Revista especializada en Seguridad de la Información Nº 81 segundo trimestre 2018 Época II

ESTÉ SEGURO RESPECTO A LA DECISIÓN DE

PROTECCIÓN PARA EL PUESTO DE TRABAJO
Conozca nuestra solución de seguridad para
el puesto de trabajo más ligera y potente para
cualquier dispositivo

INTEGRATED CYBER DEFENSE Symantec Endpoint Protection 14

www.redseguridad.com
TE AYUDAMOS A DAR EL

SALTO DIGITAL
Desde hace más de 30 años, GMV lleva sumergiéndose en
la más alta tecnología para ayudar a empresas e instituciones
a llegar a lo más alto del pódium en sus negocios.

Liderazgo tecnológico, capacidad de innovación, calidad,

eficiencia y flexibilidad son el trampolín perfecto que GMV
proporciona a sus clientes para acompañarles a dar el salto
al mundo digital.

GMV, CONSEGUIR TUS RETOS ES NUESTRA MEDALLA

GMV
www.gmv.es marketing.TIC@gmv.es

www.facebook.com/infoGMV
@infoGMV_es

AERONÁUTICA I ESPACIO I DEFENSA I SANIDAD I CIBERSEGURIDAD I ITS I TELECOMUNICACIONES I TECNOLOGÍAS DE LA INFORMACIÓN

 editorial
El día ha
llegado
El 25 de mayo de este año era la fecha más
esperada, pero no precisamente por ser deseada.
Desde ese día se aplica el Reglamento General de
Protección de Datos (RGPD) de la Unión Europea,
lo que significa que las empresas que no cumplan
a partir de entonces con esta normativa se atienen
a una buena sanción. Suficiente en los casos más
graves como para poner en un aprieto la continui-
dad de la propia compañía. De ahí que preocupe el
elevado porcentaje de organizaciones que aún no se
han adaptado a la norma, según reflejan diferentes
sondeos; un extremo que se manifestó con el apa-
rente desconcierto durante los días previos y pos-
teriores a que el RGPD comenzara a aplicarse, con
envíos masivos de correos electrónicos destinados a
Parece que empresas y
Administración no han
llegado a la fecha de
adaptación del RGPD,
por lo que tendrán
que realizar mayores
esfuerzos
reconfirmar suscripciones y acuerdos de todo tipo.
Sin voluntad de establecer cuotas de cumplidores
y rezagados, la apariencia indica que se abre ahora
un periodo para que, ya de verdad, las empresas se
adecúen a esta regulación a la carrera.
La Agencia Española de Protección de Datos, por
su parte, ha llamado a la calma al respecto y conti-
núa su tarea de difusión y ayuda a las organizaciones
a través de diferentes herramientas. Sin embargo,
si las empresas del ámbito privado no han lle-
gado a la fecha, tampoco lo ha conseguido la
Administración ni las compañías de ámbito públi-
co, donde también existe incertidumbre y demora en
la implementación de los cambios necesarios para
adecuarse al RGPD. Como añadido, aún ha salido
adelante (al menos al cierre de esta edición de RED
red seguridad
SEGURIDAD) la nueva Ley Orgánica de Protección
de Datos (LOPD), que se iba a aprobar a principios
de 2018. Si bien esta norma no es imprescindible
por cuanto el RGPD es de aplicación directa en los
Estados miembros, la realidad es que ese objetivo no
se ha conseguido.
En definitiva, parece que el periodo de adap-
tación al RGPD comienza ahora para muchas
empresas, especialmente las medianas y peque-
ñas, ya que las grandes aseguran en general haber
realizado los cambios pertinentes. Igualmente, la
Administración tendrá que realizar mayores esfuer-
zos por adaptarse y dar ejemplo, y el nuevo
Gobierno por sacar adelante la ley que sustituirá
a la actual LOPD. La situación generada debería
servir de llamada de atención respecto a otra de
las normativas que se están gestando en Europa,
como es el Reglamento europeo sobre el respeto
de la vida privada y la protección de los datos perso-
nales en el sector de las comunicaciones electróni-
cas, popularizado como Reglamento "ePrivacy". La
Unión Europea preveía haber aprobado esta norma
antes del pasado 25 de mayo, pero aunque en este
momento continúa en tramitación, las organizacio-
nes españolas deben estar preparadas para adap-
tarse a ella llegado el momento y que no suceda lo
mismo que con el RGPD.
Tampoco debe perder de vista el sector el
borrador del Anteproyecto del Reglamento de
Seguridad Privada, que incluye a las empresas
prestadoras de servicios de "seguridad informá-
tica" como sujetos obligados. Es decir, que no
serán pocas las compañías proveedoras las que
tendrán que implantar las medidas de seguridad
que plantea esta normativa, así como aceptar requi-
sitos como su inscripción en el Registro Nacional de
Seguridad Privada o contar con certificaciones de
calidad para prestar servicios a los operadores
estratégicos. No obstante, el Reglamento de
Seguridad Privada abrirá a su vez una ventana de
oportunidades para esos mismos proveedores por-
que la regulación también obliga a un buen número
de empresas a adoptar medidas de seguridad TIC.
Por lo que, en un sentido o en otro, no deben des-
atender esta norma.
segundo trimestre 2018 3
sumario
editorial
3 24 actualidad
El día ha llegado
El RGPD comienza a
aplicarse

corporativo
6
Ganadores de la XII
2017 edición de los Trofeos monográfico ciberseguros
de la Seguridad TIC 46 reportaje
Ciberpolizas:
corporativo un respaldo para
8
La seguridad las empresas
corporativa, a debate
en el VII Congreso de
Directores de Seguridad opinion
54
Parte de la solución
10 protagonista segurTIC frente a los riesgos
cibernéticos
Alejandro Ramos
Global Digital Security Officer
de Telefónica

64 asociaciones
sobre la mesa
16 RGPD y ciberresiliencia
Confluencia entre IT y
OT, clave para avanzar en protagonizan la
ciberseguridad industrial Jornada Internacional
de ISMS
Participaron: Iberdrola, CCI, Ferrovial, Fertiberia, Equipo
Retén, EDP España, Check Point e Isaca.
Patrocinado por Check Point

CONSEJO TÉCNICO ASESOR

PRESIDENTE Joaquín González Casal Rafael Pérez Gianluca D'Antonio CONSEJEROS
Guillermo Llorente Ballesteros Asociación de Ingenieros Brigada Central de ISMS Forum Spain INDEPENDIENTES
Mapfre e Ingenieros Técnicos en investigación tecnológica
Vicente Aguilera Díaz Tomás Arroyo
Informática (ALI) (UIT) del Cuerpo Nacional de
Open Web Application Javier Moreno Montón
VOCALES Vicente Aceituno Canal Policía Security Project (OWASP) Javier Pagès
Mar España Martí Asociación Española para la Óscar de la Cruz Yagüe Olof Sandstrom
Agencia Española de Seguridad de los Sistemas de Grupo de Delitos Telemáticos
Protección de Datos (AEPD) Información (ISSA España) (GDT) de la Guardia Civil PRESIDENTE DE HONOR
Pedro Mier Juan Muñoz Escribano Alberto Hernández Moreno Alfonso Mur Bohigas
Ametic ASIS España Instituto Nacional de
Fernando Rodríguez del Estal José Valiente Ciberseguridad (INCIBE)
Asociación de Empresarios de Centro de Ciberseguridad Ricardo Barrasa
TIC de Andalucía (ETICOM) Indutrial (CCI) ISACA Capítulo de Madrid

STAFF
Borrmart: Presidente: Francisco Javier Borredá Martín. Directora general: Ana Borredá. Adjunto a la Presidencia y a la Dirección
General: Antonio Caballero Borredá. Publicidad: Yolanda Duro, Pedro Jose Pleguezuelos, Paloma Melendo, Fco. Javier Borredá García.
Directora de Relaciones Institucionales: Mª Victoria Gómez.
Red Seguridad: Directora: Ana Borredá. Subdirector: Enrique González Herrero. Redactor: Juanjo Sanz. Colaboradores:
Bernardo Valadés, David Marchal, Leticia Duque Guerrero y Jaime Sáez de la Llave. Maquetación: Macarena Fernández
Suscripción anual:
López y Jesús Vicente Ocaña. Fotografía: Banco de imágenes Thinkstock/GettyImages. Diseño: Escriña Diseño Gráfico.
50 euros (España), 110 euros (Europa,
Responsable soportes online: Laura Borredá. Soportes audiovisuales: Ancor Morales.
zona euro), 150 euros (resto países)
Suscripciones: Mª Isabel Melchor y Elena Sarriá. Dirección Financiera: Javier Pascual Bermejo. Redacción, Administración y
suscripciones@borrmart.es
Publicidad: C/ Don Ramón de la Cruz, 68. 28001 Madrid Tel.: +34 91 402 96 07
Depósito Legal: M-46198-2002
ISSN: 1695-3991 www.borrmart.es www.redseguridad.com red@borrmart.es. Fotomecánica e impresión: Comeco Gráfico S.L.U.

RED SEGURIDAD no se responsabiliza necesariamente de las opiniones o trabajos firmados, no autoriza la reproducción de textos e ilustraciones sin autorización escrita.
Usted manifiesta conocer que los datos personales que facilite pasarán a formar parte de un fichero automatizado titularidad de BORRMART, S.A. y podrán ser objeto de tratamiento, en los términos previstos en la Ley Orgánica 15/1999, de 13
de Diciembre y normativa al respecto. Para el cumplimiento de los derechos de acceso, rectificación y cancelación previstos en dicha ley diríjase a BORRMART, S.A. C/ Don Ramón de la cruz, 68. 28001 Madrid.
 Centro de
Ciberseguridad Industrial

Un ecosistema Internacional
para compartir Experiencias
Argentina - Brasil - Bélgica - Chile - Colombia - EEUU - España - Francia
Ecuador - México - Oriente medio - Paraguay - Perú - Reino Unido - Turquía - Uruguay
 corporativo
noticias
Eset España, Rural Servicios Informáticos, Incibe, Santiago Moral, ISMS Forum Spain,
IES Puzol de Valencia, el colegio “Sagrado Corazón” Hijas de Jesús de Salamanca y el
programa Cibercooperante, ganadores de este año
Fallados los premios de la XII edición
de los Trofeos de la Seguridad TIC
L a duodécima edición del certa-
men internacional Trofeos de la
Seguridad TIC, que otorga anual-
mente la revista RED SEGURIDAD
para premiar a las empresas, pro-
fesionales, organismos e iniciativas
más destacadas del año anterior,
ya tiene ganadores. El pasado 17 de
mayo, el Consejo Técnico Asesor
de la publicación y Jurado del
Certamen, se reunió para deliberar
sobre las candidaturas presentadas
y designar el nombre de los galar-
donados. La entrega de los tro-
feos se realizará, como es habitual
en los últimos años, durante el X
Encuentro de la Seguridad Integral
(Seg2), evento que organizan con-
juntamente por RED SEGURIDAD
y SEGURITECNIA (también de la
editorial Borrmart) el día 19 de junio.
De esta forma, poniendo de mani-
fiesto el gran nivel y el compromiso
por la ciberseguridad que existe
en España, y después de conocer
el fallo de las diversas comisiones
creadas para estudiar las candida-
turas, el jurado tomó las siguientes
decisiones sobre la concesión de
los trofeos correspondientes a esta
edición:
Innovación
El "Trofeo al Producto o Servicio
o Sistema de Seguridad más
Innovador" recayó en la compañía
Eset España, por su solución ESET
Smart TV Security. Se trata de una
tecnología avanzada e innovadora
para proteger de cualquier ataque
de malware a los televisores y dis-
positivos conectados que utilizan el
sistema operativo Android para su
visualización.
Empresa de Seguridad TIC
En segundo lugar, se concedió el
"Trofeo a la Empresa de Seguridad
TIC del año", a Rural Servicios
Informáticos (RSI). Esta compa-
6 red seguridad segundo trimestre 2018
2017
ñía lleva treinta años trabajando
la seguridad integral y la continui-
dad global, incluyendo entre sus
prestaciones el servicio integral de
delegado de protección de datos,
así como la adecuación y soporte al
Reglamento General de Protección
de Datos, metodología de evalua-
ción de conformidad y compliance,
etc. Ademas, ha sido pionera en
implantar un modelo outsourcing
financiero seguro, tanto para clien-
tes socios como para los que no
lo son.
Institución pública
El tercer premio, el "Trofeo a la
Institución u Organismo Público
en materia de Seguridad TIC", se
concedió al Instituto Nacional
de Ciberseguridad de España
(Incibe), que desde el inicio de
su actividad ha destacado por su
implicación con las empresas y la
Asministración pública para propor-
cionar seguridad en dichos entor-
nos.
Trayectoria profesional
Seguidamente, se valoró el "Trofeo a
la Trayectoria Profesional Pública o
Privada en Seguridad TIC", galardón
que fue a parar a Santiago Moral
Rubio, profesional que durante más
de veinte años se ha dedicado al
sector TIC, realizando un traba-
jo constante por el desarrollo de
metodologías y procedimientos de
ciberseguridad. Moral destaca tam-
bién por su concepción y capacidad
para trasladar los ámbitos tradicio-
nales asignados a esta actividad
dentro de una empresa al ámbito de
la Universidad.
Captación y divulgación
El quinto premio, el "Trofeo a
la Formación, Capacitación,
Divulgación o Concienciación en
Seguridad TIC", se otorgó a ISMS
Forum Spain, por su Proyecto de
Gestión de Cibercrisis, una ini-
ciativa innovadora que tiene como
fin fortalecer tanto la capacitación
de los equipos como la mejora de
los procedimientos de las entidades
participativas.
Centro educativo
A continuación, se falló el sexto pre-
mio, el "Trofeo al Centro Educativo
de Seguridad TIC del año", que tuvo
dos galardonados: el IES Puzol,
de Valencia, y el colegio "Sagrado
Corazón" Hijas de Jesús, de
Salamanca. Ambos destacaron por
sus proyectos "Ciber-Enterate" y
"Plan Ciberseguridad", respec-
tivamente, con los que desarro-
llan una labor de concienciación
y formación para el buen uso de
Internet y las redes sociales entre
sus alumnos. Ambos centros han
involucrado en estos proyectos a su
comunidad educativa: tanto a alum-
nos, como a profesores y padres.
Trofeo extraordinario
Finalmente, el "Trofeo Extraordinario
del Jurado" se concedió al
Programa Cibercooperantes, una
iniciativa promovida por Incibe, que
impulsa la colaboración de personas
particulares y voluntarias que divul-
gan la ciberseguridad a través de
charlas de sensibilización en diver-
sos tipos de centros.
 corporativo Congreso de
Directores de
noticias Seguridad

La seguridad corporativa, a debate en el

Congreso de Directores de Seguridad
Organizado por la revista SEGURITECNIA y las asociaciones AEDS, ADSI y ASIS España,
en colaboración con la Fundación Borredá, se celebró en Madrid la séptima edición del
Congreso de Directores de Seguridad, en el que se abordaron temas relacionados con
la transformación de la seguridad corporativa, entre ellos la ciberseguridad.

Tx: David Marchal

Ft: SEGURITECNIA

Ante un auditorio con más de

300 profesionales del mundo de la
seguridad corporativa, se celebró
en Madrid, el 25 de abril, la VII edi-
ción del Congreso de Directores de
Seguridad, en el que se hizo hincapié
en diversas cuestiones relacionadas
con el actual modelo de seguridad
corporativa. De hecho, se abordaron
temas que van desde los retos que
han de afrontar estos perfiles pro-
fesionales, hasta los impactos o las
amenazas más destacadas en este
sentido.
Para ello, el evento contó con la
presencia de más de una treintena
de ponentes, procedentes tanto de
distintas organizaciones públicas y
privadas, como de Administraciones,
asociaciones y patrocinadores (Axis,
Ilunion Seguridad, Magal S3, Panda,
SIA, Johson Control, Accenture
Security y Cisco).
De esta forma, durante la jorna-
da se sucedieron tres paneles, uno
introductorio y los otros dos cen-
Durante el encuentro se organizó una mesa redonda con diferentes perfiles de la
trados en los retos y en los impac- seguridad corporativa, como el CSO, el CISO o el CIO.
tos en la seguridad corporativa; y
dos mesas redondas que giraron en
torno a las amenazas y al perfil de responsable de un departamento de y no todas reportan a los mismos
los profesionales que liderarán este Seguridad Corporativa. directivos o áreas de sus compañías.
nuevo modelo de seguridad. Si algo quedó claro durante el Ahora bien, a pesar de las
transcurso de la mesa redonda es diferencias, sí es cierto que en todas
Mesa redonda destacada que la convergencia de la seguridad ellas suelen cohabitar los mismos
Precisamente, esa última mesa corporativa no se materializa de la perfiles profesionales (directores
redonda fue una de las más misma forma en estas empresas. de Seguridad, de Sistemas de la
expectación causó por el tema que Para empezar, cada uno de los Información, etc.); aunque la cabeza
se debatía y los ponentes invitados. ponentes tiene en sus compañías visible no es idéntica en todos los
En ella se trataron tres asuntos de competencias distintas con modelos modelos, habiendo, incluso, los
sumo interés: cómo es el modelo de seguridad corporativa diferentes. que no disponen de un máximo
de seguridad de las organizaciones Por otro lado, también se puso de responsable que aglutine bajo su
representadas (FCC, Cepsa, Red relieve que algunas organizaciones de mando todas las áreas de protección.
Eléctrica de España, Grupo BBVA, las representadas han implementado El contenido de todo el desarrollo
Gas Natural Fenosa y Repsol), de comités específicos de seguridad del VII Congreso de Directores de
qué forma se ha materializado la para tratar este aspecto, mientras Seguridad está disponible en la
convergencia de la seguridad en ellas que en otras abordan estas página web de SEGURITECNIA:
y qué perfil debe tener el máximo cuestiones en otro tipo de juntas; www.seguritecnia.es

8 red seguridad segundo trimestre 2018

Jornada de
Seguridad en Hospitales 4.0

360º

Madrid
10 julio 2018
ORGANIZAN
COEM ( Auditorio)
C/ Mauricio Legendre, 38 . 28046 Madrid

COLABORA PATROCINA

Aeroespacial
y Defensa
 protagonista segurtic
entrevista
Alejandro
Ramos
Global Digital Security Officer
de Telefónica
Alejandro Ramos
comenzó su carrera
como 'hacker' y hoy es
uno de los responsables
de seguridad de la
información más
reputados. Normal que
Telefónica se fijara en
él hace un par de años
para liderar su seguridad
digital. Dice que, aunque
ya no se puede dedicar
a investigar, lo lleva
"en el ADN". Y por ello
compagina su actividad
en la multinacional
tecnológica con la
Universidad, formando
a nuevas generaciones
de profesionales y
fomentando la creación
del talento que hace falta.
10 red seguridad
"Estoy orgulloso del talento que
hay en España y de que mucho
del bueno esté en Telefónica"
Tx y ft: Enrique González Herrero
Usted entró a formar parte de
Telefónica hace un par de años
como CISO y hoy es Global Digital
Security Officer. ¿Qué diferencia
existe entre estos dos cargos?
En Telefónica, la seguridad de la
información más tradicional, lo
que llamamos medidas preventi-
vas de seguridad, está separada
de la anticipación y la respuesta
ante amenazas. Por un lado está el
departamento de Seguridad de la
Información, que se encarga de las
medidas preventivas, y por otro el
de Ciberseguridad, que se dedica
a la anticipación, detección y res-
puesta. La figura de Global Digital
Security Officer agrupa ambas par-
tes y el CISO, que está integrado en
mi equipo, es una de ellas.
Aparte de esa división que
comenta, ¿de qué manera está
estructurado el departamento
que dirige usted?
segundo trimestre
Seguimos el ciclo de vida de la
amenaza. Tenemos una parte de
anticipación, que analiza cuáles
son las nuevas amenazas, dentro
de un departamento que llamamos
de Ciberinteligencia. Luego existe
otra área centrada en la preven-
ción, que aborda todo lo relacio-
nado con la seguridad más tradi-
cional: seguridad de la información,
medidas técnicas, etcétera. Y ade-
más tenemos otros departamen-
tos, como el de Gobierno, el de
Arquitectura y el de Transformación
de la Seguridad.
Para la detección de nuevas
amenazas contamos con un Red
Team y para la respuesta a inci-
dentes con 14 CSIRT [equipos de
respuesta ante emergencias infor-
máticas], que están desplegados
en cada uno de los países donde
Telefónica tiene presencia. El obje-
tivo de estos CSIRT es que, cuan-
do se materializa una amenaza que
no hemos podido prevenir ni antici-
par, proporcione una respuesta lo
antes posible.

Cuando llegó a la compañía como
CISO, ¿a qué le dio prioridad?
Yo entré en Telefónica para dedicar-
me a la seguridad de la información,
que es una de las áreas que ahora
coordino. Entonces, estábamos más
enfocados a la prevención y lo pri-
mero en lo que pusimos foco fue en
fortalecer los procesos básicos de
seguridad. Es decir, no se trataba de
implantar la tecnología más moder-
na del mercado, sino de abordar lo
más clásico dentro del entorno de
seguridad, como mantener los siste-
mas actualizados, fortifícalos, hacer
una auditoría de vulnerabilidades,
etc. Desde entonces, hemos actua-
lizado la normativa interna del Grupo
Telefónica, cambiado todo el marco
de control, las políticas normativas,
los reglamentos y los procedimien-
tos, hasta el proceso más básico de
seguridad.
Una de las áreas que ha mencio-
nado sobre la estructura de su
departamento es la de ciberin-
teligencia. ¿De qué manera lleva
a cabo Telefónica ese proceso y
cuál es su concepto sobre esta
especialidad?
En Telefónica la ciberinteligencia
ya está implantada. Yo reporto al
Global CSO [Chief Security Officer]
de la compañía, cuya dirección se
llama Dirección Global de Seguridad
e Inteligencia. A su vez, también
le reportan desde el departamento
de Inteligencia, que proporciona una
inteligencia más estratégica y con
una perspectiva más amplia.
Los depar tamentos de
Ciberinteligencia e Inteligencia inte-
ractúan mucho. Desde Inteligencia
nos informan de cuál es la situa-
ción actual en el entorno de las
telecomunicaciones en el que nos
movemos y desde Ciberinteligencia
apoyamos todo el proceso de
recopilación de información para
la toma de decisiones, con datos e
información desde una perspectiva
técnica.
Además, tenemos otra parte de
indicadores de compromiso donde
agrupamos y compartimos todas las
huellas de los incidentes que vemos
en el Grupo Telefónica. Hacemos de
hub entre todas las operaciones del
protagonista segurtic
grupo para luego redistribuir estos
indicadores de compromiso.
Hay una tercera parte formada
por las técnicas de deception, que
consiste poner trampas para ver qué
actores nos están agrediendo desde
una perspectiva tecnológica.
Lo que buscamos con todo esto
es el contexto, el enriquecimiento y
el análisis de la información.
Hace un año del ataque de
WannaCry, que entre otras muchas
compañías afectó a Telefónica.
¿Qué lecciones aprendieron de
aquel incidente?
De aquel ataque aprendimos que
somos resistentes, porque aunque
fuimos afectados no tuvimos pérdi-
da del servicio ni hubo un impacto
en el negocio. Fue más una crisis
de comunicación a través de los
medios, que una crisis técnica como
tal. A las empresas nos ha servido
para reforzar el mensaje de la seguri-
dad. Aquello fue concienciación con
roce duro, porque cuando tienes un
incidente de este tipo llega a todas
las alturas y todo el mundo queda
enterado de que la ciberseguridad
es relevante.
¿Supuso aquel ataque un cam-
bio importante en el gobierno de
seguridad de Telefónica?
Realmente no hemos cambiado nada
de lo que estábamos haciendo, por-
que era lo correcto; pero nos cogió
en una fase temprana en la que el
fortalecimiento de los procesos bási-
cos a los que me refería antes tenía
que haber llegado un poco antes. Es
decir, no ha supuesto un cambio en
la estrategia de seguridad, pero nos
indicó la necesidad de acelerar ese
fortalecimiento de procesos.
Tras el incidente sí que reforzamos
nuestra red de CSIRT, para otorgarle
más relevancia a estos equipos den-
tro de las organizaciones. Pero poco
más, no ha habido ningún cambio
drástico.
¿Cómo está conformada la red de
CSIRT de Telefónica?
Funciona como un árbol. En España
tenemos el CSIRT global, que genera
y recoge información de los CSIRT de
cada país. Como Grupo Telefónica
red seguridad
entrevista
es una matriz amplia que no solo
tiene empresas de telecomunicacio-
nes, sino también de otros sectores,
el CSIRT de España agrupa a todas
las que existen dentro del territorio
español y recibe información de las
que tengan presencia en otros paí-
ses, de manera que tenemos todo
localizado geográficamente y de
manera piramidal.
Además del ransomware, una
de las amenazas más peligrosas
actualmente para las organizacio-
nes, ¿cuáles cree que son otros
retos importantes a los que se
enfrentan las empresas hoy en día?
Entre las amenazas, ahora está
haciendo mucho ruido todo lo rela-
cionado con la desinformación y las
fake news. Esto, que es algo clásico
en la seguridad tradicional, se está
trasladando a los medios digitales.
Hace cinco años nadie pensaba que
pudiera ser un problema, pero ahora
afecta a las compañías.
Uno de los retos actuales es ser
capaces de anticiparnos a las ame-
nazas que surgirán dentro de cinco
años. Hay amenazas que sabemos
que vienen, pero no tenemos claro
cómo nos van a afectar.
Luego están los problemas clá-
sicos, como la gestión de muchos
proveedores, los insiders, etc., que
siguen siendo retos importantes. El
ransomware es una amenaza rele-
vante, pero yo creo que afecta más
a las pymes, que no tienen unos pro-
cedimientos de back up establecidos
ni un departamento de seguridad
como tal.
Ya que menciona la gestión de
los proveedores, ¿cree que es
perjudicial que el mercado esté
tan atomizado y las empresas
cuenten con muchos proveedores
a la vez?
Creo que es un mal necesario y
que va por modas. Ahora mismo,
el modelo de trabajo en las grandes
compañías consiste en externalizar
muchas partes de su actividad, pero
en algún momento irán captando
más personal para desempeñar
determinadas acciones o proyectos.
Lo que es cierto es que los recur-
sos humanos son muy limitados a
segundo trimestre 11
 protagonista segurtic
entrevista
todos los niveles, no solo en segu-
ridad, sino en todo lo que tiene que
ver con la tecnología. Pero al igual
que están desapareciendo deter-
minados puestos de trabajo están
naciendo otros. Hasta que haya un
equilibrio, la externalización ayuda a
lidiar con esa problemática de falta
de recursos y de formación de per-
sonal especializado.
¿Cómo valora el Reglamento
Europeo de Protección de Datos
(RGPD)?
Todo lo que vele por la privacidad
del usuario es fundamental. El RGPD
ayudará a reforzar determinados
mensajes y procesos en grandes
compañías como Telefónica. Creo
que en las empresas grandes no
debería tener tanto impacto como en
las pequeñas y medianas.
Esta normativa va a igualar tam-
bién los términos de privacidad en
toda la Unión Europea, por lo que el
desgaste que pueda tener una orga-
nización española va a ser el mismo
que en otro país. Eso es bueno para
los ciudadanos y también para las
empresas porque vamos a tener
un nivel homogéneo. Siempre se
ha dicho que España es uno de
los países con mayores exigencias
en este asunto por la Ley Orgánica
de Protección de Datos, y por lo
tanto somos los que menos vamos
a sufrir. La ventaja es que los paí-
ses que tenían un nivel más bajo
tendrán que esforzarse más. Como
12 red seguridad segundo trimestre
ciudadano me alegro de que las
empresas que prestan servicio en
España pero no residen aquí tenga
las mismas exigencias que cuando
el servicio lo presta una empresa
española.
¿Y qué opina de la Directiva NIS,
de seguridad de las redes y siste-
mas de información, especialmen-
te en lo que al reporte de inciden-
tes se refiere?
También creo que es fundamental.
Con la Directiva NIS ocurre exacta-
mente lo mismo que con el RGPD,
pero llevado a los incidentes. En
España ya habíamos dado los prime-
ros pasos y somos uno de los países
más avanzados de la Unión Europea
en la materia.
Cuestiones como el reporte de inci-
dentes no las veo tan dramáticas, si
bien es cierto que hay que aclarar
determinados términos y condiciones,
porque no queda claro qué es un inci-
dente y qué no lo es. Para mí, un inci-
dente puede ser desde que un cliente
introduzca mal una contraseña hasta
que haya una fuga de información en
la compañía y aparezca en la prensa.
También es necesario contar con
una ventanilla única para reportar los
incidentes, porque ahora mismo hay
un montón de organismos que recla-
man que se les informe, y a cada uno
de determinada manera. Queremos
que haya una ventanilla única y utilizar
un mismo formato para reportar de
manera sencilla y práctica. No obs-
tante, creo que pasados unos meses
todas estas cuestiones se soluciona-
rán y no será demasiado duro.
¿Cree usted que la propia
Administración está ya preparada
para el reporte de incidentes?
Yo creo que la Administración está
en la misma situación que las empre-
sas. Este es un camino que hay que
recorrer para llegar a la madurez. A
lo mejor el primer día las empresas
y la Administración hacemos alguna
cosas de diferente manera, pero
al cabo del tiempo ambas partes
habremos aprendido el camino. La
Administración nos está pidiendo
que opinemos y estamos tratan-
do de colaborar con ella de una
manera activa para ver cómo aplicar
la normativa de la manera menos
dolorosa. Es un camino que hay que
recorrer conjuntamente y así se está
haciendo, de la mano.
Usted comenzó su relación con
la seguridad dentro de la consul-
toría, y ahora lidera la seguridad
en una empresa como Telefónica.
¿Cree que las empresas deberían
apostar más por perfiles como el
de hacker?
Los equipos de seguridad tienen
que ser dispares. En mi caso coin-
cide que vengo de ese mundo, pero
podría ser especialista en cualquier
aspecto técnico o no técnico relacio-
nado con la seguridad. Lo cierto es
que hace falta mucha experiencia en
muchos términos.
Hace años, cuando yo empecé, no
había tantos especialistas formados
ni tanta oferta de formación en segu-
ridad como ahora; los que estamos
hoy en seguridad antes trabajába-
mos en otros ámbitos y nos hemos
transformado. Ahora es cuando
empezamos a ver las primeras gene-
raciones de profesionales que se
forman directamente en seguridad,
si bien no tienen tanta experiencia en
otras áreas como desarrollo, infraes-
tructuras, red, comunicaciones, etc.
En Telefónica, mi equipo es multi-
disciplinar, porque creo que tiene que
ser así. En la variedad y completitud
del equipo está el éxito.
¿Cree que, en general, las empre-
sas apuestan por equipos mul-
Incremente sus oportunidades de
negocio con LA SOLUCIÓN MÁS
COMPLETA en identidad digital
Incremente sus transacciones con el reconocimiento
legal de su firma digital en cualquier país de la
Unión Europea.
Identifique con plenas garantías a usuarios y
dispositivos electrónicos mediante certificados
digitales cualificados para evitar fraudes.
Facilite la firma de documentos online a sus clientes
para abrir una nueva cuenta, solicitar una tarjeta de
crédito, firmar una póliza o formalizar cualquier otro
tipo de operación, estén donde estén.
Disponga del ciclo completo de identidad digital en movilidad.
En cualquier lugar, en cualquier momento.
Barcelona | Madrid | Londres | San Francisco
nebulaSUITE es la solución todo en uno que proporciona
a bancos, instituciones financieras y empresas
industriales, de servicios y de retail la infraestructura
completa de identidad digital para la realización de
transacciones y operaciones con reconocimiento legal:
• Emisión y gestión de certificados digitales
cualificados para usuarios y dispositivos electrónicos
• Firmas digitales cualificadas para el cumplimiento
de eIDAS con workflows de firma complejos y
personalizados
• Autenticación robusta para clientes, empleados y
proveedores de servicios
MO :
E U NA DE h
SOLIC
IT
r i s . te c
v i n te g
info @
vintegris.tech | @vintegrisTECH
 protagonista segurtic
entrevista
tidisciplinares o figuras como el
hacker no está integradas aún
del todo?
La figura del hacker está cien por
cien integrada, hay muchísima
demanda de estos profesionales.
Pero los hacker son una parte de
las actividades de seguridad de una
compañía, las otras también hay
que cubrirlas. Por ejemplo, dentro
de las compañías ya se hacen ejer-
cicios que requieren de hackers
que buscan fallos de seguridad.
También está el caso del hacker
"La figura del hacker está cien por
cien integrada en las empresas,
hay mucha demanda"
que crece y cambia, que tiene una
visión más amplia y que, donde
antes veía vulnerabilidades, ahora
trata de buscar soluciones.
La figura del hacker suele ser
alguien con mucha pasión en la segu-
ridad, que hace mucha investigación y
dedica mucho tiempo a darle vueltas
a las cosas. Esa es una actitud fun-
damental, no solo para la seguridad
sino para cualquier otra especialidad.
El hacker no solo es aquel que busca
vulnerabilidades, sino el que aplica
mucha materia gris y trata de ver las
cosas de manera distinta.
Ahora todas las compañías tienen
perfiles de este estilo y lo seguirán
teniendo durante muchos años, por-
que hace falta.
¿Y qué opina cuando se dice que
en España falta talento? ¿Falta de
verdad tanto talento o hay talento
mal aprovechado?
Se dan las dos cosas, hay mucho
talento, pero sigue faltando. En
España no somos competitivos
respecto a otros países de Europa
porque los salarios son más bajos.
Con las capacidades que hay hoy
en día de teletrabajo, muchos perfi-
les están trabajando para empresas
de Reino Unido o Alemania, donde
los salarios son mucho más altos.
14 red seguridad segundo trimestre
Estamos exportando el talento de
esta manera.
Por otro lado, ya hay mucha
gente que se está formando por-
que existe mucha demanda, por lo
que creo que en tres o cuatro años
la oferta y la demanda laboral se
estabilizarán.
Pero ahora hay talento, aunque
mucho lo exportemos. Yo estoy muy
orgulloso del talento que tenemos en
España y de que mucho del bueno
esté en Telefónica.
¿Qué me dice de la ciberreserva?
¿Encaja esta idea con la realidad
del mercado laboral de cibersegu-
ridad? Hablamos de personas que
tendrían que compaginar su traba-
jo con esta iniciativa, que no está
remunerada económicamente.
Yo creo que la ciberreserva sí es
posible. El problema surge cuando
no se entiende que esto no es un tra-
bajo sino una cuestión de seguridad
nacional. Si tenemos un problema de
seguridad nacional con otro Estado
que nos agrede, yo veo más útil un
teclado que un arma. En caso de una
crisis relevante, el debate no dará
a lugar porque todo el mundo hará
lo posible por proteger a su familia,
a su nación. El problema es que
cuando pensamos en la ciberreserva
creemos que vamos a trabajar gratis
o que vamos a regalar el tiempo a la
Administración Pública.
Aún así, mi opinión es que la cibe-
rreserva debe explicarse más. Yo
tengo claro que si la mejor manera
de proteger a mi familia o apoyar a
mi país es con un teclado, ahí que
voy. Es cuestión de comprensión y
de que madure la iniciativa.
Usted es profesor de Universidad.
¿Cómo ve la oferta formativa
actual en materia de seguridad
de la información? ¿Son todos los
cursos válidos o hay quien aprove-
cha la oportunidad del momento?
Hay de todo porque la oferta es
grande, al igual que la demanda.
Lo que tengo claro es que cual-
quier formación debe estar regula-
da. Existen ya organizaciones que
regulan y ponen su sello como refe-
rencia de calidad en la formación;
hay que apoyar a los players que
tienen experiencia en esto. Pero
hay otras empresas más pequeñas
que están viendo la oportunidad y
aprovechando la situación. Pueden
ser buenas, pero mi opinión es
que, en general, hay que recurrir a
la oferta más formal que exista. Es
decir, que si, por ejemplo, hablamos
de un máster, esté avalado y audi-
tado por ANECA [Agencia Nacional
de Evaluación de la Calidad y
Acreditación] o el organismo que
corresponda.
¿Cómo ve el futuro de la ciber-
seguridad con todas las tenden-
cias que vienen (IoT, Big Data…),
que mejorarán nuestra vida pero
también las aprovecharán los
malos para cometer delitos?
Al igual que otras profesiones, la
seguridad cambiará. Pero no será
tanto un cambio de concepción de
la seguridad, sino de la aplicación
de las nuevas tecnologías con ese
fin. Creo que los problemas no
van a ser nuevos sino más gran-
des. Hay que aplicar las mismas
cosas que ahora a un entorno más
amplio.
El mayor problema es que las
nuevas tecnologías aparecen muy
rápido y no hay tiempo de aplicar
soluciones. Por ejemplo, el IoT no
es un riesgo nuevo, es lo mismo de
antes, pero llega a mayor velocidad.
Cuando sale un producto de IoT
al mercado llega tan pronto desde
que alguien lo piensa hasta que está
instalado en una compañía, que es
posible que se olvide contar con la
seguridad.
Por tanto, las soluciones están,
pero hace falta aplicarlas y ponerlas
en funcionamiento en estos proyec-
tos tan sumamente rápidos. El reto
está en llegar a tiempo y ser suficien-
temente ágiles.
Adapta tu empresa
a la nueva normativa
de protección de datos

http://gdpr.eset.es 962913348
 ciberseguridad industrial
sobre la mesa

Confluencia entre IT y OT, clave para

avanzar en ciberseguridad industrial
En la medida en la que las empresas industriales dotan de conectividad a sus sistemas
de producción, aumenta el riesgo de sufrir ciberataques. Por eso, apostar por una
estrategia común de ciberseguridad, que englobe tanto el ámbito de IT (Information
Technology) como de OT (Operation Technology), es fundamental para proteger sus
activos. Sobre ello giró este "Sobre la mesa", en el que también se puso de manifiesto
la importancia de concienciar a la alta dirección sobre esta cuestión.

