Conecta con nosotros

Entrevistas

«Las empresas deberían invertir menos en software de seguridad y más en capacitar a sus empleados»

Sheyla Ayelen Berta

Hacker y consultora de seguridad

Publicado el

Se llama Sheila Ayelen Berta y es una de las hackers más importantes del panorama internacional. Esta joven argentina, que nació con vocación de paleontóloga, abandonó su sueño a los 12 años, cuando se sentó tras su primera pantalla informática. A los 15 años escribió su primer libro sobre web hacking (publicado por RedUSERS en varios países) y con el paso de los años, ha descubierto vulnerabilidades en algunos de los programas y aplicaciones web más populares.

Actualmente trabaja como security researcher especializada en técnicas ofensivas, ingeniería inversa y escritura de exploits, aunque tal vez es más conocia en su faceta comospeaker internacional. En este sentido, ha participado como oradora en importantes conferencias de seguridad como Black Hat EU 2017, o la DEF CON 26 o HackInParis entre otras.

La semana pasada de hecho, ha sido una de las ponentes estrella de la RootedCON 2019, probablemente el evento de seguridad informática más importante de los que se celebran en España. Tras su charla, en la que ha explicado cómo los cibercriminales desarrollan malware persistente en los sistemas, hemos tenido la oportunidad de hablar con ella. Esto es lo que nos ha contado.

[MCPRO] Hasta hace poco trabajabas en Eleven Path en Argentina, la división de seguridad de Telefónica. ¿Qué es lo que hacías exactamente?

[Sheyla Ayelen Berta]: Estuve trabajando en Eleven Path hasta agosto del año pasado. Ahora me mantengo como trabajadora freelance y aunque sigo viviendo en Argentina, trabajo básicamente para compañías extranjeras.

En mi etapa en Eleven Path me dedicaba básicamente a tareas de auditoría de seguridad, pero también a investigar todo tipo de herramientas, además de testear la seguridad de nuevos desarrollos.Como freelance, sigo en el campo de la auditoría y por mi cuenta si sigo haciendo algunas investigaciones.

[MCPRO] ¿Cómo es el papel de la mujer en el mundo de la ciberseguridad? ¿Qué es lo que te encuentras cuando empiezas y cómo es ahora?

[Sheyla Ayelen Berta]: Yo creo que están cambiando las cosas. Cuando empecé no conocía a otras chicas que se dedicasen a este tema y pasé bastante tiempo sin conocer a otras mujeres que se dedicasen al mundo de la seguridad informática.

Pero de la misma forma y aunque es verdad que después algunas se han ido incorporando a este mundo, seguimos siendo muy pocas. Creo que las mujeres representan únicamente el 10% de este sector en todo el mundo.

Como ves sigue siendo un número muy bajo. Pero está creciendo y cada vez veo a más chicas interesadas, mujeres que están haciendo carreras como ingeniería en sistemas… es un proceso lento pero que poco a poco está dando algunos resultados.

[MCPRO] Una de las cosas que comentabas en tu blog es que cuando empezaste, la mayoría de las personas pensaban que eras un chico, ¿cómo te ha influido el hecho de ser mujer a la hora de desarrollar tu carrera profesional? ¿te has llegado a sentir discriminada?

[Sheyla Ayelen Berta]: Al principio, cuando me conectaba a Internet, utilizaba un nickname de mujer, pero me traía muchos problemas. La mayoría pensaban que era falso y me decías todo tipo de cosas, por lo que al final, para evitar problemas acababá utilizando nicknames que podían significar cualquier cosa.

En cuanto a la discriminación, claro que la he sentido, en múltiples oportunidades. Estando en el trabajo por supuesto, pero más que en el trabajo, te diría que está en el ambiente que percibes. Porque aunque en tu empresa te pueden respetar, es en este contexto en el que te mueves, en el que acabas recibiendo muchas agresiones de todo tipo.

Lamentablemente no hay mucho que puedas hacer contra eso. Lo que trato es apoyarme en la gente que está conmigo, que me da aguante y seguir adelante a pesar de las críticas infundadas.

[MCPRO] Hace unos cuantos años la formación en seguridad informática era bastante amateur y sin embargo, esto es algo que ha cambiado bastante en los últimos tiempo. Hay muchos itinerarios formativos que se pueden escoger. ¿Qué recomendarías a alguien que se quiera iniciar en el mundo de la seguridad informática?

[Sheyla Ayelen Berta]: Hay dos caminos posibles. Uno es el que me tocó hacer a mí forzadamente porque no había otra opción, que es el de ser autodidacta. Ese es un camino que se puede seguir tomando y no tiene muchos secretos. Se trata de buscar información en Internet, y aunque puedes encontrar muchas cosas, es verdad que no vas a encontrar un recurso específico en el que aprender.

Vas a tener que leer los libros que encuentres sobre el tema, que no son muchos y sobre todo tener claro el tema por el que quieres empezar (por ej: ataques en red LAN) focalizarte en los recursos que encuentres en temas muy concretos.

Por otro lado, hoy en día hay muchos más cursos. Hay diplomaturas, grados que te pueden hacer especialista en seguridad informática, siguiendo un camino puramente académico.Creo que lo más interesante es aprender de ambos, ya que son caminos que se complementan.

