Caracas fue la sede de la 14ª edición del ESET Security Days, un evento que reunió a expertos en ciberseguridad, gerentes de TI de empresas venezolanas, así como a medios de comunicación, para compartir conocimientos y perspectivas sobre el panorama digital actual.
Uno de los ponentes destacados fue David González, Security Researcher de ESET Latinoamérica, quien ofreció una charla perspicaz sobre la evolución de las amenazas cibernéticas y la importancia de la inteligencia de amenazas.
González, ingeniero en Tecnología de Información y Comunicaciones con una maestría en Ingeniería en Seguridad y Tecnologías de Información, y certificaciones en informática forense y gestión de vulnerabilidades, comenzó su ponencia invitando a la audiencia a una reflexión: «¿Qué pasaría si tuviéramos la oportunidad de mirar 20 o 30 años atrás y advertirnos sobre la existencia de una tecnología portable, capaz de consumir y generar enormes cantidades de información?». La respuesta, implícita en la incredulidad, sentó las bases para su argumento central: toda nueva tecnología viene acompañada de riesgos asociados.
David González, Security Researcher de ESET México
Aprender del pasado para la ciberdefensa
El eje principal de la presentación de González giró en torno a una frase del filósofo George Santayana: «Aquellos que no pueden recordar el pasado están condenados a repetirlo.» Aplicado al mundo de la ciberseguridad, esto no significa que el pasado deba ser solo una historia, sino una arma, una enseñanza, un pilar para la ciberdefensa. González enfatizó la recurrente observación de cómo sectores impactados por ciberataques a menudo tardan en tomar acción, reaccionando solo cuando el ataque se ha mecanizado y se ha convertido en una amenaza inminente. Esta inercia, según el experto, es una trampa que debemos evitar.
Tres décadas de evolución tecnológica y cibernética
González guio a la audiencia a través de un viaje de más de 30 años, dividiendo la evolución tecnológica y las amenazas cibernéticas en tres generaciones distintas:
La década de los noventa: Los inicios de la hiperconexión
La era de la Web 1.0, donde el Internet era principalmente de consumo de información. Surgieron los primeros navegadores como Netscape e Internet Explorer, y la conectividad Wi-Fi, aunque incipiente, comenzó a ofrecer movilidad. También fue el nacimiento del comercio electrónico con pioneros como PayPal, eBay y Amazon.
Sin embargo, esta década no estuvo exenta de desafíos. Las principales amenazas incluyeron:
Primeros virus, gusanos y troyanos: Buscaban interrumpir sistemas y robar información no necesariamente sensible.
Ataques a sistemas y redes: Aprovechaban protocolos de comunicación débiles y obsoletos.
Explotación de vulnerabilidades: A través de códigos maliciosos que se aprovechaban de fallos en los sistemas.
Comienzos del phishing: Ejemplos rudimentarios como las famosas estafas del «príncipe de Nigeria».
Problemas con la criptografía débil y falta de conciencia social
Las medidas de seguridad iniciales incluyeron el surgimiento de los primeros antivirus basados en firmas, la necesidad de adquirir firewalls (no incluidos por defecto en los sistemas operativos), mejoras en los protocolos de red y criptografía, y los primeros intentos de regulación para tipificar delitos informáticos. El cibercrimen pasó de ser un fenómeno marginal a una preocupación global, generando una incipiente conciencia pública.
2000: La popularización de las redes sociales y la nube
Esta década marcó el auge de las redes sociales, transformando el Internet en una plataforma de generación de contenido por parte de los usuarios. La llegada de los smartphones (Blackberry, el primer iPhone) revolucionó la comunicación, y el concepto de la nube ganó terreno, permitiendo el acceso a la información desde cualquier parte del mundo.
Las amenazas cibernéticas se volvieron más sofisticadas y masivas:
Malware masivo: Grupos como Anonymous ganaron notoriedad con ciberataques.
Troyanos bancarios: Buscaban información financiera sensible.
Ransomware: Comenzó a ser una forma lucrativa de extorsión, impulsando el uso exponencial de la Dark Web.
Ataques de phishing más elaborados: Suplantando identidades de empresas y bancos.
Las respuestas a estas amenazas incluyeron la incorporación de firewalls por defecto en sistemas operativos (como Windows XP SP2), mejoras en la seguridad de las compras en línea (el famoso «candado HTTPS»), firewalls más robustos y la popularización de las conexiones VPN. El crimen cibernético se profesionalizó, organizándose en grupos y generando pérdidas significativas para las organizaciones, lo que impulsó una mayor conciencia sobre la protección de la información.
