El 14 de septiembre de 2023 en el Hotel Marriot de Bogotá D.C se inauguró uno de los eventos más relevantes y académicamente cargado de nuevas estrategias, soluciones, técnicas, conocimiento, etc., en el ámbito de la ciberseguridad y seguridad de la información a nivel empresarial y de gobierno, MTics (cuya CEO es Mónica Tasat) agencia de producción de congresos y eventos de ciberseguridad, fue la responsable de guiar, planificar y llevar a cabo este evento, donde se pudo contemplar varios discursos, en los cuales grandes representantes de algunas prestigiosas empresas del sector tecnológico y organismos públicos, expusieron varias metodologías, soluciones, estadísticas, tácticas y opiniones acerca de los desafíos y tendencias más actuales en el área de la seguridad de los datos.
- Desarrollo de la estrategia nacional de ciberseguridad y ciberdefensa de Colombia.
(Carlos Seisdedos, Wilson Prieto, Mayor Adrián Vega, Aristides Contreras)
De esta manera iniciamos el evento tras una introducción de la CEO de MTics; se habló sobre la importancia de la ciberinteligencia, para dar una breve explicación de esta área del conocimiento en la seguridad informática, la ciberinteligencia se basa en el estudio de las nuevas amenazas tendentes y en la formulación de estrategias y métodos para detectarlas y contenerlas, los expertos mencionaban que la ciberinteligencia desempeña un rol fundamental en el área de ciberseguridad de la organización ya que esta es la que nos ayuda a entender que clases de amenazas cibernéticas están penetrando la red de otras entidades y como estas funcionan desde su código hasta sus tácticas de uso, por lo tanto se recalcaba que esta área es crucial para estar preparados y prevenir dejar vulnerabilidades abiertas de cualquier vector para así evitar cualquier impacto proveniente de estas, varias de las ya conocidas formas de realizar esto es basándonos en Indicadores de compromiso (IoC’s), tácticas, formas de operar la amenaza y estudio de marcos de conocimiento como MITTRE ATT&CK, entre otras.
Se enfatizó la relevancia y valor de que las demás organizaciones que ya han experimentado y evidenciado el impacto de estas amenazas, revelen y compartan con las demás entidades públicas y privadas, todos los hallazgos y IoC’s para de esta manera generar una red de colaboración y entre todos podernos capacitar para evitar las amenazas y mejorar la seguridad de nuestras organizaciones, como un último punto a mencionar aquí en este tema, vale la pena decir que la mayoría de ciberataques que se detectan desde el área de ciberseguridad se han ya materializado aun antes de que esto ocurriera entonces en efecto "si", ya estaba perdiendo el negocio aun antes de que se detectara el evento.
El Mayor Adrián Vega citó uno de los riesgos más susceptibles que una organización tiene en el ámbito de la ciberseguridad y seguridad de la información, este es el usuario final, el trabajador, el funcionario, la persona que está detrás de esa cajita computacional que termina desencadenando uno de los más terribles desastres para una empresa, un ciberataque, el Mayor Vega mencionaba que la falta de capacitación y el desconocimiento de los usuarios acerca de cómo operan los ciberataques más básicos, como los son los phishing, terminan generando grandes pérdidas al negocio, es por esto que la educación en ciberseguridad hacia el operador de las máquinas de punto final debería ser una inversión más que una obligación del estándar.
El ingeniero Carlos Seisdedos Responsable del departamento de Ciberinteligencia de Internet Security Auditors explicó como las fake-news han atrapado y engañado a los usuarios y a la población en general y todo esto por un desconocimiento de lo que vemos y compartimos en internet. Las redes sociales se han convertido en vez de una fuente confiable de comunicación e información, en una red de noticias falsas, engaños publicitarios y hasta en una base de datos personales de la población en general, porque mencionó esto, por el simple hecho de que las redes sociales se han convertido en un nuevo vector de reconocimiento del objetivo de un atacante, entonces el ingeniero Carlos Seisdedos orientaba que esto yace del desconocimiento y falta de educación del usuario hacía lo que está viendo, haciendo y comunicando en cada una de estas redes de socialización global, e invitaba a una concienciazación y capacitación para un mejor uso de estas plataformas digitales, la trascendencia de educar a nuestra juventud y niñez en todos estos temas y no solamente regalarles de cumpleaños un dispositivo electrónico sin previamente aconsejarlos y prepararlos para que no terminen comprometiendo su información personal y compartiendo posts, noticias y publicidad fraudulenta.
- Microsegmentación como un pilar en la estrategia Zero Trust para cumplimiento en banca y gobierno en Colombia.