De izda. a dcha., Enrique González (RED SEGURIDAD), Agustín Valencia (IBERDROLA), José Valiente (CCI), Juan Cobo
(FERROVIAL), Manuel Buitrago (FERTIBERIA), Carlos Asún (EQUIPO RETÉN), Arturo E. Díaz (EDP ESPAÑA), Mario García (CHECK
POINT), Yolanda Duro (RED SEGURIDAD) y Erik de Pablo (ISACA).

Tx: David Marchal
Ft: RED SEGURIDAD
Diciembre de 2015. El ataque sin-
cronizado y coordinado contra tres
compañías de electricidad ucrania-
nas, que fueron infectadas con el
malware BlackEnergy, provocó un
apagón de seis horas que afectó a
80.000 clientes.
Enero de 2016. Un ciberataque
contra la Autoridad Eléctrica Israelí
motivó que algunos de sus sistemas
estuvieran inoperativos durante dos
días, en un momento en el que se
consumían cifras récord de electrici-
dad debido a las bajas temperaturas.
Estos son solo dos ejemplos reales
de las consecuencias que puede
tener el hecho de que prospere un
ciberataque a instalaciones industria-
les de cualquier tipo. Para abordar
esta cuestión, RED SEGURIDAD,
en colaboración con el fabricante
de soluciones de seguridad Check
Point, organizó este "Sobre la
mesa..." donde se analizaron los
posibles ámbitos de mejora en estos
entornos. El encuentro contó con la
presencia de Juan Cobo, CISO de
Ferrovial; Manuel Buitrago, CISO de
Fertiberia; José Valiente, director del
Centro de Ciberseguridad Industrial
(CCI); Erik de Pablo, director de
Investigación de ISACA Madrid;
Arturo E. Díaz, CISO de EDP
España; Agustín Valencia, coordina-
dor del área OT de Iberdrola; Carlos
Asún, presidente de Equipo Retén y
CISO de Initec Plantas Industriales;
y Mario García, director general de
Check Point Iberia.
Durante el debate se abordaron
diversos aspectos relacionados con
la ciberseguridad industrial, pero
todos los presentes coincidieron en
una máxima: se están haciendo pro-
gresos en este ámbito, pero todavía
queda mucho camino por recorrer.
En palabras de Valiente, de CCI,
"desde 2013 ha aumentado bastante
la madurez con respecto a la ciberse-
guridad industrial. Por ejemplo, el año
pasado elaboramos un documento
con Check Point en el que se ponía
de manifiesto que los sectores eléctri-
co, gasístico y petrolero son los que

16 red seguridad segundo trimestre 2018

 ciberseguridad industrial sobre la mesa

más avanzados están en este sentido.

En cambio, el químico, el de transporte
y el de agua son los que más tienen
que mejorar. En otras palabras, todavía
queda camino por recorrer".
De igual forma se pronunció Asún,
de Equipo Retén, entidad especializa-
da en la realización de planes de resi-
liencia para la sostenibilidad del nego-
cio: "Tenemos buenos organismos
públicos, como el CNPIC, el CCN-
CERT o Incibe; el apoyo de consulto-
ras y asociaciones; y la experiencia de
los fabricantes. Sin embargo, hay que
seguir en esa línea. De hecho, según
un estudio de Forrester, en España un
29 por ciento de las empresas contra-
tarán expertos de ciberseguridad este
Juan Cobo año, cuando la media mundial será de Manuel Buitrago
una de cada tres".
CISO de Ferrovial CISO de Fertiberia
Precisamente, en ese camino de
"El sector ha avanzado mejora se encuentran varias de las "No se puede
empresas participantes en la reunión.
mucho en los últimos Por ejemplo, el representante de
entender la
años, sobre todo Fertiberia confirmó que, desde al año ciberseguridad industrial
en concienciación. 2016 han avanzando en este sentido. sin la unión y la
Precisamente, esa "Ahora estamos en proceso de reorga- coordinación de los
nización para incorporar la seguridad
es la base para que lógica en todos nuestros procesos". profesionales de los
los consejos de Y lo mismo sucede con EDP España. ámbitos IT y OT.
administración se den A partir de 2014 y a raíz de la Ley para Pero para ello es
la Protección de las Infraestructuras
cuenta de la importancia imprescindible una
Críticas, la seguridad de la informa-
que tiene la ción pasa a ser una de las mayores seguridad transversal
ciberseguridad preocupaciones. "Desde entonces, los con equipos
industrial" avances son notables y la concien- multidisciplinares"
ciación es uno de los aspectos más

Check Point refuerza su compromiso con la ciberseguridad industrial

Ayudar a proteger los entornos industriales es una prioridad para la compañía Check Point. De hecho, el fabricante cuenta con una
serie de soluciones de ciberseguridad ICS/SCADA que proporcionan prevención avanzada contra amenazas, junto con opciones
de dispositivos robustos y soporte integral de protocolo para garantizar que los activos industriales no se vean comprometidos.
Entre las tecnologías disponibles en estas soluciones se encuentra la utilización de firewall, IPS, antimalware y sandboxing para
detectar y prevenir amenazas entrantes a redes SCADA; así como la detección de exploits y vulnerabilidades ICS con firmas
SCADA IPS, lo que cierra la ventana de exposición entre sistemas vulnerables y parcheados.
Por otro lado, la compañía también ha puesto el foco
en la protección de las comunicaciones entre los sistemas
de IT y de OT, un aspecto cada vez más demandado por
las organizaciones a medida que aumenta la conectividad
de los dispositivos industriales y se generaliza el uso del
Internet de las Cosas (IoT) en este ámbito. En ese sentido,
Check Point dispone de una solución completa de seguri-
dad IT-OT que protege el perímetro corporativo, el puente
entre las redes IT y OT, las estaciones de trabajo de los
operadores y los dispositivos SCADA dentro de la red OT.
Todas estas propuestas permiten analizar rápidamente el
riesgo mediante la realización de informes de amenazas
que indican a las empresas los peligros a los que se expo-
nen y les permiten adelantarse a cualquier contratiempo
que pudiera aparecer.

red seguridad segundo trimestre 2018 17

 ciberseguridad industrial
sobre la mesa
José Valiente
Director del CCI
"Un reciente estudio
que hemos presentado
sobre la ciberseguridad
industrial revela que
los sectores eléctrico,
gasístico y petrolero son
los que más avanzados
están. En cambio,
el químico, el de
transporte y el de agua
son los que más tienen
que mejorar"
importantes", asegura el representante
de la compañía.
Quienes sí tienen una cultura más
arraigada en el mundo de la ciber-
seguridad industrial, y así lo pusie-
ron de manifiesto sus representan-
tes, son Iberdrola y Ferrovial. En el
caso del primero, la ciberseguridad se
incluye dentro del área de Seguridad
Corporativa de la empresa, a partir de
la cual "están buscando la adecuada
convergencia entre IT y OT en un
modelo centralizado", afirmó Valencia.
Por su parte, para Ferrovial este
tema es "una prioridad" sobre el que
el área de seguridad "debe reportar
periódicamente al comité de direc-
ción", en palabras de Cobo, quien
añadió: "Hemos avanzado mucho en
los últimos años, sobre todo en con-
cienciación, que es la base para que
los consejos de administración se den
cuenta de la importancia que tiene la
ciberseguridad industrial".
18 red seguridad segundo trimestre 2018
Más apoyo de la alta dirección Internet fueron el doble de las encon-
Al respecto también se refirió De tradas el anterior", añadió al respecto.
Pablo, de ISACA, quien confirmó "la En este punto, todos los asistentes
baja sensibilidad" que hay actualmente estuvieron de acuerdo en que, para
en los consejos de administración con conseguir ese apoyo, es preciso avan-
respecto a la ciberseguridad industrial. zar en la concienciación, tanto de la
"Uno de los temas más preocupantes dirección como del resto de la plantilla.
es que la alta dirección no es cons- "Normalmente, los empleados no son
ciente de este problema", puntualizó, conscientes de lo tienen que hacer,
y continuó: "Resulta chocante que en porque este tema no les preocupa.
las empresas industriales el riesgo de La seguridad física está más asumida,
ciberseguridad no esté tan asumido. pero la digital todavía les cuesta. Es un
Tanto el sector OT como el IT tienen tema de responsabilidad", sentenció
tendencia hacia el trabajo endogá- García, de Check Point.
mico, y sus necesidades no afloran Afortunadamente, según matizó
suficientemente hacia arriba". Díaz, de EDP España, "WannaCry ha
En estas afirmaciones coincidió marcado un antes y un después en
punto por punto García, de Check temas de concienciación en las empre-
Point, quien aportó su experiencia al sas". Además, este caso también puso
respecto al tratar con distintas orga- de manifiesto otro hecho que apuntó
nizaciones del sector. "A mi juicio, Cobo, de Ferrovial. "Se trata de la
este es un tema con muchas luces importancia de hacer ver a los emplea-
y sombras. Hay comités de direc- dos que si se actúa de una determina-
ción que lo llevan trabajando desde
hace mucho tiempo, y otros, en cam-
bio, que no saben nada de nada".
Afortunadamente, desde el punto de
vista de este directivo se ha avanzado
mucho en los últimos años. "La aten-
ción que recibe ahora la ciberseguri-
dad industrial no tiene nada que ver
con lo que se hacía a principios del
año 2000", matizó.
En el caso del área que dirige
Buitrago, de Fertiberia, están traba-
jando para "demostrar a la dirección la
importancia de crear un departamen-
to de seguridad integral para abordar
el problema"; y confirmó que, sin el
apoyo de los responsables de la com-
pañía, avanzar en ese sentido "cuesta
mucho". Igualmente, Valencia conside-
ró básico ese compromiso. "Tenemos
que encontrar el apoyo desde arriba, Erik de Pablo
porque si no es así, acabamos siendo
Director de Investigación
profetas en el desierto; y eso debe partir
desde el propio presidente o consejero
de ISACA Madrid
delegado". Por su parte, Asún también "Resulta chocante que
ve claro que "la estrategia de ciberse-
guridad más eficaz es aquella que viene
en muchas empresas
desde la propia alta dirección". industriales el riesgo
El problema, desde el punto de vista de ciberseguridad
de De Pablo, de ISACA, llega porque
no esté tan asumido.
"todos los riesgos relacionados con la
seguridad son lineales. En cambio, los Precisamente, uno de
de la ciberseguridad son exponencia- los temas más
les". "La alta dirección asume los ries- preocupantes es que
gos, pero cuando le preguntas cuál es
su pérdida esperada en este sentido,
la alta dirección no
su suposición es menor que la reali- sea consciente de
dad. Por ejemplo, las vulnerabilidades este problema"
que se produjeron el año pasado en
 ciberseguridad industrial
sobre la mesa

Uno de los aspectos que se debatieron durante la mesa redonda para intentar mejorar en el ámbito de la ciberseguridad industrial es
la necesaria confluencia entre las áreas de TI y OT para avanzar conjuntamente en la protección de las empresas.

da forma, puede haber consecuencias.

Es un tema, por tanto, de responsabili-
dad", manifestó. Ahora bien, para ello,
según subrayó Valiente, del CCI, es
imprescindible "saber vender la ciber-
seguridad". "Hasta ahora no habíamos
tenido la necesidad de convencer a
la alta dirección de la importancia que
tiene esto. Por eso, a partir de ahora
debemos trabajar más en ello", señaló.

Amenazas presentes y futuras

La ciberseguridad industrial, no obs-
tante, se ha convertido en un asun-
to cada vez más importante para la
industria, según se puso de manifiesto
seguidamente durante el debate, habi-
da cuenta de que los ciberataques a
Carlos Asún dichos entornos están experimentando Mario García
Presidente de Equipo Retén un importante crecimiento en los últi- Director general de Check
mos años. Y es que, en tanto en cuanto
Point Iberia
"Disponemos de el mundo TCP/IP se ha incorporado al
buenos organismos entorno industrial, las amenazas se han "La ciberseguridad
incrementado exponencialmente.
públicos; contamos con industrial tiene muchas
En opinión de De Pablo, de ISACA,
el apoyo de consultoras estamos en un punto en el que hay dos luces y sombras. Hay
y asociaciones; y escenarios posibles: "A corto plazo, en comités de dirección
un periodo de dos o tres años, se que lo llevan trabajando
tenemos la experiencia intensificarán los ataques globales no
de los fabricantes. dirigidos en el mundo OT". Su éxito
desde hace tiempo y
Sin embargo, hemos o fracaso dependerá del parcheado y otros que no saben nada.
de seguir avanzando actualizado de los sistemas por parte Afortunadamente,
de las empresas, sugirió este profe- la atención que recibe
en impulsar la sional. "A medio plazo, esos ataques
ciberseguridad serán dirigidos; es decir, atacarán a ahora es mucho mayor
industrial" una compañía en particular y, a la vez, que hace años"
intentarán manipular a la opinión públi-

20 red seguridad segundo trimestre 2018 especial


Agustín Valencia
Coordinador del área OT de
Iberdrola
"La seguridad es un
parámetro común a
todas las tecnologías,
por lo que se debería
caminar hacia un
mismo estándar. La
colaboración público-
privada es importante
para facilitar vías de
homogeneización
de la tecnología"
ca. Es algo que se va a explotar más
a partir del éxito que tuvo WannaCry",
comentó a continuación.
El representante de ISACA alertó
también sobre el tipo de amenazas
que van a surgir a partir de ahora: los
ataques combinados, cuyo cometido
es dañar, de forma simultánea, tanto
componentes físicos como lógicos
de las instalaciones industriales. "Es
imposible modelizar la malicia huma-
na", manifestó al respecto.
Todos los presentes estuvieron
de acuerdo con este planteamiento,
y señalaron que, tecnológicamente
hablando, todo lo que venga en tér-
minos de riesgos será más sofisticado
de lo que hay ahora. Sin embargo,
pusieron el acento en dos hechos
sobre los cuales las empresas no
deben descuidarse. El primero es que
"las organizaciones siguen cayendo en
las mismas vulnerabilidades de toda la
vida, las de hace diez años. Siguen sin
ciberseguridad industrial sobre la mesa
parchear, configurar sistemas, actuali-
zar...", aseguró Cobo, de Ferrovial.
El segundo problema, que planteó
Díaz, de EDP España, es la entrada de
los ciberdelincuentes en los sistemas a
través de los proveedores de servicios.
"En muchos casos, la infiltración de los
ataques se produce a través de estas
compañías, porque no tienen incorpo-
rada una estrategia de seguridad ade-
cuada. Hay que concienciar también a
este colectivo", añadió.
Al respecto, Valiente, del CCI, aña-
dió la necesidad de solicitar a las
empresas proveedoras que "cuenten
con un interlocutor válido en términos
de ciberseguridad" para poder trabajar
conjuntamente en esta materia.
Arturo E. Díaz
Relación entre IT y OT CISO de EDP España
El hecho de hacer frente a estas y
otras amenazas implica un cambio en "En ocasiones,
la estrategia y en la manera de acer- la infiltración de los
carse al concepto de la ciberseguridad ataques a compañías
por parte de las compañías industria-
les, tal y como se trató a continuación
industriales se produce
en la mesa redonda. Y es que no se a través de los sistemas
aproximan igual los equipos de IT que de sus proveedores,
los de OT. Los primeros, en opinión de porque estos no tienen
De Pablo, de ISACA, "están acostum-
brados y concienciados en el uso de
una estrategia de
metodologías como ITIL, ISO 27001 y seguridad adecuada.
otras. En cambio, la preocupación de Por tanto, es importante
los profesionales OT es la producción concienciar también a
y que esta salga adelante, por lo que
este colectivo"
las metodologías son complicaciones
añadidas". Por eso, para este profe-
sional, lo que hay que hacer es "poner
IT y OT al mismo nivel". ciberseguridad industrial sin ambos
En este punto coincidieron todos los conceptos. De hecho, es imprescin-
presentes. Por ejemplo, Díaz, de EDP dible que haya una confluencia hacia
España, confirmó que ahora cada una la seguridad transversal con equipos
de estas áreas lleva su velocidad. "El multidisciplinares", manifestó.
mundo OT es más ágil a la hora de De igual manera se pronunció García,
resolver un problema. No tienen tantos de Check Point: "La ciberseguridad
procedimientos, y están más acos- debería ser una función transversal que
tumbrados al dicho: 'Yo me lo guiso y afectara a todos los departamentos. Y
yo me lo como'". Por eso, considera se debería abordar de manera colabo-
importante igualar ambas. rativa". De hecho, continuó: "Cuanto
Así piensa también García, de Check antes se den cuenta las empresas del
Point: "La misma resistencia que hace ámbito industrial, antes se pondrán al
unos años se encontraban los profe- mismo nivel IT y OT".
sionales de la seguridad cuando iban Pero, ¿qué tiene que suceder
a hablar con el área de IT es la que para que ambas partes avancen en
se encuentran ahora los de IT cuando la misma dirección?, se preguntaron
van a hablar con OT". Sin embargo, seguidamente los asistentes. En este
reconoció que estos últimos, poco a sentido, Cobo, de Ferrovial, aportó
poco, van venciendo esa resistencia. una de las respuestas. Para el direc-
Por todo ello, es necesaria la con- tivo, y aunque es consciente de que
fluencia entre los sistemas de IT y son distintas tecnologías, la clave está
de OT. En palabras de Buitrago, de en contar con "una capa de ciberse-
Fertiberia, "no se puede entender la guridad similar para todo el mundo";
red seguridad segundo trimestre 2018 21
 ciberseguridad industrial
sobre la mesa
La implicación de la alta dirección en temas de ciberseguridad es una de las claves que
se apuntaron durante el debate para avanzar en este sentido en el ámbito industrial.
es decir, "disponer de una visión gene-
ral en materia de ciberseguridad. Debe
ser algo transversal, por encima de
todo, porque, en caso de no ser así,
seguiremos teniendo esas dos veloci-
dades que comentábamos".
En ello también estuvo de acuerdo
Valencia, de Iberdrola, para quien la
ciberseguridad no es un tema que
deba corresponder exclusivamente al
departamento de seguridad, sino que
"debe ser algo propio de cada área
de la empresa". Además, ve necesa-
ria esa convergencia, para la cual es
cuestión de "voluntad, entendimiento,
tiempo y dinero", enumeró.
De Pablo, de ISACA, sugirió una
serie de medidas para avanzar hacia
esa confluencia. Por ejemplo, se mos-
tró convencido de que los equipos
de OT deben desarrollar modelos de
control similares a los que desde hace
varios años están implantando los
profesionales de IT para mitigar los
riesgos. "El objetivo con ello sería
potenciar la madurez, lo que, a su
vez, redundaría en una mejora de la
resiliencia", sostuvo.
Algo con lo que estuvo de acuerdo
Cobo, de Ferrovial, para quien los
modelos de riesgo y control serían
"perfectamente aplicables" a ambos
entornos. Eso sí, lo que cambiaría
sería la forma de llevarlos a cabo.
Sobre el tema abundó un poco más
De Pablo, de ISACA, para quien los
análisis de riesgos serían uno de los
puntos débiles sobre los que la parte
OT tendría que trabajar para acabar
con esa doble velocidad de la que se
22 red seguridad segundo trimestre 2018
hablaba anteriormente. "Los análisis
de riesgos tienen una metodología
antigua, porque se desarrollaron en la
década del 2000, muy enfocados a los
activos; pero lo que realmente movi-
liza el problema es la amenaza y su
característica evolutiva y cambiante".
Por tanto, consideró que habría que
desarrollar modelos que representen lo
La ciberseguridad debe ser una
función transversal que afecte a
cada uno de los departamentos
de las empresas industriales
que se tiene entre manos, que no es el
mismo que antes.
Claro que, a juicio de Valiente, del
CCI, estos modelos de análisis de ries-
gos no dejan de ser "una herramien-
ta más" que complementa a otras,
pero que no se encuentra por encima
de ninguna. Todas ellas proporcionan
"fotos que se hacen para tomar mejo-
res decisiones"; es decir, "aportan
una visión para ayudar a saber cómo
actuar", manifestó.
¿Tecnología madura?
A continuación, el debate derivó en
saber si, a juicio de los presentes, exis-
te hoy en día una tecnología madura
que permita avanzar en el ámbito de la
ciberseguridad industrial. Para García,
de Check Point, el aspecto fundamen-
tal en este punto es que los dispositi-
vos incluyan, de forma nativa, el con-
cepto de seguridad. "Al menos, como
mínimo, deben incorporar un usuario
y una contraseña", apuntó. Y es que,
con la proliferación del Internet de las
Cosas, "se ha aumentado la superfi-
cie de ataque de forma exponencial".
Precisamente, su empresa, comentó,
está trabajando en una tecnología de
"nanoagentes" que se pueden instalar
en los dispositivos IoT de las empresas
industriales, con la finalidad de contro-
lar la seguridad de cada uno de esos
aparatos.
Finalmente, en opinión del directi-
vo, esto también se debería comple-
mentar con medidas desde el punto
de vista regulatorio, algo en lo que
coincidieron los presentes. Por ejem-
plo, tanto para Díaz, de EDP España,
como para Valencia, de Iberdrola,
resulta fundamental la homologación,
y que esta se produzca desde un
punto de vista internacional, no por
países. "La seguridad es un parámetro
fundamental común a todas las tec-
nologías. Por tanto, se debe caminar
hacia un mismo estándar", dijo Díaz,
mientras que Valencia sostuvo: "de
la mano de IoT tienen una influencia
decisiva, por que lo hay que añadir
una capa de seguridad extra". En este
punto sugirió "la colaboración público-
privada para facilitar las vías de la
homogeneización". Precisamente, De
Pablo, de ISACA, también ve necesa-
rio "ayudar a madurar a OT a través
de la regulación y las exigencias de
homologación".
Con estas reflexiones se llegó a la
finalización del debate. Según conclu-
yeron los presentes, los aspectos más
destacados para avanzar en el fomen-
to de la ciberseguridad industrial son:
contar con la colaboración de la alta
dirección, mejorar la concienciación de
los usuarios, alinear el mundo de IT
con el de OT y, finalmente, hacer de la
ciberseguridad una función transversal
en la organización de cada empresa.
 actualidad tecnológica
noticias

El RGPD comienza a aplicarse sin que

muchas empresas estén preparadas
El RGPD empezó a aplicarse de manera efectiva el pasado 25 de mayo, dos años
después de que la Unión Europea aprobara la norma. A pesar del tiempo transcurrido,
diferentes informes indican que un buen número de empresas aún no están preparadas
para esta regulación. La AEPD tranquiliza respecto a las posibles sanciones, pero urge
de la necesidad de una rápida adaptación.

Tx: Enrique González Herrero
El plazo de dos años concedi-
do a las empresas para que se
adapten al Reglamento General de
Protección de Datos (RGPD) de la
Unión Europea ha llegado a su fin. El
25 de mayo comenzó la aplicación
de esta nueva normativa comunita-
ria, que regula el tratamiento de los
datos personales de los ciudadanos
europeos por parte de las compañías
que operan en territorio de la Unión.
A partir de ahora, las empresas que
cometan infracciones en esta materia
se enfrentan a sanciones que podrían
alcanzar, en el peor de los casos, los
20 millones de euros o el 4 por ciento
del volumen de negocio anual.
A pesar de que el RGPD se aprobó
en 2016 y se abrió un periodo de dos
años para su adaptación, diferen-
tes encuestas han reflejado durante
este tiempo la falta de preparación
por parte de muchas empresas. Un
reciente estudio realizado por la con-
sultora IDC y Microsoft daba cuenta
de que, a tres meses vista de la
entrada en aplicación del reglamen-
to, el 65 por ciento de las empresas
españolas no podían garantizar su
cumplimiento. Otros informes dibujan
incluso un panorama más pesimista
en este sentido.
La directora de la Agencia
Española de Protección de Datos
(AEPD), Mar España, aseguró duran-
te la 10ª Sesión Abierta del organis-
mo, celebrada el 4 de junio, que "no
habrá moratoria" para la aplicación
del RGPD "porque la normativa no lo
permite". No obstante, aclaró que la
propia regulación "propone opciones
amistosas" a las sanciones cuan-
do se demuestre un incumplimiento
por parte de las empresas. España
explicó que existen medidas como
la advertencia o el apercibimiento,
que pueden adoptarse en lugar de
las multas económicas cuando se
aprecie y documente una adecua-
da diligencia en el cumplimiento del
reglamento. Asimismo, añadió, las
autoridades competentes pueden
ordenar medidas adicionales como
la limitación o suspensión del trata-
miento de los datos cuando consti-
tuya un riesgo.
Durante su intervención, la directo-
ra de la AEPD llamó la atención sobre
dos efectos inmediatos del comienzo
de la aplicación del RGPD. Por un
lado, se refirió al ingente volumen
de correos electrónicos enviados a
los ciudadanos los días previos a
la entrada en aplicación del RGPD
para renovar el consentimiento de
tratamiento de sus datos. En ese
sentido, puntualizó que "si ya había
un acuerdo contractual en el que el
cliente hubiera recibido correos, no
es necesario renovar el consenti-
miento prestado previamente". Dicho
consentimiento, continuó, "solo sería
necesario si hubiera un cambio de las
condiciones o finalidad anteriores".
Por tanto, llamó a la calma en torno
a este asunto.
Por otra parte, España advirtió de
las ofertas de asesoramiento en el
RGPD en las que "en ocasiones úni-
camente se facilita documentación
creando una apariencia de cum-

Herramientas para el cumplimiento del RGPD

Durante la 10ª Sesión Anual
Abierta de la Agencia Española
de Protección de Datos (AEPD) se
explicaron las diferentes herramien-
tas que el organismo ha puesto a
disposición de ciudadanos y empre-
sas para ayudarles a adaptarse al
Reglamento General de Protección
de Datos (RGPD).
La primera herramienta a la que se
refirieron los expertos de la Agencia
fue el "registro de actividades de
tratamiento" para documentar y reci-
bir asesoramiento en torno a las
necesidades de cumplimiento de la
norma europea.
Por otro lado, la Agencia puso
en valor la herramienta Facilita, que
permite a las empresas que realicen
"tratamientos de bajo riesgo" –si bien
puede servir de referencia para cual-
quier tipo de compañía– comprobar
su nivel de cumplimiento. Se trata
de un cuestionario online gratuito
con el que empresas y profesiona-
les pueden obtener los documentos
mínimos indispensables para ayudar
a cumplir con el Reglamento.
La AEPD también ha puesto a dis-
posición de los ciudadanos la Guía
de Análisis de Riesgos y la Guía
de Evaluación de Impacto en la
Protección de Datos, para orientar
en ambos sentidos a las empresas.
También ha puesto en marcha el
servicio Informa RGPD, que preten-
de servir de canal a través del cual
los responsables y encargados de
tratamiento o los delegados de pro-
tección de datos planteen las dudas
y cuestiones que les surjan en la
aplicación del Reglamento.
Asimismo, durante la 10ª Sesión
Anual Abierta de la AEPD, los exper-
tos del organismo adelantaron que se
va a publicar una Guía de Brechas
de Seguridad para la notificación de
incidentes.

