en
el mundo de la ciberseguridad. Si la seguridad de las TIC, unas más este tema, ¿qué escenario prevé
cogemos como dato los resulta- técnicas y otras más de manage- con la entrada en vigor de la
dos del último estudio Competencias ment, ¿qué perfiles demandan las nueva normativa en protección
Digitales en la Empresa Española, empresas actualmente? de datos y de infraestructuras
que recientemente ha publicado Hay demanda de perfiles más junior estratégicas?
ICEMD, los ataques cibernéticos para las partes relativas al área técni- Es una noticia bienvenida, en cuanto
sufridos en 2017 parecen ser facto- ca. En cambio, se busca cierto senio- a que se introducen unos niveles de
res determinantes. Y las empresas, rity para las áreas de gestión, donde, exigencia que harán elevar el grado
sin importar el sector o la enverga- sin olvidar todo el bagaje técnico, se de madurez de las organizaciones
dura, están tomando medidas para deben afrontar otra serie de retos en materia de ciberseguridad. Con el
adaptarse a estos nuevos desafíos de forma más horizontal. Respecto Reglamento Europeo de Protección
contratando a profesionales espe- a la primera, hay gran demanda de de Datos este hecho es evidente.
cializados. perfiles con conocimientos de hac- Las organizaciones están viendo la
Este programa capacita a toda king ético por parte de empresas de urgencia de adaptarse, comproban-
persona que quiera entender cómo consultoría y auditoría. Y en cuanto do que no vale una adaptación 'de
implantar la ciberseguridad en una a las áreas más relacionadas con papel', sino que de verdad tienen
organización, gestionando la opera- la gestión de la ciberseguridad, se que mejorar sus procesos y meca-
tiva diaria y sabiendo qué controles requieren perfiles para la adaptación nismos de seguridad.
técnicos se deben desarrollar. A la y gestión del Reglamento Europeo
vez, podrán conocer cómo relacio- de Protección de Datos, la implanta- Del entorno que depara un futuro
narse con las áreas de negocio y la ción de sistemas de gestión de segu- marcado por tendencias emergen-
alta dirección en este sentido. tes derivadas de la transformación
digital (Big Data, el Internet de
Diversas fuentes apuntan a que las Cosas, la inteligencia artificial,
actualmente hay un elevado défi- etc.), ¿cuál cree que es el mayor
cit de talento en ciberseguridad reto que se les presenta a las
en todo el mundo, que hacen falta empresas si miramos esas ten-
más profesionales para cubrir los dencias desde la perspectiva de la
retos englobados en esta área. seguridad TIC?
¿Cómo cree que debe abordarse El reto es que el negocio se recupere
este problema y de qué manera lo antes posible ante las potenciales
pueden contribuir las escuelas a contingencias que ocurran. Y deriva-
paliarlo, más allá, evidentemente, do de esto, surge la necesidad de
de la formación que proporcio- ser capaces de identificar y prevenir
nan? los ataques e intrusiones en fases
La solución es la capacitación de tempranas, sabiendo que los atacan-
profesionales competentes, que tes nos llevan varios pasos de venta-
entiendan la complejidad a la que ja y desconocemos sus vectores de
nos enfrentamos. Ahora bien, no ataque. Por tanto, hay un gran
basta con crear legiones de técnicos enganche entre ciberseguridad y
en esta materia. Faltan profesionales generación de inteligencia, donde
integrales que sepan entender el entran en juego cuestiones como el
reto de la ciberseguridad desde el Big Data y la inteligencia artificial.

red seguridad primer trimestre 2018 53


empresa
noticias
Panda Security y Everis se alían para ofrecer servicios
avanzados de ciberseguridad Toda la actualidad
de la seguridad TIC,
Panda Security ha firmado un acuer-
do de colaboración con everis
en nuestra web
Aeroespacial, Defensa y Seguridad
para ofrecer a sus clientes servicios
avanzados de ciberseguridad. De esta
forma, la alianza permitirá combinar la
tecnología inteligente de protección Para estar al día de toda las
novedades de las empresas del
en el puesto de trabajo de Panda
sector de la Seguridad TIC, visita
Security con la oferta de everis en nuestra web www.redseguridad.
ciberseguridad. com, o síguenos en las redes
Además, en el marco de este acuer- sociales Twitter y LinkedIn.
do, las empresas acaban de presentar analizar en tiempo real la información
la solución Integral Enterprise Defense, recabada directamente de los equi-
un nuevo servicio externo de monito- pos protegidos por Panda Adaptive
rización, gestión, tratamiento, análisis, Defense y, de esta manera, monito-
evaluación y asesoramiento en ciber- rizar de forma continua la situación Los mayores niveles
seguridad para los clientes que utilicen de la empresa y los trabajadores ante de fraude 'online'
Panda Adaptive Defense. Esta solu- potenciales ciberamenazas.
ción permitirá a los consumidores dis- En paralelo, pone a disposición
tienen lugar cuando
frutar de las ventajas de contar con el del cliente el equipo de expertos en menos se consume
apoyo de un equipo de ciberseguridad ciberseguridad de everis para apo-
altamente especializado sin necesidad yar y asesorar en aspectos como la Los niveles más elevados
de realizar una elevada inversión. Así, gestión de alertas de seguridad, el de fraude online tienen
Integral Enterprise Defense ofrece una cumplimiento normativo y el análisis lugar durante los días y las
combinación de servicios que permite de datos, entre otros. horas de menos actividad
consumista, como el día
de Navidad o el de Reyes,
Más de 850 grandes empresas han sido víctimas de cuando muchas perso-
ataques móviles en 2017 nas ya tienen sus compras
hechas, según un estudio
Más de 850 grandes compañías a un ataque Man-in-the-Middle en su global sobre fraude online en
han sufrido ataques a sus terminales red WiFi durante el pasado año. pagos con tarjeta de crédito
móviles, según el primer estudio de Igualmente, destaca que el 75 por de Stripe.
Check Point sobre el impacto de ciento de las organizaciones tiene Este documento, en el que
los ataques móviles en las empre- una media de 35 dispositivos a los la compañía ha analizado
sas. Concretamente, el cien por cien que se le ha hecho root o jailbreak transacciones de cientos
de las entidades participantes en la en su red. de miles de clientes en 25
investigación, procedentes de varios En definitiva, Check Point ha visto países, asegura, además,
continentes, han experimentado cómo los vectores de ataque en que el porcentaje de fraude
alguna amenaza móvil. estos terminales se han extendido sobre el tráfico total aumen-
Además, este documento mani- desde los ataques de malware cono- ta durante el verano y a
fiesta que cada compañía ha sufrido cido o de exploit de redes y sistemas finales de diciembre, pero
una media de 54 ataques de este operativos, hasta incluir ahora ame- no durante grandes días de
tipo de malware, así como que el 89 nazas de día cero, ataques por SMS rebajas y de compras como
por ciento de ellas se ha enfrentado y exploits Bluetooth. el Black Friday.
Asimismo, destaca que
las transacciones fraudulen-
La revista SEGURILATAM, protagonista de los tas corresponden a menudo
principales eventos de seguridad de Latinoamérica a pequeñas operaciones en
las que los estafadores se
La revista SEGURILATAM (de la edi- Latinoamericano de Seguridad ASIS inclinan por productos que
torial Borrmart) acudirá por tercer México 2018, a la Cumbre Gerencial no necesitan ser entregados
año consecutivo a los principales de la Asociación Latinoamericana de a domicilio y que pueden ser
eventos de seguridad que se cele- Seguridad (ALAS) en Miami, a la feria recogidos en lugares públi-
bren en América Latina. internacional E+S+S de Bogotá, a cos, de manera que tengan
De esta manera, la cabecera Intersec Buenos Aires, a Seguriexpo la posibilidad de conseguir-
estará presente en Expo Seguridad Ecuador 2018 y a eventos impul- los antes de que la transac-
México y en Infosecurity México, sados por diferentes entidades y ción sea invalidada.
además de acudir al Congreso asociaciones.

54 red seguridad primer trimestre 2018


empresa
noticias

Los cibercriminales utilizan 'exploits' conocidos y


tecnología de enjambre para realizar sus ataques Aumenta en España
el 'software'
Fortinet ha hecho públicos los resul- se cuantificaron 5.973 detecciones de
tados de su último Informe Global de exploits, 14.904 variantes de malware de minado no
Amenazas, el cual revela el elevado procedentes de 2.646 diferentes fami- autorizado de
número de botnets recurrentes y el lias y se detectaron 245 botnets. criptomonedas
incremento de malware automatiza- Asimismo, hasta la fecha de realiza-
do que se registró durante el tercer ción del estudio, Fortinet identificó Según han confirmado los
trimestre del año pasado. Y es que, 185 vulnerabilidades zero-day. laboratorios de Eset, en
según los expertos de la compañía, los El documento también constata que las últimas semanas se ha
cibercriminales están aprovechando una de cada cuatro empresas detectó registrado en España un
exploits antiguos que, al combinarlos malware móvil y que se produjo un incremento de las campa-
con métodos de ataque automatiza- aumento considerable del ransomware ñas que tienen como finali-
dos, amplifican su alcance y velocidad. Locky. Además, señala que las empre- dad el minado no autoriza-
Además, el estudio revela datos sas medianas registraron tasas más do de criptomonedas. Esto
interesantes al respecto. Por ejemplo, altas de infecciones por botnets y que se debe, por un lado, al
el 79 por ciento de las organizaciones se incrementaron las brechas en los aumento del valor de las
ha sufrido ataques de carácter severo entornos SCADA, con el peligro que criptodivisas que ha provo-
durante ese periodo. Precisamente, esto supone para el sector industrial. cado más interés en ellas;
y por otro, a la facilidad de
ponerla en práctica.
El gasto mundial en seguridad superará los 96.000 En palabras de Josep
millones de dólares este año, según Gartner Albors, responsable de inves-
tigación y concienciación de
Un ocho por ciento de crecimien- Eset España, "desde la pri-
to con respecto a 2017. Esas son mera vez que hablamos de
las previsiones de Gartner en gasto esta técnica a finales de sep-
mundial en seguridad para este año, tiembre, el número de webs
que se cuantifica en un volumen de que han ido incorporando
mercado de 96.300 millones de dóla- esta funcionalidad en su
res. Según confirma, las organizacio- código fuente no ha dejado
nes gastan más en seguridad como de crecer, y este aumento
resultado de regulaciones, cambio de se ha multiplicado conside-
mentalidad del comprador, conciencia de datos afectan a las organizaciones rablemente en las últimas
de las amenazas emergentes y la evo- en todo el mundo", comenta. semanas coincidiendo con
lución hacia estrategia de negocios. Por otro lado, Gartner confirma que, el importante aumento en el
En opinión de Ruggero Contu, en 2018, el gasto en servicios de valor del bitcoin y de otras
director de investigación de la organi- outsourcing de seguridad alcanzará criptodivisas", explica.
zación, "una gran parte de los gastos los 18.500 millones de dólares, un 11 Además, se trata de una
de seguridad viene impulsada por la por ciento más que en 2017, lo que tendencia que, según el
reacción de una organización hacia situará a este segmento en el segun- directivo, no hay previsio-
las brechas de seguridad, ya que los do gasto de seguridad más grande nes de que se vaya a frenar
ataques cibernéticos y las violaciones después del de consultoría. durante este año.

Casi cuatro de cada diez empresas no saben dónde guardan sus datos
El 37 por ciento de las empresas en Aparte de esto, la encuesta revela que ser ellos mismos los que reparen
España admite que no están seguras también que siete de cada diez empre- los daños. Al respecto, el documento
de dónde están almacenados parte sas españolas que utilizan Software as confirma que el impacto de un incidente
de sus datos, si en los servidores de a Service y a proveedores de servicios de seguridad en la nube puede llegar
la empresa o en sus proveedores de en la nube no cuentan con un plan a costar 1,5 millones de euros en las
la nube, según un nuevo estudio de claro para lidiar con incidentes de segu- grandes empresas, frente a los 130.000
Kaspersky Lab. Esto, a juicio de la ridad que puedan afectar a sus socios euros en las pequeñas y medianas.
compañía, hace que la protección y la y clientes. Es más, una cuarta parte Por todo ello, el fabricante reco-
responsabilidad sobre la información admite que ni siquiera llega a verificar mienda utilizar técnicas de aprendizaje
sea algo difícil, poniendo en peligro su las acreditaciones de cumplimiento de automático y análisis del comporta-
integridad y preparando el camino para sus proveedores de servicio; de tal miento para detectar posibles brechas
potenciales peligros y costes elevados. forma que si algo sale mal, tendrán de seguridad.

