Home Entrevistas Vladimir Villa, CEO de Fluid Attacks: “Colombia recibió el 30 por ciento...

Vladimir Villa, CEO de Fluid Attacks: “Colombia recibió el 30 por ciento de los ataques de ransomware en América Latina”

Por Jorge González.

El CEO de la compañía de seguridad informática Fluid Attacks, Vladimir Villa, dijo a Ciberseguridad LATAM que “de acuerdo al informe Tendencias del Cibercrimen en Colombia 2019-2020, el país recibió el 30% de los ataques de ransomware en América Latina, seguido de países como Perú (16%) y México (14%)”. Las pequeñas y medianas empresas fueron el blanco preferido por ciberdelincuentes, ya que éstos saben que el nivel de seguridad de dichas empresas suele ser más bajo que el de otras compañías”, explicó Villa.

En el transcurso de la entrevista concedida a Ciberseguridad LATAM, Villa destacó que “los ataques de malware durante 2019 crecieron un 612%, y los montos pagados por rescate de información fluctuaron entre los 32 y los 160 millones de pesos (entre 9.400 y 47.000 dólares)”.

Villa encabeza Fluid Attacks, una empresa que se dedica a realizar pruebas de seguridad para encontrar vulnerabilidades en sistemas o redes de organizaciones. Desde 2001, Fluid Attacks ha desarrollado soluciones en servicios de seguridad para clientes en industrias como la bancaria, financiera, tecnológica, de salud, de seguros, de manufacturas, aerolíneas y medios.

“Lo ideal es que las empresas implementen modelos de hacking continuo”.

¿Por qué los falsos negativos representan un problema aún mayor que los falsos positivos?

Un falso positivo es un reporte de una vulnerabilidad en un sistema, ya sea realizado por una herramienta automática o un humano, que cuando se revisa o confirma, no es una vulnerabilidad real. Por otro lado, una falso negativo, o fuga, es una vulnerabilidad que no se reporta al momento de buscarla. Es decir, la herramienta o un analista de seguridad no logran encontrarla, por lo tanto, no queda el registro de su existencia y la empresa no sabe que esta vulnerabilidad efectivamente está presente en su sistema.

Generalmente, las herramientas automáticas de detección de vulnerabilidades arrojan problemas de falsos positivos, es decir que, de todo lo que reportan como vulnerabilidad, un porcentaje no corresponde a vulnerabilidades reales. Esto lleva a pérdida de tiempo, porque el analista de seguridad debe verificar si la vulnerabilidad es real o no. Sin embargo, el problema mayor son los falsos negativos o fugas, es decir, lo que las herramientas no logran reportar como vulnerabilidades, ya que las compañías conviven con el riesgo de tener vulnerabilidades sin tratarlas, al no saber que están presentes.

¿Qué es un hacker ético?

Un hacker ético es un experto en computación y redes que, con el consentimiento de una persona u organización, realiza constantemente ataques a un sistema para encontrar vulnerabilidades que un cibercriminal o un hacker malicioso podría eventualmente hallar y, a partir de ellas, proceder a un ataque. El hacker ético se centra en identificar las vulnerabilidades de seguridad que pueda tener una red o un sistema. Además, estos hackers pueden ayudar a entrenar la Inteligencia Artificial, simulando ataques de humanos, por lo que siempre será recomendable que en los procesos de detección de vulnerabilidades ellos estén involucrados.

Usted dijo que: “Muchas veces las vulnerabilidades no se detectan debido a que las herramientas automáticas usadas para ejecutar las pruebas de seguridad, aunque entregan reportes con rapidez, no están al nivel de la inteligencia humana para entender e identificar todos los tipos de vulnerabilidades”. ¿Puede ampliar este concepto?

Al momento de realizar pruebas de seguridad las herramientas automáticas son rápidas en arrojar sus reportes, pero no poseen la inteligencia de un ser humano para determinar vulnerabilidades. En contraste, los hackers éticos pueden utilizar la malicia humana para identificar si una vulnerabilidad es real, y combinar diferentes tipos de ataques, aunque toman más tiempo en identificar un grupo considerable de vulnerabilidades.

Las herramientas automáticas y el trabajo de los hackers se complementan perfectamente. Por ejemplo, en Fluid Attacks utilizamos herramientas automáticas para identificar vulnerabilidades 100% determinísticas. Esto se refiere a vulnerabilidades que no son ambiguas, es decir, son o no son vulnerabilidades y una herramienta es capaz de identificarlas. En cambio, para las vulnerabilidades no determinísticas, lo mejor es que sean evaluadas por humanos, quienes pueden analizarlas y decretar si efectivamente son o no vulnerabilidades. Herramientas y humanos son la combinación perfecta en tiempo y veracidad.

¿Cuáles son las fallas más notorias en ciberseguridad empresarial?

Los hallazgos más comunes en nuestros proyectos son el uso de componentes con vulnerabilidades conocidas, por ejemplo, el uso de un sistema operativo, del cual se conoce tiene vulnerabilidades. La enumeración de usuarios o acceso a alguna lista de usuarios válidos que permiten el acceso a algún sistema o base de datos. También es común encontrar que no se encripta la información sensible o se filtra información de la empresa. Existe además la inyección SQL, la cual es un hallazgo crítico, ya que con esta se puede extraer información de una base de datos, posiblemente modificarla y llegar inclusive a destruirla.