24 red seguridad marzo 2007


plimiento, pero no incluyen las
actuaciones necesarias para veri-
ficar el mismo". Algunas de estas
ofertas van más allá e incluyen la
designación como delegado de
protección de datos (DPD) sin
que sea obligatoria ni necesaria
esta figura para dichas empre-
sas. Al respecto, la directora del
organismo público afirmó que si
la AEPD detecta prácticas des-
leales de este tipo, actuará en
consecuencia con los medios a
su alcance para erradicarlas.
La responsable de la Agencia
también hizo referencia a los DPD
y al volumen de notificaciones
realizadas al organismo para
comunicar la designación de esta
figura. Esta cifra actualmente supera
las 8.000 notificaciones.
Novedades del RGPD
El RGPD, que derogó la anterior
Directiva en la materia (95/46/CE),
entró en vigor el 24 de mayo de
2016. Establecía un periodo de dos
años para que las empresas pudieran
actualidad tecnológica
adecuarse a este nuevo marco regu-
latorio que amplía los derechos de los
ciudadanos europeos en relación con
la transparencia, la cantidad de datos
que pueden almacenar las empresas o
la finalidad de uso. Asimismo, habilita
el derecho al olvido y a la portabili-
dad de sus datos. También amplía el
deber a la información que han de
noticias
recibir las personas por parte de
las organizaciones y establece el
consentimiento expreso para el
tratamiento de sus datos perso-
nales por parte de las empresas.
La norma, además, obliga a
las compañías a adoptar medi-
das de seguridad para proteger
los datos personales, así como
una evaluación de impacto del
tratamiento, la notificación de los
incidentes relacionados con los
datos y la incorporación de la
figura del delegado de protección
de datos –que no será necesaria
en todos los casos–, además de
las sanciones.
El RGPD es de aplicación direc-
ta en los Estados miembros, sin
necesidad de que antes hayan tras-
puesto la normativa a su ordenamiento
jurídico. No obstante, el Gobierno de
España aprobó el 10 de noviembre del
año pasado el proyecto de nueva Ley
Orgánica de Protección de Datos
(LOPD) que aún no ha visto la luz y que
se encuentra en estos momentos en
tramitación.
 protección de datos
opinión
Análisis de riesgos: eje común en un enfoque
holístico de gestión de seguridad y privacidad
Desde el 25 de mayo de 2018 es
de plena aplicabilidad el nuevo
Reglamento General europeo de
Protección de Datos (RGPD), apro-
bado el 27 de abril 2016. Esta nueva
legislación, que protege los derechos
y libertades fundamentales de las
personas físicas y, en particular, su
derecho a la protección de sus datos
personales, establece una serie de
normas relacionadas con los trata-
mientos de datos personales y la
libre circulación de los mismos.
Con relación a la legislación espa-
ñola sobre protección de datos de
carácter personal, esta nueva nor-
mativa europea presenta un mayor
componente de gestión de la priva-
cidad o, dicho en otros términos, no
solo se trata de tener implantados los
mecanismos de privacidad (jurídicos,
técnicos y organizativos), sino tam-
bién de gestionarlos.
En el caso de la seguridad de los
tratamientos de datos personales, la
privacidad sería la dimensión asocia-
da a la protección de los derechos
y libertades de las personas físicas
en lo relativo a dichos tratamientos.
Por lo tanto, estaríamos hablando de
gestionar la seguridad de la informa-
ción de los datos personales.
¿Cómo se puede entender este
enfoque de gestión de la seguridad
de datos personales? Pues, como
26 red seguridad segundo trimestre 2018
Elisa García
Responsable de Estrategia de Negocio
Consultoría y Seguridad de Ingenia
en otros sistemas de gestión basa-
dos en normas ISO, a través de
un ciclo de mejora continua en el
que, de forma cíclica, se analice la
privacidad, se planifiquen acciones
de mejora, se implanten, se super-
visen y se corrijan las insuficiencias.
Este ciclo de mejora utilizado en
sistemas de gestión como, por ejem-
plo, el SGSI (Sistema de Gestión de
Seguridad de la Información) basado
en la norma ISO 27001, se funda-
menta en el ciclo de Deming (PDCA:
Plan-Do-Check-Act).
Ciclo PDCA
Con respecto a la fase de plani-
ficación (‘Plan’) del ciclo PDCA,
para ayudar a identificar las caren-
cias relativas a la seguridad de
los tratamientos de datos perso-
nales, conforme a lo estipulado
en el artículo 32 del RGPD, se
realizará un proceso de análisis
de los riesgos de los tratamientos
para los derechos y libertades de
las personas físicas. La evaluación
de estos riesgos tomando como
referencia el riesgo aceptable será
el indicador que sirva para decidir si
las medidas actuales de seguridad
del tratamiento son suficientes o si,
por el contrario, es preciso llevar a
cabo un proceso de gestión de los
riesgos; es decir identificar nuevas
medidas que mitiguen los riesgos
no aceptables. Estas nuevas medi-
das de seguridad para mitigar los
riesgos no aceptables, moduladas
por otros factores como son el
estado de la técnica, los costes
de aplicación y la naturaleza, el
alcance, el contexto y los fines del
tratamiento, servirán para planificar
los mecanismos de protección del
tratamiento (fase ‘Plan’ del ciclo de
mejora).
La implantación de estas medidas
de seguridad del tratamiento, junto
con la supervisión continua de las
mismas, representarían de alguna
forma el ‘Do’ y ‘Check’ respectiva-
mente. Las actuaciones que, a la luz
de los resultados de esta supervisión
y bajo posibles violaciones de segu-
ridad, deban acometerse, constitui-
rían el 'Act'. Asimismo, ante nuevos
tratamientos que puedan entrañar
un alto riesgo para los derechos y
libertades de las personas físicas,
se deberán realizar evaluaciones de
impacto, es decir, volver a repetir el
ciclo de mejora.
Otras regulaciones
Este enfoque de la seguridad de los
tratamientos orientada a riesgos es
también adoptado por otras regu-
laciones y estándares de seguri-
dad. Así, por ejemplo, la SGSI-ISO
 protección de datos opinión

La evaluación tomando como referencia

el riesgo aceptable será el indicador que sirva para
decidir si las medidas actuales de seguridad del
tratamiento son suficientes

27001 y el Esquema Nacional de
Seguridad, ENS (RD 3/2010 modifi-
cado por el RD 951/2015), requieren
de un análisis de riesgos de seguri-
dad de la información.
Por lo tanto, en una organización
en la que deba implantarse el RGPD,
el ENS y/o la norma ISO 27001,
podrá realizarse un análisis de ries-
gos conjunto, que sea el eje común
a todo el marco regulatorio y que
integre las amenazas de seguridad
de la información con las asociadas
a los tratamientos de datos persona-
les para los derechos y libertades de
las personas físicas.
La propia herramienta de aná-
lisis de riesgos PILAR (Programa
Informático Lógico de Análisis de
Riesgos, que implementa la meto-
dología Magerit) ya incluye esta posi-
bilidad.
Además, en el caso de las admi-
nistraciones públicas, el propio pro-
yecto de Ley Orgánica Protección
de Datos española menciona en
su disposición adicional primera
(Medidas de seguridad en el ámbi-
to del sector público) que el ENS
incluirá las medidas de seguridad
de tratamiento, adaptando los cri-
terios de determinación del riesgo
en el tratamiento de los datos a
lo establecido en el mencionado
artículo 32 del Reglamento (UE)
2016/679. Esto refuerza el argu-
mento para realizar un proceso
de análisis de riesgos conjunto
RGPD-ENS.
Así, pues, una organización suje-
ta a diferentes requisitos regulato-
rios y estándares de seguridad
(RGPD, ENS, ISO 27001) podría
seguir el enfoque anteriormente
descrito, desarrollando un proceso
de análisis y gestión de riesgos en
la seguridad y privacidad como eje
común y punto de partida, y apro-
vechando las sinergias y coinci-
dencias entre las distintas normas
y leyes aplicables, a modo de sim-
plificar los esfuerzos tanto de
implantación como de manteni-
miento.

Enfoque global del cumplimiento de los requisitos regulatorios de seguridad de la información y privacidad.

red seguridad segundo trimestre 2018 27

 protección de datos
opinión
Y llegó el tsunami. 'Be water, my friend'
Y llegó el tsunami. Tal como se
preveía, se inundaron nuestros dis-
positivos por las olas de correos
electrónicos recibidos provenientes
de las rezagadas y, me atrevo a
decir en muchos casos, asusta-
das entidades, en la antesala y
desde la directa aplicación, el 25 de
mayo de 2018, del Reglamento (UE)
2016/679 del Parlamento Europeo
y del Consejo de 27 de abril de
2016, relativo a la protección de las
personas físicas en lo que respecta
al tratamiento de datos personales y
a la libre circulación de estos datos,
y por el que se deroga la Directiva
95/46/CE (Reglamento General de
Protección de Datos, RGPD). El ner-
viosismo y alarma social generados
me pide intentar aportar opinión,
coherencia, tranquilidad y unas bre-
ves aclaraciones al respecto.
Es de aplicación el comenta-
do RGPD, y como faro que ilu-
mine nuestros procedimientos en
aras del cumplimiento, la Agencia
Española de Protección de Datos.
Se agradece el proactivo trabajo de
la misma y las interesantes obser-
vaciones de la décima sesión del
pasado 4 de junio.
Ámbito
Proteger los derechos y las liber-
tades fundamentales de las per-
sonas físicas. La legislación solo
28 red seguridad segundo trimestre 2018
Javier Pascual
Bermejo
Abogado, Socio Director de Segurlex
Consultores & Compliance Abogados
afecta a la información de éstas
últimas, no de las compañías, aso-
ciaciones, organismos públicos.
Eso sí, huelga decir que las enti-
dades con personalidad jurídica se
componen de personas físicas.
Tratamientos y consentimiento
El RGPD no exige pedir consenti-
miento para el tratamiento de datos
personales si la entidad ya lo obtuvo
antes de forma lícita. Cada empre-
sa trata unos datos para unos fines
específicos, por lo que una política
de privacidad de una empresa no
es aplicable para otra. Sí se exige
la renovación de una aceptación
cuando anteriormente el consen-
timiento se sostuviera sobre una
aceptación no expresa o tácita.
Válido antes, no ahora. De igual
modo, cuando se pretendan usar
los datos para distintas finalidades.
Son muy diversas las variables a
tener en cuenta, como puedan ser
si nuestros clientes son personas
físicas o no, si el consentimiento
expreso se obtuvo previamente,
la existencia de contratos con los
clientes que justifiquen un inte-
rés legítimo, si existen envíos de
publicidad, si se ceden los datos
de los clientes a terceros, si trata-
mos datos especiales, si aconte-
cen transferencias internacionales
de datos…
El consentimiento expreso es uno
de los puntos que más nerviosismo
y alarma está ocasionando. Si en
el pasado obtuvimos el consenti-
miento expreso de los clientes no
tenemos que volver a solicitarlo,
como se ha dicho, y es que ade-
más se corre un innecesario riesgo
de que alguien cuyo consentimien-
to ya teníamos lo deniegue en esta
ocasión.
Recordemos la existencia de los
contratos verbales en nuestro orde-
namiento jurídico, aunque siem-
pre tendremos una garantía jurídica
más determinante si son documen-
tados por escrito.
Valga de muestra un botón. En
consulta a la Agencia Española
de Protección de Datos sobre si
era necesario el consentimiento
expreso para poder emitir facturas
y guardar esos datos para emitir-
las, la Agencia se pronunció en el
sentido de que si el cliente solicita
la emisión de una factura, se esta-
blece una relación contractual en la
que se recogen datos personales
para gestionar la emisión de la
misma que legitima el tratamiento
de datos, y en supuestos como el
enjuiciado se eximirá de la necesi-
dad del consentimiento al estable-
cer, como excepción al mismo, que
no es necesario el consentimiento
cuando los datos se refieren a las

El Reglamento General de Protección de Datos
no exige pedir consentimiento para el tratamiento
de datos personales si la entidad ya lo obtuvo antes
de manera lícita
partes de un contrato o precontrato
y sean necesarios para su manteni-
miento o cumplimiento
Volviendo a destacar la impor-
tancia de la finalidad antes citada
respecto al consentimiento, en los
casos de cesión a terceros, si en
un futuro queremos ceder los datos
de nuestros clientes a terceros para
que éstos luego ofrezcan sus servi-
cios, si no hemos solicitado el con-
sentimiento, bajo ningún concepto
podremos ceder los datos nunca.
Nunca, hasta que no obtengamos
el explícito consentimiento.
Política de privacidad
Tendremos que reelaborar nuestra
política e incluir información actua-
lizada de quienes estemos tratando
sus datos o que tengamos pensa-
do tratar.
¿Obligatoriedad de envío por
correo electrónico? No, aunque
puede ser un medio eficiente, que
no significa que sea el más adecua-
do, pues puede tener las políticas
ya adaptadas anteriormente.
Prestaciones nuevas
En base a la alarma generada,
posiblemente los proveedores de
servicios nos ofrezcan aplicaciones
para gestionar bases de datos y
servidores en línea. Que sean muy
útiles para cumplir los principios
no significan que sean obligatorias.
Para algunos casos son más que
recomendables, pero en muchos, y
vuelvo a resaltar su gran utilidad, no
son obligatorias.
Fase Zen
Pero entonces, ¿qué pasa con esto
del nuevo RGPD? Pasa que debe-
mos asesorarnos por especialis-
tas en la materia y adecuarnos
coherentemente de la mejor forma
posible, sí o sí, perogrullada al
canto, dado que las multas son
para tomar el tema muy muy en
serio. Y es que estamos ante dere-
chos fundamentales, pero la ante-
rior legislación de protección de
datos era concreta, específica y de
muy amplio espectro, la cual nos ha
proporcionado garantía jurídica. Por
lo tanto, a quienes hayan convivido
hasta esta nueva legislación con
procedimientos y políticas adecua-
das a la misma, la adecuación les
va a resultar llevadera. Trabajo de
campo, no lo niego, trabajo a reali-
zar, adaptación sin genero de duda,
algún que otro recurso, o muchos
en algunos casos, pero coherencia
y serenidad.
Hemos asistido a una alarma social
exagerada que ha dado lugar a
que muchas empresas se hayan
precipitado con envíos masivos
innecesarios.
red seguridad
protección de datos opinión
Es quizás poco probable ser
sancionado ya por el hecho de
no haberse adaptado, aunque se
haya tenido dos años para ello.
Dependerá obviamente del caso, no
bajemos la guardia. Recuerde, lec-
tor: si no acaece un incumplimiento,
o de haberlo no hay reclamación o
actuación de oficio, no hay sanción.
Aunque no haya llegado a tiempo
para la adaptación, lo verdadera-
mente importante es ponerse a ello
cuanto antes, con la ayuda de un
consultor. La sensación que tene-
mos desde Segurlex Consultores
& Compliance Abogados es que
hemos asistido a una alarma social
exagerada, que ha dado lugar a
que multitud de entidades empre-
sariales, pymes y profesionales,
incluso marcas de afamada repu-
tación empresarial, se hayan qui-
zás precipitado con envíos masivos
innecesarios. Y ya estamos viendo
en muchos casos, erróneos.
Concluyendo, trasladar un men-
saje de tranquilidad y felicitación
para quienes ya iniciaron y proce-
dieron a la adaptación. También de
tranquilidad, pero en este caso de
mayor responsabilidad y proactivi-
dad en aras de la completa ade-
cuación para quienes cumplen par-
cialmente. Y para los que no
estaban alineados con la Ley
Orgánica de Protección de Datos
en su momento, ni lo estén ahora
con el RGPD, que pasen de fase
Rem a fase Zen; sin alarmismos,
pero despierten y manos a la obra
ya, de la mano de consultores y
asesores especializados. No es
cuestión baladí.
info@segurlex.com.es
segundo trimestre 2018 29
 privacidad
opinión
Reglamento ePrivacy: la segunda ola
está por venir
Ramón Miralles
Socio profesional en Ecix-director de
Calidad
Hay que reconocer que el
Reglamento General de Protección
de Datos (RGPD), y su exigibilidad
a partir del 25 de mayo de 2018,
no ha pasado desapercibida, espe-
cialmente por su impacto directo en
todos y cada uno de nosotros, que
hemos visto como nuestras ban-
dejas de correo electrónico y dis-
positivos se llenaban de mensajes
anunciándonos, junto con la llegada
del Reglamento, algunas otras cues-
tiones de interés en relación con el
uso de nuestros datos personales en
un esfuerzo de "transparencia" sin
precedente.
Pues bien, muy probablemente
el Reglamento sobre el respeto de
la vida privada y la protección de
los datos personales en el sector
de las comunicaciones electróni-
cas, conocido como Reglamento
"ePrivacy", tampoco pasará des-
apercibido cuando sea aprobado
o entre en vigor. Ambos reglamen-
tos tienen mucho en común. Por
ejemplo, según la versión que está
siendo objeto de tramitación en las
instituciones europeas, este último
debería haber sido "aplicable a
partir del 25 de mayo de 2018",
cosa que evidentemente ya no va
a suceder. Al respecto, hay que
añadir que la última situación en
relación con su tramitación, que
es la de procedimiento legislativo
30 red seguridad segundo trimestre 2018
ordinario, es que aún se encuentra
a debate en el Consejo Europeo.
El Reglamento ePrivacy deroga-
rá la directiva sobre la privacidad
y las comunicaciones electrónicas
(Directiva 2002/58), estableciendo
normas relativas a la protección de
los derechos y las libertades fun-
damentales de las personas físicas
y jurídicas en el ámbito de la pres-
tación y utilización de servicios de
comunicaciones electrónicas, con
especial atención al derecho al res-
peto de la vida privada y las comu-
nicaciones, así como al derecho a la
protección de los datos de carácter
personal.
Respecto a la protección de las
personas físicas en relación con el
tratamiento de sus datos personales,
el Reglamento ePrivacy hace preci-
siones y complementa lo previsto en
el RGPD. Por tanto, establece nor-
mas específicas de modo que, aten-
diendo al principio de especialidad,
el Reglamento ePrivacy prevalecerá
sobre el RGPD, que es de carácter
general, cuando se traten datos de
carácter personal en el ámbito de
aplicación del primero.
Lo previsto en el ePrivacy será
aplicable al tratamiento de datos
de comunicaciones electrónicas, es
decir, al contenido de las comuni-
caciones electrónicas, incluyendo
los metadatos de esas comunica-
ciones, en tanto se lleven a cabo
en relación con la prestación y
utilización de servicios de comuni-
caciones electrónicas, aplicándose
también a la información relacio-
nada con los equipos de los usua-
rios finales conectados a las redes
públicas de telecomunicaciones. En
lo que respecta al ámbito territorial,
como en el RGPD, incluye la pres-
tación de servicios de comunica-
ciones electrónicas a los usuarios
y equipos terminales situados en la
Unión Europea.
Metadatos
Por "metadatos de comunicaciones
electrónicas" debemos entender lo
que hasta ahora se identificaban
como "datos de tráfico", por lo que
hay que diferenciarlos del "contenido
de las comunicaciones electrónicas".
Los metadatos se podrán tratar para
diferentes finalidades, por ejemplo, a
los efectos de proteger los sistemas
(seguridad) o bien detectar fallos,
evitar el fraude o abusos de los servi-
cios, o incluso proporcionar servicios
de valor añadido (en este último caso
deberá contarse con el consenti-
miento de los usuarios).
Hay que tener en cuenta que, en
relación con la confidencialidad de
los datos de comunicaciones elec-
trónicas, se parte de la regla general
de la prohibición de cualquier inter-

ferencia que afecte a los mismos,
salvo que el reglamento lo autorice;
por tanto, se prevén las circunstan-
cias en las que el tratamiento está
autorizado. Esa prohibición alcanza
también al uso de las capacidades
de tratamiento y almacenamiento
de los equipos terminales, así como
a la recopilación de información de
esos equipos.
Sin entrar a analizar aquí las diver-
sas casuística en que se autoriza el
tratamiento, conviene, por su rele-
vancia, referirnos al consentimiento
de los usuarios, en particular con
relación a la información vinculada a
los equipos terminales de los usua-
rios finales.
'Cookies' y consentimiento
El uso de las capacidades de tra-
tamiento y almacenamiento de los
equipos terminales, y la recopilación
de información de estos, podrá lle-
varse a cabo en tanto se cuente con
el consentimiento del usuario, que
también podrá utilizarse para reco-
pilar información emitida por esos
equipos terminales con el fin de
conectarse a otro dispositivo o a
un equipo de red, siempre y cuan-
do se informe adecuadamente de
las modalidades de recopilación, su
finalidad, las personas responsables
de ella y la información restante
requerida de conformidad con el
artículo 13 del RGPD, en el caso de
que se recojan datos personales.
En definitiva, el regulador se
está refiriendo a las cookies y a
otros medios de almacenamiento
de datos, que en estos momentos
resultan necesarios para el funcio-
namiento de la publicidad digital,
y en general para otras muchas
funcionalidades de Internet. De ahí
que cuando ePrivacy entre en vigor
modificará el actual régimen de uso
de las cookies. Por otro lado, hay
que añadir que ePrivacy no se dedi-
ca exclusivamente a las cookies,
puesto que también regula el uso de
datos que a priori no son de carácter
personal; pero esa es una cuestión
en la que no entraré.
Por lo que respecta al consenti-
miento al cual se hace referencia en
ePrivacy, hay que tener en cuenta
que debe tener las mismas carac-
terísticas y recogerse en las mismas
condiciones que las previstas en el
RGPD, haciéndose referencia direc-
ta al apartado 11 del artículo 4 del
RGPD y a su artículo 7. Por tanto,
deberá tratarse de una "manifesta-
ción de voluntad libre, específica,
informada e inequívoca", mediante la
cual se acepta que el tratamiento se
lleve a cabo, siempre en base a "una
declaración o una clara acción afir-
mativa", cuestión que, como sabe-
mos, ha causado en buena medida
el aluvión de comunicaciones en los
días previos a la plena exigencia del
RGPD.
Pero en este punto ePrivacy añade,
en relación con el consentimiento,
algunas cuestiones relevantes y no
exentas de dificultades, ya que per-
Cuando ePrivacy entre en vigor
modificará el actual régimen de uso
de las cookies y de consentimiento
por parte del usuario, en línea con el
RGPD.
red seguridad
privacidad opinión
mite que este pueda expresarse a
través de una configuración técnica
de las aplicaciones que permiten
el acceso o uso de los servicios de
Internet, comúnmente los navega-
dores.
En la práctica el usuario deberá
configurar su navegador para que
se instalen las cookies, ya que por
defecto este deberá estar confi-
gurado para no recibirlas. Por ello
parece que ya no serían necesarios
los avisos de las páginas web,
puesto que el consentimiento se
obtendría a partir de la configu-
ración del navegador. Tal y como
dispone ePrivacy, en su actual ver-
sión, al iniciarse la instalación de las
aplicaciones de acceso a Internet
deberá informase a los usuarios
sobre las opciones de configura-
ción de confidencialidad de que
dispone, debiendo solicitar el con-
sentimiento previo del usuario final
respecto de una configuración de
privacidad determinada.
Por supuesto ese consentimiento
debe poder ser retirado en cualquier
momento, y habrá que recordar esa
posibilidad de retirada del consen-
timiento cada seis meses, en tanto
permanezca el tratamiento.
Seguridad del tratamiento
La alineación con el RGPD también
alcanza a cuestiones como la seguri-
dad de los tratamientos, puesto que
deberán aplicarse medidas técnicas y
organizativas que garanticen un nivel
de seguridad apropiado para mitigar
los riesgos que puedan concurrir en
el tratamiento de datos personales
que se derive de las comunicaciones
electrónicas; es decir, atendiendo
a lo dispuesto en el artículo 32 del
RGPD.
En definitiva, después del impacto
que ha tenido el RGPD, al menos de
manera visible para los usuarios, nos
espera una segunda ola de cambios
en algo tan relevante como la nave-
gación por Internet. En buena parte
dependerá de cómo quede aproba-
do finalmente el Reglamento sobre la
privacidad y las comunicaciones
electrónicas, así que habrá que estar
atentos. Recomiendo recordar las
lecciones aprendidas con la adecua-
ción al RGPD.
segundo trimestre 2018 31
 actualidad tecnológica
noticias
Incibe resolvió más de 123.000 incidentes
de ciberseguridad en 2017
El Instituto Nacional de Ciberseguridad (Incibe) resolvió
123.064 incidentes de seguridad durante el pasado año,
un 6,77 por ciento más que 2016, según su Balance 2017.
El Instituto Nacional de
Ciberseguridad (Incibe)
resolvió un total de
123.064 incidentes de
seguridad en 2017, un
6,77 por ciento más
que el año anterior. De
ellos, 116.642 afectaron a
empresas y ciudadanos,
885 a operadores estra-
tégicos y 5.537 corres-
pondieron al ámbito
académico de la RedIris,
según se desprende del
Balance 2017 presentado el 2 de
marzo en Madrid.
Esta entidad solucionó satisfacto-
riamente 2.425 incidentes de ran-
somware, comunicó 18.111 vulne-
rabilidades nuevas y emitió 491 avi-
sos de seguridad, además de enviar
49.924 notificaciones a terceros para
su implicación en la investigación y
resolución de incidentes.
Igualmente, la Oficina de Seguridad
del Internauta (OSI) atendió 4.354 con-
sultas de ciudadanos y envió 131.857
notificaciones del servicio Antibotnet.
Por su parte, desde Internet Segura
for Kids, el portal de Internet puesto
en marcha en febrero de 2017 para la
concienciación de menores, familias
y profesionales del ámbito del menor,
se llevaron a cabo 929 acciones
de sensibilización que alcanzaron a
41.925 personas. Mientras, el servicio
"Protege tu empresa", el programa
para concienciar a las corporaciones
y enseñarlas a detectar sus ries-
gos, contó con 3.852 inscripciones
en su curso de ciberseguridad para
pequeñas y medianas compañías y
autónomos y con 14.070 visitas a los
itinerarios de seguridad de la informa-
ción por sectores empresariales.
Plan de acción
Tras hacer un balance de lo que fue-
ron sus acciones en 2017, Incibe pre-
sentó su plan de actividad 2018, para
el que cuenta con un presupuesto de
23.220.000 euros.
32 red seguridad segundo trimestre 2018
De esta manera, durante el presente
año, las actuaciones que lleva a cabo
este organismo se están focalizando en
cuatro líneas principales: servicios de
ciberseguridad (respuesta a incidentes
y concienciación), desarrollo de tecno-
logías de seguridad de la información
para la lucha contra el ciberdelito y el
cibercrimen, apoyo al desarrollo de
la industria, I+D+i e identificación de
talento y servicios transversales.
Todo ello se implementará dina-
mizando la industria de la ciberse-
guridad en España de forma que se
actúe en las áreas más relevantes
para las empresas. Concretamente,
se accederá a nichos de mercado, se
apoyarán iniciativas emprendedoras,
se potenciará la visibilidad exterior
de la industria española y se desa-
rrollarán acciones de dinamización y
cooperación entre administraciones y
el sector privado.
Igualmente, Alberto Hernández,
director general de Incibe, destacó en
la presentación del Balance de 2017 y
del Plan de Acción 2018 las activida-
des que la entidad ha desarrollado
junto al Ministerio del Interior apoyan-
do a las Fuerzas y Cuerpos de
Seguridad del Estado en la lucha con-
tra el ciberdelito y el cibercrimen. Así,
Hernández incidió en la importancia
de la apuesta del Gobierno por el pro-
yecto de Incibe, "algo que se materia-
liza en que el organismo recibiera el
año pasado la mayor partida presu-
puestaria de su historia".
Bruselas propone
medidas para facilitar
a las policías la
obtención de pruebas
electrónicas
La Comisión Europea ha propuesto
una serie de normas para que las
autoridades policiales y judiciales
puedan obtener con mayor facili-
dad y rapidez las pruebas electró-
nicas –como correos electrónicos
o documentos guardados en la
nube– que sean necesarias para
investigar, enjuiciar y condenar a
delincuentes y terroristas.
Las nuevas normas permitirán
seguir mejor las pistas en línea y
más allá de las fronteras, ofrecien-
do al mismo tiempo "garantías
suficientes para los derechos y las
libertades de los interesados".
Entre estas normas se encuentra
una orden europea de entrega y el
impedimento de que se supriman
los datos. Por otro lado, se incluyen
garantías y vías de recurso sólidas y
obligarán a los prestadores de ser-
vicios a designar un representante
legal en la UE para la recepción,
el cumplimiento y el control de la
aplicación de las resoluciones y
órdenes emitidas por las autorida-
des competentes de los Estados
miembros a fin de recabar pruebas
en los procesos penales.
Por último, se ofrece seguri-
dad jurídica a las empresas, a las
autoridades y a los prestadores
de servicios.
Transparencia
Poco después, el 26 de abril,
la Comisión planteó otras nue-
vas normas sobre las plataformas
en línea para proporcionar a las
pequeñas empresas una red de
seguridad en la economía digital
con el objetivo de garantizar la
transparencia y la equidad en las
relaciones con las plataformas.
Entre esta normativa se encuen-
tra la exigencia a los proveedores
de servicios de intermediación en
línea a poner en marcha un siste-
ma interno de tramitación de
denuncias y la creación de un
observatorio de la Unión Europea
para la supervisión de los efectos
de dichas normas.
 actualidad tecnológica
noticias
Los procesos electorales, uno de los principales objetivos
de los ciberataques el año pasado
El año 2017 fue testigo de cómo a tra-
vés de distintos ciberataques se han
intentado debilitar las democracias,
interfiriendo en sus procesos elec-
torales y alimentando sus conflictos
internos, según destaca el informe
de Amenazas y Tendencias de 2018
del CCN-CERT (Centro Criptológico
Nacional).
Este organismo, en su actividad
diaria, ha constatado que los actores
estatales y los criminales profesionales
continúan siendo las amenazas más
importantes, al tiempo que la ciber-
guerra, los ciberconflictos y la guerra
híbrida están cada día más presentes
en el mundo, siempre apoyados por
acciones en el ciberespacio.
Según el documento, durante 2017
las agencias gubernamentales de
multitud de países del mundo, incluido
España, fueron repetidamente víctimas
de persistentes ataques de ciberes-
pionaje a gran escala originados en
terceros Estados. Los servicios de
inteligencia occidentales han identifi-
cado que muchos países están invir-
tiendo en la creación de capacidades
Más del 60% de los usuarios de ordenadores no se
percata de las infecciones de sus equipos
El 61,7 por ciento de los usuarios de
ordenadores y el 28,1 por ciento de
dispositivos Android no se percata
de las infecciones existentes en sus
equipos, según el estudio sobre ciber-
seguridad y confianza en los hogares
españoles del Observatorio Nacional
de las Telecomunicaciones y de la
Sociedad de la Información (ONTSI).
Este documento señala también que
la e-confianza del usuario comienza a
recuperarse tras la gran cantidad de
noticias relacionadas con incidencias
de seguridad publicadas durante el
34 red seguridad segundo trimestre 2018
de ciberdefensa, ya que los métodos
de ataque de los Estados son cada
vez más complejos.
En cuanto la ciberterrorismo, el
informe destaca que los grupos yiha-
distas y terroristas constituyen la prin-
cipal amenaza, aunque todavía no
parecen ser capaces de desarrollar
ciberataques sofisticados. Sus activi-
dades más evidentes, de naturaleza
propagandística, han sido denegacio-
nes de servicio y desfiguraciones.
Además, para el CCN-CERT, las
vulnerabilidades de los navegadores
siguen representando una gran ame-
naza. "En 2017 prosiguieron las ame-
nazas en el hardware y firmware, con
algunos casos significativos", afirma.
primer semestre del año. En concreto,
en el segundo semestre aumenta tres
puntos, y el dato se sitúa en el 42,8
por ciento de los individuos.
En este sentido, casi siete de cada
diez usuarios (68,5%) consideran que
su ordenador o dispositivo móvil se
encuentra razonablemente protegido
frente a las potenciales amenazas de
Internet. El uso real de soluciones anti-
virus es del 69 por ciento en PC y del
43,7 por ciento en dispositivos Android.
Sin embargo, este uso real es inferior al
declarado por los internautas.
Igualmente, la utilización de progra-
mas antivirus (2%) y las actualizacio-
nes del sistema operativo (2,6%) han
crecido durante el segundo semestre
de 2017, por lo que las medidas de
seguridad automatizables más utiliza-
das son estos dos elementos, segui-
dos de los cortafuegos y los progra-
mas de bloqueo de pop-ups.
Por su parte, a pesar de que el
ransomware ha proseguido su sofis-
ticación en los últimos años, se ha
apreciado un descenso en su número
de ataques. Mientras, las vulnera-
bilidades del Internet de las Cosas,
como la ausencia de cifrado o las
escasas e inexistentes actualizaciones
de software, han sido especialmente
explotadas en 2017 para espiar a los
usuarios o para manipular su entorno.
Notificación de incidentes
Por otro lado, cabe destacar que los
incidentes con un alto impacto del
sector público deberán ser notifica-
dos al CCN, tal y como establece
la Instrucción Técnica de Seguridad
de Notificación de Incidentes de
Seguridad, publicada en el Boletín
Oficial del estado el 19 de abril y
prevista en el Esquema Nacional de
Seguridad (ENS).
Para ello, el CCN ha desarrollado la
herramienta LUCIA para automatizar
los mecanismos de notificación, comu-
nicación e intercambio de información
manteniéndose siempre actualizada.
ENISA estudia las
plataformas de
amenazas a través
las necesidades
La Empresa Nacional de
Innovación, ENISA ha lanza-
do el primer estudio sobre las
plataformas de inteligencia de
amenazas enfocado en las
necesidades de los usuarios,
los desarrolladores, los provee-
dores y los investigadores en
el ámbito de la ciberseguridad.
En este documento, la enti-
dad recoge sus esfuerzos para
identificar algunas de las opor-
tunidades y limitaciones clave de
estas plataformas y soluciones
existentes, así como una serie
de recomendaciones destinadas
para las distintas organizaciones.
Además, en él hace un llama-
miento para que se continúen
investigando los beneficios de
las plataformas de inteligencia de
amenazas y los medios por los
que pueden madurar más.