56 red seguridad primer trimestre 2018


empresa noticias

Symantec ayuda a sus clientes a aprovechar


sus soluciones en Defenders Academy
Tx.: Juanjo Sanz y David Rivas se centra-
Ft.: RED SEGURIDAD ron en la solución para la
protección del endpoint
Symantec Iberia celebró, el 30 y 31 de SEP 14. Con ella, "el pro-
enero en Kinépolis (Madrid), Defenders pio agente es capaz de
Academy, un encuentro donde diver- cubrir toda la seguridad
sos expertos de la compañía mostra- en el puesto de trabajo,
ron a sus clientes cómo aprovechar al desde la prevención hasta
máximo las soluciones de la organiza- la detección, la respuesta
ción a través de prácticas, recomenda- y la adaptación", según
ciones, innovaciones y casos de uso. explicaron. En definitiva, "con esta la protección de la información. Así,
El evento, en el que se dieron cita solución se puede tener inteligencia en sus intervenciones, los profesio-
cientos de invitados, comenzó con en el puesto de trabajo", complemen- nales mostraron las mejores prácticas
una breve introducción en la que taron. de configuración Symantec DLP y
Alberto Cita, Sales Engineer Manager una introducción al Information Centre
Spain & Portugal de la firma, mostró Amenazas Tagging.
una visión general del porfolio de Adicionalmente, a lo largo del primer Para concluir Defenders Academy,
Symantec. En este sentido, destacó día del evento, los ponentes trataron se habló de roadmaps y se explicó
la innovación que lleva a cabo actual- el servicio de feeds de inteligencia de cómo los elementos de las soluciones
mente la entidad, que fue categoriza- amenazas de la compañía (DeepSight), de la compañía pueden configurarse
da como "la empresa más innovadora las mejores prácticas Secure Web para proteger y controlar usuarios y
en ciberseguridad". Gateway y los mecanismos de segu- datos. En concreto, esto se realizó
Posteriormente, se trataron los pro- ridad en ProxySG, entre otros temas. mediante unas sesiones que trataron
ductos corporativos de Symantec. En Por su parte, en la segunda jor- la proyección integral de aplicaciones
una primera exposición, Agustín Solis nada, uno de los ejes centrales fue SaaS (Software as a Service).

El fraude del CEO alcanzará los 9.000 millones de Google crea la filial
dólares estafados en 2018 de ciberseguridad
Chronicle
Los ataques de Business Email
Compromise (BEC), también conoci- Alphabet, matriz de Google,
dos como fraude del CEO, crecerán anunció el pasado enero la
hasta alcanzar los 9.000 millones de creación de su nueva filial,
dólares estafados en 2018, según Chronicle, para la presta-
Trend Micro. ción de servicios de ciber-
Para llegar a esta conclusión, la seguridad. Concretamente,
compañía ha examinado estos inci- Chronicle lanzará su oferta
dentes durante nueve meses (de tanto para clientes domés-
enero a septiembre de 2017) para ticos como para empresas,
estudiar sus tendencias actuales y Además, esta organización ha aprovechando los conoci-
emergentes, averiguar las herramien- analizado cómo los agentes de este mientos en machine learning
tas y técnicas que utilizan los cibercri- tipo de ataques compran sus herra- de la empresa tecnológica
minales y analizar los datos con el fin mientas, especialmente los sitios con sus capacidades infor-
de aportar una panorámica general. web de phishing que utilizaron en máticas y de almacenamien-
Además, se han reconocido los archi- ellos. En este sentido, descubrieron to de datos.
vos adjuntos maliciosos de ataques que uno de los métodos más comu- Stephen Gillett, ex directivo
BEC relacionados con phishing. nes utilizados por los actores BEC de Symantec, ha sido nom-
Asimismo, la investigación de Trend conlleva el uso de kits de phishing brado CEO de la nueva firma
Micro sobre estos ataques relacio- (scampages) como la principal fuente de ciberseguridad.
nados con malware ha descubierto de ataques. La iniciativa de seguridad
Ardamax, un software de 50 dólares De esta manera, Trend Micro ha cibernética refleja el deseo
que ofrece a un agente BEC las fun- encontrado huellas de este individuo de Alphabet de expandirse
ciones básicas que necesitaría para en múltiples sites de phishing, lo que más allá de su negocio cen-
operar; y LokiBot, una familia de ha proporcionado pistas sobre cuán- tral de publicidad en línea en
malware que se usa cada vez más en tos agentes BEC recurren a múltiples Google.
los fraudes del CEO. sitios para realizar sus ataques.

primer trimestre 2018 red seguridad 57


empresa
noticias

Las preocupaciones por

NOMBRAMIENTOS la privacidad de datos


afecta a las ventas de dos
tercios de las empresas
Xabier Mitxelena
Director general de Accenture Security Las preocupaciones relacionadas con
la privacidad de datos están causan-
Tras ser fundador y consejero delegado del Grupo S21,
Xabier Mitxelena ha sido fichado por Accenture para dirigir do importantes retrasos en el ciclo
su unidad especializada en soluciones de seguridad a de ventas para el 65 por ciento de
través de estrategias, modelos y servicios de gestión del las organizaciones de todo el mundo.
riesgo, identidad digital, ciberseguridad, seguridad de apli- Esta es una de las principales con-
caciones y en la nube y servicios gestionados. El directivo clusiones del nuevo estudio Cisco
se hará cargo de un equipo de casi cien profesionales ubicados en España,
Portugal e Israel, así como de la coordinación de los diferentes centros de Privacy Maturity Benchmark 2018, en
servicio existentes en todas estas regiones. el que se ha consultado a cerca de
3.000 profesionales de seguridad de
25 países sobre este aspecto.
Juan Santamaría En concreto, las compañías del sec-
CEO de Panda Security tor público y de atención sanitaria acu-
Después de un año en la gestión directa de la compañía mularon los mayores retrasos en el
como director general, el consejo de administración de ciclo de ventas: 19 y 10,2 semanas,
Panda Security ha nombrado a Juan Santamaría como respectivamente, frente a otros secto-
CEO de la empresa. De esta forma, este profesional, res. En cambio, las compañías de los
licenciado en Ciencias Económicas y Empresariales por la sectores utilities, farmacéutico y fabri-
Universidad Complutense de Madrid y con un Executive
cación consiguieron los menores retra-
MBA por INESE, pasa a impulsar y liderar el negocio glo-
bal de la organización, con el fin de consolidar la presencia de la compañía en el sos medios: tres semanas o menos.
mercado de soluciones avanzadas de ciberseguridad cloud. Por otro lado, en este documento
también se desvela cómo las organi-
zaciones con procesos de privacidad
Andreu Bravo maduros sufren menos pérdidas eco-
Socio en el equipo de Riesgos Tecnológicos y nómicas derivadas de los ciberinci-
Seguridad de Deloitte dentes. De hecho, el 74 por ciento
Deloitte ha anunciado la incorporación de Andreu Bravo como de las organizaciones con procesos
nuevo socio dentro del equipo de Riesgos Tecnológicos y inmaduros tuvieron pérdidas superio-
Seguridad de la firma; y en concreto, para la línea de servicio de res a los 500.000 dólares el pasado
ciberseguridad. Bravo, que cuenta con más de treinta años de año debido a las brechas de seguri-
experiencia en el sector, desempeñó el cargo de CISO global
dad de datos, frente al 39 por ciento
de Gas Natural Fenosa desde 2007 hasta la actualidad. Con
este cambio, se une a un equipo de 800 profesionales especialistas en riesgos de que cuenta con procesos maduros.
TI, de los cuales 361 están dedicados exclusivamente a la consultoría y a opera- En total, el 53 por ciento de los
ciones de ciberseguridad. consultados afirmaron haber sufrido
pérdidas superiores a los 500.000
dólares como consecuencia de cibe-
Javier García Díaz Ilijana Vavan rataques en los últimos doce meses.
Director general de la Directora general de Kaspersky
Asociación Española de Lab en Europa
Normalización (UNE)
Ilijana Vavan ha sido
Licenciado en nombrada nueva
Ciencias Químicas, directora general de
con un máster Kaspersky Lab en
en Gestión de la Europa, asumiendo
Innovación y más la responsabilidad de
de veinte años de la estrategia comer-
experiencia en el cial regional y del cre-
trabajo de norma- cimiento de las ven-
lización, García tas en el continente.
Díaz ha sido nom- De esta manera, esta profesional diri-
brado director general de la Asociación girá al equipo europeo encargado de
Española de Normalización (UNE). la implantación y del desarrollo de la
Este profesional compaginará este estrategia de la compañía, así como de
cargo con otros puestos de respon- continuar impulsando el crecimiento del
sabilidad en organismos de normali- negocio B2C y de ciberseguridad digital
zación de alcance europeo y mundial. y empresarial.

58 red seguridad primer trimestre 2018


Incremente sus oportunidades de
negocio con LA SOLUCIÓN MÁS
COMPLETA en identidad digital

nebulaSUITE es la solución todo en uno que proporciona


a bancos, instituciones financieras y empresas
industriales, de servicios y de retail la infraestructura
Incremente sus transacciones con el reconocimiento completa de identidad digital para la realización de
legal de su firma digital en cualquier país de la transacciones y operaciones con reconocimiento legal:
Unión Europea.
• Emisión y gestión de certificados digitales
Identifique con plenas garantías a usuarios y cualificados para usuarios y dispositivos electrónicos
dispositivos electrónicos mediante certificados
digitales cualificados para evitar fraudes. • Firmas digitales cualificadas para el cumplimiento
de eIDAS con workflows de firma complejos y
Facilite la firma de documentos online a sus clientes personalizados
para abrir una nueva cuenta, solicitar una tarjeta de
crédito, firmar una póliza o formalizar cualquier otro • Autenticación robusta para clientes, empleados y
tipo de operación, estén donde estén. proveedores de servicios

MO :
E U NA DE h
Disponga del ciclo completo de identidad digital en movilidad. IT
SOLIC ntegris.tec
vi
En cualquier lugar, en cualquier momento. info @

Barcelona | Madrid | Londres | San Francisco vintegris.tech | @vintegrisTECH


empresa
noticias

El exceso de confianza de

BITS los consumidores beneficia


a los delincuentes
McAfee completa la adquisición de Skyhigh
Networks
McAfee ha confirmado que ha completado la adquisición de Skyhigh Networks,
pasando a formar parte de la Unidad de Negocio de Seguridad Cloud de la organi�
zación. Esta firma fue pionera en el segmento de mercado de seguridad de acceso a
la nube (CASB), una de las áreas que ha experimentado un mayor crecimiento en los
últimos cinco años en lo que a inversiones en seguridad de la información se refiere.
Con esta tecnología, según la empresa, McAfee puede ahora proporcionar un
oferta en la nube que aborda los tres principales desafíos que presenta la admi�
nistración de entornos multicloud: visibilidad en redes, cargas de trabajo y datos, Aunque los consumidores creen estar
protección avanzada contra amenazas y protección de datos generalizada. Así, seguros en la Red, lo cierto es que,
según Chris Young, director ejecutivo de McAfee, "con dos líderes de la industria según revela el informe Norton Cyber
unidos bajo el paraguas de una misma compañía, convertiremos la ciberseguridad
en un habilitador del poder transformador de nuestra era digital".
Security Insights 2017, los cibercrimi�
�����������
nales robaron durante el pasado año
146.300 millones de euros a 978 millo�
Trend Micro compra Immunio para extender la nes de consumidores en 20 países.
seguridad cloud híbrida al ciclo de vida DevOps Concretamente, en España, 16,2
millones de españoles fueron víctimas
Trend Micro ha adquirido la compañía canadiense Immunio, especializada en el de la ciberdelincuencia en 2017, lo
ámbito de la seguridad de aplicaciones web en tiempo real. De esta forma, la
que representa el 49 por ciento de la
segunda proporcionará a la primera detección temprana y protección contra vul�
nerabilidades en las aplicaciones y escaneado de imágenes de contenedores, lo población adulta online. Ademas, el
que le permitirá la publicación y protección de imágenes de contenedores seguros. estudio confirma que los españoles
Estas nuevas capacidades de Trend Micro encajan y se ajustan perfectamente han perdido más de 1.750 millones de
en el ciclo de vida de DevOps. En opinión de Bill McGee, vicepresidente senior y euros (65,53 por víctima) en los últimos
director general de Hybrid Cloud Security en Trend Micro, "la seguridad de aplica�
doce meses a causa del cibercrimen.
ción en tiempo de ejecución de Immunio permitirá a nuestros clientes aumentar
la protección contra vulnerabilidades de software dentro de las aplicaciones que
están desarrollando”.
El gasto en
transformación
Thales se hace con Gemalto por 4.760 millones
digital crecerá hasta
Tras presentar Atos a primeros de diciembre una OPA por valor de 4.300 millones (46
euros por título) por la empresa de ciberseguridad y pagos digitales Gemalto y ser
un 18% en 2021
rechazada días después por su consejo de administración, la compañía gala aeroes�
pacial y de defensa Thales decidió mover ficha y días después anunció una oferta de IDC ha dado a conocer sus
compra por un valor de 4.760 millones de euros (51 euros por acción) que, esta vez cinco previsiones tecnológicas
sí, fue aprobada por sus dirigentes. para 2018. El primera es que el
El presidente de Thales, Patrice Caine, indicó que, con esta compra, la empresa gasto en transformación digital
quiere "crear un líder mundial del mercado en crecimiento rápido de la seguridad
en Europa crecerá hasta un 18
digital", subrayando que ambas empresas comparten su visión de la transformación
digital y considerando la operación una "etapa clave" de la estrategia de su grupo. por ciento en 2021. La segunda
Asimismo, la compañía negó que vaya a despedir a trabajadores de Gemalto dice que el gasto anual de las
y señaló que dispone de una línea de crédito de 4.000 millones de euros para empresas europeas sobrepa�
financiar la transacción, la cual espera finalizar en la segunda mitad de este año. sará los 100.000 millones de
dólares en 2021. La tercera
prevé que el 45 por ciento de
Atos concluye el proceso de compra de Siemens las empresas que adopten IoT
Convergence Creators en Europa occidental aplica�
rán IA y Analytics en 2020. La
El 2 de octubre, Atos anunció su intención de adquirir la filial de Siemens,
Convergence Creators Holding GmbH (CVC), proveedor de soluciones de trans� cuarta confirma que el 50 por
formación digital. Ahora, la compañía ha confirmado que ha concluido el proceso ciento de las grandes empre�
de compra. En concreto, CVC cuenta con 800 empleados y ofrece soluciones en sas europeas habrán puesto
los campos de redes de comunicación, servicio y gestión de clientes, seguridad en marcha una estrategia de
pública, información, entretenimiento multimedia y tecnología espacial. Realidad Aumentada y Virtual
Según Atos, esta adquisición acelerará su negocio, aportando activos específi�
en 2020. Y la quinta asegura
cos de IP de software y hardware para ampliar sus soluciones de ciberseguridad
y comunicación. Además, estas ofertas, combinadas, fortalecerán sus creden� que el 50 por ciento de las
ciales y su capacidad para suministrar los últimos sistemas de misión crítica y grandes compañías europeas
redes seguras, al tiempo que incrementará su presencia en el mercado de las probarán blockchain a escala
telecomunicaciones. departamental.

