«El objetivo en ciberseguridad es evitar que se produzcan los ataques»

Dorit Dor es doctora en informática y se incorporó a Checkpoint en 1995, tras formar parte durante 8 años de las unidades de inteligencia en Israel. Lleva 28 años en la empresa y, aunque siempre ha estado muy enfocada en el área de Investigación y Desarrollo, ha tenido toda clase de responsabilidades en Checkpoint que hacen de ella una de las voces más autorizada en el panorama mundial de la ciberseguridad.

[MCPRO] ¿Cómo resumiría cuál ha sido el cambio en el tipo de ciberamenazas desde aquellos primeros días hasta ahora? Porque ha habido una gran evolución.

[Dorit Dor] Empezamos con lo que entonces parecían incidentes muy aislados que tardaron algún tiempo en propagarse. Al principio ni siquiera teníamos redes por todas partes. Era más lento. Las amenazas viajaban a través de discos físicos o lo que fuera, luego por USB y ahora estamos en una situación muy diferente con este estado de «siempre conectado». Las cosas han cambiado mucho.

Creo que los ciberataques se convirtieron en un problema muy grande porque el uso de lo cibernético en nuestra vida digital se convirtió en un problema muy grande. Nuestros coches están conectados a Internet, nuestros frigoríficos están conectados a Internet, nuestras carteras están conectadas a Internet, la infraestructura de los bancos, los historiales médicos de los hospitales y muchas otras cosas dependen de la conectividad y la comunicación en directo.

Así que creo que la evolución aquí es la evolución de las TI y de la vida digital junto con la evolución de los atacantes. Así que cuantos más activos tengamos en línea, cuanto más dependa nuestra vida de estos medios, más se convertirá en un activo que los atacantes puedan aprovechar. Y cuanto más se convierta en un activo importante más será objetivo de ataques.

[MCPRO] ¿Qué tendencias observa actualmente en el terreno de las ciberamenazas? ¿A qué nos enfrentamos hoy en día?

Las amenazas y los ciberataques están evolucionando. Si nos fijamos en el ransomware, por ejemplo, comenzó hace muchos años con el cifrado de fotos de sus hijos y pidiéndole que pagara una cantidad muy pequeña de dinero para recuperar las fotos. Y evolucionó hacia algo que a veces era un ransomware generalizado que atacaba a muchas organizaciones en total, y más tarde algo que evolucionó hacia la extorsión. Así que no sólo encripté sus datos, también copié sus datos y publicaré sus datos si no me paga.

Esto es doble extorsión y también existe la triple extorsión de que no sólo tengo los datos, los filtraría, también contactaría con sus clientes cuyos datos está reteniendo y les diría que estoy a punto de publicar sus datos. Así que es la evolución del ransomware, empezó robando a los consumidores una pequeña suma de dinero y luego pasó a atacar con ransomware a organizaciones más grandes, a la doble extorsión y a la triple extorsión. Y en este año, con la situación geopolítica de Ucrania y Rusia, también hemos visto dos tipos adicionales de evolución, la transformación del ransomware en más wipers.

Hubo bastantes wipers (ransomware que borra datos) este año, en el que un wiper es un ransomware que, en cierto modo, ha perdido la clave y no hay forma de recuperar los datos. Así que el wiper no es un concepto nuevo, pero hay muchos más wipers en la guerra de activismo entre los apasionados ucranianos, a los apasionados rusos. El wiper es un arma. No quiere intercambiar nada. Sólo para distorsionar los sistemas. Sí, sólo para distraer el negocio. Así que los limpiaparabrisas son mucho más comunes ahora.

Hemos visto otra tendencia en 2022 con los amplios ataques con ransomware contra países. Así, Costa Rica, Perú, Albania y Montenegro fueron atacados. Algunos fueron atacados porque tomaron partido o habilitaron algún tipo de legislación que ayudó a uno de los bandos en el país.

Y Costa Rica y Perú fueron atacados. Y Costa Rica y Perú son como una prueba de concepto de atacar países. Su intención es atacar a más países en el futuro. Y eso es algo así como sus etapas infantiles en la experimentación de atacar países. Y pusieron esta afirmación en el cable. De acuerdo, así que no fue como una afirmación secreta que pusieron a todo volumen.

Así que lo que se ve es que hay una cierta siembra de un método de ataque y con el tiempo, como cualquier método en nuestra vida, la gente lo perfecciona y lo hace más valioso. Así que los atacantes también lo perfeccionan y lo hacen más dirigido a las grandes empresas, más dirigido al activismo, más dirigido al objetivo relevante que tenían en ese momento. Bien.

