Charla a fondo con uno de los referentes mundiales de la ciberseguridad. Cómo se combate las amenazas, cómo los delincuentes están sofisticando su accionar, cuáles son los peligros que vienen y por qué todo "se va a poner más grande y peor".
Por Maximiliano Poter, enviado especial a México.
La respuesta era siempre la misma al conversar con cualquiera de los centenares de especialistas en ciberseguridad congregados en el reciente Fortinet Xperts Summit que se realizó en Cancún, México. "¿Vas a entrevistar a Derek? Es un rockstar", decían todos, con brillo de admiración en las pupilas.
Derek Manky no es precisamente la versión hacker de Axl Rose. A lo sumo, más bien parece un Chris Martin oficinista. Pero el hombre no necesita campera de cuero ni melena para rockear. Es un experimentado multinstrumentista de raza de la ciberseguridad que sabe tocar todo en esta compleja y peligrosa orquesta mundial y que, encima, parece hablar "sin casete", algo muy poco frecuente en un ámbito donde solo suele escucharse discursos comerciales. Menos marketing y más rock siempre suena mejor y eso lo ha convertido en una de las principales y más autorizadas voces en seguridad IT.
"La inteligencia de amenazas es lo que me motiva cuando me despierto todos los días, en especial trabajando con nuestro equipo de laboratorios de FortiGuard. Nunca hay una jornada aburrida", dice al comienzo del encuentro con la prensa quien hoy es estratega jefe en Seguridad y vicepresidente de Inteligencia Global contra Amenazas de Fortinet, donde arrancó hace 18 años haciendo ingeniería inversa de malware. Y está claro por qué ningún día en todo ese tiempo ha sido tedioso, ya que el escenario de su trabajo es un arriesgado recital de amenazas en constante crecimiento.
"La superficie de ataque está creciendo a un ritmo muy rápido y nunca se va a encoger, nunca se va a contraer. Será más grande", lanza Manky, tan preocupado como ¿divertido, acaso? "Vemos más ciberdelito, ransomware, phishing selectivo, ataques a directores financieros de organizaciones para realizar fraudes y desvío de pagos, ejecución remota de códigos en dispositivos de Internet de las Cosas... Históricamente, cada vez que se introduce una nueva tecnología, los atacantes la siguen. Y una superficie más grande es más fácil de atacar. Ahora tenemos nuevas tecnologías en camino y es solo cuestión de tiempo: El metaverso, Web 3, Satellite IoT... Es un escenario en expansión, y se va a poner peor".
¿Y qué pasa con blockchain?
Blockchain es interesante porque es un catalizador del cibercrimen. Es muy empleado para el lavado de dinero. Nosotros seguimos los ataques, pero también el ecosistema de los ciberdelincuentes. Ese es un gran enfoque de nuestra inteligencia de amenazas. Podemos trazar un mapa de las unidades de negocio de estas organizaciones delictivas y es como ver un espejo del mundo real. Tienen piratas, falsificadores, mulas. El lavado de dinero se ha estado utilizando para el crimen durante siglos. Antes de las criptomonedas, tenías una o dos plataformas para eso: efectivo, transferencias bancarias y cosas como Western Union. Cosas fáciles de rastrear. Podías ponerle regulaciones y activar alertas. Pero con cripto y blockchain, la cuestión es el tiempo que demanda poder seguir los fondos.
Se puede, pero es una pesadilla...
Sí, especialmente cuando hay 100 monedas y están automatizado el lavado: un cambio de moneda, otro cambio de moneda, y así. ¡Es un laberinto! Se puede rastrear, pero requiere mucho tiempo de esfuerzo, especialmente para las autoridades. Solo para darle una idea: si le doy a uno de mis mejores analistas un malware común, como un troyano o algo que no está encriptado, podría tener un informe completo y detallado en 24 horas. Pero algo como LockBit puede tomar unas dos semanas. Lo hacen así para retrasarnos. Porque se necesita mucho más tiempo para analizar y aplicar ingeniería inversa. El problema con los grupos de ciberdelincuentes es que amplían su guion, su manual de jugadas, la lista de técnicas, tácticas, armas y estrategias que utilizan.
