Seguritecnia 445

62 SEGURITECNIA Septiembre 2017 “bastante bien”, y funcionó “perfecta- mente” la colaboración público-privada. Improvisación o no El último interviniente en esta primera ronda fue Javier García Carmona , conse- jero delegado de la consultora Dara Norte, quien destacó el avance producido en los últimos años en materia de seguridad inte- gral. Pero aún así, opinó que hace falta ex- traer lecciones aprendidas de incidentes como el de WannaCry, entre ellas “la capa- cidad de improvisación” que hubo. “Somos muy reactivos, pero todo con improvisa- ción”, sentenció. Como consecuencia de ello, apuntó, el usuario no se encuentra for- mado para manejar determinadas herra- mientas y concienciado sobre su uso, por lo que no se conseguirá nada si no se pro- duce un cambio dementalidad. Moreno, de Grupo Santander, discrepó de esta idea y consideró que no hubo improvisación en el ciberataque de ran- somware . “Son incidentes complejos, con múltiples factores y consecuencias, en los que se desconoce el vector de en- trada”. Además, destacó la activación de los planes de emergencias que pusieron en marcha muchas empresas aun sin ha- ber sido atacadas; y puso de manifiesto “la importancia de compartir informa- ción en este tipo de amenazas”. A pesar de ello, según puntualizó a continuación García Carmona, “no había documenta- ción que estableciera claramente cómo actuar, trabajando sobre la base de las personas y las estrategias organizativas”. Por su parte, para Carabias, del CN- PIC, la normativa al respecto sí establece unos contenidos mínimos que se deben exigir a los operadores críticos en los dis- tintos planes de seguridad que tienen que elaborar. En este sentido, remarcó, el CNPIC observa un aumento del grado de madurez de los operadores. Esquema de certificación Además, reveló que dicho organismo está trabajando en un esquema de cer- tificación, gracias al cual se puede certifi- car que el operador cumple lo que dice. Y no sólo quedarse ahí. “Queremos que los proveedores que ofrecen sus servi- cios a los operadores también tengan ese grado de certificación; es decir, hacerles corresponsables de la seguridad”, añadió. En este contexto, para Cordón, de la Empresa Municipal de Aguas de Málaga, es importante distinguir que no todos los operadores son iguales. Los hay más grandes, con una mayor estructura or- ganizativa, y más pequeños, con menos. En ese sentido, mencionó los proble- mas que puede encontrar el operador, por ejemplo, para saber cómo distribuir internamente los roles que marca la Ley PIC. Para García Carmona, el problema en estos casos es que se confunde la función con la persona. “El paradigma es ver la función y analizar si aglutinar todas en una única responsabilidad o en varias”, añadió. Al respecto también se refirió Carabias, del CNPIC, quien reveló que desde su or- ganismo están trabajando en una venta- nilla única para que el operador, sea pú- blico o privado, tenga un punto único de referencia. Eso sí, añadió, también es im- portante que esos operadores cuenten con un interlocutor interno, y valoró po- sitivamente el esfuerzo que todos ellos están haciendo para cumplir con la nor- mativa y el grado de concienciación que tienen actualmente. S Los ‘zombis’ como denegación de servicio El robo de información no acapara todo el malware existente. La denegación de servicio también tiene repercusión, tal y como comentó Javier Zubieta , res- ponsable de Desarrollo de Negocio en Ciberseguri- dad de GMV. Uno de estos ataques fue el que sufrió la empresa Dyn a través de sus cámaras de videovigilan- cia, las cuales “fueron convertidas en zombis y utiliza- das a favor de quien quiere atacar aprovechando una vulnerabilidad, como un error o una mala configura- ción”, según destacó el profesional. Lo peor de aquel incidente es que “no tiene atribución”, prosiguió Zu- bieta, “aunque haya especulaciones sobre distintos organismos que se adjudiquen el ataque”. Sin embargo, para el representante de GMV, con todo esto “se aprendió algo”. Según apuntó, “para hacer daño a una organización concreta ya no hace falta atacarla directamente, sino que vale con arremeter contra el interme- dio”. “Si soy el atacante y me pillan, es que lo hago muy mal, ya que no hay impunidad”, continuó. Pese a todo ello, “todavía estamos a tiempo de atajar el problema. Nos tenemos que ocupar de los elementos conectados y olvidados, y debemos realizar auditorías, aunque mientras haya impunidad, nos enteraremos de los ataques con suerte”, finalizó el profesional. Javier Zubieta (GMV).