(Jairo Alberto Parra Ávila)
El ingeniero Jairo Parra empieza esta charla explicando en resumidas palabras de qué se compone el Zero Trust y sus pilares, donde menciona que esta metodología de gestionar y controlar el acceso a la infraestructura tecnológica está basada principalmente en "no confiar en ningún individuo, entidad, proveedor, elemento, entre otros"; dándole más privilegios de los necesarios y cada parte de estas que tenga privilegios de cualquier denominación en la red, debe ser monitorizada y controlada, para conocer qué está realizando y como está usando sus privilegios de rol, Zero Trust nos trae un modelo de seguridad de la identidad y de red, bastante estricto ya que nos impone que todo debe ser controlado, monitorizado y las personas con solo los privilegios necesarios pueden acceder a los recursos de nuestra red tecnológica.
"En caso de una brecha que el barco no se hunda", fue la expresión con la que el ingeniero Jairo Parra definía la microsegmentación como eje para evitar los tan acostumbrados movimientos laterales que suelen realizar los cibercriminales cuando ganan acceso a un recurso como entrada inicial, la microsegmentación evita que el atacante no pueda hacer más de lo que hay a su disposición en la VLAN o el segmento de red donde se encuentre con la máquina o máquinas recién comprometidas por este último.
- La identidad como control principal de seguridad.
(Gustavo Fieldman)
Los ataques para vulnerar la identidad en estos tiempos, son más sofisticados que antes, se tiene acceso a una masiva cantidad de repositorios y material como los phishlets (pequeñas piezas basadas en ataques de phishing para introducirlos en los ataques convencionales) que hacen de las estrategias y métodos de ataque de ingeniería social, una gran amenaza para las organizaciones y su infraestructura digital, sin embargo, cabe mencionar que aunque los ataques de este tipo son ahora más avanzados que antes, el usuario sigue siendo engañado por estrategias de phishing comunes como un simple cuestionario creado en Microsoft Forms donde el remitente fue una dirección de correo externa al dominio de la compañía.
El ingeniero Gustavo Fieldman enunció algunos de los tipos de ataques más comunes actualmente, enfatizando la vulneración a la identidad del usuario:
- Password Spray: Es un método donde el atacante intenta iniciar sesión y acceder a la cuenta del usuario, usando credenciales comunes y débiles que normalmente los usuarios suelen emplear por pereza o por simplemente cumplir con el parámetro, los individuos maliciosos realizan esto en las diferentes plataformas o herramientas donde se tenga noción o conocimiento que tiene cuenta, acceso o ingreso dicho usuario marcado como objetivo.
- Credential Stuffing: Varios usuarios tienen la costumbre de utilizar unas mismas credenciales de ingreso para crear una cuenta o autenticarse en otros sistemas con estas mismas; ¿Qué pasa?, sucede que en el momento en que tales credenciales sean comprometidas en alguno de los sitios donde la usa, el atacante va a disfrutar un todo por uno, tal cual, como una promoción, los actores maliciosos están al tanto de esto y es por eso que tan pronto obtienen acceso a un sistema por unas credenciales robadas previamente, estos intentan acceder a diestra y siniestra con estas mismas, con la esperanza de obtener acceso a más servicios y generar un ataque y compromiso de la información mucho más crítico, ¡recuerda! usar las mismas llaves para ingresar a todas las puertas no te ahorra más tiempo, pone en un riesgo más alto todo lo que resguardan estas.
- MFA fatigue: Este tipo de estrategia de ataque es en resumidas palabras hartar o desesperar al usuario con masivas notificaciones de comprobación de MFA, ya sea para aceptar un acceso, push o login; con el objetivo de que el individuo termine por admitir uno de estos y de entrada al atacante.
Finalmente, después del discurso académico del ingeniero Gustavo Fieldman, nos presentó un ejemplo de OTP como una opción para evitar, mitigar y proteger nuestras identidades de todas estas maneras de ataque al usuario.
- ¿Qué tan preparados estamos para ser los CISOS de los próximos años?
(Nataly Tavares)
La ingeniera Nataly Tavares comienza esta exposición con una descripción de lo que la mayoría de puestos para ser un CISO (Chief Information Security Officer) requieren, entre estos esta tener más de 5 años de experiencia, múltiples certificaciones nivel experto en varias áreas y soluciones tecnológicas como nube, networking, seguridad de la información, ciberseguridad, infraestructura, entre otros; lo que también incluía los temas modernos de ahora como conocimiento y cierto grado de habilidad con IA (Inteligencia Artificial), esto es tan solo el 50% de lo que debería tener un CISO basado en los requerimientos de la industria, pero además de todo esto hay capacidades, habilidades, aptitudes, que muchas de las veces los profesionales que aspiran a un cargo de estos olvidan por completo, entre estas cualidades la ingeniera Nataly Tavares menciona las siguientes:
- Capacidad para tomar decisiones
- Creación de relaciones estratégicas
- Construcción de equipo
- Foco en lo importante
- Gestión ejecutiva
- Aprendizaje continuo
- Gestión de riesgos
Es por esta misma razón que ella mencionaba también que el cargo de un CISO, no es más que un rol ejecutivo, entonces si te gusta estar 24/7 rompiendo los sistemas de seguridad y activos (Hacking Ético) y quieres ser CISO, empieza a terminar tu relación amorosa con esta práctica, el CISO es un rol muy importante en una empresa ya que es la cara del staff y equipo de tecnología de toda la organización, esta responsabilidad debe analizar, planificar, dirigir, ejecutar y evaluar que los activos, servicios, identidad, sistemas y todo lo que compone el área digital de una empresa estén resguardados y protegidos por las diferentes estrategias y métodos que este individuo tome por decisión.
La ingeniera Nataly Tavares cierra su conferencia con una frase que da tema de que hablar, "Pensar en lo mejor para el negocio, no para el estándar".
- Women in cyber – Desafíos de ciberseguridad y privacidad en un entorno digital disruptivo.(Lizbeth Plaza, Janett García, Andrea Martínez, Marcela Guzmán)
Terminamos este grandioso y nutritivo evento, con un poderoso e intelectual discurso de mujeres que se desempeñan en el campo de la seguridad del ciberespacio, desde la parte de cumplimiento, gobernanza y operativa, para orientarnos en cómo proteger nuestros datos personales y nuestra privacidad.
Mencionaron principalmente el riesgo que envuelven a las redes sociales en el ámbito de la privacidad de nuestra información personal, estas plataformas se han vuelto vectores de vulneración a nuestros datos ya que no somos conscientes de que clase de fotos, contenido, datos, entre otros; suministramos a la aplicación, y finalmente un atacante puede utilizar esta información como parte de una de sus fases de reconocimiento a un objetivo a vulnerar, la conciencia hacia el uso inteligente y sensato de estos espacios digitales son la base para no dejar nuestra información personal al aire y evitar perjudicar nuestra privacidad.
La preparación y educación hacia el usuario final, una vez más, mencionadas en esta plática, son ejes fundamentales para afrontar y mitigar todas estas violaciones hacia la información personal, entonces algunas veces no se trata de comprar la mejor solución de ciberseguridad sino de capacitar a nuestro equipo en el uso adecuado y consciente de los recursos a nuestra disposición para la ejecución de nuestras tareas diarias.
Sin más que mencionar fue gratificante haber estado en este acontecimiento, agradecimientos a todos los entes, entidades, organizaciones, fundaciones y empresas que hicieron posible este congreso, me quedo con muchas ansias de asistir al siguiente, para conocer que nos deparara el futuro del ciberespacio y sus respectivas metodologías y estrategias para mantenerlo seguro.
Los representantes de las diferentes empresas a quienes agradecemos sus presentaciones y los cuales se llevan el mérito, los menciono a continuación: Mayor Adrián Emid Vega Hernández (Jefe del Centro Cibernético Policial de la Dirección de Investigación Criminal en INTERPOL), Carlos Seisdedos - (Responsable del área de Ciberinteligencia en Internet Security Auditors), Wilson Prieto - (Consultor en Ciberseguridad y Ciberdefensa en la Armada Nacional de Colombia), Iván Camilo Castellanos Romero - (Gerente de Ciberseguridad en Mercado Pago Colombia), Ángela María Vaca Bernal - (Directora Programas de Innovación en Asobancaria), Andrés Jácome - (Gerente de Gestión de Ciberseguridad en Banco Popular Colombia), Aristides Contreras - (Presidente Ejecutivo en Comunidad COLADCA), Lizbeth Plaza - (Vicepresidente in WOMCY, LATAM Women in Cybersecurity), Janett García - (Coordinadora Grupo Women in Tech Chapter Colombia en ISOC Cybersecurity SIG), Andrea Martínez - (Abogada especialista en propiedad intelectual y protección de datos y privacidad), Marcela Guzmán - (Coordinator Member in Womcy Latam), Ana Álvarez - (Gerente Técnica de Cuentas en Tanium), Nataly Tabares Echeverry - (Global Head LATAM CISO in ScotiaTech), Iván Lendner - (Pentesting Solutions Facilitator in Strike), Oliver García - (Regional Account Manager Latam in KnowBe4), Diego Fernando Zapata Guillén - (Technical Account Manager in ManageEngine), Jairo Alberto Parra Ávila - (Regional Manager Northern LATAM in Akamai), Cristian Vargas - (Sales Engineer in hCaptcha), Miguel Aranguren - (Sales Manager in proofpoint), Manuel Felipe Rodríguez - (Gerente de Ingeniería para NoLA en Check Point), Gustavo Fieldman - (Account Executive in OKTA).
Autor: Wilmer Valenzuela Rodríguez - ISO 22301 I.A
Consultor en Seguridad