El Reglamento de Seguridad Privada obligará a
proveedores de servicios y tecnologías
Tx: Enrique González Herrero.
El Ministerio del Interior dio a
conocer, el 22 de mayo, el borrador
de proyecto del nuevo Reglamento de
Seguridad Privada (RSP), que afectará
a la seguridad TIC en una doble ver-
tiente. Por un lado, considera "sujetos
obligados" a cumplirlo a las empresas
de "seguridad informática" –como las
denomina el texto–, para las que
establece determinadas medidas de
seguridad. Por otro, obligará a otras
muchas compañías también sujetas
a esta norma a implantar nuevas
herramientas de seguridad de la infor-
mación.
El borrador del RSP establece que
estarán obligadas a su cumplimiento
las empresas dedicadas a la instala-
ción, integración y mantenimiento de
seguridad informática; los servicios
de alojamiento o almacenamiento, los
centros de control de seguridad y los
CERT, los fabricantes y desarrollado-
res de software y hardware de segu-
ridad, las consultoras y las auditoras.
No obstante, la norma (que al cie-
rre de esta edición se encuentra en
proceso de consulta pública) aclara
que las empresas de seguridad infor-
mática tendrán que cumplir "unos
España no llega llega a tiempo de transponer la Directiva NIS
España no ha transpuesto aún (al
cierre de esta edición) la Directiva
europea relativa a las medidas
destinadas a garantizar un eleva-
do nivel común de seguridad de
las redes y sistemas de informa-
ción en la Unión, conocida como
"Directiva NIS", aprobada hace
dos años. La norma comunitaria
establecía el 9 de mayo de 2018
como la fecha "a más tardar" para
que los Estados miembros adop-
taran y publicaran las disposicio-
nes necesarias para adaptación.
A pesar de que el Ministerio
de Industria, Comercio y Turismo
publicó el borrador del antepro-
yecto de Ley sobre Seguridad
actualidad tecnológica
requisitos específicos para garantizar
la calidad de sus servicios en función
de los usuarios concretos a quie-
nes los presten". Asimismo, indica
que esas obligaciones se establecen
sin detrimento de la futura Ley de
Seguridad de redes y Sistemas de la
Información (Ley NIS).
Las medidas que podrían tener
que implantar las empresas de servi-
cios de seguridad TIC son documen-
tales, organizativas, físicas, electróni-
cas e informáticas. Adicionalmente,
tendrán que inscribirse en el Registro
Nacional de Seguridad Privada y,
en algunos casos, contar con un
director de seguridad, responsable
de la aplicación de las medidas
establecidas.
Especial incidencia tendrá este
reglamento para aquellas empresas
que presten servicios de seguridad
lógica a proveedores de servicios
de la sociedad de la información
establecidos en España, así como
operadores estratégicos y críticos.
No en vano, estarán obligadas a
someterse a una auditoría externa
para demostrar que cumplen con los
requerimientos establecidos.
Según el borrador del RSP, las
empresas de seguridad TIC debe-
rán disponer "de las certificaciones
de las Redes y Sistemas de
Información en noviembre del
año pasado, la norma se encuen-
tra en tramitación. De este modo,
España se arriesga al estableci-
miento de multas por parte de la
Comisión Europea debido a este
incumplimiento.
La Directiva NIS tiene por obje-
tivo alcanzar un nivel mínimo de
seguridad de las redes y siste-
mas de información en todos los
países de la UE. Establece requi-
sitos para los propios Estados
miembros, así como para los
operadores de servicios esencia-
les y los proveedores de servicios
digitales.
red seguridad
noticias
de calidad, seguridad, continuidad de
negocio y gestión de riesgos, expe-
didas por entidades de certificación
acreditadas, en los términos que esta-
blezca una orden ministerial, que, en
todo caso, incluirá como exigencia
común a todas ellas, la obligación de
disponer de un sistema de gestión de
calidad certificado en base a la norma
UNE-EN ISO/IEC 9001".
Nuevas oportunidades
Si bien el RSP supondrá un mayor
control y exigencia para las empresas
prestadoras de servicios de seguridad
TIC, también abrirá oportunidades de
negocio dadas las medidas de este
tipo impuestas al resto de sujetos obli-
gados. Entre ellos se encuentran enti-
dades financieras, hospitales, empre-
sas de seguridad privada o despachos
de detectives, que tendrán que adop-
tar nuevas herramientas de seguridad
informática.
El RSP señala diferentes medidas de
seguridad de la información para ellas,
entre las que se encuentra la detec-
ción y protección frente al software
dañino, configuración segura de sus
sistemas, cifrado y control de acceso,
prevención de malware, soluciones y
procedimientos de respuesta a inci-
dentes, etc.
A grandes rasgos, esta direc-
tiva establece la obligación para
todos los Estados miembros de
adoptar una estrategia nacio-
nal de seguridad de las redes y
sistemas de información, crear
un grupo de cooperación para
el intercambio de información,
crear una red de equipos de
respuesta a incidentes de segu-
ridad informática, implantar medi-
das de seguridad en operadores
de servicios esenciales y pro-
veedores de servicios digitales
y la designación de autoridades
nacionales competentes como
punto de contacto único, entre
otras medias.
marzo 2007 35
 actualidad tecnológica
noticias
Andalucía Digital Week: un análisis
profundo de la ciberseguridad
Ana Borredá, presidenta de la Fundación Borredá,
moderó una mesa en este encuentro que contó con la
colaboración de RED SEGURIDAD y otras revistas de la
editorial Borrmart.
Más de 4.000 personas,
según datos de la organiza-
ción, participaron en el Palacio
de Exposiciones y Congresos
de Sevilla (Fibes), del 12 al
14 de marzo, para ser testi-
gos de la primera edición de
la Andalucía Digital Week. Un
encuentro inaugurado por el
Rey Felipe VI y que estuvo
organizado por Eticom (patro-
nal del sector TIC andaluz) y por el
propio Fibes, cuyo objetivo fue presen-
tar una nueva visión de las tecnologías
que generan riqueza y empleo, dando a
conocer nuevos modelos de negocio,
de sostenibilidad y de gobernanza.
Durante su celebración, Ana Borredá,
presidenta de la Fundación Borredá
y directora de RED SEGURIDAD,
moderó una mesa en la última jor-
nada bajo el título "Ciberseguridad,
un problema corporativo, mucho
más allá de TI". En ella participaron
Santiago Ramón Alonso, comandan-
te jefe del Grupo de Ciberterrorismo
de la Jefatura de Información de la
Guardia Civil; José Valiente, director del
Centro de Ciberseguridad Industrial;
Alejandro Ramos, Global Chief Digital
Security Officer de Telefónica; Vicente
Moscardó, CISO de Bankia; Marcos
Gómez, subdirector de Servicios de
Ciberseguridad Incibe; Concepción
Cordón, responsable de Riesgos de
SESIAD, Red.es, Incibe
y Cisco impulsan la
estrategia digital
La Secretaría de Estado para la
Sociedad de la Información y la
Agenda Digital (SESIAD), Red.es,
Incibe y la compañía Cisco firma-
ron, el 28 de mayo, un convenio
marco de colaboración para impul-
sar la estrategia digital de España.
En concreto, realizarán acciones de
formación para el empleo para pro-
fesionales y universitarios.
36 red seguridad segundo trimestre 2018
la Empresa Municipal de Aguas de
Málaga; y Javier Almendro, director
de Venta Consultiva de Seguridad de
Ingenia.
Los visitantes pudieron ser testigos
de otras ponencias y mesas redon-
das sobre compliance o cumplimiento
normativo, el Reglamento Europeo de
Protección de Datos, el Internet de las
Cosas, las claves para el impulso de
la digitalización en el ámbito andaluz,
nacional y de la Unión Europea y la
economía digital, entre otros temas.
En total, este congreso –que contó
con la colaboración de RED
SEGURIDAD y otras revistas de
Borrmart– albergó más de 50 ponen-
cias y mesas redondas a cargo de 150
profesionales de los sectores económi-
co, empresarial y tecnológico. Además,
se mantuvieron 500 encuentros de
negocio en el área B2B y medio cente-
nar de empresas y organismos públi-
cos integraron la zona expositiva.
Publicada la IT
sobre auditorías de
seguridad ENS
El Boletín Oficial del Estado publicó,
el 3 de abril, la tercera instrucción
técnica (IT) acerca de las auditorías
de seguridad obligatorias, la cual
establece las condiciones en las que
deberán realizarse las auditorías de
seguridad obligatorias para los siste-
mas clasificados con categoría media
o alta dentro del ámbito del Esquema
Nacional de Seguridad (ENS).
Toda la actualidad
de la seguridad TIC,
en la página web de
Si quieres estar al día de toda
la actualidad relacionada con la
ciberseguridad, visita la página
web www.redseguridad.com, o
síguenos en las redes sociales
Twitter y LinkedIn.
La elaboración de
una nueva Estrategia
de Ciberseguridad,
a estudio
El Consejo Nacional de
Ciberseguridad estudia la
conveniencia de elabo-
rar una nueva Estrategia de
Ciberseguridad Nacional, que
entraría en vigor tras la publi-
cación oficial de la Ley sobre
la Seguridad de las Redes y
de Sistemas de Información
(conocida como Ley NIS),
adecuándola a los avances
obtenidos desde la Estrategia
de Ciberseguridad Nacional
2013 y a las amenazas y
desafíos que se recogen en
la Estrategia de Seguridad
Nacional de 2017.
Así lo dio a conocer el
Departamento de Seguridad
Nacional tras la reunión del
Consejo el 19 de marzo,
donde también se presentó
la situación del Anteproyecto
de Ley NIS que transpone la
Directiva sobre la Seguridad
de las Redes y Sistemas de
Información. En este senti-
do, el Consejo Nacional de
Ciberseguridad afirma que
España es uno de los seis
países con sus propuestas de
transposición en trámite legis-
lativo y referente en el Grupo
de Cooperación Europeo.
Finalmente, se revisó el esta-
do de preparación del Ejercicio
Cyber Europe 2018, que se
ejecutará el 6 y 7 de junio.
CIBERSEGURIDAD

ADVANCED
CYBERSECURITY
& INTELLIGENCE
DEFENSE
BY PROSEGUR
Concebimos los servicios de seguridad
de una manera integral y los adaptamos
a las necesidades de tu compañía.
Frente a los nuevos retos, confía en
Prosegur Ciberseguridad.
We Are Cyber. We Are Prosegur.

Seguridad Gestionada

Inteligencia de Ciberseguridad

Auditoría Técnica y Digital Forense

Consultoría

Integración de Soluciones

info.cyber@prosegur.com
prosegur.es/empresas-e-instituciones/ciberseguridad
twitter.com/prosegur
linkedin.com/company/prosegur
youtube.com/prosegur
 criptomonedas
opinión
Amenazas relacionadas con las criptomonedas
D esde hace meses se ha desatado
una verdadera fiebre por las cripto-
monedas. No es que estas divisas
hayan aparecido de repente, pues-
to que Bitcoin, la pionera de todas
ellas, lleva entre nosotros desde
enero de 2009. Sin embargo, estas
criptodivisas no llamaron la aten-
ción del gran público hasta que su
valor empezó a aumentar exponen-
cialmente a mediados de 2017.
Este incremento de valor no
pasó desapercibido para los
ciberdelincuentes que, hasta ese
momento, solo habían realizado
alguna campaña ocasional para
robar criptomonedas de los usua-
rios o utilizar sus recursos. La
mayoría de ellos tan solo utilizaba
las criptodivisas como forma de
pago en los rescates exigidos por
el infame ransomware y como un
método para dificultar el rastreo
de dinero obtenido con sus activi-
dades ilícitas.
Todos somos posibles víctimas
El principal problema para la mayo-
ría de usuarios es que, con el
aumento del valor experimentado
por las criptomonedas durante el
último año, los delincuentes han
ampliado sus objetivos a cualquier
tipo de usuario. Como ya hemos
comentado, lo normal era que se
centrasen en aquellos usuarios que
minaban o compraban criptodivisas
38 red seguridad segundo trimestre 2018
Josep Albors
Responsable de investigación y
concienciación de Eset España
o, en su defecto, en los pagos de
los rescates por ransomware.
Sin embargo, los delincuentes
hicieron sus cálculos y vieron que
les salía rentable infectar todo tipo
de dispositivos para ponerlos a su
servicio y, por ende, ponerlos a
minar. Independientemente de si se
trata de un ordenador, un smar-
tphone, una tablet, una Smart TV
o incluso una nevera o tostadora,
cualquier dispositivo conectado a
Internet es útil para esta finalidad, y
por ese motivo hemos visto numero-
sas campañas que intentan infectar
todo lo que esté conectado a la Red.
De ahí que sea importante tener
muy claro que los delincuentes no
solo buscan robar nuestros datos.
La infección de nuestros disposi-
tivos conectados, independiente-
mente de si estos contienen infor-
mación que pueda ser valiosa o no
para utilizar su capacidad de pro-
ceso, almacenamiento y conexión
a Internet, es más que suficiente
y debería hacernos olvidar de una
vez por todas pensamientos tan
extendidos como "si yo no soy nadie
importante, no me van a atacar".
Amenazas y criptomonedas
Con el interés de los criminales cen-
trado en obtener criptomonedas a
nuestra costa, no es de extrañar que
los vectores de ataque y amenazas
relacionadas con el minado no auto-
rizado y el robo de estas criptodivi-
sas hayan aumentado exponencial-
mente en los últimos meses. Estos
son los métodos más usados:
Anuncios maliciosos: el uso de
la publicidad de forma maliciosa
es algo que los delincuentes llevan
haciendo desde hace años. A tra-
vés del malvertising (así es como
se denomina esta técnica) se han
distribuido todo tipo de amenazas
como troyanos o ransomware, y los
criminales no podían dejar pasar la
oportunidad de instalar software de
minado no autorizado en nuestros
dispositivos.
Estos anuncios maliciosos se pue-
den incrustar tanto en webs crea-
das por los delincuentes como en
webs legítimas, siendo la infección
en estas últimas la más peligrosa,
puesto que los usuarios nos con-
fiamos y pueden tener millones de
visitas cada día. Son especialmente
peligrosas aquellas campañas de
malvertising que consiguen intro-
ducir sus anuncios maliciosos en
las redes de publicidad que utilizan
webs con mucho tráfico, puesto que
los delincuentes pueden obtener
una gran cantidad de víctimas de
una sola vez.
Minería web: una de las técnicas
más extendidas durante los últimos
meses y que ha afectado espe-
cialmente a países como España
es la introducción de código de
 criptomonedas opinión

minado en webs. Este código hace Con el aumento de valor de las

que destinemos nuestros recursos
para minar criptodivisas cuando visi-
tamos ciertas webs, minado que
muchas veces se produce sin avisar
y que incluso puede llegar a hacer
que nuestro sistema quede casi
inutilizado mientras estemos en una
de estas webs.
Robo de carteras de criptomo-
nedas: esta es una de las técnicas
más antiguas utilizada por los delin-
cuentes, y consiste en buscar en el
sistema de los usuarios los archivos
wallet relacionados con el alma-
cenamiento de criptodivisas. Si se
consigue robar estos ficheros que
funcionan como carteras virtuales,
el delincuente puede robar todas las
criptomonedas que tengamos alma-
cenadas en ellas. Normalmente,
estos ataques suelen estar provoca-
dos por la descarga e instalación de
algún fichero malicioso que dice ser
algo que no es.
Cambio de direcciones de las
carteras desde el portapapeles:
esta técnica resulta curiosa a la par
que efectiva. Consiste en cambiar
al vuelo la dirección de una cartera
asociada con el almacenamiento
de una criptomoneda para que los
fondos vayan a parar a otra car-
tera asociada con el delincuente.
De este modo, en el caso de que
queramos transferir fondos a la
cartera de un conocido y copiemos
su dirección, el malware cambiará
esta dirección para que coincida
con la del atacante. Pocos usua-
rios revisarán si la dirección de la
cartera coincide con la que hemos
copiado originalmente, por lo que
cuando se den cuenta ya será
demasiado tarde.
Estafas: con toda la fiebre des-
atada por las criptomonedas, no es
de extrañar que las estafas que se
usan como gancho para atrapar a
más de un incauto también se hayan
multiplicado. Actualmente, mientras
criptodivisas, los delincuentes han
ampliado sus objetivos
navegamos es frecuente recibir por
correo o ver anuncios que nos pro-
meten ganar dinero fácil y rápida-
mente invirtiendo en criptodivisas.
La mayoría de estas promesas son
falsas y conllevan riesgos para nues-
tra economía.
Podemos ver estafas de todo
tipo, desde las que nos invitan a
invertir nuestros ahorros en casas
de intercambio de dudosa reputa-
ción, hasta estafas piramidales y
extensiones para nuestro navegador
que harán que nuestro sistema se
resienta mientras estén instaladas.
Posibles soluciones
Ante este panorama es fácil desani-
marse, pero, por suerte, es sencillo
estar protegido frente a los conti-
nuos intentos de los ciberdelincuen-
tes por utilizar nuestros recursos en
su beneficio o robarnos las cripto-
monedas que hayamos podido acu-
mular con el tiempo. El primer paso
es contar con una solución de segu-
ridad como las que proporciona
Eset. No solo nos ayudará a detec-
tar aquellos ficheros maliciosos que
quieran descargarse en nuestro sis-
tema, sino que también permite
detectar el minado no autorizado
que se realiza desde páginas webs.
Relacionado con esto, exis-
ten también iniciativas como
NotMining.org que, a modo de
web o complemento de navega-
dor, revisan si desde cierta URL se
está minando sin nuestro permiso.
Además, los propios navegadores,
conocedores de esta problemática,
están tomando medidas para evitar
que se cometan estos abusos, por
lo que siempre es buena idea contar
con la última versión.
En lo que respecta a las estafas,
debemos guiarnos por el sentido
común y buscar información antes
de invertir dinero en cualquier nego-
cio relacionado con las criptomone-
das. Las experiencias anteriores de
otros usuarios pueden resultarnos
muy valiosas a la hora de decidir-
nos. En cualquier caso, mantener-
nos informados siempre es de gran
ayuda y nos permite estar al día para
evitar que los delincuentes hagan su
agosto a nuestra costa.

Anuncios maliciosos, minería

web, robo de cartera, cambio de
direcciones de las carteras y estafas
configuran las principales amenazas
para quienes poseen criptomonedas.

red seguridad segundo trimestre 2018 39

 X

Seguridad
integral
en la
protección
de los nuevos activos

XII edición
Trofeos de la Seguridad TIC
Organizan

Madrid 19 Junio 2018

Patrocinan

1992 - 2017 MADRID MÁLAGA SEVILLA BARCELONA udea

SANTIAGO DE CHILE LIMA

COEM ( Auditorio) Colabora

C/ Mauricio Legendre, 38 . 28046 Madrid

Inscripción e información: 100 € 50€

Inscripción
91 402 96 07 (Srta. Mariví) Inscripción
Amigos de la
marivi.gomez@borrmart.es
Asistentes Fundación Borredá
 X
Seguridad integral en la protección
de los nuevos activos
8:30 Registro y acreditaciones

Seguridad Integral en la protección de los nuevos activos

9:00 Guillermo Llorente, Subdirector General de Seguridad y Medio Ambiente MAPFRE

Seguridad Integral: de la operación al Consejo de Administración

9:30 Roberto Baratta, Global Executive VP and Director of Loss Prevention, Business Continuity
and Security & DPO AbAncA

Analizando el Coste Total de Propiedad para tomar las mejores decisiones

Alberto Alonso, Business Development Manager de AXIS
Análisis de Riesgos integral para la confluencia de Seguridades
Enrique Bilbao Lázaro, Director Técnico cuEvAvAlIEntE InERco
10:00 Respuesta integral a incidentes de seguridad
Javier Almendro, Director de venta consultiva IngEnIA
La seguridad integral para afrontar el GDPR
Antonio Martínez, Director GRC y socio ÁudEA SEguRIdAd dE lA InFoRMAcIón

11:00 PAUSA CAFÉ

Modelo de Gestión para una integración OT-IT

11:30 David Villalba de Benito, Responsable Protección de Infraestructuras Críticas y de Seguridad EndESA

IT y OT, dos mundos condenados a entenderse

Ricardo Cañizares Sales, Director de Consultoría EulEn

Mecanismos para la adopción de tecnologías IT por parte del mundo OT

Ángel C. Lázaro Ríos, Business Partner. Sector Industria gMv
12:00
Convergencia 4.0. Mundo IT OT
Andreu Bravo, Socio del equipo de Riesgos Tecnológicos y Seguridad (ciberseguridad) dEloIttE
Respuesta a incidentes / DFIR
David Alberto Conde Rontome, Head of SOC/CERT S21SEc

Por qué los estándares no son suficientes: la integración como clave en las Infraestructuras Críticas
13:00 Samuel Linares

13:30 ACTO DE ENTREGA XII EDICIÓN PREMIOS TIC

14:30 CÓCTEl-AlMUERZO
 vehículo autónomo
opinión
Mi coche autónomo: ¿cumplirá las leyes de
Asimov o decidirá tirarme por un barranco?
M i coche autónomo, ¿cumplirá las
leyes de la robótica de Asimov o
decidirá tirarme por un barranco
para no chocar contra un autobús
infantil? Esta es una de las pregun-
tas que más surgen cuando habla-
mos de coches autónomos. En
realidad, Isaac Asimov y sus leyes
de la robótica son ficción, es como
si quisiéramos viajar al centro de la
Tierra y utilizáramos la novela de
Julio Verne para documentarnos y
preparar el viaje. No obstante, los
coches conectados y, en el futuro,
los autónomos, estarán expuestos
a nuevos riesgos que deberíamos
empezar a plantearnos.
Para entender los riesgos, pri-
mero debemos definir la acepción
de "seguridad" en este entorno. En
inglés es más sencillo ya que se
distingue entre la seguridad rela-
cionada con hackeos, intrusiones y
demás (Security/Cybersecurity) y la
seguridad relacionada con riesgos
para el ser humano y seguridad
vial (Safety); pero en castellano lo
englobamos todo bajo la misma
palabra y esto genera un poco
de lío. Evidentemente los mayores
riesgos a los que nos enfrentare-
mos dentro de unos años están
relacionados con el segundo sig-
nificado, ya que estamos hablando
de la posibilidad de interactuar
42 red seguridad segundo trimestre 2018
Carlos Sahuquillo
Consultor de Ciberseguridad en
Automoción de GMV
con el coche sin tener que estar
dentro del mismo; es decir, enviar-
le órdenes y acciones para que
las interprete y las acepte anu-
lando incluso las indicaciones del
conductor que va dentro… Estas
acciones pueden ir desde poner el
aire acondicionado o hacer sonar
el claxon hasta anular los frenos o
todo lo contrario: hacer que frenen
como si se tratara de una frenada
de emergencia.
En España aún estamos un poco
lejos de eso debido a la legisla-
ción, que todavía no permite que
circulen este tipo de coches por
el territorio nacional. En la actuali-
dad, es posible encontrar vehículos
con distintos niveles de autonomía
en algunas ciudades de Estados
Unidos y del norte de Europa, siem-
pre en entornos de pruebas muy
controlados donde estas máquinas
están 'aprendiendo' a reaccionar
ante señales, otros conductores,
imprevistos meteorológicos, etc.
Una amenaza real
Utilizando términos relacionados
con la primera acepción de segu-
ridad (la relacionada con los ciber-
criminales), la amenaza existe y el
impacto sería muy alto, pero aún
no tenemos constancia de que se
estén realizando este tipo de ata-
ques en el mundo real. En este
momento hay unas pocas empre-
sas en todo el mundo que estamos
focalizando esfuerzos para alertar y
concienciar de estas amenazas con
el fin de poder ayudar a los fabri-
cantes de vehículos a desarrollar
soluciones de seguridad adaptadas
a su entorno.
Para que nos hagamos una idea,
cuando un fabricante desarrolla un
nuevo componente de seguridad
en sus coches (por ejemplo, unos
nuevos discos de freno), tarda un
mínimo de cinco años de pruebas
hasta que llegan al mercado. En
todo ese tiempo se han realizado
pruebas de diseño, de laboratorio,
de fatiga, seguramente se han mon-
tado en unidades de Fórmula 1 o en
Rallies… Toda una serie de com-
probaciones en diversos entornos
hasta que se integran en los coches
que podemos comprar en un con-
cesionario. Pero ahora los vehículos
ya incluyen mucha tecnología que
no se puede probar durante cinco
años porque cuando llegara a los
coches de los concesionarios ya
estaría obsoleta y existirían vulnera-
bilidades, por lo que los fabricantes
deben apoyarse en empresas espe-
cializadas que les ayuden en este
proceso de validación y 'auditoría'.
Es decir, que todos los ciberataques
que se prueban, se exponen en los
medios de forma didáctica para que
los fabricantes reaccionen e incluyan
las pruebas de seguridad como una
fase más en sus desarrollos.
También hay que tener en cuenta
que estos ataques pueden ser inter-
nos o externos, igual que sucede
con las redes de ordenadores. El
ciberataque externo está claro: si
el vehículo se encuentra conecta-
do a Internet para calcular la ruta
más óptima para llegar al trabajo o
mostrar en la aplicación del móvil el
estado de carga de la batería en el
caso de los eléctricos, es posible

que este servicio tenga alguna vul-
nerabilidad y que el ciber-atacante
pueda enviar datos falsos al coche
o tener acceso a cierta información
(en el caso de la información per-
sonal almacenada en el vehículo,
debería aplicar lo necesario según
el nuevo Reglamento General de
Protección de Datos).
El ciberataque interno es más
complicado, ya que se necesita tener
acceso físico al vehículo; pero una
vez conseguido es mucho más efec-
tivo dado que no está limitado a las
funciones disponibles y se puede
interactuar prácticamente con todos
los elementos del coche, desde los
frenos hasta la velocidad a la que
circula… No obstante, para esto hay
que tener acceso a alguna de las
centralitas del vehículo (ECU) y, por
tanto, la amenaza es mucho más
limitada y fácil de detectar.
En GMV estamos trabajando en un
sistema de detección y prevención
de intrusiones que básicamente revi-
sa todos los datos generados en la
red del coche por los distintos dispo-
sitivos para detectar anomalías (esta-
mos hablando de muchos datos: un
coche autónomo generará alrededor
de 600 Gigas por segundo). Puede
parecer sencillo identificar las accio-
nes típicas de un coche, pero tiene
su complejidad. Por ejemplo, ¿cuán-
tas frenadas de emergencia hace-
mos al año? ¿Una o dos? ¿Ninguna
porque somos muy precavidos y
siempre guardamos la distancia de
seguridad? Pues cuando se produz-
ca una de ellas el sistema tiene que
ser capaz de saber que se trata de
una frenada de emergencia inusual
y no un tráfico malicioso que deba
filtrar aunque no se haya producido
otro evento similar desde que adqui-
rimos el vehículo.
Cada vez más conectados
Volviendo a los ataques, estos tienen
un impacto limitado por el momento
en el que nos encontramos actual-
mente, pero dentro de unos años los
vehículos se conectarán unos con
otros (V2V) y con la infraestructura
de las calles y carreteras (V2I), por
lo que recibirán mucha más infor-
mación que habrá que proteger para
que nadie pueda falsear. Todo esto
sin aumentar los tiempos de espera
y latencia, ya que nuestro coche
tendrá que procesar toda esa infor-
mación en tiempo real para poder
tomar las decisiones adecuadas en
cada momento.
El impacto es claro: además de
causar accidentes de tráfico, un
vehículo autónomo hackeado puede
convertirse en un arma potencial,
ya no solo para causar daños a
las personas de dentro del vehículo,
sino también a la gente de alrede-
dor. Tanto los fabricantes como la
legislación deben encontrar el equi-
red seguridad
vehículo autónomo opinión
libro entre usabilidad, seguridad y
privacidad. Y no es un equilibro fácil.
Las normativas de seguridad vial ten-
drán que revisarse para dar cabida
a los vehículos autónomos, pero el
momento más complicado va a ser
los años de convivencia entre vehícu-
los convencionales y vehículos autó-
nomos. Ahora por ejemplo, cuando
otro coche te hace una maniobra
rara o se te cruza inesperadamente,
nos queda quejarnos, 'hacerle luces'
y poco más… Con estos vehículos
en las calles, si tu coche autónomo
detecta que otro coche hace una
maniobra rara o se le cruza inespera-
damente, seguramente se retirará al
arcén o frenará para evitar la colisión.
Es necesaria una labor de aprendiza-
je por parte de fabricantes y empre-
sas de ciberseguridad para que los
vehículos autónomos sean capaces
de reaccionar adecuadamente tanto
ante una maniobra inesperada de un
coche no autónomo como ante datos
maliciosos.
La única forma que tendremos
para protegernos de estos ataques
es la misma que utilizamos para pro-
teger nuestros ordenadores, tablets y
teléfonos móviles: estar actualizados.
Tendremos que actualizar periódica-
mente el software del vehículo para ir
parcheando las vulnerabilidades.
Con los dispositivos actuales parece
más fácil dado que el fabricante nos
avisa cuando hay una nueva actuali-
zación y simplemente tenemos que
aceptar la instalación para que las
vulnerabilidades detectadas sean
actualizadas. Con nuestro vehículo
pasará exactamente igual, en algu-
nas ocasiones tendremos una notifi-
cación del concesionario para que
vayamos a instalar una nueva versión
del software y en otras nuestro vehí-
culo será capaz de descargar la
actualización de Internet e instalarla
por sí mismo una vez que la acepte-
mos. En cualquier caso, un futuro
divertido y emocionante.
La única forma que tendremos para
protegernos de estos ataques es la
misma que utilizamos para proteger
nuestros ordenadores, tablets y
teléfonos móviles: estar actualizados.
segundo trimestre 2018 43
 endpoint
opinión
Threat Hunting: feature-as-a-service
La mayor dificultad a la hora de
detectar los nuevos tipos de ata-
ques, que no instalan ficheros mali-
ciosos (malware-less), el mayor nivel
de ruido de las alertas generadas y
la escasez crónica de analistas de
seguridad, hacen que sean cada
vez más los fabricantes que, como
Panda Security, han decidido incor-
porar servicios de Threat Hunting a
sus ofertas, directa o conjuntamente
mediante partners que puedan ofre-
cer más valor a través de servicios
especializados, según el contexto de
cada cliente.
Según una reciente encuesta reali-
zada por Crowd Research Partners y
el Information Security Community de
LinkedIn, con más de 460 respuestas,
sobre el estado de las actividades de
Threat Hunting en los SOC, las pre-
ocupaciones más importantes son la
detección de amenazas avanzadas
y la escasez de profesionales para
afrontar estas tareas. Durante los
últimos 20 años, hemos pasado de
amenazas basadas principalmente
en virus al malware, que ha domina-
do la escena durante la mayor parte
del tiempo. Hoy en día asistimos a
un cambio de ciclo, ya que, aunque
no esperamos que el malware des-
aparezca pronto, las amenazas no
basadas en este tipo de ataques
(malware-less) están cobrando más
importancia, tanto por la variedad de
objetivos simultáneos y cambiantes
que pueden tener, como por la mayor
44 red seguridad segundo trimestre 2018
Josu Franco
Strategy & Technical Advisor de Panda
Security
dificultad de detectarlas, ya que los
atacantes se valen de software ya
instalado y legítimo, pero que puede
ser utilizado con fines maliciosos. El
descubrimiento de estas amenazas
requiere no solo de nuevas tecno-
logías, sino de una labor de investi-
gación por parte de expertos, algo
fuera del alcance de la mayoría de
las organizaciones dada la escasez
crónica de personal cualificado.
Clasificar y reconocer
Para abordar la problemática de
la creciente incidencia de malware
de tipo zero-day, especialmente
ransomware y la problemática de
los ataques malware-less, Panda
Security lanzó, en 2015, Panda
Adaptive Defense, como solu-
ción EDR (Endpoint Detection and
Response) que permite a nuestros
clientes implementar un nuevo para-
digma de protección para el endpo-
int, de forma totalmente transparente
para la organización. Una de las
premisas básicas de la solución es
que todo ejecutable que pretende
ponerse en funcionamiento en una
máquina debe ser primero clasifi-
cado y reconocido como confiable
por Panda Security. Esto se con-
sigue con el servicio cien por cien
Attestation, incluido como parte de la
solución, a todos los clientes. Dicho
servicio es solo posible a través de la
automatización en la clasificación de
un 99,98 por ciento de los procesos
que se intentan ejecutar en "near
real-time". Este nivel de automatiza-
ción solo es posible con algoritmos
de Machine Learning en entornos
Big Data con cientos de atributos de
millones de aplicaciones tanto con-
fiables como maliciosas.
Panda Adaptive Defense integra
además, por el mismo precio de la
licencia, un servicio de Threat Hunting
and Investigation (THIS), que abarca la
monitorización de toda la actividad en
los endpoints, en tiempo real e histó-
rica, y la detección e investigación de
ataques avanzados no basados en
malware. Este servicio, que se presta
de forma transversal a todos los clien-
tes, está basado en una plataforma
desarrollada por Panda, a la cual tam-
bién pueden acceder partners espe-
cializados, que a su vez proveen servi-
cios gestionados de seguridad (MSS)
y servicios gestionados de detección
y respuesta (MDR), en función del
contexto de cada cliente.
De esta manera, los partners pue-
den ofrecer servicios gestionados
de detección y respuesta, incluido
el Threat Hunting, sin una inversión
fuerte inicial en tecnología, recursos y
cambios organizacionales, de forma
escalable y rentable.
Todo ello es posible por dos moti-
vos principales:
Primero, al contar con la base del
servicio de cien por cien Attestation,
automáticamente se detectan todos
los ataques con malware (con fichero
o en memoria mediante exploits en
memoria), por lo que pueden poner
el foco en la detección de ataques
puramente malware-less, más com-
plejos y de mayor impacto potencial.
Segundo, el servicio de Threat
Hunting prestado por Panda se basa
en la detección de amenazas con
cientos de indicadores de ataques