60 red seguridad primer trimestre 2018


Inscripción Registro D.S.E. Nº2979

900 77 77 80

www.techcosecurity.com
La tecnología existe,
Techco_Security Techco Security la
linkedin-techco-security-españa convierte en servicio
empresa
noticias

Las vulnerabilidades en Internet de


la Cosas aumentarán en 2018
Los ataques al Internet de las Cosas, el aumento del ransomware, la importancia de
la inteligencia artificial y los riesgos en la nube serán las principales tendencias en
ciberseguridad en 2018. Todo ello, sin olvidar el Reglamento General de Protección de
Datos, que será de obligado cumplimiento a partir de mayo de este año.

tadas de muchos de los dispositivos


de IoT se solventarán utilizando códi-
go dirigido, lo que permitirá el uso
de nuevas técnicas de distribución
masiva con servicios de spam y
minería de criptomonedas".

'Ransomware'
Forcepoint apunta por su parte que
los ataques de ransomware con-
tinuarán al alza en 2018 tras un
pasado año en el que el mundo fue
testigo de WannaCry, NotPetya o
BadRabbit, los cuales pusieron de
manifiesto su capacidad para blo-
quear redes en su totalidad.
Por tanto, el panorama no cambia-
rá a mejor durante el presente curso
Tx: Juanjo Sanz profesionales argumentan que "los respecto a este malware. Es por ello
Ft: Thinkstock fabricantes tendrán que abordar los que "el ransomware seguirá cose-
aspectos de seguridad relacionados chando titulares y el anhelo de dinero
con el IoT desde la fase de concep- fácil y rápido, ya que los beneficios
Como cada año, los proveedores tualización y diseño". Por el contra- conseguidos por la industria ciber-
de ciberseguridad dan a conocer rio –avisa esta compañía–, aquellas criminal con sus extorsiones virtuales
sus predicciones o tendencias para organizaciones que no lleven a cabo en 2017 auguran un 2018 donde
el nuevo ejercicio en relación con la esta medida se arriesgan a contraer este tipo de ataque, cada vez más
seguridad de la información. En base problemas comerciales y legales. sofisticado y dirigido, seguirá coti-
a ello, parece que el Internet de las Por su parte, y en esta línea, desde zando al alza", declaran los expertos
Cosas (IoT, por sus siglas en inglés) Trend Micro afirman que "la mayor de G Data.
se sitúa como el concepto al que conectividad y superficie de ataque Adicionalmente, desde Trend
prestar más atención, puesto que presentan nuevas oportunidades para Micro puntualizan que durante este
será uno de los principales objetivos que los ciberdelincuentes aprovechen año "se producirá un aumento de los
de los cibercriminales. los problemas conocidos para pene- ataques de ransomware dirigidos, en
El crecimiento de esta tendencia, trar en una red corporativa", augu- los cuales los criminales persiguen a
en la que todos los aparatos se rando también un incremento de las una sola organización para interrum-
conectan a la Red, especialmente en vulnerabilidades en el IoT. pir sus operaciones y forzar un pago
el entorno del hogar y de la empresa, Esta superficie de ataque está de rescate mucho más cuantioso".
propiciará que "los riesgos de segu- directamente relacionada con "los "Aún existen muchas entidades
ridad en sus comunicaciones y sis- miles de dispositivos nuevos que dispuestas a pagar grandes sumas
temas operativos crezcan al mismo van a estar conectados a Internet de dinero por recuperar sus sistemas
tiempo", según señalan desde G todos los días y que podrán ser comprometidos en lugar de contar
Data. Pero esto no solamente afecta- utilizados en ataques de denegación con políticas de ciberseguridad que
rá a viviendas u organizaciones, sino de servicio para proporcionar acceso las mantengan protegidas ante cual-
que también habrá otros entornos o a información personal o para ser quier amenaza", lamentan en ese
aparatos, como los drones, las infra- utilizados en movimientos laterales sentido desde Eset.
estucturas críticas o los vehículos, de intrusión", según afirman desde Pero no solamente las grandes
que podrán verse implicados. Así S21Sec. Además, sus profesionales compañías serán víctimas del ran-
lo destacan desde All4sec, cuyos añaden que "las capacidades limi- somware. "Es más probable que

62 red seguridad primer trimestre 2018


empresa noticias

estos ataques de 'ransomware importante en 2018. En concreto, en el que los cibercriminales apro-
empresarial", como lo denominan según All4sec, "los clientes necesita- vecharán el Mundial de Fútbol o los
desde All4sec, "se extiendan a las rán invertir en conocimientos y herra- procesos electorales para intentar
pequeñas y medianas empresas, mientas para administrar los servicios manipularlos.
que a menudo no están preparadas basados en la nube de manera segu- Todo ello hace presagiar que el
para afrontarlos, y se conviertan en ra, ya que una mala configuración volumen de malware aumentará res-
una tendencia importante entre los expondrá los activos de los clientes a pecto al pasado año, periodo que se
delitos electrónicos en 2018", según riesgos aún no cuantificados". cerró con cerca de diez millones de
afirman en la compañía española. nuevos tipos de programas malicio-
Ciberguerra sos para Windows y con más de 3,5
Criptomonedas Otras tendencias en este año serán la millones para Android.
Todo esto provocará que las cripto- ciberguerra y el aprovechamiento de Sin embargo, en palabras de
monedas, el elemento de intercam- las tecnologías en crecimiento, como Stephen Cobb, investigador senior
bio más cotidiano para efectuar los blockchain y el machine learning. de Eset, "parece que en los últimos
rescates de datos cifrados por ran- Además, desde S21Sec destacan años las empresas se toman más en
somware, se sitúen también en el el aumento de los ataques dirigidos serio la ciberseguridad. Pero las más
punto de mira de los cibercriminales. a personas de alto perfil (spear phis- pequeñas continúan siendo un obje-
Así lo destacan desde G Data, dando hing) y la conversión en hacktivistas tivo fácil para los criminales y, en
a conocer que "la minería de estas de algunos grupos activistas. muchas ocasiones, son utilizadas
divisas electrónicas se popularizarán El incremento del malware móvil como puerta de entrada a firmas
en los próximos meses utilizando los también será protagonista en un año más grandes".
recursos informáticos de usuarios
desapercibidos y el robo de carteras
electrónicas".
En este sentido, según menciona El Reglamento General de Protección de Datos,
Tim Berghoff, experto en cibersegu- marcado en rojo por las organizaciones en 2018
ridad de esta firma, "el bitcoin y otras
criptomonedas viven un momento de Si hay una fecha marcada en rojo en
crecimiento explosivo y diariamente los calendarios de las organizacio-
nes en materia de ciberseguridad
superan sus propias cotizaciones. es la del 25 de mayo de 2018. Ese
En consecuencia, cada vez son más es el día en el que el Reglamento
los usuarios dispuestos a invertir en General de Protección de Datos
mayor o menor medida en estas (RGPD) de la Unión Europea
monedas electrónicas". Es por ello comienza a ser de obligado cum-
plimiento. Sin embargo, muchas
que "los cibercriminales ya lo han
compañías todavía no están pre-
señalado como mercado potencial paradas y el tiempo se les agota.
que explotarán definitivamente en Así lo destacan desde Forcepoint, hacer frente las empresas que no
2018", sostiene el profesional. cuyas previsiones resaltan incluso protejan correctamente los datos.
que "habrá muchas empresas que Además, este reglamento tendrá
Inteligencia artificial y 'cloud' vivirán momentos de pánico" a la consecuencias en cuanto a la gestión
hora de cumplir el RGPD. de los ataques de ransomware. Así,
Otro elemento a tener en cuenta En este sentido, para Trend Micro, desde G Data se espera que con la
es la inteligencia artificial, uno de la falta generalizada de conocimiento obligación de cumplir esta normativa
los focos adicionales en los que los y la poca aceptación de la cúpula "las solicitudes de rescate por parte
cibercriminales pondrán su punto de directiva siguen siendo preocupan- de los estafadores se multipliquen, ya
mira en este ejercicio. Para Derek tes, a pesar de las multas que están que las entidades no tienen ningún
a la vista por incumplimiento. Y es interés en que sus datos sean filtra-
Manky, Global Security Strategist en
que, según estima Gartner, menos dos o que salgan a la luz sus brechas
Fortinet, "los cibercriminales están de la mitad de las empresas llegarán de seguridad".
aprovechando la automatización y a cumplir en su totalidad este regla- En definitiva, y según señalan
la inteligencia artificial a un ritmo y mento antes de la fecha límite. desde All4sec, "con la nueva regula-
con una escala que afecta a toda Por otro lado, uno de los elemen- ción europea de protección de datos,
la superficie de ataque. De esta tos más destacados de esta norma- las organizaciones deberán construir
tiva es el incremento de la preocupa- junto con una nueva figura organiza-
manera, un enfoque de seguridad tiva –el Data Protection Officer– un
ción sobre la privacidad en Internet.
basado en la interoperabilidad de los Concretamente, en un informe de nuevo marco de gestión basado en
distintos componentes de protección Eset sobre tendencias de ciberseguri- el control de los datos, en el que la
permitirá aprovechar el poder de la dad en 2018, el experto en seguridad ciberseguridad y la privacidad han
automatización y de la segmentación Tony Anscombe remarca la necesi- de ir de la mano". Además, desta-
dad de informar a los usuarios sobre can que uno de los segmentos más
estratégica, que son fundamentales
los datos personales recogidos por sensibles en este aspecto es el de las
para combatir los ataques altamente pequeñas y medianas empresas, las
las organizaciones, los riesgos que el
inteligentes que depara el futuro". uso de los dispositivos relacionados cuales "deberán darse cuenta de que
Por otro lado, la nube, que ha expe- con el IoT puede implicar en ello y son tan vulnerables o más que cual-
rimentado un gran crecimiento en los las sanciones a las que tendrán que quier gran corporación", concluyen.
últimos años, representa otro riesgo

red seguridad primer trimestre 2018 63


seguridad IoT
monográfico

Seguridad por defecto y diseño,


primer paso en la protección IoT
CON MÁS DE 20.000
MILLONES DE DISPOSITIVOS
RELACIONADOS CON
EL INTERNET DE LAS
COSAS PREVISTOS PARA
2020, SEGÚN GARTNER,
CADA VEZ SON MÁS LAS
EMPRESAS QUE MUESTRAN
SU PREOCUPACIÓN
POR ESTABLECER UNA
ESTRATEGIA ADECUADA
DE PROTECCIÓN. SIN
EMBARGO, TODAVÍA QUEDA
CAMINO POR RECORRER.

Tx: David Marchal partner manager consumer and mobi- en 2020, habrá unos 20.800 millones
Ft: Thinkstock. le de McAfee España, según datos de de dispositivos conectados, con una
la compañía, "en torno a 2,5 millones tasa de crecimiento anual compuesto
de dispositivos IoT fueron infectados del 34 por ciento.
El 21 de octubre de 2016 se produjo por este malware". "Estos ataques En este sentido, se pronuncia Miguel
en Estados Unidos el mayor ataque ponen de manifiesto la facilidad con Hormigo, director de la Delegación
de denegación de servicio (DDoS) de la que los cibercriminales pueden vul- Sur de GMV Secure eSolutions: "El
la historia, que forzó la desconexión nerar los sistemas de defensa de las número de dispositivos conectados a
de más de un centenar de sitios web compañías, comprometer su privaci- la Red ha crecido exponencialmente
durante varias horas. Sin embargo, dad y sustraer sus datos". año tras año junto con su uso, carac-
este "ciberincidente" fue distinto a Y es que, según confirma Josep terísticas y funciones, lo que hace
los habituales, que suelen ser lanza- Albors, responsable de conciencia- que las vulnerabilidades aumenten y
dos desde ordenadores o servidores. ción e investigación de Eset España, el riesgo de explotar las amenazas se
En esta ocasión, fue generado por se está produciendo "un aumento incremente sustancialmente".
cámaras IP, routers domésticos, gra- en la utilización de estos dispositivos Ahora bien, este tipo de dispositi-
badoras digitales de vídeo y otros dis- como integrantes de una botnet, no vos tienen una particularidad, señala
positivos inteligentes, todos los cua- solo para lanzar ataques de denega- Hormigo: "El entorno IoT es total-
les fueron infectados por el malware ción de servicio, sino también, cada mente distinto al que estamos acos-
Mirai y causaron graves problemas. vez más, para realizar minado no tumbrados habitualmente, por lo que
Fue, por tanto, el primer ataque autorizado de criptodivisas". hay que hacer frente a un incremento
serio a dispositivos relacionados con A todo ello contribuye el auge actual aún mayor del riesgo; es decir, nos
el Internet de las Cosas (IoT). En pala- de los aparatos IoT, hasta el punto de enfrentamos a lo desconocido, a ata-
bras de Francisco Sancho, product que la consultora Gartner estima que, ques no habituales, a un número muy

64 red seguridad primer trimestre 2018


Control y visibilidad
de tus datos personales.
Control y visibilidad

Descubre y audita

Monitoriza y detecta

Simplifica la gestión

Simplifica el cumplimiento del GDPR


Con la entrada en vigor del GDPR (General Data Protection Regulation), aumentan las exigencias para empresas que
manejan datos personales de consumidores europeos. Deberán, no solo proteger su privacidad, sino también controlar cómo
se procesan, almacenan y utilizan sus datos. Panda Adaptive Defense y su módulo adicional Data Control, te ayudarán en
el cumplimiento del GDPR.

