Jamie Collier, asesor principal de inteligencia sobre amenazas en Mandiant (Google)

«Los Juegos Olímpicos afrontan un alto riesgo de ciberataques desde múltiples atacantes»

Jamie Collier es asesor principal de inteligencia sobre amenazas en Mandiant, una reputada firma de ciberseguridad que fue comprada por Google en 2022 y desde entonces forma parte de su arsenal de servicios y herramientas enfocadas a la detección, prevención y neutralización de amenazas. Con base en Londres, trabaja con organizaciones de toda la región EMEA (Europa, Oriente Próximo y África) para ayudarlas a desarrollar capacidades de inteligencia sobre amenazas. Anteriormente fue líder del equipo de inteligencia sobre amenazas cibernéticas en Digital Shadows. Mantiene una activa faceta investigadora tras haber pasado por Oxford y el MIT y es coautor de un reciente informe que alerta de que los Juegos Olímpicos de París afrontan un «riesgo elevado» de actividad de amenazas cibernéticas de todo tipo. Collier atiende esta entrevista en la inauguración del nuevo Cloud Space que Google ha abierto en Málaga, el séptimo que abre la multinacional en todo el mundo y el primero enfocado exclusivamente a ciberseguridad.

-La primera pregunta es sobre el Centro de Ingeniería de Seguridad de Google en Málaga, ¿qué ha significado para el ecosistema de ciberseguridad europeo?

-Creo que la razón de ser de este edificio es que realmente queremos contribuir al ecosistema. Hay un debate sobre la seguridad en Europa, se están haciendo preguntas difíciles a las empresas de tecnología y nosotros queremos ser parte de la conversación, ser realmente proactivos. La idea del GSEC es albergar a diferentes organizaciones: gobiernos, entidades, startups, periodistas... y asegurarnos de que recibimos todas sus aportaciones. También es ayudar a las startups, a la gente a adquirir competencias y habilidades. Hay una gran variedad de cosas que estamos haciendo pero yo diría que, en última instancia, se trata de contribuir a la comunidad.

-Y ahora al GSEC se le suma, dentro del mismo edificio, el Cloud Space, ¿en qué consiste esta iniciativa?

-Esta iniciativa tiene un componente más específico, que es el de acompañar a las organizaciones a hacer el viaje a la nube de manera seguro. Muchas organizaciones están en camino de lograrlo, pero es un viaje largo y a menudo complejo en el que hay muchas decisiones que tomar: se puede adoptar una estrategia de nube múltiple, nube híbrida. Se trata de poder guiar a las organizaciones a través de esa transformación. Tenemos cuatro Cloud Spaces en Europa y lo que hace al de Málaga diferente es el enfoque en la seguridad. Estamos aquí para guiar a las empresas para que aprovechen todas las oportunidades que les brinda la nube, pero asegurándonos de que comprendan cómo permanecer seguros en la nube.

-¿Cómo describiría la situación que vivimos ahora en términos de amenazas cibernéticas en Europa?

-Creo que es un momento realmente importante. Seguimos viendo que el 'ransomware' sigue estando extremadamente activo en toda la región. Si miramos a España, por ejemplo, los atacantes más activos son los grupos dedicados a este tipo de ataques. Lo que vemos es que el 'ransomware' ya rara vez lo lleva a cabo un solo grupo. Lo habitual es que un grupo obtenga acceso a una red y se lo pase a otro grupo que se mueve a través de esa red e implementa el 'ransomware'. Y los grupos más activos son aquellos que obtienen el acceso inicial, así que estamos trabajando con las organizaciones para ayudarlas a detener a estos grupos para así evitar toda la actividad posterior. Luego, por supuesto, en Europa hay muchas otras consideraciones. Tenemos a Rusia, que ha estado extremadamente centrada en atacar a Ucrania, pero también vemos que su servicio de inteligencia exterior apunta a entidades diplomáticas europeas, por ejemplo. Y vemos los grupos de China-Nexus cada vez más activos en una variedad de sectores diferentes. También hay desafíos regionales específicos. Es un panorama muy complejo, muy multifacético.

-Los Juegos Olímpicos están a punto de comenzar y desde Mandiant han publicado un informe que alerta del alto riesgo de ciberataques. ¿Puede darme más detalles?

-Sí, fui uno de los autores de ese informe. Lo que es interesante es la variedad de amenazas diferentes que apuntan a los Juegos. En primer lugar tenemos a Rusia, que ha apuntado a los Juegos antes y tiene la capacidad y la experiencia para hacerlo. El hecho de que haya atletas rusos vetados o compitiendo bajo banderas neutrales y de que Francia sea un partidario proactivo de Ucrania hace que los Juegos Olímpicos de París sean un objetivo realmente atractivo para Rusia, con el objetivo de interferir y dañar la reputación de Francia, ya sea a través de operaciones cibernéticas disruptivas o de desinformación. La amenaza de China es diferente, los grupos de China-Nexus están más interesados en espiar a los diplomáticos y las personas con responsabilidades que asisten a los juegos y se centrarán más en recopilar información de esos individuos específicos. También veremos, por ejemplo, delitos cibernéticos comunes como por ejemplo estafas con entradas, y operaciones de 'ransomware' que ya hemos comentado que están muy activas. Así que vemos una variedad de amenazas diferentes: actores estatales, operaciones de espionaje, desinformación y noticias falsas, delitos cibernéticos, 'ransomware'. Y también una variedad de objetivos diferentes: el Comité Olímpico, las infraestructuras de París, los estadios, el sector hotelero, los patrocinadores de los Juegos... Es interesante el desafío para los patrocinadores, que pueden verse expuestos a operaciones de espionaje o ataques de actores estatales que nunca antes habían experimentado. Si eres, por ejemplo, una empresa de 'retail es probable que nunca te hayas preocupado por ser el objetivo del servicio de inteligencia exterior ruso, pero ahora de repente tal vez eso ocurra.