(IoA), originadas por los propios
hunters de la compañía tras validar
nuevas hipótesis de ataque, por la
compartición o el uso de inteligencia
de amenazas de fuentes externas,
etc. La clave de este servicio es que
los threat hunters de Panda Security
tienen la misión de descubrir proacti-
vamente nuevos patrones de ataque,
nuevas técnicas no conocidas hasta
hoy, elaborando hipótesis de trabajo
en base al conocimiento del compor-
tamiento anonimizado de millones de
aplicaciones, endpoint y perfiles de
usuarios en las organizaciones clien-
tes y validándolas antes de convertir-
se en nuevos indicadores de ataque.
El partner puede utilizar e investigar
directamente sobre esas hipótesis, y
añadir las suyas propias, que pueden
ser específicas para sus clientes en
función de su contexto. Además,
probablemente, estos proveedores
de servicios ya están monitorizando
otros elementos de la infraestructura
de seguridad, con lo que pueden
integrar y correlacionar la visibilidad,
monitorización y servicios de los
endpoints, gracias a Panda Adaptive
Defense (conector SIEMFeeder que
permite la integración de eventos).
Por último, la visibilidad obtenida de
la actividad de los endpoints permite
la prestación de servicios comple-
mentarios, relacionados con el uso
de aplicaciones, vulnerabilidades,
descubrimiento de datos personales
sujetos al Reglamento General de
Protección de Datos en formatos no
estructurados, etc.
¿Cómo funciona?
El servicio de Threat Hunting and
Investigation incluido en Panda
Adaptive Defense desempeña tres
fases.
1. Generación de hipótesis. Las
hipótesis se pueden generar de dos
formas:
‡ Hipótesis que formulan los
expertos: son reglas con cierto nivel
de complejidad (secuencias de suce-
sos relacionados entre sí de alguna
forma –a nivel de máquina, a nivel de
parque o a nivel "universal"–).
‡ Hipótesis que se apoyan en
el análisis estadístico del comporta-
miento de las distintas "entidades"
dentro de un parque, que pueden ser
usuarios, procesos, máquinas, etc.
De esta forma es posible modelizar
el comportamiento de estas entida-
des, y se generan perfiles "norma-
les" de las mismas, de manera que
comportamientos anómalos puedan
desencadenar un disparador que
haga sospechar alguna intrusión; por
ejemplo, un proceso realizando un
número de conexión muy por encima
de la media o un número de ejecu-
ciones muy por encima de lo normal
de un proceso en una máquina.
2. En ambos casos, un paso crítico
del proceso de generación de hipó-
tesis es la validación de las mis-
mas. La plataforma cuenta con una
funcionalidad que permite testearlas
contra todo el histórico de eventos
almacenados para obtener un indi-
cador de cómo de valiosa es la regla
como indicador IOA (Indicator Of
Attack). Despliegue en el streaming
de eventos en tiempo real.
Una vez que una regla o hipóte-
sis está validada como potencial
indicador, puede ser entregada y
desplegada en la plataforma sobre
el flujo de datos entrante desde los
endpoints protegidos.
3. Confirmación del incidente. La
fase de confirmación tiene como
objetivo la revisión por parte de un
analista de las "detonaciones" o evi-
dencias producidas para determinar
detrás de cuáles hay verdaderamen-
te una intrusión. La plataforma per-
mite investigar y explotar los datos
de forma que los analistas puedan
hacer este trabajo de manera autó-
noma y rápida. Así, mediante una
consola forense, el analista puede
analizar cualquier entidad, de cual-
red seguridad
endopoint opinión
Fases del proceso de Threat
Hunting and Investigation incluido
en Panda Adaptive Defense.
quier máquina, de cualquier periodo,
con un alto nivel de granularidad,
pudiendo extraer la foto en el tiempo
del estado de la máquina, con su
árbol de procesos, comunicaciones,
registro y demás eventos captura-
dos. Por utilizar una analogía, sería
como tener un Time Machine de los
endpoints en lo que respecta a su
actividad interna.
En cualquier caso, siempre que
haya una alerta confirmada de ata-
que, los analistas, en primera ins-
tancia, se focalizan en minimizar el
tiempo de detección de la amenaza
en todos los sistemas impactados
donde posiblemente el atacante
haya hecho cambios en su configu-
ración. Seguidamente, trabajaran en
minimizar el tiempo de respuesta al
atacante.
Para ello, el analista comunica
inmediatamente a los equipos técni-
cos, ya sea de Panda Security o a los
analistas del proveedor de servicio
de seguridad (MSSP o proveedor
MDR), los detalles del ataque des-
cubierto para que estos lo validen
con el cliente y tengan en cuenta su
contexto.
En caso positivo, los analistas y el
equipo técnico trabajan conjunta-
mente en la contención inmediata del
atacante para así evitar, en muchos
casos, el daño o al menos mitigarlo.
Acompañando al plan de contención,
se establece también un plan de vuel-
ta a la actividad del negocio normali-
zado, definitiva o transitoria hasta la
recuperación total post-ataque.
segundo trimestre 2018 45
 ciberseguros
monográfico
Ciberpolizas: un respaldo para
las empresas
FRENTE AL INCREMENTO
DE LAS AMENAZAS
TECNOLÓGICAS Y LOS
CIBERATAQUES DE LOS
ÚLTIMOS AÑOS, CADA VEZ
ES MÁS HABITUAL QUE
LAS ORGANIZACIONES
CONTRATEN
'CIBERPÓLIZAS' PARA
PROTEGER SUS ACTIVOS
DIGITALES. PERO, ¿QUÉ
SON EXACTAMENTE Y QUÉ
COBERTURAS TIENEN?
Tx: David Marchal
Ft: RED SEGURIDAD
Hoy en día, ningún departamento
relacionado con las TIC se cuestiona
si las ciberamenazas pueden incidir
sobre su organización o no. La pre-
gunta que se plantean es cuándo
sucederá un ataque y si contarán
con los mecanismos adecuados para
hacerle frente. Es en este contexto
donde las pólizas de ciberriesgos se
establecen como medidas de res-
paldo de primer orden, junto con la
concienciación de los trabajadores
y el incremento de la ciberseguridad
corporativa.
Tanto es así que, en los últimos
años, este tipo de productos están
experimentando un incremento en su
contratación. De hecho, según el últi-
mo estudio realizado al respecto en
nuestro país por el think thank Thiber,
denominado Ciberseguros, la trans-
ferencia del ciberriesgo en España
46 red seguridad segundo trimestre 2018
(correspondiente a 2016), el volumen
anual de negocio de este mercado
se cifra en torno a los 500 millones
de euros, con un crecimiento inte-
ranual del 12 por ciento. Hasta ahora,
estos seguros se habían orientado a
las grandes empresas, debido a su
mayor exposición a los riesgos ciber-
néticos. Sin embargo, actualmente
se están centrando en la pequeña
y mediana empresa, adaptando su
oferta a su realidad específica y nece-
sidades concretas. No en vano, estas
pólizas no solo permiten gestionar los
ciberriesgos corporativos con mayor
efectividad que hasta ahora y mejorar
el grado general de la ciberseguridad
de nuestro país, sino que también
aportan un conocimiento relevante
de las amenazas cibernéticas de las
empresas.
En palabras de Karen Velandia,
especialista en productos ciber de
Chubb, "la motivación inicial para
contratar este tipo de seguros es
transferir un riesgo que durante los
últimos años y de manera exponen-
cial se ha hecho latente en toda la
economía". En otras palabras, añade:
"Un incidente cibernético puede tener
repercusiones de todo tipo y la póliza
permite que el cliente transfiera muy
buena parte de dichos riesgos".
De igual forma opina Marco Antonio
Lozano, coordinador de empresas y
profesionales del Instituto Nacional
de Ciberseguridad (Incibe): "Para
muchas empresas, sobre todo del
tipo pyme, implementar medidas tec-
nológicas puede resultar excesiva-
mente caro. Por lo tanto, uno de los
modos más eficaces de hacer frente
a este tipo de problemas, es transfe-
rir el riesgo a un tercero, como es el
caso de una aseguradora".
Ventajas
Son varios, por tanto, los beneficios
que tiene la contratación de este
tipo de pólizas. Algunos de ellos
los enumera Claudia Gómez, direc-
tora de Líneas Financieras en AON:
especial

"Fundamentalmente son proteger el
balance y la cuenta de resultados,
puesto que los desembolsos y pér-
didas económicas derivados de una
quiebra de seguridad pueden ser muy
costosos para una empresa", y "ayu-
dar a las organizaciones a gestionar
este tipo de crisis, ya que muchos
aseguradores incluyen servicios de
gestión de incidentes o mitigación
del riesgo reputacional a través de
consultores externos, lo cual es de
gran utilidad para empresas que aún
no han desarrollado sus planes de
gestión de crisis".
A esto se añade una opción más
que señala Alan Abreu, responsable
de Riesgos Cibernéticos de Hiscox:
"La principal ventaja es que aportan
seguridad y confianza a las empre-
sas, ya que son productos específica-
mente diseñados para cubrir riesgos
cibernéticos que no están recogidos
en otro tipo de pólizas". Eso sí, mati-
za, "el papel de las ciberpólizas va
más allá de ofrecer una cobertura
económica ante un posible ataque".
En cualquier caso, es cierto que
actualmente no es obligatorio la con-
tratación de este tipo de productos.
Sin embargo, a juicio de José Carlos
Jiménez, suscriptor Cyber de AIG,
"los hechos que ocurren día a día
y que podemos leer en portadas
de periódicos generalistas despiertan
la necesidad de cuantificar y cubrir
de alguna manera los ciberriesgos
a los que están expuestas todas las
empresas que traten o almacenen
cualquier tipo de información".
Y a todo esto, según este profe-
sional, se suman los cambios nor-
mativos. "Las leyes son cada vez
más estrictas para asegurar que la
información personal y sensible cuen-
te con las medidas y controles de
seguridad necesarios para evitar, en
la medida de lo posible, su vulnera-
ción", comenta.
Requisitos para su contratación
Ahora bien, una empresa no puede
contratar un seguro de estas caracte-
rísticas sin antes pasar por un análisis
de sus sistemas, tal y como se encar-
ga de recordar el propio Jiménez:
"Uno de los requisitos imprescindi-
especial
ciberseguros monográfico
reportaje
bles para la contratación de cualquier sobre los activos más comunes en
ciberpóliza es la evaluación de los relación con los posibles riesgos y
riesgos ciber de la empresa. Para su índice de siniestralidad con aún
este tipo de riesgos, el cliente cum- pocos datos". Por este motivo, con-
plimenta un cuestionario en el que tinúa, "siempre exigen cumplir una
se evalúan a alto nivel los principales serie de medidas de seguridad que
ámbitos de la ciberseguridad". Claro permitan contratar el seguro o, en el
que, aparte de esto, también pueden mejor de los casos, no contar con
ser requeridas reuniones específicas descuentos u otro tipo de ventajas
o la intervención de un consultor si no se muestra cierta madurez
especializado para cuantificar de una en ciberseguridad". Incluso, Lozano
forma más precisa el riesgo en los confirma que, "en función de la póliza
casos en los que el cuestionario no y de los activos que hay que prote-
se considere suficiente. ger, en algunos casos van a requerir
Así lo pone de manifiesto también una auditoría de terceros para garan-
Lozano, de Incibe, para quien "las tizar que las empresas dispongan de
aseguradoras tienen la difícil tarea los mecanismos de ciberseguridad
de valorar la probabilidad de impacto necesarios", subraya.
¿Qué coberturas ofrecen las ciberpólizas?
Como con la contratación de cualquier otro seguro, siempre hay que
leer con detenimiento y entender las condiciones generales y particula-
res, así como las cuestiones que están incluidas y excluidas en este tipo
de pólizas. Según Incibe, estas son las coberturas habituales:
• Responsabilidad civil frente a terceros.
• Responsabilidad por pérdida de datos de carácter personal o ries-
gos de privacidad y por gastos de notificación de vulneraciones de
privacidad a los titulares de los datos y a terceros interesados.
• Frente a reclamaciones por la violación de derechos de propiedad
intelectual relativos a cualquier tipo de contenidos, incluidos los
generados por un usuario.
• Defensa jurídica y asistencia a juicio, incluyendo los gastos de
defensa por multas y sanciones de organismos reguladores y con
cobertura para procedimientos e investigaciones de organismos
reguladores.
• Protección frente a reclamaciones de terceros por incumplimiento
en casos de custodia de datos, difamación en medios corporativos
o infección por malware.
• Pérdida de beneficios.
• Pérdidas de ingresos netos como resultado de una vulneración de
seguridad o de un ataque de denegación de servicio.
• Cobertura para los datos alojados en la nube.
• Gastos de gestión y comunicación de crisis.
• Asistencia técnica y gastos de investigación del siniestro cubriendo
los costes de un posible análisis forense en caso de que sea nece-
sario (fugas de datos, robo de información, etc.).
• Gastos de reparación y restauración de los datos borrados y de los
equipos dañados.
• Frente a delitos cibernéticos: estafas de phishing, suplantación de
identidad, hacking telefónico, robo de identidad, fraude electrónico y
extorsión cibernética.
• Asistencia técnica frente a una intrusión de terceros en los sistemas
informáticos del asegurado.
• Restitución de los gastos por errores tecnológicos y omisiones.
red seguridad segundo trimestre 2018 47
 ciberseguros
monográfico
reportaje
Riesgos y coberturas
Una vez realizado este análisis y vista
la idoneidad de su contratación, lo
normal es establecer un mapa de ries-
gos que pueden afectar a la empresa.
"Los riesgos cubiertos son las pér-
didas económicas derivadas funda-
mentalmente de un fallo de seguridad
(ciberataques, DDoS, malware, ran-
somware), errores humanos (fallo de
sistema) o un fallo de la privacidad
de la información", indica Gómez, de
AON. Estas pérdidas son muy diver-
sas, y van desde responsabilidades
frente a terceros por dichos fallos,
procedimientos regulatorios en mate-
ria de protección de datos, gastos
derivados de la gestión de crisis y
pérdida de beneficios o extracostes
en caso de paralización de sistemas.
De la misma forma se pronuncia
Jiménez, de AIG, quien considera
que, actualmente, "los ciberseguros
han aumentado la lista de riesgos
posibles que han de cubrir, como
pueden ser los de actividades multi-
media, extorsión cibernética y la pér-
dida de beneficio que puede ocasio-
nar tanto un fallo de seguridad como
en los sistemas".
Por su parte, Velandia, de Chubb,
explica que "la póliza incluye cober-
turas de daños a terceros y daños
propios. Los primeros hacen referen-
cia a reclamaciones de terceros que
se vean afectados por un incidente
cibernético en el sistema informáti-
co del asegurado". Por ejemplo, ahí
entran los casos de clientes directos
que hayan sufrido vulneración de
su privacidad y/o información confi-
dencial, que hayan visto afectada su
operación, terceros que tengan cos-
tes adicionales como consecuencia
del incidente cibernético, e incluso
accionistas que vean afectadas sus
inversiones debido a una caída en el
precio de la acción de la compañía,
entre otros.
Por otro lado, prosigue, "los daños
propios abordan todos aquellos cos-
tes internos que el asegurado deba
asumir como son sanciones impues-
tas por la Agencia Española de
Protección de Datos (AEPD), extor-
sión cibernética, pérdida de benefi-
cios por paralización parcial o total de
48 red seguridad segundo trimestre 2018
Recomendaciones antes de contratar un ciberseguro
Antes de contratar una ciberpóliza, desde Incibe proponen llevar a cabo
por parte de las organizaciones un análisis de riesgos inicial para el pos-
terior estudio de este tipo de productos y considerar si pueden ayudar. En
palabras de Marco Antonio Lozano, coordinador de empresas y profesio-
nales de este organismo, "el análisis indicará qué procesos y activos de la
organización se han de proteger. En ocasiones, es probable que no sea
necesaria la contratación de una póliza de ciberriesgos, pero habrá otras en
las que abaratará enormemente la protección con respecto a implementar
una medida tecnológica".
En este punto también desempeña un papel importante la red de corre-
duría de la empresa asegurada, en el sentido de "transmitir conocimiento
y confianza en el producto", en palabras de Abreu, de Hiscox. "Uno de
nuestros grandes retos es realizar un esfuerzo extra, en labor pedagógica,
para que los corredores y los clientes finales entiendan cómo funcionan
este tipo de pólizas. Es importante que las compañías españolas cambien
de mentalidad y afronten este nuevo riesgo, no pensando en qué pudiera
suceder, sino pensando en qué van a hacer cuando suceda, porque tarde
o temprano ocurrirá", explica el directivo.
Por otro lado, y desde el punto de vista de un usuario convencional, la
contratación de una póliza de estas características quizá suponga un des-
embolso demasiado elevado, en relación a lo que quiere proteger. Por eso,
el representante de Incibe aconseja, "llevar a cabo una política de copias
de seguridad", puesto que,
en la mayoría de los casos,
"puede mitigar casi cualquier
problema o incidente de
ciberseguridad en el ámbi-
to doméstico". No obstante,
remarca, "dependerá de la
importancia que el usuario
le dé a la información que
quiere proteger".
su actividad, y gastos de mitigación y esta póliza, sino en otras como la RC
de respuesta ante un incidente". En Profesional". Y no es lo único. Todo
este rango se encuentran: "la notifi- lo relacionado con un fallo en la pres-
cación a la AEPD y a los afectados, el tación de un servicio público (como
análisis informático forense, los servi- la electricidad), los daños materiales
cios de empresa de relaciones públi- y personales o las pérdidas deriva-
ca, la asesoría legal para reclamar das de riesgos nucleares o la gue-
ante terceros que hayan provocado el rra también están excluidas; aunque,
incidente, el incremento de los costes según puntualiza Abreu, "casi todas
de mano de obra, el uso de equipos las exclusiones tienen salvedades. Sin
externos alquilados o la implantación embargo, las que más preocupan a
de método de trabajo alternativo, los empresarios es la exclusión de
entre otras", manifiesta. dolo o actos deshonestos".
Ahora bien, hay otra serie de sus- En este punto, Lozano, de Incibe,
puestos que no entrarían entre las hace una puntualización importante:
opciones cubiertas. Algunos de ellos "Han de considerarse las posibles
los enumera Abreu, de Hiscox: "La exclusiones u obligaciones relativas al
póliza está pensada para cuando ocu- mantenimiento de sistemas y, concre-
rra un ataque, por lo que una inciden- tamente, en lo relativo a las políticas
cia derivada, por ejemplo, del mante- de actualizaciones y parcheado de
nimiento de los sistemas no entraría en aplicaciones". No en vano, este orga-
especial
GESTIÓN DE RIESGO DE PROVEEDORES
El problema de asegurar el perímetro
de la empresa extendida
 ciberseguros
monográfico
reportaje

nismo ha detectado que casi todas

las pólizas que han analizado excluyen
las coberturas por actualizaciones de
software pirata o por el uso de este,
por lo que deberán considerarse úni-
camente actualizaciones de un pro-
veedor legítimo y evitar el uso, en todo
caso, de software ilegal", recomienda.

Servicios adicionales
Aparte de todo lo anterior, y como
aportación de valor añadido para el
cliente, las compañías aseguradoras
suelen ofrecen de forma opcional una
serie de servicios de prevención y
consultoría de riesgos con el objetivo
de acompañar y asesorar al cliente
en la definición de planes correctivos
y acciones que mitiguen o minimicen
lo máximo posibles sus ciberriesgos.
Por otro lado, muchas de ellas ofre-
cen asistencia técnica de expertos las en estos escenarios contribuirá a dades. En este caso, según Abreu,
24 horas a través de diversos canales una mejor gestión y soporte a los de Hiscox, es importante vigilar si el
de comunicación, contacto a través afectados". proveedor o partner está cumpliendo
de la propia web y otras páginas con Es cierto que, en ocasiones, y las medidas preventivas adecuadas
centros de atención telefónica 24x7 según dicta la experiencia de las para evitar un ciberataque. "Se trata
para reportar fallos de seguridad o propias aseguradoras, son falsas de una cobertura muy importante,
sistemas y fugas de datos, y aseso-
ramiento legal para saber cómo res-
ponder en situaciones de crisis, con
el fin de hacer frente a cualquier even-
La motivación inicial para contratar
tualidad de la mejor forma posible. este tipo de pólizas es transferir
Procedimiento de actuación
Y así llegamos al punto en el que
los ciberriesgos a un tercero
se firma el contrato del seguro, y
comienza su periodo de vigencia. A
partir de aquí, ¿qué pasos habría que
dar? La "maquinaria" se pone en mar- alarmas o crisis que se atajan rápi- ya que nunca podremos estar total-
cha cuando la empresa asegurada damente, de tal forma que no hace mente blindados en materia de ciber-
detecta un ciberincidente de seguri- falta activar otras coberturas de la seguridad si no tenemos en cuenta
dad. "El asegurado debe comunicar póliza. Eso sí, añade esta profesional, la actividad de nuestros partners",
el incidente, o su sospecha, en el "durante toda la gestión de lo ocurri- comenta. En cualquier caso, y con
plazo más corto posible", explica do, tanto el equipo de gestión como toda prababilidad, "el asegurador va a
Gómez, de AON. "Por Ley, el plazo de el departamento de siniestros estarán querer conocer con carácter previo a
comunicación establecido es de siete en contacto con el asegurado para la contratación del seguro las políticas
días; pero normalmente las empre- llevar a cabo las medidas correctivas de selección y control de dichos pro-
sas requieren los servicios de los y, si fuera necesario, implementar veedores", subraya Gómez, de AON.
consultores TI de forma inmediata, acciones adicionales que contribuyan Por todo lo comentado, este tipo
por lo que la comunicación suele ser en la mitigación de las reclamaciones de seguros cada vez son más habi-
muy rápida", agrega. Así también que pueda recibir la empresa o las tuales. "Sabemos que la seguridad
lo menciona Velandia, de Chubb: propias pérdidas". total no existe, pero con las pólizas de
"Recomendamos que el cliente, tras ciberriesgos vamos a contar ahora
conocer o tener sospechas de una Responsabilidades con una opción muy interesante que
incidencia cibernética, contacte con Otro tema destacado en el ámbito tendremos que valorar con el objetivo
nuestro equipo de gestión de inciden- de las ciberpólizas es cuando llega de proteger nuestro negocio", con-
tes, debido a que su especialización el momento de dirimir responsabili- cluye Lozano, de Incibe.

50 red seguridad segundo trimestre 2018 especial

Mejora tu
conocimiento
empresarial.
¿Puedes predecir el
coste de propiedad?
En el estudio de Coste Total de Propiedad
(TCO) de Axis para un sistema de vigilancia
urbana a gran escala, podrás ver la distribución
de los costes de productos, instalaciones,
mantenimiento y desmantelamiento (entre
otros) a lo largo del tiempo.

Descarga el estudio de Coste Total

de Propiedad (TCO) en
www.axis.com/tco
 ciberseguros
monográfico
opinión

Ciberseguros, un mercado en
constante evolución
Carolina Daantje
Directora de Ciber Riesgos e Infidelidad
de Empleados de Willis Towers Watson
Si algo ha quedado patente tras los
últimos ataques cibernéticos masi-
vos, es que las actuaciones de los
ciberdelincuentes son cada vez más
sofisticadas. Por ejemplo, WannaCry
infectó a más de 200.000 empresas
de todas dimensiones e instituciones
de 150 países, lo que terminó ponien-
do una pregunta sobre la mesa:
¿estaban realmente preparadas para
hacer frente a un ciberataque?
Las compañías demandan solucio-
nes, mientras que el mercado asegu-
rador analiza cómo hacer frente a uno
de los mayores desafíos a los que se
ha enfrentado nunca: diseñar pólizas
para proteger frente a amenazas en
constante evolución y cambio diario.
No es tarea sencilla, ya que no
es posible revisar comportamientos
pasados sobre los que construir el pro-
ducto asegurador. El éxito de un ata-
que cibernético radica, precisamente,
en ir transformándose para saltarse
los controles de seguridad y causar
el mayor daño posible en una orga-
nización, incluyendo el atacar nuevos
puntos de la infraestructura para lograr
que la actividad de la empresa se
resienta lo máximo posible. Debemos
pensar que, actualmente, el 99 por
ciento de la infraestructura de una
organización está interconectada, por
lo que un ataque informático puede
llegar a paralizar, parcial o completa-
mente, su correcto funcionamiento.
A lo anterior se une una segunda
problemática, la sensibilidad de la
información provoca que, en muchas
ocasiones, los asegurados no quieran
compartir detalles sobre los incidentes
o brechas de seguridad sufridas, así
como las medidas que han adoptado.
Ello provoca que sea más difícil fijar los
precios de las pólizas y se ralentice el
proceso de aprendizaje en el campo
de la ciberseguridad.
Una póliza 'viva'
Ante un escenario, en el que los
riesgos son tan cambiantes y los
elementos a asegurar tan numerosos,
el objetivo debe ser crear una póliza
'viva', en la que los mapas de riesgo
sean objetivo de revisión cada cierto
tiempo, de tal manera que recojan las
nuevas amenazas a las que su clien-
te se enfrenta. En definitiva, deben
crearse productos aseguradores ad
hoc para las necesidades de la com-
pañía tras la realización de una audi-
toría previa, que permita configurar un
mapa de riesgos para que la póliza
que se contrate, se adapte cien por
cien a sus necesidades.
Ahora bien, la clave para que estos
productos sean verdaderamente efi-
caces es que den respuesta al con-
junto de los siniestros que se puedan
producir en la propia red como con-
secuencia de un ataque cibernético o
un fallo de sistema, como por ejemplo
por un error humano. En este sentido,
también deben contemplar la poten-
cial violación de la privacidad por una
brecha de seguridad de la empresa,
así como responder de los gastos
resultantes de ser víctima de una
ciber-extorsión, los daños reputacio-
nales o de gestión de crisis y los cos-
tes derivados de la defensa, multas y
sanciones asociados a los derechos
legales de privacidad.
En este sentido, es importante
comprender la complejidad de las
pólizas de cyber, puesto que son
productos transversales que afectan,
al mismo tiempo, a muchos otros.
Cuando decimos que una póliza de
ciberseguridad debe comprender
también las violaciones de privacidad
por brechas de seguridad y fuga de
datos sensibles, se debe a que la
misma puede tener su origen en un
ataque masivo como un ransomware,
que secuestra los datos privados de
una organización y solicita un rescate
para permitir la liberación de los mis-
mos. En este momento, la compañía
encargada de custodiar la informa-
ción sensible de sus clientes la pierde
en favor de un tercero, que se hace
con el control de la misma; de ahí
que la solución aseguradora deba
comprender tanto los gastos del res-
cate como los perjuicios ocasionados
como consecuencia del ataque.
Si hace unos años este tipo de ries-
gos era algo impensable, ahora su
protección frente a ellos se ha conver-
tido en una prioridad para las multina-
cionales y empieza a serlo para las
empresas de menores dimensiones.
Unos avances que están teniendo un
reflejo directo en el crecimiento tan
espectacular que la rama de ciberse-
guridad ha experimentado dentro del
mercado asegurador europeo. Si en
2016 el volumen de primas se situaba
en los 300 millones de dólares, se
espera que en 2018 se incremente en
600 millones de dólares. En un
momento en que el mercado ofrece
grandes perspectivas de crecimiento,
el mayor desafío se sitúa en el diseño
de pólizas que no han sido probadas
para riesgos en continua evolución.

52 red seguridad segundo trimestre especial

Control y visibilidad
de tus datos personales.
Control y visibilidad

Descubre y audita

Monitoriza y detecta

Simplifica la gestión

Simplifica el cumplimiento del GDPR

Con la entrada en vigor del GDPR (General Data Protection Regulation), aumentan las exigencias para empresas que
manejan datos personales de consumidores europeos. Deberán, no solo proteger su privacidad, sino también controlar cómo
se procesan, almacenan y utilizan sus datos. Panda Adaptive Defense y su módulo adicional Data Control, te ayudarán en
el cumplimiento del GDPR.

Descubre y audita Monitoriza y detecta Simplifica la gestión Control de datos

Identifica a los usuarios,
equipos o servidores con
acceso a Información de
Identificación Personal (PII)
de tu empresa.
Implementa medidas de Su activación es inmediata Tu empresa tendrá un control
acceso y operación sobre PIl y se gestiona directamente exhaustivo de la PII ubicada
con la ayuda de los informes desde la misma plataforma en sus equipos.
y las alertas en tiempo real. cloud.

Contacta con tu distribuidor habitual o llamando al

900 90 70 80
pandasecurity.com/business/
 ciberseguros
monográfico
opinión
Ciberpólizas: parte de la solución
frente a los riesgos cibernéticos
Sara Muñoz Rubio
Cyber Risk Practice Leader Spain de
Marsh
Antes de adentrarnos en la cobertu-
ra de las pólizas de seguro para los
riesgos cibernéticos, debe tenerse
en consideración que dichos ries-
gos no solo se centran en aquellos
asociados a los ataques externos
o internos (no olvidemos que un
foco muy importante de riesgo es
el empleado descontento), sino que
también se encuentran como factor
de riesgo los errores humanos.
Por otro lado, igualmente es
importante destacar que los sis-
temas informáticos que debemos
proteger no son únicamente los
propios, sino todos aquellos que
de alguna manera tengan conec-
tividad con los nuestros, con lo
que no podemos olvidarnos de los
proveedores. De hecho una buena
gestión de riesgos incluye de mane-
ra contractual la limitación de res-
ponsabilidad y la exigencia de unas
medidas de seguridad adecuadas
de los proveedores. Estamos empe-
zando a ver que se está instaurando
como buena práctica la exigencia
de las pólizas ciber a los propios
proveedores.
54 red seguridad segundo trimestre
Dicho lo anterior, podemos cons-
tatar que estos riesgos son transver-
sales, que no solo se centran en los
departamentos de IT o de asesoría
jurídica de una empresa, sino que
atañe a cualquier departamento de
la misma: recursos humanos, con-
tabilidad, ventas, compras, etc. Con
lo que antes de dirigirnos y embar-
carnos en la compra del seguro
debemos hacer un ejercicio de auto-
crítica, para con ello revisar si todos
los departamentos están alineados
con las políticas de seguridad de la
empresa y si son conocedores de lo
que se puede y no se puede hacer
con los dispositivos corporativos,
si se dispone de medidas técnicas
suficientes para proteger los activos
e información y si se cumple con la
normativa vigente. Esto último ade-
más adquiere gran relevancia con la
entrada en vigor a finales de mayo
del nuevo Reglamento Europeo de
Protección de Datos.
Evitar duplicidades
Adicionalmente a este ejercicio, tam-
bién será necesario tener en cuenta
la cobertura que ofrece otro tipo de
seguros tradicionales, para con ello
poder evitar duplicidades o vacíos
de cobertura. A modo de ejemplo,
destacamos:
- Cobertura para los administra-
dores y directivos. En la actualidad
existen pólizas para cubrir la respon-
sabilidad personal de estas figuras.
No olvidemos que tienen responsa-
bilidad frente a las decisiones que
se tomen para con la empresa, y la
estrategia de ciberseguridad es una
de ellas.
- Cobertura de fraude/crime.
Estas pólizas existen mucho antes
de la creación de las pólizas ciber,
aunque la parte que en este caso
nos afecta es la de fraude informá-
tico. Este tipo de ataques cada vez
más frecuentes está haciendo que
las pólizas ciber empiecen a tener
coberturas parciales para tratar de
cubrir las pérdidas financieras direc-
tas de los ataques o suplantaciones
de identidad. No obstante, las pro-
pias pólizas de fraude ya ofrecen esta
extensión y de una manera amplia.
- Por otro lado y dependiendo
del sector de actividad, también es
muy importante tener una buena
cobertura de daños materiales que
incluya los incidentes de ciberse-
guridad como disparadores de la
cobertura. Hasta hace relativamente
poco tiempo, los mercados tradicio-
nales de daños materiales no esta-
ban contemplando esta opción, pero
no se puede parar el desarrollo, con
lo que se están viendo forzados a ir
cambiando la mentalidad y, con ello,
los clausulados de sus pólizas.
- Por último y también depen-
diendo del sector de actividad, es
necesario revisar los clausulados
de las pólizas de responsabilidad
civil profesional, para con ello evitar
duplicidades o vacíos de cobertura
derivados de los errores profesiona-
les en la prestación de los servicios.
Esto último es de especial relevancia
para las profesiones técnicas, como
los desarrolladores de software o
cualquier proveedor tecnológico.
Con todo lo comentado anterior-
mente, podemos concluir que el ries-
go cibernético es transversal, donde
la solución que ofrece el sector ase-
gurador se compone de varias póli-
zas, principalmente a través de las
de tipo ciber, que dan respuesta ad
hoc. Pero es imprescindible hacer un
acercamiento maduro al mercado
asegurador que se base en las nece-
sidades de cada empresa en función
de su sector de actividad, madurez,
internalización, requerimientos con-
tractuales, etc.
especial
COMUNICAR
FORMA PARTE
DE NUESTRO
 ciberseguros
monográfico
opinión
Ciberseguros y cumplimiento
del RGPD
José Luis Juárez
IT Security Consultant en vintegrisTECH
Navegando por la Red sin rumbo
determinado, encontré un corto de
Keiichi Matsuda, especialista en rea-
lidad aumentada y diseño de interfa-
ces y usabilidad, sobre hiperrealidad y
sus consecuencias. El vídeo me hizo
pensar mucho sobre el punto en que
nos encontramos y en el tremendo
avance que necesitamos alcanzar en
los próximos años en lo referente a la
información personal, su valor, cómo
gestionarla y cómo protegerla.
Ni que decir tiene que, aun cuando
el vídeo es una ficción, se acerca
mucho al ciclo de vida de la informa-
ción hoy en día. Pero en cualquier
caso, antes de alcanzar ese punto
debemos culminar otros que faciliten
su llegada. En estos momentos, uno
de los principales retos consiste en
disponer de los medios adecuados
para realizar una gestión de la infor-
mación con garantías.
Según la memoria de 2017 de la
Fiscalía General del Estado, los pro-
cedimientos judiciales relacionados
con delitos de estafa supusieron el
mayor grupo de ciberdelitos regis-
trados, el 61 por ciento, y sumaron
4.930. Este dato, aun cuando puede
parecer bueno debido a la drástica
reducción en relación con ejercicios
56 red seguridad segundo trimestre
anteriores (19% y 22% frente a las
cifras de 2016 y 2015, respectiva-
mente), denota que nuestra informa-
ción no está debidamente tratada y
protegida, por lo que tenemos por
delante mucho trabajo que hacer.
Con la aplicación del Reglamento
General de Protección de Datos
(RGPD) desde el 25 de mayo de este
año y las nuevas multas de hasta 20
millones de euros que se podrían
imponer a las compañías que no
observen ciertas normas –como, por
ejemplo, la desaparición del consen-
timiento tácito a la hora de la reco-
pilación de datos–, ahora más que
nunca se hace necesario disponer de
herramientas que faciliten y garanti-
cen el cumplimiento de dicha norma.
Ciberseguros
En este sentido, los ciberseguros son
una buena herramienta si nos cen-
tramos en los requisitos de contrata-
ción y de coberturas que garantizan.
Para su contratación, por ejemplo,
las aseguradoras exigen cumplir con
una serie de medidas de seguridad
que demuestran cierta madurez y
responsabilidad en la gestión para
mitigar los riesgos. Esto obliga a las
organizaciones que deseen contra-
tarlos a adoptar medidas de protec-
ción y procedimientos de gestión de
incidentes para el cumplimiento legal.
De lo contrario, el ciberseguro no se
concede.
Tal y como señala el Instituto
Nacional de Ciberseguridad (Incibe),
como coberturas básicas se consi-
deran las responsabilidades y pro-
cedimientos regulatorios; la defensa,
perjuicios y multas regulatorias; los
daños propios y la pérdida económi-
ca; y la gestión de crisis y los gastos
pagados a expertos.
Los puntos anteriores son un resu-
men condensado de la lista completa
en la que cada punto dispone de
temas más desarrollados y que apli-
carán según las necesidades de con-
tratación de cada caso, coincidiendo
todas en la protección de la infor-
mación y su tratamiento adecuado,
tanto para evitar un incidente como
para abordarlo una vez ocasionado.
Cabe destacar, como es normal,
que las empresas aseguradoras se
reservan el derecho de no aten-
der según qué reclamaciones, lo
que generalmente denominamos
las exclusiones, y que algunas son
actos deshonestos, fraudulentos y
deliberados por parte del asegu-
especial

