Las cada vez mayores opciones de objetos cotidianos conectados a Internet –televisiones, automóviles e incluso gafas- levantan cierta preocupación entre los expertos asistentes al II ESET Security Forum, especialmente por la necesidad de concienciación de ciudadanos, empresas y administración pública a la hora de utilizar con sensatez los nuevos dispositivos en red. El ESET Security Forum es un punto de encuentro entre profesionales de la seguridad en España y en esta segunda edición ha reunido a Pablo Fernández Burgueño, socio fundador de Abanlex Abogados; César Lorenzana, Capitán del Grupo de Delitos Telemáticos de la Guardia Civil; Luis García Pascual, Inspector Jefe de la 1ª Sección Operativa de Protección al Menor-PRM de la Brigada de Investigación Tecnológica del Cuerpo Nacional de Policía; Ángel Pablo Avilés, editor de “El Blog de Angelucho”; Jaime Sánchez, consultor independiente en materia de seguridad; Daniel García, auditor e investigador en el campo de la seguridad informática; y Josep Albors, director del laboratorio de ESET España.
“Sin duda, asistimos a un mundo de nuevas amenazas a las que tenemos que mirar con precaución”, aseguró César Lorenzana. “La mayor preocupación es cómo se va a comprometer la información existente en los nuevos dispositivos: que un delincuente ataque un móvil no tiene por qué ir más allá de un robo de información o saldo, pero si se manipula un automóvil o una nevera, e incluso un marcapasos, puede ser mucho más grave. Mi miedo es que la tecnología está entrando en muchos sitios sin tener en cuenta las consecuencias que puede conllevar un fallo de seguridad”.
Por su parte, Daniel García afirmó que “estamos muy expuestos a las amenazas de seguridad, incluso con software libre, que parece menos peligroso. Existen muchos puntos de ataque posibles en cualquier dispositivo conectado. Lo único que nos queda es tener prudencia y sentido común, pero no hay muchas más opciones”.
Según Pablo Fernández Burgueño, “hay que diferenciar los periféricos conectados a la red de los elementos que se encuentran en la red, como las farolas inteligentes, aunque con cualquiera de las dos opciones se pueden cometer delitos. Por ejemplo, si se ataca a una cafetera conectada al servidor que permite a los usuarios elegir opciones como “leche sin lactosa para alérgicos” para que se elabore el café con leche de vaca, se puede incluso incurrir en un delito de asesinato, según el artículo 138 del Código Penal”.
“No hay nada nuevo. Internet es una ventana al mundo y los delincuentes miran a través de ella para ver cómo puede cometer delitos, da igual el objetivo: son sólo nuevas formas de atentar, las amenazas van a ser las mismas”, afirmó Ángel Pablo Avilés. “Lo único que nos salvará será el sentido común”.
Para Luis García Pascual, “no podemos seguir con el papel y el bolígrafo, hay que adaptarse a las nuevas tecnologías aunque estemos expuestos al delito, pero también estaremos preparados para incrementar la seguridad”.
En su intervención, Jaime Sánchez afirmó que “nosotros mismos somos responsables del problema si queremos. Vamos mucho más rápido de lo que deberíamos. El mismo móvil hoy mismo puede ser un instrumento para acceder a los datos confidenciales de una empresa. No hace falta pensar en el futuro: es necesario sentar bases de seguridad en el presente”.
Para Josep Albors, “no necesariamente los nuevos dispositivos implican nuevas amenazas; nos olvidamos a veces de los hackers que buscan también agujeros para mejorar la seguridad de los ciudadanos. La mayor amenaza es la gestión que hacemos los ciudadanos de los dispositivos que utilizamos”.
Avances en la ciberprotección de infraestructuras críticas
La protección de infraestructuras críticas se ha hecho imprescindible para evitar posibles tragedias en atentados realizados desde la manipulación de los objetivos a través de la red. Por ello, Jaime Sánchez asegura que aunque “aún estamos muy lejos de poder asegurar que las infraestructuras críticas están seguras en España, hay muchas instituciones haciendo un gran trabajo, pero falta una estrategia a largo plazo para poder defender los puntos clave de infraestructura en España”.
Por otro lado, Luis García Pascual afirma que “en tiempos de paz, hay que tener en cuenta que el 80% las infraestructuras críticas, aproximadamente, está en manos de gestión privada, por lo que existen mecanismos de seguridad lógica y acorde con las posibilidades de ataque. Es necesario un sistema replicante y un sistema de alerta temprana a través de los CERT”.
Según Ángel Pablo Avilés: “como ciudadano, yo creo que sí que estamos avanzando, aunque no sé si lo suficiente. Existen organismos de ciberdefensa y las fuerzas y cuerpos de seguridad del Estado cada vez están más preparados para asumir cualquier ataque”.
La seguridad debe ser la máxima prioridad para Pablo Fernández Burgueño que también afirmó que “aunque la seguridad al 100% es inalcanzable, es necesario contar con expertos desde el sector privado y con las fuerzas y cuerpos de seguridad del estado, que, en el caso de España, son de los más preparados del mundo. Además, hay que crear sistemas de respuesta automática. Finalmente, hay que generar sistemas que soporten la tecnología desde el punto de vista analógico para poder seguir en marcha en caso de un ataque”.
Daniel García se mostró más cauto al asegurar que “se está intentando legislar pero, según la experiencia, hay que cumplir con la legislación también y eso se nos olvida a veces”.
Según César Lorenzana, “si hace unos años nos dicen que la seguridad nuclear se podía comprometer, no lo habríamos creído. Ahora nos preocupamos, pero las amenazas siempre han estado ahí. Estamos mejor de lo que estábamos, pero aún queda un largo camino por recorrer. El tema de la seguridad es un estado mental: ser conscientes de que existe un problema y que hay que acabar con él, por lo que hay que cambiar la mentalidad de operadoras, empresas y ciudadanos para poder reducir el problema al mínimo. Nuestra responsabilidad ahora mismo es mantener esa inquietud para que todo el mundo sea consciente”.
Finalmente, Josep Albors sentenció que “necesitamos sobre todo concienciación y recursos, tanto financieros como de profesionales”.
En definitiva, los asistentes al II ESET Security Forum creen que el Internet de las cosas es imparable y las amenazas que ello conlleva también, por lo que, cada vez más, es necesario actuar con sentido común a la hora de hacer uso de los dispositivos conectados. Además, la posibilidad de que las infraestructuras críticas puedan ser vulnerables a ataques cibernéticos existe pero, sin duda, estamos más avanzados que hace unos años, y, aunque la seguridad plena es una quimera, aún queda mucho camino por recorrer.