metodología de análisis de la intencionalidad en internet y redes complejas

Metodología de análisis de la intencionalidad en Internet

y redes complejas

Cursos de Verano 2013 Universidad Rey Juan Carlos

Aranjuez, del 8 al 10 de julio de 2013

EDICIÓN

PRODUCCIÓN

DISEÑO Y MAQUETACIÓN

Miguel Salgueiro / MSGráfica

Curso de Verano 2013 Metodología de análisis de la intencionalidad en Internet y redes complejas

Centro de Investigación para la Gestión Tecnológica del Riesgo CIGTR 3

ÍNDICE

INTRODUCCIÓN .......................................................................................................................................................................................... 5 Santiago Moral

PRÓLOGO ....................................................................................................................................................................................................... 7 Regino Criado

LA TEORÍA DE LAS REDES COMPLEJAS: INTRODUCCIÓN Y APLICACIONES ........................................................... 9 Stefano Boccaletti

MODELADO DE RIESGOS DE ESCALA LIBRE .............................................................................................................................. 21 Regino Criado / Víctor Chapela

THREAT HORIZON 2015: MÁS PELIGRO POR AMENAZAS CONOCIDAS ....................................................................... 37 Adrian Davis

CASANDRA: UN FRAMEWORK PARA LA GESTIÓN DEL RIESGO TECNOLÓGICO ................................................... 49 Juan Manuel Vara / Marcos López

CASANDRA EN LA PRÁCTICA: LA ELABORACIÓN DE UN PLAN DIRECTOR............................................................... 59 Rafael Ortega

Centro de Investigación para la Gestión Tecnológica del Riesgo CIGTR�

Metodología de análisis de la intencionalidad en Internet y redes complejas Curso de Verano 2013

MESA REDONDA: METODOLOGÍAS Y HERRAMIENTAS PARA EL ANÁLISIS DE RIESGOS INTENCIONALES.................................... 67 Intervienen: Javier Candau Juan Corredor Pinilla José Antonio Mañas Rafael Ortega García Modera: Luis Fernández Delgado

TÉCNICAS AVANZADAS PARA DETECTAR ESQUEMAS COMPLEJOS DE FRAUDE EN GRANDES CONJUNTOS DE DATOS ........................................................................................................................................... 87 Stephen Moody

MECÁNICA ESTADÍSTICA Y TEORÍA DE LA INFORMACIÓN COMO BASE DE LA SEGURIDAD ESTADÍSTICA....................................................................................................................................................... 107 Teresa Correas / Roberto Ortiz / Santiago Moral

ÁLBUM FOTOGRÁFICO ........................................................................................................................................................................... 125

Los contenidos de las ponencias están disponibles en la página oficial de CIGTR www.cigtr.info. Se pueden consultar las transparencias y los vídeos en los canales oficiales de CIGTR en YouTube y SlideShare.


Centro de Investigación para la Gestión Tecnológica del Riesgo CIGTR �

os límites del mundo digital crecen de manera imparable. Llega al punto de ser muy complejo discernir la frontera con el mundo físico. Ya no hablamos del

mundo conectado (‘always online’) sino de un universo hiperconectado 1 en el que conviven múltiples conexiones móviles por individuo, cifras en continuo incremento que pueden llegar a alcanzar los 5.000 millones de usuarios en 2020 (según informes de J.P. Morgan), aproximándose a la población total del planeta. El auge de los dispositivos móviles –la telefonía móvil interactiva (smartphones), tabletas e incluso los incipientes “appcesorios”– y la adopción de los paradigmas descentralizados y virtuales del cloud contribuyen al continuo crecimiento de los sistemas de información. La oferta de contenidos y servicios para los usuarios es cada vez más amplia e

interconectada. Las identidades digitales se comparten y gestionan en ámbitos que deben salvaguardar los derechos de privacidad de las personas.

En este escenario, los sistemas de información son cada vez más dinámicos y heterogéneos en cuanto al número y tipo componentes. Las interconexiones entre ellos se incrementan. Esta complejidad dificulta el análisis y la gestión de riesgos bajo los paradigmas tradicionales. Resulta poco viable tratar de forma individual cada uno de los componentes. Es más, a estas circunstancias tenemos que sumar la continua y rápida evolución del entorno que rodea a las organizaciones. Los individuos que perpetran actividades de fraude y ataques contra los objetivos corporativos están cada vez más organizados y perfilan sus capacidades profesionales con el objeto de adaptarse con mayor agilidad ante los cambios en las estrategias de defensa y sacar el mayor

INTRODUCCIÓN

Santiago Moral RubioDirector de IT Risk, Fraud & Security. Grupo BBVA

1 Mobile World Congress 2013: www.lavanguardia.com/tecnologia/20130124/54363068379/llega-el-mundo-hiperconectado.html#ixzz2wrxTRb00



provecho de esta complejidad creciente. Estamos hablando, sin lugar a dudas, de equipos con modelos de negocio cuyos niveles de madurez son altos. La evaluación del riesgo intencional asociado a estos escenarios requiere de herramientas y metodologías más ágiles y que se adapten al continuo dinamismo de estas circunstancias.