rado; daños personales o materia-
les; responsabilidades asumidas por
contrato o acuerdo; reclamaciones
previas y litigios previos e incidentes
que hubieran ocurrido con anteriori-
dad a la fecha de efecto del contrato;
infracción de secretos comerciales y
patentes; y, en algunos casos, guerra
y terrorismo.
De todo lo anterior se desprende
que, aun cuando una póliza puede
ayudar a mitigar el impacto de un
incidente, es importante que las
empresas tomen conciencia de los
riesgos digitales e inviertan en pre-
vención. Asimismo, deben asumir la
gran responsabilidad que la nueva ley
les otorga y el coste de su incumpli-
miento. Aparte, existe un riesgo tanto
o más grande que las pérdidas eco-
nómicas y las sanciones: la pérdida
de reputación, algo que una organiza-
ción tarda muchos años en construir
y que puede ser difícil de enmendar.
De hecho, uno de los grandes para-
digmas que nos podemos encontrar
en este ámbito es que gran parte de
los incidentes de ciberseguridad tie-
nen un origen humano, mientras que
buena parte de los directivos consi-
deran la seguridad TI una cuestión
Las empresas deben poner más
foco en la cada vez menos nítida
franja entre negocio y tecnología
puramente tecnológica. Un estudio
de PwC lo confirma: "el 50 por ciento
de los directivos ve la ciberseguridad
como un problema tecnológico, no
de negocio, cuando en la realidad
solo el 10 por ciento de los incidentes
están ocasionados por la tecnología,
mientras que el resto vienen de la
mano del comportamiento humano".
Cambio de mentalidad
Este complejo entorno exige un cam-
bio radical de mentalidad por parte de
los responsables en las corporacio-
nes, las cuales deben poner más foco
especial
en la cada vez menos nítida franja
existente entre el área de negocio y
la tecnología utilizada para generarlo.
Para facilitar esta tarea, Vintegris dis-
pone de nebulaSUITE, que engloba
los servicios imprescindibles para la
protección integral de la identidad
digital. Esta suite de tecnologías per-
mite lo siguiente:
# Gestionar identidades digita-
les. Crear certificados digitales que
actúen como números de identifi-
cación para las personas y los dis-
positivos. Gracias a disponer de su
propia autoridad de certificación, está
capacitada para emitir y administrar
sus propios certificados digitales.
# Controlar el acceso a los acti-
vos de la organización. Autenticar
a los usuarios y controlar su acceso
mediante autenticación multifactor
adaptativa (MFA), con capacidad para
elegir en cada momento el método
más adecuado para cada usuario y
para adaptar fácilmente todo el entor-
no en cada caso.
# Acelerar los procesos de
firma, ya que permite que empleados
red seguridad
ciberseguros monográfico
opinión
y clientes firmen documentos utilizan-
do certificados digitales y/o firmas
manuscritas, estando todo protegido
por cifrado para obtener el máximo
nivel de confianza. El sistema permite
gestionar incluso los flujos de trabajo
para hacer los procedimientos legales
más sencillos, dentro del marco legal
adecuado.
A ello se le suman las capacidades
que proporciona la nube, como por
ejemplo disponer de acceso global
a estos servicios de forma casi ins-
tantánea, obteniendo una cobertura
integral en temas como:
1. Identidad digital tanto para usua-
rios como dispositivos con certifica-
dos digitales cualificados.
2. Control centralizado de los certi-
ficados digitales con la plataforma de
gestión de certificados.
3. Flujos de trabajo simples y per-
sonalizados que permiten la aproba-
ción de documentos, transacciones
y procesos para uno o múltiples sig-
natarios.
4. Verificaciones de transaccio-
nes digitales en beneficio de los
ciudadanos y las empresas de la
Unión Europea, según el reglamento
Europeo eIDAS 910/2014.
5. Autenticación y control sobre el
acceso a la empresa y sus recursos.
En definitiva, contar con estas fun-
cionalidades hará más sencillo para
las empresas implementar las medi-
das de obligado cumplimiento del
nuevo RGPD.
segundo trimestre 2018 57
 cloud
opinión
Recomendaciones de la EBA para la
contratación de servicios en la nube
Ana González
Colaboradora de Leet Security
A lo largo de la última década se
observa que el desarrollo de las
tecnologías de la información no
solo ha cambiado las expectativas
de los clientes con respecto a los
servicios bancarios, sino que tam-
bién ha modificado la forma en la
que las entidades bancarias operan
y prestan esos servicios. En con-
creto, la aparición de la computa-
ción en la nube ha tenido un impac-
to muy significativo en la manera en
la que los bancos estructuran sus
negocios, así como en las tareas
que consideran que aún se deben
hacer internamente y las que se
pueden externalizar.
Los servicios en la nube repre-
sentan una clara palanca de nuevas
oportunidades y beneficios para el
negocio bancario; sin embargo, hay
que tener en cuenta que representan
un gran reto en lo que se refiere a la
gestión del riesgo. Con el objetivo de
aprovechar los beneficios del uso de
servicios en la nube, al tiempo que se
garantiza que los riesgos relacionados
se identifiquen y gestionen adecuada-
mente, la Autoridad Bancaria Europea
(EBA) publicó el 20 de diciembre de
2017 el informe final con sus reco-
mendaciones sobre la subcontrata-
ción de este tipo de servicios; y ya
sabemos del carácter algo más que
voluntario de las recomendaciones
emanadas de esta entidad.
58 red seguridad segundo trimestre 2018
Alfonso Pastor
Director comercial y de Marketing
de Leet Security
En concreto, se han desarrolla-
do de acuerdo con el artículo 16
del Reglamento (UE) 1093/2010 ("el
Reglamento EBA"), que ordena a
la propia EBA a emitir directrices
y recomendaciones dirigidas a las
autoridades competentes con el
objeto de establecer sistemas y
prácticas de supervisión que garan-
ticen la aplicación común, uniforme
y coherente de la legislación de
la Unión Europea. La fecha límite
para que las autoridades nacio-
nales competentes informen de si
han adoptado, tienen intención de
cumplir o las razones de no cum-
plimiento de las recomendaciones
es de dos meses después de la
publicación de su traducción. Y, en
su caso, serían de aplicación desde
el 1 de julio de 2018.
Recomendaciones
El conjunto de las 29 recomenda-
ciones desarrolladas por la EBA se
puede agrupar en siete aspectos
clave:
1. Evaluación de materialidad
(recomendación 1).
2. El deber de informar (recomen-
daciones 2, 3, 4 y 5).
3. Derechos de acceso y audito-
ría (recomendaciones 7, 8, 9, 10,
11, 12, 13 y 14).
4. Seguridad de datos y sistemas
(recomendaciones 15, 16, 17 y 18).
5. Localización y procesamiento
de datos (recomendaciones 19
y 20).
6. Externalización en cadena
(recomendaciones 21, 22, 23, 24
y 25).
7. Planes de contingencia y estra-
tegias de salida (recomendacio-
nes 26, 27, 28 y 29).
Dentro de ellas, las medidas de
seguridad son una pieza clave para
la gestión del riesgo. Entre ellas
cabe destacar el derecho de audi-
toría, la necesidad de identificar
el nivel de protección adecuado
para garantizar la confidencialidad,
la integridad, la disponibilidad y la
trazabilidad de los datos y sistemas,
la monitorización de las medidas
de seguridad adoptadas y la ela-
boración y prueba de los planes
de contingencia. Además, hay que
mencionar que todo ello debe ser
supervisado de forma continua.
Otro aspecto relevante que
abordan es el riesgo asociado
a la externalización en cadena.
Así, el proveedor del servicio solo
debería subcontratar a su vez con
un tercero que cumpliera los mis-
mos requisitos, estando obligado
a tomar las medidas apropiadas
para gestionar el riesgo de fallo
de cualquiera de las actividades
subcontratadas.

Pero, ¿cómo puede una orga-
nización ejercitar los derechos de
acceso y auditoría? El texto deja
claro que este derecho no puede
estar limitado por acuerdos contrac-
tuales y que deberá llevarse a cabo
en base a los pertinentes análisis
de riesgo. Evidentemente, todas y
cada una de ellas pueden utilizar
sus recursos propios para hacerlo,
multiplicando controles similares a
todos los proveedores comunes.
Pero la EBA también plantea dos
posibles modelos más eficientes:
auditorías compartidas (pooled
audits) o certificación por terceros
independientes.
En todo caso, el alcance de las
auditorías deberá cubrir todos los
sistemas (procesos, aplicaciones,
infraestructuras, centros de proce-
so de datos, etc.), así como los
controles clave, que deberán estar
basados en estándares internacio-
nales y asegurarse su efectividad
operacional.
En este sentido, ¿qué requisitos
debería cumplir una metodología
que permitiese llevar a cabo esta
supervisión? En concreto, debe dis-
poner de diferentes niveles de exi-
gencia para poder corresponder a
los niveles de riesgo determinados
por cada entidad para su servi-
cio particular; evaluar tanto proce-
sos (sistemas de gestión) como las
medidas de seguridad técnicas real-
mente implementadas; correspon-
derse y mapearse con estándares
internacionales de amplio reconoci-
miento; posibilitar la incorporación
de requisitos específicos (sectoria-
les) de las entidades; tener en cuen-
ta todos los componentes de los
servicios auditados, incluyendo la
cadena de subcontratación comple-
ta; realizarse de forma continua para
garantizar su validez durante toda la
vida de los servicios; y ser ejecutada
por profesionales de experiencia y
conocimientos contrastados y que
El sector financiero español es líder
del mercado, ya que cuenta con el
modelo más eficiente en cuanto a la
compartición de costes, aplicable a los
servicios en la nube.
garanticen la corrección e imparcia-
lidad de los resultados.
Metodología Leet Security
La metodología de Leet Security
cumple –posiblemente sea la única–
con todos estos requisitos, pudien-
do ser empleada en su modelo
estándar de calificación indepen-
diente, que permite a los provee-
dores de servicios acreditar a todos
sus clientes (y no solo a los del
sector financiero) que sus servicios
están construidos y operados de
forma segura con las medidas de
seguridad correspondientes al nivel
mostrado en la calificación.
Con dicha calificación, las entida-
des financieras cubren otra de las
recomendaciones para llevar a cabo
una selección previa de los provee-
dores adecuados acorde al nivel de
riesgo de las actividades subcontra-
tadas, habiendo decidido para ello
los niveles de confidencialidad, inte-
gridad y disponibilidad requeridos.
Normalmente, las condiciones se
plasman en un contrato, y solamen-
te son –o pueden ser– verificadas
con posterioridad. La calificación
de un servicio permite comprobar
antes de su contratación el nivel de
seguridad ofrecido por el mismo y
comparar entre diferentes opciones
para seleccionar la más adecuada.
Pero también aporta una ventaja
única utilizada como base para el
modelo de auditorías compartidas
que propugna la EBA. Es decir, si
red seguridad
cloud opinión
las entidades financieras ponen en
común sus intereses en lo referente
a requisitos sectoriales específicos,
estos pueden ser mapeados sobre el
referencial, como lo están otras nor-
mativas, como el Esquema Nacional
de Seguridad, PCI DSS o NIST SP
800-53, e incluso, y de la misma
forma, ampliándolo con los controles
que no estén previamente recogidos,
para configurar un modelo que se
adecúe completamente a las necesi-
dades del sector financiero.
De esta manera, se obtiene un
referencial con la gama más com-
pleta de medidas técnicas y orga-
nizativas de seguridad, incluyendo
requisitos sectoriales específicos,
estructurado en diferentes niveles
para adecuarse a todas las nece-
sidades y dotado de una meto-
dología de auditoría y supervisión
para garantizar la aplicación conti-
nua durante la vida de los servicios
subcontratados.
Este enfoque diferencial y único
permite al sector financiero español
posicionarse como líder frente al
resto de entidades del mercado, ya
que supone una clara situación de
ventaja competitiva, con el modelo
más eficiente en cuanto a la com-
partición de costes con el mejor
esquema para la realización de las
auditorías y supervisión, que es apli-
cable no solo a los servicios en la
nube, sino a todos aquellos provee-
dores en los que subcontratan cual-
quier otro tipo de servicios.
segundo trimestre 2018 59
 endpoint
opinión
Seguridad en el 'endpoint':
¿puedes hacer más, mejor y más rápido?
Alberto Cita
Sales Engineer Manager para España y
Portugal de Symantec
¿Cuán importante es el paráme-
tro "rendimiento" en una platafor-
ma de protección del endpoint?
Demasiado a menudo se nos olvida
hacernos esta pregunta a la hora
de definir la arquitectura de seguri-
dad corporativa para los endpoints.
En última instancia, si el software
de protección del endpoint (EPP)
es engorroso, si ralentiza el rendi-
miento del dispositivo o frustra al
usuario, entonces no importa cuán
innovadora sea la tecnología: los
usuarios la rechazarán o, si tienen
la opción, la apagarán. Es por eso
por lo que el desarrollo de software
de seguridad requiere un acto de
equilibrio constante entre aumentar
la protección y minimizar el impacto
en el rendimiento.
Ese equilibrio forma parte primor-
dial en los criterios de diseño que
sigue Symantec para el desarrollo de
software de seguridad para endpo-
ints. Para conseguirlo, nuestros inge-
nieros de desarrollo han invertido en
cuatro áreas clave para ofrecer una
defensa multicapa sin comprometer
la productividad ni de los usuarios ni
de los administradores de TI.
60 red seguridad segundo trimestre 2018
Huella más pequeña
Cada nueva capa de defensa en
el endpoint, cada arma nueva en
nuestro arsenal para defender a
los usuarios finales debe ser cui-
dadosamente optimizada para no
ralentizar ni la red ni al usuario final,
fortaleciendo la seguridad a la vez
que priorizamos la eficiencia. Por
ejemplo, implementamos nuestra
tecnología de aprendizaje automá-
tico tanto en el punto final como en
la nube, analizando los atributos y
los comportamientos de los archi-
vos localmente en el dispositivo,
mientras analizamos las relaciones
y la reputación usando Big Data a
escala en nuestra nube. Esto ofrece
una inteligencia increíble para la
protección de punto final sin reque-
rir una aplicación voluminosa.
También optimizamos y mejora-
mos el núcleo del software de pro-
tección en sí mismo para minimizar
el volumen de definiciones de firmas
almacenadas localmente. En total, la
huella típica de nuestra plataforma de
protección de endpoint se ha redu-
cido en un 68 por ciento, un impre-
sionante delta que se traduce tanto
en un espacio de aplicación más
pequeño como en una reducción
del tamaño de las actualizaciones de
archivos de definiciones.
Descargas reducidas
Si bien el uso de mecanismos de
detección basados en machine
learning o en mitigación de vulnera-
bilidades de memoria, entre otros,
permite reducir la dependencia de
las firmas de una plataforma de
EPP, el uso inteligente de estas aún
agrega valor.
Aunque algunos proveedores qui-
sieran que creyeras que el uso de
firmas en la prevención del malware
está obsoleto, la realidad es que los
sistemas de detección basados en
firmas aún juegan un papel esen-
cial en la prevención de amenazas
conocidas, mientras que el apren-
dizaje automático, la prevención
de vulnerabilidades y los entornos
virtuales se usan para abordar lo
desconocido. Desplegar uno sin el
otro es similar a instalar un sistema
de alarma nuevo en casa y luego
quitarle las cerraduras intencional-
mente a las puertas.
En Symantec creamos el servicio
Intelligent Threat Cloud para pro-
porcionar búsquedas en la nube en
tiempo real bajo demanda de firmas,
por lo que no necesitamos mantener
todas las definiciones en el endpoint,
permitiendo que las actualizaciones
se centren en la información más
reciente sobre amenazas. Esto redu-
ce la frecuencia y el tamaño de los
archivos de definición de firmas, sin
disminuir su efectividad, lo que a su
vez reduce el uso de la red y aumen-
ta el rendimiento.
En base a nuestras pruebas, el uso
de Intelligent Threat Cloud ha ayudado
a reducir las actualizaciones diarias en
un 70 por ciento. Esto es aproxima-
damente el equivalente a dos correos
electrónicos por día. ¿Qué pasa si
no podemos conectarnos a la nube?
Múltiples tecnologías sin firmas, como
el aprendizaje automático y la mitiga-
ción de vulnerabilidades de memoria,
ya están en condiciones de ofrecer
un veredicto bastante definitivo en el
endpoint, por lo que si no podemos
corroborarlo, lo bloquearemos.
Tiempos de escaneo más rápidos
Con el objetivo de minimizar el
impacto en el rendimiento de la
protección del enpoint, nuestros
equipos de desarrollo han trabajado
arduamente para ofrecer una mejor
protección con tiempos de explo-
ración más rápidos. El nuevo soft-
ware realiza escaneos conjuntos en
muestras que combinan archivos
limpios y aquellos que contienen
malware casi un 20 por ciento más
rápido, un aumento que se puede

atribuir en gran parte a la adición de
Intelligent Threat Cloud.
La exploración en tiempo real de
archivos nuevos también funciona
increíblemente rápido. El módulo
emulador de nuestra plataforma de
EPP, por ejemplo, utiliza sandboxing
virtual para bloquear ataques basa-
dos en el uso de custom packers,
implementando una tecnología sofis-
ticada que imita los sistemas opera-
tivos, las API y las instrucciones del
procesador, todo esto al mismo tiem-
po que administra la memoria virtual
y que ejecuta varias tecnologías de
detección y heurísticos. El emulador
opera en milisegundos, un promedio
de 3,5 milisegundos para archivos
limpios y 300 para malware, lo que
minimiza significativamente el impac-
to de la detección y la respuesta en
la red y en la experiencia del usuario.
Un agente, múltiples capas
El panorama de las amenazas siem-
pre está cambiando y el malware
puede infiltrarse en los sistemas cor-
porativos en cualquier punto de la
cadena de ataques. La realidad es
que ninguna tecnología por sí sola
puede detener todo el malware todo
el tiempo. Por ello, el uso de múlti-
ples tecnologías de protección de
forma concurrente es un requisito
fundamental para el futuro de la
seguridad en las plataformas EPP.
La contrapartida de esta aproxima-
ción es el impacto en rendimiento y
un incremento de complejidad para
los administradores de TI, ya que
múltiples tecnologías de detección y
de protección en el endpoint suelen
traducirse en la necesidad de des-
plegar y de operar múltiples agentes
en el puesto de trabajo de los usua-
rios finales. Pero dichos usuarios
finales no quieren el impacto en el
rendimiento que supone usar múl-
tiples agentes de protección, y los
administradores de TI no necesitan
el dolor de cabeza que supone usar
aplicaciones separadas de múltiples
proveedores, con la necesidad de
instalar, parchear, actualizar, solucio-
nar problemas e integrar cada uno de
ellos por separado.
En Symantec hemos desarrolla-
do una plataforma de EPP y EDR
(Endpoint Discovery and Response)
integrada en la que, además, com-
binamos tecnologías nuevas y esta-
blecidas en un agente único y liviano
para detener amenazas conocidas y
desconocidas en múltiples vectores,
yendo mucho más allá del alcance y
de la capacidad de soluciones indivi-
duales que pretenden proteger frente
a distintas tipologías de amenazas
o resolver las necesidades de EDR
por separado de la plataforma de
EPP. Estas múltiples capas de pro-
tección incluyen aprendizaje automá-
tico, prevención de vulnerabilidades
en memoria, sandboxing en memoria
y en dispositivos de red, desplie-
gue de mecanismos de deception
que hacen que se revelen actividades
maliciosas que de otra forma podrían
pasar inadvertidas durante largo tiem-
po, antivirus y reputación, análisis
de comportamiento y hardening del
sistema operativo y las aplicaciones.
Todo ello, dentro de un único
agente de alto rendimiento que ha
obtenido la puntación más alta en
los Passmark Performace Tests para
Enterprise Endpoint Protection tanto
para Windows 7 (puntuación de 62)
como para Windows 10 (puntua-
ción de 65) y que, además, ha sido
nombrado como líder indiscutible del
Gartner Magic Quadrant for Endpoint
Protection Platform, publicado por
Gartner en enero de este año.
Ese mismo agente también puede
recopilar los datos que necesita para
alimentar la detección y la respuesta
del endpoint (EDR) a través de con-
solas de Symantec y de terceros.
Al mismo tiempo, estas nuevas
técnicas de detección de amenazas
se combinan con otras tecnologías
de probada eficacia y bien estable-
cidas, como el firewall de puesto de
trabajo, el IPS de puesto de trabajo,
el control de aplicaciones o el control
de dispositivos.
Rendimiento
En definitiva, uno de los criterios de
selección para plataformas EPP que
El desarrollo de software de seguridad
requiere un equilibrio constante entre
aumentar la protección y minimizar el
impacto en el rendimiento.
red seguridad
endpoint opinión
deben tener en cuenta los responsa-
bles de seguridad es el impacto en
el rendimiento que tendrá la solución
elegida, pues si el software de pro-
tección del endpoint es engorroso,
si ralentiza el rendimiento del dispo-
sitivo o frustra al usuario, entonces
no importa cuán innovadora sea la
tecnología de protección, ya que los
usuarios la rechazarán o terminarán
forzando a los administradores de TI
a desactivarla (si es que no tiene la
opción de desactivarla ellos mismos).
En Symantec hemos entendido
esta necesidad y hemos encontrado
el equilibrio perfecto entre maximizar
los mecanismos de protección de una
EPP y minimizar su impacto en el
rendimiento de los endpoints. Gracias
a este equilibrio, las organizaciones ya
no necesitan instalar y administrar
múltiples agentes de punto final para
prevención, detección y respuesta.
Con las tecnologías consolidadas de
la plataforma de EPP de Symantec,
los responsables de seguridad pue-
den cosechar el enorme beneficio de
la protección de última generación, a
la vez que mejoran la experiencia del
usuario, reducen la carga de trabajo
de los administradores de TI y dismi-
nuyen el TCO, liberando más recursos
y energía para centrarse en combatir
a los malos.
segundo trimestre 2018 61
 empresa
noticias
Telefónica crea un consejo de ciberseguridad
compuesto por expertos internacionales
La multinacional española Telefónica
apuesta por reforzar su estrategia en
el entorno de la ciberseguridad. Para
ello ha puesto en marcha un consejo
asesor de expertos en esta material,
con el fin de comprender los riesgos y
amenazas que traen los nuevos cam-
bios tecnológicos, los cuales pueden
afectar a su negocio y a la privacidad
de sus clientes.
El consejo, que se reunió por pri-
mera vez a finales de mayo, está
compuesto por el propio presidente
de Telefónica, José María Álvarez
Pallete, al que se unen Javier Solana,
exministro socialista y ex secretario
general de la OTAN; Mike Rogers,
excongresista de Estados Unidos
y experto en seguridad; Rodrigo
Antao, experto brasileño en ciber-
seguridad; Alberto Yepes; Charles
Brookson; Karsten Nohl; Idoia Mateo
Murillo; Ignacio Cirac; Chema Alonso
y Miguel Sánchez.
La compañía asegura que ha ele-
gido a expertos de reconocida com-
petencia y prestigio en ámbitos de
seguridad de la información, la ciber-
seguridad y la tecnología, y que estas
reuniones se celebrarán en la propia
sede de Telefónica en Madrid dos o
tres veces al año.
Además, el objetivo de este grupo
de expertos internacional es el de
S21sec y Nextel se fusionan para crear la mayor compañía española
dedicada exclusivamente a la ciberseguridad
Sonae Investment Management
(Sonae IM), grupo inversor propie-
tario de S21sec, anunció, el 8 de
junio, la adquisición de la firma tec-
nológica española Nextel. Con esta
operación, cuyo objetivo último es
la fusión de ambas empresas, se
va a consolidar "la mayor compañía
dedicada exclusivamente a servicios
de ciberseguridad de nuestro país"
tanto en términos de facturación
como en número de expertos en
plantilla, según afirman en un comu-
nicado tras el acuerdo.
La entidad resultante, cuya estra-
tegia de marca será anunciada en
los próximos meses, contará con
más de 400 especialistas en ciber-
62 red seguridad segundo trimestre 2018
José M. Álvarez Pallete.
reunirse con los responsables de
seguridad nacional de distintos países
europeos para conocer la lucha que
realizan ante los ciberataques.
Centro de investigación
Este es un paso más de la compañía
por reforzar su apuesta por la ciberse-
guridad después de que el presidente
de Telefónica España, Emilio Gayo,
anunciara días antes que la multina-
cional instalará en Valencia su centro
de investigación y desarrollo de tecno-
logía en el ámbito de la ciberseguri-
dad. El proyecto, que se pondrá en
marcha en el tercer trimestre de este
año o a principios del siguiente,
supondrá una inversión de seis millo-
nes de euros y conllevará la contrata-
ción de 20 ingenieros.
seguridad, así como con una cartera
de clientes en la que están incluidas
la mayor parte de las organizaciones
cotizadas y grandes sociedades de
Iberia. Nextel añade a la nueva firma
más de 30 años como referente en
servicios de integración de solucio-
nes de seguridad, auditoría, pentes-
ting y consultoría de seguridad.
Buenos resultados
El anuncio de la fusión se produce
tras el crecimiento de más del 25 por
ciento del negocio de S21sec en
2017. "Esta iniciativa nos va a permi-
tir poner en valor nuestra experiencia
y nuestra oferta líder de servicios
gestionados, ya que podremos
'Cryptojacking',
una nueva amenaza
en manos de los
ciberdelincuentes
El minado oculto o malicio-
so de criptomonedas, tam-
bién conocido como crypto-
jacking, se abre paso entre
las nuevas técnicas utiliza-
das por los cibercriminales
para aumentar sus fuentes
de ingresos. Según revela el
informe sobre amenazas de
seguridad en Internet publi-
cado por Symantec, duran-
te el año pasado, la subida
astronómica del valor de las
criptomonedas desencade-
nó una "fiebre del oro" por
el minado malicioso, ya que
los ciberdelincuentes intentan
monetizar un mercado volátil.
De hecho, la detección de
mineros de criptomonedas
en dispositivos ajenos se
incrementó en ese periodo
un 8.500 por ciento.
El estudio indica que el 2,7
por ciento de los ataques de
cryptojacking ha tenido lugar
en España, proporción que
supera a la de otras amena-
zas tradicionales como los
bots (1,4%), el spam (1,3%)
o el phishing (0,9%).
pasar a ofrecer dichos servicios a la
base de clientes resultante de la
fusión”, explica Agustín Muñoz-
Grandes, CEO de S21sec.
José Ramón Bazo, director general de Nextel,
y Agustín Muñoz-Grandes, CEO de S21sec.
 Socios Protectores:

Aeroespacial
y Defensa

www.fundacionborreda.org
Hazte amigo

GLOBALTECHNOLOGY
Patrocinadores: Consultoría de Seguridad Global e Inteligencia

Colaboradores:
 empresa
noticias

Los ciberdelincuentes se
apoyan en el cifrado para
NOMBRAMIENTOS ocultar sus actividades

Álvaro Garrido Según se recoge en el Informe Anual

Responsable de Information Security & Engineering Risk de BBVA de Ciberseguridad 2018 de Cisco,
los ciberdelincuentes han comenzado
Será el responsable de la nueva unidad de BBVA Information a utilizar servicios cloud y técnicas
Security & Engineering Risk (IS&ER), que está dentro del área de
Engineering del banco. Dicha unidad se encargará de coordinar
de cifrado como método para evitar
la seguridad de la información, ciberseguridad y riesgos de su detección ocultando la actividad
ingeniería del grupo. Garrido cuenta con una larga trayectoria command-and-control. Precisamente,
como responsable de tecnología en el sector financiero, como los investigadores de ciberamenazas
Group Chief Information Officer en el grupo bancario escandina- de la compañía han detectado que
vo Nordea y Group Head of Technology en el británico Standard
las muestras de malware inspeccio-
Chartered Bank. Es ingeniero de telecomunicaciones por la
ETSIT, de la Universidad Politécnica de Madrid y realizó un pro- nadas en un periodo de análisis de
grama de ‘International Management’ en el MIT. 12 meses han multiplicado por más
de tres el uso de comunicaciones de
red cifradas.
Jorge Hurtado Por otro lado, el informe confirma
Vicepresidente de Servicios Gestionados de S21Sec que las técnicas más usadas por
las organizaciones para reforzar sus
Ingeniero Superior de Telecomunicaciones por la Universidad defensas de seguridad son la automa-
Politécnica de Madrid, PIC por Deusto Business School y miem-
tización, en la que se apoya el 39 por
bro del Comité Operativo del Centro de Estudios de Movilidad e
Internet de las Cosas del ISMS Forum, Hurtado tendrá responsa- ciento de los encuestados, el machine
bilidad desde su nuevo puesto sobre las tres áreas de negocio de learning (34%) y la Inteligencia Artificial
la empresa: SOC (Centro de Operaciones de Seguridad), ACS/ (32%). Todavía en sus primeras eta-
eCrime (Servicios Avanzados de Seguridad) e Inteligencia. Con pas de desarrollo, esas dos últimas
su nombramiento, pasa a ocupar un asiento en el comité ejecuti- tecnologías madurarán con el tiempo
vo y a reportar directamente al CEO de la compañía.
y aprenderán a detectar la actividad
"normal" en los entornos de red que
están monitorizando, añade el docu-
Francisco Bermúdez Lizzie Cohen-Laloum mento.
Consejero delegado de Vicepresidenta Regional
Capgemini España para EMEA de Fortinet
El coste de los
Bermúdez ha
desarrollado casi
Con más de 25
años de experiencia
ataques DDoS superó
toda su carrera en el ámbito comer- el año pasado los dos
profesional en el
mundo de la con-
cial, Cohen-Laloum
se ha incorporado
millones de euros
sultoría de siste- a la plantilla del
mas de informa- fabricante de ciber- El fabricante de seguridad
ción y en el Grupo seguridad con la Kaspersky Labs ha publicado
Capgemini, donde intención de impul- el estudio IT Security Risks
lleva 22 años vin- sar el negocio de la Survey 2017, en el que se con-
culado especialmente a la gestión de compañía en el mercado EMEA. La
operaciones, tecnología y servicios directiva, que reportará directamente
firma que, durante ese año,
cloud, siendo miembro del comité a Yann Pradelle, vicepresidente de creció el coste financiero de
ejecutivo para España desde 2006. Europa Continental, trabajó los últi- los ataques de denegación de
El directivo sustituye en este cargo a mos 15 años en F5, ocupando diver- servicio (DDoS) en las empresas
Paulo Morgado, quien seguirá vincu- sos cargos de responsabilidad en el españolas. Concretamente, el
lado al grupo. área de ventas.
importe pasó desde los aproxi-
madamente 85.000 euros de
2016 a los más de 100.000
Mª José Montes euros en 2017. Para las grandes
Responsable de ciberseguridad de ESET España empresas, el aumento fue aún
más significativo, yendo desde
Tendrá como responsabilidad velar por la implantación de
los 1,3 millones de 2016 a los
las políticas de seguridad internas y el cumplimiento de la
normativa de seguridad de la información, garantizando dos millones en 2017. Al coste
la seguridad y privacidad de los datos y supervisando el financiero se unen otros daños
control de acceso a la información. También será respon- menos cuantificables como es
sable de la respuesta ante incidentes en la organización. la pérdida de reputación.

64 red seguridad segundo trimestre 2018

 empresa noticias

Panda Security Summit: la ciberresiliencia es un concepto

clave para la seguridad empresarial
Panda Security celebró, el 18
de mayo en Madrid, la pri-
mera edición de su cumbre
Panda Security Summit, que
contó con 600 asistentes y
sirvió de marco de análisis
de las últimas tendencias en
ciberseguridad. El protago-
nismo del evento recayó en
la ciberresiliencia, un con-
cepto que ha quedado iden-
tificado como clave para la
seguridad empresarial en el
último informe del laborato-
rio antimalware PandaLabs
y que fue presentado en el marco
del encuentro. El documento, titu-
lado Ciber-resiliencia: la clave de la
seguridad empresarial, refleja que el
aumento del volumen y la severidad
de los ciberincidentes detectado por
un porcentaje mayoritario de empre-
sas (un 64% por ciento y un 65%,
respectivamente) se ha traducido en
un incremento de los tiempos de
detección y respuesta en un 57 por
ciento de los casos.
Además, el documento de
PandaLabs identifica como empre-
sas altamente ciberresilientes a aque-
llas que afirman contar con siste-
mas robustos de prevención (72%),
detección (68%), contención (61%)
y respuesta a ciberataques (67%).
Estas compañías que han puesto
en marcha un plan de respuesta a
incidentes de ciberseguridad cuentan
con profesionales especializados en
su aplicación (91%) y están lideradas
por directivos que entienden que la
alta ciberresiliencia está directamente
relacionada con el crecimiento eco-
nómico (63%) y de reputación de la
empresa (69%), según destaca el
informe.
Panda Security Summit
La jornada, inaugurada por José
Sancho, presidente de Panda
Security, contó con ponentes de
primer nivel como Ian McShane,
Research Director de Gartner,
quien apuntó que el reto para
2019 es reforzar la prevención,
especialmente en la estrategia
de protección de endpoints.
Por su parte, Javier Candau,
jefe del Centro Criptológico
Nacional (CCN-CERT) se cen-
tró en el desafío que representa
la ciberseguridad en España y
sostuvo que uno de los princi-
pales retos del país en la mate-
ria es potenciar las certificacio-
nes del Esquema Nacional de
Seguridad.
Nikolaos Tsouroulas, Head of
Cybersecurity Product Management
en ElevenPaths (de Telefónica), desta-
có por su parte que "la tecnología es
necesaria, pero primero están las per-
sonas; los profesionales de seguridad
son la mejor inversión en este ámbito".
La jornada prosiguió con la partici-
pación de Nicola Esposito, director del
CyberSOC EMEA Center de Deloitte,
para quien "es fundamental que las
empresas cuenten con una estrategia
para ser resilientes si algo pasa", y
Pedro Uría, director del laboratorio
PandaLabs, quien puso el broche al
evento ofreciendo varias claves de la
seguridad, la protección y la resiliencia
empresariales.

