Resumen ejecutivo del Informe de ciberamenazas 2023 de Sonicwall

 Mientras que los cibercriminales tratan de aumentar los ataques de #ransomware con variantes más sigilosas y que generen ingresos más estables, el #cryptojacking ha ido en aumento: tal y como detallamos en el Informe de Ciberamenazas 2023 de SonicWall, en 2022 alcanzó una nueva cifra récord. En lo que va de año, no se aprecia ningún signo de ralentización y los cibercriminales siguen desarrollando las cepas existentes y diversificando los blancos de sus ataques. Algunas ideas de lo que está pasando:

• Los cibercriminales cada vez se centran menos en los #endpoints y dirigen más ataques contra los servicios en la #nube, incluido uno contra clústeres de Kubernetes con el fin de minar Dero.
  

• Los endpoints de MacOS también han estado en el punto de mira, y se han utilizado versiones crackeadas de FinalCutPro para distribuir malware de cryptojacking HonkBox.

• Los servidores de Oracle Weblogic son el blanco de un nuevo crypter conocido como ScrubCrypt, diseñado para evadir las protecciones de Windows Defender.

• SonicWall ha seguido observando cómo los cibercriminales se saltan el cryptojacking por completo y roban criptomonedas directamente: a finales de marzo, observamos una nueva variante de AsyncRAT diseñada para robar Bitcoin, Ethereum y Tether.

¿Todavía no ha leído el Informe de Ciberamenazas 2023 de SonicWall? ¡No espere más! Basado en datos de 1,1 millones de sensores globales en más de 215 países y territorios, este informe ofrece un profundo análisis del malware — qué sectores están sufriendo más ataques, qué áreas se están viendo más afectadas y qué impacto tienen estos ataques sobre empresas como la suya. Y no se pierda la actualización semestral de las amenazas el próximo 26 de julio.  Descarga: https://lnkd.in/duyWVEjr #ciberseguridad

Todo va a peor, ¿qué estamos haciendo mal?

Todo comenzó en marzo de 2020, cuando una pandemia nos encerró en casa. Millones de trabajadores comenzaron a conectarse desde casa, desde todo tipo de dispositivos…hubo que adaptarse a marchas forzadas. Y el trabajo remoto e híbrido se impuso como norma, y se generalizó. Ahora, el perímetro ha desaparecido y la superficie de exposición se ha disparado. La nueva IT distribuida está creando una explosión de la superficie de exposición sin precedentes.

Y todo va a peor, así lo piensan el 66% de los CISO. Esta nueva tendencia BYOD, puede exponer a las empresas a malware y piratas informáticos si los dispositivos de los empleados no cumplen con las políticas de seguridad BYOD corporativas. Hemos visto este año ataques muy dirigidos y focalizados en la obtención de réditos monetarios, con muchos secuestros de servidores, ordenadores corporativos, etc. El ransomware ha sido una auténtica plaga bíblica en 2022, siendo la mayor preocupación del 91% de los encuestados en el último estudio de SonicWall.

Sonicwall: Consola de https://securitycenter.sonicwall.com

A todo esto, hay que sumar los últimos acontecimientos geopolíticos que conllevan nuevas ciberamenazas y, por tanto, nuevas tendencias en ciberseguridad. Hay que estar preparados para lo peor, ya que los planes tradicionales de seguridad ya no son suficientes.

En 2023 estamos viendo cómo los ciberataques continúan evolucionando y cómo las empresas están viviendo una explosión de las amenazas encriptadas, el mayor reto al que nos enfrentamos actualmente, aumentando un 132% en lo que va de año.

Estas amenazas encriptadas utilizan los canales cifrados de comunicaciones para alcanzar y comprometer el endpoint ante la pasividad de todos los elementos de protección que no pueden analizar ese tráfico por diferentes razones (normalmente la falta autorización de certificados digitales). La ciberdefensa se traslada al endpoint, por lo que la defensa por capas, la visibilidad y control de la infraestructura, el uso de la IA y los antivirus de nueva generación serán más necesarios que nunca.

Además, en 2023 también estamos viendo un auge de la seguridad en la nube, un incremento de la seguridad IoT y un aumento de la ciberseguridad móvil como una de las principales tendencias. A todo esto hay que sumar la importancia de la gestión de identidades y de accesos y las consecuentes medidas robustas de control de acceso a los datos.

Este panorama ha llevado a un aumento en el uso de arquitecturas de seguridad Zero-Trust, aumentando el perímetro de seguridad allá donde estén los trabajadores, independientemente de si un usuario está dentro o fuera del perímetro. Así, más que nunca es necesario redefinir quién puede acceder y a qué.

La ciberseguridad es clave, al dispararse exponencialmente la superficie de exposición. Nunca hemos estado tan expuestos. Los datos registrados a nivel mundial en recién lanzado Informe sobre Ciberamenazas 2023 de SonicWall, indican que una empresa promedio recibió 1.014 ataques de ransomware durante los 3 primeros trimestres de 2022, y el 91% de los CIOs y IT Managers de todo el mundo aseguran que su mayor preocupación actual son los ataques de motivación económica (ransomware en su mayoría).

Por ello, en 2023 desde SonicWall seguiremos desplegando tecnologías como el acceso remoto seguro, arquitecturas Zero-Trust, acceso remoto seguro para todo tipo de organizaciones, seguridad de los datos y aplicaciones en el Cloud, protección de la identidad (MFA, single sign on, uso de tunnel allmode y always on VPN, etc.), nuevos firewalls como puntos centrales de nuestras arquitecturas multiperimetrales, herramientas de visibilidad y control de nuestras infraestructuras, mejores puntos de acceso seguros y switches, etc.

Así, la construcción de una nueva ciberdefensa es básica y obligatoria, por capas, preparada para detectar todo tipo de ataques de corte conocido y desconocido, con visibilidad central para poder responder en tiempo real, y todo a un TCO asequible para una PYME. Y en todo este nuevo entorno, la puesta en marcha de antivirus de nueva generación, con capacidad de roll-back, como última línea de defensa, es fundamental.

