David Sancho de Trend Micro: "A Apple le quedan un par de empujones en seguridad"

10/06/2012 por Carlos Burges

Hoy tenemos el placer de conversar con David Sancho, Ingeniero Senior Anti-Malware de Trend Micro. David está especializado en amenazas web y tecnologías emergentes. Entre sus funciones, David Sancho es responsable de las iniciativas de investigación y desarrollo de la compañía sobre malware y tecnologías de virus maliciosos.

Desde 2002, año en que entró a formar parte del equipo de Trend Micro, ha desempeñado cargos de diversa responsabilidad en la compañía relacionados con los aspectos técnicos de la seguridad.

Máxima autoridad en materia de seguridad informática, David Sancho cuenta con más de 12 años de experiencia en este sector, período en el que, además, ha colaborado estrechamente con diversos medios de comunicación para los que ha escrito un importante número de artículos de investigación sobre amenazas, tendencias del malware y las tecnologías que para ello se emplean, así como otros temas relacionados con la seguridad en entornos TI. Igualmente, ejerce como portavoz de la compañía. Asimismo, ha participado de forma activa en numerosas ferias y eventos corporativos en representación de Trend Micro analizando diversos aspectos relacionados con el malware y el contexto de los negocios.

Entre sus intereses se encuentran temas que van más allá de los virus o el malware, siendo algunos de ellos los métodos de infección web, la explotación de vulnerabilidades,  o lo que se conoce como “white-hat hacking, término en el que se engloban todas las prácticas de hackers que no buscan el daño ajeno, también conocido por “ethical hacking”.

Hoy con él hablaremos de seguridad en general, de seguridad en el Mac, de la seguridad en la nube y de Guerra electrónica.

Faq-mac: Es un honor tenerlo hoy aquí en www.faq-mac.com, Sr. Sancho

David Sancho: Muchísimas gracias. El honor el mío. Una invitación que procede de un medio de referencia como es Faq-mac no se puede rechazar. 

FM: Parece que las grandes pandemias de Virus y Malware se están reduciendo  en esta década y cada vez son menos frecuentes las noticias sobre este tipo de situaciones en las que millones de usuarios afrontan el peligro de ver sus ordenadores comprometidos: ¿Es sólo una apreciación o realmente los criminales están migrando sus actividades electrónicas a otro tipo de negocios más lucrativos?

DS: Aunque es cierto que las noticias acerca del malware son menos frecuentes, los ataques han aumentado considerablemente. De hecho, recibimos en nuestros laboratorios miles de muestras de virus desconocidas a diario. Los creadores de virus ya no son meros entusiastas de la programación, sino criminales profesionales que buscan lucrarse con esta práctica. Prueba de ello es que los virus de hoy en día tienden a robar información bancaria o información de otro tipo que se pueda vender: tarjetas de crédito, etc. O eso, o hacer publicidad, fraude de click u otros métodos creativos que sirvan para monetizar el tráfico desde ordenadores infectados.

FM: Desde siempre, los usuarios han desconfiado de las compañías de seguridad, acusándolas incluso de ser las responsables de los virus y malware que ellos mismos "desinfectan" o de no ir un paso más allá en la defensa del usuario tomando activamente acciones legales contra los creadores de este tipo de software. ¿Es un problema dar ese paso adelante y mostrarse como empresas más proactivas tanto en el campo electrónico como en el campo judicial?

DS: En mi opinión, no creo que haya una desconfianza generalizada en los productos y empresas de seguridad, de hecho hoy en día navegar desde un PC sin un antivirus instalado es impensable. Lo que sí es cierto es que el reto del mercado de la seguridad es mantenerse por delante de los atacantes, ya que en muchos casos, estamos intentando protegernos de ataques que todavía no han tenido lugar. En Trend Micro complementamos la detección antivirus de fichero tradicional con la detección de páginas web infecciosas. La mayor parte de los ataques utilizan la web como medio de propagación y tener un método sólido de detección de páginas web malas ayuda muchísimo a la hora de evitar infecciones. Muy a menudo detectamos páginas malas antes incluso de que tengan el contenido malicioso. En cualquier caso, la proactividad es el gran reto de nuestro sector.

FM: Qué es más peligroso: ¿Una buena vulnerabilidad o un usuario desinformado?

DS: Las dos son caras de una misma moneda. Los ataques en el mundo de la seguridad pueden venir por medios técnicos o por medio del usuario, normalmente por desconocimiento o negligencia. Estas dos facetas son igualmente importantes a la hora de securizar las redes informáticas: tanto el tener sistemas técnicos de protección (antivirus, etc.) como el formar a los usuarios para evitar que hagan click en el link equivocado.

FM: En el lado del Mac, no obstante, los usuarios se enfrentan casi por primera vez a este tipo de situaciones y el primer aviso ha sido Flashback. ¿Deberíamos dejar de ser tan confiados como aparentamos? ¿realmente estamos ya en el punto de mira?

