"Los ciberataques, por desgracia, son algo muy lucrativo y de bandas profesionales"

Vicente Díaz, uno de los mayores expertos en ciberamenazas de la empresa malagueña VirusTotal, ha participado esta semana en la inauguración del Centro de Ciberseguridad de Google (GSEC) analizando el papel de la Inteligencia Artificial en la detección del malware. "Del mismo modo que la tecnología puede crear nuevas amenazas, también ayuda a combatirlas. La capacidad de la IA para analizar scripts maliciosos y explicarnos su modus operandi tiene enormes implicaciones para la ciberseguridad", explica. En esta entrevista con La Opinión, del grupo Prensa Ibérica, Díaz repasa el actual panorama de la ciberseguridad.

Esta semana, con motivo de la inauguración del GSEC de Google, se ha comentado que los ciberataques crecieron a escala mundial del 38% en 2022. Y que casi la mitad de las pymes europeas han sufrido alguno en los últimos dos años. ¿Somos conscientes del problema de la ciberdelincuencia?

Mi impresión es que durante los últimos años se ha tomado mucha conciencia sobre este asunto, sobre todo por los ataques de ransomware, que han obligado a algunas empresas a cerrar. También ha afectado a hospitales, incluso a algún ministerio o ayuntamiento. O sea, que es algo de lo que todo el mundo ha tomado conciencia. Se sabe que está ahí y todo el mundo está inquieto. Desde el punto de vista de los atacantes se trata de un negocio, por desgracia, muy lucrativo. Y tenemos que entender que no son un grupo que esté en un garaje con ordenadores, sino bandas profesionales, con gente muy especialista en realizar este tipo de actividades.

Es un panorama inquietante, sobre todo, porque lo más probable es que vaya a más.

En lo de crecer o decrecer, siempre soy de la opinión que depende muchísimo de la visibilidad. Y ésta nunca es perfecta para saber todo lo que ocurre. En muchos casos, este tipo de ataques no se reportan. En Estados Unidos, por ejemplo, sí hay una ley que obliga a reportarlo a una autoridad. En España no sé si se aplica a todo tipo de empresas. Entonces, tenemos una visión algo parcial que puede hacer que los números suban o bajen. Por eso creo que no es tan relevante que suba, sino el hecho de que el problema existe y está aquí. Y al final, lo que no queremos es ser víctimas. La concienciación debe servir, por lo menos, para que no seamos un objetivo sencillo. Sólo con elevar un poquito el listón pueden desaparecer gran cantidad de las amenazas que ahora mismo nos pueden llevar a una situación de ese estilo. Realmente, se están dando pasos en la dirección correcta. Muchas empresas lo han hecho. Lo más importante es tomar conciencia de eso.

Entiendo que una gran compañía tiene recursos económicos para invertir en ciberseguridad. Pero España es un país de pymes y micropymes. ¿Pueden estas pequeñas empresas estar debidamente protegida sin necesidad de una inversión alta?

Cada vez hay más información disponible. Todavía tenemos que hacer un mejor trabajo de difusión y las empresas, quizás, también tienen que interesarse. Hay grandes compañías que hacen campañas de divulgación e instituciones, en España y en Europa, que ponen esto a disposición de las pymes. Hay muchas medidas que son relativamente sencillas. Pongamos un ejemplo: una pyme de 25 personas trabajando. Pues a lo mejor si todo el mundo tiene un Chromebook, una cuenta online y un segundo factor de autenticación (que puede estar en el móvil) ya te pones en el grupo de empresas más protegidas, y la dificultad para un atacante es extraordinaria. Seguramente, a no ser que sea un ataque súperdirigido, será difícil que seas víctima de un ataque fortuito. A veces no es tan complicado si somos capaces de tomar conciencia y aprovechar los recursos que están puestos a nuestra disposición. Y no tiene por qué ser necesariamente caro. Lo realmente caro es no prevenir y encontrarse luego en esta situación, que obliga luego a investigar y cambiar muchas cosas a nivel interno.

La inteligencia artificial generativa sirve para la ciberdefensa pero también se puede usar en phishing y otros fraudes de ingeniería social.