El fin de la "Línea Maginot"​: Del Bastión al Aeropuerto

En la historia siempre ha habido disrupciones que cambian la historia, y que se manifiestan de forma súbita, aunque el cambio se viniera fraguando desde muy atrás. Tenemos ejemplos en la caída de Acre, en 1291, el último enclave en tierra santa de los reinos francos, con su mítica "torre maldita", que supone el fin de las cruzadas y del dominio cristiano en el Mediterráneo oriental. O en la conquista de Constantinopla en 1453 por el sultán Mehmed II, por la "Kerkaporta" o puerta del panadero, que alguien olvidó cerrar. Y esta conquista propició el inicio de la edad moderna y del descubrimiento de América, por el cierra de las rutas de comercio hacia el Este por este acontecimiento.

En nuestro cercano siglo XX, tenemos grandes ejemplos también, y uno es el que da nombre a este artículo, el de la línea Maginot. Como sabemos, la primera guerra mundial fue de estrategias poco móviles, de pocos avances, trincheras, etc. Al finalizar, Francia construyó en la frontera con Alemania una red de bunkers y fortificaciones para contener una posible agresión alemana. Pero en 1940, durante la segunda guerra mundial, el paradigma había cambiado, y la "Blitzkrieg" alemana, la guerra de rápidos movimientos, desbordó por el Norte, por los bosques de las Ardenas, esta línea de defensa obsoleta. Toda la inversión no sirvió de nada, porque todo estaba orientado hacia Alemania, para detener un ataque que jamás se produjo desde esa dirección.

El fin de la línea Maginot en 1940 por la "Blitzkrieg"

En #ciberseguridad, estamos librando una guerra continua y muy intensa contra el cibercrimen y muchas organizaciones de carácter criminal o militar. Hace unos años, el paradigma de defensa era el de "bastión", al estilo de la línea Maginot: Un firewall perimetral, una zona desmilitarizada, y una red interna, aislada del exterior. Los usuarios se encontraban seguros dentro del perímetro, y la defensa se construía con ese concepto "perimetral". Pero en los últimos años esto ha cambiado. La explosión de la superfície de exposición que se aceleró con la pandemia, ha propiciado la dilución de las fronteras de nuestras redes, gracias al teletrabajo, el IoT (múltiples dispositivos conectados), 5G, etc. Así, el paradigma ha cambiado, ya no hay torres ni murallas, sino que se parece más al de un aeropuerto, en el que las personas entran y salen por múltiples lugares, sin controles, y es difícil detectar aquellos maletines que son sospechosos de contenido peligroso o indeseado.

Además, hay determinados cambios tecnológicos que están empeorando la situación, ya de por sí complejísima. Uno de ellos es el impulso de la privacidad sobre la ciberseguridad. El tráfico viaja encriptado, en conexiones HTTPS, cifradas, y en muchas organizaciones no se habilita a los dispositivos (firewalls, appliances de ciberseguridad, etc.) para la inspección de este tráfico. Y al no poderse realizar "Man in the middle" (interceptar el tráfico, descifrarlo, inspeccionarlo, volverlo a cifrar y enviarlo a su destino), estas conexiones se convierten en tuberías directas que pasan a través de nuestras defensas, de forma impune. Otro cambio es la implantación de los DNS cifrados (dos alternativas, DNS sobre HTTPS o DNS sobreTLS), que imposibilita el bloqueo del acceso a determinados lugares maliciosos, desde dónde se descarga el software malicioso como virus, ransomware, etc. O el creciente uso de protocolos de comunicaciones en los que los firewalls no prestan mucha atención por su simplicidad. Hablo de UDP, que en sí, no constituye un peligro, pero si se estructura (p.e. con QUIC de Google), puede ser una nueva tubería de entrada en nuestra organización para el cibercrimen.

Plano de una fortificación de la línea Maginot

Así, estamos asistiendo a un nuevo cambio de paradigma, en la ciberseguridad, en el que hemos pasado, al igual que en la segunda guerra mundial, a una guerra de movimientos, de rapidez, donde las fortificaciones han pasado a mejor vida. ¿Y cuál es la estrategia, entonces ante esta nueva situación? Pues lo que siempre ha dictado la estrategia militar: Cuándo desconocemos por dónde recibiremos el ataque y con qué intensidad, hay que establecer una defensa por capas, en profundidad. Desde el firewall hasta el endpoint, pasando por el email, las aplicaciones en la nube, los puntos de acceso WIFI, los switches, etc. A esto, hay que añadir visibilidad y control, para poder identificar rápidamente los ataques, incluso los más sigilosos (en nuestro caso usando IA -Inteligencia Artificial-). Y a la detección, debe seguir una respuesta contundente, aislando aquellas partes de la infraestructura que hayan sido comprometidas, para poder valorar daños y recuperar la normalidad cuanto antes. Y finalmente, toda esta defensa debe tener un TCO que pueda pagar cualquier organización, independientemente de su tamaño y tipología.

En #Sonicwall somos muy conscientes de esta situación, y ya hace tiempo que dimos los pasos para ayudar a nuestros clientes, junto con nuesto extenso y selecto canal de distribución, a desplegar estrategias de este tipo. Estamos comprometidos con nuestra comunidad de clientes y partners en estos tiempos tan convulsos, de cambio de paradigma, y posiblemente, de la historia, como ha sucedido ya tantas veces en el devenir de la humanidad, tal cómo veíamos al principio de este artículo. Abramos pues los ojos, porque vienen tiempos movidos.

2022: Todo va a ir a peor en ciberseguridad. Seguro.

Es indudable que el mundo ha cambiado mucho estos dos últimos años. La hiperconectividad centrifugada por el fenómeno COVID ha sido el acelerador que ha transformado nuestro mundo. Y éste no volverá a ser el mismo, por mucho que los viejos nostálgicos lo deseen. Hay momentos estelares en la historia en los que todo cambia para siempre, y este ha sido uno de ellos. Como lo fue la caída de Constantinopla (la capital del viejo reino de Bizancio) en 1453, el fin de la edad media, de los vestigios del Imperio romano de Oriente y del comercio con las Indias y China, provocando de forma indirecta el descubrimiento de América por la búsqueda de nuevas rutas comerciales. Ese episodio lo cambio todo. Exactamente como este momento histórico que estamos viviendo.

Estamos en una encrucijada de los tiempos, y por ello muy difícil realizar predicciones y tendencias. Es una de las características de estos instantes de la historia, la impredictibilidad de lo que va a suceder... Según todos los indicios, y el propio Bill Gates así lo vaticina, parece que en 2022 dejaremos atrás la pesadilla COVID. Pero no así sus consecuencias: la vida conectada, el teletrabajo, la empresa distribuida, la nueva logística, la relocalización de la producción, etc. Continuarán con nosotros varios años, según el fundador de Microsoft. ¿Será así? Veremos...

