Con más de 40.000 ciberataques al día, la ciberdelincuencia se ha incrementado un 125% en España sólo en 2020. Es una de las cifras que han planeado en VLCSOFTING, congreso anual organizado por ITI, el centro tecnológico especializado en TICS, que ha contado con las intervenciones de seis expertos en materia de ciberseguridad y la presencia de cerca de 300 asistentes en formato online.
Según ha explicado la directora gerente de ITI, Laura Olcina, durante la apertura, “en este tipo de ataques cibernéticos, las pequeñas y medianas empresas son las más perjudicadas”. En este sentido, se estima que la pérdida de datos causada por ataques informáticos genera daños por valor de entre 2.000 y 50.000 euros, según INCIBE. Y las pérdidas para las grandes empresas ascienden a los 3,6 millones de euros, según IBM. “La moneda de cambio siempre es la misma: los datos”, ha concluido.
Javier Llácer, director de Servicios Tecnológicos de ITI, ha ejercido el papel de conductor de la jornada. VLCSOFTING es un congreso que arrancó en 2015 con el objetivo de reunir a las empresas en un foro de tendencias y conocimiento sobre tecnología y desarrollo software. En palabras de Llácer “seis ediciones después es un orgullo seguir compartiendo, debatiendo y opinando”. También ha querido agradecer el apoyo de empresas como Ahora, Acernet, Arsys, Esat, Laberit, New Work, Punt Sistemes y VinfoPOL, a VLCSOFTING.
La nueva guerra fría
El primer experto en participar ha sido Miguel A. Juan, socio fundador y codirector general de S2 Grupo. Ha destacado que la ciberseguridad es un reto global siendo por ejemplo “uno de los temas más importantes del encuentro reciente entre Biden y Putin”.
Y es que, ha destacado que actualmente “se está produciendo una ciberguerra, de momento de manera controlada, tanto que los ciberataques van creciendo mientras la criminalidad fuera de la red desciende, siendo la gran mayoría de ellos fraudes informáticos”, ha asegurado. “Hoy en día, los ciberataques mueven más dinero que la droga, siendo una de sus formas habituales de estafa en la red el phising”, ha añadido.
También ha vaticinado que existe un “riesgo de terminar como Black Mirror, porque cada vez hay más sistemas conectados”. A este respecto, el responsable de S2 Grupo ha asegurado que en China por ejemplo los ciudadanos “reciben puntos según su comportamiento, y eso determina cosas como salir del país”. Por ello, ha destacado que es importante “luchar por mantener nuestras libertades”.
Por último, ha aconsejado a las empresas que alguna vez sufran un ciberataque “que no paguen el rescate, porque se convierten en cómplices, no hay garantías de que te devuelvan tus datos o información, y da pie a futuros ataques porque saben que vas a pagar”, ha concluido.
Índice de temas
Conducción autónoma
Otro de los expertos en participar ha sido Carlos Sahuquillo, consultor en ciberseguridad en automoción en GMV, quien ha destacado que “cada vez existen más formas de hackear los vehículos, por ejemplo mediante un dispositivo de rastreo con 4G”.
Sahuquillo ha comentado que existen “muchas formas de conseguir acceder al control de un vehículo”, por lo que las marcas están intentando hacer frente a ellos y dando muchos avances en ciberseguridad en los últimos años.
Ha destacado por último tres claves para el buen funcionamiento de las plataformas de vehículos autónomos como son la “confidencialidad, integridad y la disponibilidad”.
Profesionales en Ciberseguridad
Otro de los retos para conseguir avances en ciberseguridad es el de poder atraer talento para dedicarse a estas tareas. Y según otro de los expertos ponentes, David Bonilla, fundador de Manfred, “en el sector TIC hay más demanda de profesionales que nunca, y es algo que ha llegado para quedarse, al igual que el teletrabajo”.
También ha añadido que casi todas las empresas “han reaccionado tarde y mal al teletrabajo”. Para poder atraer a este talento técnico que pueda dedicarse a tareas de Ciberseguridad es preciso combinar varios factores según Bonilla, como son “ofrecer un salario de mercado, un plan de progreso personal dentro de la compañía, y contar con una misión de empresa que incentive la motivación diaria de los trabajadores”, ha comentado.
Aplicaciones en la nube
Para hablar de protección de las aplicaciones en la nube que se basan en contenedores ha intervenido Paco Barrena, arquitecto de Software y Security Advocate en ITI. En este sentido, ha añadido que los “métodos de seguridad tradicionales no sirven para protegerlas”.
En este aspecto, ha señalado que la “mayoría de las empresas que utilizan Kubernetes lo tienen mal configurado, de forma que cualquier usuario que entre cuenta con permisos para hacer cualquier cosa”. También ha añadido Barrena que de igual forma, muchas empresas que trabajan en la nube con Kubernetes no cifran bien sus datos.
Por último, ha señalado como conclusión que “los sistemas basados en cloud deben ser automáticos, autónomos y específicos”.
APIs, el nuevo desafío en ciberseguridad
Una de las vías de acceso de los ciberataques son las APIs. Para hablar de ello, ha participado Isabelle Mauny, confundadora y Field CTO de 42Crunch. Ha comentado que, desde octubre de 2018, se han reportado unas 300 brechas de seguridad en las APIs. “Los datos que vamos recibiendo, siempre los tenemos que validar, por diferentes razones confiamos y tenemos varios problemas”.
También ha asegurado que el primer problema es que “cometemos errores y somos humanos, podemos implementar mucha seguridad pero haber fallado en esto”. También en este ámbito, se invierten muchos recursos el desarrollo de aplicaciones, pero no en su seguridad. “Cada vez que se hacen cambios en las APIs, se deben realizar pruebas de seguridad, y la gente no está equipada para esto”, ha aconsejado.
Además, ha descrito que “la seguridad siempre ha consistido en construir muros alrededor del Data Center, firewalls, múltiples capas, pero cada vez que se hace una API, se abre un nuevo punto desde internet a este Data Center, y ahí no hay muros, por lo que hay que proteger de nuevo los datos”.
Isabelle Mauny ha puesto varios ejemplos de estas brechas de seguridad en las APIs. El ejemplo más crítico es EQUIFAX por el enorme impacto en Estados Unidos, con más de 270 millones de americanos tuvieron sus datos robados, datos muy sensibles. Como conclusión ha añadido que “nunca tendríamos que consumir datos antes de validarlos, antes de hacer cualquier cosa con ellos, hay que comprobarlo”.