[MCPRO] Estamos asistiendo a una verdadera revolución en múltiples campos con la popularización de herramientas de IA como chatGPT. ¿Qué opina de todo este mundo que se nos viene encima en materia de ciberamenazas con el valor añadido de la IA?

[Dorit Dor] Primero diré que la IA no es nueva. Y la profundidad de la IA es algo que hemos estado utilizando durante mucho tiempo para ayudar a proteger a nuestros clientes. Así que muchos de nuestros motores, como la búsqueda de ataques DNS y la detección de phishing y muchas otras capacidades, como decidir si algo es malware y clasificar las familias de malware se basan en técnicas de IA.

Todo esto utilizó IA bastante profunda durante muchos años. Y evolucionó del aprendizaje automático al aprendizaje profundo. Y tenemos bastantes datos internos que utilizamos para crear motores que aprenden por sí mismos y evolucionan para defenderse de los ataques.

Ahora, lo que cambia con la IA generativa es que la herramienta pasa a estar al alcance de todo el mundo, de los jóvenes, de las personas sin conocimientos técnicos, de mis hijos, de mis padres. Todo el mundo puede encontrar algo que hacer con la IA generativa. Y esto aporta mucha innovación.

Mucha gente hace muchas preguntas a la IA generativa y la utiliza para desarrollar nuevas aplicaciones. Así que es una gran oportunidad para la innovación. Pero, efectivamente, lo que hace es tomar, digamos, a una persona poco cualificada.

Potencia rápidamente las habilidades de esa persona y como que multiplica las fuerzas haciendo mucho y muy rápido. Esto es cierto para cualquier habilidad. Esto es cierto, estoy seguro, para un comerciante.

Esto es cierto para un desarrollador, esto es cierto para un atacante y esto es cierto para un artista. Pero esta elevación en primer lugar, voy a decir, no creo que la IA en este momento está inventando nuevos tipos de ataques. Pero en lo que es muy fuerte es en crear variaciones inteligentes.

Y en falsificación, el phishing es una especie de familia de la falsificación. El compromiso del correo electrónico comercial es una familia de la falsificación. Hacerse pasar por otra persona y engañarla para que haga algo es una familia de enlaces.

Así que los dos aspectos de elevar sus habilidades, hacerlo mucho más rápido y hacer mucho más falso va a aumentar el volumen de cosas que están sucediendo y para reducir la barrera de entrada. Si alguien con un determinado conjunto de habilidades no era capaz de hacer un ataque antes, ahora puede hacerlo más fácilmente en mayor cantidad y como que presiona un nervio más profundo al hacerlo más auténticamente falso, llamémoslo así.

[MCPRO] ¿Podemos esperar que estas herramientas también sean de ayuda para mejorar las ciberdefensas?

Sí, claro. Estas mismas capacidades ayudan a los defensores, que podrían utilizar la automatización para escribir scripts y utilizar las API de Checkpoint para crear todo tipo de programas de protección. ChatGPT podría ayudar a los desarrolladores a crear una mejor protección y ChatGPT podría ayudar al personal del SoC a ser más eficaz. Pero en ambos bandos, tanto el atacante como el defensor podrían actuar con mayor rapidez. Pero eleva la guerra.

[MCPRO] Dentro de la evolución de las ciberamenazas, ¿podemos decir que existe el malware ofrecido casi en una modalidad de proveedor de servicios?

[Dorit Dor] Existe realmente una industria de las ciberamenazas. No se trata de actores individuales o de pequeños grupos de personas. Quiero decir que realmente hay una enorme ganancia económica para estas personas, ganancia financiera. Y por eso están organizados y operan de forma empresarial. Luchamos contra organizaciones muy importantes. No es algo pequeño. En realidad hay dos tipos de organizaciones contra las que lucho.

Unas son organizaciones comerciales que tienen experiencia construyendo malware. No lanzan ataques, pero ofrecen sus servicios de malware o  servicios de phishing o botnets a otros que son los que realizarán los ataques. Así que estos son los tipos como un proveedor de servicio. Este es un tipo de gente que combatimos.

Por otra parte, en el plano de lageopolítica hay ahora organizaciones de activismo patrocinadas por estados como las que hemos visto alrededor de Ucrania y Rusia. Pero estas son organizaciones con una misión, con una visión, con un plan de recursos humanos.

Están contratando a gente, tienen un organigrama, tienen un sistema de formación, tienen presupuestos y tienen material de marketing y todo eso y hacen lo que hacen a veces con financiación de los estados, pero muchas veces por razones ideológicas. Y este es un grupo diferente al que lo hace por razones financieras como los tipos de «as a service» que lo venden para vivir.

Ambos grupos están bien financiados. Uno está financiado por el dinero que han ido ganando a lo largo de los años y el otro está financiado por determinados países. Son actores muy importantes, por supuesto.