Del 2010 a la actualidad: La Era de la Hiperconexión y la Inteligencia Artificial
La última década ha sido testigo de una explosión en la hiperconexión de dispositivos (hogareños, organizacionales, industriales) y la irrupción de la inteligencia artificial (IA) como un factor transformador. La red 5G y la tecnología blockchain también han redefinido la conectividad y la seguridad contractual.
Las amenazas se han vuelto más dirigidas y con mayor impacto:
Ataques a infraestructura crítica: Como el incidente que afectó el suministro eléctrico en una ciudad europea en abril.
Ataques a cadenas de suministro: Explotando vulnerabilidades en proveedores externos.
Deepfakes y desinformación: La IA potencia la suplantación de identidad y la creación de noticias falsas.
Las medidas actuales se centran en estrategias de protección avanzadas, incluyendo:
Tecnologías anti-ransomware y malware avanzado.
Modelos de seguridad «Zero Trust» (Confianza Cero): Desconfiar de todo dispositivo, dando solo los privilegios necesarios.
Nuevos factores de autenticación.
Educación y concientización de usuarios.
Regulaciones robustas: Como el GDPR europeo, que sirve de base para muchas normativas latinoamericanas.
Uso de la IA para anticipar ataques y reducir falsos positivos.
La constante del cambio y la dependencia tecnológica
González subrayó que a lo largo de estas tres décadas, una constante inmutable es el cambio. Cada nueva tecnología trae consigo nuevas formas de ataque. Esto ha llevado a una creciente dependencia tecnológica: «Si desapareciera la energía eléctrica, podríamos sobrevivir. Pero si nos quedáramos sin internet y redes sociales, ¿qué podemos hacer?», cuestionó González. Esta dependencia, junto con la constante evolución de las amenazas, plantea el desafío de cómo estar preparados.
La Inteligencia de Amenazas: Un Arma Estratégica
Ante la pregunta de si es una «guerra perdida», González ofreció una perspectiva optimista: existe una forma de anticiparse y contrarrestar los ataques: la inteligencia de amenazas.
La inteligencia de amenazas es el proceso de analizar, recopilar y compartir información sobre amenazas existentes o potenciales.
Esto permite a las organizaciones: Anticiparse a los riesgos, tomar mejores decisiones, identificar activos críticos más vulnerables.
La inteligencia de amenazas busca responder a preguntas clave como: ¿Quiénes son los posibles atacantes? ¿Qué técnicas y herramientas utilizan? (A menudo repiten patrones).
¿Cuáles son sus motivaciones? (Ideológicas, económicas). ¿Cuáles son los activos más vulnerables? ¿Cómo prevenir o mitigar esos ataques?
El investigador detalló cuatro tipos de inteligencia de amenazas:
Inteligencia Táctica: Enfocada en la prevención y detección, bloqueando dominios o IPs maliciosas identificadas.
Inteligencia Técnica: Más detallada, analiza el modo operandi de los ciberdelincuentes, incluyendo explotaciones y vulnerabilidades utilizadas.
Inteligencia Operacional: Describe las «recetas de cocina» de los ciberdelincuentes (tácticas, técnicas y procedimientos), como la matriz MITRE ATT&CK.
Inteligencia Estratégica: Dirigida a la gerencia, identifica riesgos tecnológicos y genera estrategias para mitigar el impacto de ciberataques, apoyando la toma de decisiones.
Para ilustrar el poder de la inteligencia de amenazas, González realizó una demostración utilizando el producto MDR (Managed Detection and Response) de ESET, en conjunto con un simulador de Amenazas Persistentes Avanzadas (APT Simulator).
La demostración visualizó cómo el MDR de ESET detecta y clasifica las actividades maliciosas (incluso si son simuladas y no un ataque real), mostrando cómo el sistema de ESET Protect analiza logs, correlaciona eventos y toma acciones automáticas basadas en más de 1500 reglas predefinidas. Se destacó cómo la herramienta identifica procesos críticos, ejecutables involucrados, su reputación y el comportamiento asociado con la matriz MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge), marco de conocimiento que categoriza las tácticas, técnicas y procedimientos (TTP) utilizados por los ciberdelincuentes durante un ataque cibernético.
«En un mundo donde el cambio es la única constante y la dependencia tecnológica crece exponencialmente, comprender el pasado y anticipar el futuro se vuelve crucial para proteger nuestro presente digital», finalizó el experto.
Autor: Clelia Santambrogio, Giorgio Baron, CambioDigital OnLine
