Reflexión sobre la comunicación del ciberataque: necesitamos más cultura de ciberseguridad

Monica Valle ciberataque wannacry

[Nota posterior: este artículo ha sido premiado en los I Premios de Periodismo de Seguridad Informática de ESET. Aquí, mi agradecimiento: https://www.monicavalle.es/premio-eset/]

El ciberataque que comenzó el pasado viernes ha sido considerado como el mayor de la historia. Pero no ha sido algo nuevo, “imprevisto”. Es algo que los profesionales del sector llevaban advirtiendo mucho, mucho tiempo. Y esto en realidad no ha sido “nada” en comparación con lo que podría llegar a pasar. (Ténganse en cuenta todas las comillas que utilizo). Han sido días de noticias incesantes, ríos de tinta y titulares.

Pasada la fiebre inicial, ahora que todo está “normalizado”, me gustaría ofrecer mi reflexión sobre el tema. No me voy a meter en aspectos técnicos, los porqués o los quiénes. Quiero hacer una reflexión sobre la comunicación que ha generado a su alrededor, y la necesidad de aumentar la cultura de ciberseguridad. Que no sea un “trending topic” de un par de días o una moda pasajera, sino que cale.

Más medios, más talento

El pasado jueves, horas antes del ataque, coincidí moderando una mesa redonda en un evento con Enrique Ávila, director del Centro Nacional de Excelencia en Ciberseguridad y Francisco Rodríguez, Jefe del Grupo de Fraudes de la Unidad de Investigación Tecnológica de la Policía. Ambos estaban de acuerdo en la importancia de contar con más medios y con más talento.

“Necesitamos recursos para generar capacidades. Talento para enfrentarnos a las nuevas modalidades del cibercrimen. Que los decisores estratégicos comprendan que todo escenario criminal conlleva la investigación de uno o varios escenarios de evidencia forense digital”, aseguraba Ávila.

No era la primera vez que lo decía, lleva años pidiéndolo. Falta más, pero ojo, no significa que no exista ya en España. Al contrario, hay talento, y mucho.

De hecho me ha asombrado también ver cómo en ocasiones se ha puesto en duda estos días a los profesionales de este ámbito. Son muchos (aunque no suficientes) y son muy buenos. Trabajan para detener las amenazas, y nadie se acuerda de ellos hasta que pasa algo. Pero la seguridad total no existe y estoy segura de que el impacto podría haber sido aún peor de no ser por los profesionales que trabajan en seguridad. Lo que se pretende decir, es que el impacto podría haber sido menor contando con más como ellos.

Iba a decir que qué casualidad que se hablara de esto un día antes del ciberataque, pero no lo es. Insisto, todos los profesionales lo llevaban advirtiendo años. Y hay cada vez más foros donde se ponen en común estos temas. Este incidente ha sido sin duda un toque de atención. Llevamos años informando sobre que falta concienciación, faltan muchos profesionales en el sector, que investiguen, que ayuden a prevenir y mitigar los ataques.

También sobre que el ransomware era (y es) uno de los ataques que más estaba amenazando a las empresas. Pero sobre todo, que los cibercriminales están desarrollando nuevas técnicas, y que incluso infraestructuras críticas como centrales eléctricas o el suministro de agua son vulnerables. Y eso puede provocar aún más problemas que la pérdida de datos.

Viendo la parte positiva de las cosas.
Viendo la parte positiva de las cosas.

Responsabilidad en la información

En cuanto a la comunicación e información sobre el incidente, ha habido de todo. Hay que destacar en sentido positivo la labor que han hecho instituciones como el CCN-CERT o el INCIBE, informando con rapidez, rigor y eficacia. Destacar también el trabajo de investigadores de seguridad y los responsables de ciberseguridad de las empresas (afectadas o no), que han dedicado horas a indagar, compartir y publicar cada descubrimiento que pudiera aportar un granito de arena.

Es lógica la expectación que se ha generado en torno al ciberataque. Es comprensible que todos los medios hayan aprovechado para publicar todo lo publicable sobre el tema. A pesar de la gravedad, me «alegro» de que la ciberseguridad haya llegado a las portadas de los periódicos, de que haya salido a la calle. 

