John Shier, Sophos: “Aunque competimos, las empresas compartimos una meta: proteger gente”

Por Hugo Morales, Senior Tech Reporter.

John Shier es el Field CTO de Sophos, y aunque se declara un convencido de la importancia de implementar estrategias Zero Trust en instituciones, asegura que su acercamiento a la seguridad en la vida real es más cercana al de la autenticación.

“El Zero Trust vale la pena en organizaciones, pero en la vida real sería extremadamente agotador estar desconfiando de todo y todos”, comenta.

En su paso por Santiago de Chile, el ejecutivo de la gigante canadiense se tomó un par de horas para conversar en exclusiva con ITSitio sobre desafíos y tendencias en ciberseguridad, pero sin perder de vista la importancia del factor humano en la planificación de estrategias de reacción a amenazas informáticas, ya sea en lo personal y en lo corporativo.

Humanos vs ciberamenazas: la importancia del sentido común

Los desafíos que la pandemia y su acelerada agenda de transformación digital impusieron a las empresas en todo el mundo, crearon una nueva línea de trabajo para cibercriminales, los que vieron en esto una oportunidad de atrapar incautos poco entrenados – y empresas poco preparadas – en las amenazas que se ciernen sobre ellos: Ransomware, phishing, troyanos y muchas otras vieron un surgimiento importante a nivel mundial.

John Shier analiza estas tendencias en Sophos, buscando datos cuantificables en lo que él denomina el “horizonte de las amenazas”, la intersección entre cibercrimen y seguridad, y la tensión que estos datos y hechos reflejan para invitar a personas y organizaciones a tomar medidas de protección contra ellas.

El ejecutivo reconoce el surgimiento de nuevas tendencias, como el uso de Inteligencia Artificial Generativa para desarrollar más rápidamente y con mayor calidad sitios web que enmascaran funciones fraudulentas con el fin de realizar estafas cada vez más sofisticadas y ambiciosas. “Esto no es algo que veamos en 20 años más, sino que está ocurriendo ahora mismo”, apunta.

Consultado sobre si el sentido común sigue siendo un factor a considerar al momento de planificar una estrategia de protección de una red, Shier no tiene dudas al darle un rol principal en esta materia.

“De partida, nunca debes dejar de lado el entrenamiento sobre reglas básicas de uso de internet. La gente no se sienta a pensar en las amenazas como un experto en ciberseguridad, y en las implicancias que tiene el que hagan tal o cual cosa. Simplemente no es su área de expertise”, comenta.

“La mayoría de la gente sólo trata de hacer sus trabajos, y ahí es desde donde muchos de los fraudes bancarios por internet funcionan. Tratan de cumplir con una orden que viene de un superior o de un cliente, y ahí es donde caen en estafas. La gente aún debe ser entrenada para esto, aunque no sea para prepararlos en casos específicos de estafa, sino el tipo de cosas que podrías encontrar en tu trabajo. Se verá más o menos así, tendrá un llamado a la acción… dar un contexto, y el humano se dará cuenta de lo que luce bien o mal”, aseguró el ejecutivo.

Cuando el cazador es cazado

Realmente nadie está libre de ser víctima de una estafa o algún crimen mientras usa la red. Ni siquiera alguien cuya preparación profesional le debería permitir una rápida detección de patrones que hagan cuestionar la veracidad de un link. Alguien como… él.

“¡Yo he caído en esas estafas!”, exclamó avergonzado.

“Hace un año estuve de vacaciones, y al regresar tenía que trabajar en una presentación con alguien del área de marketing de la empresa. Al llegar tenía mi casilla llena de mensajes, y ella me comentó que me iba a mandar un correo con un acceso a algo para que pudiese seguir trabajando en mi presentación”, recordó.

