Entrevista exclusiva per a la Festibity
Tomàs Roy és l'actual director de l’Agència de Ciberseguretat de Catalunya. Enginyer Superior en Telecomunicacions a la UPC, Enginyer Superior en Electrònica al Politècnic de Torí, llicenciat en Ciències de l’Educació a la UNED, màster en Administracions Públiques per ESADE, Analistes d’Intel·ligència per la UAB i en Innovació pel MIT dels EUA.
L’Agència de Ciberseguretat és l’organisme públic encarregat de la protecció, prevenció i governança en matèria de ciberseguretat dels drets de la ciutadania i el creixement econòmic a Catalunya.
---
Una internet més segura
En la teva opinió, com ha de ser una Catalunya més segura? Com valores el panorama actual de la ciberseguretat a les organitzacions a Catalunya?
La ciberseguretat ha de garantir el benestar digital. Una Catalunya més segura és un ecosistema digital on tothom, especialment els proveïdors, es compromet a construir, configurar i mantenir els sistemes, xarxes i aplicacions segons les bones pràctiques. Molts atacs que pateixen les organitzacions a Catalunya no són realment problemes de ciberseguretat, són de mala gestió. Els accessos remots sigui a les xarxes (VPN) que als dispositius (escriptori remot) no estan correctament configurats, actualitzats i monitorats. Els sistemes estan obsolets, mal configurats, amb serveis actius innecessaris i, per tant, vulnerables. I les aplicacions presenten llibreries que ningú manté i tenen vulnerabilitats. Tots aquests problemes estan previstos en els contractes, però poques vegades aquestes tasques es porten a terme. Els únics entorns on es té cura sistemàtica de la provisió amb qualitat d'aquests serveis és en el núvol dissenyat amb seguretat. Fins que les organitzacions pugen al núvol sistemes i aplicacions vulnerables, obsoletes, mal configurades...
La ciberseguretat no pot ni ha de substituir les responsabilitats de qualitat dels serveis IT o OT. La ciberseguretat ha de protegir, detectar i respondre a atacs anomenats "zeroday", desconeguts, que no es poden gestionar, gràcies a l'estudi dels adversaris i a la intel·ligència operativa.
"La ciberseguretat ha de protegir, detectar i respondre a atacs anomenats zeroday, gràcies a l'estudi dels adversaris i a la intel·ligència operativa."
Com has utilitzat els teus coneixements com a enginyer de Telecomunicacions al llarg de la teva trajectòria laboral? I actualment a l’Àgència de Ciberseguretat?
A la UPC vaig fer el meu projecte de final de carrera sobre IPv6, amb especial atenció a les funcionalitats de ciberseguretat o qualitat del servei. Allò em va permetre endinsar-me amb tot detall en els protocols de les 7 capes de l'ISO-OSI. Després a Itàlia, quan vaig fer electrònica, vaig especialitzar-me, per tant, tot i no tenir present la ciberseguretat, em va permetre entendre i aprofundir en els protocols, el seu funcionament i sobretot en la seva enorme orientació a prestar servei, més que a prestar ciberseguretat. I... D'aquelles noces, aquests confits. La majoria d'atacs encara avui exploten la manca d'autenticació i seguretat de protocols com el NTP, DNS, BGP, UDP, SYN, ICMP, GET/POST, IP, SYN-ACK, SSDP, TCP SYN... Molta gent que es dedica a la ciberseguretat, en els seus orígens era programador. Jo era "protocolista".
Actualment, crec que l'enorme capacitat de concebre conceptes abstractes complexos, així com el plaer per l'estudi i conèixer gent diferent i brillant que vaig tenir l'oportunitat de trobar a la carrera, continuen sent quelcom que aprecio molt. El talent. Soc una persona que admiro les capacitats dels altres i penso de forma sistèmica, cercant equips i connexions entre gent diferent. Els hackers (ètics, sobretot!) són la versió brillant i talentosa dels freakies. A Telecos vaig conèixer molts hackers. A l'Agència també. M'hi sento molt còmode entre ells.
L'Agència és el lloc de referència per conèixer les tendències actuals, de fet, cada any feu un informe anual, què ens podries avançar d’aquest any 2023?
