Guillem Alsina Gonzàlez
Si digo Zoho, la mayoría de los lectores asociará rápidamente el nombre con la suite ofimática en la nube y, seguramente, con algún producto más de software, pero tal vez le costará unos momentos más asociarla con la ciberseguridad. Y esto es porque en esta área, la firma india opera bajo la denominación ManageEngine.
Ya el año pasado tuve la ocasión de hablar con Andrés Mendoza, director técnico de ManageEngine para el sur de Europa y LATAM, y este año hemos repetido encuentro para hablar, precisamente, de tendencias en materia de ciberseguridad, tanto por el lado de los malhechores, como por el lado de quienes defienden a las organizaciones, y pivotando en gran medida alrededor de uno de los temas estrella del congreso: la inteligencia artificial.
Últimamente, estoy leyendo mucho sobre porqué y cómo, los agentes de inteligencia artificial deben estar sujetos a una gestión de identidades equivalente a la de los trabajadores humanos y que, por lo tanto, tengan una serie de privilegios y limitaciones en sus acciones.
Totalmente, y esa es una de las principales problemáticas que ocurren al día de hoy, porque la mayoría piensa que configuro una herramienta, un agente y le doy una cuenta de servicios con todos los privilegios. Pero al hacer eso, lo que estoy haciendo es dándoles demasiados privilegios, que pueden causar alguna brecha de seguridad. O quizás como el incidente reciente que pasó con Amazon, que tenían un agente de inteligencia artificial que tomó decisiones ante determinadas circunstancias y, en esas circunstancias, el agente decidió que la mejor solución posible era eliminar todas las máquinas de virtuales y recrear nuevamente el ambiente. Tenía la posibilidad de hacerlo, tenía los privilegios de hacerlo, y lo hizo. Y, ahí, vemos como definitivamente eso puede ser un un problema principal, y un problema muy grande.
A estos agentes los llamamos «identidades no humanas», y deben ser tratadas de la misma manera que un humano: concepto de mínimo privilegio, concepto de Zero Trust, concepto de solo pides privilegios cuando los necesitas y, una vez que terminas la tarea, te quito estos privilegios. Y lo mismo debo ocurrir para agentes, para inteligencia artificial o para cualquier tarea automatizada que vayamos a aplicar.
La gestión del acceso para identidades debe ser una de las áreas, siendo otra la gestión de dispositivos (device management). Este puede ser un ordenador portátil, un tablet, un dispositivo móvil. ¿Cómo lo protegemos? ¿Cómo lo aseguramos? ¿Cómo lo controlamos? ¿Qué pasa si se pierde?
Ya tenemos la identidad. Ahora el dispositivo o el «digital workplace», que es como se llama Actualmente toda el área de trabajo de un empleado, ya sea en su casa, en su oficina, en un hotel, en un restaurante, en un evento. ¿Cómo protegemos su dispositivo además de su identidad?
La siguiente área es una que comúnmente la venimos usando hace mucho tiempo, que es la gestión de servicios de TI, mesa de ayuda, helpdesk, servicedesk, donde reporto un ticket, un problema, cómo resuelvo algo de un acceso que no que no se encuentra disponible, cómo cargo un ticket desde una ubicación remota, por ejemplo, sin necesidad de estar dentro de la organización.
Hasta ahí, estas áreas están principalmente enfocadas en el usuario final y la organización. Cuando nos saltamos a la siguiente parte y hablamos el área perimetral y hablamos de la infraestructura y ahí entra la primera área. anteriormente conocida como ITOM (IT Operations Management), pero hoy esa área se está renombrando un concepto que se llama Full Stack Observability.
Ya no hablamos de la monitorización proactiva o reactiva de que cuando algo está en rojo en el rack, tengo que salir corriendo a ver qué fue lo que pasó, sino que debo tener una observabilidad de extremo a extremo: ¿qué es lo que está pasando? ¿es una cuenta? ¿es un usuario? ¿una aplicación? ¿una base de datos? ¿una transacción de una aplicación? ¿o es un dispositivo móvil de un proveedor de red específico el que tiene una lentitud en el acceso a la aplicación, más no toda la aplicación?
Aquí, de lo que estamos hablando realmente es de lo que se llama Real User Experience. Ya no solo se trata del servidor, el switch, el router funciona, sino qué experiencia da mi organización con las aplicaciones, con lo que vendemos, con lo que operamos, con nuestro core de negocio. Entonces, esto es parte del perímetro y a ello se le suma la nube, obviamente, porque no todo lo tenemos en nuestras instalaciones (on premises), sinó que en ManageEngine también tenemos clientes que están cién por cién en la nube o en ambientes híbridos o en multinubes. Todo eso tiene que tener una observabilidad y, obviamente, una trazabilidad de cuál es la causa raíz de un problema de una forma completa.
