Entrevista | Juan Alejandro Aguirre de Sophos: «el consejo actual es no compartas tu información»

El pasado 8 de noviembre se llevó a cabo la Sophos Roadshow Santiago 2023, evento de ciberseguridad enfocado en las nuevas tendencias emergentes del área. La instancia reunió diferentes profesionales de Latinoamérica, quienes bajo charlas personalizadas, expusieron su visión a diferentes temas.

Uno de sus exponentes fue Juan Alejandro Aguirre, Senior Manager de Ingeniería en Sophos Latinoamérica. Su charla se dedicó en los desafíos actuales de la ciberseguridad, haciendo enfasís en como esta área debe ser considerado como un gasto estratégico esencial para las empresas, en vez de ser un mero costo operacional.

Durante el evento, Alerta Geek tuvo la oportunidad exclusiva de entrevistar al Senior Manager de Sophos Latinoamérica, quien nos habló sobre temas específicos e importantes. En la conversación, pudimos conocer más respecto a la falta de profesionales en el área, los servicios de Sophos, el uso de la Inteligencia Artificial por parte de los Ciberdelincuentes y el peligro que representan las redes sociales actualmente.

La baja cantidad de ciber profesionales en el área

• Alerta Geek: Durante tu presentación indicaste que había muy pocos profesionales (de ciberseguridad) locales. Sin embargo, para varios colegas, piensan que es difícil entrar al área de ciberseguridad, esto porque se necesita poseer una gran variedad de diplomados, certificaciones y experiencia. Además de ser costosas, está la solicitud del puesto, donde las empresas hacen un seguimiento especial para recién confiar algún nivel de cargo. ¿Cómo ves esa realidad acá en Latinoamérica?

Juan Alejandro Aguirre: Es realmente un desafío, como siempre lo decimos, es el «¿qué fue primero, el huevo o la gallina?» Tenemos un déficit de profesionales, ¿cierto? Un profesional en ciberseguridad necesita un conocimiento en ciberseguridad, y hay diferentes campos en ciberseguridad.

Tenemos el área de consultoría, que es unos perfiles específicos que tal vez no son tan técnicos, pero sí más estratégicos. Tenemos el área de administración, que es donde tenemos tal vez una, sin decir que tenemos abundancia, tal vez tenemos más profesionales, y tenemos ya la parte de ciberseguridad dura, que son las operaciones de ciberseguridad. Para cualquiera de esos roles, tú necesitas un tipo de conocimiento especial. Ese conocimiento especial, hay varias formas de lograrlo.

Tú pagas y te autoinstruyes. Por ejemplo, con institutos como (ISC)², también está el CEH para ser ethical hacker, y así tú puedes empezar a tener esa capacitación. U otro camino es que tú logres entrar en una empresa, en un proveedor de ciberseguridad, tal vez como un analista junior, y que ellos te vayan, de alguna forma, educando, apoyándote, digamos, en esas certificaciones, metiéndote a cursos, pero esto toma un tiempo de madurez también complejo.

Por eso, no es tan sencillo decir, vamos a capacitar miles de personas, porque hay muchos factores asociados allí, y hay diferentes tipos de profesionales en ciberseguridad. Entonces, realmente es un desafío complejo, y depende también mucho de, cuando tú entras a esta industria, muchas veces entras sin saber hacia qué lado quieres ir. Si quieres ir, por ejemplo, hacia el lado de la consultoría, si quieres ser un CISO, si quieres ser un ethical hacker, entonces es complejo y muchas veces como que la propia industria te va llevando sin que tú lo decidas muy puntualmente.