DS: Sí. Esta afirmación aplica a las dos questiones. Los usuarios de Mac están en el punto de mira precisamente por la complacencia que siempre ha acompañado a la plataforma en cuanto a la seguridad. No es desdeñable pensar que los usuarios de Mac suelen tener además un poder adquisitivo más alto que la media y que, por tanto, son objetivos más jugosos para los cibercriminales de hoy en día.

FM: Algunas compañías de seguridad han convertido a Flashback en la bandera del alarmismo, apoyándose en las buenas prácticas de seguridad para iniciar una inmensa pelota de FUDS con la intención de vender más. ¿Cómo deben afrontar "la política del miedo irrazonable" los usuarios?

DS: Yo no creo que el tema Flashback haya sido la pelota de FUD a la que haces referencia. Lo que sí ha hecho es abrir los ojos de muchos usuarios de Mac para hacerles ver que el riesgo de ser atacado no es nulo. En cuanto al miedo irrazonable, es preciso calibrar si existe una probabilidad significativa de caer víctima de un ataque informático. Para ello, las fuentes mediáticas y de terceros pueden ayudar a cada usuario a crearse una opinión acerca del peligro que le supone navegar sin protección.

FM: Entre nosotros ¿Flashback está muerto o sigue siendo una amenaza real?

DS: Según nuestra monitorización de los servidores de control, no existe ninguno que todavía se encuentre online. La botnet parece abandonada. Aquí le damos crédito a las actualizaciones de seguridad de Apple.

FM: Apple, por su parte, y en previsión de evitar los problemas que ha tenido Windows a lo largo de estos años, ha ido y está ahora implementando nuevas políticas de seguridad en sus sistemas operativos. El sandboxing, obligatorio ahora para iOS y OS X es una de ellas: ¿Realmente es una buena herramienta preventiva?

DS: Cualquier herramienta de seguridad es mejor que no tener ninguna. El sandboxing es una técnica que permite ejecutar programas en un entorno restringido antes de hacerlo de verdad para evitar posibles amenazas. El problema que suele tener es que ejecutar programas en este entorno es más lento de lo normal, pero no conozco la implementación de Apple. En cualquier caso, el que Apple esté comenzando a añadir medios de seguridad a su sistema operativo es una muy buena noticia para sus usuarios porque hasta hace poco siempre han respondido con que no eran necesarios, en una actitud bastante cerril.

FM: Y en general, ¿Lo está haciendo bien Apple en seguridad o "vamos a remolque" de las amenazas que van aumentando?

DS: Apple lleva mucho tiempo ignorando el tema de la seguridad y dándole una prioridad más bien baja. Es tan sólo últimamente cuando han empezado a hacer cosas a este respecto pero todavía les queda camino por recorrer. Lo que está experimentando Apple en el último año me recuerda a la situación de Microsoft a principios de la pasada década, cuando tenían un departamento de respuesta claramente insuficiente y un creciente número de ataques a su plataforma. Les llevó un par de años organizarse y crear procesos de respuesta a amenazas que fueran  rápidos y fiables. Apple no está ahí todavía, pero le quedan un par de empujones. Lo malo es que los usuarios de la plataforma sufrirán esos empujones también.

FM: ¿Qué herramientas ofrece Trend Micro para los usuarios de Apple?

DS: Por el momento contamos con nuestro producto corporativo de protección de puestos que es multi-plataforma y soporta Mac. También tenemos una herramienta online gratuita de escaneo de virus que soporta igualmente la plataforma de Apple. En cualquier caso, la filosofía es la misma que te describía antes: no solamente detectar los ficheros maliciosos, sino los accesos a web maliciosas y ahí están en igualdad de condiciones tanto la plataforma PC como la Mac.

FM: El pasado jueves 10 de mayo tuvo lugar el evento de Cisco "Rock the Cloud" orientado, como su nombre indica, a "la nube". El evento estaba absolutamente a reventar, indicando la importancia de este nuevo paradigma informático. Al Cloud llegamos por dos problemas, la homogeneización de las plataformas de software en entornos corporativos y a la crónica pérdida de datos casi siempre por problemas de seguridad. Sin embargo ¿No estamos poniendo todos los huevos en el mismo cesto? ¿No será más fácil ahora para los criminales cambiar su punto de mira desde el usuario a "la madre de todos los datos"?

DS: Al fin y al cabo, al ceder nuestros datos a un tercero, nos estamos fiando de sus medios para salvaguardarlos o pensamos que, al menos, serán mejores que los nuestros. Desde el punto de vista del usuario, no es demasiado difícil convencerles para que una gran corporación con medios se encargue de securizar sus datos. Como bien dices, esto convierte a esas grandes compañías en claros objetivos de los criminales, pero lo mismo ocurre con los bancos y a nadie se le ocurre abrir el debate de si debemos o no guardar nuestro dinero debajo del colchón. Si hablamos de grandes empresas, ahí el escenario varía, ya que ellos sí tienen medios de protección de datos que pueden estar a la altura de los de una empresa especializada en la nube.