Correcte. Des de l'Agència comptem amb una unitat específica que se n'ocupa d'analitzar i generar informes de tendències, indicadors i ciència analítica que ens ofereix un servei de gran valor, ja que ens indica a quins reptes ens enfrontem, quina situació ens envolta i com estem respecte al nostre entorn.
Una de les tendències d'enguany, i que estan essent públiques i notòries, són els atacs de ransomware. Durant la primera meitat de 2023 hi ha hagut els mesos amb més incidents de ransomware de la història.
Tot i que cada vegada menys víctimes de ransomware paguen el rescat, els guanys obtinguts pels criminals cibernètcs dedicats a aquesta activitat durant la primera meitat del 2023 han arribat al mateix nivell que en tot el 2022.
Les amenaces cibernètiques canvien a partir del que canvien els entorns organitzatius, entorns de treball, l'aparició de noves tecnologies i l'esclat de conflictes geopolítics que traslladen la seva activitat a la xarxa. I per exemple, l'any passat vam veure com les campanyes de ciberespionatge es veu incrementat donat el conflicte entre Ucraïna i Rússia (un 3% més d'incidents durant el 1r trimestre de 2023 que en tot el 2022), i amb els nous conflictes com el d'Israel i Palestina això pot continuar creixent exponencialment.
Cal destacar també l'impacte de les tecnologies emergents pel que fa a tendències en amenaces cibernètiques on podem trobar la revolució de la IA que s'utilitza per protegir-se però també per a realitzar ciberatacs. Entre les xifres que hi veiem, tenim que el 46% s'ha vist afectat per frau d'identitat sintètica (identitat fraudulenta que barreja informació falsa i real), el 37% ha experimentat un frau de deepfake per veu i el 29% ha experimentat un frau de vídeo per deepfake.
"Les amenaces cibernètiques canvien a partir del que canvien els entorns organitzatius, entorns de treball, aparició de noves tecnologies i l'esclat de conflictes geopolítics."
La ciberseguretat és un sector en creixement, quins objectius i reptes teniu des de l'Agència?
El nostre model de Ciberseguretat es basa en els pilars de la prevenció, la protecció, la formació i la resposta. En aquest sentit, parlant d'amenaces cibernètiques, el nostre sistema de prevenció i protecció es basa en un model "threatcentric" és a dir que gestionem la Ciberseguretat tenint a l'amenaça en el centre. D'aquesta manera podem anar iterant els nivells de prevenció en la línia de l'evolució de l'amenaça i d'aquesta manera no quedem desfasats, i ens enfoquem a aquelles amenaces que representen el top pel que fa a potencialitat afectació.
Precisament aquest mes hem publicat les dades indicadores de l'activitat de l'Agència de l'any anterior i confirmen la tendència global de creixement de les amenaces i els atacs. Concretament, vam gestionar, l'any 2021, més de 4.424 milions de ciberatacs i d'aquests, 2175 van esdevenir en un incident efectiu de seguretat gestionat per l'Agència de Ciberseguretat.
Si bé és cert que, respecte del 2021, la xifra de ciberatacs del 2021 ha suposat un increment de 20 vegades, però la xifra d'incidents del 2022 s'ha reduït un 22% respecte del 2021.
Això denota que l'Agència, malgrat haver incrementat el nombre d'atacs rebuts, ha gestionat menys incidents pel que reafirma la importància i la gran utilitat i efectivitat dels sistemes de prevenció els quals permeten que els ciberatacs no provoquin un incident de Ciberseguretat.
"El nostre model es basa en els pilars de la prevenció, la protecció, la formació i la resposta. (...) La xifra d'incidents del 2022 s'ha reduït un 22% respecte del 2021."
Quins són els ciberatacs més comuns als que feu front i cap a on van dirigits?
Les que hi trobem de manera assídua són els atacs de denegació de servei, els de ransomware, els atacs de phishing/smishing i els atacs de BEC.
