Dan Woods, el exagente de la CIA y el FBI que reconoce al humano como punto débil de la ciberseguridad
El experto en seguridad online señala que el principal error en este campo es humano, no técnico, y se basa en la falta de cooperación entre áreas.
6 julio, 2022 02:57La carrera de Dan Woods parece sacada de una película. El experto en ciberseguridad ha trabajado durante años para algunas de las organizaciones más importantes a nivel mundial como el FBI o la CIA ayudando a combatir o perseguir las infracciones relacionadas con el mundo online.
En sus propias palabras y de forma muy resumida, participaba en todos los casos "que involucrasen un ordenador o internet en algún punto".
Según cuenta en una entrevista con D+I, en su paso por la principal agencia de investigación criminal del Departamento de Justicia de Estados Unidos como agente especial, colaboró con el National Center for Missing and Exploited Children (NCMEC) para resolver delitos relacionados con la pornografía infantil, así como en la parte digital asociada a los ataques de ántrax que ocurrieron en Estados Unidos en 2001.
A la par, también investigó casos de fraude online procedentes, en la mayoría de ocasiones, del Internet Crime Complaint Center (IC3), y luchó contra sitios web de captación de terroristas o de recaudación de fondos, a la vez que analizaba el riesgo de los ordenadores del gobierno estadounidense.
Su día a día, según explica, estaba determinado por lo que fuese necesario para avanzar en las operaciones que estuviesen activas en ese momento, tanto las suyos como los de otros agentes a los que prestaba apoyo.
"Cada día en el FBI era diferente y traía nuevos desafíos"
"Algunos días estaba en mi espacio de trabajo revisando extractos bancarios, imágenes o registros telefónicos, otros en el campo ejecutando una orden de allanamiento, otro en un interrogatorio o de vigilancia, otros entrenando, asistiendo a conferencias, reuniéndome con el fiscal…", enumera. "Eso es algo que realmente disfruté de ser agente del FBI, cada día era diferente y traía nuevos desafíos".
El "trabajo de sus sueños" dentro de la CIA
Más allá del FBI, Woods también estuvo un tiempo trabajando para la CIA, la Agencia Central de Inteligencia estadounidense. En esa institución, el experto en seguridad informático ocupó la posición de responsable técnico de operaciones en el Covert Communications Group (CCG).
Según cuenta a este medio, en esa época su día a día consistía en viajar por el mundo enseñando a usar sistemas de comunicaciones encubiertos a las fuentes de inteligencia humana (HUMINT). "Disfruté este puesto, pero no era estrictamente cibernético, por lo que busqué otras oportunidades dentro de la CIA", recuerda.
[El exjefe de la CIA ve la ciberseguridad como un campo de batalla con poco control humano]
Así, le asignaron a la Clandestine Information Technology Office (CITO), dentro de Computer Network Exploitation and Attack Division (CNEAD), que luego se convirtió en parte del Information Operations Center (IOC), que actualmente compone el Directorate of Digital Information (DDI). Fue, en sus propias palabras, el trabajo de sus sueños.
En él, Woods viajaba por el mundo ayudando a los agentes relacionados con las fuentes HUMINT a aprovecharlas para acceder a ordenadores y otros sistemas de información.
"Me cambió la vida ser policía local"
No obstante, ni el puesto en el FBI ni el de la CIA fueron le dieron a este experto en ciberseguridad la mayor lección que aprendió en su etapa laboral. "El trabajo que me cambió la vida fue el de policía local a principios de los años 90", señala.
Durante esta época, condujo un coche patrulla por el área metropolitana de Phoenix (Arizona), donde atendía casos relacionados con la violencia doméstica, robos, falsificaciones, peleas entre bandas, venta de drogas, accidentes de tráfico o desapariciones.
"El trabajo como policía local me enseñó la importancia de la educación y la comunicación efectiva"
"A lo largo de esos años tuve que interrogar a miles de personas de todos los ámbitos de la vida, esas interacciones me enseñaron compasión, empatía, la relevancia de la educación, y, sobre todo, la importancia de la comunicación efectiva", recuerda nuestro protagonista.
Ahora, Woods ocupa el rol de jefe global de Inteligencia en F5, una firma especializada en ciberseguridad, donde se dedica a examinar "miles de millones de transacciones" junto a data scientists, ingenieros y analistas. En concreto, controla operaciones delicadas como las solicitudes de préstamos online, el envío de dinero, las reservas de hoteles… a través de webs o aplicaciones orientadas al público.
El exagente señala que, a medida que analizan las señales asociadas a estos movimientos, encuentran evidencias de ataques maliciosos que comparten con sus clientes en informes períodicos, a la par que los usan para mejorar el conjunto de los productos de seguridad de la compañía donde trabaja.