Descubre y audita Monitoriza y detecta Simplifica la gestión Control de datos

Identifica a los usuarios, Implementa medidas de Su activación es inmediata Tu empresa tendrá un control
equipos o servidores con acceso y operación sobre PIl y se gestiona directamente exhaustivo de la PII ubicada
acceso a Información de con la ayuda de los informes desde la misma plataforma en sus equipos.
Identificación Personal (PII) y las alertas en tiempo real. cloud.
de tu empresa.

Contacta con tu distribuidor habitual o llamando al

900 90 70 80
pandasecurity.com/business/
seguridad IoT
monográfico
reportaje

grande de objetivos y a una falta de Forum: "La media de fabricantes se Cosas, el cual, a su vez, se traduce
estandarización debido a la evolución inclina hacia los adjetivos 'rápido', en una serie de inconvenientes para
de la tecnología". 'simple', 'barato' y 'funcional', frente los usuarios. El primero de ellos es la
a 'incluir seguridad', a la hora de pro- falta de privacidad, tal y como men-
¿Seguridad por defecto? ducir productos y servicios. La seguri- ciona Marcos Gómez, subdirector
Todo ello se debe a un problema dad es un tema secundario, e incluso de Servicios de Ciberseguridad del
inherente a la mayor parte de esta en aspectos o áreas TI en las que ya Instituto Nacional de Ciberseguridad
clase de dispositivos y que citan no se cuestiona, la entrada de IoT en (Incibe): "No debemos olvidar que
todos los expertos consultados, el esos mismos espacios produce un muchos de estos dispositivos se
cual resume Javier Candau, jefe del retroceso en avances conseguidos en conectan a Internet y dejan datos que
Departamento de Ciberseguridad del esa materia", manifiesta. pueden ser sensibles sobre nosotros
Centro Criptológico Nacional (CCN): Desde el punto de vista de los desa- o nuestro entorno, por lo que los
"La mayoría de los dispositivos IoT rrolladores de soluciones de seguri- riesgos en privacidad son importan-
no se diseñan ni construyen teniendo dad, la opinión es similar. "Los fabri- tes si no están bien protegidos o
no se toman las medidas adecua-
das". Sin embargo, esto no se tiene
Los expertos prevén que la inversión muy en cuenta, porque, según añade
este profesional, "es frecuente el uso
de las empresas en seguridad IoT de contraseñas débiles o fijadas por
defecto, la transmisión de datos sin
en todo el mundo rondará los 550 cifrar, la protección insuficiente tanto
del sistema como de los datos que se
millones de dólares en 2018 manejan, etc.".
Esta cuestión también es impor-
tante para Candau, del CCN. "Las
en cuenta la seguridad propia y la de cantes siguen sin aplicar en su gran preocupaciones más obvias relacio-
otros, sino que son desarrollados en mayoría políticas de seguridad efecti- nadas con el IoT tienen que ver con
pro de la funcionalidad, su facilidad vas. El número de dispositivos vulnera- la privacidad. La recolección masiva
de uso y su rápido lanzamiento bles no para de crecer, al tiempo que de nuestros datos y metadatos puede
al mercado. Estos equipos son se descubren nuevas vulnerabilidades, que sea lo mismo que instalar cáma-
generalmente baratos, útiles y, si es y eso nos lleva a tener que plantearnos ras de vigilancia, pero es una forma de
necesario, sencillos de configurar, lo un panorama bastante preocupante", vigilancia digital, incluso más peligrosa
que suele llevar aparejado un coste opina Albors, de Eset España. para nuestra intimidad y libertad que la
para la seguridad", afirma Candau. A tenor de lo manifestado, no resul- mera observación visual", alerta.
Así también se expresa Francisco ta extraño calificar a este como el Ligado a este aspecto, también
Lázaro, director del Centro de principal problema en términos de se está produciendo otro problema
Estudios de Movilidad e IoT del ISMS seguridad que tiene el Internet de las que dificulta la demanda de segu-

Buenas prácticas en seguridad IoT


Según explica el libro blanco sobre ciberseguridad en IoT, podría estar en
publicado por Incibe y Huawei, es preciso tratar cada sec- riesgo la vida de
tor IoT con sus necesidades más importantes: una persona si
- Industria y energía: Hay que abordar la seguridad un pirata infor-
informática de los sistemas industriales de control y redes mático lograse
eléctricas inteligentes, así como la seguridad del servicio controlar el des-
de cómputo inteligente (ICS) y el control de supervisión fibrilador ina-
y la adquisición de datos (SCADA). Y es que un ataque lámbrico que se
dirigido a un sistema industrial de control puede ocasionar encuentra den-
la interrupción de todo el sistema, lo que podría detener la tro del cuerpo
producción y dar origen a un corte del suministro. de un paciente.
- Movilidad: Es fundamental proteger los vehículos inte- - Ciudades inteligentes y transporte: Es conveniente
ligentes, así como impulsar la seguridad de los vehículos abordar la transmisión y almacenamiento seguros de la
aéreos no tripulados y de los sistemas de comunicación información recopilada por los sensores. Si un sistema de
satelital. Los ataques pueden producir graves accidentes control usado en el transporte ferroviario, por ejemplo, se
de tránsito y poner en peligro la vida de las personas. ve comprometido, puede producirse desde una planifica-
- Cuidado de la salud: Aquí es importante la protección de ción inadecuada de horarios hasta un descarrilamiento.
dispositivos médicos conectados, el cifrado para investigación - Finanzas: Hay que mejorar la protección de pagos móviles
médica y farmacéutica y el almacenamiento seguro y omni- contra la falsificación. Las personas y las empresas inevitable-
presente de los datos médicos. Hay situaciones en las que mente experimentarán daños materiales en caso de fraude.

66 red seguridad primer trimestre 2018


seguridad IoT monográfico

reportaje

ridad en el entorno IoT. Se trata de


la concienciación, tal como expone
Hormigo, de GMV: "Desde el punto
de vista doméstico, es necesario
que el usuario se conciencie de que
los dispositivos que se utilizan habi-
tualmente son igualmente accesibles
que inseguros". Y desde el ámbito de
la industria, continúa, aunque existe
un grado de concienciación muy
superior, "hay que incidir en que el
equipamiento IoT no se utiliza habi-
tualmente como elemento final, sino
como intermedio que permite acce-
der o actuar sobre un equipamiento
que en el pasado estaba aislado o
accesible en una red aislada".
De la misma opinión es Sancho, de
McAfee España, quien considera que información confidencial", puntualiza Los fabricantes de productos
conectados deben asimilar
"es importante que tanto organiza- Albors, de Eset España.
que la seguridad es parte
ciones como individuos aumenten su En concreto, el sector trabaja fundamental de su negocio.
concienciación y participación respec- principalmente en tres líneas de
to a estos problemas de seguridad". actuación. La primera consiste en
Afortunadamente, las organizacio- desarrollar nuevas tecnologías para la
nes, en general, están priorizando mejora de la seguridad. En palabras zando los dispositivos (hardware crip-
en sus hojas de ruta la protección de Hormigo, de GMV, "la diversidad tográfico, autenticación y autorización,
de todo lo relativo a su entorno IoT, de nuevos elementos que integran gestión y actualizaciones seguras);
según el directivo. "Estamos viendo una solución IoT y sus necesidades mejorando las comunicaciones (pro-
cómo la inversión en seguridad del concretas en cuanto a tamaño, tocolos y algoritmos de cifrado más
Internet de las Cosas ha aumentado comunicaciones e integración hacen robustos, mejorar la seguridad a nivel
en los últimos años, superando los que el sector esté desarrollando de enlace y asegurar la privacidad y
348 millones de dólares en 2016. nuevas tecnologías o adaptando la integridad de datos); y, finalmen-
Además, las previsiones indican que soluciones que vienen de otros te, asegurando las plataformas para
esta tendencia continuará creciendo entornos". Paralelamente, se está potenciar la detección temprana de
en los próximos ejercicios, alcanzan- trabajando en incorporar mecanismos vulnerabilidades, la gestión de actua-
do los 547 millones de dólares para de cifrado y autenticación adaptados lizaciones, la predicción y prevención
2018", desvela Sancho. que conjuguen un equilibrio entre los de problemas de seguridad...
recursos que se van a consumir y la Para ello, es crucial, a juicio de
Áreas de trabajo seguridad. Candau, del CCN, "la observación y la
A ello contribuye el trabajo realizado En segundo lugar, se pone mucho monitorización", las cuales permitirán
por la industria de la ciberseguridad énfasis en tener una visión holística "aumentar la visibilidad", que, junto
en este ámbito, cuyos componentes del IoT y contemplar la solución global. con el análisis y la respuesta oportuna,
cada vez apuestan más por "No podemos concebir la seguridad "proporcionarán un enfoque pragmá-
desarrollar soluciones destinadas IoT solo en un entorno concreto de la tico para reducir los riesgos inherentes
a proteger entornos IoT. "Viendo cadena de valor", según Hormigo. Es al crecimiento de los dispositivos IoT".
que los fabricantes de este tipo de necesario incorporar mecanismos de Para el director de Ciberseguridad del
dispositivos no están por la labor de seguridad en todos los elementos y organismo adscrito al Centro Nacional
protegerlos adecuadamente, desde en la unión de unos con otros. De esta de Inteligencia, por tanto, "el éxito
el sector de la seguridad TI estamos manera, afirma, "podremos construir se reduce a establecer una base de
incorporando medidas para que sea sistemas resilientes y gestionar monitorización y control para reducir
más difícil infectarlos; y, en caso de el riesgo global, disminuyendo el la exposición al riesgo y aplicar técni-
tener dispositivos ya infectados en la impacto en caso de explotación de cas inteligentes a la creciente pobla-
red, detectarlos y aislarlos de forma vulnerabilidades, incluso, en el caso ción de dispositivos IoT".
eficaz para evitar que los delincuentes de que estas se produzcan en los Todo ello, además, según Hormigo,
puedan controlarlos remotamente eslabones más débiles". "sería deseable realizarlo dentro de un
y los utilicen para acceder a otros Además, esto hay que hacerlo en marco de normativas y estándares",
dispositivos conectados con todas las partes del proceso, securi- que precisamente es el último de los