Por otro lado, dicha hiperconectividad, acelerada también por el despliegue masivo de 5G, conduce a un escenario nefasto para la ciberseguridad: Todo va a ir a peor. Los miles de nuevos dispositivos IoT no diseñados con criterios de seguridad, con sistemas operativos y arquitecturas poco seguras, ocasionarán no pocos problemas, como ya ha anticipado nuestro “Sonicwall Cyber threat report mid-2021”, en el que se refleja este fenómeno, un 59% de incremento de ataques IoT. Nuestro informe también recoge otra tendencia que se acelerará en 2022: Menos ataques, más virulentos, más dirigidos. Todos los indicadores (en España también, según datos de la Policía Nacional) indican un incremento sustancial del cibercrimen y de las estafas a las organizaciones. Y hay que prepararse para ello.

Otra tendencia al alza en los últimos años es el Ransomware. Creciendo a un 151%, año tras año, con impactos en organizaciones muy conocidas, con los deberes aparentemente hechos en ciberseguridad. Porque el factor humano, como sabemos, siempre es el eslabón más débil. También lo fue en Constantinopla, ese fatídico año de 1453: ante sus murallas, fracasaban uno tras otro los ataques otomanos, hasta que alguien se dejo una pequeña puerta de la muralla abierta, la ya mítica Kerkaporta. Y por ahí cayó la capital del imperio bizantino. Y cambió el mundo, como decíamos antes...

También es cierto que este año dispondremos de más presupuesto, la ciberseguridad está en la mente de todos, y es previsible que las organizaciones inviertan y desplieguen más infraestructura, mas recursos y personas dedicadas, aunque se toparán con un problema que venimos arrastrando ya desde hace tiempo: la falta de talento. Y ésta será una de las tendencias, la formación y reconversión de profesionales IT en expertos de ciberseguridad, para paliar esta carencia ya crónica en nuestro sector.

La Inteligencia Artificial (IA) será necesaria para la identificación de ataques de corte desconocido, cada vez más numerosos, y todas las ciberdefensas deberán contar con ella, así como de una muy buena capacidad de análisis en tiempo real, para la detección y respuesta inmediata a dichos ataques, ante los cuáles será vital también poder aislar y poner en cuarentena la partes afectadas de nuestra infraestructura.

Dado que nuestro entorno es cada vez más híbrido, y el perímetro no es que haya desaparecido, es que se ha desdibujado para dar paso a la aparición de múltiples perímetros, deberemos desplegar una ciberseguridad multiperimetral, potenciando la capacidad de ciberdefensa en nuestras aplicaciones en la nube (SaaS), en el acceso remoto inteligente (Zero Trust), en nuestros endpoint ubicados en entornos sumamente hostiles (en casa), en las redes inalámbricas (WIFI seguro, 5G), y, sobre todo, en nuestro compañero de siempre, el corazón de nuestra defensa, nuestro firewall de nueva generación. Resumiendo, una defensa por capas, para poder atajar cualquier ataque, venga de donde venga.

Stefan Zweig, escritor e historiador austriaco, autor del relato histórico “Momentos estelares de la humanidad – La conquista de Bizancio”, escribe: “…un pequeñísimo azar, Kerkaporta, la puerta olvidada, ha decidido la historia del mundo”. Esto sucede a menudo en cualquier ataque a las organizaciones, un pequeño detalle pasado por alto, acaba por desencadenar una catástrofe que pone contra las cuerdas a toda la organización. No olvidemos que la hiperexposición nos sitúa como a ese Bizancio de la primavera de 1453. Todos los presagios indicaban su caída final el día 29 de mayo. Las campanas de las Iglesias tocaron a rebato durante todo el día anterior, la multitud rezó por última vez en la catedra de Santa Sofía, y el silencio se apoderó de la ciudad, preparándose para el desastre... Y así sucedió. La ciudad cayó, y con ella, una época...

Todo indica que la situación va a ir a peor. Los presagios también indican esto. Las campanas también tocan a rebato. Pongámonos en marcha para que 2022 sea el año de la ciberseguridad, no el de otros titulares más desastrosos. Así sea.

Maskirovka!!

El engaño en la doctrina militar rusa se conoce como Maskirovka o маскировка, traducido literalmente como “mascarada” o “disfraz”. La maskirovka incluye el ocultamiento, la imitación con señuelos y maniquíes, maniobras destinadas a engañar, la negación y la desinformación. En la Enciclopedia Militar Soviética de 1944 se refería a "medios para asegurar las operaciones de combate y las actividades diarias de las fuerzas; una complejidad de medidas, dirigidas a engañar al enemigo con respecto a la presencia y disposición de las fuerzas".

El engaño siempre fue clave en las mayores victorias soviéticas ante la Alemania nazi en la segunda guerra mundial, como la batalla de Stalingrado, la de Kursk o la operación Bagration. Esta última fue la mayor derrota de la historia del ejército alemán, y quizás la más desconocida. Y su éxito fue debido, en gran parte, a la Maskirovka.

En verano de 1944, el ejército alemán en Rusia estaba exhausto tras las derrotas de Stalingrado y Kursk, pero aún constituía una formidable maquinaria militar. Así, la Stavka (cuartel general soviético) diseñó una operación para rodear y destruir al grupo de ejército “centro” alemán, en la actual Bielorrusia, y acabar con más de 700.000 hombres con su material y suministros incluidos. Para ello, pusieron en marcha una gran operación de engaño y desinformación, en la que se movían tropas de forma ficticia, a la vez de trasladar varios ejércitos de noche a los diferentes puntos donde se produciría el ataque, camuflándolos en los grandes bosques de Bielorrusia, además de construir y ocultar las carreteras por las que atravesarían los densos pantanos de Pripyat. Todo se realizó con mucha anticipación, en un silencio escrupuloso de radio, sin encender ningún faro de los camiones por la noche, órdenes verbales (nunca por escrito), con convoyes diurnos vacíos a falsas zonas de concentración de tropas, etc. La operación Bagration fue un triunfo extraordinario, donde la Maskirovka tuvo un papel fundamental.

