1st Security Blogger Summit: Conclusiones

Bruce Schneier: “Hay que tener en cuenta los motivos económicos que hay detrás de la tecnología (de protección) que tenemos. Podríamos tener una tecnología mejor, pero no estamos dispuestos a pagar por ella. El mercado premia lo cool, lo rápido, pero no lo bueno”

- La necesidad de educar a los usuarios de Internet en los conceptos básicos de seguridad es el único modo de reducir el número de afectados por el cibercrimen y es responsabilidad compartida de organismos y empresas tanto públicas como privadas

- El 1st Security Blogger Summit, organizado por Panda Security, reunió a 200 personas vinculadas a la seguridad de la información y juntó en una mesa redonda de 11 personas a opinion leaders de Estados Unidos y de España

Una de las principales conclusiones a la que se llegó en el 1st Security Blogger Summit, relativa a la situación del mercado de seguridad y a la necesidad de contar con mayor protección la expuso Bruce Schneier: “Hay que tener en cuenta los motivos económicos que hay detrás de la tecnología que tenemos. Podríamos tener una tecnología mejor, pero no estamos dispuestos a pagar por ella. El mercado premia lo cool, lo rápido, pero no lo bueno”

La necesidad de educar a los usuarios de Internet en los conceptos básicos de la seguridad es el único modo de lograr avances en este campo y reducir el número de afectados por el cibercrimen fue otro de los ejes del encuentro celebrado ayer en el Círculo de Bellas Artes de Madrid y organizado por Panda Security (más información en www.securitybloggersummit.com).

El evento reunió a unas 200 personas vinculadas al mundo de la seguridad de la información, entre los que se encontraban representantes de organismos públicos y privados, periodistas y bloggers.

En la mesa redonda participaron Bruce Schneier (Blogger y uno de los principales gurús de la seguridad informática), Andy Willingham (Information Security Officer de una compañía del sector financiero y autor del blog Andy ITGuy), Antonio Ortiz (co-fundador de Weblogs SL), Steve Ragan (editor de seguridad para Tech Herald), Byron Acohido, Javier Villacañas (periodista de la COPE y autor del blog “A todo chip”), Ero Carrera (de Hispasec), Sebastián Muriel (Director General de Red.es), Francisco A. Lago (del Instituto Nacional de Tecnologías de la Comunicación (INTECO) ) y César Lorenzana (del Grupo de Delitos Telemáticos de la Guardia Civil).

El tercer titular de la jornada aludió a la necesidad de compartir la responsabilidad de educar a los usuarios entre los diferentes organismos públicos y privados, mediante campañas de concienciación y sensibilización. En este sentido, Andy Willingham afirmó que “son los usuarios finales los que tienen que aprender cómo usar su ordenador de forma segura, ya que son ellos los que se encuentran en peligro”.

Según el director general de Red.es, Sebastián Muriel, “el 80% de los problemas (de seguridad) se resolverían con sentido común”.

Educación y responsabilidad

El coloquio comenzó con una charla de quince minutos de Bruce Schneier. Éste puso el énfasis en el avance que ha supuesto Internet, del que dijo que es: “la mayor revolución desde el rock and Roll” y señaló las causas económicas que subyacen detrás de los problemas de seguridad: “Podríamos tener una tecnología mejor, pero no estamos dispuestos a pagar por ella. El mercado premia lo cool, lo rápido, pero no lo bueno”.

Además, señaló la necesidad de no externalizar la responsabilidad sobre la seguridad, trasladándola a los gobiernos, sino que los propios usuarios y las empresas implicadas deben poner más de su parte: “En las tarjetas de crédito, el gobierno no educó a los usuarios, trasladó el problema a las empresas y éstas investigaron. Hay que hacer lo mismo: no se puede trasladar el problema sólo a los usuarios, sino también a los bancos y a otras empresas implicadas”, dijo el afamado experto.

Sobre la responsabilidad respecto a la seguridad, también opinaron otros ponentes. Así, Byron Acohido señaló que “el 90% del problema no es del usuario. Si un sistema con errores se pone en el mercado no es problema del usuario”. Por el contrario, Francisco Lago señaló que: “la principal laguna es el propio comportamiento del usuario” y apostó por las campañas de concienciación sobre buenas prácticas como principal vehículo para evitar riesgos de seguridad.

Andy Willingham y Steve Ragan, por su parte, coincidieron en la necesidad de que los expertos sean los que lleven a cabo esa educación, pero con un lenguaje sencillo, que sea entendible para los usuarios. “Hay blogs y medios sobre seguridad, pero el usuario no los entiende y mientras no lo haga, seguiremos viendo los mismos errores una y otra vez”, señaló el segundo de ellos.

Situación actual de la ciberdelincuencia y respuestas frente al cibercrimen

Todos los ponentes coincidieron en la profesionalización de los ciberdelincuentes como principal tendencia de los últimos años.

César Lorenzana señaló: “No sólo es que haya más malware, es que ahora el malware da dinero a los delincuentes. Es un modo de ganarse la vida”. Por su parte, Francisco Lago señaló la falsa sensación de seguridad en los usuarios: “el 80% de los usuarios creen que su ordenador está protegido, pero tres de cada cuatro está infectado”.

Antonio Ortiz, por su parte, señaló el cuidado que tienen los ciberdelincuentes actuales en pasar desapercibidos para evitar que los organismos públicos se encarguen de perseguirlos: “Los dueños de las redes de bots no ofrecen sus servicios para llevar a cabo ataques DoS contra grandes páginas o sitios de gobiernos porque entonces este problema entraría en la agenda de los políticos. No quieren llamar la atención”.

Sobre las respuestas que pueden dar las empresas de seguridad o los gobiernos ante esta amenaza, Bruce Schneier señaló la dificultad de perseguir el crimen: “Es un problema internacional, lo que hace más difícil perseguirlo, recoger pruebas, etc. Somos buenos resolviendo robos locales, pero no transnacionales”.

Preguntados por las pérdidas económicas que suponen estos ataques, Byron Acohido puso el ejemplo del grupo de ciberdelincuentes alemanes conocido como Cosmos, que ganó siete millones de dólares en una sola semana con sus ataques.

Finalmente, preguntado por el público sobre qué es lo básico que debe hacer un usuario medio para evitar riesgos de seguridad, los panelistas hicieron de nuevo hincapié en la educación como principal vía de solución, a lo que Bruce Schneier añadió: “Backup y actualizaciones de todos los programas”.