El verdadero quid de la cuestión a este respecto es el marco legal donde se mueven esos datos. Una empresa española que guarda sus datos en la nube está sometida a la ley de protección de datos española, pero si estos se encuentran en servidores distribuidos en varios países diferentes, ¿cómo solventamos el caso de que haya problemas de seguridad y pérdida/robo de datos? Difícil pregunta.

FM: ¿Está trabajando Trend Micro en el campo de la seguridad en la nube? ¿Comparte al final las mismas premisas que la defensa del usuario de la calle o cambia el paradigma de la seguridad?

DS: Tenemos producto para aquellas empresas que piensen albergar datos en la nube y quieran establecer mecanismos para salvaguardarlos. La seguridad en estos entornos es ligeramente diferente, ya que lo que se intenta no es que los criminales no accedan a los datos, sino que solamente aquellos que deben acceder, accedan.

FM: Recientemente su compañero Rik Ferguson, director de investigación de seguridad y comunicaciones de Trend Micro para EMEA, ha desestimado en un artículo la importancia de Flame, la última amenaza de seguridad de grado militar que ha empezado a distribuirse por internet. Aún así, ¿Estamos empezando a ver el despertar de la auténtica Guerra Electrónica?

DS: El despertar de la ciberguerra fue Stuxnet. Recientemente un periódico estadounidense reveló que este virus fue creado bajo el auspicio de la Casa Blanca y en colaboración con Israel con el objetivo de parar o ralentizar el avance del plan nuclear Iraní. No se desestima que existan otros proyectos militares del mismo calado creados por otros países. ¿Cómo encaja Flame en todo esto? No lo sabemos. Todavía no ha sido probado que Flame proceda de un entorno militar, pero lo que sí sabemos es que existen gran cantidad de virus con el único propósito de robar información confidencial. Nosotros hemos detectado muchos de ellos en instituciones gubernamentales, embajadas y grandes empresas en sectores estratégicos. Los países de procedencia de este tipo de tecnología es desconocida, aunque todo apunta a que existen varias organizaciones (gobiernos o no) que se están dedicando de lleno a este campo. Flame no es ni el primero ni el último y, por lo tanto, su incidencia creemos que es limitada. Así como Stuxnet tenía un estilo marcadamente diferente, mucho más profesional, Flame no se le parece. El impacto de este tipo de actividad maliciosa para los usuarios normales es mínimo ya que estas ciberarmas tienen objetivos muy claros y no permiten que nadie más se infecte.

FM: Tanto Stuxnet como Duqu o Flame parecen estar desarrolladas por personal altamente especializado con intereses específicos fuera del ámbito criminal  para convertirse en auténticas armas digitales para busca, captura de datos o desactivación de dispositivos. ¿Esto va a ir a peor?¿Qué hacer como usuario cuando estás atrapado en el fuego cruzado?

DS: Como decía, desde el punto de vista del usuario, este tipo de malware es puramente anecdótico. La manera de infectar es tan dirigida que la probabilidad de que un usuario corriente se vea afectado es menos que mínima. Como ejemplo te diré que hemos observado ataques contra organizaciones recibiendo correos provenientes del exterior a empleados fingiendo ser su superior desde un correo personal y hablando de temas relacionados con el departamento concreto de la víctima.

FM: ¿No es una presión demasiado grande el tenerse que enfrentar a organizaciones altamente estructuradas y con recursos o gobiernos anónimos cuando la seguridad de los dispositivos depende de empresas de capital privado? ¿cómo se enfrenta una situación así?

DS: Hay que ser realista y admitir que la seguridad al 100% no existe. Lo que conviene es no ser descuidado y saber que con un buen software de protección se puede alcanzar el 80% de la seguridad por un bajo coste. A partir de ahí, cuanta más seguridad quieras obtener, más se disparan los costes. En otras palabras, lo importante no es ser el primero, sino no ser de los últimos. Tienes toda la razón en que un usuario normal nunca va a poder competir con un atacante tan bien preparado como es un gobierno pero raramente vamos a ser objetivos de gobiernos. Normalmente seremos objetivo de criminales y otros malandrines, y contra esos sí podemos luchar y de hecho lo hacemos día a día.

FM: Por cierto, ¿es usted usuario de algún producto de Apple? ¿Qué le parecen?

DS: Tengo iPhone y iPad pero los dos han sido regalos, así que no te puedo decir que sea un gran fan, aunque mi mujer sí lo es ya que trabajó en la empresa durante varios años. Tienen una gran usabilidad y la gran ventaja de que soportan una cantidad de hardware limitada con lo que los problemas que se pueden generar son igualmente reducidos y eso da mucha fiabilidad.

FM: Muchas gracias por sus amables palabras, Sr. Sancho

DS: Gracias a ti por escucharme y un saludo a todos los lectores.

0
Comentarios
  • #1 por digitalmaxima el 10/06/2012
    Qué diferencia hay entre las entrevistas de Faq-mac y las del resto!!. Interesantísima!! Muchas gracias
  • #2 por sault el 10/06/2012
    Genial esta línea de entrevistas. Bravo!