Ayúdame a responder las preguntas que me hicieron en la sesión de apertura del Campus de Ciberseguridad

El pasado lunes me hicieron muchas preguntas en la sesión de apertura del Campus Internacional de Ciberseguridad, de las que os sacaré un extracto de la sesión. Algunas de ellas las respondí en vivo, otras se quedaron pendientes en el chat, pero he querido responderlas todas, y dejáoslas por aquí en el un artículo del blog que, debido al número de preguntas, haré en dos partes. Así que, sin nada más, os paso las preguntas, para que me ayudes a responderlas o complementar mis respuestas.

Figura 1: Ayúdame a responder las preguntas que me hicieron

en la sesión de apertura del Campus de Ciberseguridad

Como son muchas, responderé de manera resumida, dejándoos algún enlace a artículos que complementan la respuesta a esa pregunta, porque de muchos temas he escrito mucho en el blog. Pero todas están abiertas para que tú mismo puedas aportar tu punto de vista, ya que la mayoría son de alumnos que están aprendiendo, por lo que cualquier ayuda va a ser bienvenida.

1.- En este momento ¿cuáles son los pro y contras de buscar soluciones de Seguridad "Antivirus y firewall" que están más orientada por IA y, qué problemática podría tener si la solución no fuera flexible para su administración?

Creo que todas las soluciones de seguridad están usando ML&IA para la detección, y MLOPs o IAOPs para tomar medidas de protección. Es decir, se usa IA para detectar malware a la vez que para tomar decisiones de repuesta y protección.

Figura 2: Libro de Machine Learning aplicado a Ciberseguridad de
Carmen Torrano, Fran Ramírez, Paloma Recuero, José Torres y Santiago Hernández

 

No es que quiten las técnicas anteriores, sino que las complementan y las mejoras. Por supuesto, no son perfectas, y por eso la supervisión y la administración de profesionales es parte del servicio que debe existir.

2.-¿Qué medidas se están tomando para garantizar la precisión y la resistencia al fraude de los sistemas de autenticación biométrica en sistemas on line?

Sobre todo para los entornos de Know Your Custormer (KYC) en situaciones de Remote Onboarding, se están tomando y se deben tomar si no, medidas de detección de tecnologías de DeepFake. En este artículo de "DeepFake & Digital Onboarding" hablo ello.

3.- ¿Para una entrevista de trabajo que recomendas decir o como deberias ir preparado?

Yo siempre digo que lleves algo de tu trabajo que pueda ver tu entrevistador. Y si es una entrevista técnica, vete preparado para resolver problemas. Yo te dejo algunos ejemplos de entrevistas mías: 

• La Mayéutica y el problema de la recta pintada píxel a píxel 
• Cómo vestir en una entrevista de trabajo conmigo
• Haciéndole una entrevista de trabajo a ChatGPT

4.- ¿Por qué todavía se usa el protocolo de red de Microsoft? Si se sabe que es una puerta trasera continua de problemas (wannacry). Sólo deshabilitando ese protocolo y usando soluciones tcp/ip para compartir tanto impresoras y servicios, se hubiera evitado todos los disgustos de estos famoso virus.

Los sistemas MS Windows hace mucho que usan IPv6 por defecto e IPv4 como fallback para conexiones a internet. El bug estaba en SMB1, que es un protocolo de compartición de archivos e impresoras y que funciona sobre TCP/IP también.

Figura 3: Libro de Ataques en redes de datos IPv4 & IPv6 3ª Edición
de Juan Luis Rambla, Chema Alonso y Pablo González

Por desgracia no era nada que ver con TCP/IP o NetBIOS – que era el protocolo de redes de áreas locales en Microsoft -. Más info en: El ataque wannacry. 

5.- Siempre he considerado que la seguridad es la consecuencia de ser un experto en un área. ¿Cómo se enfoca, entonces, la formación en ciber?

Totalmente de acuerdo, creo que el conocimiento de ciberseguridad debe capturarse en espiral, como he contado en el artículo de “Cómo aprender hacking: el camino en espiral”. 

6.- ¿Cómo formar en malware o ingeniería inversa sin tener cierta trayectoria en sistemas operativos, arquitectura, etc…?

Hay que aprender mucho de sistemas operativos para saber de Malware, por eso uno de los grande investigadores de malware de este país, Sergio de los Santos, tiene dos libros clave:

• Máxima Seguridad en Windows: Gold Edition
• Malware Moderno: Técnicas avanzadas y su influencia en la industria

Es decir, que va de la mano el estudio del malware y el estudio de las medidas de seguridad de los sistemas operativos.

Figura 4: "Malware moderno: Técnicas avanzadas y su influencia en la industria"

de Sergio de los Santos en  0xWord

7.-¿Cómo se consigue arrancar más inversión a los de arriba para ciberseguridad? P or otro lado comentas que hay mucha especialización pero eso sólo ocurre en gran empresa, ¿no?

Yo creo que las empresas que quieren ser sostenibles y perdurar, tienen la ciberseguridad como una partida de inversión. La realidad nos está demostrando que los ejecutivos que no invierten en ciberseguridad se extinguen porque los despiden cuando tienen ataques exitosos de ransomware o de robo de datos. 