Se abre así una gran oportunidad para crecer en estos ámbitos y promover entornos de investigación en los que colaboren tanto profesionales del mundo empresarial como académicos. Se necesita enriquecer la visión de negocio con nuevas alternativas científicas que logren métodos de análisis y gestión que, por un lado, sean capaces de tratar los sistemas como un todo más allá de sus elementos individuales y, por otro, ofrezcan agilidad de adaptación a estos entornos tan dinámicos y competitivos.

Desde el Centro de Investigación para la Gestión Tecnológica del Riesgo (CIGTR) se

promueven iniciativas de investigación en estos ámbitos. Destacando también las conferencias y actividades de formación que anualmente organizamos con el objetivo de promover espacios de intercambio de conocimiento Universidad-Empresa. Este es el tercer curso que desde el CIGTR organizamos en el marco de los Cursos de Verano de la Universidad Rey Juan Carlos. En la última edición asistieron más de 190 personas de procedencia muy variada. Profesionales de la seguridad de la información convivieron durante estos tres días con científicos de ámbitos tan diversos como las Ciencias de la Computación, Física o Matemática Aplicada; no faltó tampoco la presencia de estudiantes universitarios y doctorandos dispuestos a aprender sobre estas iniciativas tan innovadoras.

A través de esta publicación trasladamos a aquellas personas interesadas la transcripción de las ponencias presentadas en este Curso de Verano.



a sociedad, por lo general, no reconoce a los matemáticos como personas creativas. De hecho, en palabras de J. D. Barrow, la definición que se suele hacer

de un matemático es “aquel tipo de persona con la que usted no quisiera encontrarse en una fiesta”. Sin embargo, para hacer ciencia y, en particular, para resolver problemas matemáticos, se requiere una gran dosis de creatividad. De no ser creativo, ¿cómo se las habría ingeniado Arquímedes para verificar si la corona del rey Hieron era o no de oro auténtico? ¿De qué modo habría conseguido el inventor de la máquina Enigma un sistema de cifrado capaz de traer de cabeza a los aliados durante la segunda guerra mundial? ¿Cómo podría ocurrírsele a alguien un método para volar, y llegar incluso hasta la luna? Resolver un problema matemático implica un proceso creativo que debe complementarse a veces con grandes dosis de dedicación y

esfuerzo. La creatividad no es patrimonio de una única área, y una componente muy importante de la misma consiste en que permite fomentar y tender puentes entre distintas disciplinas. Las matemáticas aparecen ligadas a la creatividad para resolver problemas muy diferentes y, también, con técnicas muy variadas. De hecho, las matemáticas constituyen el lenguaje de la ciencia, un lenguaje simbólico que destierra la ambigüedad y la duda, el único lenguaje con una lógica incorporada que hace posible establecer una íntima conexión con los mecanismos de funcionamiento más profundos de la naturaleza. En este contexto es también importante tener presente que las matemáticas evolucionan y cambian a gran velocidad, y que configuran una parte importante del motor que hace avanzar la sociedad y la tecnología. Muchos ejemplos sostienen esta afirmación. El caos y los fractales han sobrepasado ampliamente los límites que

PRÓLOGO

Regino CriadoCatedrático de Matemática Aplicada de la Universidad Rey Juan Carlos



tenían en sus orígenes y se han extendido por todo el mundo científico, toda vez que se superaron las argumentaciones realizadas por unos pocos científicos intransigentes que alegaban que el caos se reducía poco más o menos a errores del ordenador y que en realidad el caos no existía. La forma clásica de la teoría de nudos se trasplantó a la bioquímica del ADN y diversos avances en geometría algebraica han permitido desarrollar algunos de los algoritmos asimétricos más conocidos en el ámbito de la Criptografía. Muchas áreas de la investigación matemática se ven ahora enriquecidas por el contacto activo y directo con las ciencias aplicadas, debiéndose destacar en este punto que una característica especialmente relevante de la ciencia de principios del siglo XXI es el desvanecimiento de las fronteras tradicionales de las materias.

Hace unos cincuenta años que el matemático Paul Erdös propuso un enfoque particularmente sencillo para las redes de comunicación: junto con su colaborador Alfred Rényi inventó la teoría formal de grafos aleatorios, una red de nodos conectados por enlaces de un modo puramente aleatorio, hecho clave relacionado con el nacimiento de la teoría de redes complejas.

Es, precisamente, en el ámbito de las redes complejas y de la búsqueda de soluciones innovadoras para el análisis, evaluación y gestión

de los riesgos intencionales y prevención del fraude, donde tienen su lugar las ponencias desarrolladas en el curso que presentamos, “Metodología de Análisis de la Intencionalidad en Internet y Redes Complejas”, patrocinado por el Centro de Investigación para la Gestión Tecnológica del Riesgo (CIGTR) y que me cabe el honor de presentar.

La teoría y aplicaciones de las redes complejas, su utilización en el modelado de riesgos, la metodología CASANDRA, las técnicas avanzadas para la detección de esquemas de fraude complejos en grandes bases de datos, y el papel de la mecánica estadística y la teoría de la información como bases de la seguridad estadística, son algunos de los temas que se abordaron en las diferentes ponencias del curso que aparecen recogidas en este volumen.

