«No hay seguridad infalible»

Edgar Chillón, director de Cyber Security Room de MNEMO México, ha concedido una entrevista al blog mexicano «Byte». Una charla en la que ha hablado sobre el Cyber Security Room y el trabajo de MNEMO en México.

¿Cómo funciona su Cyber Security Room?
El Cyber Security Room es un área a la que también se le puede denominar “área de hacking ético”. Es un área que ofrece servicios para medir el estado de seguridad tanto de un dispositivo móvil como de una laptop del tipo que tienen principalmente las organizaciones y donde están nuestros datos. Buscamos vulnerabilidades o debilidades, esos puntos flacos que pueden ser tomados o aprovechados en ventaja, y permitir acceso a información que tal vez es confidencial, y que no se debería estar observando, por su carácter privado. El hecho de que una empresa, una institución sepa qué te duele, tiene toda la intención de establecer controles o mejoras que permitan que esas esos puntos de riesgo se minimicen. Esto significa que, una vez que pudiste entrar en mi servidor, puedes hacerme recomendaciones para que eso no suceda, y salvaguardar aquel aquel insumo digital que le interesa al cliente. Este tipo de ejercicios son conocidos como ejercicios de pruebas de penetración o pruebas de intrusión. Hoy en día este tipo de ejercicios simulan operaciones tácticas con diferentes tipos de técnicas para emular a estos actores que pretenden hacernos el mal. Aquí en México ya se empieza a simular actores peligrosos como los crackers, aquellos que tienen esa habilidad, como los hackers, pero que hacen daño; los ciberdelincuentes, ciberactivistas, los hacktivistas, los que hacen amenazas persistentes y avanzadas, digamos, esas diferentes categorías de actores que pretenden hacer algún tipo de mal, sea por un interés personal o por ciertos grupos, son los que simulamos en las empresas, en los ambientes organizacionales, con el fin de detectar qué pasaría entonces si por ejemplo un grupo como Anonymous, tuviera acceso a tu información y le quisiera dar un mal uso con fines políticos. Esa es la intención, encontrar qué duele, donde están tus puntos flacos para que puedas mejorarlo.
Tal vez en algunos momentos tendrás que corregir, pero en otros momentos querrás prevenir y corregir y prevenir para corregir. Y jugamos en ese rol para integrar la información de valor a nuestros clientes.

¿Qué o quién los certifica a ustedes para hacer este trabajo?
Nuestro quehacer tiene al menos un marco conceptual ya establecido, metodológicamente hablando, bien diseñado, prescrito y bien aplicado. Nuestra institución a nivel global cuenta con certificaciones de carácter internacional al interior: de seguridad, de continuidad, de calidad en la entrega de servicios, y también su personal cuenta con diferentes certificaciones, dependiendo de las habilidades de cada uno. Esas acreditaciones son otorgadas por diferentes institutos, algunos a nivel nacional, otros de carácter internacional que también vigilan nuestra práctica, y a partir de esos certificados puedes tener certificaciones del modelo conceptual más el modelo del marco metodológico, como ya de la práctica en lo particular. Hay muchísimos tipos de ramas de aprendizaje que vamos adquiriendo tanto tecnológicamente, metodológicamente y de entrenamiento al personal.

¿Tienen ustedes alianzas con alguna empresa de ciberseguridad o lo trabajan de manera interna?
Tenemos múltiples alianzas, tanto de carácter nacional como internacional. Es muy difícil hacer seguridad solos: si hacemos la analogía con la Secretaría de Seguridad Ciudadana, eso es una colaboración que ellos hacen a nivel intra institucional, me refiero hacia adentro, e interinstitucional por todas las policías que puedan estar alrededor y no necesariamente incorporadas a la misma Secretaría. En el mundo de la ciberseguridad es es muy similar. Jugar solo es muy difícil. Nos apoyamos con diferentes colaboradores para potencializar tanto nuestros servicios como los de nuestros socios con el fin de abarcar y cubrir las necesidades de nuestros clientes. Hay proyectos para los que tenemos toda la capacidad por quiénes somos, por el número de personal que tenemos, las diferentes áreas que colaboramos entre nosotros para atender la mayoría de los proyectos, pero para otros necesitamos colaboración de diferentes fabricantes, de diferentes especialistas también en materia de seguridad para atender a ciertos rubros en lo particular.

