Universidad
Politécnica de Madrid

¿Están nuestros mensajes lo suficientemente protegidos? ¿Son seguras nuestras comunicaciones? Son algunas de las preguntas que cada día nos hacemos los usuarios a la hora de enviar datos e información a través de las redes, el correo o nuestros smartphones. La ciberseguridad preocupa a usuarios y empresas y abre un campo de especialización profesional que resulta cada vez más atractivo para los estudiantes.

Víctor Villagrá, profesor de la Escuela Técnica Superior de Ingenieros de Telecomunicación de la Universidad Politécnica de Madrid, analiza los retos presentes en esta área y anima a los jóvenes a formarse en este campo que ofrece numerosas salidas profesionales.

P.-¿Cuáles son las principales amenazas a las que nos enfrentamos en materia de comunicaciones?

R.- Hay dos grandes tipos de amenazas a los sistemas informáticos y de comunicaciones. Las primeras son las denominadas Amenazas Tecnológicas, que están dirigidas a aprovecharse de deficiencias en dichos sistemas como fallos de programación o configuraciones deficientes. El segundo tipo son las  Amenazas Humanas, en las que el atacante intenta engañar al usuario mediante técnicas de Ingeniería Social.

Hay distintos ataques y herramientas para aprovecharse de las vulnerabilidades tecnológicas. En primer lugar, los atacantes realizan una monitorización de las redes en busca de servicios y programas vulnerables, como versiones antiguas o malas configuraciones de programas. Una vez que encuentran algún fallo, se aprovechan de este error accediendo a sistemas con información confidencial o instalando programas maliciosos en los sistemas objetivo, como puede ser un programa espía (spyware) o un servidor que permita un control remoto por el atacante, convirtiendo el sistema en parte de una red de ordenadores zombis (botnet).

Otra amenaza tecnológica son los ataques de negación de servicio (más conocidos como DoS - Denial of Service), en los que se produce una inundación masiva de solicitudes a un sistema que termina por colapsar. Para poder lograr este volumen de solicitudes, suele ser necesaria la coordinación entre múltiples sistemas atacantes de una forma distribuida, por lo que también son conocidos como ataques DDoS (Distributed Denial of Service).

Sin embargo, las grandes amenazas suelen venir del eslabón más débil de la cadena de seguridad: el propio usuario. Son las denominadas Amenazas Humanas, que intentan engañar al usuario para que ejecute algún programa malicioso en sus sistemas, facilite sus credenciales y contraseñas de acceso a sistemas, etc.  Para ello, los atacantes pueden utilizar una diversidad de técnicas: pueden fabricar un escenario de engaño para poder embaucar al usuario, suplantando páginas web (web spoofing), identidades (el denominado phishing), o incluso proporcionar a los usuarios medios de almacenamiento, como una memoria USB, con programas maliciosos que atacan el sistema cuando son insertadas en ellos. Son las denominadas también técnicas de Ingeniería Social, que tratan de utilizar al propio usuario como mecanismo para atacar a un sistema informático. Este tipo de ataques tienen cada vez un protagonismo mayor y se combinan con las tecnológicas para realizar ataques a medida de un determinado objetivo.

P.- Terrorismo y vulnerabilidad de las comunicaciones están cada vez más relacionados y en consecuencia, lucha  antiterrorista y ciberseguridad. ¿Cómo pueden nuestros sistemas de comunicación evitar las amenazas de los hacker?

R.- En primer lugar, es necesario insistir en que la ciberseguridad no es un asunto meramente tecnológico que se resuelve con un conjunto de herramientas. Es una amenaza que debe tratarse globalmente, desde un punto de vista de procesos organizativos y con la involucración activa de los responsables. Es necesario definir la estrategia de seguridad de la organización y elaborar su política de seguridad, que será la base sobre la que girarán todas las demás decisiones de ciberseguridad.

Para ello se debe ser consciente de los riesgos a los que se está sujeto, mediante un adecuado ejercicio de análisis de riesgos y del conocimiento de la legislación aplicable y que debe cumplirse: todo ello deberá resultar en una identificación de medidas de seguridad a implantar en una organización. Estas medidas podrán ser de múltiples tipos: identificación de procesos y procedimientos, como por ejemplo una adecuada administración de sistemas, programa de actualizaciones, etc., implantación de herramientas de seguridad, capaces de identificar y mitigar las amenazas tecnológicas antes mencionadas, y, muy importante, programas de formación y concienciación de los usuarios, para evitar las amenazas humanas destinadas al engaño a los propios usuarios.

P.- Continuamente se insiste en la importancia del cifrado de los mensajes que enviamos, por ejemplo, a través del correo o de los dispositivos móviles. ¿Podemos considerar que estamos protegidos o aún queda mucho por hacer? ¿Somos conscientes de que nuestros mensajes pueden ser interceptados o aún hay cierta “irresponsabilidad” por parte de los usuarios de las nuevas tecnologías?

R.- La privacidad de la información es uno de los grandes activos a proteger actualmente, en un entorno en el que múltiples actores tratan de acceder a los datos que se almacenan e intercambian para sacar un beneficio. No obstante, todos los mecanismos de garantía de la privacidad pueden ser utilizados también para otros fines no tan éticos, dando lugar a exigencias de limitación de la privacidad por parte de estados, agencias, etc.

En los últimos años, se está notando una mayor preocupación por la privacidad de la información. Noticias como la reciente actualización de WhatsApp para garantizar el cifrado extremo a extremo de las comunicaciones permiten mejorar la concienciación de los usuarios acerca de este problema, y muchas veces ya empiezan a plantearse hasta qué punto es seguro o no un canal de comunicación electrónico, como el correo, los formularios de las páginas web, etc.

