Este evento, que contó con una serie de charlas, se realizó en Córdoba, Argentina, el día Martes 11 de Junio y contó con la presencia de decenas de especialistas en varios ámbitos de la tecnología y ciberseguridad en toda américa.
Inició cerca de las 8:45 (horario argentino) y se extendió durante el transcurso del mediodía y de la tarde. Todas las charlas se pueden ver desde el canal de YouTube de la Universidad Siglo 21, quien hospedó toda las conferencia.
Aquí debajo se mostrará la agenda con todos los ‘Speakers‘ a disposición:
Además, quienes acudieron de manera presencial, pudieron participar de charlas sobre Bug Bounty y talleres, así como también demostraciones en vivo de soluciones de seguridad junto con casos interactivos.
Seguí a continuación todo lo que comentan los invitados en el auditorio Universidad Siglo 21 en cada una de las charlas:
9:10 TENDENCIAS DE CIBERSEGURIDAD A NIVEL GEOPOLÍTICO
Para Santiago Cavana, quien forma parte del equipo de Ciberseguridad de Microsoft, en los últimos 2 años ha habido un incremento sostenido de actividades apoyadas por estados en términos de ciberguerra.
Agrega que los grupos de cibercrimen utilizan cada vez más inteligencia artificial para realizar su operativo, incluyendo la creación de exploits (aprovechamiento de vulnerabilidades), generación de desinformación y desarrollo de los ataques.
Felix Uribe, analista de seguridad y privacidad de la Universidad de Maryland, comentó que el gobierno norteamericano ayuda constantemente a las empresas privadas con guías y políticas que las herramientas de ciberguerra pueden conseguir.
Apoya también la capacidad de la inteligencia artificial para el apartado formativo, aunque también advierte sobre las posibilidades de la misma en los conflictos cibernéticos.
Alejandro Sabolansky, quien se encuentra dentro de las operativas de la OEA, la organización comparte información técnica y capacitaciones a todos los estados miembros que lo solicitan, incorporando también el uso de inteligencia artificial para defenderse de los incidentes de seguridad para soluciones proactivas.
Para Ariel Cessario, como coordinador CERT en Argentina, existe un incremento en todos los tipos de ataques. Recalca lo básico de aprender en que los atacantes siempre tienen ventaja, y la incorporación de la inteligencia artificial de forma correcta como una herramienta de ayuda para detectar los incidentes de forma temprana para todos los sectores, incluso los que no están centrados o no cuentan con utilidades de ciberseguridad.
Santiago Cavana afirma que Microsoft está regulando fuertemente la inteligencia artificial, trabajando recurrentemente con un modelo de IA responsable, sostenible y ética.
Felix Uribe suma la importancia del NIST (Instituto Nacional de Estándares y Tecnología), como agencia del gobierno para ayudar a las personas a informarse de las políticas y regulaciones dentro y fuera de las entidades gubernamentales para los usuarios comunes con respecto a respuesta a incidentes y uso de inteligencia artificial.
Ariel Cessario comenta que Argentina está en proceso de actualización con respecto a las políticas de los datos, así como también la colaboración con estados cercanos y de otros continentes para mejorar todo tipo de normativas en temas de protección de la información.
Alejandro Sabolansky confirma que la gran mayoría de estados miembros de la OEA tienen políticas de ciberseguridad en mayor o menor medida, además de la ayuda técnica que brinda la Organización de Estados Americanos en varios ámbitos, incluyendo la mencionada inteligencia artificial.
9:45 CIBERSEGURIDAD EN APLICACIONES MÓVILES
Daniel Borgogno, quien es Pententer y Security Researcher, encontrándose en el equipo de la Ekoparty (una convención anual en Argentina sobre Ciberseguridad) comenta la importancia de la protección de datos en el Back-end en aplicaciones móviles (en la parte que el usuario no observa visualmente), ya que allí se encuentran la mayoría de vulnerabilidades.
Añade la importancia de que cada empresa tenga su aplicación propia en celulares, pero con los riegos respectivos que existen con la manipulación de las partes de la app, ya que el apartado Front-end (la interfaz gráfica que mira el usuario) son totalmente manipulables, incluyendo la edición del HTML, de la Cookies, del JavaScript, la captura del tráfico y la posibilidad de descubrir apis y recursos. Todo esto también aplica al apartado web de las computadoras.
Comparte los conflictos que existen entre un desarrollador de la aplicación y quien vela por la seguridad de la aplicación y los estándares de seguridad del código, ya que siempre el primero buscará sacar un mayor rédito mientras que el segundo buscará priorizar la seguridad y privacidad por encima del funcionamiento como tal.
Otras vulnerabilidades de diseño incluyen el mal uso de encriptación, la exposición de la información, entre otros, comentando el inconveniente que existe con la tarjeta SUBE (utilizada para viajar por transporte público en Argentina), que tiene vulnerabilidades en el NFC, desvelada mediante ingeniería inversa, así como también la falta de hardware adicional.
10:20 GESTIÓN DE LA EXPOSICIÓN
Diego Staino, quien es experto en seguridad tecnológica en BASE4 Security, habla de los incidentes de Ciberseguridad. Comenta la cuestión de por qué las organizaciones son víctimas de ciberataques, debiéndose al aumento de las vulnerabilidades y el tiempo que lleva en corregirlas.