red seguridad primer trimestre 2018 67


seguridad IoT
monográfico
reportaje

ámbitos en los que también está tra- "es necesario trabajar con estándares Públicas. Para este especialista, es
bajando la industria. En este sentido, comunes, integrar diferentes técnicas importante el entorno regulatorio, pues
existen diversas normas y controles y definir políticas de seguridad que se este debe "preparar adecuadamente
(como los ISO IEC 27001 o 27002) que adecuen a la diversidad de dispositi- en nuevas tecnologías a las unida-
pueden orientar en la implementación vos y elementos que completan una des especializadas de las Fuerzas y
de un plan integral de seguridad y se solución IoT". Cuerpos de Seguridad del Estado, a
está trabajando en unas buenas prac- Claro que tan importante es esto fiscales y jueces, así como propor-
ticas dentro de la propia ISO 27000. como luego contar con un profe- cionar mecanismos facilitadores que
Incluso, ENISA publicó a finales de sional que pueda poner en práctica incentiven la adopción de controles de
2017 una guía de buenas prácticas; todas estas medidas. Sin esta figura, seguridad por parte de la industria".
e Incibe y Huawei han creado el libro tal y como apunta Lázaro, de ISMS
blanco Creación de un mundo IoT fia- Forum, "es imposible dotar de seguri- Pensando en el futuro
ble y gestionado, que aborda el tema dad a los productos y servicios". De esta forma, si no se tiene en
de la ciberseguridad en IoT. cuenta todo lo comentado hasta el
No obstante, todo esto no es sufi- Apoyo de la Administración momento, difícilmente se podrá poner
ciente, a juicio de Hormigo, de GMV, Y en toda esa tarea debe estar pre- en marcha un plan de seguridad que
quien considera que hay que "seguir sente también el apoyo de las distin- englobe una completa protección IoT.
avanzando en estándares que defi- tas Administraciones y organismos Además, el futuro tampoco es
nan de forma clara y transparente públicos como Incibe. De hecho, en mucho más esperanzador. Según
la manera de interactuar unos con opinión del subdirector de Servicios Candau, del CCN, "la tendencia
otros". Y es que los principios del de Ciberseguridad de este organismo, que se prevé pasa por infectar a
IoT se basan en la conectividad fun- se trata de "un trabajo conjunto entre dispositivos IoT para obtener
damentada en la identificación, en el ambas partes, los prestadores de beneficio económico por medio de
concepto de redes automáticas y la algún servicio o fabricantes de los pro- miners, aunque puede que empiecen
configuración automática de servi- pios dispositivos, y la Administración, a verse dentro de poco ataques
cios. "Estos principios son muy inte- que puede aportar regulación, buenas serios a dispositivos IoT de manera
resantes, ya que han hecho posible practicas o apoyo en la implementa- dirigida por parte de grupos APT".
su rápida evolución; pero esto genera ción de ciberseguridad", asegura. Igualmente, Lázaro, de ISMS Forum,
problemas de seguridad y amenazas Precisamente, desde Incibe están ve el panorama con "preocupación y
relativas a los ámbitos de la confi- apoyando a los proveedores de servi- esperanza". Desde su punto de vista,
dencialidad, autenticación e integri- cios esenciales en la implementación "el presente es complicado y, si no
dad de los datos y servicios", añade de buenas prácticas de seguridad en modificamos la situación, el futuro
el directivo. Por todo ello, prosigue, IoT. "Para ello se diseñó y puso encima puede poner en riesgo la sociedad
de la mesa el Esquema Nacional de tal y como la conocemos", reconoce.
Seguridad Industrial (ENSI) como un Sin embargo, a la vez, añade, "se
conjunto de metodologías de análisis está produciendo poco a poco un
de riesgos, ciberresiliencia y cons- cambio en la percepción del riesgo de
trucción de capacidades en materia los gobiernos y de la sociedad".
de ciberseguridad para los operado- A pesar de ello, eso sí, el primer
res estratégicos y críticos", desarrolla paso lo deben dar los fabricantes de
Gómez. Aparte, confirma que también dispositivos IoT, los cuales han de
están trabajando "en un esquema que considerar la seguridad como parte
permita la acreditación o certificación fundamental de sus productos y no
de los sistemas", aunque reconoce dejarla de lado como se viene hacien-
que este es "un tema bastante com- do hasta ahora. "La seguridad desde
plejo que llevará su tiempo", puesto el diseño y el cumplimiento de unos
que "tiene que estar bien construido y mínimos debidamente auditados
consensuado con la industria". debería ser una condición ineludible a
Por su parte, Lázaro, de ISMS la hora de poder poner a la venta
Forum, es consciente también del cualquiera de estos dispositivos",
papel que en este ámbito tienen que estima Albors, de Eset España, quien
llevar a cabo las Administraciones añade que "se debería garantizar el
soporte durante un periodo de tiempo
mínimo para, en el caso de descubrir-
se vulnerabilidades, lanzar los par-
En el futuro todo estará ches pertinentes y que los usuarios
conectado, lo que aumentará pudieran instalarlos", concluye.
exponencialmente los riesgos.

68 red seguridad primer trimestre 2018


GESTIÓN DE RIESGO DE PROVEEDORES
El problema de asegurar el perímetro
de la empresa extendida
seguridad IoT
monográfico
opinión

IoT: la evolución natural hacia un


mundo cada vez más conectado

Antonio López
Experto en Ciberseguridad de Incibe
(Instituto Nacional de Ciberseguridad)

El Internet de las Cosas, reconocido ellos está estimulando el crecimiento Por otro lado, la recolección de
hoy en día por su acrónimo en inglés rápido del mercado de la IoT. Gartner datos personales de los usuarios es
IoT (Internet of Things), lo podemos estima que en el mundo habrá 20.800 inherente al funcionamiento de estos
considerar como un fenómeno natural millones de dispositivos conectados dispositivos, con independencia del
derivado del imparable crecimiento de en 2020 y más de 50.000 en los nivel de consciencia del usuario en
las posibilidades de las tecnologías de siguientes años. Esto representa una cuanto a la información personal que
comunicación, pero también del tra- tasa de crecimiento anual compuesto está revelando con el uso de estos
tamiento y uso de datos, o Big Data, del 34 por ciento. servicios, lo cual también es una
que lleva asociado. Indudablemente, Las ventajas son evidentes, pero la fuente de problemas de seguridad.
debemos tener presente que estos superficie de exposición a amenazas Aunque en los últimos años los
dos términos van de la mano y que, debido a la velocidad a la que apare- avances que se han producido en
cada vez más, este binomio será más cen los dispositivos IoT y su presencia seguridad IT y su aplicación en la
fuerte y presente. en cada vez más sectores exige que protección de datos y comunicacio-
Desde la aparición de los primeros la atención y ritmo de adecuación en nes son enormes, las limitaciones
dispositivos móviles orientados a la cuanto a la seguridad de las comuni- técnicas de muchos dispositivos, su
telefonía, el crecimiento en conec- caciones y los datos vayan en parale- ritmo de aparición y su acceso cada
tividad, funcionalidad y campos de lo. Y éste es un gran reto a afrontar. vez mayor a gran cantidad de datos,
aplicación no ha parado de aumentar. configuran un escenario que presen-
La realidad IoT se consolida día a día. Amenazas y retos de seguridad ta un importante reto en la gestión y
En la actualidad, es común hablar de Las amenazas sobre dispositivos IoT fiabilidad de la seguridad IoT.
hogares inteligentes, educación inteli- no difieren en esencia de cualquier Una encuesta de Forrester reali-
gente, cuidado de la salud inteligente, otro dispositivo que maneje datos zada en organizaciones de todo el
wearables, smart grid, el Internet de sensibles y tenga acceso a Internet. mundo reveló que el 47 por ciento de
los Vehículos (IoV) y otras indus- Las diferencias estriban, fundamen- las organizaciones industriales que
trias que hacen gran uso de la IoT. talmente, en la enorme cantidad de usan o tienen planificado usar IoT ya
La conexión total brindará inmensos dispositivos existentes, su conexión había experimentado problemas de
beneficios a las personas y a la socie- ininterrumpida y, principalmente, una seguridad en sus aplicaciones indus-
dad en su totalidad. posible falta de seguridad intrínseca a triales. Otras investigaciones mostra-
La gran popularidad de los dis- productos de bajo coste que, por otra ron lo siguiente:
positivos móviles y el consecuente parte, se orientan a ofrecer servicios # El 27 por ciento de los sistemas
abanico de plataformas y servicios que acceden a datos o información, de control fueron comprometi-
que se han desarrollado alrededor de a veces sensible. dos o infectados.

70 red seguridad primer trimestre 2018


seguridad IoT monográfico

Realizar periódicamente auditorías de seguridad y


tests de intrusión a los productos y recursos de la
compañía completará los pasos necesarios para
asumir los riesgos IoT con ciertas garantías

# El 80 por ciento de los equipos En resumen, los riegos de segu- estudio detallado que analiza por-
usa una contraseña simple. ridad de dispositivos IoT derivan de menorizadamente esta situación en:
# El 70 por ciento de la comunica- una serie de debilidades intrínsecas al https://www.incibe.es/sites/default/
ción no está cifrada. concepto de los mismos,como son: files/estudios/tendencias_en_el_mer-
# El 90 por ciento de las actuali- # Bajo coste y recursos limitados cado_de_la_ciberseguridad.pdf
zaciones de firmware no hace de procesamiento donde pre- Igualmente, entre otras iniciativas
verificaciones de firmas. Es posi- valece la eficiencia sobre otros potenciadas desde la entidad, se ela-
ble que muchos dispositivos no factores. boró, en colaboración con Huawei, un
puedan actualizarse. Los datos # Ecosistemas de operación muy estudio específico de este fenómeno
hablan de una evidente necesi- diversos y complejos. en el cual se presentan conclusiones
dad de afrontar la seguridad. # Y, sobre todo, falta de experien- y orientaciones que deberían marcar
Estas cifras se ha materializado cia de muchos fabricantes en un pautas para afrontar todo el proceso
en incidentes de gran importancia sector de operación relativamente de vida y uso de dispositivos IoT.
como el protagonizado en 2016 por el nuevo que presenta frentes de El ecosistema IoT incluye disposi-
malware “Mirai”, un software malicioso exposición muy amplios y en muy tivos, redes, plataformas y aplicacio-
diseñado especialmente para sacar diversos entornos. nes que requieren múltiples medidas
partido de fallos de seguridad de millo- de protección de la seguridad en
nes de dispositivos como cámaras Seguridad multicapa cada capa, así como capacidades de
IP, grabadoras digitales de video o INCIBE, como entidad orientada a la inteligencia y de análisis de seguridad
routers domésticos, entre otros, para ciberseguridad y en su objetivo de de la totalidad de los datos para apro-
realizar ataques de denegación de ofrecer servicios para ciudadanos y vechar la sinergia entre los dispositi-
servicio distribuido DDoS con impor- empresas, es consciente de la impor- vos y la nube. Se hacen necesarias:
tantes consecuencias en reconocidos tancia del impacto IoT en todos los # Capa base del diseño y la tec-
sitios web y empresas como los pro- sectores tecnológicos. La tendencia nología empleada en la cons-
veedores de servicios OVH o DynDNS. e impacto de IoT globalmente, ya trucción del dispositivo: uso de
La magnitud de estos ataques llegó a no solo en el sector industrial sino criptografía TPM y fortificación
cuadriplicar la potencia de los DDoS en todo el entorno TIC, es conside- del hardware.
que se conocían hasta entonces. rable. En este sentido, se ofrece un # Seguridad a nivel de aplicación
y sistema. Auditoría del sistema
operativo y software.
# Seguridad en las comunicacio-
nes. Cifrado e integridad.
# Seguridad en la nube a nivel de
plataforma. Seguridad de acce-
so, integridad y disponibilidad.

Estrategias integrales de seguridad


En un entorno empresarial o de fabri-
cantes, es necesario contar con polí-
ticas y un sistema de gestión de
la seguridad que contemple todos
los activos y procesos relacionados
con el entorno de uso y producción.
Focalizar y fundamentar la seguri-
dad únicamente en aspectos aislados

Las empresas habrán de contar con


políticas y un sistema de gestión de la
seguridad si quieren estar preparadas
para el IoT.

red seguridad primer trimestre 2018 71


seguridad IoT
monográfico
opinión

(software, hardware, comunicaciones,


etc.) puede derivar en un resultado
final inseguro.
Contar con un plan continuo de
seguridad debe ser la base sobre la
que se fundamente cualquier empresa
orientada a tecnologías de la informa-
ción. Desde esta base, realizar perió-
dicamente auditorías de seguridad y
tests de intrusión a los productos y
recursos de la compañía completará
los pasos necesarios para asumir los
riesgos IoT con ciertas garantías.
El usuario por su parte debe iden-
tificar claramente sus necesidades
y conocer las funcionalidades de
que dispone y las que realmente
necesita al adquirir cualquier dis-
positivo IoT. Desde ese momento,
deberá prestar especial atención a
la configuración, mantener el dis-
positivo actualizado, deshabilitar las En este sentido, aparte de las Gartner estima que en el mundo
funcionalidades de conectividad y obligaciones legales de seguridad habrá 20.800 millones de
procesado cuando no se necesiten, física aplicables en cada sector, es dispositivos conectados en 2020.
usar conexiones seguras y tratar necesario prestar atención a cum-
de tener conocimiento de los datos plir un estricto plan de seguridad IT,
personales y sensibles, así como siguiendo normas de ámbito general ubicación, consentimientos de uso,
el uso que se da a los mismos al como las ISO/IEC 27001 o 27002 y etc.) que sería necesario aplicar a
utilizar el dispositivo. Lógicamente, añadiendo regulaciones específicas los dispositivos IoT. No obstante, no
la criticidad del entorno y el valor de como "Cybersecurity for Networked existe ninguna otra documentación
la información en juego serán otros Medical Devices Containing Off-the- formal que regule las acciones de
factores a considerar para aplicar Shelf (OTS) Software", de la FDA seguridad necesarias para este tipo
de tecnología.

Conclusión
Es necesario cumplir un estricto En conclusión, la aparición de un
mayor número de dispositivos loT de
plan de seguridad IT, siguiendo manera continuada lleva consigo una
adecuación de la seguridad de las
normas de ámbito general como comunicaciones y de los datos.
Debemos manejar de forma correcta
las ISO/IEC 27001 o 27002 la información sensible que propor-
cionamos mediante una red confia-
ble. Como hemos comentado, se
el rigor necesario durante todo el norteamericana, o la Resolución de 8 prevé que existirán más de 50.000
periodo de vida, desde la fabrica- de julio de 2013, de la Secretaría de dispositivos conectados en los próxi-
ción del dispositivo, pasando por su Estado de Telecomunicaciones y para mos años, por lo que los riesgos de
uso y actualización, hasta el final de la Sociedad de la Información para amenaza serán mayores. Sobre todo
su vida útil y su destrucción. dispositivos médicos, por ejemplo. en un entorno empresarial, es vital
En 2014 se aprobó el Dictamen contar con políticas y un sistema de
Normativas y tendencias conjunto sobre Internet de las Cosas, gestión de la seguridad que analice
Todos los dispositivos IoT que interac- elaborado por el grupo de trabajo los activos y procesos relacionados
cionan con aspectos de protección de las autoridades europeas de pro- con el entorno de uso y producción.
de las personas deben ajustarse a tección de datos. Se trata una serie También existen obligaciones legales
normativas de seguridad física y refor- de recomendaciones en materia de de seguridad física aplicables a secto-
zar vacíos que legalmente no siempre seguridad, privacidad y protección de res diferentes, siguiendo un plan
están completamente cubiertos. datos (uso redes sociales, rastreo y estricto de seguridad IT.

