Solo el 11% de los profesionales que luchan en la sombra de un despacho o tras la pantalla de un ordenador por su seguridad en internet es mujer. Pero, en muchos casos, su labor es fundamental para desactivar o minimizar amenazas a escala global.
Ejemplo de ello es Maya Horowitz, directora del grupo de inteligencia de amenazas de Check Point, que puede presumir de haber descubierto el troyano bancario Kronos o el uso de la red social Telegram para hacer intercambios ilegales en la Dark Web. Además, también ha revelado las vulnerabilidades a las que están expuestos los teléfonos inteligentes de LG al activar la ejecución remota de código, entre otros trabajos.
En entrevista por correo electrónico con larazon.es, Horowitz afirma que el virus WannaCry ha sido el más sofisticado a los que ha tenido que enfrentarse, y confiesa que le sigue sorprendiendo la efectividad de estafas tan rudimentarias como las del phishing.
Pregunta: Cuando los periodistas entrevistamos a una profesional para denunciar la escasa presencia de la mujer en su ámbito laboral y reivindicar más oportunidades, se produce una curiosa paradoja: la entrevistada lo es precisamente «por ser» mujer. Rompamos con ello: dígame los tres méritos profesionales de los que se siente más orgullosa y que justifican esta entrevista al margen de ser hombre o mujer.
Respuesta: Los méritos o cualidades de los que más me enorgullezco son mi curiosidad, mi memoria a largo plazo y mi gestión del tiempo supereficiente.
P: En la vida real, los criminales suelen ir un paso por delante de la Policía. ¿Ocurre lo mismo en la ciberseguridad? Por cada antivirus que se invente siempre habrá un virus nuevo...
R: La idea general es que en el juego de la ciberseguridad los ciberdelincuentes son siempre el ratón por perseguir. Aunque esta es en realidad la respuesta simple, y sólo ellos saben hacia dónde se dirigirán en el futuro cercano, esto no significa que no puedan ser atrapados de manera casi inmediata. La nueva generación de ciberseguridad se basa en la inteligencia artificial, que puede identificar y bloquear las actividades maliciosas sin tener conocimiento previo de su comportamiento. Resulta que los criminales no siempre tratan de ir un paso por delante. De hecho, un análisis reciente que hicimos en Check Point muestra que menos del 20% de los ataques se basan en fallos de seguridad encontradas en los últimos 2 años. La gran mayoría de los ataques simplemente reciclan viejos métodos de ataque. Esto significa básicamente que el 99,99% de los ataques actuales pueden bloquearse mediante el uso de productos de seguridad avanzados y/o la implementación constante de parches de seguridad. Sin embargo, como la mayoría de las personas y organizaciones no toman estas medidas adecuadamente, los ataques siguen siendo altamente exitosos.
P: Desde su experiencia, ¿qué delito informático le ha sorprendido más por su sofistificación? ¿Cuál le ha dado más quebraderos de cabeza?
R: Me gustaría decir que fue el infame WannaCry, ya que ocurrió durante un fin de semana, y había una gran cantidad de preguntas urgentes llegando de todas partes. Sin embargo, pronto nos dimos cuenta de que los productos de Check Point bloqueaban este ransomware y el vector de ataque EternalBlue en cero segundos gracias a que identificaban este malware por entonces desconocido. Así que nos quedamos con la parte divertida, que es hacer la investigación técnica del ataque y aportar nuestro conocimiento a la comunidad de seguridad. La sofisticación de esta amenaza fue que aprovechó una “ciberarma” desarrollada por un país, pero no fue una sorpresa ya que esta herramienta había sido publicada un mes antes del ataque. Por otro lado, hay ataques que me sorprenden por su falta de sofisticación, y me refiero principalmente a correos electrónicos de phishing. Mediante el uso de ingeniería social de baja tecnología, los delincuentes consiguen atraer a las víctimas para que hagan clic en los enlaces, insertar credenciales y hacer doble clic en archivos ejecutables para instalar malware en sus equipos o teléfonos móviles. Me sorprende que no haya suficiente conciencia de estos ataques y que sigan funcionando a un ritmo tan alto.
P: ¿Existe el cibercrimen perfecto?
