“Telefónica, que es líder en IoT, también lo es en seguridad en este entorno con la IoT Security Initiative”

Rubén García Ramiro    25 marzo, 2019
nuevos-riesgos-en-seguridad

Hoy publicamos la segunda parte de la entrevista a Pedro Pablo Pérez, VP Security de Telefónica & CEO de ElevenPaths, su Unidad de Ciberseguridad. Según el World Economic Forum, los ciberataques representan el mayor riesgo para la economía mundial, solo por detrás de los desastres naturales y el escenario de riesgos no para de crecer con Internet of Things (IoT), Robotic Process Automation (RPA), asistentes de voz… Pero en el lado del bien la actividad también es frenética para dar respuesta a todos ellos.

– IoT y la hiperconectividad son una realidad imparable, como se vio en la última edición del MWC. ¿Que está haciendo Telefónica Empresas para llevar la ciberseguridad tanto a estos sistemas, como a las smart cities?

IoT es una de las principales apuestas de Telefónica entre los servicios digitales. Pero ser líderes también requiere abrir camino y esto es lo que estamos haciendo en el ámbito de la seguridad, cada vez más demandada por nuestros clientes. Esta labor fue reconocida durante el MWC: “La GSMA ha premiado a Telefónica por su labor en la difusión y aplicación de las guías de seguridad IoT, en cuya generación participamos años atrás”. Ahora, aunando el conocimiento de diferentes áreas de la compañía, hemos creado la IoT Security Initiative y, en este marco de colaboraciones, estamos en vías de poner en marcha en Levante el centro SOTH (Security Of Things), junto a algunos socios estratégicos como Govertis, que se focalizará precisamente en el coche conectado, ciudades inteligentes y smart utilities para expandir el trabajo que realizamos desde nuestro laboratorio de IoT Security.

-Otra de las tecnologías que está cobrando mucho impulso es RPA…

RPA engloba un campo amplio, que va desde la robótica -una tecnología muy implantada en los procesos productivos- a la inteligencia artificial, aprendizaje automático y las interfaces cognitivas. Cada una de ellas, con su distinto grado de madurez, presenta desafíos diferentes en seguridad. Por ejemplo, el reto en robótica es que las técnicas de protección no están tan desarrolladas como en los entornos de computación más tradicionales porque los robots, y en general el mundo IoT, solo a veces comparten estándares y protocolos de comunicación con el entorno de negocio. La mayoría de las veces se trata de protocolos específicos con menor madurez, lo que los convierte en objetivos más fáciles de atacar y comprometer. En algunos casos, dependiendo de la potencia de los dispositivos o robots, la limitación es inherente a los equipos que tienen prestaciones sencillas e incluso limitaciones a la hora de consumo eléctrico o de ancho de banda. La falta de soluciones específicas para estos entornos es uno de los desafíos a los que nos enfrentamos con la iniciativa del IoT Security Lab.

-¿Qué riesgos de seguridad podría suponer el salto de los sistemas de voz, en auge en el ámbito privado, al mundo empresarial?

La experiencia demuestra que cualquier tecnología digital que triunfe en el ámbito personal es importada rápidamente al mundo empresarial así que es normal pensar que el uso de la voz como interfaz intuitivo y natural, a medida que vaya encontrando su aplicación, se irá incorporando también. En el MWC se pudo ver el uso de AURA, la inteligencia cognitiva de Telefónica, en entornos de call center, donde cualquier canal soportado por ella, incluida la voz, puede usarse para optimizar la relación con nuestros clientes. En esta línea, iremos aprendiendo, poco a poco, cuáles son los desafíos de seguridad asociados a esta tecnología. Ahora, ya podemos adelantar dos: por un lado, el tema de la privacidad, que tiene un impacto importante desde el punto de vista legal con la entrada en vigor en Europa de GDPR. Y, por otro -y también en este aspecto Telefónica está tomando una posición de liderazgo-, la responsabilidad moral de la inteligencia artificial y el riesgo reputacional de hacerlo mal.

-Según el MIT, los hackers están desarrollando nuevas estrategias gracias a la inteligencia artificial, la nube, los contratos inteligentes y los ordenadores cuánticos. ¿Cuál es tu opinión al respecto?

Como ya explicaba no creo que, a corto plazo, vaya a haber una automatización total de la seguridad ni en la defensa, ni tampoco en el ataque. Lo que es cierto es que hay un desequilibrio entre la tarea del atacante y el defensor. El primero busca el eslabón más débil que le permita vulnerar las defensas, mientras que el defensor tiene que considerar la cadena completa.

La proliferación de tecnologías, muchas de las cuales están siendo desarrolladas a medida que se implementan proyectos y se entiende cómo ayudan a resolver los desafíos a los que nos enfrentamos, crean un escenario de complejidad que hace que resulten muy difíciles de defender. A la vez, la ciberdelincuencia, en muchos sentidos, se enfrenta a las mismas presiones que las empresas, en su búsqueda de arquitecturas más flexibles para sus actividades delictivas, por lo que es normal que exploren y aprovechen estos avances tecnológicos. Sabemos desde hace años que hay un mercado con un alto grado de especialización en el ecosistema ciberdelictivo. Por ejemplo, se pueden comprar frameworks de ataque sofisticados desarrollados por especialistas que venden su conocimiento encapsulado en productos que las organizaciones criminales usan sin requerir conocimientos sofisticados. Estas herramientas, que incorporan inteligencia artificial, permiten que los ataques se adapten rápidamente a las medidas de defensa que se vayan desplegando y seguirán madurando y sumando nuevas capacidades. Nunca igualarán en sigilo a los ataques artesanos de los grandes especialistas pero permiten extender las campañas a un mayor número de víctimas potenciales y, de este modo, incrementar sus ganancias ilícitas.

-Según un informe de Accenture, las empresas podrían incurrir en más de cinco billones de dólares en los próximos cinco años como consecuencia de los ciberataques y el 78 por ciento de los encuestados admite que su organización está adoptando nuevas tecnologías más rápido de lo que puede abordar los problemas de seguridad que traen consigo…

Estas cifras siempre son llamativas. No debemos olvidar que según el World Economic Forum, los ciberataques representan el mayor riesgo para la economía mundial, solo por detrás de los desastres naturales. En cuanto a la adopción segura de tecnologías, la transformación digital es un proceso imparable y, a la velocidad de esta transformación, se une la dificultad para encontrar profesionales en el ámbito TIC, en especial en el campo de la seguridad. Por las presiones competitivas, el negocio termina buscando atajos. Aunque este proceso normalmente se ve compensado por una regulación del mercado que impone estándares que salvaguardan los intereses generales, la legislación es incapaz de evolucionar a la par que las demandas que la misma transformación impone. De ahí estas cifras alarmantes pero veraces que muestran ese desajuste entre la realidad competitiva y los presupuestos de seguridad.

Imagen: Paul Cross

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *