Fernando Acero Martín comenzó su larga carrera profesional-militar como Jefe de la Escuadrilla de Transmisiones de la Base Aérea de Albacete. A finales de 2013 pasó a ser Jefe de Operaciones de Ciberdefensa del Ejército del Aire y poco después, Director de Ciberdefensa del mismo, hasta su marcha el pasado mes de febrero. Hoy trabaja como CISO (Chief Information Security Officer u oficial principal de seguridad de la información) en Acero Abogados, trasladando sus extensísimos conocimientos en el campo de la ciberseguridad al mundo de la abogacía. Defensor del software libre (fue vocal de la Asociación Española de Usuarios de Software Libre Hispalinux) y autor de manuales de OpenOffice, hablamos con este «forense digital» sobre los fundamentos de la ciberseguridad aplicada a las PYME.

La ciberseguridad aplicada al mundo de la abogacía

Andalucía es Digital: Por favor, cuéntenos un poco sobre su labor actual como CISO en Acero Abogados.

Fernando Acero: Mis obligaciones como CISO son idénticas a las de cualquier CISO de otra organización. Entre mis funciones destaca desarrollar una estrategia de ciberseguridad que esté perfectamente alineada con los objetivos de la organización. Para ello, soy el responsable de proponer los medios y mecanismos de ciberseguridad, de elaborar las normas de ciberseguridad y de ciberhigiene, y de velar por su cumplimiento.

Para todo lo anterior, me baso en una metodología propia que denomino ABCDE, que por orden alfabético y de importancia consiste en la Actualización permanente de los sistemas y aplicaciones, en el Bastionado de los sistemas (utilizar una adecuada configuración de seguridad), en la Concienciación de todo el personal de la organización, en la Defensa activa, y en Extender las medidas de seguridad a todo el perímetro de la organización.

Andalucía es Digital: ¿A qué retos en materia de ciberseguridad se enfrenta un despacho de abogados?

Fernando Acero: Básicamente a los mismos que cualquier organización en los convulsos tiempos que corren, pero hay que tener en cuenta, además, que los despachos de abogados pueden ser el objetivo de ciberataques por sus clientes o por la naturaleza o importancia de los casos que tratan. Además, otro reto para la ciberseguridad es que se intercambia mucha información con fuentes externas no confiables o desconocidas, normalmente mediante correo electrónico o dispositivos USB y que, en ocasiones, hay que mantener durante un tiempo configuraciones no seguras para acceder a determinados servicios o bases de datos.

Del ámbito militar al de la empresa privada

Andalucía es Digital: Usted ha tenido una amplia trayectoria en ciberseguridad y ciberdefensa en el ámbito militar. ¿Qué cree que le puede aportar a nivel personal este giro hacia el ámbito privado? ¿Y cómo puede trasladar sus conocimientos a este terreno?

Fernando Acero: Sin duda la satisfacción personal de llevar a cabo una tarea que me apasiona y en la que me siento cómodo.

En relación a la segunda pregunta, el poder ayudar a empresas y organizaciones, en base a la experiencia estratégica y operativa en materia de Ciberdefensa que he obtenido durante mi periodo como Jefe de Operaciones de Ciberdefensa del Ejército del Aire y posteriormente, como Director de Ciberdefensa del Ejército del Aire. Creo que aporta mucho valor a mi trabajo diario.

Asimismo, mis experiencias como piloto militar y profesor de vuelo, como Jefe de Mantenimiento y como responsable de Ciberdefensa del Ejército del Aire, hacen que tenga una visión muy completa de los problemas relacionados con la ciberseguridad en el ámbito aeroespacial, que es un área que está tomando mucho interés tras la reciente publicación de la Estrategia de Seguridad Aeroespacial española y normativas específicas de ciberseguridad aeroespacial. En un intento de trasladar esos conocimientos y experiencia a la sociedad civil, soy muy activo en redes sociales como LinkedIn.

Andalucía es Digital: Hablemos del ámbito de la empresa. ¿Se adoptan suficientes medidas de ciberseguridad en España? En caso de que no, ¿a qué se debe?