Los ciberataques registrados por empresa Los ciberdelincuentes

aumentaron un 82 por ciento, según Fortinet se basan en nuevas
Fortinet ha dado a conocer las conclusiones de su último Informe Global técnicas de ataque
de Amenazas, correspondiente al tercer trimestre de 2017, según el cual
los ataques por empresa se han incrementado con respecto a los tres Según el último Informe de McAfee
meses anteriores. De hecho, el fabricante detectó un promedio de 274 Labs sobre amenazas, correspon-
exploits por organización, lo que supone un aumento significativo del 82 diente al cuarto trimestre de 2017,
por ciento. Por lo que se refiere al número de familias de malware, creció los ciberdelincuentes están aban-
en un 25 por ciento, mientras que las variantes únicas lo hicieron en un donando algunos de sus conocidos
19 por ciento. Todos estos ataques tienen en común que cada vez son métodos de eficacia probada, como
más automatizados y sofisticados, y, al efectuarse tipo enjambre, hacen el ransomware, por otros como el
que sea más difícil para las organizaciones proteger a sus usuarios, apli- uso de nuevas técnicas y herramien-
caciones y dispositivos. tas, como el malware basado en
Por otro lado, también se pone de manifiesto un incremento de la PowerShell, que creció un 267 por
intensidad de los ataques IoT, con nuevas botnet, como Reaper and ciento en el cuarto trimestre y un 432
Hajime, que pueden atacar múltiples vulnerabilidades de forma simul- por ciento en 12 meses.
tánea; la prevalencia de los ataques de ransomware, con variantes muy Además, el documento alerta de
extendidas como Locky o GlobeImposter; y un crecimiento del malware que el sector sanitario es un objetivo
de criptominado, lo que parece estar relacionado con la variación del prioritario para los ciberdelincuentes,
precio del bitcoin. con un aumento del 211 por ciento
de los incidentes comunicados.

red seguridad segundo trimestre 2018 65

 empresa
noticias
El 87% de las empresas cree que debe aumentar su

BITS presupuesto en ciberseguridad

Eulen recibe la
doble acreditación
en seguridad
El Centro de Control de Seguridad
Integral, gestionado por Eulen
Seguridad, se ha convertido en
el primer centro de servicios de
estas características que ha con-
seguido la doble acreditación en
seguridad, con la Calificación de
Ciberseguridad de Leet Security
y la Certificación de conformi-
dad con el Esquema Nacional de
Seguridad (ENS).
vinCERTcore,
certificado Common
Criteria EAL 4+
vintegrisTECH ha obtenido la cer-
tificación Common Criteria EAL4+
(ALC_FLR.2) para su producto vin-
CERTcore, otorgado por el Centro
Criptológico Nacional. Esto permite
a la compañía homologarse como
prestador cualificado de servicios
electrónicos de confianza bajo el
Reglamento (UE) Nº 910/2014
sobre identificación electrónica y
servicios de confianza (eIDAS).
Aunque las grandes compañías son cada vez más conscientes del riesgo que
supone el aumento de la sofisticación de los ciberataques, el 89 por ciento de
los directivos opina que las medidas de ciberseguridad implementadas por sus
compañías no son capaces de responder totalmente a las necesidades del nego-
cio. Esta es la principal conclusión del estudio Global Information Security Survey,
publicado por la consultora EY.
Según este documento, la alta dirección identifica tres vulnerabilidades prin-
cipales que les impide contar con el sistema adecuado de ciberprotección. En
concreto, el 59 por ciento lo achaca a las restricciones de presupuesto; el 58
por ciento, a la falta de recursos especializados; y el 29 por ciento, a la falta de
concienciación y apoyo por parte de la directiva.
Para responder a este escenario, las organizaciones
están aumentando la dotación presupuestaria destina-
da a protegerse de los ataques. Así, un 59 por ciento
indica que su presupuesto se ha incrementado durante
los últimos 12 meses. Sin embargo, estos aumentos se
estiman insuficientes, ya que el 87 por ciento cree
necesario que las partidas crezcan un 50 por ciento
más, mientras que el 12 por ciento ve adecuado un
incremento de más del 25 por ciento en el presupuesto
de ciberseguridad.
El 'malware' para Windows Se reduce el
aumenta un 23% respecto número de informes
al año anterior comprometidos
durante 2017

X-Force  Threat  Intelligence 

Papyrum Nexus
se certifica en
compliance penal
La compañía especializada en
gestión de la información y trans-
formación digital Papyrum Nexus
ha confirmado que, tras el aseso-
ramiento de la consultora Icraitas
y la auditoría realizada por Adok
Certificación, ya cumple con la
norma UNE 19601, que regula el
cumplimiento de las empresas en
materia de responsabilidad penal y
políticas anticorrupción.
Ingecom distribuirá
las soluciones de
Terafence en Iberia
El mayorista de seguridad y ciber-
seguridad Ingecom ha firmado un
acuerdo de distribución en Iberia
con el fabricante israelí Terafence,
especializado en soluciones de
ciberseguridad para el merca-
do IoT/IIoT y OT. Los sectores
a los que se dirigirá serán las
infraestructuras industriales, auto-
moción, implantes, dispositivos
inteligentes, salud y smart cities.
Según los datos que maneja la compa-
ñía de seguridad G Data Software, el
año pasado se registraron más de 8,4
millones de nuevos tipos de malware
para Windows; es decir, hasta 16 nue-
vos programas maliciosos por minuto,
lo que supone un 23 por ciento más
de amenazas que en 2016.
Asimismo, la empresa confirma que
el ransomware ha experimentado un
crecimiento notable en la segunda
mitad de 2017, pero los troyanos, los
adwares y los Programas
Potencialmente No Deseados (PUP)
siguen aglutinando la mayoría de las
amenazas. De media, cada usuario
recibió 22 ciberataques en el último
semestre de 2017. En palabras de Ralf
Benzmüller, responsable de G DATA
SecurityLabs, "la amenaza más seria
para particulares y redes empresaria-
les es el ransomware, y esto no cam-
biara a lo largo de 2018".
Index  2018 es el nombre
del documento que reciente-
mente ha presentado IBM, el
cual revela que el número de
informes comprometidos se
redujo en un 25 por ciento
en 2017. Concretamente, el
pasado año se comprometie-
ron más de 2.900 millones de
registros de datos, una cifra
inferior a los 4.000 millones
de 2016. Si bien el número
de registros afectados sigue
siendo significativo, el ran-
somware reinó en 2017 con
ataques como WannaCry,
NotPetya y Bad Rabbit, que
causaron grandes problemas
en todas las industrias.
Finalmente, otra conclusión
importante del estudio es el
aumento histórico del 424 por
ciento en el número de bre-
chas de seguridad relaciona-
das con infraestructuras cloud
mal configuradas, debido en
gran parte a errores humanos.

66 red seguridad segundo trimestre 2018


El 'exploit' que activó el brote que dio lugar al
WannaCry registra mayor actividad que entonces
Justo cuando se cumple un
año desde que el ransomware
WannaCryptor.D (también conoci-
do como WannaCry o WCrypt)
provocara uno de los incidentes de
ciberseguridad más grandes del
mundo, la compañía de seguridad
Eset ha confirmado que el exploit
que activó el brote, conocido como
EternalBlue, aún está amenazando
a sistemas desprotegidos y sin
parche. Así, de hecho, lo muestran
los datos de la telemetría de este
fabricante, según los cuales su
popularidad creció durante los últi-
mos meses e incluso se detectaron
picos de actividad que superaron a
los registrados en 2017.
El 88% de las organizaciones todavía no se ha adaptado
al nuevo RGPD, según Leet Security
Solamente un 12,3 por ciento de las
organizaciones ha finalizado su proce-
so de adaptación al nuevo Reglamento
General de Protección de Datos
(RGPD), según el segundo estudio
"Empresas y Ciberseguridad" de Leet
Security, presentado el 24 de mayo en
Madrid. Del resto, tal y como señala
este documento, un 76,4 por ciento se
encuentra trabajando en ello y un 11,3
por ciento no ha planificado ninguna
acción o tiene un plan previsto pero
todavía no ha empezado a trabajar.
Pese a estos datos, el 86 por cien-
to de los encuestados –110 empre-
sas ubicadas en territorio español,
fundamentalmente socios del Club
Excelencia en Gestión y clientes de
Leet Security– afirman que conocen
los cambios de la nueva normativa que
aplican a su organización, mientras
que el 70,9 por ciento está verdadera-
mente preocupado por el RGPD.
Sin embargo, este estudio, desa-
rrollado en colaboración con el
Centro Nacional de Protección de
Infraestructuras y Ciberseguridad
(CNPIC), Club Excelencia en Gestión
e Inmark, pone de manifiesto que el
56,2 por ciento de los encuestados ha
incrementado su inversión en seguri-
dad en tecnologías de la información.
Un dato que está en consonancia con
el 54,7 por ciento que piensa que el
riesgo de ciberataques es superior al
Según las mediciones de Eset,
EternalBlue tuvo un periodo de
calma inmediatamente después
de la campaña de WannaCryptor
en 2017. En los meses siguien-
tes del incidente, los intentos de
utilización de este exploit cayeron
a "solo" cientos de detecciones
diarias. Sin embargo, desde sep-
tiembre del año pasado el ritmo del
uso del exploit ha ido en aumento,
creciendo de manera sostenida y
alcanzando nuevos picos máxi-
mos a mediados de abril de 2018.
Una posible explicación para este
incremento, según la compañía,
es la campaña del ransomware
Satan, detectado en esas fechas.
año pasado (el 36,8% afirma que están
en igual nivel y el 8,5% que es menor).
Principales preocupaciones
En cuanto a las principales preocupa-
ciones entre las organizaciones
encuestadas se encuentran la protec-
ción de los datos de clientes (34,6%),
la indisponibilidad de los servicios
(30,8%) y la fuga de información
(23,2%). Estos tres términos se
encuentran también en los primeros
puestos de la escala relacionada con el
reto principal en términos de ciberse-
guridad. En concreto, los encuestados
señalaron la protección de los datos de
clientes (39,3%), la indisponibilidad de
los servicios (31,8%), la fuga de infor-
mación (13,1%), la protección de datos
corporativos (10,3%) y la responsabili-
dad corporativa (3,7%). En un lugar
testimonial se encontraron la pérdida
de propiedad intelectual y la protección
de datos.
red seguridad
empresa noticias
Toda la actualidad
de la seguridad TIC,
en nuestra web
Para estar al día de toda las
novedades de las empresas del
sector de la Seguridad TIC, visita
nuestra web www.redseguridad.
com, o síguenos en las redes
sociales Twitter y LinkedIn.
El 'malware' móvil le
cuesta a las empresas
más de 16 millones de
dólares al año
Según un estudio presentado por
Check Point, el malware móvil ha
sido la amenaza que más dinero
ha generado, aunque hayan llama-
do más la atención las variantes
de ransomware, como WannaCry,
NotPetya o BadRabbit. De hecho,
sostiene el documento, la ciber-
delincuencia móvil se rige por una
sencilla ecuación: multiplicar el
número de dispositivos que pueden
infectar por la cantidad de tiempo
que pasa hasta que el malware se
elimina. Siguiendo esta regla, en
2017, CopyCat, una amenaza que
el año pasado infectó a 14 millones
de dispositivos Android, generó 16
millones de dólares. Por su parte,
el famoso WannaCry hizo lo propio
con unos 600.000 dólares e infectó
a poco más de 300.000 ordena-
dores.
Esto se relaciona con otra reciente
investigación de la compañía, según
la cual todas las empresas han
experimentado, al menos, un ataque
de malware móvil durante el año
pasado, con una media de 54 ame-
nazas por empresa. El 89 por ciento
de estas organizaciones ha vivido, al
menos, un ataque de Man-in-the-
Middle. Además, el 75 por ciento de
los negocios cuenta con un prome-
dio de 35 dispositivos "rooteados",
un estado que les deja completa-
mente vulnerables a ataques, ya que
el proceso elimina toda la seguridad
incorporada proporcionada por los
sistemas iOS y Android.
segundo trimestre 2018 67
 vulnerabilidades
opinión
Sistemas SAP: el tesoro final de
los ciberataques
Francisco Martínez
Carretero
SAP Platform Foundation Manager de Techedge
A ntes de empezar, les propongo
un experimento. Si están suscri-
tos a boletines de ciberseguridad,
revisen los artículos publicados en
los últimos años. Podrán compro-
bar que muy pocos de ellos están
dedicados a la seguridad de los
sistemas ERP (Enterprise Resource
Planning), y menos aún a los sis-
temas SAP. Hay centenares de
artículos y boletines dedicados a
vulnerabilidades en sistemas ope-
rativos, routers, dispositivos, aplica-
ciones para móvil, bases de datos
y servidores web. Considerando la
importancia de cada uno de estos
componentes, el daño económico y
a la imagen que produce un deface
o un DoS a un servicio puede ser
muy considerable. Sin embargo,
el lugar donde reside realmente
el corazón de las organizaciones,
con los datos de empleados, clien-
tes, proveedores, precios, pedidos,
pagos bancarios, etc., es en los
sistemas ERP, que guardan el teso-
ro de la información crítica de la
organización. En este caso, el daño
es mucho mayor si se produce un
robo silencioso de información o un
fraude económico que las pérdidas
ocasionadas por una caída de ser-
vicio puntual en el tiempo. El mayor
riesgo posible es que la información
crítica de nuestra empresa acabe
en poder de terceros.
68 red seguridad segundo trimestre 2018
La razón de que habitualmente
los ERP queden fuera de la vista de
la ciberseguridad se debe a unos
pocos factores:
- Percepción de que son sistemas
internos y de uso minoritario.
- Falta de información técnica,
tanto en el lado de la ciberdefensa
como en el de los ciberataques.
- Asunción de que la seguridad
interna de la aplicación (por ejemplo,
los roles y las autorizaciones de SAP)
es suficiente para controlar lo que
ocurre en ella.
El hecho es que estos tres factores
proporcionan una ilusoria sensación
de control. Adicionalmente, las audi-
torías de seguridad que se realizan
en los sistemas SAP están orienta-
das en particular a aspectos concre-
tos de la segregación de funciones y
las autorizaciones críticas, pero dejan
fuera del alcance la mayor parte de
las fuentes de ciberataques.
Sistemas complejos
Los sistemas SAP son técnicamen-
te complejos. En el sentido vertical,
se apoyan en el sistema operativo
elegido (Windows, Linux, AIX, etc.)
y en una base de datos soportada
(HANA, Oracle, DB2, SQLServer).
Sobre estas capas, la aplicación
posee su propio sistema de seguri-
dad interno basado en autorizacio-
nes para realizar ciertas acciones.
Estas acciones se circunscriben al
ámbito interno de la aplicación. En
cada una de estas capas deben
aplicarse políticas de seguridad
horizontal, cuidando de que cada
una de ellas esté suficiente protegi-
da, monitorizada y auditada.
Sin embargo, el sistema SAP inte-
ractúa con las capas que tiene deba-
jo, a veces de manera muy directa,
mediante accesos a las tablas de
la base de datos, otras mediante
llamadas al sistema operativo o a
través del uso directo del sistema
de ficheros para intercambiar datos.
De manera que existe también un
esquema de seguridad vertical, en el
cual no solo hay que cuidar el estado
de cada capa, sino la interacción
entre las capas.
Finalmente, un sistema SAP típi-
co posee un número de interfaces
considerable con otros entornos,
en una gran variedad de proto-
colos: acceso directo a ficheros
(NTFS/Samba/NFS/SMB), transfe-
rencia de ficheros mediante (S)
FTP, accesos de entrada y salida
por HTTP(S), SOAP, RFC, comu-
nicaciones con la nube median-
te Cloud Connector, balancea-
dores software como SAP Web
Dispatcher, o conexiones CPI-C
a través SAP Gateway o SAP
Router, comunicación con siste-
mas de desarrollo y test (además
El 25 de mayo de 2018 será de aplicación la
nueva normativa europea sobre protección
de datos,
¿ESTÁ SU EMPRESA PREPARADA Y ACTUALIZADA?
NO ESPERE MÁS,
LA CUENTA ATRÁS LLEGA A SU FIN
En SEGURLEX CONSULTORES & COMPLIANCE
ABOGADOS disponemos de un equipo
altamente especializado que le ofrece:
Una adecuada implantación del Reglamento
Europeo sobre Protección de Datos.
Evaluaciones de impacto relativa a la protección
de los datos personales (EIPD).
Auditoría en protección de datos.
Servicios de Delegado de Protección de Datos
(DPO).
Implementación de las necesarias medidas de
seguridad técnicas.

www.segurlex.com.es
C/ Don Ramón de la Cruz, 68 - 2º dcha
28001 Madrid España
Tel.: +34 91 401 88 74
info@segurlex.com.es
 vulnerabilidades
opinión
de otros servicios y protocolos
que no añadiré por cuestiones de
espacio y brevedad).
Si hiciéramos una representación
gráfica de las vías de acceso a los
datos de un sistema SAP, podría-
mos dibujarlo como un gran centro
logístico en el que confluyen una
enorme cantidad de autopistas. De
hecho es un gran centro logístico en
términos de software.
La pregunta sincera que hace
falta realizar es si todas esas auto-
pistas están siendo controladas de
la manera adecuada. Y más aún, si
estamos seguros de que no existen
atajos o combinaciones de rutas
aparentemente seguras que puedan
llevar a accesos no deseados por
parte de atacantes. Por hacer un
símil biológico, podríamos llamar a
esos atajos las "rutas metabólicas
del ciberataque", en las que, al igual
que en biología, unos sustratos se
convierten en productos median-
te su combinación con metabolitos
para producir energía. En este caso
un acceso legal al sistema se com-
bina con un elemento simple y apa-
rentemente inocuo para dar lugar a
un producto más "energético", es
decir, un ataque exitoso.
Un par de ejemplos
A) Es una práctica habitual que los
usuarios de los sistemas SAP ten-
gan acceso a subir y bajar ficheros
en ciertos directorios del servidor
SAP (locales o montados desde otra
máquina). Este uso no es esencial-
mente peligroso, pero combinado
70 red seguridad segundo trimestre 2018
Las vías de acceso a los datos
de un sistema SAP son como
un gran centro logístico en
el que confluyen una enorme
cantidad de autopistas.
con otras autorizaciones y permisos
puede suponer uno de los mencio-
nados atajos para conseguir privile-
gios o ejecutar código malicioso. Sin
ánimo de dar ideas o de ser catas-
trofista, sirva este ejemplo:
1. El usuario inserta desde su PC
un fichero que en lugar de contener
datos, contiene código (por ejemplo,
shell script).
2. El usuario solicita al departamen-
to de explotación la ejecución de un
job con determinados pasos. En uno
de ellos, mezclados con pasos lícitos
para la actividad, se inserta la ejecu-
ción del fichero ejecutable subido por
el usuario.
3. El código se ejecuta con los
permisos del usuario <sid>adm a
nivel de sistema operativo y puede
realizar tareas con altos privilegios,
como acceder a tablas de la base de
datos directamente, descargar datos
a fichero, introducir en el sistema
operativo cierto malware, etc.
B) Debido a habituales urgencias a
la hora de prestar funcionalidad al
usuario, a menudo los accesos a los
datos se proporcionan asignando
directamente el uso de transaccio-
nes de consulta a la base de datos
(SE16 por ejemplo), en lugar de pro-
gramar una transacción controlada
por objetos de autorización. Más
aún, tampoco se controlan los gru-
pos de tablas a los que se accede,
ni el nombre de las tablas (este caso
puede parecer disparatado pero es
uno de los habituales).
1. El usuario accede de manera
legal a tablas con los datos de nego-
cio, los consulta, los puede descar-
gar, y los extrae del sistema. Una vez
fuera del sistema, ese fichero puede
ser utilizado para actividades perjudi-
ciales para la empresa.
2. Otro caso típico de fraude: el
usuario accede de manera legal
a tablas del sistema donde se
guarda la información de otros
usuarios, extrae los datos cifrados
de las contraseñas, los descarga y
los descifra gracias a un programa
de rotura de contraseñas mediante
fuerza bruta en otro ordenador.
Gracias a un buen diccionario y
un equipo con buen rendimiento
de CPU o GPU pueden descifrar-
se millones de contraseñas por
segundo. Una contraseña de ocho
caracteres podría obtenerse en un
intervalo de pocos segundos, y en
el peor de los casos, no más de 10
horas. Finalmente, puede acceder-
se de manera legal con el usuario y
contraseña de un empleado reco-
nocido y de amplios privilegios (por
ejemplo un directivo) al que se la
ha robado la contraseña y realizar
actividades ilícitas en su nombre
(robo de datos, pagos fraudulen-
tos, etc.).
Los dos ejemplos anteriores son
relativamente primitivos y hasta tos-
cos, pero muy efectivos. Existen
métodos más sutiles y difíciles de
detectar, porque utilizan técnicas
poco invasivas y combinadas en
las diferentes capas de software del
sistema (sistema operativo, base de
datos, middleware y aplicación). Es
complicado detectarlos a tiempo. A
menudo se detecta un fraude meses
después de que se haya producido
y, en ocasiones, solo se detectan en
las auditorías financieras correspon-
dientes.
¿Qué se puede hacer?
La buena noticia es que hay formas
de proteger los sistemas. La mala,
si se puede considerar como tal, es
que requieren atención y dedicación.

La seguridad no debe contemplarse
como un evento puntual. Una audi-
toría puede proporcionar una imagen
fidedigna del estado del sistema en
un instante, pero no puede confiarse
en que las condiciones de su entorno
cambien. Un ataque puede realizarse
hoy, y no detectarse en meses. En
cualquier caso, el análisis forense no
es más que un magro remedio que
no evita el daño.
La solución es la seguridad como
servicio. La seguridad es un aspecto
continuo del funcionamiento de los
sistemas, como la disponibilidad o
el rendimiento, y no puede delegarse
en revisiones anuales.
Por otra parte, la complejidad téc-
nica de los escenarios SAP hacen
que un control permanente del esta-
do de la seguridad, la detección de
condiciones no deseadas, fraudes,
extracción ilegal de datos, etc., sean
muy costosos de realizar de mane-
ra manual. Por esta razón es muy
recomendable contar con acelera-
dores software que sean capaces de
reconocer patrones y condiciones
de seguridad deficientes, y alertar de
ellos de manera inmediata.
Para el análisis de los resultados
que suministran las herramientas es
necesario contar con un buen equipo
de expertos que sean capaces de
interpretarlos y tomar las acciones
oportunas. En ocasiones, las alertas
proporcionadas pueden ser falsos
positivos (por ejemplo, que alguien
modifique una cuenta bancaria a las
tres de la madrugada puede ser sos-
pechoso, pero no necesariamente un
intento de fraude).
Las herramientas actuales permi-
ten detectar cientos de condiciones
de seguridad deficiente, lo que per-
mite que el control que realizaría un
técnico experto en seguridad SAP
de manera puntual se realice de
manera continua 24x7, y en todos
los sistemas simultáneamente. Por
otra parte, algunas técnicas con-
cretas solo pueden ser probadas
vulnerabilidades opinión
mediante el conocimiento heurístico
de ese experto, así que es conve-
niente reforzar la monitorización con-
tinua de ciberseguridad con acciones
manuales de un técnico humano que
explore los límites de "rotura" del
sistema.
La combinación de ambas téc-
nicas, manual y automática, en un
servicio único proporciona resultados
inmejorables (¡y tranquilizadores!).
La recomendación final para el
caso de sistemas ERP y concreta-
mente para sistemas SAP es que no
debe darse por protegido el sistema
si nadie ha asegurado que lo esté. En
entornos tan complejos, los ataques
también suelen ser complejos y difíci-
les de detectar mediante un enfoque
habitual de ciberseguridad. Es nece-
sario, por lo tanto, dar un paso ade-
lante y reforzar nuestros sistemas
con políticas, herramientas y servi-
cios específicos para los sistemas
que contienen los datos más valiosos
de nuestras organizaciones.
 caso de éxito

SESCAM implanta la firma electrónica

centralizada con el proyecto Cerv@ntes 2.0
El Servicio de Salud de Castilla-La Mancha (SESCAM)
ha puesto en marcha el servicio de firma electrónica
centralizada para mejorar la experiencia de sus
profesionales y adecuarse al Reglamento eIDAS.
El proyecto Cerv@ntes 2.0 supone el cambio de
prestador de servicio de certificación a prestador
cualificado de servicios de confianza (eIDAS) y el
paso de uso de certificados en tarjetas al certificado
cualificado en la nube.

Luis Morells
CIO del Servicio de Salud de
Castilla-La Mancha (SESCAM)
lógico y firma electrónica de sus de mejorar la experiencia de usuario,
profesionales, además de otras fun- aprovechar la economía de escala de
ciones de seguridad. las tecnologías en la nube y, eviden-
El S ervicio de Salud de La evolución tecnológica, y espe- temente cumplir con los requisitos
Castilla-La Mancha (SESCAM) tiene cialmente el impacto del Reglamento de seguridad y las exigencias del
como misión velar por la salud de EU 910/2014 eIDAS, relativo a la Reglamento eIDAS.
los dos millones de habitantes de la identificación electrónica y los ser-
extensa Comunidad de Castilla-La vicios de confianza en las transac- Objetivos de proyecto
Mancha, así como por el bienestar ciones electrónicas, que impone Los objetivos estratégicos de
de sus pacientes. Para ello, cuenta, estrictas y costosas necesidades de Cerv@ntes 2.0 son dotar al SESCAM
en primer lugar, con la dedicación de auditorías de seguridad sobre los de una solución completa de firma
sus excelentes profesionales, y tam- prestadores de servicios de confian- centralizada, para dar cobertura a
bién con su amplia red asistencial y za, han hecho necesario considerar todos los casos de uso actuales, así
servicios de emergencia. A la calidad la modernización de Cerv@ntes bajo como la capacidad de dar respuesta
de estos servicios y las exigencias otros paradigmas. Así, el proyecto en tiempo y costes a futuros requeri-
de mejora y optimización de costes, Cerv@ntes 2.0, que entró en pro- mientos. Por ello, ha resultado esen-
contribuye la Dirección de Sistemas ducción el pasado mes de junio de cial contar con un socio tecnológico
de Información, que da servicio a 2017, fue diseñado bajo los criterios que, además de ser prestador cuali-
más de 30.000 profesionales, 18
hospitales, 11 centros de especia-
lidades, diagnóstico y tratamiento,
204 centros de salud y 1.116 consul-
torios locales, además del dispositivo
de asistencia a emergencias.
Para dicha dirección, servicio, cali-
dad e innovación están perfecta-
mente entrelazados, y en lo que se
refiere a los datos de pacientes está
claro que la seguridad es un requisito
básico. Por eso el SESCAM ya fue
pionero en la implantación del pro-
yecto Cerv@ntes, sistema de clave
pública basado en tarjeta criptográ-
fica, fundamental como soporte de
seguridad para control de acceso

72 red seguridad segundo trimestre 2018

 caso de éxito opinión

El éxito del nuevo servicio de firma en la nube está

en la asistencia a más de 6.000 profesionales, con una
media de 35.000 firmas al día, lo que supone casi 7
millones de recetas desde su puesta en marcha

ficado de servicios de confianza, y

como tal asegurase el cumplimiento
del Reglamento eIDAS, dispusie-
se de experiencia, tecnología cer-
tificada, recursos especializados y
capacidades de integración como
para asegurar el cambio del anterior
sistema al nuevo. En el desarrollo del
proyecto, liderado por la Dirección
de Sistemas de Información, ha
trabajado un grupo interdisciplinar,
formado por personal de tecnolo-
gías de la información del SESCAM
junto con la empresa SIA, Sistemas
Informáticos Abiertos, como socio
tecnológico.
El primer caso de uso ha sido el
de la firma de la receta electrónica
(RECAS), que afecta a más de 6.000
profesionales y supone un servicio
crítico en el trabajo del día a día.
Para su puesta en marcha hubo que
resolver dos problemas: en primer
lugar integrar la aplicación de receta
existente con el servicio de firma en la
nube, cumpliendo con las máximas
exigencias de seguridad. En segundo
lugar, hubo que migrar los certifica-
dos en tarjetas a certificados en la
nube. Este aspecto fue quizás el más
delicado, dado que afectó a la tota-
lidad de los facultativos de atención
primaria y especializada, y además
fue necesario garantizar que todos
dispusiesen del nuevo certificado en
la nube antes de realizar el cambio.
Para ello, resultó fundamental que
SIA, como prestador cualificado de
servicios de confianza, suministrase
un sistema de registro ágil y adap-
tado a las necesidades actuales y
futuras del SESCAM.
En primer lugar, con los faculta-
tivos fue posible utilizar los certifi-
cados cualificados ya disponibles
en tarjeta (emitidos por Cerv@ntes
1.0) mediante autoregistro basado
en certificado; pero para el resto de
profesionales que irán entrando con
el tiempo, se dispone de un sistema
de registro habilitado en cualquier
centro que sea necesario. Además
este mismo sistema está pensado
para servir las necesidades de recu-
peración (realmente nueva creación)
de certificado en los casos que el
titular haya perdido su acceso. Este
aspecto es fundamental en cuanto
a consideraciones de satisfacción
de usuario y costes de explotación,
tanto para minimizar la carga de
trabajo de los centros de atención
de usuarios como para eliminar los
tiempos de recuperación o de fuera
de servicio que ocurrían con el sis-
tema basado en tarjeta.
Capacidad de integración
La otra faceta distintiva del
Cerv@ntes 2.0 es la integración con
las distintas aplicaciones, por ejem-
plo la receta electrónica o el acce-
so y firma con terceros, como la
Seguridad Social y Muface, y en
breve el acceso a la Historia Clínica
Digital del Servicio Nacional de Salud
(HCDSNS), que permite el uso de
los certificados y la firma electrónica
desde cualquier dispositivo, y en
movilidad. Esto, otra vez permite
una mejor experiencia de usuario por
parte de los profesionales y mejora
los tiempos de disponibilidad y ser-
vicio, además de abaratar los costes
de explotación y mantenimientos.
El éxito del nuevo servicio de firma
en la nube está en el servicio com-
pleto a más de 6.000 profesionales,
con una media de 35.000 firmas al
día, lo que supone casi siete millo-
nes de recetas desde su puesta
en producción. Los profesionales
aprecian la rapidez de cada paso de
firma y especialmente su comodi-
dad de uso. Desde la Dirección de
Tecnologías de la Información apre-
ciamos los niveles de seguridad, la
calidad del servicio, la reducción del
riesgo y la garantía de sostenibilidad
y evolución futura en los servicios
y nuevas aplicaciones que supone
contar con el prestador cualificado.
En el SESCAM nos debemos a
nuestros ciudadanos y pacientes,
por eso es tan importante dotar de
herramientas como la firma en la
nube para agilizar y facilitar el trabajo
de sus profesionales y, por ende, el
servicio prestado a los ciudadanos
de Castilla-La Mancha.

red seguridad segundo trimestre 2018 73

 novedades
noticias

Endpoint Protection 14, nueva solución para 'endpoint' de Symantec

La última propuesta de Symantec para contrarrestar las infecciones del
malware en las organizaciones es Endpoint Protection 14, una solución
diseñada para hacer frente al panorama actual de las amenazas mediante
un enfoque completo que abarca toda la cadena de ataque, desde la incur-
sión e infección, hasta la infestación y exfiltración.
Este software de Symantec (empresa líder del "Magic Quadrant for
Endpoint Protection Platforms" de Gartner en enero de este año) incorpora
políticas de firewall, URL y prevención de intrusiones en la red, así como
control de la aplicación según el comportamiento y de los dispositivos, selec-
cionando cuáles pueden descargar información y cuáles no. A esto se une la
neutralización de los puntos vulnerables a los ataques de día cero.
Frente a las infecciones, esta solución permite el análisis de la reputación
del archivo, de tal forma que emplea la red de inteligencia del fabricante para correlacionar decenas de miles
de millones de enlaces entre usuarios, ficheros y páginas web, con el fin de bloquear de forma proactiva un
mayor número de amenazas y proteger frente al malware de mutación rápida. Además, incorpora un sistema
de aprendizaje automático avanzado en los puntos finales que facilita la detección de las amenazas nuevas y
desconocidas, reduciendo la dependencia de las firmas. Finalmente, integra un emulador de alta velocidad que
detecta el malware oculto utilizando empaquetadores polimórficos personalizados.
En cuanto a la infestación y exfiltración, analiza los datos de entrada y salida para bloquear las amenazas
mientras circulan por la red, y supervisa su actividad para detectar comportamientos anómalos.
www.symantec.com/es/es

Sophos presenta
su nuevo simulador
de 'phishing'
Sophos Phish Threat es el
nombre de la nueva solución
que ha lanzado la compa-
ñía al mercado, con el fin
de mejorar la concienciación
y formación de los usuarios
con respecto al fenómeno
del 'phishing'.
Disponible en nueve idio-
mas con una actualización
constante, Phish Threat per-
mite a los responsables de
TI identificar a los empleados
susceptibles de caer en esta
estafa y gestionar campañas
reales de phishing para ofre-
cer sesiones de formación
para que aprendan de sus
errores.
La solución también pro-
porciona estadísticas de aná-
lisis e informes para permitir
el seguimiento y la medición
del riesgo empresarial global
y la situación de seguridad,
tanto en toda la organización
como individualmente.
www.sophos.com
Forcepoint maximiza la
seguridad de los datos
con su última solución
El fabricante de ciberseguridad
Forcepoint ha presentado su nueva
solución Risk-Adaptive Protection,
denominada Dynamic Data Protection,
la cual evalúa constantemente el ries-
go y ofrece de forma automática una
ejecución proporcional que puede ele-
varse o reducirse. Esto, según la com-
pañía, es posible gracias a su tecnolo-
gía analítica de comportamientos cen-
trada en las personas, la cual entiende
las interacciones que los usuarios, las
máquinas y las cuentas tienen con los
datos. El contexto inteligente acelera la
toma de decisiones y los controles de
seguridad específicos para cambiar el
riesgo en las redes empresariales.
En concreto, y tras aplicar una califi-
cación anónima de los comportamien-
tos de los usuarios para determinar
los que son "normales", el sistema
permite la monitorización y el acceso
a los datos; el acceso a las descar-
gas, pero encriptadas; o el bloqueo
total del acceso a archivos sensibles,
dependiendo del contexto de las inte-
racciones individuales con los datos
corporativos y la calificación de riesgo
resultante.
www.forcepoint.com/es
Trend Micro mejora
la detección del
fraude por 'e-mail'
Mejorar la protección
contra los ataques del tipo
Business Email Compromise
(BEC). Ese es el objetivo de
la nueva capa de protección
Writing Style DNA lanzada
por Trend Micro. Para ello
se apoya en la Inteligencia
Artificial (IA), con la que
"traza" el estilo de escritu-
ra de un usuario empleando
más de 7.000 características.
Así, cuando se sospecha de
que un correo electrónico se
hace pasar por un usuario
de alto perfil, se compara el
estilo con este modelo de IA
capacitado y preparado, y se
envía una advertencia al remi-
tente implicado, al destinata-
rio y al departamento de TI.
Los directivos también tie-
nen oportunidad de interac-
tuar, pudiendo hacer comen-
tarios sobre los e-mail marca-
dos para mejorar la detección
y reducir los falsos positivos.
www.trendmicro.es