-¿Se está convirtiendo la inteligencia artificial en una herramienta poderosa en manos de los atacantes?

-Hay mucha preocupación sobre cómo los atacantes utilizan la IA. Lo que vemos es que los atacantes todavía están experimentando en gran medida y que hay algunos casos de uso diferentes en los que vemos que podrían comenzar a usarla. Creo que el ejemplo más claro es la ingeniería social, mejorando la credibilidad de los correos electrónicos de 'phishing', por ejemplo. Hay evidencia más limitada de que se vaya a usar para el desarrollo de 'malware'. Creo que probablemente se tratará más de que grupos muy poco sofisticados se vuelvan un poco más sofisticados que de algo que usen los principales grupos de 'ransomware' y espionaje. De todas formas, creo que todavía es temprano para tener un diagnóstico. El otro asunto con la IA no es tanto de cómo las amenazas utilizan la IA, sino de cómo se podría atacar a la propia IA. Si estás utilizando IA en tu empresa, puede haber ataques que vayan tras esos modelos y los datos que hay detrás.

-¿A estas alturas quiénes están sacando más provecho de la IA, los buenos o los malos?

-Creo que hay una gran oportunidad para los defensores. Si pienso en algunos de los grandes desafíos en materia de seguridad cibernética, la IA puede marcar una gran diferencia. Por ejemplo, para procesar todas las alertas que reciben los equipos de seguridad. Otro gran desafío es el talento, la falta de profesionales. No tenemos suficiente gente con habilidades de ciberseguridad y lo que la IA puede hacer es ayudar a democratizar el acceso a la profesión. Por ejemplo, puede llevar bastante tiempo aprender las habilidades para analizar 'malware' o escribir reglas técnicas de detección, pero ¿qué pasaría si en lugar de una regla técnica de detección pudiera simplemente decir en lenguaje natural: «Cuéntame todos los archivos confidenciales que se han enviado en la última semana» y después eso se convirtiera en una regla de detección técnica a través de IA? Hay enormes oportunidades. Así que yo soy muy optimista cuando hablamos de IA aplicada a la detección y defensa frente a amenazas.

-Con el incidente de CrowdStrike se han acrecentado las voces que expresan preocupación por la alta concentración del mercado de servicios de seguridad en la nube y la alta dependencia de la computación en la nube. ¿Está tomando nota Google de esto?

-Desde la perspectiva de Google es algo en lo que siempre hemos estado muy centrados. Llevamos mucho tiempo hablando sobre esto con clientes y organizaciones. Lo que realmente encontramos con Google Cloud es que a menudo formamos parte de una estrategia de múltiples nubes. Cada vez más organizaciones están usando múltiples nubes diferentes para diversificar el riesgo y evitar la concentración y eso es algo que nosotros aceptamos. Queremos poder integrarnos bien con diferentes nubes, si las personas o las empresas deciden que quieren mover cosas a otra nube se lo ponemos fácil, no queremos que se sientan atrapados. Y luego está el debate sobre qué estamos haciendo para mantener seguras a las personas y a las organizaciones. Y lo que realmente estamos tratando de hacer es tener seguridad por defecto en el diseño. Tenemos un interés activo por la seguridad de nuestros clientes. Nuestra postura no es: «Es tu responsabilidad y si lo estropeas no es nuestro problema».

-Otra consecuencia del desastre de Crowdstrike es que mucha gente ha tomado conciencia de que un incidente informático pueden realmente paralizar un país. Y ni siquiera fue un ataque intencionado...

-Eso ya lo habíamos visto en buena medida. Si nos remontamos a la pandemia, vimos muchos grupos de 'ransomware' atacando hospitales, sin importarles que hubiera víctimas. Y seguimos viéndolo. En Ucrania hemos visto a Rusia interrumpir el suministro de energía, por ejemplo. Esas capacidades están ahí. Y sí, creo que podríamos seguir viendo ataques de este tipo. Sin embargo, lo que sí diría es que la comunidad ciber está trabajando muy duro en estos temas. Por lo general, si hablamos de infraestructuras críticas, como las centrales eléctricas o los centros de tratamiento de agua, a menudo hay modos de control manual, cosas que podemos hacer si no para evitar el ataque, al menos recuperar la normalidad de manera ágil. Lo que creo es que el objetivo no es buscar la seguridad perfecta, porque no estoy seguro de que exista, ¡aunque sería estupendo si así fuera! La gran pregunta es: ¿cómo de rápido podemos recuperarnos? Si nuestros sistemas se ven afectados pero podemos recuperarnos en dos minutos, eso es muy diferente a 48 horas. Imagina que hablamos de un hospital, por ejemplo. Y creo que esa será cada vez más la métrica que se use: cuál es ese tiempo de resiliencia. Da igual si se trata de un fallo informático como el que hemos visto estos días o si se trata de un 'ransomware' o de un ataque dirigido por el gobierno ruso: la resiliencia es la verdadera prueba. No se va a tratar tanto de si puedes detener el ataque, sino de si eres capaz recuperarte muy rápidamente. La conversación pasará a ser sobre resiliencia.

• Temas
• Google
• Ciberseguridad
• Ciberataque
• Juegos Olímpicos