Fernando Acero: No me gusta generalizar ni caer en los tópicos. Cada ciberincidente o ciberataque ha de analizarse de forma individual y dentro de su contexto. Por mi experiencia como forense digital, he comprobado que no suele haber un elemento común único en todos los casos. Es cierto que hace falta más formación y concienciación en ciberseguridad, sobre todo si consideramos que, por acción u omisión, en el 96% de los ciberataques exitosos interviene el factor humano. Pero esa concienciación no es necesaria solo a nivel empresarial: también es necesaria a nivel social, ya que la red y las ciberamenazas son las mismas y globales; solo cambia el propósito y el entorno desde el que accedemos a ella. No podemos usar dispositivos como smartphones, ordenadores, tablets o cualquier otro sistema con conexión a Internet sin saber utilizarlos de forma segura y sin conocer las amenazas que nos pueden afectar.

Hace falta más formación y concienciación en ciberseguridad, sobre todo si consideramos que, por acción u omisión, en el 96% de los ciberataques exitosos interviene el factor humano.

Creo que a nivel de empresa, lo primero que hay que hacer es un análisis de los riesgos. Y en base a lo que se obtenga de dicho análisis, obrar en consecuencia, realizando una adecuada gestión de los riesgos remanentes. Del análisis de riesgos obtendremos las pautas para priorizar las inversiones y las acciones en materia de ciberseguridad, lo que se hará siempre en base a la criticidad de dichos riesgos. Conozco empresas que se han gastado mucho dinero en ciberseguridad y han sido ciberatacadas con éxito, por no haber invertido en lo que realmente hacía falta. Las decisiones en ciberseguridad se deben hacer en base a la probabilidad de sufrir determinado ciberataque y el impacto del mismo en la organización. El análisis de riesgos soluciona este problema y permite hacer una inversión eficaz y eficiente en ciberseguridad.

 

La ciberseguridad en las PYME: cuestión de metodología

Andalucía es Digital: ¿Qué medidas sencillas puede adoptar una PYME a corto plazo para protegerse de los ciberataques?

Fernando Acero: Sencillamente, hay que empezar por lo más importante y según mi metodología ABCDE, considero que las tres primeras acciones son irrenunciables para cualquier organización. Si se mantienen los sistemas y las aplicaciones actualizados en todo momento y con una buena configuración de seguridad, y el personal está adecuadamente formado y concienciado en ciberseguridad, será muy complicado atacar con éxito a esa organización.

Estas acciones, que proporcionan el 90% de la ciberseguridad, no implican grandes inversiones y deberían estar contempladas en el plan de negocio de cualquier PYME. Si una empresa no tiene recursos para hacer al menos estas tres acciones, es posible que se tenga que plantear seriamente si es viable con ese modelo de negocio.

Hay que señalar que el 60% de las PYMEs cierra en los seis meses siguientes a recibir un ciberataque mayor, normalmente secuestro de datos, fuga de datos sensibles, o una combinación de ambos.

Andalucía es Digital: ¿Y a largo plazo? ¿En qué deben invertir las empresas para reforzar su seguridad?

Fernando Acero: Evidentemente, avanzar lo que se pueda en las dos últimas actividades de mi metodología, es decir, ejercer una defensa activa de la información y de los sistemas de la organización, y extender las medidas de seguridad a todo el perímetro de la organización, algo que no es sencillo de lograr con el uso generalizado de dispositivos móviles, de la nube y el teletrabajo. Estas dos actividades ya requieren personal especializado e inversiones relativamente elevadas, y aunque son áreas que se pueden externalizar, no todas las PYMEs tienen recursos económicos y humanos para llevarlas a cabo.

Pero también debemos considerar que cuanto más digitalizada está la empresa, o más profunda es la transformación digital de la misma, mayor es su ciberdependencia y su vulnerabilidad ante un ciberataque, por lo que la ciberseguridad no se puede considerar un gasto. Es una inversión. Para esas empresas fuertemente digitalizadas, la información es su primer activo, por lo que debe ser protegida adecuadamente. Para estas empresas, la ciberseguridad ha de ser una inversión básica, como tantas otras que se consideran de forma natural e instintiva como indispensables.

La ciberseguridad no se puede considerar un gasto. Es una inversión.

El futuro de la ciberseguridad

Andalucía es Digital: ¿Qué desafíos en materia de ciberseguridad nos esperan de aquí a diez años?

Fuente: Wikipedia

Fernando Acero: Los avances en computación cuántica, que pueden dejar inoperativa la criptografía que ahora conocemos, y la Inteligencia Artificial, que ya está siendo usada por el malware más moderno, van a poner a prueba nuestra capacidad de innovar en ciberseguridad y de reaccionar en tiempo y forma a las nuevas ciberamenazas durante la siguiente década. Va a ser complicado que una organización se pueda defender ante un malware basado en Inteligencia Artificial sin usar una Inteligencia Artificial que le ayude o que automatice la respuesta.

