Os dejo reflexiones y notas de mi segunda RootedCON.
Ya se está convirtiendo en tradición el acudir a la RootedCON cada año. Esta es probablemente la conferencia más relevante a nivel nacional en cuanto a seguridad de la información, con miles de asistentes, diferentes salas y varias decenas de ponentes, que pasan edición tras edición por las diferentes ubicaciones geográficas en que se celebra, tanto en España como más allá de nuestras fronteras, como Portugal o Panamá.
En esta ocasión tiene lugar en Madrid, en las magníficas instalaciones de Kinépolis (Ciudad de la Imagen). Vamos a intentar aprovechar esta fría jornada de 7 de marzo de 2024 para asistir a diferentes charlas y conferencias, hacer algo de networking, y ponernos al día acerca de las tendencias del sector a nivel de proveedores de servicios, soluciones y fabricantes.
Nos pasamos por el track de ISACA Madrid Chapter. Introduce la jornada la presidenta de ISACA Madrid, Vanesa Gil Laredo. Arranca con la presentación e introducción de las bondades y beneficios que ofrece tanto la asociación internacional ISACA, misión y objetivos, certificaciones, así como específicamente los servicios ofrecidos desde el capítulo de Madrid a nivel de cursos de preparación para las diferentes certificaciones que ofrecen, conferencias, charlas convalidables por CPEs para mantener las acreditaciones, etc.
A renglón seguido, en la misma sala tiene lugar la mesa redonda “Ciberseguridad y Board, ¿hablamos el mismo idioma?”. Dado el peso que está ganando la gestión de la seguridad de la información en las organizaciones, la interlocución y alineamiento con los Consejos de Administración es cada vez más importante y relevante. Los ponentes Susana Quintás Veloso (consejera en Credit Agricole y Reale), Jose Gregorio Parrado Restrepo (especialista en ciberseguridad y gestión de fraude), Myriam Alcaide Menéndez (senior advisor y consejera), y Juan Diego Torres Serrano (financial country manager de Encore Capital Group), debaten sobre la importancia de incorporar la ciberseguridad como piedra angular para la consecución de los objetivos de la estrategia empresarial.
Apuntan como claves el que los consejeros tengan unos fundamentos de seguridad a alto nivel, y el entendimiento de los riesgos tecnológicos a nivel de negocio. Aclaran que los consejeros supervisan con un rol activo, pero no gestionan el riesgo. Asimismo, deben asegurarse de que se cubran fundamentos básicos como la adecuada gestión de incidentes, haciendo uso de guías de mínimos como las que recomienda el regulador (CNMV).
Recomiendan como estrategias para captar presupuesto: el plantear worst case scenarios, comparaciones con la competencia, o invocar al dios ROI de la seguridad de la información.
Recuerdan de nuevo y enfatizan que es muy relevante tanto el que los consejeros tengan una ligera visión técnica, como que los técnicos conozcan las prioridades y los elementos importantes del negocio.
A preguntas de los asistentes acerca de cómo concienciar, indican que por ejemplo a nivel de ingeniería social, se puede hacer morder el anzuelo a los directivos para que sientan en sus carnes el sesgo de conocimiento. Y que para medir el nivel de riesgo efectivo y enfocarse en lo realmente crítico, o hacer un business case… no hay un martillo de oro, más allá de adaptar metodologías probadas al contexto concreto.
Se cuestiona cómo hacer que la organización se involucre en la seguridad, para que no consista meramente en acciones aisladas o inconexas realizadas por IT en cuando a medidas tomadas o servicios desplegados. Hay que poner de manifiesto cómo toda la organización está interconectada y cómo la seguridad es un facilitador que aporta valor y permite la consecución de los objetivos, no un mero stopper. No es trivial hacerlo sentir a todas las áreas. En cuanto a la confianza en que las inversiones son eficaces, remiten a las tres líneas de defensa, que son las que objetivamente nos darán respuesta a tal cuestión.
Cierran resumiendo con estos conceptos: comunicación, transparencia, didáctica, preparación y vigilancia. O todos hemos sufrido ataques, o lo haremos, de forma directa o indirecta.