Todos estos temas configuran parte de la brillante colaboración iniciada hace más de tres años entre el CIGTR y la Universidad Rey Juan Carlos y que esperamos tenga el alcance y el éxito cuyos primeros resultados parecen auspiciar, y que ha permitido, entre otras cosas, presentar una panorámica de algunos de los avances realizados, donde la creatividad en la búsqueda de soluciones y la innovación en los campos de gestión del riesgo y prevención del fraude han presidido dicha colaboración.



l objetivo de esta ponencia es hacer una breve presentación introductoria de las redes complejas, centrándonos particularmente en una cuestión que

puede tener un mayor interés para ustedes: cómo a partir de los datos disponibles acerca de un determinado problema, se puede tener una representación de redes complejas.

Esto es prioritario, puesto que las redes complejas son herramientas y modelos que permiten el tratamiento de sistemas compuestos por numerosos elementos que interactúan entre sí. En este sentido, existe una abundante literatura sobre qué tipo de indicadores pueden caracterizar este tipo de sistemas una vez que se tenga una

representación de las redes; por ejemplo, una vez que tengamos una red podemos hacer una clasificación de los diferentes componentes, especificando cuáles son los más importantes o los más vulnerables, sabremos dónde hay que proteger la red, dónde hemos de proteger el sistema frente a posibles ataques o dónde actuar para que éste tenga el comportamiento deseado.

Así pues, el primer paso que hay que dar para analizar información de un sistema complejo es transformar un enorme repositorio de datos de este sistema en una representación de red que sea útil para realizar análisis completos. Tomemos como ejemplo la red que se visualiza en la diapositiva 1, esta es la representación de

Stefano BoccalettiCNR-Instituto de Sistemas Complejos (Florencia, Italia)

El contenido de esta ponencia (diapositivas y contenidos audiovisuales) está disponible en la página oficial de CIGTR www.cigtr.info

LA TEORÍA DE LAS REDES COMPLEJAS: INTRODUCCIÓN Y APLICACIONES

Centro de Investigación para la Gestión Tecnológica del Riesgo CIGTR10


un repositorio de una red social que muestra las colaboraciones entre actores de cine, se han establecido conexiones entre actores cuando éstos han actuado en la misma película. Esto nos permite estudiar esta red social de este tipo y, a partir de dicha estructura, saber cuál ha sido el actor que ha tenido una mayor influencia en un determinado género o cómo funciona la estructura de algunos géneros de película. Por tanto, la idea que se plantea es cómo transformar los repositorios de datos en objetos de este estilo (en redes) que posteriormente puedan ser de interés para el análisis y la obtención de información del propio sistema.

En la diapositiva 4 se muestra un resumen del contenido de esta charla. A lo largo de las charlas se presentarán tres formas de redes: Redes Físicas, Redes Funcionales y Redes Parenclíticas. Cada forma se corresponde con una clase particular de sistemas.

REDES FÍSICAS

Una Red Física es la representación de un sistema donde el sistema mismo sugiere cuáles son los elementos –a los que denominamos nodos o elementos unitarios– y cuáles son las interacciones entre ellos (diapositiva 5). Por esta razón se denomina Física, porque es el propio sistema el que sugiere la forma de representarlo con una red.

Por ejemplo, se podría mapear la información en una red de lo que sucede en una sociedad

considerando a cada individuo de dicha sociedad como un nodo y cada relación social entre individuos (de familia, trabajo, amistad, etc.) como un enlace o interacción entre nodos. La relación social se puede seleccionar considerando el problema a abordar (estudiar la influencia de las relaciones de trabajo en los comportamientos sociales, las relaciones de amistad con las modas o tendencias sociales, etc.).

Otro ejemplo de red física sería la representación de la Word Wide Web (WWW), aunque realmente sea ésta una red virtual. La WWW es un enorme contenedor de páginas web. Una representación en red física de ésta tendría como nodos los documentos de las páginas web y como enlaces o interacciones entre nodos los links o enlaces a otras páginas web que están contenidos en cada página. Actualmente, esta red compleja es la más grande que podemos imaginar en cuanto a la cantidad de elementos que la componen, ya que hay cientos de millones de documentos o nodos que están interconectados entre sí.

Las representaciones en red de las redes de transporte son también ejemplos importantes de redes físicas. Por ejemplo, la red de transporte aéreo se podría representar como una red cuyos nodos son los aeropuertos del mundo y los enlaces o interacciones entre nodos corresponderían con los vuelos realizados entre aeropuertos. Otro tipo de red de transporte es la de carreteras, se puede representar cada ciudad como un nodo y las carreteras como enlaces. En estos casos, se pueden estudiar las criticidades en el transporte de personas o mercancías una vez que se ha tenido en cuenta la representación de



red a partir de toda la información de los vuelos/viajes disponibles.

Como podemos observar, en todos estos ejemplos el sistema mismo sugiere qué o quiénes son los nodos y qué o quiénes son los enlaces de una forma bastante sencilla.