El engaño siempre ha formado parte de la doctrina militar rusa como podemos recordar en la reciente anexión de Crimea (2014) por parte de la Federación Rusa. En ella, hombres armados, con pasamontañas (“enmascarados”), sin ningún tipo de insignia ni bandera, llegaron en camiones militares de noche a la región y la ocuparon sin resistencia. Toda explicación gubernamental respondía que desconocían quiénes eran. Más tarde se reveló que se trataba de fuerzas especiales rusas - Spetsnaz (revista Time, 2014) en lo que expertos occidentales afirmaron como un “brillante uso del presidente Putin de la Maskirovka tradicional rusa”.

La guerra posterior reciente en la región de Donbass en Ucrania también se ha descrito como una campaña de Maskirovka. Al igual que en Crimea, el conflicto comenzó cuando fuerzas armadas “rebeldes”, sin insignias militares, tomaron la infraestructura gubernamental de la zona. Posteriormente se enviaron convoyes “humanitarios” a la región, con camiones militares pintados de blanco, que atrajeron la atención de los medios como un gran ejemplo (de nuevo) de Maskirovka.

¿Cuál es la lección para nuestra ciberseguridad de esta doctrina militar rusa usada de forma tan profusa en la reciente historia?

La primera creo que es evidente: todo ataque es más efectivo cuando se emplea la “Maskirovka”, el engaño o “deception”. Es mejor para el atacante sembrar la confusión, haciendo pensar al defensor que sus problemas están en otro lado diferente al de la brecha, o que incluso, no existen. Las mismas técnicas de ataque actuales indican una cierta Maskirovka: brecha menor, movimientos laterales sigilosos, escalado de privilegios, búsqueda del momento adecuado, la estafa mediante la suplantación del “jefe”, etc. También se puede emplear la Maskirovka (y se debería) en la defensa, tal como la usaron los rusos en la batalla de Kursk, construyendo unas poderosas defensas sin que los alemanes se percataran de ello, y ante las que se estrellaron cuando iniciaron su fallido ataque.

La segunda es que la ingeniería social funciona muy bien, y se usa de forma muy eficaz en las operaciones de inteligencia. Así, hay cuatro principios básicos comunes a todas las personas, que son: Todos queremos ayudar en general al prójimo, el primer movimiento es siempre de confianza hacia el otro, no nos gusta decir que no y a todos nos gusta que nos alaben. Usados de forma inteligente, se genera una falsa confianza para luego ejecutar el ataque de forma más eficaz. Estas ideas, las usaba también el hacker Kevin Mitnick, apodado por él mismo como el “fantasma de los cables”.

Y la tercera y última, es golpear en el punto débil con toda contundencia, pero por sorpresa. Ya comenté en un pasado artículo esta idea, la del eslabón débil y su papel en la caída de San Juan de Acre (1291). Y es que esta idea es básica en la Maskirovka: En Stalingrado, el ejército rojo golpea a las tropas más débiles: a los aliados italianos, húngaros y rumanos, para cercar a los alemanes en la ciudad. Otro ejemplo es en la operación Bagration mencionada al principio de este artículo, cuando las divisiones soviéticas atacan a través de los pantanos de Pripyat (Bielorrusia), poco o nada defendidos por los alemanes al considerarlos impenetrables.

El engaño forma parte de la historia de la humanidad y lo acompaña en muchos de sus grandes acontecimientos. No en vano, el Génesis arranca con una Maskirovka, con el engaño de la serpiente a Eva. Por algo será…

La fortaleza del Krak de los Caballeros y la ciberdefensa por capas: Algunas ideas

 

Después de la primera cruzada, tras la conquista de Jerusalén y el establecimiento de los reinos francos cristianos en tierra santa, la protección de estos nuevos enclaves y las rutas comerciales que atravesaban fue siempre una prioridad, y por ello se crearon y establecieron las órdenes militares religiosas, como los pobres caballeros de Cristo del templo de Salomón (Templarios) o la orden de los caballeros hospitalarios de San Juan de Jerusalén. Estos últimos, recibieron el enclave del "Krak" con su poderoso castillo en 1142, que procedieron a remodelar, convirtiéndolo en la fortaleza más inexpugnable de tierra santa, y que pasaría a conocerse como el "Krak de los Hospitalarios" primero, y más adelante como el "Krak de los Caballeros". En él, la orden estableció su sede durante más de un siglo y soportó asedios y ataques de todo tipo, incluso del propio sultán Saladino, sin ser jamás conquistada. Por ello, se ganó su fama de inexpugnable.

Figura 1: El Krak de los Caballeros hoy.

Este impresionante castillo situado en la actual Siria, que ocupaba una superficie de casi 9 hectáreas, se diseñó como cuartel fortificado, con murallas concéntricas de hasta 25 mts de espesor, y una guarnición de más 2.000 hombres y cientos de caballos, con provisiones como para resistir un cerco de años. Su diseño concéntrico con diferentes tipos de muros y torres, y su ubicación en altura, desde la que en días claros, podía divisarse el mar, hacía a esta fortaleza un modelo, que muchos monarcas europeos (Eduardo I de Inglaterra o Luis IX de Francia) quisieron copiar en sus países de origen, y T.E. Lawrence (de Arabia), la definió como el "castillo más admirable del mundo".

Figura 2: Plano del Krak de los Caballeros.

La historia cuenta, como decía, que jamás fue conquistada, y que solo al final de la presencia cristiana en estas tierras hacia la segunda mitad del siglos XIII, con una Orden Hospitalaria ya muy debilitada, el sultán de Egipto Baibars I, curioso personaje de procedencia eslava, decidió en 1271 sitiar el Krak con un numeroso ejército. Durante meses, la reducida guarnición resistió como pudo los embates de los mamelucos del Sultán. Baibars, al entender que iba a tardar meses y meses en conquistar el mítico castillo, ideó un engaño: envió una paloma mensajera al jefe de la guarnición que simulaba proceder del Gran Maestre de la orden (acuartelado en San Juan de Acre), con un permiso especial para rendirse. El engaño surtió efecto. Así, se entablaron negociaciones y finalmente, el Krak de los Caballeros, se rindió por primera vez en su larga historia.

¿Qué lecciones e ideas podemos obtener de este relato para nuestro dinámico y cambiante mundo de la ciberseguridad?

1.     La defensa por capas es idea muy poderosa: todas las capas protegen de los ataques, pero no al 100%. Al superponer diferentes tipos de defensas (el firewall perimetral, el correo electrónico seguro, el sandboxing en todas las capas, el antivirus de nueva generación, el rollback, etc.) nos aseguramos que si bien algún ataque puede escapar a alguna de ellas, es muy difícil que lo haga a todas.

