Nace el CNCCS contra el cybercrimen

El llamado Consejo Nacional Consultivo de CyberSeguridad se ha constituido con el propósito de asesorar en todo lo relacionado con las políticas de seguridad en los entornos informáticos e Internet

Nace el CNCCS contra el cybercrimen

27 mayo 2009

Se ha presentado el primer consejo asesor formado por diversos representantes del sector de seguridad informática, que es de las pocas industrias del conocimiento en las que España destaca a nivel mundial. Así, Panda Security, S21sec, Hispasec Sistemas y Secuware han unido recursos y esfuerzos para crear el primer consejo asesor destinado a la prevención y el desarrollo de políticas de seguridad globales, así como recomendaciones en caso de una hipotética catástrofe ciberterrorista o la mediación a la hora de crear legislación al respecto.

 

No es una cosa para menospreciar. Ya la UE ha creado recientemente la Agencia Europea de Seguridad (ENISA) justo con este propósito, y en EEUU una de las primeras medidas legislativas aprobadas por Obama ha sido el «plan para el diagnóstico de la seguridad en el ciberespacio» con algunas fantásticas prerrogativas para el presidente de la nación (y comandante en jefe de los ejércitos), como es la de poder  «desenchufar» Internet en caso extremo de amenaza a la seguridad de los estadounidenses (una medida por otra parte que, a la par de asustar a los cibernautas, se duda pueda ser efectiva alguna vez).

 

Volviendo a nuestro país, el CNCCS nace con vocación de aglutinar el conocimiento que poseen las empresas implicadas como miembros fundadores, sin descartar nuevas incorporaciones pues ya se han tenido diversos contactos para invitar a sumarse a esta iniciativa a organismos públicos (Inteco, Red.es, agencia de protección de datos, fuerzas de seguridad del Estado), privados (bancos, operadoras telefónicas, proveedores de acceso) y sin ánimo de lucro (organizaciones de usuarios, fundaciones, ong).

 

«La percepción general es que era necesaria una iniciativa de este tipo para canalizar los esfuerzos de todos, compartir posiciones y poder ejercer influencia en la lucha contra el cybercrimen», comenta Juan Santana, CEO de Panda Security y primero en asumir la presidencia del Consejo que será rotativa cada seis meses.

 

«No ha sido difícil ponerse de acuerdo y creo que podemos aportar diversas perspectivas y puntos de vista desde nuestra experiencia diaria, pues cada uno de nosotros estamos especializados en un aspecto determinado de la seguridad informática, desde el análisis del malware y la creación de antivirus de uso doméstico hasta el blindaje de redes empresariales y entornos colaborativos».

 

Asuntos en el candelero

Y es que son muchos los temas y áreas de trabajo que hay que vigilar, entre otros:

- Protección de infraestructuras críticas (sanidad, energía, transporte…)

- Políticas de seguridad para la empresa (principios, controles, estándares, ISO e inversiones en seguridad)

- Vías de concienciación ciudadana y forma adecuada de comunicar el riesgo

- Protección de la identidad digital, gestión de perfiles y modelos de autenticación/autorización

- Marco legislativo, comprobación del conocimiento efectivo de la ley, si es posible cumplirla y nuevas necesidades normativas

- Uso real de la certificación y firma electrónica: estándares, conocimiento, carencias y temores a la hora de utilizarlo, así como garantías de seguridad de la firma a futuro

- Cloud Security: sistemas, nuevas estructuras y amenazas que pueden entrar en la nube o llegar desde ella

- Protocolos de actuación en empresas y gestión de ataques externos

- Promover el conocimiento de las implicaciones de seguridad por los usuarios en el mundo P2P, todo ello cuidando de no «tocar» el ecosistema TI/Internet para ganar seguridad

 

MESA REDONDA DE EXPERTOS

 

Juan Santana, CEO de Panda Security 

«Cada vez los ataques son más frecuentes y ha cambiado la dinámica del malware. Ahora hay un modelo de negocio detrás, como demuestran las estadísticas que señalan que en 2007 se han multiplicado por diez de un año para otro, o que de esas 15 millones de amenazas detectadas se ha pasado a 26 millones en la actualidad, lo que significa que de 40 virus informáticos nuevos al día en 2003 se ha llegado a los 300.000 en 2008.

 

Por poner un ejemplo, en noviembre pasado una red de ciberdelincuentes se apoderó de 8.000 tarjetas replicadas y distribuidas a 140 personas que en una sola noche lograron desfalcar 8 millones de euros, y es que el 60% del malware actual está compuesto por troyanos bancarios destinados específicamente a robar las claves y contraseñas de los usuarios. Y otra novedad que estamos detectando es el ciberrescate.

 

Pues si el citado aumento de la delincuencia informática se ha producido durante el boom económico de los últimos años, éste se ha agudizado desde el inicio de la crisis económica en la que estamos inmersos actualmente, multiplicándose los casos de espionaje industrial y robo de información empresarial por parte de mafias rusas y chinas, que compran los troyanos a los hackers y luego piden dinero en un e-mail a cambio de ofrecer las claves de desencriptamiento.