Realiza una analogía entre el sistema inmunológico humano y el sistema tecnológico de las empresas, hablando del foco al que se le debe hacer, los riegos que existen, las herramientas para contrarrestar los ataques y los desafíos a afrontar, hablando también de la mitigación continua de los riesgos que existen a través de las amenazas.
Habla de las complejidades que significa corregir una vulnerabilidad, ya sea interna o externa, el cumplimiento de las políticas con base en la realidad, junto con la gestión de riesgo y vulnerabilidades.
Es que las políticas de respuesta suelen ser extensas y complicadas de comprender, por eso menciona la priorización a la hora de mitigar un riesgo. Para ello, suma las posibles herramientas como las de gestión de superficie de ataque y las de evaluaciones de seguridad.
Concluye con la importancia de la gestión de la exposición continua y la profundización en cada concepto, mejorando lo que ya se tiene a disposición en lugar de comprar con impulsividad productos nuevos.
Recomienda a empresas que buscan inculcarse dentro del ámbito de la ciberseguridad a seguir expectativas realistas desde lo más básico, siguiendo marcos normativos especializados para cada ámbito.
10:35 PROTEGIENDO EL FUTURO DIGITAL
Miguel Caruso, quien trabaja en TELECOM, comenta lo peligroso que resulta el Phishing y cómo ha mejorado a lo largo de los años. De hecho, el factor humano fue responsable del 68% de los incidentes de seguridad, por eso la necesidad de concientización, hablando del ejemplo de su compañía, Cyber Awareness, para educar a los usuarios.
Especialmente sucede en días del año donde el consumo aumenta considerablemente, ya sea San Valentín, Navidad, y más.
El Phishing es la estafa más habitual en internet y es un dolor de cabeza para múltiples organizaciones expuestas en línea, sumando la necesidad de tomar recaudo con las medidas de seguridad requeridas ante este tipo de ataques.
11:35 CIBERSEGURIDAD Y GOBERNANZA
Marcela Pallero, quien forma parte de la Fundación Sadosky, habla del desafío de la gobernanza de datos, mencionándola como una disciplina en formación, hablando que conlleva un cierto grado de responsabilidad a la hora de manejar vulnerabilidades.
Para ella, la ciberseguridad no debería caer simplemente en la auto-educación, sino también en lo que pueden aportar las organizaciones desde el nivel de la toma de decisiones.
Gustavo Papa, CISO del Banco de Córdoba, sabe que los bancos están regulados por la entidad central de la República, haciendo énfasis en ampliar la línea defensa en el sector bancario. Además de lo que significa tener un cortafuegos o un antivirus, también añade el concepto de la inteligencia de amenazas.
También suma que las organizaciones tienen un desafío en la cadena de valor, mencionando el tema de las dependencias y la necesidad de que todos los sectores deben estar lo suficientemente protegido para no afectarse entre sí, con el sector gubernamental teniendo una cierta responsabilidad para emprender políticas públicas duras.
Arístides Contreras, Presidente ejecutivo de Coladca, comenta los avances en los intentos de ataques, con ciberdelincuentes mejorando constantemente, ejemplificando con los conceptos de Skimming (clonación de tarjetas).
Para él, lo más importante es que los humanos adquieran habilidades todos los días para afrontar los desafíos de un mundo líquido.
Luciano Monchiero, Director de la Especialización de Cibercrimen en UES21, menciona lo necesaria que es la comunicación entre las diferentes disciplinas buscando un punto de equilibrio.
Suma también los problemas que surgen dentro de las escuelas por la falta de educación sobre estos temas e incluso las excesivas libertades, brindando el ejemplo de las apuestas digitales. Aprender sobre la Ciberseguridad sin necesidad de abordar temas técnicos resulta fundamental.
Marcela Pallero, quien ha velado por la inclusión de políticas públicas en el país y en la región, sabe que poder comprender los avances en las diferentes regiones es fundamental, especialmente en cómo se aborda cada temática, entendiendo que la Ciberseguridad es un concepto transversal y que, por ejemplo, la detección de una vulnerabilidad implica que todo el sector debe estar alerta para ser corregida con inmediatez. Añade que una política pública en sí misma podría ser trabajar y cooperar con empresas privadas regularmente.
Gustavo Papa habla de cómo las organizaciones reciben los posibles ataques y de qué manera los afrontan. Para ello radica una cierta responsabilidad por parte de los gobiernos incluyendo financiación, multas y más. También, sostiene las políticas privadas con respecto a qué aplicaciones móviles se pueden publicar en las tiendas de apps, a pesar que aún este apartado no se encuentra totalmente desarrollado.
Arístides Contreras comenta la cuestión de la implementación de normas técnicas, hablando sobre la falta de política de estado, sustituidas por las políticas de gobierno, construyendo sobre lo ya construido en el pasado, retomando sobre el concepto de lo que hacen los seres humanos por detrás. «La política pública termina siendo necesaria», agregó.
Concluye Luciano Monchiero sumándose a la idea de ser parte del compromiso de mejorar los proyectos parlamentarios a nivel de política de estado, visualizando lo desarrollado en la Unión Europea, pero también en países como Chile y Brasil, donde las políticas de protección de datos son eficaces y constantes. Especialmente en el país de habla portuguesa, priorizando la soberanía del país por encima de todas las cosas.
Incluso de la educación desde adentro del hogar, concientizando a las familias constantemente sobre las tecnologías, informática, entre otros.
La conferencia continuará durante la tarde con talleres específicos abarcando diferentes charlas como políticas públicas, simulaciones en vivo, exploración con Bug Bounty, y mucho más.