Mientras revisaba su buzón de entrada encontró un correo con un link de OneDrive sin mayor contexto. “Nosotros usamos OneDrive, así que hice clic en él”, comentó Shier. “Al abrir el navegador me pidió iniciar sesión en la plataforma, lo que me pareció raro porque es mi computador de oficina y en él ya estaba con la sesión abierta en este servicio. Puse mi usuario y contraseña, y presioné enviar”.

El ejecutivo reconoce que no estaba poniendo toda la atención que normalmente aplicaría a estos sucesos. “Estaba volviendo de vacaciones, estaba esperando que me enviaran un link… ¡había bajado la guardia!”

Por suerte para él, todo esto era una prueba de phishing interna de la compañía. “En ese momento pasaron dos cosas: la primera, mi corazón rápidamente dijo “oye, ¿me agarraron a mí? ¿Al tipo que le dice a otras personas cómo protegerse de esto mismo?” y lo segundo fue sentir como “ufff, esto pudo ser muchísimo peor””, aseguró.

Y mucho peor. En una red no preparada, esta es una forma en que tanto los datos de la persona como los de la organización podrían estar comprometidos, así como la integridad de la red en general.

“Desde ese momento uso las capturas de pantalla de ese momento en mis presentaciones en todo el mundo como testimonio de que no soy perfecto. Quizás sé mucho más de ciertos temas de ciberseguridad que todos ustedes combinados, pero aún así soy humano y puedo fallar”, se lamentaba entre risas recordando que a su llegada a Chile, por volver a bajar la guardia, un taxista inescrupuloso le hizo un cargo equivalente a USD $1000 en su tarjeta de crédito.

Durante la entrevista, Shier seguía intentando reversar ese cobro.

Passkeys, ¿el fin de la contraseña?

Están en todos lados, y prometen deshacerse de la contraseña como elemento de seguridad para dar paso a una autenticación más potente y única para cada persona. Las Passkeys ya fueron adoptadas e integradas a sus OS móviles tanto por Apple como por Google, y terceros llevan ya un tiempo ofreciendo aplicaciones que permiten sacarle partido.

Se trata de una validación biométrica que desbloquea las credenciales de acceso a un recurso, un servicio o una app sin necesidad de tener que crear una contraseña. Cada llave es única, está encriptada y entrega un nivel de seguridad muy alto sin que el usuario tenga que intervenir en crear una contraseña con ciertas reglas.

El ejecutivo vaticina que la integración a iOS y Android hará que la adopción y el entendimiento de esta tecnología sea muy rápido, y sólo creará un marco ideal para su implementación masiva en el ámbito corporativo.

“Cuando la gente comience a adoptarlo en su uso personal, las empresas tendrán una tarea mucho más sencilla para hacer este cambio, justo al contrario de lo que ocurre normalmente con contraseñas fuertes, llaves físicas y autenticación de dos pasos”, comentó Shier.

«Si le mostramos a la gente lo sencillo que es usar PassKeys, y les damos una forma de usarla sin complicación, cuando llegue tu empleador para exigir que las usemos las personas podrán decir “ah, sí, entiendo esto, hagámoslo”.

Y sobre el fin de la contraseña, Shier asegura que – a pesar de que en 2022 el 50% de los ataques exitosos fue causado por contraseñas comprometidas – no corre peligro como tal, así como ninguna de las otras formas de autenticación.

“Reemplazar las contraseñas todavía tomará un largo tiempo. Es como un efecto a largo plazo, pero estamos viendo pasos importantes en esa dirección. Siempre habrá aplicaciones que todavía requieren soporte en las empresas, y personas que reclamarán para que no les quiten este acceso, y que harán que la contraseña no sea reemplazada”, señaló el Field CTO de Sophos.

“Probablemente las Passkeys te permitan hacer acceder a gran cantidad de cosas en tu equipo, pero si quieres acceder a lo más secreto, importante y fundamental, una llave física seguirá siendo la forma para tener acceso a esta información. Tanto a nivel público como privado veremos la coexistencia de ambos sistemas. Hay espacio para todo, ¿y por qué no tener todo?”, complementó.