72 red seguridad primer trimestre 2018


CENTRO DE CIBERSEGURIDAD INDUSTRIAL
102
ESCUELA PROFESIONAL
DE CIBERSEGURIDAD
INDUSTRIAL

HTTPS://WWW.CCI-ES.ORG/ESCUELA
H M A M J J S O N
O
A B A U U E C O
CALENDARIO 2018
R
A R R Y N L P T V
R Z I O I I T . .
Formacion Presencial (Madrid) y Online I
O O L O O .

9:30
a 6 3 8 5 3 4 9 6
Ciberseguridad Industrial para 12:30
Inmersiones Ingenieros Industriales
prácticas e informáticos 15:30
a 6 3 8 5 3 4 9 6
200 € 18:30

Aplicación de un Sistema de Gestión 9:30


a 5 2 7 4 2 3 8 5
de la Ciberseguridad Industrial 17:30

Diagnóstico de Ciberseguridad en un 9:30


a 12 9 14 11 9 10 15 12
entorno de automatización industrial 17:30

Ciberseguridad en el Ciclo de Vida 9:30


a 19 16 21 18 16 17 22 19
de un proyecto Industrial 17:30

Evaluación de Madurez del Proceso 9:30


de Ciberseguridad en Organizaciones a 26 23 28 25 23 24 29 26
350 € industriales 17:30

Responsable de Ciberseguridad 9:30 9


en IACS (Sistemas de Automatización a 10
y Control Industrial) ISA-CCI 18:30

Curso Multidisciplinar de Seguridad 9:30 13


Digital en la Industria [4.0] y a 14
1.350 € Protección de Servicios esenciales 18:30 15

Master Master Profesional Online 19:00 14 5 6 5


Online de Ciberseguridad Industrial a 21 12 13 19
20:00 28 19 20 26
3.450 €
Reservar plaza en: https://www.cci-es.org/reservar

Inmersiones Talleres Cursos Master Online


Precios especiales Básicos 175 € 300 € 1.012 € 3.050 €
para miembros del CCI. Activos 150 € 250 € 800 € 2.850 €
https://www.cci-es.org/miembros Suscripción 125 € 200 € Incluido 2.450 €
Con la colaboración de:
seguridad IoT
monográfico
opinión

Vectores de ataque del Internet de


las Cosas

Raúl Siles
Fundador y analista de Seguridad de
DinoSec/ Coordinador del grupo de
Amenazas y Sensibilización del Centro de
Estudios en Movilidad e IoT de ISMS Forum

Si uno se para a reflexionar acer- año 2017 por el CEM (Centro de Los distintos vectores de ataque
ca del ritmo tan vertiginoso con el Estudios en Movilidad e IoT) del ISMS asociados a un dispositivo IoT se
que estamos incorporando las nuevas Forum (disponible en www.ismsfo- pueden agrupar en diferentes cate-
tecnologías en nuestras vidas –tanto rum.es/estudioCEM). En concreto, se gorías, según su naturaleza, que a
a nivel global del conjunto de la focaliza en el Bloque II, centrado en su vez reflejan la aproximación que
sociedad, como individualmente en el "Análisis de los vectores de ataque podría tomar un potencial atacante a
el plano personal y profesional–, así del Internet de las cosas (IoT)" y, por la hora de intentar vulnerar la seguri-
como a la creciente tendencia que tanto, en los aspectos más técni- dad de los mismos y la privacidad de
se avecina en el corto, medio y largo cos asociados a las vulnerabilidades su propietario o de sus usuarios, así
plazo con el ecosistema que se ha de los dispositivos y soluciones del como a la hora de encontrar debili-
dado en denominar Internet de las Internet de las Cosas. dades en sus mecanismos de segu-
Cosas (IoT, en sus siglas en inglés, Desafortunadamente, es importan- ridad, en caso de aquellas soluciones
Internet of Things), es inevitable plan- te reseñar que los dispositivos IoT IoT que sí implementan algún tipo de
tearse si las tecnologías y soluciones presentan vulnerabilidades de segu- protección. Las categorías descritas
que estamos adoptando son suficien- ridad comunes a otras tecnologías a continuación presentan numerosos
temente seguras. similares, ya conocidas desde hace riesgos de seguridad asociados al
Para poder evaluar de manera glo- años o incluso décadas. Por lo que ecosistema de IoT y, por tanto, a
bal y detallada la seguridad de cual- parece, la industria tecnológica no cualquier tecnología conectada.
quier dispositivo IoT, ya sea individual- aprende de la Historia y no es capaz
mente o como parte de una solución de mitigar, o incluso erradicar por Vector de ataque físico
IoT más compleja que integra múltiples completo, algunos de los proble- Existen numerosos ataques que úni-
componentes y servicios, es necesario mas que nos han tenido ocupados camente requieren de acceso físico
identificar y definir las áreas de análisis durante los últimos años; como, por al dispositivo IoT y a sus múltiples
asociadas a la superficie de exposición ejemplo, debilidades en los mecanis- puertos o interfaces físicos (USB,
y a los vectores de ataque propios de mos de autentificación, autorización Ethernet, consola, etc.), o incluso a
dichos dispositivos, con el propósito y cifrado (tanto en reposo como en sus botones. Desafortunadamente,
de poder evaluar las potenciales debili- tránsito), vulnerabilidades en los inter- numerosos dispositivos IoT deben
dades y vulnerabilidades de seguridad faces de gestión y administración del estar en el día a día al alcance
y/o privacidad que les afectan y a sus dispositivo IoT, o carencias a la hora del usuario, al permitir la interacción
servicios o plataformas asociadas. de actualizar los dispositivos o en su directa con éste o medir y tomar
El presente artículo condensa el integración con "la nube", con aplica- acciones en lugares concretos, como
estudio realizado y publicado en el ciones móviles y web. en la vía pública, estaciones y aero-

74 red seguridad primer trimestre 2018


seguridad IoT monográfico

opinión

puertos, hospitales, edificios o en la propietarios (empleando habitual- trales. En función de las capacida-
habitación de un hotel. mente las frecuencias de 433 y 868 des y funcionalidad de la solución,
Debe tenerse en cuenta que hay MHz en Europa). algunos de estos datos pueden ser
escenarios donde un atacante puede Este vector de ataque es probable- muy sensibles, como los asociados
analizar las debilidades de un dispo- mente el más común, ya que todos a infraestructuras críticas, entornos
sitivo IoT sin ni siquiera disponer de los dispositivos IoT disponen de múl- de seguridad física o entornos médi-
acceso físico al mismo, por ejemplo, tiples mecanismos de comunicación, cos. En consecuencia, el objetivo de
obteniendo el firmware o los detalles habitualmente haciendo uso de varios muchos ataques se centra "simple-
de las actualizaciones desde la web de ellos simultáneamente. mente" en la obtención y/o manipula-
del fabricante. ción de estos datos.
Este vector de ataque es proba- Sobre las capacidades de gestión Este vector de ataque es probable-
blemente el más prevalente ya que, Los mecanismos de gestión de los mente el más sutil, ya que se centra
sin las adecuadas protecciones a propios dispositivos IoT (común- en la funcionalidad principal y la lógica
nivel físico, el dispositivo puede ser mente asociados a un interfaz web), de negocio de la solución IoT, para
manipulado sin limitación hasta ser locales o remotos (a través de pla- beneficio del atacante.
vulnerado. taformas específicas), permiten su Los riesgos asociados a todos estos
configuración y administración. Por vectores de ataque son múltiples, y
Sobre comunicaciones este motivo, los ataques sobre estos permitirían a un potencial atacante
Multitud de ataques tienen como tienen un mayor impacto, ya que per- obtener toda la información almace-
objetivo los protocolos o tecnologías mitirían la manipulación no autorizada nada localmente en el dispositivo IoT o
de comunicación del dispositivo IoT de uno o de todos los dispositivos intercambiada con servicios remotos,
con el resto del ecosistema: otros de un mismo tipo, o vinculados a un incluyendo los datos de los usuarios
dispositivos IoT, un controlador (o mismo entorno o solución IoT. junto a detalles internos críticos para
hub), apps móviles, servicios remo- Este vector de ataque es proba- su funcionamiento, como su firmware,
tos, "la nube", etc. La finalidad de blemente el más atractivo para un contraseñas o claves de cifrado.
estos ataques es la interceptación atacante, ya que su objetivo final es Asimismo, el atacante dispondría de
y manipulación de todos los datos poder controlar y administrar a su acceso privilegiado al dispositivo IoT y
intercambiados. antojo, y sin limitaciones, los disposi- control completo del mismo, pudien-
Las soluciones IoT emplean tivos IoT vulnerados. do modificar su comportamiento, sutil
una gran variedad de tecnologías e imperceptiblemente, o significativa-
de comunicación, tanto cableadas Sobre los servicios y/o datos mente, según sus objetivos. Estas
como inalámbricas (más expuestas Por último, las soluciones IoT, con- capacidades permitirían cometer frau-
al no requerir acceso físico), cómo formadas normalmente por controla- des, realizar denegaciones de servicio
por ejemplo Bluetooth y BLE, Wi-Fi, dores (o hubs), sensores y actuado- (DoS), suplantar a otros elementos,
Z-Wave, LoRaWan, SigFox, comuni- res, recogen, procesan, almacenan y manipular los datos recabados por
caciones móviles (2/3/4/5G), etc., y trasmiten datos, tanto en los propios sensores o las acciones llevadas a
otros mecanismos de comunicación dispositivos como en servidores cen- cabo por actuadores, etc.
¿Realmente deseamos un futuro en
el que estemos completamente rodea-
dos de tecnología, involucrada irreme-
diablemente en cada tarea y acción
diaria, y donde no podamos realmente
estar seguros de quién tiene acceso a
toda nuestra información y activida-
des, quién las controla y manipula, y
donde hayamos perdido el control de
nuestro entorno tecnológico? Todavía
estamos a tiempo de evaluar la segu-
ridad del ecosistema IoT global y
tomar acciones para mejorarla, aun-
que no hay mucho margen...

El vector de ataque sobre las


comunicaciones es el más común, ya
que los dispositivos IoT disponen de
múltiples mecanismos de este tipo.

red seguridad primer trimestre 2018 75


forense
opinión

Los nuevos enemigos silenciosos


de Android

Fernando Carrazón
COO de GoNetFPI

Los teléfonos móviles se han con- dos: hacia la innovación para mejorar O Destrucción de datos.
vertido en un elemento imprescindi- en el desarrollo de nuestra sociedad O Futuros ataques.
ble para la mayoría de los españo- y, por otro lado, hacia la sofistica- O A ataques contra la propiedad
les, y es que, en la actualidad, ya ción de la ciberdelincuencia como intelectual y el derecho a la
nadie puede pasar un día entero sin consecuencia de la proliferación de intimidad.
ellos. Dentro de este panorama, es la conectividad de los dispositivos. O Sabotajes y fraude informático.
innegable que Android se ha con- Por este motivo, la innovación cons-
vertido en el sistema operativo líder tante es una obligación para estar a Pero la primera pregunta que se
en el mundo; con él opera el 72 por la vanguardia de la seguridad en lo nos viene a la cabeza es ¿cómo se
ciento de los terminales. En el caso que a temas de fraude se refiere. En realiza un forense remoto?, ¿cuánto
de España, nueve de cada 10 dis- este panorama de amenazas sofisti- tiempo dura el análisis?, ¿podré dis-
positivos tienen el sistema operativo cadas y en constante crecimiento es poner de mi dispositivo?
de Google, lo que los ha convertido donde toman especial relevancia los Antes de nada, es importante no
en un objetivo prioritario para los Android Forensics Analytics, análisis utilizar el dispositivo para conservar
ciberdelincuentes. en profundidad de los dispositivos a las huellas que ha podido dejar el
Durante 2017 hemos podido apre- través de los cuáles se puede saber incidente, analizarlo y extraer infor-
ciar una migración de los malwares si han estado expuestos a un ataque mación que será de gran utilidad
bancarios hacia los terminales móvi- o vulnerabilidad y que permite tomar para prevenir futuros ataques. Por
les Android. Los ciberdelincuentes las medidas oportunas para evitar lo tanto, la cuarentena del equipo
son conscientes de que cada día incidentes futuros. hasta que el forense complete su
crece el número de personas que análisis es muy relevante.
sustituyen su ordenador por su telé- El análisis forense Para el proceso de búsqueda y
fono móvil o tablet. En los últimos Siempre que un dispositivo tenga un análisis por parte del forense, se
meses, se han localizado distin- comportamiento anómalo, debemos instala un software, proporcionado
tos malwares que afectan a entida- actuar. Es muy importante realizar siempre por el analista, que permite
des bancarias españolas, entre los un análisis forense remoto que per- obtener todas las evidencias ocultas
que destacan Marcher, Maza-bot mitirá proteger al equipo frente a: en el equipo. En el caso de Android,
y Charger (que luego analizaremos O Incidentes de código malicioso. el usuario debe abrir la aplicación
más detenidamente). Además de O Incidentes de acceso no auto- manualmente y conectar el cargador
éstos últimos, destinados al robo, rizado. al dispositivo. En ese momento se
se empiezan a ver varias familias de O Incidentes por uso inapropiado. realiza una conexión con el servidor
malware destinadas a minar cripto- O Filtración de documentos confi- forense sin que el usuario tenga que
monedas. denciales. intervenir más. De hecho, es con-
La realidad es que la tecnología O Comportamientos anómalos de veniente no llevar a cabo ninguna
avanza sin descanso en dos senti- los sistemas. acción mientras se realiza el análi-