Figura 5: Decálogo maligno de ciberserguridad

Así que cada más la experiencia hace que los ejecutivos y los dueños de empresas, inviertan en ciberseguridad sabiendo que es importante. Pero… no siempre todos hacen bien los deberes y no aprenden de los problemas de otros. Hablo de esto en mi “decálogo maligno”.

8.- ¿Hay algun cuestionario para poder autoevaluarnos en las competencias en ciberseguridad?

Existen las certificaciones, que te evalúan contra determinadas competencias, y tienes tests de autoevaluación para cualquiera de ellas. Y si quieres saber qué disciplina de ciberseguridad se adapta más a ti, la recomendación es que inviertas un día en hacerte el test de Singularity Hackers.

Figura 6: Singularity Hackers

9.- ¿Son el Cloud y la Inteligencia Artificial la punta de lanza de la Ciberseguridad en el mundo de la empresa ahora mismo?

En Ciberseguridad hay muchas áreas, Cloud, BigData, IA (ML, GenAI, DeepFakes), malware, Web3, etcétera. Cloud, Big Data e IA, son grandes disruptores de cómo era la ciberseguridad hace 15 años. Hoy en día, son nuestra nueva realidad de entorno como antes lo eran los servidores web, las redes, y las bases de datos. En mi caso, la IA es casi el 90% de mi trabajo e interés.

10.- ¿hay servidores o web públicas donde poder poner en práctica los conocimientos que se vayan adquiriendo y no tener que trabajar sólo en entornos locales controlados?

Hay muchos sitios con entornos y laboratorios de test donde se pueden probar las herramientas, las técnicas y practicar, como Try Hack Me. Y por supuesto, si ya tienes un buen nivel, nada cómo meterte en las plataformas de Bug Bounty y practicar tus conocimientos en sitios que están buscando Security Researchers y premiándoles por sus éxitos.

Figura 7: Libro de Bug Bounty: De profesión "Cazarrecompensas"

en 0xWord, escrito por Pablo García

11.- ¿Que consejos darías para encontrar el primer trabajo?

Pues primero que no te desesperes, y segundo que si no tienes trabajo… tu trabajo es encontrar trabajo, y para ello debes hacer cosas. Hablo de esto en el artículo de: “Ponte a trabajar desde ya si no tienes trabajo y quieres trabajar en seguridad informática”.

12.- ¿En qué consiste DevSecOps y SecDevOps?

Pues esto lo explica de maravilla Fran Ramírez, Elias Grande y Rafa Tronco en su libro de “SecDevOps” http://0xword.com/es/libros/103-docker-secdevops.html , y tienes un artículo que da una explicación de SecDevOps (DevSecOps) en 5 minutos https://www.elladodelmal.com/2019/02/secdevops-una-explicacion-en-cinco.html

Figura 8: Libro de Docker:SecDevOps en 0xWord de

Fran Ramírez, Elías Grande y Rafael Troncoso

13.- Soy Director de Seguridad Privada. Mi profesión esta muy enfocada a la seguridad de bienes y personas, digamos, de una forma física. Aportamos seguridad a personas, instalaciones, hacemos vigilancia de eventos etc. Pero me doy cuenta que cada vez tenemos mayor número de todo tipo de datos de clientes que también debemos proteger. Aunque actualmente no tenemos una ley de ciberseguridad donde apoyarnos. Viendo que hay tantos roles y especializaciones de ciberseguridad no sabría en que especializarme para ofrecer ese tipo de seguridad. Evidentemente no puedo abarcar todo pero centrarme en la seguridad de esos datos de clientes y en una estrategia de defensa ante un ataque, que me podrías recomendar en cuanto aprendizaje y especialización.

Pues hay muchos roles, y muchas especializaciones. Quizá comenzar por una formación genérica en Ciberseguridad que toque de forma amplia la ciberseguridad para luego poder ir profundizando en las partes que vayas descubriendo que más se adecuan a tus necesidades. Pero lo mejor es comenzar con una visión amplia e ir haciendo profundización de las áreas que te sean más útiles.

14.- ¿Cómo ves el reto en países en desarrollo que estos temas los han tomado con menos inversión o desarrollo tanto académico como técnico? ¿Qué pueden hacer en esos contextos?

Creo que cualquier país que quiera tener un ecosistema económico saludable, necesita estar en la primera línea de la tecnología y la ciberseguridad es fundamental para que eso sea posible. Si no se acompaña desarrollo económico con tecnología, y tecnología con ciberseguridad, poco se puede hacer.

15.- ¿Cómo ves en un futuro los ataques de IA combinado a la computación cuántica cuando esto sea factible?

Hay mucha preocupación por las técnicas de cifrado, y por eso se algunos países, como es el caso de USA, ya están trabajando en un plan de protección contra los riesgos que traerán tecnologías Quantum, y los algoritmos de PQE (Post-Quantum Ecryption) se llevan desarrollando más de una década ya. Veremos dónde nos lleva este mundo en el futuro.

Quedan aún otra tacada de quince preguntas, que contestaré este fin de semana, para que queden todas bien respondidas.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)