El "fallo de mercado" que explica por qué los problemas de ciberseguridad irán a más a pesar de que la inversión y la concienciación crezcan: "Difícilmente se puede seguir este ritmo"

El hallazgo hace unos días de una vulnerabilidad crítica en Log4j, una solución de código abierto que desarrolla la Apache Software Foundation, ha puesto a la industria tecnológica contra las cuerdas. La aplicación es una biblioteca de logs, un listado de eventos y cambios en una red o un dispositivo, y algo fundamental para que los equipos de seguridad o desarrollo puedan hacer su trabajo.

La vulnerabilidad apareció de forma repentina y obligó a cientos de especialistas en ciberseguridad de todo el mundo a trabajar contra reloj en jornadas maratonianas que se prolongaron durante todo un fin de semana. Alejandro González, director del departamento de Ciberseguridad de la empresa gallega Tarlogic, corroboraba este extremo a Business Insider España.

El problema no era tanto encontrar la vulnerabilidad y 'cerrar' ese agujero, ya que en compañías con 2 o 3 servidores es algo relativamente sencillo. Pero, ¿qué ocurre cuando una gran multinacional tiene que mirar si adolece ese fallo de seguridad en miles de dispositivos, uno a uno? Ocurre que no solo tiene una brecha, sino miles de brechas que hay que tapar lo antes posible.

Chris Wysopal, jefe de Tecnología en una empresa de ciberseguridad llamada VeraCode, iba más allá y exponía en ejemplo de qué se había convertido el hallazgo de esta vulnerabilidad. Lo hacía en unas contundentes declaraciones que recogía en este artículo la MIT Technology Review. Estas vulnerabilidades nacen en el desarrollo de productos tecnológicos.

Para poder encontrar esas mismas vulnerabilidades, necesitas contar con alguien que entienda ese producto. Los modelos actuales, que hunden sus raíces en hackers éticos que se han convertido en 'cazadores' de bugs a cambio de recompensas económicas, no termina de funcionar. Sobre todo, porque esos hackers no pueden conocer al 100% los entresijos de un producto.

Microsoft paga menos en su programa de 'bug bounty', y eso ha provocado que un hacker que le informó de una vulnerabilidad ahora difunda cómo sortear su parche

"Es, sin lugar a dudas, un fallo de mercado", resumía Wysopal. "Nos quedamos con la parte buena del código abierto, mientras que otro asume todos los problemas de la parte mala. Tiene que haber más financiación y recursos para reparar estas brechas".

Pero hay otro problema. Todo evoluciona demasiado rápido.

Aumenta la superficie de ataque y, con ella, los riesgos en ciberseguridad

"Los roles de ciberseguridad están más reconocidos que nunca. Las capacidades y el presupuesto también han crecido. Pero la brecha entre lo que hay y el ideal que debería alcanzar cada empresa sigue creciendo", denunciaba José Lancharro, director de BlackArrow, el departamento de Servicios Ofensivos y Defensivos de la firma Tarlogic, en una conversación con este medio.

Lancharro es el responsable de la marca de ciberseguridad avanzada de esta compañía gallega. Y lo explicaba así: "El COVID ha hecho que la transformación digital sea muchísimo más acelerada de lo que hubiese sido en condiciones normales en multitud de empresas". La posibilidad de trabajar en remoto igual se contemplaba para dentro de unos años, no "de la noche a la mañana".

"Eso ha implicado unos cambios tecnológicos tan grandes en las empresas que la función de seguridad difícilmente ha podido ir al mismo ritmo para asegurarse de que todos esos cambios se han aplicado en las condiciones óptimas de seguridad", continuaba.

Aunque hoy "nadie duda de la extrema necesidad de concienciar en ciberseguridad", la transformación digital "ha sido tan bestia" que se sigue sin dar "abasto". "Esa brecha es ahora más grande que antes de la pandemia". "Nos encontramos con CISO" (jefes de ciberseguridad) "con presupuestos insuficientes". Esa, según el propio Lancharro, es "la foto actual del sector".

De gamberradas adolescentes a complejas organizaciones criminales: así han evolucionado los ciberataques en 11 grandes golpes de la historia

"El teletrabajo, aunque no ha venido para quedarse, como muchos pensaban, ha servido para que haya empresas que le hayan visto las orejas al lobo", coincide Josep Albors, responsable de Investigación y Concienciación de ESET España. "Pero hay muchas que todavía no, que hasta que no les pase algo serio no tomarán las medidas adecuadas". "O ni eso", lamenta.