Red homogénea y red heterogénea

En la diapositiva 6 se analiza en más detalle el ejemplo correspondiente a las redes de transporte (por carretera y por transporte aéreo). Como podemos comprobar, existen diferencias fundamentes entre las redes de transporte por carretera y las de transporte aéreo, aunque a priori la estructura espacial de ambas es similar (una ciudad dispone de conexiones de carreteras y los aeropuertos suelen estar localizados cerca de las ciudades).

Para ver las diferencias entre ambas redes, vamos a definir en primer lugar el concepto de grado de un nodo “k” como el número de enlaces del nodo al resto de nodos de la red. En la red de carreteras que se muestra en la diapositiva 6, la ciudad de Kansas tiene un grado de nodo igual a 4 (k=4) ya que dispone de cuatro carreteras, una que va hacia San Luis y otras tres hacia Omaha, Wichita y Denver, correspondientemente.

Además, podemos hacer una representación gráfica de la distribución de grados, poniendo en el eje de abscisas el grado “k” y en eje de ordenadas el número de nodos de la red que tienen un valor determinado de grado “P(k)”. Esta distribución de grados se considera también la distribución de

probabilidad de un grado en la red (es decir, se determina así cuál es la probabilidad de tener un nodo en la red con un grado determinado).

Observando las representaciones gráficas de las distribuciones de grado de las dos redes de transporte que figuran en la diapositiva 6, se puede apreciar una diferencia fundamental. En el caso de la red de carreteras, los ejes tienen una escala lineal y la distribución está centrada en un determinado valor promedio “k”, tiene un ancho relativamente pequeño (sigma) y es exponencial de caída a la derecha y a la izquierda del valor promedio (distribución de Poisson). En el caso de la red de transporte aéreo, nos encontramos con una distribución por ley de potencias (power-law distribution) donde ambos ejes tienen una escala logarítmica (es decir, en este caso la probabilidad de encontrar un grado “k” es igual a “k elevado a menos un determinado exponente”).

El primer tipo de red, la de carreteras, se denomina Red Homogénea, ya que cuando escogemos un nodo al azar, vamos a encontrar que tiene aproximadamente k/2 conexiones (k/2 más o menos sigma es prácticamente k/2 ya que sigma es generalmente un valor pequeño). En cambio, el segundo tipo de red, la de transporte aéreo, se denomina Red Heterogénea ya que en ella conviven simultáneamente nodos de grado muy alto y nodos de grado muy bajo (hay aeropuertos donde se concentran muchas conexiones y funcionan de concentradores o hubs, como puede ser el aeropuerto de Madrid o Nueva York, y otros con muchas menos conexiones denominados aeropuertos periféricos como puede ser el aeropuerto de Santander).



Desde el punto de vista del riesgo, cuando la red es homogénea la estrategia para estudiar dicho riesgo se denomina random failure o fallo aleatorio. En este caso, dado que los nodos son más o menos equivalentes respecto a su grado, es suficiente con lanzar un ataque a uno de ellos escogido al azar y ver cómo reacciona la red ya que dará aproximadamente la misma respuesta para cualquier nodo que elijamos. Por el contrario, en las redes heterogéneas hay que hacer una distinción muy clara entre un fallo aleatorio (random failure) y un ataque dirigido (targeted attacks). Por ejemplo, un terrorista que desee hacer daño a la red tenderá a atacar los aeropuertos de conexión (hubs) no los aeropuertos periféricos. Como hemos visto, en las redes heterogéneas la distribución de grado (power-law distribution) denota la existencia de pocos nodos concentradores o hubs (en el lado derecho de la gráfica), es decir, existe una probabilidad baja de encontrar nodos con un alto grado o gran número de enlaces; sin embargo existe una probabilidad alta de encontrar al azar (random failure) nodos periféricos dado que la mayor parte son de este tipo. Sin embargo, la robustez de la red depende de los ataques dirigidos (targetted attacks) a los concentradores o hubs. Por consiguiente, de cara a proteger la red, es importante tener una clasificación de los nodos y saber cuáles son los más importantes.

Redes físicas. Ejemplos

Otro tipo de red sería la red troncal de Internet (Internet backbone). En la diapositiva 7 se muestra el aspecto de la red troncal de Internet en Estados Unidos en 2001, donde cada nodo

es un router (enrutador) y cada enlace una conexión entre dos enrutadores. Los nodos tienen un color determinado dependiendo de su grado y, como se puede observar, se trata de una red muy heterogénea, porque coexisten nodos con muchos enlaces (amarillo) con nodos en la periferia de la red que, a lo mejor, tienen un solo enlace (rojo).

A continuación se expone un ejemplo de red física en el contexto de las redes sociales denominado índice de menciones o citaciones científicas (diapositiva 8 – science citation index). Los trabajos científicos que se han publicado en las revistas hacen referencia a otros trabajos previos y, a su vez, son referenciados en trabajos que se publicaron posteriormente. En este caso, en la red se representa cada trabajo como un nodo y cada enlace como una referencia a un trabajo. De este mapeo de red se pueden obtener indicadores del grado de influencia de un trabajo determinado en un sector, o en las actividades de investigación de dicho sector, incluso cuáles son los sectores de interés para un científico a la hora de publicar algo, entre otros ejemplos.