Pel que fa al BEC, pel que fa a tendències internacionals, podem trobar que nombroses bases de dades plenes de credencials corporatives disponibles al mercat negre amb preus francament assequibles, al voltant dels 100 €. Això provoca que els criminals cibernètics les adquireixen i les utilitzen per accedir i usurpar alguna bústia de correu electrònic corporatiu i perpetrar l'estafa. Concretament, aquestes campanyes, durant el 2022, van créixer un 400% a Espanya respecte del 2021.
I com a fet rellevant també s'identifica l'increment exponencial de la quantitat de correus maliciosos rebuts a nivell Generalitat, una tònica que internacionalment també es dona.Concretament, l'Agència va gestionar 400.000 correus maliciosos el 2021 i el 2022 en va gestionar 594,5 milions.
De vegades, la transformació digital de les empreses deixa en segon pla la seguretat en línia. Ciberseguretat i digitalització haurien d’anar de la mà?
Les tècniques que utilitzen els criminals cibernètics són cada cop més sofisticades i personalitzades. Amb l'ús d'enginyeria social i eines específiques són capaços de generar continguts versemblants per a les persones i les empreses i acabar sent víctimes.
Els criminals cibernètics saben dels nostres hàbits i dels nostres comportaments com a individus i com a empreses i, per tant, l'impacte del criminal cibernètic cada cop serà més local i individualitzat. Aniran desenvolupant la capacitat de personalitzar el missatge i l'aparença de la realitat.
Per això potenciem i apostem per la formació i conscienciació a la baula més feble de la cadena de la Ciberseguretat: els usuaris, siguin professionals o ciutadans. Aquí és on hem de posar esforç i atenció.
Així mateix, i específicament per a empreses, també generem continguts i formació al voltant de plans de resiliència i de bones pràctiques per reduir l'exposició al risc i als efectes d'un ciberatac.
D'aquesta manera, comptar amb polítiques de còpies fora de línia, segmentació de xarxes, filtrats de navegació, tecnologies de detecció ràpida d'amenaces cibernètiques com EDRs, o aquelles que protegeixen la integritat dels accessos il·legítims usant credencials robades, com ara el desplegament de l'autenticació multifactor (MFA), tenen un gran impacte de prevenció i protecció dels sistemes digitals de les empreses i institucions.
Però sí, com bé deies, hem d'aspirar a tenir una política de ciberseguretat per defecte. La ciberseguretat no pot ser quelcom addicional o que es pugui escollir; la Ciberseguretat ha de ser intrínseca a la digitalització.
"L'impacte del criminal cibernètic cada cop serà més local i individualitzat."
Durant tot el mes d'octubre s'està celebrant el mes de la ciberseguretat a Europa, on participeu.
#BeSmarterThanAHacker és la missió d'aquest any, quins objectius té?
Efectivament, a escala europea celebrem el mes de la Ciberseguretat durant el mes d'octubre i des de l'Agència de Ciberseguretat de Catalunya celebrem aquesta efemèride amb continguts diaris a les nostres xarxes socials i les d'Internet Segura.
Cada dia, es publiquen continguts relacionats amb quatre temes clau que són fonamentals per a la protecció en línia: l'actualització de navegadors, el phishing, el ransomware i el robatori de dades.
Actualització de Navegadors. És fonamental mantenir els nostres navegadors actualitzats per garantir la seguretat dels nostres dispositius i evitar possibles vulnerabilitats. T'explicarem com fer-ho pas a pas!
Ransomware. Aquests tipus d'atacs digitals han sacsejat empreses i institucions arreu del món, sobretot en l'àmbit de la salut. Per això donarem tips bàsics per protegir-se i actuar contra ells.
Phishing. Els casos de phishing han proliferat en els darrers temps, i les administracions locals, especialment les més petites, sovint són víctimes per manca de conscienciació i d'estructures de control. Proporcionarem consells per identificar i evitar correus electrònics i missatges de text fraudulents.
Robatori de dades. Les fuites de dades s'han convertit en un malson per a empreses privades i institucions públiques. Us explicarem com protegir-vos per tenir les dades digitals segures.
Us animo a descobrir-les per vosaltres mateixos a les nostres xarxes de l'Agència i del programa Internet Segura!