74 red seguridad segundo trimestre 2018

 noticias novedades

Leet Security presenta su nueva herramienta SAQPlus, de

de autoevaluación de la seguridad E-Qualify S21Sec, ayuda a
La empresa Leet Security ha desarro- mejorar la seguridad
llado la herramienta de autoevaluación de los pagos
E-Qualify, la cual contiene el marco
completo de calificación, que permite Asistir y facilitar a los
realizar la evaluación de todos los comerciantes y proveedores
aspectos relacionados con la seguridad en la prestación de los servicios de servicios en el proceso
de las organizaciones, cubiertos en los 14 dominios y 76 secciones de de evaluar el cumplimiento
su metodología. El resultado es un informe que recoge no solo la cali- de las Normas de Seguridad
ficación global, en las tres dimensiones de Confidencialidad, Integridad de Datos de la Industria de
y Disponibilidad, sino que también ofrece el nivel individual obtenido en Tarjetas de Pago (PCI-DSS).
cada una de las secciones que conforman el esquema. Esa es la finalidad con la
El proceso se facilita con una serie de preguntas iniciales para definir el que la compañía española
contexto del servicio considerado, si bien en primer lugar plantea cuál es de ciberseguridad S21Sec
el nivel objetivo, puesto que cuanto más elevado sea, a más cuestiones ha desarrollado el portal de
habrá que responder. Por otra parte, se han tipificado algunas tipologías validación SAQPlus.
de servicios, a fin de eliminar preguntas innecesarias y simplificar el Y es que, hasta el momen-
proceso. to, la fórmula para que los
E-Qualify proporciona también una solución para que los usuarios soli- comercios cumplan con el
citen a sus proveedores el informe de resultados, ahorrándose la carga estándar PCI-DSS era rellenar
de preparar, enviar y revisar cuestionarios de seguridad. Ese documento los cuestionarios de autoeva-
les presentará una visión rápida, completa y homogénea del grado de luación conocidos como
seguridad que el proveedor alega disponer en sus servicios, lo cual podrá SAQs. Son documentos que,
ser utilizado para comparar diferentes opciones; e incluso, requerir la a través de una serie de pre-
acreditación de su veracidad mediante una posterior calificación formal. guntas de diferente grado de
www.leetsecurity.com complejidad, permiten deter-
minar cómo una empresa
gestiona la seguridad de los
datos de la tarjeta de crédito
Cisco refuerza la protección de 'e-mail' y terminales y certificar que se hace de la
Cisco quiere ayudar a las organizaciones a asegurar mejor sus sistemas. Para manera correcta.
ello, ha lanzado la solución cloud Cisco Advanced Malware Protection para ter- De esta forma, SAQPlus,
minales, que incorpora avanzados mecanismos de detección y protección para mediante un cuestionario
detener ransomware, cryptomining y otras ciberamenazas. También es novedad web guiado, reduce el pro-
Cisco Visibility, una nueva aplicación cloud que se integra en la consola de la ceso de SAQ presentando
solución para simplificar y acelerar las investigaciones de seguridad. las preguntas de forma más
Por otra parte, ha llegado a un acuerdo con la empresa Agari para comerciali- sencilla y adaptadas al nivel
zar nuevos servicios que optimizan su solución Email Security, incluyendo Cisco técnico y lenguaje de los dife-
Domain Protection, que automatiza el uso de autenticación del e-mail; y Cisco rentes tipos de comercios
Advanced Phishing Protection, que añade capacidades de machine learning para existentes.
bloquear ataques avanzados de manipulación de identidades.
www.s21sec.com/es
www.cisco.com/c/es_es/index.html

Nuevos Conectores Fabric de Fortinet

La compañía especializada en soluciones de ciberseguridad Fortinet
ha anunciado la comercialización de sus nuevos Conectores
Fabric, que automatizan las capacidades operacionales en entor-
nos multifabricante a través de la integración de APIs abiertas con
las tecnologías de los partners de su programa Fabric-Ready.
Estas soluciones ofrecen conectividad con un solo 'clic' entre
las soluciones de Fortinet Security Fabric y el ecosistema de
seguridad existente de los clientes, permitiendo la automatiza-
ción de ciertas tareas a través de un único panel de control.

www.fortinet.com

red seguridad segundo trimestre 2018 75

 asociaciones
noticias

RGPD y ciberresiliencia protagonizan

la Jornada Internacional de ISMS
La XX Jornada Internacional de Seguridad de la Información, organizada por ISMS Forum
Spain el 10 de mayo en Madrid, congregó a más de 500 expertos en ciberseguridad
y protección de datos. El RGPD, la gestión y aplicación de la ciberresiliencia y los
principales retos en ciberseguridad fueron los temas protagonistas del encuentro.

como Bien Público, con la que se

La XX Jornada Internacional de Seguridad de la Información contó con la participación
de ponentes de la talla de Michael Kaiser, Dreide Mulligan o Paula Walsh.
Tx: Juanjo S. Arenas
Ft: Redacción
Más de 500 profesionales de la
ciberseguridad y de la protección de
datos acudieron a la llamada de ISMS
Forum Spain para ser testigos de la XX
Jornada Internacional de Seguridad
de la Información, celebrada el 10 de
mayo en el Círculo de Bellas Artes de
Madrid. "Cybersecurity and Privacy’s
challenges in a data-driven economy"
fue el lema elegido para este encuen-
tro en el que participaron más de 50
ponentes en dos córners paralelos.
En ellos desarrollaron las exposicio-
nes sobre el Reglamento General de
Protección de Datos (RGPD), la ges-
tión y aplicación de la ciberresiliencia y
los principales retos en ciberseguridad,
entre otros temas.
Gianluca d'Antonio, presidente de
ISMS Forum Spain, abrió el encuentro
afirmando que el 57 por ciento de las
grandes empresas de todo el mundo
tiene alguna vulnerabilidad. "Es muy difícil
cambiar los usos, hacer entender que la
ciberseguridad es responsabilidad de
todos", expresó d'Antonio.
A ello, Joaquín Castellón, director
operativo del Departamento de
Seguridad Nacional, añadió la
importancia de la colaboración público-
privada, aunque aseguró que "es difícil
llevarla a cabo". Además, situó este
elemento como uno de los principales
retos en ciberseguridad, a los que
incorporó la internacionalización
–"tenemos que apoyar los avances en
ciberseguridad de la Unión Europea",
opinó Castellón– y la gestión de crisis,
ya que "la mayoría de ellas procederán
del ciberespacio".
Doctrina de Ciberseguridad
Una de las ponencias destacadas
fue la protagonizada por Deirdre K.
Mulligan, directora del Centro de
Derecho y Tecnología de la Escuela
de Información de la Universidad
de California en Berkeley (Estados
Unidos), encargada de explicar la
primera Doctrina de Ciberseguridad
ejecuta una política conjunta de ciber-
seguridad. "Defendernos y coordinar-
nos es importante, así como la ges-
tión de las vulnerabilidades", afirmó
con rotundidad la profesional. Pero
este hecho también es extrapolable al
ámbito diario, donde el Internet de las
Cosas (Internet of Things, IoT, por sus
siglas en inglés) está en auge: "debe-
mos prestar atención a los dispositi-
vos IoT, ya que juntos podrían hacer-
nos mucho año", apuntó Mulligan.
Paralelamente se celebró una mesa
redonda para tratar los resultados
del Cyber Crisis Management
Project 2018, en la que participaron
Andrés Ruiz, responsable del área
de Ciberseguridad del Departamento
de Seguridad Nacional; Alejandro
López, representante del CERT
de Seguridad e Industria; Ricardo
Nieto, jefe de Sección del Servicio de
Ciberseguridad y de la OCC (Oficina
de Coordinación Cibernética) del
Centro Nacional de Protección de
Infraestructuras y Ciberseguridad;
Carlos González, Active Resilience
Director de Suez; Fernando
Romero, Global Head of Cyber
Security Architecture de Prosegur
Ciberseguridad; y Anna Domínguez,
gerente de culturaciberseguridad.
com. Todos ellos coincidieron
en la importancia de llevar a cabo
ciberejercicios, ya que, tal y como
sostuvo Andrés Ruiz haciendo uso
de una frase del entrenador del
Atlético de Madrid, 'Cholo' Simeone,
"se juega como se entrena". Es por
ello que este tipo de herramientas
ayuda, entre otras cosas, a mejorar
los planes de continuidad de negocio,
es decir, a contar con una correcta
ciberresiliencia.
Relacionado con ello, Alejandro
López también categorizó como

76 red seguridad segundo trimestre 2018 especial


elemento trascendental la gestión de
la comunicación en las cibercrisis.
"Una mala respuesta puede acarrear
un problema grave en la empresa, por
lo que las organizaciones deben estar
preparadas para responder", declaró
este ponente, a lo que Andrés Ruiz
añadió que "el 80 por ciento de la crisis
es comunicación". Estas afirmaciones
están muy en la línea de una de
las conclusiones del Cyber Crisis
Management Project 2018, la cual
argumenta que las entidades deben
mejorar su estrategia de comunicación
cuando se producen ciberincidentes.
Respuesta ante incidentes
La respuesta a los incidentes también
fue uno de los temas más recurrentes
de los ponentes a lo largo de la
jornada. Jorge Hurtado, Vice President
Managed Services & Advanced
Cyber Security Services de S21sec,
fue uno de ellos. Este profesional
manifestó durante su presentación
que es bueno que las organizaciones
tengan un plan de respuesta ante
incidentes. Además, aseguró que "las
entidades tienen que concienciarse
de que en algún momento les va
a pasar algo, aunque no sepan
cuándo". "Estos incidentes reales nos
dan una oportunidad de aprendizaje
que debemos aprovechar", completó
el profesional.
Sin embargo, para Michael Kaiser,
director ejecutivo de la US National
Cyber Security Alliance (NCSA) hasta
el pasado mes de enero, "la clave
es cómo proteger los datos que
enviamos a terceros". Pero un primer
paso es salvaguardar la información
RED SEGURIDAD entrevista a diversos profesionales durante la jornada
Con motivo de la celebración de la XX
Jornada Internacional de Seguridad de
la Información de ISMS Forum Spain, la
revista RED SEGURIDAD realizó varias
entrevistas a numerosos expertos en
ciberseguridad en una iniciativa apo-
yada por la asociación. En concreto,
Mario García, Country Manager Iberia
de Checkpoint; John Summers, Vice
President Chief Technical Officer de
Akamai Technologies; Udo Schneider,
evangelista de seguridad de Trend
Micro; Chris W. Johnson, Professor and
Head of Computing de la Universidad
de Glasgow; Josu Franco, Technology
and Strategy Advisor de Panda Security;
Miguel Ángel Martos, Country General
especial
Además de la sesión general, la XX Jornada Internacional de Seguridad de la
Información contó con sesiones paralelas.
propia, a lo que la tecnología puede
ayudar, tal y como explicó Gordon
Muehl, Global CTO Cyber Security
and Privacy Protection Lab de Huawei.
Ciberresiliencia
Sin duda, una de las estrellas principales
de la jornada fue la ciberresiliencia.
Para tratar este elemento, ISMS
Forum Spain organizó una mesa
redonda en la que participaron Steve
Mulhearn, Director of Enhanced
Technologies UKI & DACH de
Fortinet; Udo Schneider, evangelista
de seguridad de Trend Micro; Adenike
Cosgrove, Cyber Security Strategy
de la región EMEA de Proofpoint;
Josu Franco, Technology and
Strategy Advisor de Panda Security;
Erno Doorenspleet, Global Executive
Security Advisor de IBS Security; y
Javier J. Corrales, Sales Manager
Manager para España y Portugal de
Symantec; Michael Kaiser, exdirec-
tor ejecutivo de la US National Cyber
Security Alliance (NCSA); Flora J. García,
Senior Attorney, Privacy and Security
de McAfee; Fernando Romero, Global
Head of Cyber Security Architecture de
Prosegur; y Agustín Muñoz-Grandes,
CEO de S21sec, pasaron por el empla-
zamiento de esta cabecera para analizar
todas las novedades del sector de la
Seguridad de la Información.
Los entrevistados trataron temas tan
diversos como la nueva normativa –
con el nuevo Reglamento General de
Protección de Datos como protago-
nista–, la ciberresiliencia, las cibera-
red seguridad
asociaciones noticias
de Prosegur Ciberseguridad; bajo la
moderación de Víctor M. Hernández,
Senior Manager Application Security
Lead de Accenture.
Durante esta mesa, los participantes
destacaron que la resiliencia es
un factor clave. En concreto, para
Schneider, "debería haber sistemas
que realicen análisis forenses de datos
para reaccionar después al evento
si no tenemos información". Por lo
tanto, "necesitamos datos para tomar
las decisiones correctas", aseguró.
En este sentido, Doorenspleet
afirmó con rotundidad que "muchas
empresas reaccionan mal" ante los
ciberataques. Es por ello que cobra
especial importancia que los diferentes
componentes de la organización
sepan en todo momento cómo actuar
ante problemas de esta índole. "Si
hay un ataque y debemos responder,
menazas con mayor peligrosidad, las
tecnologías de prevención de vulne-
rabilidades, la inteligencia artificial y el
machine learning, entre otros.
Todas estas entrevistas están dis-
ponibles en la página web de RED
SEGURIDAD (www.redseguridad.com).
segundo trimestre 2018 77
 asociaciones
noticias
la cadena de personas debe saber
cómo reaccionar. La compañía
debe asegurarse de que todos sus
miembros saben qué hacer, con el
objetivo de minimizar lo más posible
el impacto de los 'malos' tanto en la
propia entidad como en los clientes",
complementó el ponente.
Pese a todo esto, Mulhearn opinó
que dichos 'malos' "son muy buenos
en lo que hacen". Concretamente,
este experto declaró que los
ciberdelincuentes comunican muy
bien y tienen muy claro sus objetivos.
"Tenemos que aprender cómo lo
hacen y compartir inteligencia, algo
que hacemos muy mal. Las empresas
que proporcionan soluciones de
ciberseguridad debemos trabajar
todas juntas, ya que solamente
compartimos parte de la información",
denunció.
También en esta línea, en opinión de
Doorenspleet, "tenemos que aprender
de los ciberdelincuentes". "Queda
mucho por hacer, pero lo podemos
hacer", animó a los presentes.
Internet de las Cosas
El IoT fue otro de los aspectos que
cobró especial importancia a lo largo
de las ponencias. En este sentido, José
Ramón Monleón, CISO de Orange,
fue rotundo al sostener que con el
Internet de las Cosas hay millones
de objetivos a nuestro alcance, por
lo que "con que encontremos un solo
agujero, podemos tener a nuestra
disposición millones de dispositivos".
Un ejemplo de la trascendencia
de estos artilugios son los juguetes
inteligentes. David Barroso, miembro
de la junta directiva de ISMS Forum, y
Pedro Cabrera, miembro del equipo de
amenazas y sensibilización del Centro
de Estudios en Movilidad e Internet de
las Cosas de ISMS Forum, hicieron
una demostración práctica de cómo
podemos conectar diversos juguetes
a nuestros móviles. Adicionalmente,
realizaron una exhibición con drones
–categorizados como "juguetes
pequeños" por ambos profesionales–,
donde demostraron que con estos
vehículos aéreos se puede incluso
"eliminar un objetivo".
Protección de datos
La protección de datos, con el nuevo
RGPD al frente, fue también uno de
los protagonistas durante la jornada.
78 red seguridad segundo trimestre 2018
Diversos profesionales, como Flora
J. García, Senior Attorney, Privacy
and Security de McAfee, trataron la
ciberseguridad desde esta vertiente.
En concreto, esta ponente señaló que
"el 90 por ciento de los datos de
Internet se han creado desde 2016,
y están creciendo exponencialmente.
Con la nueva normativa, la gestión
de los datos se desarrolla a través
de una escala, ya que hay datos que
no aportan nada, y otros, como los
médicos, están en el otro extremo.
Esta ley hace entender qué tenemos
y cómo lo usamos. En definitiva,
todos tenemos que leer el RGPD
para mejorar como sociedad", afirmó
García durante su intervención.
En resumen, la opinión de esta
experta es que "las organizaciones
tienen que crear una cultura
transparente y abierta, una cultura en
privacidad y en seguridad y trabajar
todos de forma conjunta".
A esta ponencia se le unió la de José
Luis Piñar, exdirector de la Agencia
Española de Protección de Datos, quien
afirmó que la nueva Ley Orgánica de
Protección de Datos (LOPD) verá la luz
previsiblemente antes de finalizar el año.
Además, Piñar explicó que desde
la aprobación del proyecto de nueva
LOPD el pasado 10 de noviembre
y su remisión al Congreso de los
Diputados, los partidos políticos han
presentado más de 300 enmiendas
para que se acometan diferentes
cambios legislativos en la futura
norma. Un trabajo que revela que
"sus señorías muestran interés por la
protección de datos", en opinión de
este interviniente.
Los presentes pudieron conocer las novedades de varias empresas que operan
en el sector de la Ciberseguridad.
asociaciones noticias
Demanda de profesionales
Para finalizar, el evento abordó con su
última ponencia la trascendencia de
los profesionales de la ciberseguridad.
Un campo que tendrá un déficit
de 1,8 millones de profesionales a
nivel mundial en 2022, según datos
mostrados por Alex Weishaupt, Senior
Research Consultant de Korn Ferry.
Para este experto, en esta parcela
cobra especial importancia la palabra
'talento', un término del "que se habla
poco". Así, una encuesta dada a
conocer por Weishaupt señala que
el 76 por ciento de los profesionales
piensa que los diferentes gobiernos
no hacen lo suficiente para que haya
talento.
Al fin y al cabo, el representante
de Korn Ferry considera que el futuro
de la ciberseguridad es clave para la
sociedad. "Hay que invertir en formar a
las personas, ya que si la organización
capacita a sus trabajadores, estos
trabajarán bien para ella. Aunque
después se pasen a la competencia,
se fortalecerá la sociedad debido a
que nuestros competidores harán lo
mismo. Todos saldremos beneficiados.
Además, habrá un cero por ciento de
desempleo en este campo, algo que
no cambiará de aquí a los próximos 15
años", explicó el ponente.
Junto con todas las intervenciones,
los visitantes de la XX Jornada
Internacional de Seguridad de la
Información pudieron visitar los stands
de diversas compañías, las cuales
pudieron presentar sus últimas
novedades en materia de seguridad
TIC y sus soluciones para ayudar a que
la Red sea cada vez más segura.
especial

El CCI analiza la ciberseguridad en los entornos industriales
en su 14º encuentro de "La Voz de la Industria"
El Centro de Ciberseguridad
Industrial (CCI) celebró el 8 de
mayo, en Madrid, su 14º encuentro
de "La Voz de la Industria", donde
analizó el estado de la situación de la
ciberseguridad de la información en
este ámbito desde diferentes pers-
pectivas. La primera de ellas fue la
normativa, en una mesa redonda en
la que parciparon Javier Candau, jefe
del Departamento de ciberseguri-
dad del Centro Criptológico Nacional;
Juan José Zurdo, jefe de servicio
de Normativa y Coordinación del
Centro Nacional de Protección de
Infraestructuras y Ciberseguridad
(CNPIC); Javier Carvajal, CEO de
Icraitas, y Arturo E. Díaz, CISO de
EDP España.
En un formato de preguntas y
respuestas, los componentes de la
mesa debatieron sobre la Ley de
Seguridad de las Redes y Sistemas
de Información. Una de las cuestio-
nes que abordaron fueron las sancio-
nes, sobre las que Zurdo, del CNPIC,
defendió la necesidad de que haya
medidas más preventivas y menos
reactivas; al igual que Díaz, de EDP
La High Level Conference de ISACA Madrid
reúne a 230 profesionales
ISACA Madrid organizó el 6 de
junio, en el Cine Proyecciones
de Madrid, la tercera edición de
su congreso anual High Level
Conference on Assurance, que
contó con la presencia de 230
asistentes. En el evento partici-
pación profesionales como Clara
Jiménez, Román Ramírez, Paloma
Llaneza o Javier López de Pablo,
entre otros muchos más.
También hubo espacio para la
celebración de una mesa redon-
da dedicada a la Directiva euro-
pea sobre seguridad de Redes y
Sistemas de la Información, que
contó con la presencia de Javier
Candau, jefe del Departamento
de Ciberseguridad del Centro
Criptológico Nacional; Ángel León,
vocal asesor de la Subdirección
General de Servicios de Sociedad
España, para quien lo más importan-
te es la concienciación. En cualquier
caso, la norma incluirá sanciones
dado su carácter de ley y como
"herramienta de la administración"
frente a las malas prácticas.
Los invitados también hablaron
sobre la posición del CISO en las
empresas y coincidieron, en términos
generales, en la necesidad de que
este profesional esté al mayor nivel,
reportando directamente a la alta
dirección.
Seguridad por defecto
En "La Voz de la Industria" participa-
ron responsables de ciberseguridad
de empresas industriales, autoridades
públicas y especialistas en cibersegu-
ridad. Representantes de las empre-
sas iHacksLabs e Innotec System
mostraron en sus ponencias, dedi-
cadas a la seguridad por defecto, la
necesidad de incorporar la cibersegu-
ridad en todo el ciclo de desarrollo de
los productos industriales, así como
la importancia de aplicar nuevos para-
digmas en la gestión de riesgos adap-
tados al entorno industrial.
de la Información del Ministerio de
Energía, Turismo y Agenda Digital;
Joaquín Castellón, director operati-
vo del Departamento de Seguridad
Nacional, y Manuel Carpio, consultor
independiente. En líneas generales, los
ponentes reconocieron la importancia
de esta norma a pesar de que aún no
se ha conseguido trasponer al ordena-
miento jurídico español y ensalzaron
los avances que ya ha dado España en
la materia, especialmente en un asunto
tan importante como es la coordina-
ción y colaboración público-privada.
También trataron la notificación de
incidentes, una de las obligaciones
de esta directiva. Al respecto, coinci-
dieron en que este aspecto requiere
mayor claridad en cuanto al modo y
la información que deben aportar las
empresas en estos casos.
Al final de la jornada, la asocia-
red seguridad
asociaciones noticias
Asimismo, quedó patente que es
imprescindible la incorporación de
tecnologías de protección adapta-
das al entorno industrial a través de
las ponencias de especialistas de
Kaspersky y Trend Micro.
A continuación, el evento dedicó
un espacio a la implantación de
medidas de ciberseguridad indus-
trial. Concretamente, a saber cómo
los integradores industriales deben
abordar la arquitectura y configura-
ción de las redes y los sistemas que
automatizan los procesos industria-
les. Representantes de Gas Natural,
Palo Alto Networks, Teléfonica y
Check Point compartieron sus expe-
riencias en la implantación de tecno-
logías de ciberseguridad.
El encuentro "La Voz de la
Industria" del CCI finalizó con un
panel dedicado a la resiliencia tec-
nológica y continuidad de negocio.
Allí se abordó la manera en que las
organizaciones industriales deben
actuar cuando sufren incidentes de
ciberseguridad, pero sobre todo en
cómo prepararse para reducir su
impacto.
©ISACA Madrid.
ción entregó sus premios
Goya. La Unidad Central de
Ciberdelincuencia de la Policía
Nacional fue galardonada con el
"Logo Excepcional" por la resolu-
ción del Caso "Carnabak". Por otra
parte, Fernando Hervada, expresi-
dente de ISACA Madrid, recibió el
premio al "Liderazgo Inspirador".
El BBVA se llevó el premio a la
"Excelencia en el Desempeño",
por su apuesta por la asociación
en materia de formación y certifi-
cación, y David Barroso el premio
al "Conocimiento", por su éxito a
nivel internacional.
segundo trimestre 2018 79
 asociaciones
noticias

El Congreso&EXPO Aslan 2018 crece

un 23% respecto a la edición anterior
El Congreso&EXPO Aslan 2018 consiguió reunir, el 11 y 12 de abril en el Palacio Municipal
de Congresos de Madrid, a 6.450 profesionales, lo que supuso un crecimiento del 23
por ciento respecto al año anterior. La ciberseguridad tuvo un espacio destacado.

este software malicioso), los ataques

Más de 6.000 profesionales se dieron cita en el Congreso&EXPO Aslan 2018 para
conocer las últimas novedades de la innovación IT.
Tx y Ft: Juanjo Sanz
El Congreso&EXPO Aslan se volvió
a convertir en un punto de encuentro
para los profesionales del mundo de
las tecnologías. En concreto, esta
edición –que se celebró el 11 y 12
de abril en el Palacio Municipal de
Congresos de Madrid– tuvo como
eje principal la innovación IT como
palanca de la transformación digital.
Según datos de la organización, más
de 6.400 profesionales pudieron ser
testigos de las últimas novedades del
sector tecnológico en un encuentro
que aumentó un 23 por ciento el
número de visitantes respecto al año
pasado, unas cifras que duplicaron
los datos de crecimiento experimen-
tados en dicha edición.
RED SEGURIDAD fue media part-
ner del congreso, que contó con
128 expositores especializados en
servicios, aplicaciones e infraes-
tructuras conectadas para acelerar
la transformación digital, como el
Internet de las Cosas, hybrid cloud,
inteligencia artificial, ciberseguridad,
software defined infrastructure, wire-
less networks, data centers y digital
workspace.
En este sentido, la seguridad de
la información estuvo representada
a través de dos córners en los que
se trataron multitud de elementos de
interés. Uno de estos foros fue el titu-
lado "Seguridad e Innovación IT para
la Transformación Digital", donde
diversos expertos en ciberseguridad
mostraron sus puntos de vista sobre
las tecnologías de seguridad, los
ataques dirigidos, la ciberresiliencia,
los nuevos retos de la seguridad,
los entornos multicloud, las redes
de última generación y el análisis de
comportamiento, entre otros temas.
Así, a lo largo de estas ponencias
se puso de manifiesto que el antivi-
rus tradicional no es suficiente (para
algunos de los intervinientes lo ideal
es que las corporaciones cuenten
con una defensa avanzada junto con
un antivirus tradicional), así como que
entre las amenazas protagonistas
del pasado año se encontraron el
ransomware (durante 2017 se des-
cubrieron más de 250 variedades de
sin malware y los ataques dirigidos.
De estos últimos se mencionó que
uno de cada tres logran penetrar las
barreras de seguridad, aunque la
mayoría de las organizaciones afir-
man que están satisfechas con su
nivel de protección.
Incluso, durante las presentacio-
nes se reiteró que el tiempo medio
en el que las entidades detectan
sus brechas de seguridad asciende
a 229 días, así como que el 81 por
ciento de estas vulberabilidades son
encontradas por un tercero.
El segundo de los foros que tuvo
como eje principal la ciberseguri-
dad fue el denominado "Security &
Analytics & Artificial Intelligence", en
el que se trató cómo proteger el
correo electrónico, el uso del machi-
ne learning y del deep learning para
interceptar los ataques dirigidos avan-
zados, el nuevo Reglamento General
de Protección de Datos, el Internet de
las Cosas y el análisis de comporta-
miento, entre otras temáticas.
Encuentro AAPP
Durante la muestra también tuvo lugar
el "Encuentro Anual Nacional Expertos
en Tecnologías en la Administración
Pública", en el que se organizó
una mesa compuesta por Joaquín
Castellón, director Operativo del
Departamento de Seguridad Nacional;
Luis Jiménez, subdirector general del
CCN; Enrique Ávila, jefe del Área
de Seguridad de la Información del
Servicio de Innovación Tecnológica
y Seguridad de la Información de la
Dirección General de la Guardia Civil;
y José Javier Ochando, del Centro
Tecnológico para la Innovación en
Comunicaciones (CeTIC).
Aslan ya tiene fecha para la cele-
bración de su próximo
Congreso&EXPO, que tendrá lugar el
3 y 4 de abril del año que viene.

80 red seguridad segundo trimestre 2018

 CENTRO DE CIBERSEGURIDAD INDUSTRIAL
102
ESCUELA PROFESIONAL
DE CIBERSEGURIDAD
INDUSTRIAL

HTTPS://WWW.CCI-ES.ORG/ESCUELA
H M A M J J S O N
O
A B A U U E C O
CALENDARIO 2018
R
A R R Y N L P T V
R Z I O I I T . .
Formacion Presencial (Madrid) y Online I
O O L O O .

9:30
a 6 3 8 5 3 4 9 6
Ciberseguridad Industrial para 12:30
Inmersiones Ingenieros Industriales
prácticas e informáticos 15:30
a 6 3 8 5 3 4 9 6
200 € 18:30

Aplicación de un Sistema de Gestión 9:30

a 5 2 7 4 2 3 8 5
de la Ciberseguridad Industrial 17:30

Diagnóstico de Ciberseguridad en un 9:30

a 12 9 14 11 9 10 15 12
entorno de automatización industrial 17:30

Ciberseguridad en el Ciclo de Vida 9:30

a 19 16 21 18 16 17 22 19
de un proyecto Industrial 17:30

Evaluación de Madurez del Proceso 9:30

de Ciberseguridad en Organizaciones a 26 23 28 25 23 24 29 26
350 € industriales 17:30

Responsable de Ciberseguridad 9:30 9

en IACS (Sistemas de Automatización a 10
y Control Industrial) ISA-CCI 18:30

Curso Multidisciplinar de Seguridad 9:30 13

Digital en la Industria [4.0] y a 14
1.350 € Protección de Servicios esenciales 18:30 15

Master Master Profesional Online 19:00 14 5 6 5

Online de Ciberseguridad Industrial a 21 12 13 19
20:00 28 19 20 26
3.450 €
Reservar plaza en: https://www.cci-es.org/reservar

Inmersiones Talleres Cursos Master Online

Precios especiales Básicos 175 € 300 € 1.012 € 3.050 €
para miembros del CCI. Activos 150 € 250 € 800 € 2.850 €
https://www.cci-es.org/miembros Suscripción 125 € 200 € Incluido 2.450 €
Con la colaboración de:
 eventos
agenda TIC

X Jornada de Seguridad Integral (Seg2) Seguridad 360º en

19 de junio. Madrid Hospital 4.0
10 de julio. Madrid
Las revistas Red Seguridad y Seguritecnia organizan la décima edición de
la Jornada de Seguridad Integral (Seg2). En este evento de carácter anual la Este evento, organizado por Red
seguridad física y la lógica se vuelven a dar la mano. En concreto, la segu- Seguridad y Seguritecnia en cola-
ridad integral en la protección de los nuevos activos será la protagonista. boración con el CCI, estudiará la
Además, se entregarán los Trofeos de la Seguridad TIC. seguridad integral en los entornos
hospitalarios.

www.redseguridad.com www.redseguridad.com

VIII Foro de la XII Enise VI Congreso PIC

Ciberseguridad
20 de septiembre. Madrid
El foro de la Ciberseguridad del
Cyber Security Center de ISMS
Forum abordará soluciones enca-
23 y 24 de octubre. León
Esta nueva edición del Encuentro
Internacional de Seguridad de la
Información tendrá como foco las
últimas tendencias e innovacio-
24 de octubre
Operadores y responsables de
diferentes instituciones se reuni-
rán para conocer el estado de la
situación del sistema PIC. LOGO

minadas a mejorar la seguridad nes en el sector de la cibersegu- FUNDACION

TIC de las empresas. ridad y la transformación digital. LOGO RED BORREDA

www.ismsforum.es www.incibe.es www.fundacionborreda.org

TACS 2018 II Jornada de Inteligencia & Seguridad

Noviembre. Las Palmas de Noviembre. Pendiente de confirmar
Gran Canaria
Tras el éxito de la primera edición, las revistas Red Seguridad y
El TransAtlantic Cybersecurity Seguritecnia organizarán en noviembre la II Jornada de Inteligencia &
Summit acercará las últimas Seguridad. Este evento tendrá el objetivo de establecer una referencia y de
novedades en el panorama de la analizar el fenómeno emergente de la inteligencia en el sector privado y su
ciberseguridad, tanto en aspec- aplicación en entornos de seguridad.
tos organizacionales y liderazgo,
como contenidos técnicos de
diversos expertos de la industria.
www.seguritecnia.es
www.tacs.es

VIII Encuentro de Cloud CyberCamp 2018 XXXIII Trofeos de la

Security Alliance España Del 29 de noviembre al 2 Seguridad
28 de noviembre. Madrid de diciembre. Málaga Diciembre. Madrid

Esta edición del Encuentro de E l I nstituto Nacional de Seguritecnia reconocerá en esta

Cloud Security Alliance España Ciberseguridad (Incibe) celebrará edición a las empresas y profesio-
abordará los retos de la adopción este evento de ciberseguridad nales del sector más destacados
empresarial de los servicios en la que reunirá a cientos de visitantes del año, tanto del ámbito privado
nube y su marco regulatorio. y profesionales del sector. como del público.

www.ismsforum.es www.incibe.es www.seguritecnia.es

82 red seguridad segundo trimestre 2018

 INTRODUCING
II NN TT RR OO DD UU CC II NN GG
INTRODUCING
I N T RC HO EDCUK CPIONI NGT
CC HH EE CC KK PP OO II NN TT
INFINITY
INFINITY
CHECK POINT
THE CYBER C H E C KARCHITECTURE
POINT
INFINITY
SECURITY

INFINITY
OF THE FUTURE
THE CYBER SECURITY ARCHITECTURE
THE CYBEROFSECURITY ARCHITECTURE
THE FUTURE
OF THE FUTURE
THE CYBER SECURITY ARCHITECTURE
OF THE FUTURE
THE CLOUD
CYBER SECURITY
MOBILE ARCHITECTURE
THREAT PREVENTION
OF THE FUTURE
CLOUD MOBILE THREAT PREVENTION
CLOUD MOBILE THREAT PREVENTION

CLOUD MOBILE THREAT PREVENTION

CLOUD MOBILE THREAT PREVENTION

+280 expertos
Servicios de seguridad gestionados soc
100% enfocados a la ciberseguridad
24x7 combatiendo el crimen
3 países españa | portugal | méxico

www.s21sec.com