La última área yo la llamo «ciberseguridad a nivel perímetro», porque en la identidad y en el dispositivo ya teníamos problemas de seguridad. Ahora hablemos a nivel perímetro de situaciones como un PIM (Privilege Identity Management) o un PAM (Privilege Access Management), gestiones de cuentas privilegiadas del administrador, del root, del database administrator. Entonces, ahí entra toda esta parte de ciberseguridad a nivel perímetro, a nivel administrador, a nivel infraestructura, y ahí también entran, por ejemplo, el SEN y el SOAR, que ya es donde recogemos todos los eventos que están ocurriendo.
Haciendo un rápido repaso, estas son las cinco áreas que te he explicado: identidades, dispositivos, infraestructura, helpdesk y seguridad a nivel perimetral, que son todas las áreas para las cuáles ManageEngine dispone de un portafolio de productos.
Hasta ahora, me has explicado cómo nos protegemos, pero qué te parece si ahora hablamos de qué nos protegemos, es decir, qué tendencias sufrimos actualmente en materia de ciberdelincuencia, y qué actores tenemos, cómo los estatales, los puramente económicos…
Hay de todo, y te diría que incluso desde los más tradicionales y que algunos dirán, «No, eso a mi no me pasará», que son los famosos ataques de phishing, por ejemplo. Y, a día de hoy, estamos hablando de cómo la inteligencia artificial ayuda a realizar ataques hiperpersonalizados.
Ya no recibimos el simple correo electrónico de «ingresa a este enlace porque tienes una multa de tráfico», que quizás venía sin un destinatario, que no decía mi nombre, que quizás ni siquiera yo tenía una cuenta en ese banco o no tengo auto y me llega una multa. Eso era algo muy masivo, muy general y era el modelo anterior, el modelo tradicional.
Pero, ¿qué es lo que pasa ahora? que plataformas como ChatGPT, Gemini y demás hacen un cruce de información rápidamente, construyen un perfil de la persona (vamos a ver si esta persona trabaja en esta empresa, trabaja en esta organización, si tiene este puesto, qué rol desempeña, o lo vimos en un evento), cruzan la información y vemos que me llega un correo mucho más personalizado, que se dirige a mi por mi nombre, mi apellido, por dónde trabajo, qué rol tengo, a dónde me tengo que conectar, y me está pidiendo que mande un informe con toda la lista de clientes del mes pasado.
Entonces, el objetivo ya no es solo afectarme, robarme una cuenta, sino quizás causar un daño a nivel reputacional, organizacional, robar lista de clientes o quizás sacar esa empresa del mercado. Hay un target muy específico.
Por ejemplo, el año pasado hablamos de un concepto que es el «ransomware as a service», que consiste en poder contratar un grupo de ciberdelincuentes en la dark web para que me desarrolle un malware a medida para atacar a cierto tipo de organización.
Este año estamos hablando de la inteligencia artificial como servicio; ¿qué es lo que quiero hacer? ¿o quiero crear un agente para que haga toda esta tarea de phishing, de correos, de engaños, de SMSs… Porque no solo es por correo electrónico, hoy recibimos mensajes de WhatsApp, de Telegram, mensajes de texto, de todas las fuentes disponibles.
Ahí vemos como los actores van cambiando y así como estas tecnologías nos están ayudando a mejorar nuestros procesos, a incrementar la productividad de nuestros empleados y diferentes otros buenos usos que les vamos a dar las nuevas tecnologías, los atacantes también las están utilizando para saltarse esos controles, hacer caer a las personas y pensar, esto ya no es un phishing o ya no es un fake, y es tan real que parece que sí lo tengo que abrir y hacer clic.
Entonces, estos son los tipos de actores que estamos viendo al día de hoy. Los objetivos habituales van a continuar siendo entidades privadas cómo bancos, aseguradoras, hospitales, pero también se van a ampliar a otros tipos distintos de objetivo, como puede ser el ciudadano, el usuario final, aquel que quizás no tenga ese conocimiento de ciberseguridad, de riesgo, de si tengo que abrir o no este correo, gracias a que la tecnología está evolucionando.
Pero la misma inteligencia artificial que facilita estos ataques, también nos va a ayudar a protegernos de ellos de una manera más rápida, por ejemplo y sobre todo en ataques de tipo DDoS que supongo todavía se deben producir, aunque no se habla tanto de ellos.
Es uno de los principales puntos en el que nosotros estamos trabajando en ManageEngine, de cómo ayudamos a escalar estas herramientas, a darles esas funcionalidades que sean capaces de detectar, por ejemplo, a lo que yo vengo hablando hace muchos años y ya lo tenemos en nuestras herramientas, una funcionalidad llamada UEBA (User and Entity Behavior Analytics). Y ese behavor es la detección del comportamiento, incluyendo al agente además de la persona, de la aplicación, de un servidor que va teniendo eventos.
Vamos recolectando, por ejemplo, un inicio de sesión, un copiado o un borrado de archivo, y demás, y cada uno de estos eventos van armando un patrón, que cuando se desvía de las tareas normales, debe disparar una alerta. Ahí es cuando vemos de que hay algo inusual está ocurriendo dentro de la organización.