Ahora mismo, creo que estamos en los primeros pasos de descubrir lo que va a pasar en cualquier sentido. Hemos publicado estos días un informe tras utilizar durante los últimos seis meses tres motores distintos dentro de VirusTotal para analizar diferentes tipos de familias de malware. Y para estos tipos de familias hemos visto que había una gran mejora de detección respecto a otros métodos más tradicionales. La IA es una nueva tecnología que nos ayuda a ver cosas que antes a lo mejor eran más complicadas. Es una ventaja significativa. Pero como bien dices, en cuanto a todo lo que tiene que ver con ingeniería social (engañar a un ser humano) imitando por ejemplo una voz, es también una herramienta que se puede utilizar para el fraude, pero por el factor humano. Y esto siempre va a ser muy complicado de controlar. Hasta cierto punto no es realmente un problema tecnológico pero, sí, es una nueva vertiente y debemos aprender la mejor forma de encontrar un punto medio.

Han destacado también la necesidad de formar profesionales en este campo. Google estima que en Europa hacen falta 500.000 personas.

Siempre cuesta mucho encontrar profesionales, porque esta industria ha crecido más rápido que la formación disponible. Cuantos más recursos pongamos a disposición de todo el mundo para interesarse, para despertar el interés por realizar una carrera en este tipo de profesión, mejor. Mientras más masa crítica consigamos, más universidades ofrecerán estudios y habrá más posibilidades. Se necesita a mucha gente y ahora mismo cuesta muchísimo encontrar a profesionales bien formados. Trabajar con universidades, dar formación, asesorar a pymes, asesorar a startups... todo esto ayuda a que la ciberseguridad se tenga en cuenta.

Hay ciberdelincuentes por lucro económico, pero también están las cuestiones geopolíticas; ciberataques para desestabilizar, desinformar, etc.

Los esfuerzos en ciberespionaje son algo absolutamente genérico. Incluso hay una nueva etapa donde ya no es sólo a nivel de país-estado, sino a nivel de compañías, de intereses particulares, de lobbies o de lo que sea. Para todo eso existe un mercado. Efectivamente, no siempre el lucro es el único fin. Las motivaciones son varias, entre ellas también de propaganda y desestabilización interna. Hemos visto en el pasado acciones de ese tipo en muchos otros escenarios. Con Internet se accede a mucha más gente para tratar de provocar cambios de opinión. Esto siempre ha existido pero hoy en día hay otras formas de llevarlo a cabo, más masivas y sofisticadas, y menos evidentes, tal vez. Porque si, por un ejemplo, un periódico pone una noticia que se aleja mucho de la visión más neutral, pues uno puede dejar de leerlo o no. Pero claro, cuando son noticias o enlaces, o pequeñas piezas de información es muy difícil de detectar.

¿Están las instituciones preparadas para esta batalla?

Como una entidad o una empresa, siguen su camino y trabajan con los recursos que tienen disponibles. Creo que se ha hecho un trabajo muy serio en los últimos años, aunque aún haya dificultades a todos los niveles. Igual una institución establece un paraguas muy grande de protección, y luego deja a algún pequeño organismo dependiente de ella con menos recursos y herramientas. Pero creo de verdad que muchas instituciones europeas han hecho un trabajo muy bueno. Compartir información es una fórmula relativamente efectiva de hacer un frente común. También se liquida así las herramientas que utilizan los atacantes porque una vez que son conocidas, ya sabes cómo defenderte.

Decía el otro día la vicepresidenta del Parlamento Europeo, Dita Charanzová, que estaba segura de que las elecciones europeas de 2024 también serán objeto de ciberataques.

Es una buena filosofía: asumir que es posible que haya un ataque. Porque es algo factible. Seguro que hay muchos profesionales ahora trabajando para monitorizar todo esto. Hemos visto muchos ejemplos en el pasado de intentos de interferencias en todo tipo de elecciones. En Holanda, por ejemplo, en unas elecciones de hace unos años decidieron volver al voto en papel porque había un temor grande a ello.

¿Qué espera de este flamante GSEC de Málaga?

Mirando hacia atrás, y viendo sólo el impacto logrado por los seis ingenieros que crearon VirusTotal en su día, quiero pensar que ahora será muchísimo mayor. La capacidad que tiene una marca como Google de establecer ilusión, visibilidad, de hacer cosas positivas a nivel social, de compartir información, de trabajar con instituciones y startups..., son fantásticas noticias y espero un impacto muy positivo al máximo nivel posible. Vamos a trabajar lo máximo para que así sea.

Suscríbete para seguir leyendo