Y el presidente dijo “ya está bien”. Las nuevas propuestas en ciberseguridad desde la Casa BlancaSergio de los Santos 17 mayo, 2021 Joe Biden ha firmado una Orden Ejecutiva para mejorar la ciberseguridad nacional y proteger de manera más eficiente las redes del gobierno federal. El ataque a la operadora de oleoductos Colonial Pipeline, una noticia que ha trascendido a los medios generalistas, ha sido la gota que ha colmado el vaso. A pesar de que la industria de la ciberseguridad podía intuir que el ransomware acabaría atacando infraestructuras críticas y causando el caos, ha sido necesario que la amenaza se materialice para que se produzca una reacción que, esperamos, tendrá consecuencias beneficiosas. La ciberseguridad ya tiene en su historia para recordar, otro ataque que cambió las reglas del juego. Los acontecimientos negativos capaces de cambiar las leyes, el paradigma o la conciencia colectiva sobre una industria, se cuentan con los dedos una mano. En la ciberseguridad quizás (sin ánimo de completar con todos los casos) podemos hablar de Blaster y Sasser en 2003, que modificó por completo la percepción de la seguridad en Microsoft, ya bastante tocada. Stuxnet en 2010 nos alertó sobre las ciberarmas y concienció al mundo sobre la nueva estrategia ciber y geopolítica. Por supuesto Wannacry en 2017, un golpe al orgullo de la industria por ser atacados a esas alturas por un gusano que aprovechaba una vulnerabilidad ya solucionada. Y a pesar de llevar años lidiando con el ransomware, ha tenido que materializarse la amenaza en un impacto con consecuencias graves para Estados Unidos para que se endurezcan las normas. Porque si lo pensamos bien, era el siguiente avance lógico en la escalada: pasaros de atacar a los usuarios a secuestrar pymes, de las pymes a las grandes compañías, de estas a las organizaciones y de ahí, se intuía, a las infraestructuras críticas. Pero el incidente (junto con otros tantos que se han venido sucediendo) ha terminado por hacer reaccionar al presidente. Esta orden ejecutiva pretende modernizar las defensas pero sobre todo poner el foco en un problema que todavía, a pesar de la gravedad de la situación, puede mitigarse. Fundamentalmente, la orden pretende que se comparta más información entre el gobierno y el sector privado y mejorar la habilidad de respuesta. Los puntos acción básicos son: Permite a las compañías privadas (en especial los que alojan servidores) compartir información con el gobierno. Esto agilizará el proceso de investigación cuando ocurran incidentes relacionados con algún acceso a un servidor. Tienen un tiempo máximo para comunicar esos incidentes también.Mejorar y adoptar los estándares de ciberseguridad en el gobierno federal. Se trata de un compromiso (a alto nivel aunque se mencionan tecnologías concretas) para adoptar los mejores estándares (2FA, criptografía, SDLC…) desde las propias infraestructuras del gobierno.Mejorar las cadenas de suministro, como ha demostrado el ataque SolarWinds. El software que se venda al gobierno deberá cumplir requisitos de seguridad mínimos. Se tendrá una especie de certificado que lo acredita, similar al de la energía o emisiones.Una junta o comisión de revisión de ciberseguridad privada y pública. Cuando ocurra un accidente, se gestionará y sacarán conclusiones de manera coordinada. Esta comisión está inspirada en la que ya tiene la aeronáutica, en la que el sector privado y público se reúne después de grandes incidentes aéreos.Se creará un sistema estándar de respuesta a incidentes tanto interno como externo. Las compañías ya no tendrán que esperar a que ocurra algo para saber qué es necesario hacer.Mejorar la capacidad de defensa de la red federal. Quizás la medida más genérica, que apunta a reforzar con las herramientas de ciberseguridad adecuadas, toda la infraestructura gubernamental.Mejorar la capacidad de remediación e investigación. Quizás esto se resume fundamentalmente en mejorar los sistemas de logs. Y ahora, ¿qué? Esta orden ejecutiva se traducirá en que las empresas deberán cumplir unos estándares mínimos, se procedimentará, se auditará… En definitiva, se generará una industria más sana, más vigilada por ella misma. Más robusta y unida, esperamos. Algo parecido a lo que hicieron las compañías de tarjetas de débito y crédito cuando pusieron en marcha la iniciativa PCI-DSS que obligaba a todo el que trabajara con estos datos, pasar una auditoría mínima. Si bien no solucionará el problema por completo, lo mejorará significativamente. Pone el foco en la ciberseguridad al más alto nivel, aúna esfuerzos y como mencionábamos, ataca el problema desde un ángulo político y legal que complementan a la aproximación técnica, insuficiente por sí sola. Sin embargo, todavía se echan de menos leyes más claras contra los atacantes que agilicen la posibilidad de perseguirlos, identificarlos e imponer sanciones a nivel mundial. Ahora se tiene el apoyo político y legal para fomentar la seguridad desde el punto de vista técnico pero lo ciber es también legal, social, político… y se debe estrangular la actividad de los atacantes desde todos esos ángulos. Un problema tan grave, aunque de naturaleza técnica, no puede solucionarse solamente desde ese mismo ángulo. Si solo nos concentramos en parchear y responder, en auditar y certificar, no avanzaremos lo suficiente. En todo caso es esta orden es una gran noticia y un primer paso en esa dirección. Boletín semanal de ciberseguridad 8-14 de mayoRecupera el control de tus datos personales gracias a la Identidad Descentralizada sobre Blockchain
Telefónica Tech Boletín semanal de Ciberseguridad, 28 de enero – 3 de febrero LockBit Green: nueva variante de LockBit Recientemente, investigadores de vx-underground han detectado que los gestores del ransomware LockBit están utilizando una nueva variante de ransomware, denominada LockBit Green. Esta nueva variante...
Martiniano Mallavibarrena Ciberseguridad en el cine: mito vs. realidad con 10 ejemplos Los múltiples aspectos de la ciberseguridad (ataques, investigaciones, defensa, empleados desleales, negligencia, etc.) llevan años siendo parte del argumento de infinidad de películas y series de TV. En la...
Nacho Palou Ingredientes para las Ciudades Inteligentes del presente Gracias a tecnologías como IoT (Internet de las cosas) y la Inteligencia Artificial, las ciudades pueden ser sensorizadas, mejorar y automatizar procesos, y tomar decisiones de manera más eficiente....
Daniel Pous Montardit Resiliencia, clave en sistemas Cloud-Native En el primer post de la serie Cloud-Native, ¿Qué significa que mi software sea Cloud Native?, presentamos la resiliencia como uno de los atributos fundamentales que nos ayudan a...
Telefónica Tech Boletín semanal de Ciberseguridad, 21 – 27 de enero Killnet apunta contra objetivos en España Esta semana el grupo hacktivista Killnet anunció una campaña de ataques contra Alemania, dando lugar a la realización de ataques de Denegación de Servicio...
Nacho Palou Alumbrado público inteligente: oportunidades de negocio y beneficios para municipios y ciudadanos El alumbrado público inteligente es uno de los pilares de las ciudades inteligentes. De hecho, es uno de los mejores ejemplos de lo que significa el término Smart City:...