2.    El punto débil. Toda defensa tiene un eslabón que la hace vulnerable. Al sumar diferentes tipos de defensa, de manera concéntrica, independiza cada una de ella y de sus debilidades. Cuando cae la muralla exterior (y lo detectamos), nos replegamos al siguiente anillo concéntrico.

3.    El engaño. Es el ataque más efectivo siempre. La guarnición de la fortaleza fue engañada por el clásico engaño del CEO: aprovechar un medio de comunicación aparentemente seguro para dar falsas instrucciones a los subalternos. Por ello, ante decisiones importantes, hay que tener un procedimiento de "doble comprobación" y evitar estas situaciones.

4.    La Autocomplacencia. No hay que fiarse nunca de nuestra aparente situación de invencibilidad. No hay castillo ni fortaleza que 1000 años dure. El Krak de los Caballeros resistió 12 asedios en 130 años. Parecía inexpugnable. Y al final, se rindió.

5.    La falta de información en tiempo real. Es vital disponer de sensores que te indiquen de forma instantánea que está sucediendo en la infraestructura, para poder tomar decisiones de forma rápida y poder aislar posibles zonas comprometidas por una intrusión con éxito.

Desde Sonicwall hace años que abogamos por el paradigma de la defensa en profundidad por capas, de forma inteligente, con sensores, para detectar y poder reaccionar en tiempo real a los ataques de todo tipo, de corte conocido y desconocido. Es la única manera de poder sobrevivir en este mundo online distribuido en el que nos hemos sumergido de pleno desde hace ya casi 1 año, y que va a ir a más en los tiempos venideros.

Los desaparecidos caballeros hospitalarios dejaron, en una de las galerías del Krak, junto a la gigantesca sala capitular, la siguiente inscripción esculpida en roca, que reza: "Ten riqueza, ten sabiduría, ten bondad, pero guárdate del orgullo que mancha todo lo que toca". Sabias palabras que aplican a nuestro mundo. Así sea.

El eslabón más débil: La caída de San Juan de Acre (1291) Lecciones de ciberseguridad

Año 1291. San Juan de Acre es el último bastión en tierra Santa de los reinos francos cristianos, tras casi doscientos años de presencia cristiana en la zona, originada en la primera cruzada. Acre es una ciudad-fortaleza imponente, con varios anillos concéntricos amurallados, torres de defensa imponentes, fosos, sólidas barbacanas, y sede de las órdenes militares más prestigiosas creadas para la protección de estos reinos: los templarios, los hospitalarios, los caballeros teutónicos, etc. Inexpugnable. O no.

Figura 1: El origen: La primera cruzada y la conquista de Jerusalen (1099)

Las órdenes militares están en conflicto continuo. Los egos, las envidias, los silos en la defensa, será una de las causas de la caída de Acre a manos del Sultán de Egipto. Éste, ha estudiado las defensas y sus puntos más débiles, y cree saber como tomar la ciudad-fortaleza. Durante meses, prepara el asalto, construyendo las más poderosas máquinas de asedio de la época, en secreto, y las traslada cientos de kilómetros hasta las puertas de la ciudad, para iniciar el asedio. Acre, además, tiene un punto débil a explotar, que además no está defendido por ninguna de estas aguerridas órdenes: La torre maldita.

Siempre ha sido el lugar por el que ha caído la ciudad, y a pesar de haber sido reconstruida por los cristianos desde el sitio por el que Ricardo Corazón de León tomó la ciudad hace ya unos años, no está tan bien defendida como el sector de los templarios o el de los hospitalarios, fuerzas de élite, muy temidas por los musulmanes por su ferocidad, disciplina y entrenamiento.

Figura 2: La Caida de Acre

Jalil, el sultán de Egipto con su imponente ejército, inicia el sitio, jugando al gato y al ratón con los defensores, y acaba descargando su ataque más virulento contra el eslabón más débil de todo el perímetro: La Torre Maldita. Entran en la ciudad, y a pesar de que los templarios aún resisten unos días en su cuartel general, la ciudad cae en manos de los mamelucos del Sultán y desaparece así el último bastión cristiano en Tierra Santa.

Es un momento terrible de la historia, del que podemos sacar una serie de lecciones para nuestro entorno de la ciberseguridad:

1.     Los Silos. Los templarios, los hospitalarios, los teutónicos, los venecianos, los pisanos, los franceses, los ingleses... Cada grupo miraba por lo suyo por su segmento asignado, no había un liderazgo claro de la defensa ni una visión unificada de todo. Eso lo sabía Jalil, y por eso sacó partido de la división y de la falta de unidad. Para una buena defensa, hay que tener información en tiempo real de lo que ocurre. Y poder gestionar las múltiples capas para detectar y parar cualquier ataque.

2.    La autocomplacencia. El ejército del Sultán se presentó antes las puertas de Acre el día 1 de abril de 1291. Los defensores no tomaron conciencia del peligro hasta que no tuvieron el ejército del sultán encima, e incluso en ese momento, siguieron discutiendo. Es muy importante conocer los riesgos y prepararse para ellos. En este tiempo, además, con el incremento exponencial de la superfície de exposición a la que estamos expuestos, es fundamental ser humildes y ponernos manos a la obra, construyendo y desplegando una defensa en profundidad, y listos para gestionar cualquier tipo de incidente, leve o grave.

3.    El eslabón débil. Siempre tendremos un eslabón débil, una "torre maldita". Y sabemos que es el endpoint, el usuario final. Por eso se han disparado los ataques de phishing, y por ello, debemos desplegar herramientas que incrementen sustancialmente su nivel de seguridad, que tengan en cuenta que todos podemos caer víctimas de un engaño, para salvaguardar las llaves de la torre: nuestros credenciales. Así, un antivirus de nueva generación, que analice el código en ejecución y lo bloquee si detecta intenciones poco claras, un análisis de las conexiones a la cuenta, para detectar robos de credenciales o "account takeovers", y siempre capas y más capas, segmentando aplicaciones, dispositivos, usuarios... Y en época de acceso remoto a nuestras redes, aplicaciones y datos, hay que limitar y gestionar mejor nuestra infraestructura.

Figura 3: Acre hoy.