De la misma manera, en otras áreas cómo en la infraestructura, puedo detectar, por ejemplo, cuando hay un sobrecrecimiento, ya sea en los logs, en el almacenamiento o quizás se crearon cuatro o cinco nodos adicionales porque vemos una sobrecarga, pero no era una sobrecarga de clientes, era un ataque de denegación de servicio. La inteligencia artificial viene a ayudar a la infraestructura, viene a ayudar a la ciberseguridad, viene a ayudar a las identidades, viene a ayudar a los dispositivos.
Además, también puedo detectar, por ejemplo, en en mi ordenador tengo licencias de software que no uso desde hace más de un año y, quizás, mi organización está pagando dichas licencias y las puedo reciclar, reasignar a otras personas.
¿Cuál es el impacto de los actores estatales?
Es un punto muy importante y, definitivamente, las situaciones geopolíticas tensas que se están dando, van a afectar y van a ayudar a que se generen más campañas en ese sentido. Algunas de estas campañas serán para distraer, otras para atacar un objetivo específico, y otras para, como decíamos en el caso del phishing, para ver quién va a caer con un mensaje de correo, o con una notificación.
Lo vimos el año pasado con una empresa que desarrolla herramientas para gestión de infraestructura, y que fue víctima de uno de los ataques, con el que los ciberdelincuentes modificaron parte del código fuente en una de sus actualizaciones porque sabían que la mayoría de las entidades gubernamentales de Estados Unidos utilizaban esa marca y ese producto en concreto, como un Caballo de Troya para acceder a los sitios gubernamentales.
Para el mercado ibérico, me gustaría hacerte dos preguntas; la primera es si tenemos al conjunto de las empresas y organizaciones concienciadas de estos peligros y, por lo tanto, que cuidan su ciberseguridad, mientras que la segunda es si hay tendencias distintas al resto del mundo, al resto de Europa a nivel de qué tipos de ciberataques o ciberdelincuencia están sufriendo.
Yo diría que la Unión Europea tiene un nivel de madurez importante en materias de comprensión, necesidades, riesgo, implantación de herramientas. El mismo hecho de que la Unión Europea tiene varias normativas, ayuda a que varias de estas cosas se implementen, quizás no por decisión de quiero implementar una solución para proteger esto, sino por una exigencia, de si no lo tengo, pues no puedo operar. Entonces, querámoslo o no, eso ayuda dentro de todo a que se implementen ciertas cosas y lo estamos viendo el día de hoy con la transposición de la NIS 2.
Portugal la acaba de sancionar ahora en diciembre, y tiene que entrar en vigencia la primera semana de abril, pero hay muchas organizaciones que dicen, «De acuerdo, va a entrar en vigor, pero quizás yo aún no tengo una solución, aún no sé si soy importante, si soy crítico, si soy esto o lo otro», hay muchas dudas todavía. Vemos un nivel de madurez por un lado, pero por otro lado vemos todavía desconocimiento.
Y en España aún estamos en una incógnita, porque todavía no se ha hecho una transposición de la ley. Sabemos que puede estar a la vuelta de la esquina porque, lamentablemente, a nivel técnico o a nivel de ley, ciertas cosas van avanzando, pero al final del día el gobierno es el que tiene que ayudar a que esto se decida, se vote, se apruebe y se saque una un proyecto de ley.
Lo que pienso definitivamente es que las organizaciones tienen que seguir incentivando proyectos de transformación digital, de ciberseguridad, de actuar preventivamente y no esperar a que mañana venga una agencia, me audite, me controle y me diga «no tienes esto y no estás conforme, y tienes un mes para hacerlo o, si no, tienes una sanción económica o dejas de operar». No tenemos que esperar ese último momento.
O sea, que estas protestas sobre la hiperregulación en Europa por parte de algunos sectores cómo el de las telecomunicaciones, en el ámbito de la ciberseguridad tal vez nos beneficie a todos cómo organizaciones y cómo ciudadanos…
Definitivamente, por eso decía yo hace un momento de el hecho de que tengamos estas normativas nos ayuda al estar obligados a cumplirlas. Pero, al mismo tiempo, no solo Europa se está moviendo con regulaciones; sabemos que los Estados Unidos o el Reino Unido, por poner dos ejemplos, están avanzando con varias regulaciones en varios temas, y no sólo privacidad y protección de datos, sino también de cómo vamos a usar la inteligencia artificial, cómo la vamos a implantar, cuál es el nivel ético al que la vamos a usar.
Hay varios puntos que aún están sobre la mesa porque estas tecnologías no han llegado a un nivel suficiente de madurez y necesitamos que lleguen a ello madurez, pero los gobiernos y el compliance tienen que ir de la mano en conjunto con esto.
Buena reflexión -pienso para mí mismo- esta sobre las diferencias de la regulación entre distintos sectores, cuando me despido de Andrés, tal vez, y sólo tal vez, hasta el año que viene. Porque los caminos del mobile son inescrutables…