También se podría considerar un ejemplo con redes de colaboración. Hemos visto anteriormente un ejemplo que mapeaba los datos de actores cinematográficos pero podemos también realizar estudios con datos relativos a científicos (diapositiva 9 – science coauthorship). Empleando el mismo índice de menciones, se considera en este caso que los nodos son los científicos y los enlaces las colaboraciones entre los científicos que trabajan juntos en un proyecto. En esta red se podría



estudiar el grado de influencia de un científico en uno o varios sectores multidisciplinares. Por ejemplo, en el campo de investigación sobre redes complejas colaboran ingenieros, matemáticos, físicos, etc. También sirven para analizar la capacidad de interactuar que tiene la comunidad científica. Este tipo de red se puede aplicar en cualquier otra sociedad que coparticipa en una determinada actividad.

Hablemos ahora de ecología. Otro ejemplo de redes físicas son las cadenas alimenticias (diapositiva 10 – food webs), en las que los nodos son las especies y los enlaces son las relaciones “presa-depredador”. A este respecto, se pueden observar en estas redes actividades de canibalismo en las que las especies se comen a sí mismas, éstos casos se representan mediante “auto-enlaces”. Esta representación de red es muy importante para la ecología, ya que sirve para ver qué ocurre con la cadena alimenticia cuando una de las especies está en riesgo. De hecho, es la base de múltiples nuevos estudios sobre sostenibilidad medioambiental.

Otro ámbito de aplicación de las redes físicas es en estudios de epidemiología mediante, por ejemplo, el estudio de las redes de contactos sexuales. Se analiza así cómo una enfermedad se propaga en una población. En concreto, se realizó un experimento en Suecia, en el que se preguntó a hombres y mujeres con cuántas personas mantuvieron relaciones sexuales en los últimos diez años (diapositiva 11). Podemos ver que la red es muy heterogénea y el factor de escala está muy claro. Es por ello que se pueden aplicar estos estudios para desarrollar políticas de vacunación

para enfermedades que se transmiten por contacto sexual (se localizaría los nodos hubs).

Los ejemplos mostrados en esta sección corresponden con ejemplos de redes físicas. En ellos ha quedado claro que el sistema mismo sugiere qué elementos serán los nodos y cuáles los enlaces.

REDES FUNCIONALES

La cuestión que se plantea en este tipo de redes es cómo representar la información de una gran cantidad de series temporales en una red compleja. Un ejemplo sería la información obtenida de una electroencefalografía, ésta es una colección de series temporales de datos tomadas en distintas zonas del cerebro. Otro ejemplo sería la información que arroja la evolución a lo largo del tiempo de las acciones de una empresa que cotiza en Bolsa (diapositiva 12).

El concepto de red funcional está reflejado en su propia denominación: función. Dependiendo del problema a resolver, se define una métrica, es decir, una medida (por ejemplo, la correlación de dos series temporales, o el coeficiente de Pearson, o sincronía de fase – frecuentemente utilizada en estudios de epilepsia, etc.) con la que poder mapear grupos de series temporales en una red. Este tipo de redes se denomina “all-to-all coupled” ya que cada nodo está acoplado con todos los demás y el valor del acoplamiento es el valor de la medida correspondiente a la pareja de series analizadas. Pongamos un ejemplo, tras

Centro de Investigación para la Gestión Tecnológica del Riesgo CIGTR1�


seleccionar una determinada medida, se compara en base a dicha medida dos series temporales, por ejemplo, la 1 y la 2, y se obtiene un valor que se asocia al enlace que une el nodo 1 con el nodo 2 en la red. Del mismo modo, se aplicaría la misma medida para el resto de pares de series sucesivamente hasta obtener finalmente una red con todos los nodos conectados entre sí y los enlaces con valores asignados en base a la medida utilizada. Este tipo de redes se denomina weighted clique, esto es, una red en la que todos los nodos están unidos (todos con todos) de una forma ponderada ya que cada enlace tiene asociado un número real que es el valor obtenido aplicando la medida.

Una vez obtenida dicha red, se desea simplificar el set de información para facilitar los análisis posteriores. Para ello se establece un umbral, que tiene que estar entre “0” y “1”, con lo que transformamos la red funcional ponderada en una red estructurada de ceros y unos. En este caso, a todos los valores que estén por encima de un umbral los ponemos “1” y a los que estén por debajo “0”. Por lo tanto, partir de dicho umbral construimos una red donde hay nodos conectados y nodos que no. Estudiando las propiedades de estas redes podemos extraer información del sistema original.

Estas redes no tienen nada de físico. Los nodos son las series temporales y los enlaces dependen del tipo de medida que se ha elegido. Es por ello que se denominan redes funcionales porque tienen dos elementos de subjetividad: por un lado, el tipo de medida seleccionada como la que ofrece mejor información sobre el sistema, y, por

otro, el umbral seleccionado (cuando se aplica se pierde parte de información del sistema).

Nuestro grupo ha estudiado un método que ofrece criterios de optimización sobre el umbral y sobre las medidas (ver diapositiva 12). La cuestión se enfoca en definir el umbral y la medida con los que se obtenga la máxima información sobre un problema de cara a su resolución.