Hay más lecciones, y espero poder añadir alguna idea más a este artículo. Al leer estas navidades el excelente libro de Roger Crowley sobre la caída de Acre "La torre Maldita", me di cuenta de que estas lecciones se podían aplicar claramente a nuestro increiblemente activo y cambiante mundo de la ciberseguridad, con lecciones que son universales e imperecederas. En SonicWall empezamos el año pasado predicando sobre estos conceptos y el de "Boundless Cybersecurity", ciberseguridad en un mundo sin perímetro. Y hace tiempo que hablamos de que la joya de la corona, el eslabón más débil, es el endpoint, y detrás de él, el usuario. Hoy los ataques se dirigen a él, porque son más efectivos, más virulentos, más lucrativos. Así, hay que centrarse en desplegar capas de seguridad, sin olvidar este factor, centrándose en toda la cadena, pero con especial foco en el endpoint, en el ser humano. Porque la ciberseguridad es un asunto de tecnología, de procesos y, sobre todo, de personas.

El Día D y la defensa automatizada

El 5 de junio de 1944, a las 21:45, la BBC de Londres transmitió, en su emisión continental, el mensaje con el que avisaba a la resistencia francesa de la invasión aliada del día siguiente, el Día D. El famoso poema de Paul Verlaine "Los largos sollozos de los violines de otoño, hieren mi corazón con monótona languidez" era la señal que esperaban.

Erwin Rommel, comandante alemán del Muro del Atlántico, sabía que debía actuar muy rápido, casi de forma automática, ante cualquier intento de invasión aliada. Su estrategia era destruir al enemigo antes incluso de que pisara la arena de la playa en la que desembarcara… Y sabemos que no tuvo éxito en sus propósitos: la defensa alemana no estaba desplegada como pretendía Rommel, y la operación aliada del Día D, triunfó.

Algo así pasa con nuestras defensas cibernéticas.  Creemos estar preparados, y subestimamos a nuestros atacantes tanto o más de lo que sobrevaloramos nuestras capacidades defensivas. Como ya sabemos, la desconfianza y la paranoia son buenos aliados del CISO, pero también un buen despliegue de nuestras defensas, tal y como pretendía Rommel. La defensa en profundidad que propugnamos en Sonicwall, preparada para prevenir, detectar amenazas de tipo desconocido, y reaccionar de forma automática, es una infraestructura hoy muy necesaria para prepararnos para este malware virulento y sofisticado en el que viviremos de ahora en adelante, probablemente sin ningún tipo de tregua ni cuartel.

Esta defensa en capas debe incluir varios elementos fundamentales para poder detectar y responder de forma adecuada a los peligros que nos acechan. El primero de ellos es una plataforma integrada Cloud, como punto único de gestión de la seguridad de la empresa. Un “single pane of glass”, algo que nos permita gestionar de forma centralizada la infraestructura de seguridad y con visibilidad de todo lo que sucede en ésta. A continuación, una inteligencia artificial central, que aprenda de las amenazas y tome las medidas correctas en cada caso. Y no sólo basada en patrones, sino también en conducta, para poder detectar, categorizar y aprender nuevo malware de carácter desconocido. Y este análisis del posible malware, no sólo debe realizarse de los ficheros, en estructuras “sandbox”, sino también de las piezas de software que se ejecutan en memoria, para descubrir y bloquear malware como Meltdown, Spectre y ForeShadow antes de su ejecución.

Otra pieza fundamental de esta arquitectura es el firewall, con su capacidad de análisis y localización de amenazas embebidas en el tráfico cifrado (ya más del 70% en internet). Sin esta funcionalidad desplegada, nuestro potente cortafuegos deja de tener sentido y se transforma en un convidado de piedra, sin poder hacer nada ante todo lo que pasa ante sus ojos.

La protección del endpoint o puesto de trabajo es otro de los elementos clave, sobre todo en estos tiempos en los que dicho endpoint se encuentra muchas veces fuera de la protección de la red interna, a merced de todo tipo de phishing y malware combinados en ataques muy efectivos (ransomware es un buen ejemplo). Los antivirus clásicos basados en modelos conocidos han perdido efectividad, más de 60 millones de virus catalogados tienen la culpa, hay que pasar a un modelo basado en comportamiento, ligero y efectivo.

Finalmente, otras piezas necesarias son también el Web Application Firewall (WAF), orientado a proteger aplicaciones de negocio críticas (y “legacy”) abiertas al exterior, y los CASB (Cloud Access Security Broker), para la protección de los usuarios y la información de la empresa residente en la nube.

Toda esta arquitectura ayuda a construir una defensa en profundidad en capas, orientada a proteger a todo tipo de organizaciones, grandes, medianas y pequeñas, proporcionando la capacidad estratégica que buscaba Erwin Rommel en ese lejano 1944 de reacción de forma inmediata y automática a cualquier amenaza, antes de que el desembarco se consolide y se constituya en un verdadero quebradero de cabeza.

Y es que ya lo aventuraba Linus Torvalds hace varios años, de forma profética: “el tiempo de las soluciones sencillas a problemas sencillos pasó, en tecnología y seguridad…”

Defendiéndonos en tiempos de amenazas desconocidas (Zero-day)

En verano de 1943, Hitler planeaba la que sería su última ofensiva de verano en el frente ruso. Su intención era lanzar la mayor fuerza acorazada de la historia, con los más modernos carros de combate, sus fuerzas de choque más aguerridas, y sus generales más veteranos, contra el saliente de Kursk. El objetivo era aniquilar a una parte importante de las fuerzas de su adversario y ponerse en las puertas de Moscú de nuevo. La derrota de Stalingrado había sido muy dura, y tenía que volver a

recuperar la iniciativa. Sin embargo, los rusos conocían el plan: tenían un espía suizo (“Lucy”) con fuentes muy cercanas a Hitler, que les informaba siempre de los próximos pasos de su enemigo. Pero el problema era que no sabían cómo parar esta tremenda embestida. Por ello, construyeron la mayor defensa en profundidad construida hasta la fecha (175 kms), con hasta 8 líneas de defensa, trincheras, bunkers, campos de minas y unidades blindadas con el fin de detener a los alemanes. Lo consiguieron en los dos frentes (Norte y Sur), ocasionando el mayor choque de carros blindados de la historia, y también la pérdida de la iniciativa de los alemanes hasta su derrota final en 1945. Así, por todo ello, las técnicas de defensa en profundidad utilizadas se estudian en todas las academias militares del mundo.