Ahora, hay otro tipo de profesionales, que esto es algo que también se está debatiendo, es si necesitas tener, por ejemplo, un pregrado en ingeniería para ser un profesional de ciberseguridad. Mucha gente no lo es. Nosotros, en nuestro equipo de detección de amenazas, tenemos contadores, por ejemplo, porque ellos vienen del mundo antifraude. Entonces, ellos, al ser contadores, a trabajar en firmas de contaduría, empezaron a conocer cómo se puede hacer fraude contable utilizando herramientas digitales. Y se especializan por ese lado, sin ser un ingeniero electrónico, sin ser un ingeniero de software, y tienen muy claro ese pensamiento antifraude desde el lado contable, desde el lado empresarial, digital, y también ellos pueden detectar amenazas y pueden detectar ataques muy rápidamente.

Entonces, esto es muy depende de la persona y cuál es su rol. Entonces, definitivamente, no es algo sencillo y es algo en que los entes de educación tienen que tal vez darse un repensamiento. Por ejemplo, estaría bien un pregrado en ciberseguridad que no sea una especialización. Por ejemplo, en mi caso, que soy ingeniero electrónico, tener que hacer un máster en ciberseguridad, ya estamos hablando de una carrera de ocho años.

Podrían entrar nuevas carreras técnicas o profesionales donde gente que tenga gusto por el hacking desde el colegio, que desarrolle código, que sepa de Python, se vaya por ese lado más duro y no tenga que profundizar tanto en temas como telecomunicaciones, pero que deje tal vez al lado muchas cosas que no va a utilizar al final y que se especialice en ciberseguridad dura. Eso podría ser una solución y cómo pueden empezar a ver más ofertas con buena reputación de este tipo de profesionales.

Sophos y sus servicios

• Alerta Geek: Sophos entra como más que una herramienta, siendo un servicio ya para varias empresas grandes. Pero en Chile y en varias partes de Latinoamérica, hay muchas pymes que no saben, que ven el tema de la ciberseguridad muy lejano hasta que lo atacan. ¿Cómo ustedes lo ven desde la parte alta y la integran? ¿Cómo es su estrategia para que las personas se preparen desde una pyme y que puedan llegar a tener un servicio con ustedes?

Juan Alejandro Aguirre: Bueno, nosotros no solo somos servicio, digamos que el servicio es el pináculo de todo nuestro portafolio de productos y servicios. Tenemos tecnologías también que se integran con nuestros servicios, nuestros propios productos de endpoint, de firewall, de EDR, NDR. Pero nosotros tenemos un enfoque muy de democratizar la ciberseguridad.

Digamos, una de las ventajas de un servicio de MDR es que una pyme podría tener el mismo equipo de detección y respuesta que puede tener una gran petrolera o un banco por un costo bastante accesible. Porque, ¿qué es lo que ocurre? Muchas pymes también, como tú lo dices, ven lejano a la ciberseguridad y también ven lejano a los ciberdelincuentes. Ellos dicen, yo no voy a ser atacado, yo no soy interesante, mi empresa es muy pequeña.

Y realmente lo que ocurre es que estas empresas ser atacadas y no ser, mediáticas, no mucha gente conoce que se están atacando día a día pymes. Realmente un banco no te va a pagar un rescate de ransomware. Seguramente no, va a salir en noticias y va a hacer mucho ruido, pues seguramente ellos no paguen un rescate. Una pyme, seguramente sin backups, va a pagarte el rescate.

Si bien, nuestro servicio es un servicio de grado enterprise que puede proteger empresas de 10 mil usuarios, 20 mil usuarios, también es una opción muy costo efectiva para una pyme de 20 personas, de 30 personas, que quiera tener y que sepa que necesita capacidades de detección y respuesta. Claro, lo primero es educación. Decirles, ok, tú, este no es tu core de negocio, ciberseguridad no es tu core de negocio, no necesitas montar un SOC que va a ser muy costoso, no vas a poder pagarlo, pero sí necesitas tener estas capacidades para enfrentarte al cibercrimen actual.

Nosotros podemos transferirte esas capacidades por una fracción de lo que te costaría contratar un personal, una persona con estos skills que son muy demandados en el mercado y hay poca oferta, por lo cual es muy costoso. Podemos transferírtelo de una forma bastante económica para que puedas estar mejor protegido sin tener una curva de madurez de años en ciberseguridad.