En la diapositiva 13 se muestra un ejemplo relativo a un trabajo que hemos realizado en Israel para el tratamiento de la epilepsia. Existen diversos métodos para combatir la epilepsia, sin embargo hay personas que no responden a los tratamientos farmacológicos. En estos casos es necesario extraer quirúrgicamente la porción del cerebro donde se localiza el foco de la epilepsia. Este método se aplica habitualmente en niños de 7 a 14 años que tienen ataques de epilepsia cada tres o cuatro horas y que no pueden hacer vida normal. Antes de la intervención quirúrgica, se lleva a cabo una prueba denominada electroencefalograma intracraneal, para ello se abre la cabeza del paciente y se ponen en la superficie del cerebro unos electrodos que van dando información que permitirá saber dónde se encuentra el foco de la epilepsia. La señal que proporcionan los electrodos es limpia, libre de ruido, al estar colocados justo encima del cerebro. La medida que se utiliza es la sincronía de fase, es decir, se asocia una fase a cada dato obtenido y se mide la correlación entre dichas fases, porque se sabe que la epilepsia es un problema de sincronía de fases, puesto que en un ataque epiléptico todas las neuronas del cerebro se sincronizan a la vez, provocando que sólo puedan


Centro de Investigación para la Gestión Tecnológica del Riesgo CIGTR 1�

hacer una única tarea y se pierda la modularidad para hacer distintas tareas. A partir de los datos obtenidos con los electrodos creamos una red funcional (diapositiva 14). En ella se visualiza que, entre dos instantes de tiempo determinados la fase está en sincronía y ha ocurrido un ataque epiléptico. Una vez estudiado el primer ataque, se analiza también la preparación para el siguiente. En la red podemos ver que ese primer ataque permanece latente, es decir, en algunas áreas los nodos permanecen en sincronía de fase tras el primer ataque, después se incrementa poco a poco y se dispara. Ésta es la razón por la que posteriormente todo el sistema se “resincroniza”. Es como si existiera una zona del cerebro que mantiene memoria de ese estado y que se dispara nuevamente en el futuro. Así pues, ésta es justamente el área que hay que extirpar, la que hace de disparador escondido del sistema.

REDES PARENCLÍTICAS

Existe un gran número de sistemas que no se pueden representar como redes físicas, o de los que no se dispone de series temporales que puedan ser mapeadas en redes funcionales. Un caso típico son los análisis de sangre, cuyo resultado es estático (colesterol, glóbulos blancos, etc.) –ver diapositiva 16–. En este caso, la cuestión que se plantea es ¿puedo hacer una representación que me diga algo sobre una persona a partir de estos datos: si está enfermo o sano, si tiene una determinada clase de enfermedad o si tiene un riesgo específico? Otro ejemplo son las expresiones genéticas, como

pueden ser las de una planta. Si sufre algún tipo de trastorno durante su crecimiento, podemos sacar una foto de sus genes en un instante de tiempo determinado. Pero, ¿qué podemos decir de ella?

En general, esto lo podemos aplicar a cualquier prueba médica, por ejemplo las resonancias magnéticas. Éstas tienen una resolución espacial muy alta, ya que a nivel de un grupo de neuronas de cerebro puedo hacer una estimación del consumo de oxígeno. Sin embargo, tienen una resolución temporal muy mala, ya que sólo pueden tomar imágenes de neuronas cada diez segundos y éstas se disparan o reaccionan en periodos del orden de los milisegundos, lo cual no sirve para una red funcional al no poder representar la dinámica de una neurona.

Otro ejemplo puede ser la evolución del producto interior bruto (PIB) de un país, ya que la foto la obtenemos sobre periodos demasiados largos (meses), lo que implica unas evoluciones temporales demasiado grandes sobre las que no es posible hacer un análisis funcional para responder a preguntas como: ¿Qué sector del país está en crisis? ¿Cómo la crisis de un sector puede afectar a otro? ¿Cómo una crisis en el sector financiero puede afectar, por ejemplo, al sector servicios?

Por tanto, tenemos datos estáticos que son expresiones de variables o características. Y el problema pasa por que no podemos construir redes físicas o funcionales a partir de ellos, dado que no es evidente la relación (p.e.: colesterol y glucemia).



Parénclesis

El concepto de parénclesis fue definido hace mucho tiempo por Leucipo, Demócrito, Epicuro y Tito Lucrecio Caro (diapositiva 18). Hay que destacar los trabajos de Lucrecio, autor de De rerum natura, obra en la que se habla de la teoría cosmogónica que Demócrito y Epicuro ya habían puesto sobre la mesa (diapositiva 19). El principal concepto que plantearon fue la indivisibilidad de la materia, compuesta de componentes llamados átomos, palabra de origen griego que significa “que no se puede dividir”, “a” (no) y “tomo” (divisible). Posteriormente se demostró científicamente que la palabra “átomo” se empleaba incorrectamente al comprobar que éstos sí se pueden dividir. No obstante, ellos plantearon el concepto de la existencia de un elemento fundamental o ente indivisible y estudiaron cómo se podía haber producido el mundo a partir de estos elementos (actualmente se habla de quark, bosón de Higgs, etc.). En esta teoría cosmogónica se planteaba que estos elementos caían del vacío como gotas de lluvia describiendo trayectorias paralelas (es decir, suponían que nunca se iban a encontrar). Para justificar la formación de moléculas mediante la unión de átomos, ellos planteaban que se tenía que producir, de forma impredecible, una desviación de la trayectoria a través de la cual un átomo se encontrara con otro. A este concepto lo denominaron “parénclesis”, es un concepto muy importante en la historia de la Filosofía. En la diapositiva 19 se muestra un fragmento en inglés de De rerum natura donde se define el concepto de “parénclesis” como unpredictable swerve (desviación impredecible). Este es el