Estos cambios disruptivos de la mano de la computación cuántica y el uso generalizado de tecnologías exponenciales (como blockchain, la Inteligencia Artificial, Machine Learning, robótica, impresión 3D, etc.), junto con el uso de las distintas nubes, públicas, privadas o híbridas, nos van a obligar a replantearnos nuestro análisis de riesgos y las medidas de ciberseguridad actuales.

Antes de la transformación digital, el valor de una empresa se medía por su contabilidad, por las auditorías financieras y por sus beneficios netos, pero ahora sabemos que una empresa solvente puede tener grandes pérdidas tras un ciberataque, o incluso quebrar. En esta situación, la valoración del estado real de ciberseguridad de la empresa, materializado en un análisis de riesgos formal y siguiendo las medidas que se han tomado para gestionar los riesgos remanentes, está cobrando día a día una mayor importancia a la hora de valorar las empresas y estimar el riesgo de invertir en ellas.

Andalucía es Digital: A fecha de finales de mayo pasado, la Junta de Andalucía había gestionado casi 3.000 incidencias en ciberseguridad desde el mes de enero. 1.554 de ellas se habían producido durante la crisis sanitaria. ¿Por qué este pico durante el estado de alarma?

Fernando Acero: Los ciberatacantes intentan aprovechar en su beneficio cualquier vulnerabilidad personal o social. Durante la pandemia, los ciberatacantes consideraban que si lograban atacar con éxito un hospital o un laboratorio farmacéutico, infraestructuras vitales para la sociedad, había más posibilidades de obtener mayores beneficios, por ejemplo mediante el pago de un rescate por el secuestro de los datos.

Asimismo, en la explotación de esas debilidades personales, los atacantes recurren a sentimientos básicos para engañar con éxito a los usuarios, como el miedo, la curiosidad, el morbo, la ira, la urgencia o la compasión. Sin duda, la percepción del problema y la situación personal y colectiva derivada del COVID-19 han sido un filón para multiplicar el efecto de esos sentimientos básicos en los mensajes de phishing. Hemos de considerar, además, que el phishing es la forma más sencilla y eficaz de ciberatacar a una organización o a una persona. Se intenta explotar esos sentimientos básicos para lograr engañar a una persona para que abra un archivo, o para que haga clic en un enlace malicioso adjunto a un correo electrónico.

La importancia de la colaboración

Andalucía es Digital: Usted apuesta por una comunidad digital más colaborativa con recursos como el software libre. ¿Puede ser colaborativa y abierta la ciberseguridad?

Fernando Acero: De hecho, la ciberseguridad no funciona sin colaboración ni sin compartir información crítica entre los distintos actores nacionales e internacionales. Los CERT se encargan de eso precisamente, de proporcionar información crítica de ciberseguridad a una comunidad de interés. En España, el CERT que se encarga de las empresas y de los ciudadanos es el INCIBE.

La ciberseguridad no funciona sin colaboración ni sin compartir información crítica entre los distintos actores nacionales e internacionales.

Unas de las áreas más importantes dentro de la ciberseguridad es la de la ciberinteligencia, es decir, el mecanismo por el que se convierte una amenaza nueva y desconocida en una amenaza conocida y de la que nos podemos defender con relativa facilidad. Si esa información de ciberinteligencia, que en ocasiones es muy complicada de obtener, no se disemina adecuadamente en la sociedad, dicha amenaza seguirá siendo desconocida para muchas personas y organizaciones, con el riesgo que ello implica. Nadie se puede defender de forma eficaz de una amenaza que desconoce que existe o que no sabe que le puede afectar.

Andalucía es Digital: ¿Qué estrategias puede seguir el sector público para concienciar a las empresas sobre ciberseguridad?

Fernando Acero: En base a mi experiencia reciente, creo que lo más rentable y rápido para mejorar la ciberseguridad de cualquier organización es la concienciación de todo el personal, desde el CEO al último miembro de la organización. Unas sencillas habilidades que permitan reconocer el phishing o evitar ataques al CEO pueden marcar la diferencia entre sufrir un ciberataque mayor y no sufrirlo.