Agustín Valencia es responsable de Desarrollo de Negocio Seguridad OT en Fortinet. Con una amplia experiencia en el sector de la energía, tras su paso por Iberdrola, su medio natural se encuentra en la confluencia del mundo físico y el digital. Allí es donde están pasando las cosas más interesantes.
Pregunta: La propia configuración física de los dispositivos se utiliza ya como herramienta de ciberseguridad. ¿Cómo gestiona este nuevo entorno una empresa de software como Fortinet?
Respuesta: Uno de nuestros de nuestros avales es que tenemos el conocimiento y la tecnología para fabricar chips propios de seguridad. Al integrarlos en un chip dedicado, se puede cubrir la seguridad de todo el crecimiento del tráfico o del IoT (internet de las cosas) con menos consumo de energía y con más rendimiento. Hay quien dice que el software se puede hackear, pero que la parte del hardware es más complicada porque requiere un acceso muy privilegiado.
El software asociado al hardware, el firmware, es otra de las áreas en las que los ataques están ya muy avanzados. En el fondo, en cualquier caso, tal y como está evolucionando el mundo digital, los grandes crecimientos se están consiguiendo en el software, sin necesidad de desplegar un hardware propio.
Pregunta: En el ámbito de las infraestructuras, de las grandes redes, como las energéticas, se está yendo a un concepto cada vez más sistémico, pero va a ser imposible controlarlo todo desde un único punto.
Respuesta: Es muy cierto. Internet y la nube se crearon para que, si fallaba un centro de control, se pudiera ir a otro punto. Pero cuando ha habido grandes caídas se ha visto que somos humanos: es más fácil seguir construyendo sobre lo avanzado que construir dos veces, en A y en B, donde tienes el backup. Siempre hablamos de servicios redundados, porque a veces no es ni eficiente controlarlo todo desde un sitio, por horarios o por soberanía de datos, por ejemplo.
Prima el concepto de plataforma, no se puede hacer todo ni desde un sitio ni con una sola herramienta. Al final hablamos de defender al usuario, es decir, la identidad digital, pero proteger la aplicación, la comunicación, el endpoint. Hacen falta esas plataformas que nos permitan tener visibilidad de que los perfiles de seguridad están armonizados.
"La mayoría de las brechas en la nube son malas configuraciones"
Pregunta: El problema es que cuando se aborda la federación de datos, cada vez más habitual entre diferentes empresas, la armonización ya no depende de una sola organización.
Respuesta: Es tan fácil crecer sin orden y que la nube se convierta en un cajón de sastre, repleto de puntos donde se hacen distintas cosas, sin que quede claro cuáles tienen que hablar con cuáles. La mayoría de las brechas en la nube son malas configuraciones. Los sistemas se están conectando ya a nivel de días, no de meses, y debemos tener capacidad de comunicar lo que se detecta. La ciberseguridad actúa como habilitador de negocio, de procesos, hay que hacer las cosas con orden, no perder la consistencia. Si los datos con los que alimentó la inteligencia artificial (IA) no están bien, va a decir tonterías. Los malos ya están empezando a hablar de envenenarlos para que la IA diga lo que ellos quieren.
Precisamente, en el desarrollo de la IA generativa se habla mucho de la parte de la seguridad y de la protección de datos. ¿Qué balance haces ahora mismo?
A título personal, mi opinión es que los LLM (modelos de lenguaje extensos) están ayudando a conseguir modelos con un aprendizaje muy rápido, pero en el futuro vamos a necesitar SLM (modelos de lenguaje pequeños) que hagan un trabajo específico. Hemos hecho una aplicación particular de ChatGPT para ofrecer a nuestros usuarios la posibilidad de preguntar. Aprovecha el algoritmo, separando la capa de datos amplia de lo específico. Fortinet tiene la mitad de los firewalls del mundo, que se dice pronto.
Varias asociaciones del sector digital de Europa han firmado una carta denunciando las divergencias entre países en la implantación de la Directiva NIS (Network and Information Security) 2. El Gobierno español acaba de aprobar el texto de la ley española, pero la coordinación a nivel continental es desastrosa.
En un evento con la Sociedad Internacional de Automatización, hablaba con empresas industriales precisamente de esto. La NIS 2 es una evolución para las entidades que ya tenían una regulación e infraestructuras críticas, pero una absoluta novedad para el mundo industrial. Los sectores manufactureros, alimentación, transporte, logística, no se consideraban infraestructura crítica hasta que con la pandemia se vio que, si caían, nos quedábamos atascados. Muchas de estas empresas tienen, además, presencia en 10, 20 o 40 países y el hecho de que no haya una aplicación uniforme de la NIS 2 es otro motivo más de incertidumbre. En España todavía no había un borrador compartido o publicado, ¿qué se podía hacer? ¿Seguir el ejemplo de Italia o de Bélgica? Es que las regulaciones de esos países tampoco se parecen.
La geopolítica gana peso en los ciberataques
La finalidad de los ataques sigue siendo mayoritariamente económica, pero se percibe un peso creciente del contexto geopolítico.
En España en concreto diría que no, pero no queda muy lejos el escenario ucraniano y allí se está abordando a todos los niveles.