La historia es buena consejera y nos ayuda a abordar problemas de solución incierta, pero de naturaleza similar: hoy nos enfrentamos en nuestros sistemas y redes a grandes ciberamenazas, ataques muy bien dirigidos, con componentes de phishing sofisticados y utilizando vulnerabilidades conocidas y desconocidas, en “coctel”, que hacen muy compleja la labor de los responsables de IT y seguridad en las organizaciones.

El paradigma actual de defensa

Lo único que sabemos es que, en cualquier momento, recibiremos un ataque (según nuestro informe anual de amenazas de 2018, cualquier empresa es atacada más de 900 veces con técnicas de phishing en un año), pasará cifrado por las narices de nuestro firewall (70% del tráfico mundial HTTP lo está ya), utilizará el correo electrónico (en un 78% de las veces) y tendrá una componente de ingeniería social nada desdeñable, invitando al usuario a actuar de forma destructiva, tirando de su inocencia. Como sabemos, el eslabón más débil (el usuario), marca la resistencia de la cadena. Y casi siempre es el objetivo. ¿Cómo podemos prepararnos para esta tormenta perfecta?

La respuesta obvia es que no podemos protegernos al 100%, pero sí prepararnos con una defensa en profundidad, en varias líneas con tecnologías diferentes, que aprenden del “enemigo”, anticipando muchos de sus movimientos, y siempre listos para la siguiente amenaza desconocida. Durante los 3 primeros meses del año, Sonicwall bloqueó 3.100 millones de ataques de malware en todo el mundo, un 151% más que el mismo periodo del año pasado. Y la tendencia sigue al alza.

A todo esto, hay que añadir que nuestras estrategias de defensa están basadas en paradigmas militares de siglos pasados: Castillos, murallas, líneas de defensa, puentes levadizos, etc. Pero nuestro entorno, se parece mucho más al de un aeropuerto: paquetes de información entrando y saliendo, con diferentes zonas y niveles seguridad, y siempre aplicando medidas cautelares al 100% de los pasajeros, porque sabemos que alguno de ellos puede esconder un explosivo o un arma para realizar un secuestro embarcado en un avión.

La visión de Sonicwall de Defensa en Profundidad

Así, de nuevo, la defensa en profundidad es la respuesta a esta situación extremadamente compleja: diferentes tecnologías, defensas, y una inteligencia común que recoge la información y aprende para actuar mejor en el siguiente golpe. Veamos qué podemos hacer para mitigar riesgos en nuestras organizaciones.

Cómo actuar ante el paradigma “aeropuerto”

Como decíamos, la defensa en profundidad es la respuesta ante el problema del aeropuerto. Hay que aplicar diferentes tecnologías y mecanismos de defensa para mejorar los existentes y estar siempre dispuesto a aplicar nuevas técnicas.

El primero de ellos es actualizar nuestro firewall. Está claro que éste debe poder inspeccionar el tráfico encriptado, y ahí entran en juego tecnologías como DPI-SSL (Deep-Packet-inspection), que desencriptan y vuelven a cifrar el tráfico legítimo, entregándolo al destino correcto y descartando el potencialmente peligroso. Es una medida que implica una cierta complejidad, pero imprescindible ante el panorama actual de cifrado de 7 de cada 10 paquetes (o maletas, en nuestro modelo aeroportuario) de información.

Además, cualquier defensa en profundidad debe disponer de una inteligencia que la gobierne, que aprenda de los ataques, de sus técnicas y mitigue los daños de los más destructivos. Y todos los dispositivos de protección deben comunicarse con ella, para ser todos cada vez más inteligentes. Y esta plataforma debe proporcionar datos de gestión, para conocer en tiempo real qué está pasando y poder actuar en consecuencia.

No hay que olvidar que nuestro entorno es híbrido: físico, virtual, on-premise y Cloud. Pero cada vez más virtual: el 90% de las organizaciones ya virtualizan servidores, y más del 50% de la capacidad de cálculo de los datacenters corre ya sobre servidores virtuales. El SDDC (Software Defined DataCenter) es ya una realidad y se está adoptando rápidamente como paradigma de infraestructura. La utilización de firewalls virtuales es una necesidad en nuestra infraestructura de seguridad, y además, incrementa ésta, proporcionando más visibilidad en el tráfico de entrada/salida a los SDDC.

Otro fenómeno en alza es el de decenas de aplicaciones web antiguas, “legacy”, que nadie quiere tocar ni actualizar porque se desplegaron en la organización hace mucho tiempo. Realizan una labor importante, o a veces accesoria, y en muchos casos, tienen serios problemas de seguridad al utilizar tecnologías ya obsoletas de difícil actualización. Si a esto le añadimos la complejidad de los ataques DDoS (muchos operados por Botnets basados en IoT) o la utilización de HTTPS como la capa de presentación de cualquier aplicación, tenemos un serio problema contra el que los dispositivos actuales poco pueden hacer. Es por ello que aparecieron no hace mucho los WAF o firewalls de aplicación, que revisan el comportamiento de acceso a las aplicaciones mencionadas, buscando ataques de diferentes tipos, Bots que pretenden colapsar la aplicación, etc.

Además, el 78% de los problemas se originan en el email. Más del 30% de los emails de “phishing” son abiertos por los destinatarios, y el 12% de los ficheros anexos también. Por ello, es preciso añadir tecnologías que limpien el correo electrónico, eliminando aquellos que contienen amenazas y llamadas a todo tipo de malware.

Pero una de las últimas batallas es el endpoint o cliente final. Los antivirus tradicionales, basados en patrones, nos han protegido durante años, pero ya no son suficiente. El phishing avanzado, el nuevo malware, los ataques zero-day que utilizan vulnerabilidades desconocidas o cóctel de varias de ellas (este año creciendo por encima de las que sólo usan una), etc. Constituyen un enorme reto que no pueden seguir afrontando sin rediseñar su funcionamiento.

Y si a todo lo dicho le añadimos las amenazas crecientes basadas en redes IoT zombie, la falta de seguridad absoluta en los smartphones que todos llevamos en el bolsillo (estamos en manos de lo que quieran proteger o no sus fabricantes), las vulnerabilidades de Intel en sus procesadores, etc. En definitiva, la tormenta perfecta, equiparable a aquellos Panzer que iniciaron su ataque a las defensas rusas en Kursk, en el lejano julio de 1943…

La defensa en profundidad de Sonicwall

Como la Stavka soviétiva (el cuartel general soviético en verano de 1943), sabemos que el ataque se producirá. Y lo más probable es que se inicie a través del correo electrónico, utilizando técnicas de ingeniería social y phishing. Sonicwall propone incrementar el nivel de seguridad de su servidor de correo (Office 365, Google mail, etc.) con nuestra solución Email Security, que utiliza técnicas avanzadas de sandboxing (hasta 4 motores) para filtrar y detectar amenazas tipo zero-day, incluyendo también antivirus tradicional, anti-spam, anti-spoofing y protección de phishing de entrada y salida.

