08 junio 2012

Durante la última edición de ENISE tuve la oportunidad de conocer a Javier Berciano, coordinador de IntecoCERT con el que participé en una mesa redonda.

Javier es una persona cercana, amable, con mucho temple y tengo la impresión (corroborada por sus colaboradores) de que tiene que ser un jefe magnífico.

Desde su puesto como coordinador de un CERT tan importante, sin duda es voz autorizada para analizar el panorama de la seguridad, lo que está sucediendo y lo que probablemente sucederá

1- Primera pregunta: ¿Quién es Javier Berciano? Cual ha sido tu trayectoria personal y profesional hasta el día de hoy

Soy un apasionado de la informática, para algunos un poco friki, que empezó con el Commodore 64 y a partir de ahí casi todo lo que se lo he ido aprendiendo trasteando mucho con todo lo relacionado con la tecnología que ha ido cayendo en mis manos. Y espero seguir así muchos años, porque en este mundo cuanto mas aprendes, más te das cuenta de lo mucho que me queda por aprender, y mucho más cuando te topas con auténticos cracks de la seguridad informática.

Al terminar mis estudios empecé a trabar en una empresa mediana prestando servicios de TI. En esta época hacia un poco de todo, fundamentalmente temas relacionados con redes, sistemas y tareas relacionadas con el despliegue de soluciones de seguridad. Gracias a la experiencia laboral y especialmente en un año mas centrado en temas operativos de seguridad, tuve la oportunidad de cambiar para trabajar con mas recursos y en proyectos mas grandes relacionados las comunicaciones y seguridad del Gobierno del Principado de Asturias, donde aprendí aun mucho mas en todo lo relacionado con redes, operaciones de seguridad, gestión de incidentes y temas menos técnicos relacionados con la gestión de la seguridad.

Hace ya 5 años y a través de S21Sec se me planteo la posibilidad de empezar a formar parte del CERT de INTECO en el área de operaciones y servicios reactivos, algo que sonó tentador porque me permitiría especializarme mucho mas en tareas muy especificas relacionadas con la seguridad informática.

Al año siguiente pase a formar parte de la plantilla de INTECO y desde entonces coordino el área de operaciones y servicios reactivos, donde nos centramos fundamentalmente en la gestión de incidentes y fraude electrónico, además de la administración de los sistemas del propio CERT.

Evidentemente como parte de estas tareas tenemos que realizar otras relacionadas con análisis forense, análisis de malware, i+d que nos permita conocer en detalle a que nos enfrentamos, desarrollo de herramientas para detección y monitorización activa de amenazas.

Desde un principio hemos tratado de centrar nuestros esfuerzos en tareas de coordinación nacional e internacional de incidentes y detección temprana o proactiva, como comentaba con herramientas propias o en colaboración con terceros, para poder mitigar lo antes posible las amenazas que se presentan y afectan al usuario final o las empresas españolas.

Evidentemente esto es solo una parte de los servicios/funciones del CERT, ya que además tenemos una labor muy activa en servicios de información, formación y concienciación en las que yo personalmente estoy algo menos implicado.

2- Desde tu punto de vista, ¿Como ves el panorama nacional en materia de seguridad informática? Crees que el nivel es alto o todavía nos queda mucho camino que recorrer frente a otros países con más tradición

Por un lado se que tenemos grandes talentos en España en este sector y que podemos ser, y en muchos caos somos realmente punteros, aunque también veo que tenemos un grave problema y es que las empresas generalmente no saben valorar adecuadamente este talento y capacidad técnica, por lo que  finalmente muchos acaban emigrando. Espero que algún día esta situación cambie y por fin un buen técnico sea cuidado adecuadamente en su empresa como pasa en otros países.

Respecto al panorama en las empresas aun cuesta, en muchos casos, que se valore invertir en seguridad informática y además la situación económica complica esto más, especialmente en las PyMEs o microPyMEs que suelen tener recursos más limitados. En este sentido si creo que otros países estén mas avanzados. Nosotros desde el CERT tratamos de hacer llegar la preocupación por la seguridad a todo el mundo, pero es evidente que  aun nos queda bastante camino por recorrer.

A nivel nacional creo que ya están haciendo cosas interesantes en distintos ámbitos, pero a mi personalmente sigue sin gustarme ver a España en los informes sobre amenazas apareciendo en los primeros puestos de los TOP de países con mas maquinas infectadas (botnets) o alojando contenido maliciosos. Por eso creo que debemos mejorar la cooperación público-privada para hacer algo mas serio en temas relacionados con la detección, monitorización y mitigación de las principales de amenazas (ej.- botnets, que ahora están muy de moda). Es algo en los que estamos muchos implicados y trabajamos, cada uno en su rol, pero con más cooperación seriamos mucho más eficaces.

3- La percepción de la inseguridad informática suele generar dos extremos bastante polarizados. Por un lado están los que creen que los incidentes 'se hinchan' a conveniencia de empresas e instituciones para monetizar 'el miedo' y por otro lado los que opinan que lo que llega al público es tan solo la punta del iceberg. ¿Cual es tu opinión?

