La aparición del virus informático Stuxnet ha disparado todas las alarmas. Según los expertos, sería un prototipo de “misil lógico”, un código malicioso especialmente diseñado – o tuneado – para sabotear infraestructuras críticas. La conversación con Pilar Santamaría no había sido concertada con este motivo, pero la actualidad se impuso a la agenda. Su resumen es este: “el valor de la seguridad está en que permite acelerar, o en su caso frenar, la adopción de las innovaciones; es una cuestión que hemos de plantearnos a escala global”. Una opinión avalada por el hecho de que Cisco suministra la mayoría de los equipos que controlan el tráfico por internet y las redes privadas.

Pilar Santamaría

¿Stuxnet representa un salto cualitativo en el nivel de las amenazas contra las redes? ¿O los medios han exagerado su importancia, como he leído por ahí?

Teniendo en cuenta que Stuxnet se ha diseñado mezclando varios lenguajes de programación, que aprovecha de forma simultánea diversos agujeros de seguridad, que contiene tecnología rootkit y usa certificados digitales, y que sin duda ha contado con la colaboración de un nutrido grupo de expertos con conocimientos específicos sobre sistemas industriales, la conclusión es que se trata de un ataque realmente complejo y uno de los malware más sofisticados conocidos hasta el momento. Sin embargo, no es un nuevo tipo de amenaza, sino un ejemplo claro de ataque combinado y multivector -cada vez más frecuentes- que en este caso también parece que se ha servido de la infección a través de llaves USB.

Al parecer, el ataque tiene una dimensión geopolítica, y alguien podría creer que no va con nosotros. ¿Podemos sentirnos al abrigo de amenazas como esta? ¿Son válidas las estrategias usuales de protección/respuesta? ¿Hay algo que cambiar?

En mi opinión, es un aviso relevante para las empresas que no tengan la seguridad adecuada. En concreto, este ataque se previene en la red y protegiendo el host frente a intrusiones, extendiendo la protección a dispositivos externos como USB. Sin entrar en las conjeturas acerca del origen del virus, lo que podemos afirmar es que tendremos más noticias de software ´bélico´ o de ´ciberterrorismo´ en el futuro. Puede tratarse de variantes de Stuxnet o de nuevos ataques con nuevos objetivos, para lo que es fundamental dotarse de una arquitectura de seguridad que, actuando desde la red, mitigue activamente los ataques de nueva generación.

Ha dicho “mitigar activamente”. ¿Esto significa que no hay soluciones concluyentes?

Desde hace tiempo sabemos que la seguridad de las redes tiene que ser de extremo a extremo, que las soluciones `de nicho´ son poco consistentes; hemos aprendido que para proteger las redes no vale el “corre que te pillo”, que los ataques son globales y que también ha de serlo la forma de prevenirlos. Con una dificultad añadida: las amenazas más sofisticadas se originan en regiones del mundo donde es difícil perseguirlas. La seguridad tiene que ser más global y más gobernable.

¿…gobernable?

Hablo de gobernabilidad en el sentido de que no sólo hay que tener dispuesta la seguridad en un punto – los terminales, la red fija, la móvil, etc – sino que todo esté unido y permita prevenir los ataques automáticamente. Luego, el administrador auditará lo que ha ocurrido por prioridades, pero lo crucial es prevenir los ataques en el mismo momento en el que se producen.

¿Cómo clasifica Cisco los ataques contra las redes?

Con una tipología que nos coloca en el punto de vista de quienes los producen o financian. Clasificamos las amenazas según su rentabilidad; en este cuadrante [muestra un esquema], vemos que el spam farmacéutico – ofertas fraudulentas de medicamentos – es muy rentable porque consigue muchas transacciones pequeñas a un coste prácticamente cero; lo llamamos la “vaca lechera” del malware. Aquí tenemos [recorre el dibujo] las “estrellas ascendentes”, que para obtener altos ingresos invierten lo que haga falta: Zeus fue uno de los virus más peligrosos del año pasado, que se extendió por las redes sociales hasta lograr su objetivo de sacar 10 millones de dólares de un banco en 24 horas, tras obtener la clave de alguien que se había llevado trabajo a casa.

¿Cómo medir la mayor o menor peligrosidad de un virus?

A través de nuestro centro mundial de telemetría, analizamos unos 200 parámetros distintos, entre ellos el patrón de comportamiento: cómo consiguen atravesar las barreras, y sobre todo, dónde se originan, mediante una vigilancia automática del tráfico. Porque la seguridad ha aprendido a viajar por la red, tal como viajan los virus.

Antes ha dicho “actuando desde la red” […] el cortafuegos tradicional protege el perímetro para que el malware no se cuele, pero vemos que de hecho se cuela. ¿No funciona la seguridad perimetral?

Sí que funciona, pero la noción de perímetro va perdiendo fuerza porque cada vez más los profesionales usan herramientas web 2.0. Los dispositivos móviles conectados serán 1.300 millones dentro de tres años, según IDC. Esto no podemos ignorarlo, ni podemos descuidar el perímetro, pero lo real hoy es que los empleados pueden acceder a su puesto de trabajo desde plataformas externas que sus empresas no controlan, y abarcan una gran heterogeneidad de dispositivos que proteger.

¿Qué propone Cisco ante esta evolución?

Ante todo, la superioridad de Cisco es que somos una empresa que posee todo el conocimiento sobre las redes, y sabemos que si la red no da la información, poco se puede hacer. Es necesario un cambio filosófico: el actual protocolo IP no diferencia usuarios, sólo procesa conexiones, por lo que resulta problemático identificar a los usuarios (salvo en determinados casos, mediante técnicas forenses). La industria está trabajando para que, en el futuro, cada usuario tenga una dirección IP única, y a partir de ese momento daríamos un gran avance contra la impunidad […]

[…] es de lo más corriente que varios usuarios compartan una conexión.

Y seguirán compartiéndola, pero desde fuera se verán tantas direcciones IP como usuarios. La complejidad no es sólo técnica, porque normalmente los ataques se lanzan desde santuarios donde no son perseguidos […]. Por otro lado, uno de los mecanismos más comunes de fuga de datos es que la gente se envía información a sus cuentas privadas para seguir trabajando en casa, algo que se resolvería con soluciones de teletrabajo seguras, comunicaciones cifradas, seguridad en el punto terminal, etc.

Quienes desconfían del cloud computing esgrimen como argumento la seguridad […]

La `nube´ es otra manifestación de que el perímetro se diluye, y esa desconfianza es lógica. Es muy importante establecer las políticas de seguridad dentro de la nube y, por otro lado, proteger a los usuarios desde la misma perspectiva que lo hacemos con la Web 2.0, con servicios externos y aplicaciones que toda empresa requiere y que los usuarios utilizan. Por lo tanto, se trata de proteger al usuario en estas interacciones. Cisco trata de dar respuesta mediante su oferta de servicio de seguridad en la nube; podemos ofrecer a nuestros clientes que todas sus interacciones web sean seguras, filtrando y analizando, permitiendo el acceso sólo si son seguras y rechazando las que no lo son.