En cualquier caso creo que depende mucho de la forma de aprendizaje de cada uno, en buscar, en sentirse realmente a gusto con un método de aprendizaje concreto. Hay también muchas certificaciones, que pueden representar otra forma de estudiar, aunque particularmente yo no soy muy partidaria de las certificaciones en seguridad…si bien hay algunas que tienen algunos entrenamientos previos que pueden ser útiles.

[MCPRO] Una de las cosas que llama la atención es que aunque las empresas tienen medidas defensivas cada vez más sofisticadas, el eslabón más débil que tienen son sus propios trabajadores. El ROI más alto por lo tanto, se obtiene con el ataque más sencillo, como puede ser un simple phishing.

[Sheyla Ayelen Berta]: Es algo que pasa en todo el mundo. El atacante sabe que el eslabón más débil es el usuario. Por lo tanto cuando se quiere atacar a una empresa específica, se investiga no tanto sus medidas de seguridad sino quién ocupa qué cargos específicos, sabiendo que posiblemente, cuanto más arriba esté, quizás menos conocimientos técnico va a tener.

A partir de ahí pueden presuponer que esos perfiles van a caer en trampas sencillas. Son los casos de ataque más comunes. Creo que las empresas deberían invertir más en capacitar a sus usuarios. Hay muchas consultoras que capacitan a los trabajadores, enfocadas al usuario y al tipo de ataques que pueden recibir, ya sea un phishing simple o un tipo de ataque más sofisticado.

Este tipo de formación ayuda a los usuarios a aprender a detectar estos casos, saber de qué forma le podrían infectar y en defintiva, avivar su sentido común que creo que al final es la mejor forma de protegerse…mucho más que con un antivirus o con otras cosas.

[MCPRO] Todos los días se descubren vulnerabilidades nuevas, pero muchas son difíciles de explotar así que al final, la inversión en ingeniería social es mucho más sencillo. No necesitas un grupo super especializado en seguridad para poder atacar.

[Sheyla Ayelen Berta]: Claro, es que muchas veces las empresas que invierten en ciberseguridad, lo hacen apostándolo todo al software: antivirus, firewalls especiales, en desarrollos a medida..etc. Pero nunca o casi nunca lo invierten en capacitar a su gente, por lo que siguen teniendo siempre el mismo problema.

[MCPRO] Cuando hablas de que lo más importante es utilizar el sentido común…¿crees que la industria que desarrolla soluciones de seguridad es una industria que ha crecido de forma artificial? Por ponerte un ejemplo… ¿realmente necesitamos instalar todo tipo de antivirus?

[Sheyla Ayelen Berta]: Creo que el mejor antivirus del usuario es el sentido común. Es lo principal. Tener la viveza de no instalar cosas que puedan parecer sospechosas. Y no son conocimientos demasiado especiales, los que te van a permitir detectar ese tipo de cosas. Basta con conocer los métodos por los cuales te pueden infectar, que además son casi siempre los mismos. Pero también pienso que no está de más para el usuario final tener un antivirus instalado, que lo puede proteger de algunos ataques masivos.

En el caso de las empresas, les recomendaría que tuvieran otro tipo de protecciones, porque muchas veces son víctimas de ataques dirigidos y ahí los antivirus no aportan demasiado. Más bien al contrario, pueden convertirse en puertas de entrada para vulnerabilidades nuevas, ya que es un software más que se encuentra dentro del equipo.

[MCPRO]Entonces en el caso de las empresas, ¿qué tipo de medidas de protección recomiendas?

[Sheyla Ayelen Berta]: Lo primero, invertir en capacitación, tal y como ya hemos comentado, porque es lo más importante para protegerse de los ataques dirigidos. Que estén todos los usuarios capacitados, desde el rol más alto, al rol más bajo.

Que todos entienden la forma en la que puede llegar a venir un ataque. Otro tipo de medidas podría ser también la protección de redes y demás, pero creo que son más bien medidas complementarias.

[MCPRO] ¿Crees que realmente nos espían? Lo digo por esa gran cantidad de titulares que leemos que empresas como Google, Facebook, Amazon, etc. se aprovechan de nuestros teléfonos móviles y otros dispositivos.

[Sheyla Ayelen Berta]: Desde luego. Lo único que hablamos de un escenario muy general. No sería la primera vez que alguien me cuenta que ha hablado con otra persona de algo como «zapatillas con flores» y de repente le ha aparecido publicidad de zapatillas con flores en su Instagram o en otras plataormas.

Es decir, sí que hay un seguimiento. El teléfono móvil es un intrumento del que sacan nuestra información, aunque en estos momentos son datos que se usan principalmente para posicionar publicidad.

No descarto sin embargo, que ciertas personas que puedan convertirse en objetivos puedan utilizar su teléfono móvil para llegar a escuchar conversaciones u otras cosas. Pero desde luego, sí está más que fundamentado que ahora mismo hay un interés publicitario, y perfectamemte podríamos ver en un futuro próximo el uso de esas mismas técnicas con otros fines. Creo que en este caso podríamos estar hablando de una «paranoia válida» porque se están viendo muchas cosas que apuntan a esa dirección.