Cuando una empresa está considerando contratar a una empresa de ciberseguridad, ¿por qué deberían ir con ustedes, cuáles son sus puntos fuertes para convencerles de ir con ustedes?
Estamos convencidos que una buena entrega de valor en términos de soluciones hace la diferencia. A nosotros nos gusta no sólo jugar bajo las necesidades que tiene el cliente, sino nos gusta aportar nuevas ideas, con tecnología state of the art, es decir, tecnología nueva que juega un rol muy importante en términos de ciberseguridad para poder ofrecer no sólo lo que ya está en el mercado sino una visión nueva y algo que también ofrezca a nuestros clientes un servicio de valor agregado no solo lo que el cliente está requisitando. El servicio por ejemplo de ciberdefensa, el servicio de hackeo en lo partícular, son servicios que nos gusta ofrecer con proyectos de medición de un estado de seguridad organizacional; si te voy a medir y en tu perspectiva de cliente sólo estás viendo un aspecto normativo, como valor agregado nos gusta ofrecer otro tipo de perspectiva, como el hackeo de manera activa o pasiva, medir desde la perspectiva de la ciberinvestigación, para ver si ya has tenido algunos puntos flacos que alguien haya aprovechado, por ejemplo con información que te hayan robado para intentarla vender para intentar comercializarla y obtener algún tipo de valor a partir de ello. Este tipo de valores agregados por las mediciones que hacemos con los diferentes servicios que comprendemos es lo que nos diferencia cuando se trata de acercarse hacia nosotros. 

¿Es necesario ser clientes previos, o formar parte de su infraestructura para que les otorguen estos servicios de ciberseguridad?
Todo aquel o aquella persona que tenga alguna necesidad de seguridad merece nuestra atención. Obviamente no es lo mismo atender a una persona física que quiere medir su dispositivo móvil porque siente que está siendo víctima de estafas o porque su celular ha sido hackeado, que a empresas del sector financiero con volúmenes de información mucho mayor y diferentes tipos de tecnologías y procesos, y que por lo mismo enfrentan diferentes tipos de incidentes y problemas en este ciberespacio, por ejemplo una institución financiera que sabemos que almacenan dinero y que simplemente por ese tipo de actividad ya hay muchos actores que quieren llegar a ese tipo de recurso.

¿Y sí atienden a personas, a particulares?
Sí, a personas. Al final del dia el daño que puede ser provocado cuando alguien interviene tu dispositivo móvil termina siendo una afectación económica a un recurso moral, si yo caí en la trampa por no estar muy bien entrenado o no puse atención y dí click en algo que no debía ya sea en mi correo personal u organizacional el daño va a ser a mi cartera. Es importante brindar este servicio de defensa, de atención, de consultoría, incluso preventiva para que no vuelva a suceder desde una persona que pudo haber sido víctima de un pequeño fraude, hasta toda una organización en esta perspectiva que puede llevar incluso un proceso legal.

