Ciberseguridad: cómo formar “héroes” como el joven británico que frenó el ransomware ‘WannaCry’

963

Expertos del CEU-UCH, la URJC, ISACA y Nunsys analizan las necesidades de formación en materia de ciberdefensa, en una Jornada organizada por el Grupo de Investigación en “Derecho Penal, Internet y Redes Sociales: nuevas formas de delincuencia”

Los expertos Juan Pardo (CEU), Carlos López Cañas (ISACA), Álvaro Alzina (URJC), Raúl Prieto (Nunsys) y Javier García González (CEU), en la Jornada sobre formación en ciberseguridad, celebrada en el CEU-UCH.
Los expertos Juan Pardo (CEU), Carlos López Cañas (ISACA), Álvaro Alzina (URJC), Raúl Prieto (Nunsys) y Javier García González (CEU), en la Jornada sobre formación en ciberseguridad, celebrada en el CEU-UCH.

Miembros del Grupo de investigación en “Derecho Penal, Internet y Redes Sociales: nuevas formas de delincuencia”, de la Universidad CEU Cardenal Herrera de Valencia, han organizado la Jornada “La formación universitaria ante los nuevos escenarios de seguridad: ciberguerra y ciberdefensa”. Expertos del CEU-UCH, la Universidad Rey Juan Carlos, la Asociación ISACA (Information Systems Audit and Control Association) y Nunsys han reflexionado sobre los nuevos perfiles formativos necesarios para combatir, desde empresas e instituciones, ciberataques como el ransomware ‘WannaCry’, que ha afectado a 180 países esta misma semana. Según estos expertos, el dominio de las herramientas para la búsqueda de “agujeros” en los sistemas operativos y la correcta identificación de los delitos en soportes digitales obligan a combinar una formación informática y jurídica en los profesionales dedicados a garantizar la seguridad cibernética. Países como Francia, Gran Bretaña y Estados Unidos superan ya los mil millones de euros invertidos esta materia.

Según Juan Pardo, profesor del Departamento de Matemáticas, Física y Ciencias Tecnológicas del CEU-UCH y coorganizador de la Jornada, “en los últimos meses hemos asistido a ciberataques para influir en la imagen de un candidato a las elecciones presidenciales o para dejar al descubierto las labores de espionaje de una central de inteligencia. Y esta misma semana, ante el ciberataque global del ransomware ‘WannaCry’, el Estado ha anunciado su intención de fichar a profesionales como el joven británico que logró frenarlo. Por eso, es importante evaluar cuál debe ser su formación”.

Necesidad de formar expertos

Sobre estos jóvenes, el consultor de Nunsys, Raúl Prieto, ha destacado: “En ocasiones son autodidactas, pero con una buena formación de base, en las herramientas diseñadas para detectar ‘agujeros’ en los sistemas operativos. Cuando trabajan en esta labor de detección de ‘agujeros’ de seguridad, con permiso de las empresas y los proveedores que alojan sus servidores, entonces podemos hablar de hackers éticos”.

Para el investigador principal del Grupo “Derecho Penal, Internet y Redes Sociales: nuevas formas de delincuencia” del CEU-UCH, el profesor Javier García González, “las carencias de formación en ciberseguridad y el reto de preparar a los estudiantes universitarios en estas materias es una necesidad objetiva”. Precisamente por ello, el proyecto de nuevo Grado en Seguridad y Competencias Policiales que está promoviendo la Universidad CEU Cardenal Herrera “incorporará sendas asignaturas sobre ciberseguridad y ciberdefensa, en cuyos contenidos estamos ya trabajando”.

Jornada “La formación universitaria ante los nuevos escenarios de seguridad: ciberguerra y ciberdefensa”, en el CEU-UCH.
Jornada “La formación universitaria ante los nuevos escenarios de seguridad: ciberguerra y ciberdefensa”, en el CEU-UCH.

Ciberguerra e infraestructuras críticas

Según los expertos participantes en esta Jornada en el CEU-UCH, aunque algunos de los códigos utilizados en el ransomware ‘WannaCry’ coinciden con los utilizados en anteriores ataques informáticos norcoreanos, es difícil confirmar que Corea del Norte esté detrás del ataque. Según Álvaro Alzina, de la URJC, “se puede sospechar el origen del ataque, pero no demostrar, por lo que responder contra un país sin pruebas, o plantear una situación de ciberguerra solo con sospechas, no es posible. Aunque, tras los ataques de los últimos meses, se pueda intuir el interés de países como Rusia, China o Corea del Norte por una UE y una OTAN débiles”.

Ante estas amenazas de ciberguerra, también es necesario proteger con profesionales bien preparados las infraestructuras críticas de los Estados, como las nucleares, las eléctricas, los puestos de control aéreo o los transportes. Para Alzina, “estas infraestructuras críticas en España están cada vez más protegidas por el Ejército y el Ministerio de Defensa, sin embargo, el nivel de protección de las empresas españolas aún es bajo”.

‘Deep web’: mercado negro de ‘malware’

Para Carlos López, de ISACA, los ciberataques como el de ‘WannaCry’ irán en aumento por la amenaza de la ‘deep web’, que engloba páginas no indexadas en buscadores: “La ‘deep web’ es un mercado negro, no solo de órganos, de armas o de drogas, también de ‘malware’ o código malicioso, que puede adquirir quien quiera lanzar un ataque. Si los malos que nos atacan son muy buenos, es posible no dejar rastro de su autoría”.

La Jornada “La formación universitaria ante los nuevos escenarios de seguridad: ciberguerra y ciberdefensa” ha sido organizada por Javier García González, profesor de Derecho Penal del CEU-UCH e investigador principal del Grupo “Derecho Penal, Internet y Redes Sociales: nuevas formas de delincuencia”, y Juan Pardo Albiach, profesor del Departamento de Matemáticas, Física y Ciencias Tecnológicas del CEU-UCH. Junto a ellos, han participado como ponentes invitados a las Jornadas Álvaro Alzina Lozano, investigador del Centro Emilie Noel de la Universidad Rey Juan Carlos; Carlos López Cañas, vicepresidente en Valencia de la Asociación ISACA (Information Systems Audit and Control Association); y Raúl Prieto Pozo, consultor de Ciberseguridad y Gobierno IT en Nunsys.

El CEU-UCH colabora con ISACA habitualmente en la organización de foros de análisis sobre ciberseguridad. A finales de 2015 del IX Congreso Nacional en esta materia, que reunió en Valencia a veintiséis expertos en ciberseguridad y ataques cibernéticos.