R: Depende de lo que entendamos por perfecto. Hay ataques dirigidos que profundizan en su objetivo, sus puntos débiles, la forma más fácil de entrar en su red, las defensas a las que tendrán que enfrentarse… ¿Significa esto que es perfecto? Tal vez un ciberataque perfecto sea el más rentable: usar una herramienta que se puede comprar online por 10 dólares, enviarla por correo electrónico a decenas de miles de víctimas potenciales y asumir que las cifras serían correctas. En mi opinión, la definición de ataque perfecto depende del objetivo del atacante, si se trata de alcanzar una amplia «base de instalación» para la monetización, un sistema SCADA muy específico, o algo intermedio.
P: ¿Alarman en exceso las empresas antivirus en sus informes? Al fin y al cabo, mantener la psicosis de sufrir un ataque es garantía de vender más equipos de protección.
R: No, en absoluto. Los ciberataques son una amenaza muy real, y se han vuelto más peligrosos en los últimos años. Hoy en día, los ciberdelincuentes han tomado el control de herramientas de hacking de grado militar que pueden causar estragos en empresas, países e individuos. Las amenazas avanzadas, como el ransomware, el criptojacking o los troyanos bancarios, pueden poner en peligro a cualquier empresa o país, independientemente de su tamaño o volumen de negocios. Nuestros sistemas descubren millones de ataques al día, en todas sus formas. Así que… es una amenaza muy real.
P: Haga una predicción: ¿por dónde vendrá el nuevo ataque a nivel mundial, ese que traerá en jaque a todo el planeta?
R: No tiendo a tramar escenarios de Armagedón. Y en cualquier caso, el último ataque global a gran escala, WannaCry, demostró que incluso tales ataques pueden (y deben) ser prevenidos con simples parches y/o sistemas de seguridad. Así que simplemente tenemos que tomar estas medidas.
P: ¿Existen los gigantes con pies de barro, grandes empresas con sistemas de protección antivirus muy deficientes?
R: Nuestros datos muestran que sólo el 2% de las empresas están protegidas contra los tipos actuales de ataques avanzados; mientras que la mayoría de las empresas protegen sus ordenadores, no protegen las otras puertas que pueden conducir a sus redes, por ejemplo, los dispositivos móviles y la infraestructura Cloud. Esto nos deja con el 98% de las organizaciones que tienen una protección relativamente pobre.
P: ¿Datos, dinero, chantaje…? ¿Cuál es la principal motivación de los hackers?
R: El objetivo de los ciberdelincuentes es casi siempre el dinero. Pueden utilizar la extorsión o el robo de datos para conseguirlo, pero el fin último suele ser obtener beneficios. También hay una minoría que ataca por prestigio, hacktivismo o espionaje, pero constituyen un porcentaje irrelevante de todos los ciberdelincuentes que quieren enriquecerse al máximo.
P: ¿Hasta qué punto están los gobiernos detrás de muchos de los ataques? ¿Y cuáles serían esos países?
R: Es difícil determinar cuántos ataques patrocinados por países hay, ya que por lo general no los reivindican. En cualquier caso, estos ataques representan menos del 0,1% todos los ciberataques; la mayoría son realizados por delincuentes que buscan dinero fácil.
P: Volviendo al tema de inicio de la entrevista. ¿A qué achaca que haya tan pocas mujeres en la ciberseguridad?
R: Desde pequeñas se nos dice que cada género tiene su papel en la sociedad. Está en los medios de comunicación, en el sistema educativo, e incluso en los juguetes que nuestros padres nos dan. Así que no es de extrañar que crezcamos para creerlo. No se trata sólo de ciberseguridad, sino de todas las profesiones orientadas a la tecnología. Afortunadamente, hay cada vez más mujeres en el sector, y creo que vamos en la dirección correcta para eliminar este absurdo.
P: ¿Dónde está, en su sector, el techo de cristal?
R: No hay techo de cristal en el sector. Hay mujeres muy talentosas, y si sienten que se les impide alcanzar sus metas sólo por su género, deberían considerar mudarse a otra compañía.
P: ¿Ha sentido actitudes machistas en su trabajo? ¿Me puede poner algún ejemplo?
R: Sí, aunque muy pocas veces. Algunos hombres son condescendientes sin siquiera darse cuenta. Me aseguro de señalárselo, para que presten más atención a la forma en que actúan, y espero que cambie desde la base hasta la forma en la que piensan.
P: Por último: ¿Qué puede aportar una mujer respecto a un hombre, si es que hay algo específico, en su trabajo?
R: Ningún género es mejor que el otro en una tarea específica, cada persona tiene su propio valor añadido. Creo que la diversidad de cualquier tipo enriquece al equipo y maximiza la sinergia.
