A medida que el mundo está más conectado y las empresas cuentan con redes más complejas en las que se basan sus negocios, surgía el peligro de los ciberataques y, al mismo tiempo, la figura de aquellos que blindan la ciberseguridad de las empresas. Para conocer un poco más de este mundo, conversamos con Pablo González, Technical Manager & Security en Telefónica Digital España.

Más de 10 años de experiencia avalan a Pablo que, además del puesto que ostenta en el operador, es escritor de diversos libros con temática de Ciberseguridad (Ethical Hacking, Metasploit, Powershell, Kali Linux…), entre ellos una novela de hacking y figura recurrente como conferenciante en congresos nacionales e internacionales, además de ser docente en diversas universidades para sus Másteres de Ciberseguridad.

pablo gonzalez

ADSLZone (AZ) – Siempre se habla de los ciberataques a las grandes empresas, pero ¿PYMES y autónomos son también objetivos? ¿cuál es la situación, en tu opinión, de exposición de los datos de estas empresas en Internet?

Pablo González (PG) – Las PYMES y autónomos son objetivo de los atacantes y cada vez más. Varias son las razones y es que, generalmente, la seguridad no es algo de primer valor para las PYMES y autónomos. Los que se toman la seguridad en serio, en muchas ocasiones, no tienen los recursos y presupuestos adecuados para poder implantar la seguridad adecuada, por lo que prescinden de ella.

Hoy en día, cualquier persona, cualquier autónomo o cualquier PYME tiene un nivel de exposición medio muy alto. La actividad de negocio radica, cada vez más, en Internet y todo el mundo es partícipe de esta nueva sociedad y forma de trabajar.

AZ – ¿Se podría decir que cuanto más pequeña es la empresa, menos en serio se toman la seguridad? ¿Es un problema de concienciación o presupuesto?

PG – Es lo que comenté anteriormente, en algunos casos ocurre, pero no se puede generalizar. Hay empresarios y autónomos que son conscientes de las amenazas de Internet y del mundo digital, pero que no tienen los presupuestos suficientes y deben elegir entre productividad y seguridad.

Lo ideal, desde mi punto de vista, es llevar a cabo un equilibrio entre la productividad, que no puede cesar, y la seguridad de los activos de la organización. Hay que recordar que la seguridad debe ir alineada con la actividad de negocio.

Poco a poco la concienciación es mayor, ya que semanalmente estamos viendo diferentes ataques mediáticos en los que datos son filtrados y se demuestra que las empresas son vulnerables.

AZ – Casi siempre, este tipo de profesionales (autónomos y PYMES) utilizan el mismo dispositivo para uso personal y profesional ¿es buena idea?

PG – No tiene por qué ser mala idea. Es importante entender los riesgos que supone el uso de cualquier dispositivo y de cómo hay que protegerse de forma adecuada. Tampoco podemos decir que es buena idea utilizar dispositivos distintos, si luego utilizamos la misma credencial para diferentes servicios o no utilizamos un segundo factor de autenticación o tenemos los equipos desactualizados.

Es cierto que debemos tener en cuenta que habría que diferenciar el ámbito profesional de lo personal y para ello hay formas para hacerlo correctamente. Lo que queda claro es que BYOD (Bring Your Own Device) es algo que se lleva haciendo durante ya años en las empresas y es algo a tener en cuenta dentro de una gestión de riesgos adecuada.

AZ – Aunque nos fijamos siempre en la última tecnología ¿es también la conducta de los usuarios un problema de seguridad? (P.e.: no preocuparse de quién puede ver la pantalla de su ordenador en una cafetería y usar un filtro polarizado)

PG – Siempre se dice que el eslabón más débil es la persona. Esto no es un tópico, es una realidad. Es más fácil que una persona cometa un error a que, generalmente, lo haga una aplicación o sistema. El ejemplo que indicas es real. Algo tan sencillo cómo ir “regalando” la vista de tu pantalla cuando manejas información sensible es un error en el que mucha gente, directamente, no cae.