No me alegro tanto del sensacionalismo que ha protagonizado muchas noticias, de la desinformación que se ha provocado en algunas ocasiones.  Debemos ser responsables, todos. Y cuando se trata de informar sobre una crisis, más.

Es un tema muy serio con el que no se debe jugar. Ni dar información que pueda provocar malentendidos, falsas alarmas o desinformar más que informar. He escuchado en algunos medios lo de “piratas informáticos” haciendo juegos de palabras con la película que supuestamente le han robado a Disney. Meras suposiciones en esos momentos, porque no había ninguna prueba. Pero la broma era fácil.

Lo que no es tan broma es que en el sector hemos repetido hasta la saciedad que no hay piratas por ningún lado, que hay hackers y cibercriminales. Es lógico que no todos los medios cuenten con especialistas en comunicación de ciberseguridad. Hasta ahora. Creo que esto es un toque de atención para que algunos se pongan las pilas y se formen más, o consulten.

Parte del sector y profesionales de la ciberseguridad y el hacking, que han dedicado su vida a esto, están molestos con cómo se ha tratado el tema, y con razón. WannaCry es de lo que les ha entrado ganas a algunos con ciertas informaciones.

Y es que se han visto y leído auténticas barbaridades. Desde “ciberviruses” hasta “Ramonwares” y “criptolockers”. 

Luego está la encumbración a héroe de un chico del que destacan que le gustan “las pizzas, el surf y los Pokémon” y que compró un dominio. Al parecer fue quien detuvo el ataque. Bueno, no es que lo parezca, es que algunos titulares así lo dan a entender. No quiero desmerecer su hazaña, tuvo una buena idea, y ojalá que tenga buenas oportunidades profesionales a raíz de ello. Pero muchos se olvidan de los miles de profesionales que han estado trabajando días sin descanso (y que ya habían trabajado antes sentando las bases), para centrarse en una pequeña parte de la historia. La parte que más se parece a un guión de Hollywood que tanto gusta. 

Algunos dirán que son anécdotas, pero ejemplifican el problema al que nos enfrentamos, que es la falta de cultura de ciberseguridad. Vaya por delante que no tengo ninguna intención de criticar a los de mi gremio, ni a nadie que sin serlo quiera aportar, porque la información es libre, y cuanta más haya, mejor. Queda mucho por hacer en cuanto a formación en ciberseguridad, y es responsabilidad de todos.

Pero una cosa es la libertad de prensa y de expresión, y otra la libertad de desinformación. Si se publica algo, debe ser cierto, y como mínimo, debe estar contrastado. Todos cometemos errores constantemente y de ellos aprendemos y crecemos, yo la primera. Pero insisto, informar, más aún sobre temas tan sensibles, conlleva un ejercicio de responsabilidad. Sobre el “copy&paste” directamente me abstengo de pronunciarme.

Si informamos sobre el ransomware – algo de lo que se lleva hablando años y poniendo en preaviso – hay que informar bien. No se puede decir que es un “cibervirus” que “encripta” el “sistema operativo”

A mí personalmente me encanta la ciberseguridad, llegué un poco por casualidad, como muchos en mi ámbito, pero siempre digo que me quedo por pasión. Leo todo lo que puedo, e interrogo cuando tengo la oportunidad de cruzarme con algún experto, y en este país contamos con muchísimos, afortunadamente. Sé con qué tiempos se trabaja en los medios, la presión y la tensión de manejar un tema tan complejo. Pero siempre lo digo también, no soy técnico, ni informático, y cuando he tenido que publicar sobre algo muy complejo, si no sé de lo que hablo, pregunto. Ante la duda, mejor no poner algo que pueda ser erróneo. Aún así, los errores ocurren y son humanos, más aún en un entorno así, en ese caso se subsanan y se aprende. Pero me parece que en este asunto ha sobrado morbo y ha faltado un poco de responsabilidad y rigor. Y no sé por qué escribo en pasado, si esto va a colear todavía, y mucho.  

Cerrado por "virus virtual"
Cerrado por «virus virtual»

Soluciones: más cultura de ciberseguridad

Me hubiera gustado que después de este asunto los hackers empezaran a ser más “hackers” y menos “piratas informáticos”. Sin embargo, aún queda mucho, mucho por hacer.