Entrevista exclusiva para la Festibity
Tomàs Roy es el actual director de la Agencia de Ciberseguridad de Cataluña. Ingeniero Superior en Telecomunicaciones de la UPC, Ingeniero Superior en Electrónica al Politécnico de Turín, licenciado en Ciencias de la Educación en la UNED, máster en Administraciones Públicas por ESADE, Analistas de Inteligencia por la UAB y en Innovación por el MIT de los EE. UU.
La Agencia de Ciberseguridad es el organismo público encargado de la protección, prevención y gobernanza en materia de ciberseguridad de los derechos de la ciudadanía y el crecimiento económico en Cataluña.
---
Una internet segura
En tu opinión, ¿cómo tiene que ser una Cataluña más segura? ¿Cómo valoras el panorama actual de la ciberseguridad a las organizaciones en Cataluña?
La ciberseguridad tiene que garantizar el bienestar digital. Una Cataluña más segura es un ecosistema digital donde todo el mundo, especialmente los proveedores, se compromete a construir, configurar y mantener los sistemas, redes y aplicaciones según las buenas prácticas. Muchos ataques que sufren las organizaciones en Cataluña no son realmente problemas de ciberseguridad, son de mala gestión. Los accesos remotos esté en las redes (VPN) que a los dispositivos (escritorio remoto) no están correctamente configurados, actualizados y monitorizados. Los sistemas están obsoletos, mal configurados, con servicios activos innecesarios y, por lo tanto, vulnerables. Y las aplicaciones presentan librerías que nadie mantiene y tienen vulnerabilidades. Todos estos problemas están previstos en los contratos, pero pocas veces estas tareas se llevan a cabo. Los únicos entornos donde se tiene cura sistemática de la provisión con calidad de estos servicios es en la nube diseñada con seguridad. Hasta que las organizaciones suben a la nube sistemas y aplicaciones vulnerables, obsoletas, mal configuradas...
La ciberseguridad no puede ni tiene que sustituir las responsabilidades de calidad de los servicios IT o OT. La ciberseguridad tiene que proteger, detectar y responder a ataques llamados "zeroday", desconocidos, que no se pueden gestionar, gracias al estudio de los adversarios y a la inteligencia operativa.
"La ciberseguridad ha de proteger, detectar y responder a ataques llamados zeroday, gracias al estudio de los adversarios y de la inteligencia operativa."
¿Cómo has utilizado tus conocimientos como ingeniero de Telecomunicaciones a lo largo de tu trayectoria laboral? ¿Y actualmente en la Agencia de Ciberseguridad?
En la UPC hice mi proyecto de final de carrera sobre IPv6, con especial atención a las funcionalidades de ciberseguridad o calidad del servicio. Aquello me permitió adentrarme en todo detalle en los protocolos de las 7 capas de la ISO-OSI. Más tarde en Italia, cuando hice electrónica, me especialicé, por lo tanto, a pesar de no tener presente la ciberseguridad, me permitió entender y profundizar en los protocolos, su funcionamiento y sobre todo en su enorme orientación a prestar servicio, más que a prestar ciberseguridad. La mayoría de ataques todavía hoy explotan la carencia de autenticación y seguridad de protocolos como el NTP, DNS, BGP, UDP, SYN, ICMP, GET/TABLA, IP, SYN-ACK, SSDP, TCP SYN... Mucha gente que se dedica a la ciberseguridad, en sus orígenes era programador. Yo era "protocolista".
Actualmente, creo que la enorme capacidad de concebir conceptos abstractos complejos, así como el placer por el estudio y conocer gente diferente y brillando que tuve la oportunidad de encontrar a la carrera, continúan siendo algo que aprecio mucho. El talento. Soy una persona que admira las capacidades de los otros y piensa de forma sistémica, buscando equipos y conexiones entre gente diferente. Los hackers (¡éticos, sobre todo!) son la versión brillante y talentosa de los frikis. En Telecos conocí muchos hackers. En la Agencia también. Me siento muy cómodo entre ellos.
La Agencia es el lugar de referencia para conocer las tendencias actuales, de hecho, cada año hagáis un informe anual, ¿qué nos podrías avanzar de este año 2023?
