CISOVERSO es una startup española que ha configurado un entorno virtual dedicado a estos responsables de seguridad digital, proveedores de servicios, hackers o abogados, que podrán compartir y acceder a esta plataforma de contenido exclusivo y privado.
Los ciberdelincuentes ya no son los individuos independientes y amateurs que nos hemos imaginado siempre, sino que forman grandes empresas
El evento ha comenzado con Thomas Hurd, director de la Oficina de Seguridad y Contraterrorismo del Gobierno del Reino Unido, que ha advertido, tomando como ejemplo el Grupo Conti, que los ciberdelincuentes ya no son los individuos independientes, incluso amateur, que nos hemos imaginado siempre, sino que ahora forman grandes empresas que operan como otra cualquiera del mercado: se organizan en departamentos, los trabajadores tienen salarios y negocian con sus víctimas como si de un cliente se tratase.
Los ataques se dirigen a plantas industriales, empresas, hospitales y hasta ciudades enteras, que sufrirán una bajada de su rentabilidad, pero también un riesgo potencial sobre la vida de sus empleados y clientes. Hurd afirma que la pregunta que se están planteando los CISO es: “Ransomware: pagar o no pagar”, y es que estos profesionales deben conocer qué ataques se han producido en su sector y las tácticas de negociación que utilizan los hackers para saber elaborar un plan y llevarlo a cabo de forma eficaz.
Sus consejos son precisos: actuar y solucionar los problemas más que discutir sobre ellos; tener un plan de prevención además de distintas alternativas; saber manejar las cuentas de criptomonedas teniendo en cuenta los posibles riesgos fiscales que implica el uso de activos digitales, como el blanqueo de dinero; no asumir un posicionamiento público sobre el pago del rescate para no dañar la reputación de la empresa ni informar de dicha decisión al atacante; y, sobre todo, entrenar y dar un contexto a nuestro equipo para que sepa cómo actúan estas organizaciones. El ponente ha finalizado afirmando: “la ciberseguridad es vista normalmente por los empleados como un coste para la compañía, pero tiene que considerarse como un tema de protección; estamos en primera línea para los ataques.”
Rusia se convierte en el país más ciberatacado tras la invasión a Ucrania
Leer más
Vulnerabilidad frente a los ciberataques
Enrique Serrano, fundador y CEO de Hackrocks, también ha aportado su labor de concienciación sobre la ciberseguridad a partir de una prueba desde su “tableta de demos” para examinar si el dispositivo estaba infectado con Pegasus. Asimismo, señala que hay múltiples vías de infección cuyo objetivo más vulnerable son las personas.
La mayoría de las personas no son celebridades o líderes políticos, por lo que piensan que carecen de interés para los hackers. Sin embargo, él explica que pueden ser un medio de acceso a otras personas. Distingue entre ataques oportunistas, que son muy rentables económicamente, como mandar un ransomware a una lista de millones de correos electrónicos y sacar beneficio a partir de unos pocos usuarios que estén dispuestos a pagar; y ataques dirigidos que, sin embargo, requieren más tiempo y una investigación previa en el mundo físico.
Al finalizar la demo, Serrano ha recalcado que si el móvil está infectado, no va a salir un mensaje final que diga “Sí, tienes Pegasus”, sino que aparecerán indicadores como el consumo muy rápido de batería y de datos, el calentamiento del dispositivo o algún permiso anómalo de una aplicación que nos haga sospechar.
La revolución del blockchain
El evento ha contado además con dos mesas redondas. La primera ha sido moderada por Alberto López, director de IT y Seguridad en Solaria, e integrada por Marcos Carrera, Alfredo Muñoz, Óscar Delgado e Íñigo García. Cada uno ha expresado su visión sobre la tecnología Blockchain y sus muchas utilidades que ya triunfan entre los consumidores y algunas que no han alcanzado todavía una gran popularidad: tokenización, trazabilidad, automatización, cobro de salario por minutos, DeFi y el amplio y tan tratado mundo de las criptomonedas, en el que incluye Bitcoin, Stablecoins, Thunder Token Wallet y aquellas propias de organismos como el Banco Central Europeo. Toda esta tecnología supone un futuro basado en la descentralización, pero van a ser sistemas de confianza.
Recalcan la importancia de formarse en estas tecnologías disruptivas, eliminar la especulación que las desprestigian, conocer las tendencias y fomentar la ampliación del talento “cripto” en las empresas, ya que “la falta de profesionales con suficiente conocimiento y experiencia está haciendo que se esté contratando y pagando a gente por encima de su experiencia”, afirma Delgado. La conclusión de los ponentes ha sido: “Podemos prohibir lo cripto, pero va a seguir funcionando y superándonos, y por ello debemos regularlo”.
El 28% de las empresas perdió clientes a raíz de un ciberataque
Leer más
Regulación y compliance, ¿son posibles?
En la segunda mesa redonda, Rosa Kariger, Global CISO de Iberdrola, ha sido la moderadora entre cuatro profesionales del mundo del Derecho: Ofelia Tejerina, Borja Adsuara, Juan Miguel Pulpillo y Susana González, que han debatido sobre la regulación y el “compliance” (cumplimiento) de la ciberseguridad. Destaca la reflexión de Adsuara sobre el Código Europeo respecto al anglosajón: “No hemos creado un sistema proclive a la innovación”.
“Los especialistas en protección de datos no se ponen de acuerdo en su regulación, es el sector privado de las empresas, como las aseguradoras, las que van a ir sacando adelante muchas cosas que el legislador no es capaz”
También han mencionado la necesidad de simplificar el lenguaje jurídico, pero reconocen la dificultad que supone regular una materia tan volátil: “Los especialistas en protección de datos no se ponen de acuerdo en su regulación, es el sector privado de las empresas, como las aseguradoras, las que van a ir sacando adelante muchas cosas que el legislador no es capaz”. Añaden que “el Reglamento General de Protección de Datos es de imposible cumplimiento; todas las empresas españolas podrían ser sancionadas si se las examinara. (…) Pero éstas no pueden echar la culpa a los usuarios cuando son sus sistemas los que tienen grandes brechas de seguridad”. Los expertos han reprobado además la ausencia de sanciones por el incumplimiento de leyes por parte de las Administraciones Públicas.
Si (
No(