"Los atacantes no evolucionan hasta que se ven obligados"
Durante su dilatada experiencia en la lucha contra el ciberterrorismo, el experto explica que ha sido testigo de la sofisticación de estas prácticas a medida que avanzaban los años, aunque precisa que solo "en la medida necesaria para superar nuevas contramedidas".
Así, cuenta que, cuando las organizaciones empezaron a utilizar huellas dactilares para evitar inicios de sesión no autorizados, los delincuentes desarrollaron plataformas como Genesis Marketplace que las vendía, además de nombres de usuarios y contraseñas. De la misma forma, al empezar a usar doble factor de autenticación basado en mensajes de texto, los ciberdelincuentes introdujeron los bots OTP.
"Los atacantes no evolucionan hasta que se ven obligados a hacerlo", precisa.
"Los atacantes no evolucionan hasta que se ven obligados a hacerlo"
Woods cree que, a pesar de la multitud de peligros que existen en la actualidad, los estados y las organizaciones "no están tan preparados como deberían" contra el ciberterrorismo.
El experto subraya que las razones varían dependiendo de la tipología del organismo, pero hay algunas que se repiten, entre ellas, la falta de cooperación entre las personas que deben trabajar de forma directa o indirecta en la prevención y detección de ataques, incluso, a veces, llegando a la confrontación. "Puede ser una fricción entre el equipo de seguridad y el de operaciones de red o entre el de seguridad y el comercial".
"Así, el principal error no es técnico, sino humano: proteger algo a expensas de otros, acumular presupuestos, tener una comunicación ineficaz o políticas y procedimientos obsoletos, así como una falta general de liderazgo", resume.
A esto se suman las fusiones o adquisiciones que hacen que las entidades cambien o integren rápidamente sistemas completamente diferentes; la rotación de personal, que resulta en la pérdida de conocimiento institucional o la falta de capacitación y de equipos de seguridad adecuados.
"Con demasiada frecuencia, los estados y las organizaciones intentan abordar todos los desafíos por sí mismos, internamente, cuando la mejor opción es subcontratar ciertas funciones a terceros (por ejemplo, en la gestión de la identidad o el acceso de los clientes, la seguridad, el análisis de la biometría o la identificación de bots maliciosos)", señala.
El papel de los ataques cibernéticos en una guerra será cada vez más relevante
De esta forma, Woods se muestra contundente y precisa que "los ataques cibernéticos durante una guerra han llegado para quedarse".
Según explica, en multitud de ocasiones estos se usan para desactivar el suministro eléctrico, interrumpir las comunicaciones o provocar algún otro efecto que limite la capacidad del estado objetivo para defenderse y, en el lado contrario, pueden emplearse para prevenir un conflicto haciendo que el objetivo se rinda "antes de disparar una sola bala".
Así, dado que las herramientas de la guerra cinética dependen, cada vez más, de funciones como el control remoto, la telemetría, las redes o la interconectividad, el papel de dichos ataques "será más importante con el tiempo".
Sin embargo, no hace falta imaginarse los efectos de estos ataques durante una confrontación, ya que, tal y como cuenta Woods, Rusia y Ucrania han estado utilizando esta carta en las semanas y meses previos al estallido del conflicto.
"No obstante, creo que son más interesantes los ataques cibernéticos que nunca sucedieron o que aún no han sucedido", puntualiza.
"El poder de las capacidades cibernéticas ofensivas de Rusia se sobredimensionaron de forma notable"
El experto en ciberseguridad explica que, antes de la invasión, se creía que, si Rusia invadía Ucrania, el enfrentamiento terminaría en días, pero 100 días después, "aún continúa". "Una razón de esto es que nadie esperaba que el pueblo ucraniano se defendiera tan heroicamente como lo ha hecho, pero otra razón podría ser que el poder y la fuerza del ejército ruso se sobreestimaron enormemente", apunta.
De esta forma, Woods señala que la ausencia de ataques cibernéticos significativos contra los aliados de Ucrania podría significar que "el poder y la sofisticación de las capacidades cibernéticas ofensivas de Rusia también se sobredimensionaron de forma notable".
Una inversión "ni de lejos" suficiente
En este contexto, el exagente de la CIA y el FBI cree que la inversión de Europa en esta materia no es, "ni de lejos", suficiente. Según afirma, este problema "no se resolverá nunca, pero para si quiera abordar una solución cercana, el precio rondaría los miles de millones de dólares".
Además, añade que no se trata solo de desembolsar capital en herramientas, sino también en invertir para solucionar los errores relacionados con los humanos.
En este sentido, Woods cree que las instituciones deberían "mirar hacia adelante" para estar preparados para la próxima amenaza en vez de dedicar esfuerzos a "especular sobre lo que podría suceder a continuación", algo que hacen "con demasiada frecuencia".