Correcto. Desde la Agencia contamos con una unidad específica que se ocupa de analizar y generar informes de tendencias, indicadores y ciencia analítica que nos ofrece un servicio de gran valor, puesto que nos indica a qué retos nos enfrentamos, qué situación nos rodea y como estamos respecto a nuestro entorno.
Una de las tendencias de este año, y que están siendo públicas y notorias, son los ataques de ransomware. Durante la primera mitad de 2023 ha habido los meses con más incidentes de ransomware de la historia.
A pesar de que cada vez menos víctimas de ransomware pagan el rescate, las ganancias obtenidas por los criminales cibernéticos dedicados a esta actividad durante la primera mitad del 2023 han llegado al mismo nivel que en todo el 2022.
Las amenazas cibernéticas cambian a partir del que cambian los entornos organizativos, entornos de trabajo, la aparición de nuevas tecnologías y el estallido de conflictos geopolíticos que trasladan su actividad en la red. Y por ejemplo, el año pasado vimos como las campañas de ciberespionaje se ve incrementado dado el conflicto entre Ucrania y Rusia (un 3% más de incidentes durante el 1.º trimestre de 2023 que en todo el 2022), y con los nuevos conflictos como el de Israel y Palestina esto puede continuar creciendo exponencialmente.
Hay que destacar también el impacto de las tecnologías emergentes en cuanto a tendencias en amenazas cibernéticas donde podemos encontrar la revolución de la IA que se utiliza para protegerse pero también para realizar ciberataques. Entre las cifras que vemos, tenemos que el 46% se ha visto afectado por fraude de identidad sintética (identidad fraudulenta que mezcla información falsa y real), el 37% ha experimentado un fraude de deepfake por voz y el 29% ha experimentado un fraude de video por deepfake.
"Las amenazas cibernéticas cambian en medida de lo que cambian los entornos organitzativos, entornos de trabajo, aparición de nuevas tecnologías y el estallido de conflictos geopolíticos."
La ciberseguridad es un sector en crecimiento, ¿qué objetivos y retos tenéis desde la Agencia?
Nuestro modelo de Ciberseguridad se basa en los pilares de la prevención, la protección, la formación y la respuesta. En este sentido, hablando de amenazas cibernéticas, nuestro sistema de prevención y protección se basa en un modelo "threatcentric", es decir, que gestionamos la Ciberseguridad teniendo a la amenaza en el centro. De este modo podemos ir iterando los niveles de prevención en la línea de la evolución de la amenaza y de este modo no quedamos desfasados, y nos enfocamos a aquellas amenazas que representan el top en cuanto a potencialidad de afectación.
Precisamente este mes hemos publicado los datos indicadores de la actividad de la Agencia del año anterior y confirman la tendencia global de crecimiento de las amenazas y los ataques. Concretamente, gestionamos, en 2021, más de 4.424 millones de ciberataques y de estos, 2175 acontecieron en un incidente efectivo de seguridad gestionado por la Agencia de Ciberseguridad.
Si bien es cierto que, respecto del 2021, la cifra de ciberataques del 2021 ha supuesto un incremento de 20 veces, pero la cifra de incidentes del 2022 se ha reducido un 22% respecto del 2021.
Esto denota que la Agencia, a pesar de haber incrementado el número de ataques recibidos, ha gestionado menos incidentes por el que reafirma la importancia y la gran utilidad y efectividad de los sistemas de prevención los cuales permiten que los ciberataques no provoquen un incidente de Ciberseguridad.
"Nuestro modelo se basa en los pilares de prevención, la protección, la formación y la respuesta. (...) La cifra de incidentes de 2022 se ha reducido un 22% respecto el 2021."
¿Cuáles son los ciberataques más comunes a los que hacéis frente y hacia donde van dirigidos?
Las que encontramos de manera asidua son los ataques de denegación de servicio, los de ransomware, los ataques de phishing/smishing y los ataques de BEC.