 

Lo que tenemos que hacer es colaborar para contribuir a un uso responsable y saludable de la Red y de las TI en todos los ámbitos. También trabajaremos para impulsar esta colaboración a nivel internacional, tanto por parte de la industria como de los gobiernos».

 

Bernardo Quintero, CEO de Hispasec Sistemas

«Nosotros tenemos en marcha en nuestro laboratorio 40 motores de diversos antivirus con cientos de usuarios activos en todo el mundo, por lo que poseemos una visión privilegiada de esta curva exponencial, que ha pasado de menos de medio millón de ataques en junio de 2006 a los más de 2 millones en abril de este año.

 

Y hay de todo, desde los clásicos keyloggers y capturas de pantalla hasta los llamados de doble factor que se baten tanto por e-mail como por SMS, los que ya atacan al nuevo DNI electrónico o escenarios tan surrealistas como que un troyano de Windows acabe afectando a la navegación de un iPhone.

 

Desde luego, ahora hay detrás un claro componente lucrativo, aunque esto solo tampoco explica tal volumen, y yo pienso que tiene que ver más con la teoría de la larga cola y cómo Internet está cambiando la forma de hacer negocios. Una librería normal suele tener en la tienda mil o 2.000 libros en catálogo, pero en un sitio on-line puede albergar millones, y no son precisamente los llamados best-sellers los que proporcionan el grueso de las ventas, sino infinidad de obras específicas vendidas en pequeñas cantidades.

 

Y lo mismo pasa con el malware. Aquellos I Love You y Melissa que en pocas horas o días eran neutralizados perseguían la notoriedad, pero como el objetivo ahora es estar el máximo tiempo posible de incógnito en el ordenador infectado, lo que les interesa es pasar desapercibidos por lo que adoptan múltiples mutaciones, si antes había un patógeno determinado, hoy en día se manifiesta de múltiples y sucesivas versiones que hacen más costosa la vacuna».

 

Xabier Mitxelena, CEO de S21sec

«Cuando empezamos, hace ocho años, lo que se daba era una especie de hacker romántico que se las ingeniaba para entrar en los sitios vedados que se suponía eran infranqueables; y era un joven sin ánimo de lucro que a menudo se pasaba al bando de la luz. Todo eso ha cambiado mucho, ellos y nosotros, y para peor, pues el fraude on-line se ha duplicado (de 1.644 incidentes en 2007 a 3.127 en 2008, y aparte de que los troyanos de hoy ya no son tan simples, lo curioso es que el 44% de los ataques provienen de EEUU).

 

Pero, ¿qué haya incidentes registrados significa que estamos detectándolos todos? Estamos en la Edad Media en cuanto a jurisdicción, sin una legislación común a nivel mundial que pueda ser efectiva ante el phishing bancario, una posible ciberguerra con ataques geopolíticos estratégicos o la destrucción de infraestructuras básicas.

 

El cibercrimen se encuentra en la actualidad muy bien organizado, con multitud de medios a su alcance, con elevados conocimientos técnicos sobre la materia y que ha encontrado un filón inagotable no solo entre millones de particulares confiados, sino que se atreve con grandes empresas y gobiernos.

 

Y en muchas ocasiones no es solo dinero lo que persiguen, sino información, acopio de diversos conocimientos tales como cómo hacer para parar una central nuclear, y puesto que esta información existe y es accesible desde un puesto de ordenador, en cualquier momento puede acabar en las manos de un grupo ciberterrorista.

 

Lo único que podemos decir es que va a ser una carrera de fondo, y que hemos logrado reducir de las 30 o 40 horas que nos ocupaban antes cerrar una incidencia cibernética a las seis horas actuales, con lo que estamos reduciendo notablemente el tiempo de riesgo».

 

Carlos Jiménez, CEO de Secuware

«Con estos datos y todo lo que se está diciendo, si hacemos un poco de prospectiva, ¿qué va a pasar entonces en el futuro? España, a la cabeza de Europa en esta materia, cuenta ya con más de 10 millones de DNI electrónicos emitidos, un instrumento necesario para dar confianza a las transacciones por Internet.

 

Sin embargo, nadie lo utiliza, o porque no sabe para qué o porque aún tiene miedo. Y es una cuestión de educación, porque si bien cualquier dato (una clave, una contraseña, un número de cuenta) que esté en el ordenador se puede copiar y usar de manera fraudulenta, no es lo mismo que una cosa física que está en tu bolsillo como una tarjeta de plástico, no hay una mano que salga de la pantalla y te la pueda quitar.

 

Sin embargo necesita escenarios seguros, claro que sí, y precisamente el Windows no lo protege, y el Vista menos que el XP. Hace cuatro años el entonces secretario de Estado Francisco Ros ya nos pedía que hiciéramos un sistema operativo específico para el eDNI, pues llegará el día que lo queramos usar hasta para votar en una elecciones. Pero a día de hoy no hay un entorno 100% seguro para operar con el eDNI, no hay un condón disponible y la píldora del día de después llega tarde».

 

Más información en:

http://blog.hispasec.com/laboratorio/

http://pandalabs.pandasecurity.com/