Eusebio Nieva, por su parte, cree que esa brecha "ha sido históricamente así" y "siempre será así". Nieva es director técnico de Check Point para España y Portugal, una multinacional israelí de la ciberseguridad. "Las tecnologías tienen ciertas fases de lanzamiento, de éxito, de madurez, y desgraciadamente la seguridad no forma parte de la fase inicial".

"Todo lo que sean novedades en tecnología provoca agujeros en seguridad. Hay una carencia generalizada. En el desarrollo no se miran todos estos temas", corrobora Alejandro González, también de Tarlogic. Rafael Rosell, director comercial de S2 Grupo, confirma que la digitalización conlleva "enormes necesidades de ciberseguridad".

"No puede haber transformación digital que no contemple este parámetro". Pero, según data el propio Rosell, 3 de cada 10 empresas no se creen mejor preparadas para abordar amenazas actuales. "El mayor desafío en 2022 es que se ha expandido significativamente la superficie de ataque y, por ende, se traduce en mayores riesgos".

Es, incide Lancharro, "un caldo de cultivo perfecto". "Muchos clientes nos dicen que pensaban que tenían controladas ciertas nuevas tecnologías pero ahora reconocen que no saben ni lo que hay. Los CISO están teniendo estas conversaciones con los CEO para que sean conscientes. El CEO impulsa y mete inversión, pero se está ahondando en esa brecha".

"Muchas empresas ya están pensando en la siguiente gran pandemia o en cuál será la siguiente gran ola disruptiva que podamos sufrir. Para el siguiente COVID o para la siguiente catástrofe".

El 'threat hunting' y los equipos azules y rojos, posibles soluciones

Lancharro ve que muchos CEO "están priorizando inversiones en tecnología y en transformación digital antes que en proteger sus activos", pero concede que eso es lo normal y esperable. "Al final las empresas se dedican a lo que se dedican. Los bancos venden productos financieros. Una fábrica de hacer tornillos fabrica tornillos, no se dedica a seguridad", explica.

Por eso hay que entender la diferencia entre invertir en esa digitalización "para la resiliencia de los negocios", no necesariamente para que estos sean "más seguros", lo que deja una serie de desafíos para la industria de la ciberseguridad al completo. Lo ideal sería contar con una perspectiva de la ciberseguridad desde el diseño y producción de un producto.

Pero no ocurre.

Por eso Lancharro identifica varios desafíos en materia de ciberseguridad para 2022: "Pérdida de control: muchas compañías no saben a qué se enfrentan y hay amenazas todavía desconocidas. Las mafias de ransomware siguen haciendo su agosto aprovechando esta brecha y hay más superficie expuesta a ataques".

Para tratar de cerrar esa brecha se puede recurrir a los servicios de ciberseguridad tradicionales, "que no hay que abandonar", pero también hay que reforzar los equipos de seguridad. "Hay falta de talento, de perfiles concretos y especializados". Muchas compañías no son capaces de asumir la necesidad de reevaluar el precio de ese talentoy sus crecientes sueldos.

Por eso la alternativa es confiar en proveedores que sí sean capaces de abordar esa inversión, esos sueldos para un personal técnico, formado y especializado que tengan la capacidad de formar parte de un blue team y de un red team. En el ámbito de la ciberseguridad, el equipo azul y el equipo rojo forman parte de las defensas y de los autoataques que se puede hacer una organización.

Así entrenan los expertos en ciberseguridad de Telefónica: dos guerrillas de hackers profesionales luchan a diario en secreto para prepararse ante ciberataques reales

Tanto uno como otro son indispensables para que una organización, a base de simulacros realistas de ciberataques, puedan comprobar su capacidad para abordar un conflicto real.

Además de los blue team y red team, Lancharro también cree que en unos años explotará el threat hunting. En inglés, estos "cazadores de amenazas" pueden definirse de múltiples maneras. Para Lancharro son un equipo "capaz de detectar amenazas desconocidas". Muchos tratan de abordar esa función con enfoques clásicos, como un centro de ciberseguridad o SOC.

Pero para poder detectar amenazas desconocidas, el especialista de Tarlogic recuerda que se necesita gente con unas capacidades y habilidades "muy finas" que lean "toda la telemetría de una red" para que "allá donde haya un patrón desconocido, estas personas sean capaces de detectar si algo es sospechoso o directamente malicioso".

"Es un servicio que está por explotar y que será el súmmum en unos años".

Hasta entonces, la brecha entre nuevas tecnologías, digitalización y seguridad informática seguirá ampliándose hasta que ese "fallo de mercado" se solucione.