En cuanto al BEC, y las tendencias internacionales, podemos encontrar que numerosas bases de datos llenas de credenciales corporativas disponibles al mercado negro con precios francamente asequibles, alrededor de los 100 €. Esto provoca que los criminales cibernéticos las adquieren y las utilizan para acceder y usurpar algún buzón de correo electrónico corporativo y perpetrar la estafa. Concretamente, estas campañas, durante el 2022, crecieron un 400% en España respecto del 2021.
Y como hecho relevante también se identifica el incremento exponencial de la cantidad de correos maliciosos recibidos a nivel Generalitat, una tónica que internacionalmente también se da. Concretamente, la Agencia gestionó 400.000 correos maliciosos el 2021 y el 2022 gestionó 594,5 millones.
A veces, la transformación digital de las empresas deja en segundo plan la seguridad en línea. ¿Ciberseguridad y digitalización tendrían que ir de la mano?
Las técnicas que utilizan los criminales cibernéticos son cada vez más sofisticadas y personalizadas. Con el uso de ingeniería social y herramientas específicas son capaces de generar contenidos verosímiles para las personas y las empresas y acabar siendo víctimas.
Los criminales cibernéticos saben de nuestros hábitos y de nuestros comportamientos como individuos y como empresas y, por lo tanto, el impacto del criminal cibernético cada vez será más local e individualizado. Irán desarrollando la capacidad de personalizar el mensaje y la apariencia de la realidad.
Por eso potenciamos y apostamos por la formación y concienciación al eslabón más débil de la cadena de la Ciberseguridad: los usuarios, sean profesionales o ciudadanos. Aquí es donde tenemos que poner esfuerzo y atención.
Así mismo, y específicamente para empresas, también generamos contenidos y formación alrededor de planes de resiliencia y de buenas prácticas para reducir la exposición al riesgo y a los efectos de un ciberataque.
De este modo, contar con políticas de copias fuera de línea, segmentación de redes, filtrados de navegación, tecnologías de detección rápida de amenazas cibernéticas como EDRs, o aquellas que protegen la integridad de los accesos ilegítimos usando credenciales robadas, como por ejemplo el despliegue de la autenticación multifactor (MFA), tienen un gran impacto de prevención y protección de los sistemas digitales de las empresas e instituciones.
Pero sí, como bien decías, tenemos que aspirar a tener una política de ciberseguridad por defecto. La ciberseguridad no puede ser algo adicional o que se pueda escoger; la Ciberseguridad tiene que ser intrínseca a la digitalización.
"El impacto del criminal cibernético cada vez será más local e individualizado."
Durante todo el mes de octubre se está celebrando el mes de la ciberseguridad a Europa, donde participáis.
#BeSmarterThanAHacker es la misión de este año, ¿qué objetivos tiene?
Efectivamente, a escala europea celebramos el mes de la Ciberseguridad durante el mes de octubre y desde la Agencia de Ciberseguridad de Cataluña celebramos esta efeméride con contenidos diarios en nuestras redes sociales y las de Internet Segura.
Cada día, se publican contenidos relacionados con cuatro temas clave que son fundamentales para la protección en línea: la actualización de navegadores, el phishing, el ransomware y el robo de datos.
Actualización de Navegadores. Es fundamental mantener nuestros navegadores actualizados para garantizar la seguridad de nuestros dispositivos y evitar posibles vulnerabilidades. Te explicaremos cómo hacerlo paso a paso!
Ransomware. Estos tipos de ataques digitales han sacudido empresas e instituciones en todo el mundo, sobre todo en el ámbito de la salud. Por eso daremos tips básicos para protegerse y actuar contra ellos.
Phishing. Los casos de phishing han proliferado en los últimos tiempos, y las administraciones locales, especialmente las más pequeñas, a menudo son víctimas por carencia de concienciación y de estructuras de control. Proporcionaremos consejos para identificar y evitar correos electrónicos y mensajes de texto fraudulentos.
Robo de datos. Los escapes de datos se han convertido en una pesadilla para empresas privadas e instituciones públicas. Os explicaremos cómo protegeros para tener los datos digitales seguros.
¡Os animo a descubrirlas por vosotros mismos en nuestras redes de la Agencia y del programa Internet Segura!
Esdeveniment
12 de juny de 2024
21a Festibity
12 de juny de 2024
#ITalent