Posteriormente pasamos a la sala 19 para asistir a la presentación de “La Leyenda de las 5 OTs”, por parte de David Conde y Guillermo Almagro, del departamento de DFIR de S21Sec.
Lo que se observa los últimos años son más ataques en OT, pero principalmente provenientes de redes IT. Con los insiders como principales amenazas, y con falta de información, visibilidad y datos como denominador común, lo que complica los análisis, y hace perentorio el uso de herramientas de inventario de activos y detección de anomalías, como puede ser Inprotech Guardian.
Nos presentan las pruebas realizadas en su laboratorio. Para ello han empleado el honeypot Conpot (un sistema señuelo), con objeto de aprender de los atacantes y en este caso, poner a prueba las debilidades de cinco dispositivos industriales. Registraron más de 26K ataques desde más de 1000 fuentes diferentes a nivel mundial.
Utilizan por tanto diferentes plataformas combinadas con el honeypot. Muestraron cómo obtener acceso a equipos desprotegidos en Shodan, así como herramientas concretas a utilizar (ipmitool, metasploit, etc.), para incluso descargar hashes de contraseñas para hacer ataques de fuerza bruta en local.
El corolario que se desprende de esto, es que es a día de hoy hay miles de dispositivos en redes industriales conectados a internet, vulnerables, y sobre los que se puede interactuar para temas triviales como cambiar nombre a dispositivos, pero para acciones graves también. Su compromiso podría poner en riesgo, como mínimo temporalmente, la producción de una empresa industrial, o incluso abocarla al cierre. Y quién sabe si incluso provocar problemas de safety de cara a empleados o clientes.
En la mesa redonda “Tipologías de los ciberincidentes vistos desde diferentes instituciones”, María Penilla (Directora General de ZIUR), Francisco Alonso Batuecas (jefe de área de infraestructura TIC en un CETSE), Alexandre Rodríguez (consultor), Daniel González (confundador y COO de Zerolynx), y Marcos Gómez (subdirector y CISO de INCIBE-CERT), hablaron sobre los problemas que deben afrontar los diferentes organismos públicos y privados, la responsabilidad individual, y la falta de mecanismos burocráticos para respuesta ante incidentes en la administración pública, en la que como se sabe, hasta el más mínimo gasto está regulado, procedimentado y sujeto a unos procedimientos de aprobación y plazos algo que colisiona frontalmente con el sentido de urgencia de un ciberincidente grave.
Además, defienden la necesidad tanto de concienciar, como de adherirse a estándares y normas de seguridad nacionales e internacionales (ISO 27001, TISAX, ENS, etc.), o de, dado el volumen de ataques actual, tratar de automatizar la respuesta mediante soluciones SOAR.
Para cerrar la mañana, asistimos a la charla “Economics & Cybersecurity: more importan than you thought”, a cargo de Antonio Ramos de la certificadora de seguridad LeetSecurity.
Le trasluce su background como economista al presentar varias teorías afines interesantes. Comienza hablando de externalidades a la hora de proteger los datos de los clientes (i.e., la empresa toma decisiones pensando en su beneficio sin tener en cuenta el interés colectivo).
Nos proporciona una metodología para calcular el ROI de ciberseguridad, similar a la de la entidad Europea ENISA, o más probabilística. Pero como no podemos predecir el futuro y por tanto obtener una distribución de probabilidad asociada a los eventos negativos, no debemos usar estas fórmulas.
Luego, aplicando la ley de los rendimientos decrecientes, vemos que la mejora en los niveles de protección es inferior conforme el sistema mejora su nivel de madurez. Utilizando esa curva, cuando la pendiente es de 45º sería el punto óptimo de inversión (37% de la pérdida esperada)… pero los autores enfatizan que esta fórmula no debe sustituir al juicio profesional, con lo cual ¡su fiabilidad también es dudosa!
Otro enfoque dice que si la ciberseguridad puede ser una limitación para alcanzar la meta de la organización, cualquier inversión en ciber estaría justificada. Pero en la práctica, esto no se da salvo en el propio sector, por lo que tampoco nos vale.
Uno más, indica que la seguridad se subordina a la limitación y contribuye a que ésta trabaja a máxima capacidad. Ahora sí. Hay que establecer una meta, y establecer las condiciones necesarias de primer y segundo orden para alcanzarlas (entre las que se encuentra la inversión en ciber). Eureka.