Según mi experiencia, lo que llega al público es solo la punta del iceberg, evidentemente muchas cosas nunca salen a la luz o solo se conoce la parte mas superficial de las mismas.

También es cierto que muchas cifras que se dan pueden parecer infladas. Para empezar, el concepto de “incidente” de seguridad no es exactamente el mismo para todo el mundo y eso puede hacer crecer el volumen, pero la realidad es que diariamente gestionamos cientos de incidentes derivados de ataques exitosos con distintos fines, afectando a servicios o servidores de empresas o particulares y a equipos de usuarios finales.

4- Al hilo de la última pregunta y entendiendo que no puedes ser todo lo explícito que me gustaría ... ¿Podrías contarnos someramente aquellos incidentes más serios en los que tu y tu equipo habéis trabajado?

Durante estos años lo que se lleva la palma son las intrusiones en servidores o servicios web fundamentalmente para distribución de malware y/o alojar phishing, no suelen ser muy complejos de analizar y solventar, pero si tienen bastante impacto por el volumen de afectados. Además, en ocasiones no es fácil porque al otro lado no tenemos un contacto demasiado técnico.

En este sentido hemos vivido varios ataques masivos de este tipo, creo que el primero fue en 2008 con inyecciones SQL masivas en webs ASP .NET y a partir de aquí cada poco tenemos alguno de mas o menos impacto, uno de los que mas recuerdo fue el caso Lizamoon.

El otro gran amigo que tenemos es el malware, en concreto las botnets, y en ese sentido tratamos de colaborar al máximo con el sector privado e internacionalmente. En muchos casos nos centramos en la parte de desinfección, colaborando con los ISP y reportándoles información sobre maquinas infectadas, además de prestar contenidos, herramientas  y servicios al usuario final que le ayuden a realizar una desinfección.
En otros casos hemos podido nosotros mismos analizar y monitorizar la actividad de algunas de estas botnets en colaboración con las FCSE (Fuerzas y Cuerpos de Seguridad del Estado).

Como CERT para ciudadanos, en el último medio año el rasomware que suplanta al Cuerpo Nacional de Policía nos ha tenido como locos, con un volumen de consultas/incidentes muy alto.

Algunos incidentes más complejos a nivel técnico han sido:
Intrusiones un poco mas avanzadas en empresas, recuerdo un caso en el que tenían varios servidores Linux troyanizados y en colaboración con el ISP finalmente obtuvimos bastante información sobre la persistencia del ataque.

En otra ocasión nos las vimos con un malware bastante complejo para Windows con funcionalidades de rootkit más avanzadas que campaba a sus anchas en varios servidores de la empresa.

Recuerdo otro de infección masiva en cerca de 50 equipos de una red con un malware sin apenas tasa de detección, en este caso colaboramos mucho con el fabricante antivirus para solventar el problema.
Por supuesto algún ataque DDoS colaborando con el proveedor y el afectado.

Otro del que tengo buenos recuerdos por la complejidad del análisis fue en colaboración con una entidad financiera sobre el Torpig/Anserin/Sinowal.

Seguro que me dejo alguno en el tintero, pero al menos los más relevantes o a los que más cariño tengo, están en esta lista.

5- El fenómeno 'Anonymous' sin duda ha sido uno de los temas más mencionados durante el año pasado, personalmente aun no he encontrado una definición que me guste al 100%. ¿Cómo definirías tu al colectivo Anonymous y como valoras su peligrosidad?

Ufff, me lo pones difícil... yo tampoco sabría muy bien como definirlo, pero lo intentaré.

Yo lo veo como un movimiento reivindicativo, en cierto modo una especie de subcultura como las tribus urbanas. Como movimiento además que se basa en distintas campañas u operaciones, creo que hay personas que comulgan con sus ideales o su motivación pero que este apoyo puede tener cierto grado de temporalidad, ya que puede ser que decidan apoyar operaciones concretas, pero no hacerlo con otras.

Sí creo que es una amenaza a la que respetar porque uno de sus puntos fuertes es el poder de movilización que tiene, gracias a que muchas de las cosas que defienden son perfectamente defendibles y además son el sentir de mucha gente, lo que les otorga mas apoyo.

Además el tipo de ataques que realizan suelen ser más o menos complejos de neutralizar.

Me parece curioso y en parte preocupante, que mucha gente apoya algunas operaciones de Anonymous y lanza los ataques DoS no piensa si esto puede tener consecuencias. Quizás no son conscientes de pueden estar cometiendo un delito, como pasa en España, o creen que al ser por Internet nunca les pasará nada.

6- Si tuvieras que explicarle a un usuario no excesivamente técnico cuales son los riesgos que puede encontrar en Internet, ¿Qué le dirías?

Muchas veces prefiero morderme la lengua cuando hablo con mis amigos o familia, porque creo que si supieran de verdad los riesgos que hay en Internet, algunos apagarían el ordenador y lo meterían en la caja :-).