Pese a todo, queda mucho por hacer. Gran parte de la sociedad piensa que el uso de técnicas de privacidad implica que tienes algo que ocultar, y que es usado mayoritariamente por los atacantes y delincuentes.  Es necesario concienciar de la importancia de la privacidad y los riesgos que puede tener una monitorización de la información transmitida, o simplemente de los datos asociados a dicha comunicación, aunque no se conozca su contenido (interlocutores, hora, volumen de comunicación, etc. son datos que pueden permitir extraer mucho significado de las comunicaciones).

P.- Recientemente, la ETSI Aeronáuticos y del Espacio ha acogido las II Jornadas Aeroespaciales en las que participó como ponente. En ellas se aseguraba que la tecnología es clave en la lucha antiterrorista en materia aeroespacial. ¿Cuáles son los retos a los que nos enfrentamos en este ámbito?

R.- Los ataques a la ciberseguridad ya no se limitan a los sistemas informáticos. En los entornos actuales cualquier entorno de control de sistemas tiene detrás un ordenador o conjunto de ordenadores. Esto aplica a múltiples sectores: sistemas de control industrial, sistemas de transporte (coches, camiones, barcos), sistemas biomédicos, etc. Y por supuesto también al sector aeroespacial: los sistemas informáticos que controlan el funcionamiento de las aeronaves pueden ser susceptibles de albergar fallos que podrían ser utilizados por atacantes. Se trata de un hecho conocido por los terroristas, quienes han demostrado fatídicamente en estos años que es posible emplear aviones como medio de destrucción.

Es necesario desarrollar una especial protección de las denominadas Infraestructuras críticas, para dotarlas de todos los mecanismos de seguridad necesarios, incluyendo la protección frente a ataques de ciberseguridad. Por ejemplo, en el ámbito aeroespacial, nunca debe ser viable acceder remotamente a los sistemas de control aeronáutico, ni desde fuera ni desde la propia cabina de pasaje, como últimamente se ha podido demostrar en congresos de seguridad informática. Deben implantarse medidas tecnológicas y organizativas que impidan cualquier fallo de seguridad, y las autoridades deben vigilar su cumplimiento. Ya son muchos los estados que tienen un centro especializado para estos ataques, que en España es el denominado CNPIC (Centro Nacional de Protección de Infraestructuras Críticas).

P.- En las mismas jornadas se habló también del papel de la Universidad en el desarrollo de tecnologías para luchar contra el terrorismo. ¿Qué aportación puede hacer una universidad tecnológica como la UPM en este campo?

R.- La universidad tiene un triple papel en esta área: la primera y fundamental es la formación de expertos y generación de talento en el área. El aumento de los ciberataques ha hecho que las empresas tengan una necesidad cada vez mayor de contar con expertos en esta área, dando lugar actualmente a un déficit de especialistas para las necesidades actuales. Una universidad como la UPM debe saber evolucionar para dar respuestas rápidas y flexibles a las necesidades de formación tecnológica de la sociedad. Ejemplos de ello son la inclusión de esta área en los nuevos planes de estudio de los grados del área TIC, aunque debemos continuar con esta evolución con nuevas ofertas especializadas, asociadas a titulaciones de postgrado oficiales y propias que permitan la especialización y generación de talento en el área de ciberseguridad.

En segundo lugar, la universidad debe contribuir a un esfuerzo común por parte de muchas entidades: la concienciación en ciberseguridad. Como expertos en el área, debemos colaborar en la transmisión de la importancia del problema a sectores menos especializados. También debemos explicar las vías más usuales de ataques y la necesidad de una actitud de “cibervigilancia” en el uso habitual de tecnologías TIC. Las Amenazas Humanas, las más habituales, se basan precisamente en el desconocimiento y la poca concienciación de los usuarios en estos entornos.

Y por último, una universidad tecnológica como UPM debe aplicar sus conocimientos en esta área y potenciar el I+D+i fomentando nuevos proyectos de investigación y colaboraciones con empresas y administraciones públicas que permitan mejorar las tecnologías de ciberseguridad.

P.- La seguridad obliga también a buscar nuevos profesionales cada vez más expertos y capacitados. Usted que es docente del Master en Gobierno de la Ciberseguridad de la UPM, ¿cómo animaría a los jóvenes a enfocar en este campo su futuro profesional? ¿Qué podrán encontrar los alumnos en este programa de posgrado?

R.- Se trata de un campo que cumple dos propiedades muy interesantes para los estudiantes: por un lado tiene un componente de innovación continua, de resolución de retos, que les obliga a estar continuamente actualizados para poder afrontar los nuevos retos que surgen cada día: análisis de nuevo malware, nuevas vías de ataques, etc. Esta necesidad de formación continua les supone un grado extra de motivación para abordarlo como futuro profesional.

Además la actual demanda de expertos por parte de la industria excede a la oferta que se está generando en las universidades, por lo que afortunadamente aquellos que cuenten con una buena formación podrán optar a grandes oportunidades laborales. En el ámbito de la UPM, la formación especialista de postgrado en el área se concreta en varios títulos de Máster. En concreto, el Máster en Gobierno de la Ciberseguridad, organizado conjuntamente entre la UPM y la asociación ISMS-Forum de empresas de ciberseguridad, les ofrece una formación dual tecnológica y de gestión: no solo se les ofrece una panorámica global de las tecnologías de la ciberseguridad, sino que adicionalmente se les forma en aspectos de gestión de la ciberseguridad, orientado a la dirección de departamentos de cibserseguridad en las organizaciones (los conocidos como CISO: Chief Information Security Officer). Para ello se cuenta con una combinación de profesorado académico de la UPM y de grandes expertos de empresas nacionales a través de la asociación ISMS-Forum.