¿Cuán importante es la regulación de protección de datos?
Muy importante, pero lo es más reportar las brechas de seguridad. En última instancia, todo se trata de transparencia. Con la protección de datos tienes regulación, y con ella controles de seguridad, cumplimiento, y eso ayuda. Pero quiero ver más reportes, porque cualquiera puede ser una víctima y compartirlo ayuda a toda la comunidad de seguridad desde una perspectiva de inteligencia de amenazas, porque podemos entender, mapear y proteger mejor en el futuro. Además, también impone responsabilidad contable en las organizaciones. Si los reportes de brechas fueran obligatorios, habría una mejor postura de seguridad y menos daños económicos. Pero eso es todo un desafío, no es fácil.
El hombre detrás del guion
La ciberseguridad sigue un playbook, de un lado y del otro de la historia. Pero el manual de estrategias de los ciberdelincuentes se está haciendo cada vez más elaborado y sofisticado.
"Ahora se centran más en el reconocimiento. Gran cantidad del ransomware no está dirigido. Se intenta golpear tantos sistemas como sea posible. Pero en la actualidad se está volviendo más específico, están dedicando más tiempo a la elaboración de planes y saber cuáles son los activos de mayor valor", explica el especialista. "En realidad, si ves el volumen de ransomware, está disminuyendo, pero la cantidad monetaria real va en aumento. Tienen un perfil más alto y dirigido".
¿Cuál es la principal amenaza que ve hoy?
Wipers, el malware escrito para destruir sistemas que se usaba tradicionalmente para ataques a Estados, como eliminar sus redes eléctricas, por ejemplo. Pero estamos viendo un desplazamiento hacia las redes de TI ahora. Comenzó con ocho ataques en Ucrania y ahora ya lo hemos visto 14.700 veces en todo el mundo, con 3.081 detecciones en América Latina del mismo material que se usó en aquel país.
Esto es parte de la expansión del playbook. Hay doble, triple extorsión y este otro elemento. Es una gran amenaza. Lo que están empezando a hacer es, en lugar de derribar todo, tumban un par de sistemas para demostrar que hablan en serio. Esa es una forma en que lo están monetizando. Odio hacer esta analogía, pero es como en esas películas donde un ladrón entra a una tienda y le dispara a una persona para demostrar que es bravo y no está bromeando. Esto es lo mismo.
Le puede interesar: Binance golpeada por un hackeo millonario
¿Qué podremos ver en los próximos cinco años en términos amenazas?
Mencioné Web3, Internet Satelital de las Cosas, pero también Quatum Attacks. Esa es la próxima carrera armamentista. De hecho, la NSA tuvo que volver a cero con cifrados ya revelados por la cuántica.
Veo más expansión del playbook, de amenazas destructivas y la weaponización de la inteligencia artificial por parte de los atacantes. No lo están haciendo en este momento porque no lo necesitan. Han disfrutado de mucho éxito con lo que llamamos "la fruta al alcance de la mano", como el phishing y otros ataques que todavía les funcionan.
Hay humanos detrás de todo ahora, pero en el futuro eso será completamente mecánico. Comenzaron a introducir el machine learning y la IA desde un punto de vista ofensivo.
En el pasado, los atacantes han sido perezosos. Han disfrutado del éxito. Ahora tienen más resistencia y se están volviendo más específicos. Están elevando su juego.
Y de nuestra parte, nos vemos obligados a estar el 100% a nivel. Es como ese viejo dicho: ellos pueden hacer un millón de cosas mal pero una bien y eso está OK. Nosotros hacemos un millón bien, pero una mal, y es un gran problema. Ese es el equilibrio injusto.
Se suele mencionar las analogías entre los virus humanos e informáticos. La forma en que se propagan y se los mitigan. Y es asombrosamente similar. Bueno, en ese mismo sentido, el cibercimen es una pandemia. Realmente lo es.