¿Soluciones? Más concienciación y más cultura de ciberseguridad. Para ello, es necesario que todos pongamos de nuestra parte y haya voluntad de aprender. Hay decenas de foros sobre seguridad informática, congresos (muchos de ellos gratuitos) enfocados a profesionales o a usuarios con menos conocimientos. Aprovechémoslos.

Pongamos en valor la labor que hacen las instituciones como INCIBE o CCN-CERT que investigan y aumentan la conciencia sobre el sector, o iniciativas como X1RedMasSegura que luchan para proteger la vida digital de los menores. Dejemos constancia de esa falta de profesionales, y que todos los actores implicados colaboren para solucionarlo lo antes posible. Apoyemos y dejemos trabajar a los expertos. Y por qué no, aumentémosles el sueldo.

Aprovechemos para que todo esto sirva para aprender y mejorar. Este incidente ha generado también “cosas positivas”, si es que se puede hablar de positivo en algo así. Se ha puesto a la ciberseguridad en el mapa. Algunos usuarios se han enterado (más o menos) de qué es un ransomware. Han aprendido que hay que hacer copias de seguridad. Muchos grandes profesionales han tenido la oportunidad de salir de los medios más especializados para contar en los medios generalistas de qué va todo esto de la ciberseguridad y dar buenos consejos. Y como decía, expertos de todo el mundo han dedicado horas de investigación y colaboración para luchar contra este ransomware, generando muchos datos que serán de gran valor para prevenir futuras amenazas.

Uno de esos expertos ha sido Lorenzo Martínez, CTO & Owner de Securízame, a quien fulminé a preguntas el viernes, y quien entre entrevista y entrevista sacó un hueco para contestarme, cosa que le agradezco mucho.

Como bien adelantó el viernes – con la aún poca información de la que se disponía-, “el ataque en este caso es un malware con una combinación de actividades distintas: una que se ejecuta en un PC y cifra todo el contenido y pide un rescate a cambio, como cualquier ransomware; y la otra, un mecanismo de propagación muy rápido basado en infección por red (comportamiento de un gusano) que permite ejecutarse en equipos que no hayan sido parcheados y protegidos ante esa vulnerabilidad”, refiriéndose a la vulnerabilidad de un servicio nativo y universal en Windows que permitía la ejecución de código remoto.

Lorenzo continuaba: “Mi consejo es tirar de backups actualizados porque en muchos casos, no se puede recuperar la información. Asumo que los analistas de casas de antimalware estarán enfrascados intentando buscar una debilidad en el proceso de cifrado de los ficheros, o incluso pagando por recuperar un único equipo y así entender cómo funciona el decrypter. De esta manera el poder generar una herramienta universal de descifrado”. Eso es precisamente lo que hacía el CCN-CERT con NoMoreCry.

Son muchos más los trabajos de investigación que saldrán de todo este asunto, informes que ayudarán a mejorar la ciberseguridad de empresas y usuarios, y muchos los artículos que ya se han publicado que aportan luz a todo este tema. No he tenido tiempo de leerlos todos, pero recomiendo el de Silvia Barrera, como siempre dejando las cosas claras y sin pelos en la lengua, o este de Josep Albors que hace un análisis claro y muy interesante. Hay muchos más que merecen la pena, y desde aquí pido que me enviéis todos los que me recomendéis.

Lo que está por llegar: RGPD

Un último apunte: y es lo mucho que van a tener que trabajar las empresas para ponerse al día con el RGPD y todo lo que conlleva. Lo hablábamos también el pasado miércoles en un evento de ESET en Bilbao, y es que el tiempo apremia.

En mayo del año que viene todas las empresas tendrán que comunicar posibles incidentes de seguridad y brechas de datos en los que estén comprometidos los datos de los clientes y usuarios. Abajo dejo el vídeo debate para quien quiera echarle un vistazo.

Mientras tanto, pensemos que esto ha sido un ciberataque muy potente y que ha hecho mucho daño, sí. Pero van a venir muchos más, eso debemos darlo por hecho.

Para mitigar los daños, ayudemos todos, con responsabilidad, a aumentar la cultura sobre ciberseguridad, a mejorar la calidad de la información, a apoyar al sector, y aplaudamos a todos los profesionales que están trabajando para hacer nuestras vidas digitales más seguras.