En Ucrania, se está viviendo evolución acelerada de la innovación en ciberseguridad.
Totalmente. Tenemos un libro, un compendio de lecciones aprendidas, sobre cómo están cambiando las formas de atacar. A nivel de ciberseguridad, donde antes se pensaba que el ataque sería solo al gran centro de datos, se están viendo ataques a multitud de niveles. Se lanzan contra una subestación para desactivar el sistema de detección de misiles; y, en otros casos, al revés, un misil destruye un sitio con herramientas de ciberseguridad antes de lanzar un ciberataque.
¿La explosión de los buscas de Hamas por Israel fue una cuestión de software o de conectividad?
Hay quien dijo que era un ciberataque porque se dirigió contra las CPU, se calentaron las baterías y estallaron. Después de hablar con los expertos supe que las baterías, cuando se calientan, arden, pero no estallan. Ahí hubo una inserción de explosivo. Que un circuito existente alimente un explosivo lo hemos vivido en España en el 11-M.
No necesariamente diría que es un ciberataque. Sin embargo, hay una parte de modificación de la cadena de suministro donde se altera ese hardware y luego la cibernética se aprovecha de ese hardware modificado. Volvemos a ese escenario híbrido en el que ni todo es cíber ni todo es físico. De hecho, uno de los temas en los que pone muchísimo enfoque la NIS 2 es en la cadena de suministro.
5G: los riesgos de un espectro privado
España tiene un problema con el 5G porque no ha hecho los deberes para liberalizar el espectro y generar innovación. Hay una brecha respecto a otros países como EEUU o Alemania, que sí lo han hecho. ¿Eso tiene implicaciones en seguridad?
Es una pregunta muy complicada. Yo estaba en Iberdrola cuando andábamos pidiendo espectro para uso privado, igual que teníamos radio para comunicaciones de misión crítica. No puede ser que tuviera que pasar sí o sí por una operadora. No siempre tienen los mismos requisitos, no necesariamente un poste de telefonía aguanta las mismas horas con sus baterías que un poste de comunicaciones de un sistema eléctrico.
Efectivamente, el que haya un espectro privado es necesario. Los beneficios del 5G son evidentes, pero hay que tener medidas efectivas de ciberseguridad para que no implique un riesgo adicional. El 5G parte de comunicaciones ultra rápidas en las que todo se ve entre todo y siempre enlaza por el camino más rápido. Eso, a nivel de ciberseguridad, “choca”, porque lo que quiero es que solo hablen A con B y C con D, y evitar así que otros que entren.
Estamos aplicando mucha I+D para asegurarlo con nuestros chips de manera rápida y sin afectar a lo que es el gran aporte del 5G, que es la baja latencia. Hay conceptos que no cambian, como el de la segmentación. Cada cosa tiene que ir por su lado y da igual que sea el mundo IP o el 5G.
En la industria del automóvil, la ciberseguridad se ha convertido ya en un condicionante para el lanzamiento de nuevos productos. Algo impensable hasta hace muy poco.
En el automóvil, pensamos ya en cómo frenar no sólo los ataques se conocen ahora, sino los de futuro. El tema del coche es paradigmático, porque antes a cada cosa se le ponía una centralita pequeña para pasar del entorno electromecánico a la mecatrónica, pero hoy en día China y Tesla nos han enseñado que ese modelo no escala, evoluciona muy tarde. Un Tesla no tiene muchas ECU (Engine Control Unit), sino un gran ordenador.
No es un tema tecnológico únicamente, sino de cómo cambia nuestra percepción como usuarios, y también la de los talleres y la de los diseñadores. Mi coche ya no es solo un coche, aunque siga pensando que lo guardo en el garaje y ya está. Se comunica con la red eléctrica, con la aplicación del móvil, con el entorno del fabricante, con el sistema bancario…
"Interconexión segmentada" para minimizar riesgos
Las empresas industriales están abordando un modelo de automatización sistémica, con robots, AGV, AMR, RPA. ¿A qué deben estar especialmente atentas en materia de ciberseguridad?
Lo primero es saber lo que tienes y hacia dónde quieres ir. Se quiere tener una línea automatizada, pero lo que hay entre medias no está claro. Ahí sí es importante, y lo estamos haciendo en muchos proyectos de transformación digital, un trabajo de colaboración a tres o cuatro patas: el propio cliente con sus necesidades, la solución para automatizar el proceso, la parte de ciberseguridad y, a veces, la nube o el IoT específico.
Nadie por sí solo tiene toda la solución. Hemos tenido algunos proyectos muy buenos, con concepto agile, para no dejarnos nada en esas primeras fases de definición. Porque luego te dejas algo y, en cuanto conectas, el primero en verlo es el malo. Si vas a empezar a hablar de interconectar líneas de producción, hay que segmentar esas uniones. En la medida que hacemos eso con un concepto ordenado desde el inicio, todo lo demás crece mucho mejor. No hagamos esto como champiñones, como partes, conforme va doliendo en un lado.
A veces ha habido un problema y se ha echado atrás una iniciativa. A veces, la ausencia de seguridad ha echado atrás una innovación. El gran mensaje es ver la ciberseguridad como un habilitador y no como algo a lo que recurrir para pedir permiso o que se autorice algo.
