Ciberseguridad: llegó la hora de despertar

Simón Roses, fundador de la «startup» española Vulnex que ha colaborado con el Departamento de Defensa de EE.UU. asegura en una entrevista que ve más factible robar información sin que se enteren que provocar una ciberguerra

Actualizado:

Las estrategias de ciberseguridad reactivas, es decir, aquellas en las que se actúa cuando el ataque ya ha tenido lugar, ya no son una opción. Lo dice Simón Roses, fundador de Vulnex, la primera empresa española que ha ganado un concurso convocado por el DARPA, una agencia perteneciente al Departamento de Defensa de los Estados Unidos.

Ser proactivos

Roses, que ahora mismo viaja a Norteamérica para presentar el proyecto con el que ha ganado dicho concurso, señala a TICbeat que ya no hay que ser reactivos, sino proactivos, y «construir una estrategia de ciberseguridad sólida». «Cuando ya hemos sufrido un ataque, lo único que podemos hacer es evaluar los daños e identificar la brecha para cerrarla. Debemos ser proactivos, desplegar los recursos humanos y técnicos necesarios para evitar ser atacados», indica. «Hoy en día cualquier empresa conectada a internet sufre ataques diariamente, que, en ocasiones, se quedan en intentos, pero en otras los atacantes consiguen sus objetivos», apunta.

El objetivo del proyecto con el que la «startup» española especializada en ciberseguridad ha ganado el concurso ofertado por el DARPA es el de crear software seguro. «La mayoría de vulnerabilidades», indica Roses, «se producen por software inseguro y que se podría haber evitado siguiendo un marco de desarrollo seguro».

Avances

Según el especialista en ciberseguridad, «la seguridad en el mundo del desarrollo está muy atrasada en comparación con la seguridad de redes, donde todo el mundo entiende que debemos utilizar cortafuegos y antivirus». «Esto tiene que cambiar ya», indica Roses, que señala que al «se tienen que incorporar aspectos como diseño seguro, revisión de código fuente y pruebas de seguridad en el desarrollo de software». «Todo software, ya sea una aplicación web o una «app» para el móvil, requiere ser desarrollado siguiendo una metodología de seguridad», razona, pues, así, «el software no solo gana en seguridad, sino también en calidad».

El proyecto de Vulnex consistía en evaluar la seguridad de los compiladores –aquellas herramientas utilizadas para desarrollar software- y «crear una tecnología que permita verificar la postura de seguridad de cualquier binario». A dicha tecnología, nos explica Roses, la han llamado BinSecSweeper.

Defensa en profundidad

Roses cree, además, que hay que trasladar al campo de la ciberseguridad el concepto de «defensa en profundidad», un término militar que se refiere a colocar niveles o capas de defensas que nos protejan, «como en un castillo con un foso, muros, arqueros y aceite caliente». «Cada nivel tiene un objetivo concreto de defensa», explica Roses. «Debemos construir niveles de seguridad en nuestras redes y sistemas tanto de cara a internet (amenazas externas) como internamente (amenazas internas)», añade.

En cuanto a las amenazas que nublan el futuro, a Roses, pese a su relación actual con el Departamento de Defensa de Estados Unidos, le cuesta creer «que veamos una ciberguerra» en algún momento. «Las grandes potencias con capacidades cibernéticas ofensivas y defensivas no están interesadas en provocar una ciberguerra», opina. Los ciberataques que se dan pueden ser, más bien, en algunos casos, «apoyo a actos de guerra convencionales», explica.

Facilidad de robo de datos

«¿Para qué provocar una ciberguerra donde nadie ganaría y se perderían relaciones comerciales, cuando se puede robar información sin que se enteren y seguir teniendo relaciones?», se pregunta. Y es que donde Roses sí ve «mucho peligro», en cambio, es en el espionaje. Hoy en día «la información tiene mucho valor» y, en demasiadas ocasiones, «es muy fácil de robar» por los cibercriminales. El experto en ciberseguridad cita datos de diversos estudios que estiman que «la permanencia media de los atacantes en redes corporativas antes de ser detectados es más de un año». «Imagínese la cantidad de información que se puede llegar a obtener», se lamenta.