Ciberseguridad, tendencias e Inteligencia Artificial desde Sophos

• Alerta Geek: Hay un tema que se ha hablado muy por debajo. Con la explosión de ChatGPT también aumentaron una gran cantidad de ciberataques, la cual bajo vulnerabilidades entregó conocimiento y acceso a la automatización. ¿Cómo desde Sophos vieron este incremento de ataques?

Juan Alejandro Aguirre: Hay un punto, o hay un eslabón donde se utilizan muchas de estas inteligencias artificiales generativas, en los cuales, antes los atacantes eran bastante deficientes, que es en el phishing. El phishing, por lo general, de nuevo, los grupos ciberdelincuentes no suelen ser, en la mayoría de los casos, grupos locales. Lo que puedes detectar seguramente es que has visto correos de phishing muy mal escritos, y es porque las traducciones son pobres, o eran pobres. Entonces tú puedes decir, esta palabra está mal escrita, esto es un anglicismo, o esto seguramente lo puso un ruso en Google Translator y tradujo esto completamente mal.

Lastimosamente, para los usuarios o para las empresas, las inteligencias artificiales generativas permiten crear correos de phishing mucho más creíbles para el usuario final. Especialmente para usuarios no entrenados. Y especialmente en un tipo de phishing que se llama Spear Phishing, que es phishing que tiene un objetivo puntual.

Entonces, esos sistemas se pueden entrenar por ejemplo, teniendo 100 correos tuyos, que la inteligencia artificial pueda redactar un correo que para la persona que trabaja contigo, que ya te conoce, y de una forma tal vez no consciente, va a creer que tú le estás escribiendo ese correo por las palabras que usas, por los modismos que usas. Ya seguramente cuando tienes contacto o eres ya en una relación personal con tus compañeros, les puedes escribir «¡Hola amigo! u ¡Hola compa! u ¡Colega!«. Si digamos a mí, yo que no te conozco, he pasado un par de correos contigo, me escribes «¡Hola colega!«.

Entonces, estas inteligencias artificiales se pueden entrenar con esos correos, que tú puedes haber enviado cientos de correos, para que puedan escribir un correo que, para un usuario de nuevo, de una forma no consciente, digamos, no es algo subjetivo, piense que eres tú el que está escribiendo un correo. Entonces, en esto han sido muy efectivas y están generando un riesgo mayor, están haciendo que los casos de phishing o las campañas de phishing sean mucho más efectivas.

Mira al 2024 desde Sophos

• Alerta Geek: Vivimos un 2023 muy agitado en el tema de ciberseguridad, donde Sophos igual también que estar atento a las novedades. Por ejemplo, volvimos a ver el renacimiento del QRishing. De la misma manera, también aparecen cosas nuevas con el tema de la inteligencia artificial y ahora los nuevos GPT, que ahora van a poder tomar moldes y todo. ¿Cómo se ve el 2024 con respecto al tema desde Sophos?

Juan Alejandro Aguirre: Nosotros lo vemos desafiante. Y una de las ventajas tal vez de nuestra organización es que nosotros venimos adoptando inteligencia artificial para proteger a nuestros clientes desde hace ocho años. Somos pioneros en redes neuronales de análisis profundo (Deep Learning Neural Networks). Entonces conocemos cómo operan este tipo de tecnologías. Conocemos para qué son utilizadas y cómo son modeladas. Como nosotros las utilizamos para defender a nuestros clientes, también conocemos qué tipo de alcance puede tener en los cibercriminales.