[MCPRO] En ese nivel de «paranoia», ¿qué «configuración tecnológica» le recomendarías a alguien que quisiera mantenerse seguro?

[Sheyla Ayelen Berta]: Es difícil responder a eso, porque ningún equipo te va a dar una seguridad del 100%, porque no existe. En los teléfonos por ejemplo, no importa tanto si tienes Android o iOS, sino vigilar las aplicaciones que instalas y sobre todo, no romper el sistema de seguridad del propio sistema operativo.

Si por ejemplo «rooteas» tu Android o haces «Jailbreak» en iOS, rompes el sistema de seguridad del sistema. Si te infectan el teléfono, el malware va a tener muchas más facilidades para llegar a otro tipo de cosas.

Y luego, sentido común. No dar todos los permisos; es indispensable revisar y comprender qué permisos te están pidiendo. ¿Necesita un juego tener acceso a tu micrófono? Probablemente no lo necesita. O si a Instagram le quitamos los permisos de micrófono por ejemplo, veremos cómo recibimos menos publicidad dirigida.

Si te vas a comprar un ordenador, no hay ningún problema en si sigues apostando por Windows. En sí mismo, Windows 10 es en la actualidad es muy seguro. El problema es que es víctima de muchos desarrolladores de malware.

Al ser un sistema operativo tan ampliamente usado, los desarrolladores del malware lo pusieron en su punta de mira hace muchos años. Pero repito: en esta ocasión es un sistema operativo bastante seguro en su núcleo. Teniendo en cuenta todo esto, de cara a un usuario final, utilizar un sistema operativo que no sea tan víctima de ataques, como puede ser Linux o Mac OS es desde luego, más seguro.

¿Cuáles son para ti las principales tendencias que estamos viendo en ciberseguridad? ¿Cuáles son las vulnerabilidades que están siendo más explotadas por los cibercriminales?

[Sheyla Ayelen Berta]: Un gran problema que estamos viendo desde hace tiempo es todo lo que tiene que ver con IoT, tendencia de la tecnología está pasando por agregarle conectividad a todo.

Antes quizás lo único que tenía conectividad era la computadora y el teléfono, y ahora no hay dispositivos que no la tengan, hasta los frigoríficos. Ese tipo de cosas se están convirtiendo en un problema, ya que se están desarrollando pensando en la funcionalidad y no en la seguridad.

Un frigorífico conectado a Internet termina siendo una ventana abierta para un atacante en la Red. IoT no sólo es una tendencia ahora, sino que lo va a seguir siendo por los problemas que representa. Imagínate con los vehículos conectados. Cuantas más cosas conectemos a la Red, más riesgos estamos corriendo.

[MCPRO] Hemos hablado antes de los ataques dirigidos ¿Realmente una empresa no puede defenderse o evitar este tipo de ataques?

[Sheyla Ayelen Berta]: No es tanto que no hay nada que no puedan hacer, sino que pude llegar a ser realmente difícil pararlos. Es mucho más difícil frenar un ataque dirigido, diseñado para robar los datos de una empresa, que frenar un ataque masivo que pasó de casualidad y que chocó contra las «paredes» de la compañía.

Pero no es imposible. Es cuestión de estar preparado, de tener un equipo especializado en este tipo de cosas, que tengan un entrenamiento especializado… etc. No es fácil, repito, porque incluso si lo tienes, muchos ataques se producen con éxito. Tal vez lo importante es que una vez que el ataque se produce, es ser capaces de responder lo más rápido posible…pero no son tantas las empresas que tienen esa capacidad.

[MCPRO] En qué momento se encuentra la seguridad en las empresas ¿Cuál es el estado que te estás encontrando, cuando haces auditorías y otros proyectos?

[Sheyla Ayelen Berta]: Sinceramente, creo que mejor de lo esperado. A fuerza de darse golpes se han dado cuenta de que tienen que invertir en seguridad. Muchas lo han pagado muy caro porque ha habido muchas fugas de información y muy importantes, en casi todas las grandes empresas.

A partir de ahí muchas se han puesto las pilas y han decidido a invertir más en seguridad, lo que ha arrastrado a otras compañías a tener que hacerlo sin tener que sufrir tanto en primer lugar.

[MCPRO] Con el cloud no sé todos estos riesgos han empeorado

[Sheyla Ayelen Berta]: No necesariamente. Pero sí es cierto que lo que el cloud supone que tus datos están en la computadora de otro. Muchas personas y empresas depositan su confianza ahí. Quizás esa computadora de otro sea más segura que la propia en algunos casos, pero siempre tienes el riesgo de que si esa máquina es atacada vas a perder tu información.

Puede que los riesgos sean los mismos realmente, pero hay que ser consciente de que ese riesgo existe. Por sí mismo, el cloud no ofrece ningún tipo de seguridad adicional.

Periodista tecnológico con más de una década de experiencia en el sector. Editor de MuyComputerPro y coordinador de MuySeguridad, la publicación de seguridad informática de referencia.

Lo más leído