¿La mayoría de las intrusiones obedecen a motivos económicos?

No necesariamente. Existen diferentes motivaciones por las cuales se atacan sistemas de las compañías. Desde robar secretos empresariales, causar daños sin intención de retribución monetaria, retaliación de personal interno cuando tienen conflictos con políticas o colegas de las empresas, hasta satisfacción personal de lograr acceder a información privilegiada.

“El problema mayor son los falsos negativos o fugas, es decir, lo que las herramientas no logran reportar como vulnerabilidades”.

En el caso de las aerolíneas, ¿qué tipo de soporte brinda desde su organización?

Cabe aclarar que el sector aeronáutico afecta diversos sectores cuando existen fallas en su operación. Por lo tanto, las aerolíneas deben asegurarse de contar con sistemas que funciones sin eventualidades. Adicionalmente, la compra de sus tiquetes se transa en diferentes plataformas, y los sistemas que soportan estas transacciones deben estar certificados para proteger la información de los usuarios.

Fluid Attacks provee hacking continuo, donde se realizan pruebas de seguridad con miras a identificar y reportar las vulnerabilidades, y lograr altas tasas de remediación de estas desde que se empiezan a crear sistemas. Además, realizamos pruebas de hacking puntual, donde se evalúa una sola versión de los sistemas. En cuanto a productos, hemos desarrollado una plataforma de gerencia de vulnerabilidades llamada Integrates, que permite que todos los actores involucrados en un proyecto de seguridad puedan interactuar y gestionar los proyectos: desarrolladores, hackers, gerentes de proyectos, oficiales de seguridad o auditores. En esta plataforma, estos actores reportan las vulnerabilidades y le dan manejo, permitiendo controlar las etapas de cada una de las vulnerabilidades encontradas.

¿En cuánto tiempo se detecta una vulnerabilidad en el sistema, y cuánto tiempo se tarda en dar el reporte a la empresa afectada?

El tiempo de detección depende de muchas variables. Por eso lo ideal es que las empresas implementen modelos de hacking continuo. Con esto, se logra que desde que los desarrolladores generen código, se pueda ir revisando. Igualmente, una vez se creen las aplicaciones, es requerido que estas sean probadas por los hackers éticos como si fueran usuarios reales e intenten afectar el sistema. Los reportes son en tiempo real, tanto para las vulnerabilidades que se encuentran de manera automática, como para las encontradas por los hackers éticos. Tenemos una plataforma donde se actualiza el estado de estas vulnerabilidades, y donde las personas responsables de la creación de estos sistemas pueden elegir inmediatamente qué tratamiento darles y quién debe hacerse cargo de estas vulnerabilidades. Al final, lo que se logra con esto es que las empresas puedan arreglar o remediar estas vulnerabilidades con tasas mucho más altas de lo usual.

“Las herramientas automáticas y el trabajo de los hackers se complementan perfectamente”.

¿Cómo ubicaría a Colombia respecto de los países de América Latina en el tema de ciberseguridad?

Según el Informe Tendencias del Cibercrimen en Colombia 2019-2020, el país recibió el 30% de los ataques de ransomware en la región, seguido de países como Perú (16%) y México (14%). Las pequeñas y medianas empresas fueron el blanco preferido por ciberdelincuentes, ya que estos saben que el nivel de seguridad de dichas empresas suele ser más bajo que el de otras compañías. Además, los ataques de malware durante 2019 crecieron un 612%, y los montos pagados por rescate de información fluctuaron entre los 32 y los 160 millones de pesos (entre 9.400 y 47.000 dólares).

En Fluid Attacks creemos que todas las empresas que tengan algún software o que tengan presencia en internet, ya sea en Colombia o en cualquier otro país de Latinoamérica, están en riesgo de enfrentar un incidente de ciberseguridad, por lo que es importante que conozcan cuáles son sus vulnerabilidades (internas) y amenazas (externas) existentes, y así saber cuál es su nivel de exposición al riesgo, y con ello poder tomar decisiones oportunas que eviten incurrir en costos relacionados con la pérdida de información, robo de recursos, afectación en las operaciones o multas de los entes regulatorios.



En off

¿Una ciudad que recomendaría para vivir?

Medellín. Tiene el clima perfecto durante todo el año, muy buena calidad de vida, un ambiente propicio para emprendedores, especialmente en la industria tecnológica, y además actividades de ocio para todos los gustos.

¿Una comida preferida?

Como dicen por ahí: “como de todo”. No podría decir que existe una en particular que sea mi favorita. Al contrario, son pocas excepciones las comidas que no me gustan.

¿Un país que visitó y le gustó?

Singapur. Por su historia de desarrollo en corto tiempo, su orden y limpieza, la eficiencia del Estado, su seguridad, y principalmente por la diversidad de su población, que convive de forma armónica y hace de ese país un lugar único.

¿Practica deportes? ¿Cuáles?

Soy un fanático del fútbol. No solo lo practico, sino que asisto al estadio constantemente y no me pierdo un partido de mi equipo, el Atlético Nacional.