A la hora de contarlo, para obtener presupuesto tenemos que expresar en términos de negocio la necesidad: demostrar que contribuimos a los objetivos de negocio de la organización que nos paga. Por ejemplo: “proyecto para asegurar la rentabilidad del ecommerce”.
Nos habla luego de la teoría del consumidor, y cómo afecta por ejemplo a nivel de certificaciones, haciendo que los usuarios tiendan a optar por las certificaciones más baratas y/o fáciles de obtener. O cómo no podemos confiar la seguridad de la cadena de suministro a las certificaciones o los análisis de riesgos que realicen ese actor externo, porque está basado en su propia perspectiva.
Como dice Bruce Shneier en su libro Liars & Outliers: seguridad es lo que necesitamos cuando no hay confianza. Y sin confianza, no habría mercado.
Apunta ya finalizando, el concepto de signaling, y cómo por ejemplo las certificaciones de ISACA garantizan que todos los profesionales que las poseen conocen unos conceptos transversales y tienen una experiencia mínima acreditada, por lo que le otorga más credibilidad.
Y todo ello nos lleva a su compañía, en la que proponen una escala objetiva de medición del nivel de seguridad de las organizaciones, para poder tomar decisiones correctas, a nivel de inversión o colaboración con terceros.
Ya en la sesión vespertina, nos vamos a la sala 25 para asistir a la charla “Dark territory: paralizando la red ferroviaria de un país entero”, a cargo de Gabriela García y David Meléndez de Innotec Security, que nos mostrarán hasta qué punto una infraestructura críticas como es el transporte ferroviario pueden ser especialmente vulnerables a ataques OT.
Comienzan indicando el significado de Dark Territory en el sector ferroviario, que son aquellas zonas en las que no hay control automático a distancia y la seguridad de las operaciones recae enteramente en los operadores humanos. También introducen el concepto de cantón (zona por la que simultáneamente solo puede pasar un tren), los contadores de ejes, los procedimientos de bloqueo de vía manuales y electrónicos, así como el sistema ASFA (anuncio de señales y frenado automático) y las balizas con las que interactúan, a través de señales luminosas. Este sistema permite dotar a la operación de un respaldo para reforzar el significado y advertencia de las señales, que en caso de no estar confirmadas con la respuesta del maquinista, provoca el frenado de emergencia.
Describen cómo se produjo hace 25 años en Navarra un accidente frontal, de los mayores de España, por ausencia del ASFA y pasar por un cambio de vía con un exceso de 150km/h sobre la velocidad normativa.
Vamos ya al quid de la cuestión. Las balizas del ASFA tienen una bobina y un condensador, se basan en la inducción electromagnética. Sin necesidad de alimentación, las balizas rebotan la señal al captador del tren representando una orden. Pero tal y como nos enseñan en el esquema del circuito de la baliza, si se alimenta externamente, podemos incluso con una pila hacer un ataque “Man in the middle” y convertir una señal que debe interpretar el tren, en otra, con los desastrosos efectos que eso podría comportar. Los esquemas de las balizas son públicos (todos los datos excepto los valores de capacitancia e inductancia de condensador y bobina, respectivamente).
Al poco interviene un espectador que indica que con esa propuesta no se conseguiría más allá de parar un tren, pero los ponentes implican que no se debe subestimar el miedo que podría infundir en la población una parada coordinada de trenes a nivel nacional realizada con materiales que se pueden obtener en una ferretería.
Posteriormente y ya para finalizar la jornada, volvemos al track de ISACA en la sala 17 para la mesa redonda “La promesa y el peligro de la revolución de la IA”. En ella participan Ricardo Moya (IA & Tecnología en Telefónica), Ana De La Torre (data scientist para una multinacional alemana), José Miguel Cardona (Auren), Elena García (CISO en Indra) y David Sandoval (IA & Ciber en NTT y Universidad Francisco de Victoria).
Exploran las ventajas, desafíos y preocupaciones que envuelven al uso de la IA en los ámbitos de la ciberseguridad y el mundo empresarial.