El principal riesgo para el usuario creo que es el malware, y deben ser conscientes de que para infectarte ya no es necesario abrir un enlace o un adjunto de un correo electrónico, que simplemente navegando con un equipo que no tenga unas medidas de seguridad adecuadas te puedes, y probablemente te vas a infectar con algún tipo de malware. Tampoco hace falta navegar por webs “de cosas raras” o “chungas”, cualquier web que visites puede haber sido vulnerada y al acceder a ella intentará infectarte a través de vulnerabilidades de tu sistema o aplicaciones.

Muy ligado con el malware están los temas de robo de identidad o credenciales en distintos tipos de servicios, como correo electrónico, redes sociales y uno de los más golosos, la banca online. En muchos casos el robo de identidad se produce porque el equipo desde el que nos conectamos a los servicios online este infectado, en otros se consiguen las credenciales a través de ingeniería social.

Además hay muchos otros temas que están usando Internet como vía, como son las estafas, extorsión, acoso, etc. cosas que en la vida real ya conocemos y, como es normal, se han pasado al mundo virtual.

Todo esto lleva años sucediendo y evolucionando en el mundo PC, y ahora lógicamente más o menos las mismas amenazas se están reproduciendo en los smartphones (malware para el robo de credenciales, para el envío de SMS o subscripción a servicios, robo de información de contactos, etc.). Por tanto debemos tener precauciones y tomar medidas de seguridad en el uso de los mismos.

7- Cual es tu top-5 de consejos que todo usuario debería saber 

1) Tener sentido común cuando nos sentamos delante de un ordenador. Muchas cosas que en la vida real no haríamos, ¿por qué se hacen por Internet? La ingeniería social sigue funcionando y en muchos casos resulta increíble.

2) No ser tan confiados en Internet, aprender a desconfiar de lo que no sea habitual. Por ejemplo, si normalmente mi banco en el acceso a la banca online no me pide la clave de transferencias, excepto cuando voy a realizar una operación, ¿por qué el día que me la pide sin motivo aparente, la doy con total normalidad?.
 
3) Mantener actualizado todo el software de nuestro ordenador/es, especialmente importante todo el software relacionado con la principal ventana a Internet, el navegador. Esto implica actualizar no solo el sistema operativo, los navegadores que utilicemos, sino también el software que proporciona funcionalidades a través del mismo, como flash, java, lectores PDF, etc. Ya que son los principales vectores de ataque actualmente.

4) Utilizar software de seguridad, como antivirus, firewall, host IDS, etc. Sabiendo que esto nos ayudará a mejorar el nivel de seguridad, pero que no hay herramientas infalibles y no debe generarnos una falsa sensación de inmunidad.

5) Realizar copias de seguridad periódicamente de los archivos importantes. Cualquier incidente o eventualidad podría provocar que perdamos datos, o algún virus tipo rasomware, como el que actualmente suplanta al Cuerpo Nacional de Policía, puede secuestrarnos los archivos cifrándolos.

8- Mucha gente nos pregunta cual es el camino más óptimo para llegar a trabajar en el mundo de la seguridad informática. ¿Podrías darnos un 'road-map' para alguien que esté empezando?

Ya sé que va a sonar a tópico, pero para mi lo mas importante es tener interés y muchas ganas de aprender, con esto y dedicando tiempo se puede conseguir casi cualquier cosa. La información esta ahí fuera, es cuestión de tener inquietud para leer y trastear con todo lo que llegue a nuestras manos y sea de interés.

Siempre es bueno tener alguna titulación y/o certificación relacionada con la tecnología, pero yo soy de las personas que no cree para nada en la “titulitis” de este país. La experiencia me ha permitido trabajar con gente de muy variopinta, desde grandes profesionales con muchísimos conocimientos y que no habían estudiado nada relacionado con la tecnología, hasta otros también muy buenos que son ingenieros y con varias certificaciones; por desgracia también he trabajado con gente menos profesional y en muchos casos también con titulaciones y certificaciones. Generalmente los mejores técnicos con los que he trabajado son gente con mucha inquietud, ganas de aprender y a los que realmente les apasiona la tecnología, sin importar lo que hayan estudiado.

Por ello ni sobrevaloro ni desprecio las titulaciones o certificaciones, simplemente creo que son cosas que te ayudan a hacerte un “hueco” en este negocio, pero no garantizan que alguien sepa mas o menos.

Evidentemente una de las cosas mas complicadas suele ser dar el primer paso en este mundo, porque al final las empresas quieren gente con experiencia, formación, certificaciones… y en por eso también es importante no descartar opciones que puedan darnos cierta experiencia o formación, aunque a priori no sean todo lo atractivas que nos gustarían.

Muchas gracias Javier, ha sido un enorme placer el haber podido entrevistarte

3 comments :

Madrikeka dijo...

Me ha encantado la entrevista!!!
y un aplauso por la respuesta nº 8, es un pensamiento q

Un ex-compañero dijo...

Un facilitador, y un tío con el que da gusto trabajar. Y que conste que ahora ya no tengo por qué hacerle la pelota ;-)

Luis dijo...

Un gran jefe y compañero. 

Saludos desde la Caja.