Asegurando el trabajo híbrido para humanos y sus equipos

El ejecutivo se declara un partidario del acercamiento Zero Trust en lo que a trabajo remoto se refiere. “La idea detrás de esto es proveer el tipo de acceso que necesitamos hoy – cuando sea, donde sea, casi en cualquier dispositivo – puesto que a medida que vamos haciendo cambios para adaptarnos al modelo híbrido y remoto de trabajo, este será el que sobrevivirá para la mayoría de compañías”, aseguró Shier.

Sin embargo, la avalancha del trabajo híbrido hizo que la tendencia del Bring Your Own Device (BYOD) a la oficina plantee un nuevo desafío: planificar redes que no comprometan su integridad a pesar del potencial acceso de dispositivos débiles o usuarios descuidados.

“El dispositivo más débil es el que no puedes controlar ni ver como administrador”, comenta. “Mientras la compañía tenga algún tipo de control sobre todos los dispositivos en su red, incluso los que los trabajadores traen o usan en su día a día, esos equipos son relativamente seguros en situaciones adversas; pero si no los ves, esos equipos son una debilidad que no puede ser revocada en caso de que algo salga mal”, sentenció.

“Y si una persona hace click igualmente en algo peligroso, debes tener 10 capas de seguridad preparadas para detener cualquier tipo de amenaza. En un grupo de 100 personas, quizás 80 de ellas harán las cosas bien, y toca asumir que las otras 20 harán todo mal”, complementó el ejecutivo.

Mi empresa fue atacada: ¿ahora qué?

Entonces, el peor de los casos se ha presentado en tu empresa. Tu red fue atacada, tus equipos están comprometidos y tus datos podrían estar en riesgo. Shier asegura que saber actuar ante estos casos implica que te preparaste con anticipación, y por eso debes tener un plan para cada tipo de contingencia.

“El punto cero es saber cómo harás las cosas si te encuentras bajo ataque, y la forma en que lo haces es planear, ensayar y cambiar el plan en caso de requerirse. Debes considerar cada tipo de amenaza para tu plan: si encuentras un minero de cripto en tu red tienes un plan para sacarlo, pero si encuentras ransomware debes tener un plan distinto”, explica el canadiense.

“Lo primero que debes hacer es neutralizar la amenaza. Quien sea que esté en tu red debe ser erradicado y su acceso posterior ha de ser prohibido, porque con eso ganas tiempo. Si tratas de pelear con el hacker mientras está en tu red, el equipo de seguridad estará haciendo cambios en un lado y el hacker estará en otro lado haciendo cambios”, comenta Shier.

El paso siguiente, según el ejecutivo, es recurrir a personas que tengan el conocimiento y la técnica para ayudar a tu empresa a recuperarse. “Llama a la gente que sabe para que pueda ayudarte, saca de línea los sistemas comprometidos que puedas sin tener que cerrar tu negocio, aísla las máquinas necesarias para que tu negocio siga funcionando».

Si todo eso llegase a fallar, y no tienes la experiencia o tus procesos tardan mucho, Shier es tajante: “Pide ayuda”.

“Nuestros momentos más ocupados casi siempre son los jueves, viernes y sábados, y el motivo es que la mayoría de los ataques pareciera ocurrir cerca de los fines de semana, pero esto es porque los ataques son los lunes o martes, luego el equipo interno trata de arreglar el daño por su cuenta, se dan cuenta que no pueden hacerlo, y antes del fin de semana nos llaman”, señaló.

“Segundos, minutos, horas en tu reacción ante un ataque pueden marcar la diferencia entre una operación comprometida por poco tiempo o por meses”.

“Las empresas, aunque competimos comercialmente por los clientes, compartimos una meta común que es proteger gente e instituciones. Tenemos una gran comunidad de expertos de ciberseguridad. El crimen ha estado organizado durante muchos años. Organicémonos nosotros también y derrotémoslos en su propio juego”, concluyó.