origen de la palabra parénclesis, que significa fundamentalmente desviación. Veamos cómo hemos utilizado este concepto.

En nuestros estudios con redes disponemos de un determinado número “n” de sujetos o sistemas {s

1, s

2, …, s

n}. Por ejemplo, si hablamos del caso de

los análisis de sangre, dispondremos de millones de personas que se han hecho el mismo análisis de sangre, cada persona es un sistema o sujeto. Consideramos que cada sujeto está clasificado según el problema que deseamos abordar (por ejemplo, sujetos “sanos” y “enfermos”), tenemos, por tanto, “m” clases a las que pueden pertenecer estos sujetos {c

1, c

2, … c

m}.

Cada sujeto o sistema “i” está representado o identificado por un vector de “p” características fi

= (f1i, f

2i, … f

pi). Por ejemplo, en el caso de los análisis

de sangre las características serán: colesterol, glucemia, etc.

Ahora hacemos la siguiente hipótesis: cada una de estas “m” clases (sano o enfermo, por ejemplo) se corresponderá en el espacio de las “p” características a un vínculo o constraint, en inglés, definido del siguiente modo F(f

1, f

2, … f

p)=0.

Es decir, por ejemplo si el sujeto está sano, no significa que el valor de su colesterol esté comprendido entre dos valores, sino que las características (“p” variables: colesterol, glucemia, etc.) de su análisis de sangre son tales que la función Fsano es igual a cero. Ésto se denomina en términos matemáticos vínculo o constraint, en inglés (ver diapositiva 20) y la función Fsano es, en sí, el modelo.



En otras palabras, el vínculo Fsano(f1, f

2, … f

p)=0

determina la combinación de características asociadas a un sujeto de clase “sano” y el vínculo Fenfermo(f

1, f

2, … f

p)=0 correspondería con el caso de

estudio “enfermo”. En general, habrá “m” vínculos diferentes, uno por cada una de las “m” clases.

Sin embargo, no es fácil obtener una expresión exacta de estas funciones o modelos F ya que pueden llegar a tener muchas variables. En expresiones genéticas de plantas, por ejemplo, si tenemos 22.900 genes, tendríamos que escribir una función F de 22.900 variables, lo cual es prácticamente imposible. Por tanto, la idea que se plantea con las redes parenclíticas es tomar del espacio de las p variables o características todos los planos posibles o, en otras palabras, todas las proyecciones bidimensionales posibles (por ejemplo, las parejas de variables como “glucemia y colesterol” o “colesterol y glóbulos blancos”).

Para cada una de estas parejas de características i,j (considerando que i,j=1,…,p) la población (los sujetos) se representan como una distribución de puntos en el espacio de dimensión p=2. Aquí sí podemos conseguir las proyecciones del vínculo, que serán funciones F

ij tales que F

ij(f

i,

fj)=0, en el plano ij. Es decir, estas proyecciones

(modelos locales) Fij corresponden al corte de

ese vínculo F con cada uno de los planos que tengo en el espacio de las características ij. Existen diversos métodos para hacer esto, como el ajuste polinomial o métodos de minería de datos (Support Vector Machine, Artificial Neural Networks, etc.), a través de éstos se interpola la colección o distribución de puntos con una línea que nos da el modelo de la pareja de

características (por ejemplo, el modelo de cómo se comportan el colesterol y glucemia en la clase “sanos”).

Para estudiar el caso de cada sujeto y ver a qué clase pertenece, se caracteriza a cada sujeto mediante la localización de su punto en dicho plano (cada análisis de sangre) y su distancia al modelo que se ha obtenido. A cada punto (sujeto) se le asocia una red donde cada nodo es una característica del análisis de sangre, por ejemplo, y cada enlace es el valor de la distancia entre el punto y el modelo en el espacio i-j. De aquí viene el concepto parénclesis (diapositiva 21).

Vamos a verlo ahora de una forma más clara con un ejemplo (diapositiva 22). Tenemos un espacio tridimensional con tres características, por ejemplo: colesterol, glucemia y glóbulos blancos. Suponemos que la población, es decir, los puntos (los sujetos), se localiza en un vínculo (la superficie verde - ver diapositiva 22). Consideramos las parejas de planos (“Feature 1” con “Feature 2”, “Feature 2” con “Feature 3” y “Feature 1” con “Feature 3”), y observamos los cortes con los vínculos (ver imagen inferior izquierda de la diapositiva 22), que son las líneas discontinuas, que serían los modelos. Para cada sujeto analizado (ver el punto rojo que figura en la diapositiva) se asocia una red donde cada nodo es una característica y cada enlace es la distancia al modelo (ver diapositiva). Ya que en cada plano tenemos un modelo distinto, estamos poniendo la distancia de todos los posibles modelos que representan todos los cortes posibles del único modelo, que es el vínculo que estamos imaginando.



