Chris Young, CEO de McAfee: "si los dispositivos cambian, los ataques van a cambiar con ellos"

En el contexto del lanzamiento conjunto entre McAfee y Movistar de ayer, pudimos conversar uno a uno con Chris Young, CEO Global de la compañía de ciberseguridad. Si bien la jornada estaba centrada en malware de navegadores y sitios web, nos dimos un momento para hacer un poco de futurología y charlar sobre las amenazas del futuro.

FayerWayer: Chris, hemos hablado toda la mañana sobre las amenazas actuales en el mundo del malware. Pero, ¿Qué pasará en el futuro? ¿Cuáles serán las amenazas potenciales en la ciberseguridad durante los próximos años?

Chris Young: Es muy difícil prevenir qué harán los atacantes en el futuro, debido a que son muy creativos e impredecibles de muchas maneras.

Si lo pensamos, los ataques usualmente siguen la dirección del resto de la industria tecnológica y de la información. Por lo tanto, uno de los tipos de ataque al que le tendremos que poner atención serán los vehículos conectados. Con el tiempo tendremos más vehículos conectados, autos de conducción automática, y creo que el modelo de ciberseguridad para encargarse de los ataques que veremos en ese espacio va a ser significativo. Será una gran inversión, y los autos que se manejan solos también serán un cambio de paradigma importante para nosotros como personas, por lo que se tendrá que invertir en buena ciberseguridad al respecto.

FW: ¿Están pensando en una solución antivirus para los autos, entonces?

CY: No sé exactamente de qué nos tendremos que preocupar en la seguridad de un vehículo conectado. Conocemos muchos de los sistemas que están siendo desarrollados, y siempre habrá maneras para proveer software antimalware para dichos vehículos. Pero realmente creo que en muchos casos va a requerir una nueva arquitectura de seguridad.

Uno de los grupos en McAfee que ha tenido mucho éxito en los últimos años es nuestro grupo OEM (Original Equipment Manufacturer, o "fabricante original") donde entregamos soluciones embebidas, y espero que en el espacio automotriz mucha de la seguridad que llegue a los vehículos sea embebida, donde se pueda controlar qué aplicaciones funcionan en el auto, qué comunicaciones ocurren entre los diferentes componentes del vehículo…

FW: O entre los diferentes autos en la carretera.

CY: Exacto. Y debido a que hay diferentes componentes que se comunican entre ellos, luego entre autos, hay comunicaciones de amplio espectro, NFC… todo aquello requiere distintos niveles de seguridad. Pero todo estará incrustado y agregado de antemano, es muy poco probable que sea algo que tengas que descargar después de comprado el vehículo.

Nosotros hacemos mucho de aquello hoy en día: trabajamos con sistemas industriales, médicos, y en nuestro negocio de consumo estamos aliados con soluciones OEM en la mayoría de proveedores. Estamos muy cómodos con ese modelo, sólo que en este caso requiere un ciclo de tiempo mucho más largo.

FW: O sea no tendré un popup de McAfee en la pantalla inteligente de mi auto.

CY: ¡Esperamos que no, claro! [Risas]

El internet de las cosas

FW: ¿Qué otro tipo de ataque esperan crezca en el futuro?

CY: Creo que también veremos algo respecto al crecimiento de los dispositivos en el hogar. Pienso que si los dispositivos cambian, los ataques cambiarán con ellos. Un ejemplo muy interesante de esto es el malware de criptomonedas: si lo miras bien, los atacantes no están extrayendo información ni apropiándose de cuentas, sólo están robándole ciclos de cómputo a tu máquina y escalando ese robo [para minar criptomonedas]. Es una forma creativa en la que los atacantes están haciendo uso de todos los diferentes dispositivos que están allá afuera, y por supuesto habla mucho de la metología de los hackers. Esperamos ver crecimiento en ese ámbito, porque hay muchos más dispositivos hoy que hace cinco años.

FW: ¿Y qué pasa con el Internet de las Cosas? ¿También es una amenaza?

CY: Absolutamente. Nosotros creemos que el IOT, el hogar conectado, es una de las razones por las cuales estamos trabajando con Movistar y Telefónica de manera global. Creemos que proteger el hogar conectado va a ser fundamental.

FW: Pero la protección que Movistar anunció hoy ataca solamente al malware de sitios web.

CY: No sólo eso: de hecho esta solución también protege de ataques IOT. Por ejemplo, hacemos análisis de comportamiento de los dispositivos del Internet de las Cosas mediante un mapa de dispositivos y buscamos anomalías de comportamiento. Cuando vemos cambios en los patrones "normales" -por ejemplo, alguien hackeó tu router y lo está usando para apagar tus luces o cambiar tu termostato digital- podemos bloquear la funcionalidad de ese dispositivo IOT e informar al usuario. Incluso tenemos control parental, para que puedas determinar qué dispositivos funcionan o están disponibles para ciertos usuarios, y cuales no.

Vulnerabilidad organizacional

FW: ¿Y qué pasa con los ataques de cadena de suministro, o 'supply chain attacks', que han crecido en los últimos meses?

CY: Los ataques de cadena de suministro son una de las preocupaciones más grandes que tienen las empresas y gobiernos hoy por hoy, porque si bien la mayoría de organizaciones tienen buena seguridad, hacen negocios [con compañías desprotegidas]. Gobiernos y organizaciones grandes tienen negocios con cientos de otras compañías, las cuales tienen acceso a sus sistemas, entrada a sus edificios, y sistemas interconectados. En las aplicaciones del tipo cloud o en la nube, esto pasa todo el tiempo.

Sin embargo, los métodos que los atacantes usan para entrar a la cadena de distribución de cualquier organización son generalmente los mismos. No es que usen maneras diferentes de atacar. Lo que usualmente pasa es que un atacante va contra una organización que tiene menos recursos y menor capacidad de invertir en ciberseguridad. Piénsalo de esta forma: los grandes bancos del mundo invierten una cantidad enorme de dinero en ciberseguridad, y lo que dichos bancos están notando es que los diferentes distribuidores y proveedores que hacen negocios con ellos no tienen el mismo nivel de seguridad que los bancos usan en su propio ambiente. Es un problema complejo, pues es necesario ser inteligente sobre los requerimientos de tu organización, o sobre el nivel de acceso a tus proveedores de cadena de distribución.

Como tú dijiste, dicho ejemplo de un servidor de terceras personas comprometido es muy útil para buscar formas en las que tu cadena de distribución puede ser fuente de vulnerabilidades. Lo que estamos viendo es que muchas organizaciones se están asegurando de avisar a sus distribuidores y partners, comprobando que entiendan que dichas vulnerabilidades existen y son muy reales.