Hoy en día los filtros de privacidad son de uso obligado cuando vamos en tren, avión o estamos en cualquier entorno público. Además, la tecnología avanza y ya no tiene porqué ser un elemento externo. Por ejemplo, portátiles como el Elitebook x360 dispone de la tecnología Sure View que permite polarizar la pantalla de tal forma que solo pueda ver el contenido la persona que está delante y no el que está sentado a tu lado.

Hay muchos ejemplos que podemos poner dónde el factor humano es trivial para mejorar la seguridad. Hay que tener en cuenta que las empresas deben construir la cultura de la seguridad desde la base, es decir, los empleados. Es un pilar fundamental dentro de cualquier modelo de defensa.

AZ – La conexión con servicios en la nube, correo, mensajería, entre móviles y ordenadores ¿es otro elemento crítico de la seguridad en las empresas?

PG- La concepción de perímetro ha cambiado. Antes de la irrupción de la ‘nube’, el perímetro de una organización estaba marcado por sus firewalls y elementos de seguridad externos. Actualmente, el perímetro ha migrado a la identidad digital, la cual es un activo de cada persona y es gestionada por ella lejos del perímetro antiguo marcado en las organizaciones.

En otras palabras, las personas utilizan cada vez más servicios externos y los integran en su día a día, por lo que acaban formando parte de amenazas para la empresa. Son vectores de ataque a la empresa difíciles de gestionar.

La utilización de tecnología avanzada y específica es fundamental en el día a día. No solo vale con el antivirus. Van saliendo diferentes soluciones que ayudan a problemas más específicos, por ejemplo, Sure Click de HP, con la que se crea una sesión de navegación aislada, basada en hardware, reduciendo la posibilidad de que el sistema se infecte.

AZ – Según tu experiencia ¿cuántos profesionales/ PYMES saben sacar partido a las características de seguridad de sus ordenadores?

Responder a esto es complejo. Podemos decir que cada vez más, pero el ritmo de soluciones de seguridad que surgen es más rápido que la aplicabilidad o velocidad a la que el usuario aprende y aplica la solución sobre su equipo.

Hoy en día los ordenadores incorporan cada vez más soluciones pensada en fortificar la seguridad de los usuarios. El cifrado de los datos, elementos físicos de privacidad, como Sure View, la protección de la BIOS, la protección del arranque del sistema, por ejemplo, a través de soluciones como SureStart, soluciones antimalware, etcétera. Cada vez hay más soluciones que aportan mayor seguridad al usuario y éste debe ser consciente a través de la concienciación.

AZ – Y la culpa de quién es ¿usuario o fabricante que no sabe «vender» o hacer accesible estos elementos?

PG – El usuario tiene que tener la necesidad de querer proteger su información y su privacidad, pero generalmente el fabricante debe crear recursos que faciliten y acerquen todas las posibilidades de seguridad que ofrece su equipo.

AZ – La última moda es la seguridad biométrica (huella dactilar, rostro con Windows Hello) ¿son tecnologías realmente seguras? O quizás la pregunta del millón es… ¿sabemos utilizarlas bien?

PG – Hay que partir de la base de que ´lo que queremos proteger es una identidad digital, una identidad que cuando es validada por un sistema nos da acceso a recursos. Partiendo de ello, debemos entender que la biometría es un factor de protección más dentro de la complejidad que tiene proteger una identidad.

Se dice que para que una identidad digital sea robusta debe tener tres factores de autenticación. Algo que conocemos, generalmente es un usuario y una contraseña. Algo que tenemos, generalmente es el uso del dispositivo móvil para introducir un token, código generado o un PIN que nos llega a través del SMS. Por último, algo que somos. Aquí es donde entra la biometría. Nuestro rostro, dedo, ojo, etcétera.

Como se puede entender cada factor aporta una dimensión de seguridad a la identidad digital, por lo que la biometría es una tecnología bastante segura, que ayuda a mejor la seguridad de la identidad, pero no por ello debemos entender que solo nos vale con un factor. Lo ideal es ir siempre hacia el modelo de doble factor de autenticación, por ejemplo, utilizar algo que sabemos junto a algo que somos o utilizar algo que sabemos junto a algo que tenemos.