76 red seguridad primer trimestre 2018


forense opinión

sis forense, que suele durar poco una aplicación legítima mostrando las envía al C&C. Posteriormente,
más de tres horas. No obstante, el un phishing. A pesar de que las se envía al móvil el código para
dispositivo se encuentra totalmen- entidades bancarias envían men- mostrar el phishing y, tras recibir a
te operativo mientras se realiza el sajes de texto a los móviles de sus través de esta técnica fraudulenta
mismo. Transcurrido el tiempo de clientes con las OTP (contraseñas las credenciales, se inserta una
análisis se realiza un dictamen y se de un solo uso), estos malwares pantalla de bloqueo (habitualmen-
elabora un detallado informe forense tienen implementadas diferentes te una pantalla con el muñeco de
sobre el mismo, tras el cual ya se soluciones que logran su objetivo: Android y la excusa de actualizar
puede desinstalar la aplicación del leer esa clave OTP remotamente. las aplicaciones en el móvil) que
dispositivo. En los análisis se detecta que los impide al usuario realizar cualquier
Pero, ¿qué debemos hacer si el teléfonos infectados envían datos a tipo de acción mientras los ciberde-
resultado del forense determina que sus respectivos paneles de control, lincuentes realizan las operaciones
nuestro terminal está infectado? con localizaciones normalmente en bancarias.
Dependiendo del tipo de malware Europa del Este. Dependiendo del malware, existen
que haya infectado nuestro dispo- Marcher y Maza-bot tienen en su distintas tendencias para lograr la
sitivo, éste actuará de una forma u código los nombres de las aplicacio- instalación en los dispositivos. Si
otra. Si es de tipo bancario, normal- nes a las que van a suplantar. En el nos referimos a Marcher y Maza-
mente nos suele solicitar los datos de command and control (C&C) existen bot, lo más habitual es encontrarlos
nuestras tarjetas de crédito o cuen- páginas web de phishing para cada en páginas de dudosa legalidad. En
tas bancarias. Es muy importante uno de sus objetivos, que se cargan estos casos, las aplicaciones llevan
desconfiar siempre de pantallas mal al iniciar la aplicación que se desea nombres destinados a confundir al
diseñadas o cuando notemos una infectar. Al mismo tiempo, el móvil usuario con actualizaciones, jue-
superposición de pantallas entre las infectado deja de recibir SMS de cara gos gratuitos o cualquier otro tipo
aplicaciones de tipo bancario. al usuario y los mensajes recibidos de nombre capaz de engañar a la
Aunque los ataques son cada vez son interceptados por el malware y víctima, como por ejemplo: Flash
más sofisticados, siempre existen reenviados al C&C sin dejar rastro de Player 10 Update, MobileConnect o
conductas que nos permiten evitar- ellos en el terminal, por lo que pasa Android Security Update 16.2.1.
los y mantener los dispositivos libres totalmente inadvertido. En los casos detectados de
de malware, como son: Sin embargo, Charger actúa de Charger, la infección resulta mucho
O Instalar solo apps de sitios ofi- una forma diferente. Este malware más sencilla. Estos malwares son
ciales, en el caso de Android. realiza una recopilación de las apli- capaces de evadir los sistemas de
O Desconfiar de las aplicaciones caciones instaladas en el móvil y detección de Play Store, por lo
que solicitan permisos excesivos. que estas aplicaciones, que tienen
O Instalar solo las aplicaciones un tiempo de vida estimado de
que vamos a utilizar. alrededor de 15 días, están dispo-
O Es muy importante mantener nibles y cualquier usuario las puede
actualizadas las aplicaciones y descargar. En los casos analiza-
el software del fabricante. dos de Charger, se ha observado
O No está de más usar un antivirus que entre 1.000 y 5.000 usuarios
en tu dispositivo. Los hay gratui- han descargado e instalado estas
tos y la instalación es inmediata. aplicaciones, según los datos que
O Cuidado con las páginas de dudo- ofrece Play Store. La mayoría de
sa legalidad, como pueden ser las aplicaciones disponibles en esta
las webs para ver el futbol online, plataforma con el malware Charger
descargas de torrents o sitios con suele estar relacionada con linter-
calificación para adultos. nas. Normalmente, estas aplicacio-
nes nos piden unos permisos de
Marcher, Maza-bot y Charger ejecución que poco tienen que ver
Antes hicimos referencia a tres con su funcionalidad. Por ejemplo,
malwares que afectaban a entida- en el caso de las linternas, suelen
des bancarias: Marcher, Maza-bot pedir el acceso a la lectura y envío
y Charger. Este tipo de malwares, de SMS, cosa que debería hacernos
localizados a través de Android sospechar de su legitimidad.
Forensics Analytics, se han conver- Por lo tanto, ante estos nuevos
tido en los enemigos silenciosos de malwares, lo principal es usar el
los dispositivos Android. Todos ellos sentido común y siempre desconfiar
tienen un funcionamiento similar: de cualquier cosa que nos resulte
buscan una sobreposición sobre sospechosa o fuera de lo normal.

red seguridad primer trimestre 2018 77


novedades
noticias

G Data lanza su propuesta de seguridad integral para empresas


Ante la enorme proliferación de ataques a los sistemas tecno-
lógicos de las organizaciones en los últimos meses, la compañía
G Data ha presentado su nueva propuesta para abordar la segu-
ridad corporativa desde un punto de vista integral, la solución
G Data Layered Security. Se trata de una serie de elementos
que, de manera combinada, constituyen un sistema holístico de
seguridad multicapa capaz de responder a los nuevos desafíos
de la industria cibercriminal y de proteger redes empresariales
heterogéneas donde, por ejemplo, convivan sistemas Windows,
Linux, Mac, iOS o Android.
Esta plataforma está compuesta por varias soluciones, entre
las que se encuentra: Endpoint Security, una protección anti-
malware para los equipos, con tecnologías proactivas capaces de bloquear amenazas desconocidas; o Mobile
Device Management, para la protección de dispositivos Android e iOS y la adecuada gestión del fenómeno
BYOD. A esto se añaden una serie de sistemas como el de monitorización de la red, con información en tiempo
real acerca de sus componentes; el de cumplimiento normativo, sobre todo en lo referente a las leyes de protec-
ción de datos personales; los de protección de los servicios de correo; y los de reporte y control centralizado.

www.gdata.es

Una aplicación de FireEye


Trend Micro amplía evalúa la seguridad de las Nuevos servicios
la gama de equipos contraseñas de seguridad de
TippingPoint Kaspersky
El equipo Innovation and Custom
Con el objetivo de optimi- Engineering (ICE) de FireEye ha desa- Para ayudar a las empresas
zar y de asegurar los centros rrollado una herramienta de código a detectar y analizar amena-
de datos y las redes empre- abierto, denominada GoCrack, que zas avanzadas que ya han
sariales de alto rendimiento, permite comprobar a los administra- entrado en la infraestructu-
Trend Micro ha anunciado la dores de sistemas o equipos de segu- ra corporativa, Kaspersky
ampliación de su familia de ridad TI de las empresas si las contra- Lab ha lanzado Kaspersky
appliances con los mode- señas son suficientemente seguras al Threat Hunting, una suite de
los TippingPoint 8200TX y realizar intentos de descifrarlas. servicios expertos que ofre-
8400TX. Estos aúnan una pre- Básicamente, esta herramienta faci- ce a las grandes empresas
vención de intrusiones de 40 lita la gestión de las tareas de cracking acceso 24/7 a la experiencia
Gbps en un factor de forma de de contraseñas en múltiples servidores del equipo de cazadores de
una unidad rack (1U). GPU, ofreciendo una interfaz web de amenazas de la compañía.
Asimismo, ambos equi- usuario en tiempo real para crear, ver Incluye las soluciones
pos proporcionan prevención y gestionar tareas. De hecho, basta Kaspersky Managed Protection
de amenazas avanzada con con desplegar un servidor GoCrack, y Targeted Attack Discovery,
inteligencia Smart Protection así como un componente local en diseñadas para dotar a los
Network (SPN), que permite cada máquina habilitada GPU/CPU, y equipos de seguridad de expe-
detectar y bloquear en tiem- el sistema distribuirá automáticamente riencia para detectar amena-
po real ataques conocidos, las tareas en todas las similares. zas avanzadas y ataques no
desconocidos y los que están Debido a lo sensible que es la infor- maliciosos empleados por los
ocultos, incluyendo gestión mación sobre las contraseñas, GoCrack ciberdelincuentes. La prime-
de la reputación de URL. incluye un sistema basado en la legi- ra, en concreto, es un servi-
Finalmente, esta serie tam- timación, que impide que los usuarios cio experto para la detección
bién cuenta con el recono- accedan a los datos de la función salvo proactiva de amenazas com-
cimiento de terceros inde- que sean el creador original de la misma plejas en la infraestructura de
pendientes, como es el caso o se les concedan permisos adicionales una empresa; mientras que la
de NSS Labs, que les ha de acceso. Por supuesto, los adminis- segunda es un servicio analítico
concedido la calificación de tradores pueden ver todos los datos destinado a detectar rastros de
"recomendada". de la herramienta, los cuales quedan ataques dirigidos.
convenientemente registrados.
www.trendmicro.es www.kaspersky.es
www.fireeye.com

78 red seguridad primer trimestre 2018


noticias novedades

Ciberseguridad integral
Nueva gama de 'firewalls' de nueva generación Gen V para la nube
FortiGate 6000 con CloudGuard, de
Fortinet ha lanzado su Check Point
nueva gama de firewalls
de nueva generación Check Point ha dado a conocer la
FortiGate 6000, la cual familia de productos CloudGuard,
incorpora una nueva diseñados para proteger a las empre-
arquitectura de procesa- sas de los ciberataques de quinta
miento que ofrece el rendimiento de un chasis Fortinet en un disposi- generación (Gen V) que afectan a
tivo compacto para una seguridad avanzada. las aplicaciones e infraestructuras
Esta serie está especialmente dirigida a la protección del perímetro cloud. Además, la compañía tam-
de redes empresariales que priorizan la protección frente a amenazas y bién ha presentado CloudGuard
el rendimiento en la inspección cifrada. Además, proporcionan una alta SaaS (Software-as-a-Service), una
densidad, eficiencia energética y simplicidad en el despliegue. solución que defiende a las organi-
FortiGate 6000F está diseñado de acuerdo a la arquitectura de hard- zaciones de las amenazas de ese
ware de nueva generación de Fortinet. De esta manera, combina tarjetas tipo. Esta novedad forma parte de
de procesamiento multi-CPU que permiten alcanzar un rendimiento de la arquitectura Check Point Infinity,
chasis-class, resiliencia y capacidad en un único dispositivo compacto. basada en tecnologías probadas y
galardonadas por la industria para
www.fortinet.com proporcionar una protección integral
Gen V para la nube. CloudGuard
SaaS también previene el secuestro
de cuentas, utilizando la tecnología
ID-Guard pendiente de patente.
Fujitsu protege los coches
Así, entre sus principales caracte-
conectados con una nueva rísticas se encuentra la protección
tecnología de detección contra amenazas de día cero, ya que
evita que las amenazas persistentes
Fujitsu Limited y Fujitsu Laboratories avanzadas y el malware desconoci-
han presentado el desarrollo de una tec- do infecten el contenido de las apli-
nología capaz de detectar ciberataques caciones SaaS mediante el uso de
en las redes de vehículos conectados. sandboxing en tiempo real, protección
Con ella, el sistema aprende los ciclos de recepción de mensajes en condi- antiransomware, tecnologías antibot
ciones normales para, posteriormente, utilizar la diferencia entre el número e inteligencia de amenazas integrada
aprendido de mensajes recibidos y el número real. De esta manera puede basada en la nube en tiempo real.
determinar si se está produciendo un ataque. Además, identifica y bloquea a los
Así, utiliza el tiempo posterior de la recepción del mensaje para comple- ciberdelincuentes o estafadores que
mentar los resultados de la detección cuando hay una diferencia y puede intentan acceder a las cuentas SaaS e
detectar el ataque, eliminando falsos positivos. impide el paso a usuarios no autoriza-
Concretamente, Fujitsu pretende comercializar esta tecnología en 2018 dos y a dispositivos comprometidos.
como un componente de su plataforma Mobility IoT (Internet of Things), des- Igualmente, cabe destacar que pro-
tinada a ofrecer soluciones de movilidad para la sociedad. tege los datos mediante su forzamien-
to automático y el bloqueo y la puesta
www.fujitsu.com en cuarentena del uso compartido no
autorizado de archivos confidenciales.
Por otro lado, CloudGuard IaaS,
Sophos incluye la protección predictiva de antiguamente vSEC y ahora miembro
ciberataques en el nuevo Intercept X de la familia CloudGuard, proporcio-
na una prevención de amenazas en
Sophos ha anunciado el lanzamiento del nuevo sistema Intercept X con infraestructuras y cargas de trabajo
detección de malware. Esta solución, impulsada por deep learning y para todas las principales platafor-
basada en redes neuronales, combina la mitigación de técnicas antihac- mas cloud públicas y privadas, entre
king con el bloqueo avanzado de aplicaciones, a la vez que mejora la ellas Amazon Web Services, Google
protección contra el ransomware y previene exploits. Cloud Platform, Microsoft Azure,
Intercept X puede instalarse junto con el software de seguridad endpo- Cisco ACI, OpenStack, VMware NSX,
int de cualquier proveedor al estar implementado a través de la platafor- VMware Cloud en AWS, VMware
ma de gestión basada en la nube Sophos Central. ESX, Alibaba Cloud, KVM o Hyper-V.