¿Cuál es el enlace más débil en una empresa y por dónde empieza comúnmente un ataque a una empresa, sigue siendo el elemento humano?
Sabiendo que el recurso humano es quien sigue gestionando la tecnología donde se alberga la información, la forma y los protocolos para poder transmitirla de manera segura, nos sigue preocupando cómo se está llevando a cabo, más si soy institución que tiene que rendir cuentas, por ejemplo una empresa que cotiza en la Bolsa Mexicana de Valores. Observamos a las personas como el punto central que gestiona y que hace realidad el servicio de las empresas, por lo que es importante destacar que cuando hay cambios a nivel organizacional y cuando no han sido entrenadas correctamente las personas, es probable que vayamos a ser víctimas de una u otra forma de diferentes tipos de fraudes a través de un dispositivo móvil o a través de una llamada telefónica, a través de la laptop y las redes sociales, correo o chat, pues hay muchas formas creativas de llegar al usuario para intentar engañarlo. Existen usuarios que prestan más atención y que tienen más conciencia de lo que puede llegar a pasar por ciertas malas prácticas, como dar click en cualquier lado u utilizar recursosde la organización. El tipo de práctica que deriva de nosotros como personas es la que en realidad va haciendo que de una u otra forma la persona que está del otro lado viendo cómo actuamos encuentre alguna debilidad. Tal vez se me hace fácil anotar mi contraseña en un post-it y ponerla debajo del teclado, pero qué crees ese dia por “coincidencia” alguien obtuvo esta identidad, la vió y tomó ventaja al respecto. Por eso decimos, y sigue siendo una tendencia que uno de los principales riesgos que tienen las organizaciones para que dé inicio una cadena de progresión de ataque, basta con que un usuario dé un click erróneo para que todas las defensas que tal vez el negocio puso para que el usuario no le diera click, se caiga todo esa cadena de protección y entonces quienes pretenden hacer daño entren a los sistemas. No hay seguridad infalible, no hay seguridad perfecta, es perfectible. Bajo ese paradigma, siempre tenemos que estar atentos en el proceso, estar atentos y vigilantes para resguardar la información.

En ese contexto, si tuvieras algún consejo para el director de TI, ¿cuál sería el primer paso para asegurarnos que todo funcione correctamente en cuanto a la seguridad?
Cada vez que alguien quiere saber cómo mejorar lo primero es saber en qué momento del tiempo está. Tanto en materia defensiva, es decir, qué he invertido para que todos estos factores no me hagan daño, como en materia ofensiva, qué ejercicios de asessment y análisis de mi infraestructura o de mis procesos para saber “qué me duele”. Y en esa perspectiva, conociendo dónde estoy, podemos entonces marcar esa ruta crítica, ese ABC, que es muy claro en situaciones conocidas, como un incendio o un sismo. Cuál es mi ABC cuando ya tengo un incidente de seguridad, por ejemplo si ya nos llegó un virus o un ransomware y nos secuestran la información. ¿Cómo vamos a proceder? Todo el entrenamiento que se hace en las empresas y saber cómo se encuentra hoy en dia para ejecutar esas estrategias, pues cada estrategia es diferente y por los objetivos que se plantean puedes decidir abordar la protección o el análisis de los datos y a partir de esas estrategias determinar rutas críticas para proteger el activo más importante de las empresas: la información. 
Ese ABC inicia con un análisis, como cuando quieres mejorar tu salud y vas con el doctor, tal vez hasta te vas con diferentes doctores para obtener varias opiniones y entonces entras a diferentes tratamientos. En el mundo de la ciberseguridad es similar, necesitas hacerte estudios, tal vez no con un solo proveedor puedes jugar con múltiples para tener una diferentes vistas profesionales y a partir de tus necesidades y estrategias armar esa rutas críticas que permitan proteger. La seguridad habla de un estado de protección que garantice al menos la confidencialidad, la integridad y la disponibilidad de los datos, de manera activa.  

Estamos en una época en que la Transformación Digital es prácticamente obligada . ¿Cuál dirías tú que es la prioridad de la ciberseguridad en este contexto de digitalización acelerada?
 Creo que debemos de observar la ciberseguridad como un concepto medular en el quehacer de esta actividad digital. Aquellos que quieran estar inmersos en este mundo y están fabricando las soluciones para entrar en este mundo ya deben de tener esa mindset, ese chip en la cabeza de seguridad en el diseño. Por ejemplo, el modelo de nube ya tiene ciertos elementos y es un ejemplo claro de que está construida también pensando en seguridad desde su diseño porque en la nube que tú te montas seguramente vas encontrar elementos de control de seguridad para prevenir que intrusos lo estén vigilando y que cuando la almacenes y si alguien llegase a obtener esa información que no sepa qué es y que no la pueda interpretar porque está cifrada. En ese carácter de quienes juegan con información, las tecnologías, los procesos y las personas, hablando de defensa y hablando del carácter ofensivo, lo importante es minimizar nuestros riesgos y prevenir que nos suceda cualquier tipo de evento que nos llegue a impactar.

Puedes encontrar la entrevista en el siguiente enlace.