Resulta fácil perder la cuenta al ritmo que se suceden los ciberataques contra grandes organizaciones en todo el mundo.
A finales del pasado año, la tecnológica texana SolarWinds fue víctima de un hackeo que afectó a grandes compañías y entidades gubernamentales que utilizan su software Orion. Especialmente en Estados Unidos, cuyos servicios de seguridad lo atribuyeron a Rusia. EE.UU. impuso sanciones a funcionarios de la inteligencia rusa.
En marzo, decenas de miles de empresas que usan el servidor de correo Exchange de Microsoft instalado en sus propios centros de datos fueron víctimas de un ataque. La firma de Redmond lo identificó como procedente de un grupo chino al que llama Hafnium.
El FBI recibió una autorización expresa del Departamento Justicia para 'infiltrarse' en cientos de servidores estadounidenses para borrar el software malicioso causante del daño. Las empresas 'beneficiadas' por esa intervención recibieron después un email comunicándoselo.
Según el exdirector de la CIA, David Petraeus, ahora presidente de KKR Global Institute, partícipe en empresas de ciberseguridad como Optiv e inversor de capital riesgo en una quincena de startups, la pandemia ha sido un importante factor en el incremento de ciberriesgos: "Muchos de nosotros nos hemos trasladado a trabajar en casa. Eso significa que usas un router doméstico, switches y esas cosas. Y, además, muchos hemos añadido dispositivos de IoT, así que hay vulnerabilidades y debilidades que no teníamos en el pasado…".
Estructura obsoletas
No es una gran revelación, por supuesto, pero sí son relevantes algunas consideraciones que hizo al respecto en una conversación con el exjefe del Mossad israelí, Tamir Pardo, también experto en tecnología y ciberseguridad, en el curso de la conferencia Cybertech, en Dubai.
El antiguo jefe de los espías americanos, que tuvo que dimitir cuando apenas llevaba un año el cargo por un escándalo sexual, pone ahora en solfa la estructura de ciberdefensa de la todavía considerada primera potencia mundial, líder en tecnología.
Petraeus llama la atención sobre el 'ataque SolarWinds', con "efectos sobre la cadena de suministros, que se inició dentro de los Estados Unidos. Y ese es un gran desafío, porque nuestros mejores expertos de la NSA [la Agencia se Segtirdad Nacional] están mirando hacia fuera. Recolectando información del exterior. Los esfuerzos de control en el interior corresponden al Homeland Security [equivalente al Ministerio de Interior], que apenas tiene una incipiente agencia de ciberseguridad e infraestructura, CISA, y al FBI".
Destaca Petraeus el hecho de que el ataque fue detectado por una firma privada, FireEye, "no por una organización gubernamental".
En cuanto al que sufrió el software de Microsoft, "muy sofisticado y extendido", cuyo alcance y daño real no está claramente establecido, lo considera la demostración de que "necesitamos nuevas grandes ideas y aproximaciones porque, evidentemente, lo que hemos hecho en el pasado no es adecuado".
Define a la nueva CISA como "el quaterback de todo el sistema que hay que construir", que sin duda va a llevar "un montón de tiempo para reclutar a la gente, ponerlos a trabajar juntos y desarrollar la arquitectura de una organización que, este caso, tendrá que incluir tanto al sector privado como al sector público".
Una tarea que supervisa un grupo de trabajo mixto del Congreso y el Senado de Estados Unidos bajo el curioso nombre de Cyberspace Solarium Commision, que ya ha formulado una serie de "muy buenas recomendaciones" como punto de partida.
Pero todo eso "requiere legislación, autoridad y apropiaciones de capital humano", dice Petraeus.
Reforzar la ciberseguridad
La primera medida, que él aplaude, es el nombramiento de un director nacional del ciberespacio. Un cargo de nueva creación para el que Joe Biden ha seleccionado a Chris Inglis, antiguo director adjunto de la NSA con Bush y con Obama.
La segunda es "el retorno de un ciberexperto a la Casa Blanca para el Consejo Nacional de Seguridad (CNS)", posición que ya había existido anteriormente pero no durante la administración Trump.
Para el cargo de directora de ciberseguridad e infraestructuras Biden ha elegido a Jen Easterly, que ya trabajó para el presidente Obama como asistente especial suya en el CNS y directora de contraterrorismo.
Ambos nombramientos están pendientes de ratificación parlamentaria, como es norma para los altos cargos del gobierno estadounidense.
"Hace falta dar un puñetazo desde las posiciones ejecutivas [de las empresas], desde el sitio del CEO y no desde la gente de IT o el jefe de ciberseguridad. Y esto [los nombramientos] va a ser el puñetazo desde la Casa Blanca, por el presidente o al menos por la vicepresidenta", asegura Petraeus.
Plantea la cuestión de la ciberseguridad "como una contra insurgencia, que tiene que protegerlo todo. Los insurgentes sólo necesitan encontrar una vulnerabilidad para penetrar. Es prioritario que las entidades privadas dispongan de ese tipo de seguridad total, integrada y gestionada con todos los elementos, desde detección de anomalías en el firewall hasta un centro estratégico de operaciones, entrenamiento de los empleados y los administradores de sistemas y verificación de identidad".
"Pero no va a ser fácil para muchos de los negocios que hay por ahí", añade.
"La arquitectura tiene que estar basada en la comprensión de lo que importa en las operaciones de una compañía, lo que debe ser protegido con medidas adicionales. Sus datos y todo lo demás", subraya, planteando la idea de una red global de defensa que abarque al gobierno y a las entidades privadas. Al menos en su país.
Algoritmos contra algoritmos
Petraeus se adentra así en un mundo más complicado, aludiendo a la inteligencia artificial, al señalar que, "en el ámbito militar, crecientemente la batalla será intentar tumbar las redes enemigas del mismo modo que utilizamos sistemas no tripulados en el aire, en tierra y en el espacio".
Mezcla el mundo físico y el ciber al asegurar que "las redes son cada vez más complejas porque incluyen información de sensores y la persona que está a cargo depende del algoritmo de control para dar finalmente el OK", advierte.
"Ahora puedes usar armamento al margen de las reglas de enfrentamiento y que la máquina, en cierto modo, funcione por sí misma, eliminando el algoritmo final. Si mantienes a una persona al final para que autorice apretar el gatillo, tus robots están muertos. Porque el otro no va a tener ese tipo de restricción. Así que la red va a ser muy importante y valiosa y la pelea va a ser entre un creciente número de elementos no controlados por personas".
"Esto incluye, por supuesto, el ciberespacio, donde algoritmos van a combatir contra algoritmos. Y el premio será tumbar las redes enemigas, penetrar en ellas y explotarlo para robar, secuestrar o lo que sea que se quiera lograr", asegura.
Volviendo a la cuestión de crear una red de seguridad que implique al Gobierno y al sector privado, Petraeus conviene en que "tiene que ser altamente fiable, porque será muy valiosa para la penetración del adversario. Y cuantos más elementos haya, más posibles vulnerabilidades también".
"Todo esto tiene que ser desarrollado entendiendo en cada caso cuáles son sus 'joyas de la corona', qué es lo que más importa, cuál la información más sensible y propietaria que necesita proteger por encima de todo", remacha. "No hay una aplicación o producto que, por sí solo, pueda dar toda la ciberseguridad y no disponemos de 'la gran idea' que pueda guiar este proceso".