Las estrategias de ciberseguridad
reactivas, es decir, aquellas en las que se actúa cuando el ataque ya ha tenido
lugar, ya no son una opción. Lo dice Simón Roses,
fundador de Vulnex, la primera
empresa española que ha ganado un concurso convocado por el DARPA, una agencia perteneciente al Departamento de Defensa
de los Estados Unidos.
Ser proactivos
Roses, que ahora mismo viaja a
Norteamérica para presentar el proyecto con el que ha ganado dicho concurso,
señala a TICbeat que ya no hay que ser reactivos, sino proactivos, y «construir
una estrategia de ciberseguridad sólida». «Cuando ya hemos sufrido un ataque,
lo único que podemos hacer es evaluar los daños e identificar la brecha para
cerrarla. Debemos ser proactivos, desplegar los recursos humanos y técnicos
necesarios para evitar ser atacados», indica. «Hoy en día cualquier empresa
conectada a internet sufre ataques diariamente, que, en ocasiones,
se quedan en intentos, pero en otras los atacantes consiguen sus objetivos»,
apunta.
El objetivo del proyecto con el que
la «startup» española especializada en ciberseguridad ha ganado el concurso
ofertado por el DARPA es el de crear software seguro. «La mayoría de
vulnerabilidades», indica Roses, «se producen por software inseguro y que se podría haber evitado siguiendo un marco de desarrollo
seguro».
Avances
Según el especialista en
ciberseguridad, «la seguridad en el mundo del desarrollo está muy atrasada en
comparación con la seguridad de redes, donde todo el mundo entiende que debemos
utilizar cortafuegos y antivirus». «Esto tiene que cambiar ya», indica Roses,
que señala que al «se tienen que incorporar aspectos como diseño seguro,
revisión de código fuente y pruebas de seguridad en el desarrollo de software».
«Todo software, ya sea una aplicación web o una «app» para el móvil,
requiere ser desarrollado siguiendo una metodología de seguridad», razona,
pues, así, «el software no solo gana en seguridad, sino también en calidad».
El proyecto de Vulnex consistía en
evaluar la seguridad de los compiladores –aquellas herramientas utilizadas para
desarrollar software- y «crear una tecnología que permita verificar la postura
de seguridad de cualquier binario». A dicha tecnología, nos explica Roses, la
han llamado BinSecSweeper.
Defensa en
profundidad
Roses cree, además, que hay que
trasladar al campo de la ciberseguridad el concepto de «defensa en
profundidad», un término militar que se refiere a colocar niveles o
capas de defensas que nos protejan, «como en un castillo con un foso, muros,
arqueros y aceite caliente». «Cada nivel tiene un objetivo concreto de
defensa», explica Roses. «Debemos construir niveles de seguridad en nuestras
redes y sistemas tanto de cara a internet (amenazas externas) como internamente
(amenazas internas)», añade.
En cuanto a las amenazas que nublan
el futuro, a Roses, pese a su relación actual con el Departamento de Defensa de
Estados Unidos, le cuesta creer «que veamos una ciberguerra» en algún momento.
«Las grandes potencias con capacidades cibernéticas ofensivas y defensivas no
están interesadas en provocar una ciberguerra», opina. Los ciberataques que se
dan pueden ser, más bien, en algunos casos, «apoyo a actos de guerra
convencionales», explica.
Facilidad de
robo de datos
«¿Para qué provocar una ciberguerra
donde nadie ganaría y se perderían relaciones comerciales, cuando se puede
robar información sin que se enteren y seguir teniendo relaciones?», se
pregunta. Y es que donde Roses sí ve «mucho peligro», en cambio, es en el espionaje.
Hoy en día «la información tiene mucho valor» y, en demasiadas ocasiones, «es
muy fácil de robar» por los cibercriminales. El experto en ciberseguridad cita
datos de diversos estudios que estiman que «la permanencia media de los
atacantes en redes corporativas antes de ser detectados es más de un
año». «Imagínese la cantidad de información que se puede llegar a obtener», se
lamenta.
Fuente: ABC.es
No hay comentarios:
Publicar un comentario