Capture Cloud: Modelo de funcionamiento

También intentamos proteger el cliente, con nuestro nuevo antivirus de nueva generación Capture Client, con motor basado en la tecnología de Sentinel One, probablemente el mejor antivirus del mercado (cliente ligero y reconocido como el más seguro para clientes Apple). Capture, además de su protección añadida (también vía nuestra plataforma Capture Cloud – Sandboxing avanzado) contra ransomware y malware sin ficheros, incorpora enormes facilidades de gestión integradas para hacer la vida más sencilla a los administradores de sistemas. Soporta también el análisis del tráfico encriptado, por lo que aumenta considerablemente la posibilidad de detectar amenazas escondidas en éste.

Nuestros firewalls, en toda su gama, desde los TZs, los NSAs y los Supermassive, intentan extender esta facilidad de desencriptar y analizar el tráfico cifrado (vía DPI-SSL) con una nueva arquitectura en gran parte de ellos, orientada a esta facilidad, por lo que se ha incrementado considerablemente (x2 o más) su potencia de cálculo. En su corazón reside SonicOS, que utiliza la arquitectura de hardware multinúcleo escalable, así como nuestro motor de inspección de memoria profunda (RTDMI, pendiente de patente), para inspección del tráfico añadiendo una muy baja latencia.

Sonicwall está aportando fuerte por el mundo virtual, y ha lanzado recientemente la nueva gama NSv de firewalls virtuales, primero para plataforma VMware, y este mes de junio se amplia otras plataformas como AWS, Microsoft Azure e Hiper-V. Mas adelante lo hará también para Google Cloud, Alibaba, Citrix, OpenStack, etc. Estos appliance virtuales tienen una funcionalidad casi idéntica a los físicos y están teniendo una buena recepción en el mercado, dada la apuesta de buena parte de las organizaciones de virtualizar capacidad de cálculo.

Además, hemos añadido también a nuestro portfolio nuestras soluciones WAF, de enorme rendimiento y prestaciones, conectadas a la plataforma Capture Cloud, que extiende su inteligencia y aprendizaje ante las amenazas, sobre todo las de tipo desconocido. WAF se despliega ante las aplicaciones web a proteger, incorporando de forma sencilla DPI-SSL (Deep packet inspection SSL), ayudando a la gestión de estas aplicaciones, los ataques producidos, la fuga de información (Data Leak Protection) tan importante ante la nueva legislación europea (GDPR), y la detección de anomalías y problemas antes de que se produzcan. WAF también es un appliance virtual, disponible en las mismas plataformas que nuestro firewall virtual (NSv).

La inteligencia la proporciona nuestro Cloud App Security (CAS) que básicamente es un servicio cloud que permite a las organizaciones la monitorización y la gestión de los dispositivos y aplicaciones Sonicwall, reduciendo el riesgo de “Shadow IT”. Forma parte de la plataforma ya mencionada “Capture Cloud Security Center”, y proporciona, además, funcionalidad CASB (para aquellos recursos y aplicaciones situadas fuera de nuestro perímetro) y monitorización y control en tiempo real de cualquier aplicación Cloud. La plataforma sobre la que reside, Capture Cloud, incorpora hasta 4 motores diferentes de sandboxing, que es la clave para proteger la organización. Todo gira alrededor de esta facilidad: a ella se conectan los firewalls físicos y virtuales, el email security, el cliente endpoint Capture Client, etc. El firewall inspecciona el tráfico, detecta y bloquea intrusiones y malware conocido. Pero el sospechoso, es enviado a la plataforma para su análisis. Capture, con su sandboxing multimotor, que incluye sandboxing virtualizado, emulación de sistema completo y tecnología de análisis de nivel hipervisor, ejecuta el código sospechoso, analiza su comportamiento y proporciona una visibilidad completa de la actividad maliciosa, facilitando la detección de este tipo de amenazas zero-day. Capture analiza gran tipo de ficheros y tamaños, incluidos programas ejecutables (PE), DLL, PDFs, MS Office, archivos, JAR, APK, así como diferentes sistemas operativos como Windows y Android. La protección se puede personalizar, además de realizar de forma manual alguna inspección de archivos. Los archivos enviados a este servicio en la nube quedan retenidos hasta que se emita un veredicto. Si se detecta un fichero malicioso, rápidamente se pone a disposición de los firewalls una definición para su protección.

La página de estado de Capture muestra un diagrama de barras sencillo que indica el número de archivos enviados y el porcentaje de aquellos infectados en los últimos 30 días, así como un informe más completo del malware detectado.

Es interesante visualizar el informe público diario de la plataforma, presente en: https://securitycenter.sonicwall.com, en el que se aprecian las tendencias mundiales de malware, ransomware, etc. Detectados en nuestro más de 1 millón de firewalls conectados a la plataforma Capture Cloud.

A toda esta arquitectura, es necesario añadir la gestión del acceso remoto, vía SMA para la gestión de túneles VPN y usando nuestros puntos de acceso inalámbricos de alto rendimiento (802.11ac, MU-MIMO, Wave 2), integrados plenamente en la arquitectura firewall.

Toda esta tecnología ayuda a configurar una defensa multicapa en profundidad, que hace mucho más difícil a cualquier atacante lograr sus propósitos. Pero no debemos caer en la autocomplacencia. La innovación en el lado del mal alcanza cotas nunca vistas hasta la fecha, al igual que las unidades acorazadas alemanas de aquel mes de julio de 1943. La estrategia para pararlos es la misma: estar atentos con una buena monitorización de las defensas, aprender constantemente, una defensa bien construida con diferentes tecnologías en constante reinvención, y un espíritu crítico que nos permita estar siempre alerta para detectar y reaccionar de forma inmediata, porque como decía Bruce Schneier, padre de la criptografía y de la ciberseguridad, “el que piense que la tecnología puede solucionar los problemas de seguridad, es que no entiende los problemas ni entiende la tecnología”.