www.sophos.com www.checkpoint.com

red seguridad primer trimestre 2018 79


asociaciones
noticias

La asociación @asLAN anuncia ISACA Madrid


aplaude la inminente
sus líneas de trabajo para 2018 entrada en aplicación
del RGPD
La organización renueva su junta directiva y establece
el compromiso de colaborar con sus 114 empresas El 25 de mayo entra en aplicación
asociadas para divulgar y fomentar el uso de las nuevas el Reglamento General europeo
de Protección de Datos (RGPD),
tecnologías. lo cual supone, según los respon-
sables de ISACA Madrid, "un salto
paradigmático en el aseguramien-
to del derecho fundamental a la
protección de datos personales
de todos los residentes en la Unión
Europea".
Ante esta cercanía, la asocia-
ción ha analizado en su blog qué
supondrá esto para el sector. En
primer lugar, ISACA Madrid hace
un llamamiento al tejido empre-
sarial, al sector público y al ter-
cer sector para que "abracen con
intensidad la transformación, plan-
teándose el reto que todo cambio
comporta como una oportunidad
de progreso". Además, considera
Imagen de la pasada edición del congreso&EXPO de Aslan. que han de ser conscientes de
sus deberes y responsabilidades,
"tareas que conllevarán un coste
El pasado 25 de enero se celebraron Finalmente, el tercero consiste en el y no son banales, y que en todo
las elecciones de la asociación tecno- desarrollo de informes e información caso forman parte de sus obliga-
lógica @asLAN, en las que se renovó sectorial, en los que se pondrá foco ciones éticas y sociales para con
su actual junta directiva, se incorpo- en áreas clave en las que la tecnología todos sus grupos de interés".
raron 27 nuevas empresas y se esta- tiene un papel estratégico en la trans- En este contexto, la asociación
bleció el compromiso de trabajar aún formación empresarial. propone reconocer la figura del res-
más con las 114 organizaciones de TI ponsable de protección de datos.
que actualmente forman parte de la Congreso anual Si bien el RGPD se focaliza en el
organización para divulgar y fomentar Asimismo, durante la asam- delegado de protección de datos
el uso de las nuevas tecnologías. blea se abordó la preparación del (DPD), "será necesaria una mayor
Aparte de todo esto, los respon- Congreso&EXPO ASLAN2018, que actividad para desplegar y operar
sables de la entidad anunciaron las se celebrará los días 11 y 12 de abril, las medias técnicas y organizati-
líneas estratégicas de trabajo para en Madrid, y en el que se espera vas de cumplimiento y protección".
2018, cuyo plan de actividades girará reunir a más de 6.000 profesionales. Según la asociación, mientras el
en torno a tres ejes principales, en Francisco Verderas, secretario general responsable de protección de
los que se implicará a las empresas de la asociación, informó de las prin- datos "hace", el DPD "supervisa".
asociadas para crear sinergias y con- cipales novedades en esta edición, Asimismo, esta entidad hace un
seguir la mayor representatividad. que volverá a estar marcada por el llamamiento a la profesionalidad
El primero de ellos es la celebra- fenómeno de la transformación digital. de los expertos en protección de
ción de eventos destacados, como Concretamente, este año las nove- datos. "Su labor ya es lo suficien-
el Congreso&EXPO ASLAN2018, el dades consistirán en que la selección temente ingente como para dificul-
tour tecnológico nacional y los foros de contenidos para los tres foros tarla con intoxicaciones, desave-
especializados en Madrid. sobre tendencias tecnológicas se rea- nencias y conflictos sobre compe-
El segundo es la organización de lizará a través de un "Call for Speakers" tencia o intrusismo". Y añade que
otro tipo de actividades relaciona- para incrementar el nivel de las confe- el RGPD es muy claro en cuanto
les, como los encuentros anuales de rencias, el aumento de los espacios a las labores del responsable de
directivos del sector de TI y los colo- disponibles en la Zona Expo para star- protección de datos y del DPD:
quios y almuerzos para conocer las tups y empresas especializadas y la "se deben tener las competen-
prioridades y necesidades tecnoló- celebración del primer "Encuentro cias, conocimientos y experiencia
gicas de los responsables de TI de Anual Nacional Expertos en requeridos, pero en ningún caso
grandes compañías del IBEX y de la Tecnologías en la Administración es necesaria ni exigible una titula-
Administración Pública. Pública". ción concreta".

80 red seguridad primer trimestre 2018


asociaciones noticias

El CCI impulsa la primera escuela


de ciberseguridad industrial
El Centro de Ciberseguridad Industrial presenta, además,
cuatro estudios sobre la situación de la ciberseguridad
industrial en Argentina, Chile, Perú y Francia.

E l C entro de C iberseguridad esta escuela se convierta en una valio-


Industrial (CCI) ha puesto en mar- sa herramienta para adquirir expe-
cha la primera Escuela Profesional riencias y conocimiento en el campo
de Ciberseguridad Industrial, con el de la ciberseguridad industrial para el como de un adecuado marco nor-
doble objetivo de proporcionar una ecosistema internacional del CCI". mativo que ayude a crearla. Además,
formación profesional de calidad con existe una reticencia general a recono-
un enfoque práctico y la flexibilidad Cuatro estudios cer y modificar los impactos derivados
que necesitan los profesionales y sus Por otra parte, la entidad ha confir- de ciberincidentes ocurridos en las
organizaciones. mado que en los últimos dos meses plantas industriales. Claro que, en el
La Escuela, que dirigirá Susana ha presentado sendos estudios sobre lado positivo, destaca que hay un
Asensio, impartirá a lo largo de 2018 la situación de la ciberseguridad número importante de organizaciones
cursos, talleres y sesiones de con- industrial en Argentina, Chile, Perú y que tienen previsto abordar en breve
cienciación (inmersiones) con el apoyo Francia. En ellos se pone de mani- iniciativas de ciberseguridad industrial.
de un equipo de formadores, y cuyo fiesto que los países latinoamerica- En Francia, en cambio, el esfuerzo
contenido se basará en toda la docu- nos muestran un contexto bastante normativo está ya maduro y se aborda
mentación publicada por el CCI. En parecido, donde destacan la falta de el siguiente paso: la certificación de los
palabras de Asensio: "Deseamos que concienciación de las empresas, así servicios.

Cloud Security Alliance España publica el "V Estudio Indra se reintegra


del Estado del Arte de la Seguridad en la Nube" en Ametic

V
El capítulo español de Cloud Security La patronal representante de
Alliance (CSA-ES), perteneciente a la
ESTUDIO DEL la industria tecnológica digital
asociación ISMS Forum, ha presenta- en España, Ametic, ha anun-
do las conclusiones del "V Estudio del ESTADO DEL ARTE ciado la reincorporación de
Estado del Arte de la Seguridad en la DE LA SEGURIDAD Indra a esta asociación des-
Nube". En esta ocasión, el documen- EN LA NUBE pués de que la compañía se
to amplía su alcance y colaboración, marchara de la organización
contando con la participación de los a finales de 2016.
Una iniciativa de:
capítulos español, peruano y argen- de servicios en la nube dentro de las En opinión de Pedro Mier,
tino y con el capítulo de Madrid de organizaciones sin la aprobación y presidente de Ametic, esto
ISACA, a los que se han sumado conocimiento de sus áreas técnicas; supondrá tener en sus filas
también los capítulos chileno, bolivia- la concienciación en seguridad de los
En colaboración :
de nuevo "a uno de los player
no, brasileño y colombiano de Cloud usuarios en la nube; y la evolución internacionales más relevan-
Security Alliance. que experimenta el tratamiento de tes dentro del mundo tecno-
El estudio identifica las expecta- incidentes en los servicios en la nube, lógico". Y añade: "Nos felici-
tivas en seguridad que tienen los determinando si hay más o menos, si tamos por esta reincorpora-
usuarios en los servicios en la nube, estos cambios se deben a mejorar en ción que refuerza el prestigio
cómo se traducen esas expectativas 2017
la capacidad de gestión, y si tienen de Ametic y que permite al
en requisitos posteriores y cuál es impacto en el coste para la organi- conjunto de nuestros asocia-
el grado de satisfacción sobre ellos. zación del tratamiento de incidentes. dos trabajar codo con codo
Asimismo, analiza la disponibilidad de Por último, el documento centra con sus grandes profesiona-
información sobre la nube y sobre las su campo de estudio en los merca- les para beneficio del sector
certificaciones de seguridad dispo- dos español y latinoamericano en tecnológico español".
nibles, tanto desde el punto de vista aquellos países cuyo capítulo local Indra abandonó Ametic
profesional como empresarial. de Cloud Security Alliance ha parti- hace algo más de año, junto
Aparte de esto, aborda otros temas cipado, ampliando el alcance a otros a otras 70 empresas, por su
de interés para los usuarios como el mercados en la medida en que las desacuerdo con la gestión de
impacto y evolución del fenómeno empresas participantes han facilitado la asociación.
del Shadow IT, que se refiere al uso información sobre ellos.

red seguridad primer trimestre 2018 81


eventos
agenda TIC

SICUR 2018 Mobile World Congress RootedCON Madrid


Del 20 al 23 de febrero. Madrid Del 26 de febrero al 1 de 2018
marzo. Barcelona Del 1 al 3 de marzo. Madrid
Sicur volverá a abrir sus puertas
en Feria de Madrid para concen- En este congreso de carácter Este congreso sobre seguridad
trar las últimas novedades en anual sobre la tecnología global informática, que reunirá a unos
productos, servicios y soluciones y la plataforma I+D se pretende 2.000 hackers, tratará sobre hac-
del mercado internacional de la fomentar la colaboración inter- king, malware, seguridad móvil y
seguridad. Red Seguridad estará nacional en las comunicaciones en la nube y técnicas de ciberde-
presente en el stand 10G02. inalámbricas móviles. fensa, entre otros temas.

www.ifema.es www.mobileworldcongress.com www.rootedcon.es

X Foro de la Privacidad Andalucía Digital Week Hackers Challenge


8 de marzo. Madrid Del 11 al 14 de marzo. Madrid 15 de marzo. Madrid

En este foro se abordarán temas En este evento sobre economía Este evento permitirá comprobar
como el Reglamento General de y sociedad digital participarán qué ocurre cuando una empresa
Protección de Datos, las brechas Seguritecnia y Red Seguridad. sufre un ataque, cuáles son las
de seguridad, las certificaciones Además, Ana Borredá, presidenta herramientas y tácticas de los hac-
profesionales y la figura del dele- de la Fundación Borredá, mode- kers y cómo proteger la red y las
gado de Protección de Datos. rará uno de sus paneles. aplicaciones críticas corporativas.

www.ismsforum.es www.andaluciadigitalweek.com www.hackers-challenge.com

Congreso Auditoría & VII Congreso Nacional de Directores de Seguridad


GRC de ISACA Madrid 24 de abril. Madrid
20 de marzo. Madrid
La séptima edición de este congreso reunirá a cientos de profesionales
Este nuevo congreso, motivado que conocerán el análisis de la figura del director de Seguridad. El centro
por la creciente sensibilidad de las de este evento serán los retos normativos y digitales en la evolución de la
compañías en materia de gobierno, seguridad corporativa a la seguridad organizacional, aunque también ten-
riesgo y cumplimiento, abordará drán importancia la ciberseguridad y conceptos como la resiliencia.
temas como el RGPD, Blockchain
y Auditoría, implementación de
GRC y Data Analytics, entre otros.

www.isaca.org www.redseguridad.com

Congreso&Expo ASLAN InfoSecurity México Infosecurity Europe


11 y 12 de abril. Madrid 23 y 24 de mayo. Ciudad Del 5 al 7 de junio. Londres
de México
La 25 edición del Congreso&Expo Este encuentro contará con la
ASLAN pondrá su foco de aten- Más de 2.500 profesionales visita de cerca de 15.000 profesio-
ción en temáticas como IoT, inte- visitarán este evento en el que nales y de unos 400 expositores,
ligencia y seguridad en la nube, se darán a conocer las mejores quienes recibirán de primera mano
entre otras, para conocer las inno- prácticas para hacer frente a las información relevante acerca de
vaciones tecnológicas. ciberamenazas actuales. soluciones de ciberseguridad.

www.congreso.aslan.es www.infosecuritymexico.com www.infosecurityeurope.com

82 red seguridad primer trimestre 2018


Socios Protectores:

Aeroespacial
y Defensa

www.fundacionborreda.org
Hazte amigo

GLOBALTECHNOLOGY
Patrocinadores: Consultoría de Seguridad Global e Inteligencia

Colaboradores:
your
cybersecurity
company

+ 250 experts
100% commited to cybersecurity
24x7 availability to fight cybercrime
3 countriEs spain | portugal | méxico

www.s21sec.com