Se habla entre otras cosas del robo de datos, en este caso de modelos de IA cuyo entrenamiento puede ser extremadamente costoso. Los tres pilares clave son los modelos, los datos, y la capacidad de cómputo. El tercero se puede alquilar, pero los dos primeros son activos irremplazables.
En cuanto al entrenamiento de los modelos, esto se realiza en base a unos objetivos, en los que podría haber sesgos negativos (o en el objetivo, o en los datos de entrenamiento). Ricardo piensa que los modelos representan los sesgos, pero en su opinión son neutros. En lo que hay que poner el acento es en que exista justicia en la toma de decisiones o devolución de resultados. Ana replica que esto tiene matices, puesto que los datos de entrenamiento deben ser lo suficientemente transversales para eliminar ciertos sesgos que hay consenso en que son perjudiciales.
En cuanto a la explicabilidad de los propios algoritmos, comentan que debemos tener cuidado, puesto que los mecanismos de entrenamiento de LLM son complejos y no fáciles de controlar o manipular. Además de los aspectos éticos de autoría, puesto que en muchos casos se han empleado datos sometidos a derechos de autor, o bien si vamos al ejemplo del software, de código vulnerable de repositorios como GitHub.
Apuntan también que se use con cautela y precaución, revisando siempre los resultados obtenidos por los modelos, pues están basados en estadísticas, y por tanto son meramente probabilísticos. Además indica David que se está comenzando ya a trabajar en metodologías de análisis de amenazas y riesgos asociados a modelos de IA, puesto que se están convirtiendo en activos clave, que como indica la CISO de Indra, deben utilizarse con responsabilidad y siguiendo buenas prácticas. Y se recuerda que deben implantarse políticas de uso responsable.
Para cerrar, Ricardo considera que en cierto modo hemos tocado techo con una IA débil que permite cosas potentes en ámbitos muy limitados y se ha productificado, pero para tener una inteligencia general o AGI hace falta un salto tecnológico que no se prevé a corto plazo. Ana opina que los entes públicos tienen ahora la labor de concienciar y ayudar al uso de estas herramientas de digitalización, que puede marginar a ciertos colectivos. Elena apunta que no ve claros los plazos, pero considera que se avecina una oportunidad para dar un salto en cuanto a productividad, y apalancarnos en la IA para generar mayor valor añadido. David por último lo ve como una oportunidad, con modelos open source, en móvil, en la nube… pero con aspectos negativos en cuanto a que en lugar de un mundo idílico vayamos a una brecha digital con gran exclusión social, y que la desregulación en otros lugares conduzca a escenarios indeseados.
Me da cierta pena no poder asistir a la charla de las 19:00 “HackerOne AWC – Campeones del mundo 2023”, pero las necesidades familiares obligan. En la sesión participará el bug bounter Bernardo Viqueira (aka Icko), que conozco personalmente desde hace un par de años y entrevisté en el podcast.
En ella entiendo contarán las experiencias asociadas a la consecución de ese campeonato del mundo de hacking que ganaron para España el año pasado, dando tips para este tipo de concursos e indicando qué bugs encontraron.
Date de alta sin compromiso en nuestra newsletter para estar al tanto de nuestras novedades, noticias, podcasts, etc. En el email de bienvenida recibirás el código de acceso gratuito a una Masterclass en ciberseguridad. En ese vídeo de casi dos horas de duración, aprenderás a tu ritmo lo fundamental acerca de qué es la seguridad de la información, por qué tiene sentido dedicarse a ello, qué habilidades se requieren, y cómo acceder al sector a nivel profesional.
Comparte esto con quien consideres que puede estar interesado. Y si quieres contactar por privado para cualquier duda o cuestión: oscar.iglesias@daferrasecure.com. Visita la web para conocer mi propuesta de servicios profesionales.
Recuerda que la próxima edición de los cursos avanzados y ejecutivos en ciberseguridad GRC de la Universidad de Mondragón, comienzan el 4 de Abril. Los encontrarás fácilmente googleando.
Gracias por leerme. Stay secure.
Óscar
Excelente crónica como siempre Oscar. Un placer leerte.
Muchas gracias Ricardo. Es un placer saber que aporta algo a la comunidad 🙂