[MCPRO] Para terminar, ¿cómo describiría su experiencia en la comunidad de la ciberseguridad desde el punto de vista de una mujer? Porque ahora quizá sea más común, pero hace unos años supongo que era un área muy dominada por los hombres muy diferentes a lo que es hoy.

[Dorit Dor] Para empezar diré que sigue siendo un espacio ampliamente dominado por los hombres. Así que cuando voy a una reunión con clientes, todavía no hay muchas mujeres en la mesa. Estamos mucho mejor, pero aún nos queda camino por recorrer y definitivamente no estamos al 50/50. También creo que es el mejor espacio en el que pueden estar las mujeres. Es un espacio que tiene la flexibilidad, aprovecha tu experiencia.

Por lo general, se pueden encontrar muchos puestos de trabajo en horarios flexibles, en compensaciones flexibles, modernas y con grandes ventajas en cuanto a la carrera profesional, y es un espacio muy desafiante desde el punto de vista intelectual. Siempre hay un adversario que piensa cosas malas, y tengo que adelantarme.

Así que creo que es un reto intelectual y también es el mejor lugar para las mujeres. Por esta parte que creo que hemos mejorado. Personalmente diría que nunca fue un problema para mí cuando estaba en el ejército. En aquella época teníamos aún menos mujeres en el ejército, en estas profesiones. Y ni siquiera pensaba en ello. Pensaba que era algo estupendo y emocionante aprender y hacer eso. No me importaba, como las mujeres, los hombres, no me importaba quién estaba a mi alrededor. Y simplemente progresé. Pero con el tiempo, observé esto en la industria.

He visto a mujeres, por alguna razón, asustadas de venir a este espacio, y he visto a mujeres iniciarse en él y vivirlo con bastantes dificultades. Y decidí que una de mis misiones sería ayudar a las mujeres a adoptar más tecnologías y a ocupar más puestos de liderazgo en la ciberseguridad, porque realmente creo que es el mejor lugar para las mujeres. Así que desde entonces, hago cosas como programas de tutoría.

Estuve en la junta de un grupo llamado «She Codes» en Israel que intenta animar a las mujeres a que se dediquen a la codificación. Y por eso creo que hay mucha concienciación y muchos debates, pero seguimos perdiendo en las ciencias de la vida. Así que todavía hay muchas más mujeres que van a aprender química y biología.

Entonces me gustaría verlos más en el tipo de informática con tecnología cibernética o sin ella. Así que aún nos queda camino por recorrer en esto. De acuerdo, bueno, es muy agradable escuchar esta posición, este estado que usted toma, y desde un lugar tan importante para empujar, para impulsar la acción en esa dirección.

[MCPRO] ¿Qué consejos le daría a usuarios y empresas sobre cómo se pueden prevenir este tipo de ataques?

[Dorit Dor] Esta es una de las facetas en las que centramos el evento CPX360 2023, el asesoramiento en ciberseguridad a nuestros clientes y empresas. Creemos firmemente en que los ataques deben y pueden prevenirse más. Construimos nuestros productos con mucha innovación sobre cómo detener los ataques. Y cómo hacerlo con la experiencia de usuario positiva adecuada para que realmente pueda activarnos en la prevención, en la línea, y para detener los ataques, tenemos nuestra visión de cómo creemos que hay que construir algo para detener los ataques. Y esto tiene tres elementos.

Primero tiene que ser completo. Hay que cubrir todas las entradas, todos los lugares que son sensibles en la nube, en el punto final, en el móvil, en la red, obviamente en el IoT codificar y comprender todo el ecosistema de un ataque. Para que sea completo, tiene que estar consolidado, de modo que tenga una sola visión de su seguridad y operativa, para que pueda entender lo que está pasando y establecer una política integral.

También tiene que ser colaborativo, es decir, que si ve que algo ocurre en un lugar del mundo, también reaccione en otro. Y si veo que un endpoint está siendo atacado, entiendo que tal vez haya un atacante en el lugar. Y también utilizaré la red y la nube y el móvil y todos los demás elementos para detener este ataque. No lo veré como una solución puntual, sino que me veré como una especie de órgano de prevención colaborativo y holístico que trabaja conjuntamente.

Y utilizamos mucha IA y datos en esta parte. Esto es lo que creemos que es la base para una infraestructura y una arquitectura que realmente pueda prevenir los ataques. Y aconsejamos a nuestros clientes que no se limiten a obtener visibilidad, que no se limiten a recibir alertas, porque si te avisan de que tienes ransomware, suele ser demasiado tarde. En primer lugar, hay que evitar que se produzca el ataque.

[MCPRO] Muchas gracias por su tiempo.