Y nosotros vemos y seguimos viendo cómo los grupos de cibercrimen están adoptando, empiezan a adoptar este tipo de tecnologías para ser mucho más efectivos. Y, de nuevo, ese QR tal vez falseado (QRishing) es simplemente una fase del ataque. Tal vez la persona no caiga por allí, pero puede caer por un correo electrónico. O puede caer porque tiene una vulnerabilidad expuesta en su máquina. El atacante es persistente, no es perezoso y es paciente. El atacante dice pruebo «por aquí, pruebo por allá, pruebo por acá«.

Y con inteligencia artificial, lo que están logrando es automatizar esas primeras fases del ataque. Digamos, ganar mucho tiempo en esas primeras fases del ataque para lograr un acceso inicial. Esas primeras fases son muy automatizadas y con inteligencia artificial se logran automatizar mucho más. Pero una vez él está adentro, viene la actividad manual. Viene la actividad de hacking, de ser sigiloso, de no instalar software, de no instalar malware, sin utilizar tus propios programas y aplicaciones en tu contra.

Y ahí es donde la inteligencia artificial, al defenderte, puede ser muy efectiva porque puede decir, «ok, es Daniel, es el usuario de Daniel, con su usuario y password que está en el directorio activo«. Un antivirus no va a saber que no eres tú. No tiene esa capacidad. No tiene esa inteligencia. Pero una protección de behavior, de comportamiento, sí puede decir «Daniel no se loguea a esta hora. Él debería estar en su casa. Son las 4 de la mañana. ¿Y por qué su dirección de acceso es de Rusia?«. De pronto lo mandamos a Rusia a una capacitación, podría ser. Pero ahí es donde entran los motores de riesgo. Y es que el motor de riesgo dice, «Daniel estaba en Santiago a las 5 de la tarde y se está logueando de Rusia a la 1 de la mañana. Es imposible que haya viajado».

Todo eso está entrenado también por inteligencias artificiales. Es decir, su usuario fue comprometido, su entidad digital fue comprometida y es un atacante el que está suplantándolo. Entonces también la inteligencia artificial nos ayuda a detectar eso para mitigar la actividad humana de los ciudadanos.

Las redes sociales y el peligro que representa

• Alerta Geek: En una de las charlas se mencionó los riesgos de exponernos, recomendando «tratar de no decir tanto lo que nosotros hacemos«. Esto es verdad, porque quedamos expuestos a comportamientos por ingeniería social. Sin embargo, vivimos en un mundo en donde cada vez las redes sociales son más impactantes. Tanto comunicadores, periodistas y otros rostros, son personas que tienen que mostrar de qué están haciendo porque deben alimentar sus redes sociales. ¿Cómo se lucha eso? ¿Cómo lo ven desde Sophos?

Juan Alejandro Aguirre: Es un tema complejo, porque son temas de tendencias y además vivimos en el mundo de la posverdad. Seguramente ese influencer es el más expuesto a redes sociales, pues está en TikTok, está en YouTube, está en Twitter. Una persona no educada, una persona incluso joven, le va a creer más a él que a un periodista tradicional, que indicará que no haga tantos usos de las redes sociales. Entonces es un tema complejo, pero es un tema también de educación.

Vivimos un momento en el que tal vez se cuestionaron los medios tradicionales. Aquí me abrieron un poco de tecnología, porque tal vez podían estar politizados o podían estar el otro. Y se empezó a darle mucho auge a los medios independientes, ¿cierto? Pero también estos medios independientes, cualquier persona puede decir, yo soy un medio independiente. Que no contrasta notas, que no contrasta sus fuentes. Y al ser popular, cuando las mentiras se dicen muchas veces, se convierten en verdades. Entonces es un problema muy complejo, pero va también de la educación de las personas.

Y no sé cómo decir esto políticamente, pero vivimos «en un mundo de gente idiota«. Entonces es un tema muy denso, porque realmente la gente no conoce que está exponiendo su información buscando entre más popular sea. Y es un tema psicológico también, son estudios que van por otros campos. Hay jóvenes de 10 años, 13 años, que empiezan a sufrir depresión porque no les da un like en sus posts. Pero realmente es una práctica muy mala para ti, como ser humano, estar exponiendo todo lo que estás haciendo.

Y eso tal vez puede venir más desde la educación de la casa, desde la educación de los papás. Porque eso te genera inseguridades personales, pero además te puede poner en riesgo, especialmente para gente que les gusta, o más bien que viva de las estafas y que juega del secuestro de información, de alguna forma cobrarte por, tal vez, una actitud que tú hayas tenido mal. Por ejemplo, las jóvenes que comparten nudes con sus novios las ponen en un Cloud y ese es fácilmente vulnerado, sacan eso y las extorsionan. Entonces es un tema, yo creo que es un tema muy complejo porque es un tema de educación y que se puede escapar de mi área de experticia. Ahí entran muchos factores, pero desde el área técnica y desde el área de ciberseguridad entran a decir cómo deben educarse las personas.

Es un tema muy complejo porque el consejo actual es no compartas tu información, no digas en Instagram, por ejemplo, si montas bicicleta, qué ruta estás cogiendo, porque las personas, los delincuentes, utilizan la tecnología más rápido que tú. Entonces ellos van a ver tus rutas, dónde estás montando bicicleta y van a decir «en este punto no pasa gente y vamos«, teniendo como objetivo las bicicletas porque son caras. Eso ha pasado, te lo estoy diciendo porque son robos que han ocurrido. Saben tu ruta, saben en qué parte de la ruta no hay cámaras, no hay gente, no hay policía. Te esperan allí con armas, te roban las bicicletas y es porque tú te expusiste por hacerlo.

Pero si tal vez no lo haces, no te vas a sentir tan popular y decir «oh, yo soy un buen ciclista amateur» o «utilizo este tipo de ropa o hago este tipo de música«. Entonces es un tema complejo, pero lastimosamente la digitalización está llevando hacia allá y estamos siendo muy descuidados en el uso de nuestra información personal, datos biométricos, nuestro rostro, lo compartimos con todo el mundo.

Entrenamos esas inteligencias artificiales «de cómo me voy a ver en 20 años, cómo me voy a ver en 30». Cuando tú lees los términos y condiciones de esas aplicaciones, principalmente la mayoría son chinas. Mala cosa, ahí empezamos mal. Luego, dicen «puedo revender esa información a quien yo quiera, con cualquier fin«, y tú estás entregando tu biometría. Ahora, estas fueron las primeras, ahora están las de voz. Están las inteligencias artificiales que toman tu voz o, por ejemplo, no sé si has visto cómo canta James Hetfield de Metallica una canción de Dua Lipa.

• Alerta Geek: Sí, lo hacen con un modelo entrenado.

Juan Alejandro Aguirre: Exacto. Eso se puede hacer con tu voz y pueden llamar a tu mamá, tú diciendo «auxilio«. No eres tú, sino se entrenó. Tal vez tú pusiste un video de TikTok, utilizaste algún tipo de estas aplicaciones, donde grabaste un video, grabaste una cosa, utilizaron tu voz, te ponen a decir, no eres tú, auxilio, no sé qué, y el estafador o el extorsionista dice «tengo aquí a tu hijo, págame tanto dinero por el rescate«. Ella, porque no es un usuario digital, no conoce esto, seguramente no va a ser lo primero que quiere hacer es llamarte y va a buscar pagar el rescate. Entonces es un tema muy complejo. Muy complejo.

Es algo difícil de poder medir y decir «esta es la solución«. No, no hay una solución puntual para hacerlo. Es ser celosos de nuestra información, pero los jóvenes no lo hacen. Es ser descuidados, ser desconfiados, pero no lo harán. Confían en cualquier persona que les está dando un like y empiezan a hablar con esa persona porque te di un like. Entonces es complejo, es un tema complejo.

AGRADECEMOS A SOPHOS LATINOAMÉRICA Y CONTACTO 21 POR LA GESTION PARA REALIZAR ESTA ENTREVISTA