¿Y por qué se llama parenclítica? Porque tiene información de las desviaciones. Cada enlace contiene la información de cuánto se desvía en el plano correspondiente el sujeto de la tendencia normal de los pertenecientes a su clase (las líneas discontinuas que se visualizan en la diapositiva).

El uso de redes parenclíticas

Analicemos ahora cómo podemos utilizar esta información en el caso del diagnóstico precoz de la nefropatía obstructiva. Se trata de una enfermedad que se da en los recién nacidos y que causa importantes daños a los riñones, ya que al provocar una obstrucción del tracto urinario hace que una parte de la orina vuelva a estos órganos. Dado que los bebés no son capaces de hablar y señalar dónde les duele, es muy importante realizar un diagnóstico precoz de una enfermedad que es la causa principal del trasplante de riñones en niños.

A partir de los análisis de la orina, en los que se miden parámetros tales como los metabolitos y los residuos, se obtienen grupos de población que tienen la enfermedad y grupos que no la tienen. Éste es el modelo on/off del que hablábamos, con dos clases: grupo sano y grupo enfermo.

Si construimos las redes parenclíticas de cada uno de los sujetos a partir de los análisis de orina, tendremos redes de unos mil nodos cada una.

Se observa que las redes de los sujetos normales (es decir, los “sanos”) son redes bastante homogéneas, son aleatorias (ver imágenes superiores de la diapositiva 23 – color verde). Lo cual es bastante normal, dado que si tenemos

un modelo y una persona que pertenece a él, la desviación del modelo será más o menos aleatoria con respecto a la población que tengo.

Por el contrario, en el caso de pacientes enfermos, la red resultante es totalmente diferente, tiene forma de estrella, es decir, existe un nodo central conectado al resto de nodos (ver imágenes inferiores de la diapositiva 23 – color rojo). Esto nos dice que hay un metabolito que difiere de forma sustancial, lo que implica que el individuo está enfermo, y que puedo aislar cuál es el metabolito responsable de la enfermedad, dado que nos señala dónde se concentran todas las diferencias del sujeto con respecto a la clase de sujetos normales. Por tanto, tenemos un método que nos indica cuáles son los factores claves de una determinada enfermedad.

A continuación, vamos a centrarnos en algo más complicado. Realizaremos un experimento sobre un tipo de planta, la Arabidopsisthaliana, que es famosa por ser la planta base sobre la que se suelen realizar todos los experimentos de genética. En esta planta tenemos todo el ADN secuenciado. Se somete esta planta a un estrés abiótico. A diferencia del estrés biótico, en el que se utilizan parásitos (organismos vivos), los estrés abióticos se utilizan para estudiar los fenómenos tales como el calor o frío, la salinidad, la escasez de agua, los cambios climáticos o cualquier otro factor que daña el comportamiento normal de una planta y no está relacionado con organismos vivos. Estos fenómenos causan pérdidas significativas en los cultivos. En concreto, hay un estrés abiótico que



interfiere con la actividad osmótica de la raíces.

Para realizar el experimento, se procede a plantar la planta y a suministrarle componentes químicos que tengan un efecto adverso en su ósmosis. A continuación analizamos los niveles de expresión de sus 22.591 genes en seis instantes de tiempo durante los 240 minutos posteriores al test de estrés, consiguiendo así seis fotografías donde tenemos el valor de la expresión de cada uno de los genes. Posteriormente, hacemos la representación parenclítica, y vemos que la red es muy heterogénea: tenemos distintas estrellas conectadas con pocas líneas (ver diapositiva 24). Gracias a una métrica de centralidad (por ejemplo, alpha centrality), podemos tener una clasificación de los nodos, localizando así los nodos centro de las estrellas de la red parenclítica que se corresponden con los genes fundamentales que regulan la planta en respuesta a este tipo de estrés.

A continuación, se muestra el resultado que se ha obtenido tras el análisis de cada uno de los 6 instantes de tiempo observados (ver diapositiva 25). Esta información es muy valiosa, ya que, poniendo como ejemplo este caso, se localizaron 20 genes responsables de orquestar el comportamiento genético de la planta a este tipo de estrés. Si suministramos esos datos a un genetista, éste sabrá dónde modificar genéticamente la planta para que se comporte mejor ante estas circunstancias, por ejemplo, crezca mejor en terrenos áridos. Tras realizar esta investigación, revisamos la literatura científica en este ámbito y comprobamos que algunos

de estos genes ya habían sido descubiertos en experimentos anteriores. En cambio, se observó que había genes de los que no se tenía conocimiento. A partir de aquí se propone hacer un experimento para generar una línea transgénica de la planta en la que se bloqueaba la expresión de un determinado gen de los más de 22.000. Es decir, se modifica un solo componente de una red enorme siendo éste el que, según los expertos de redes parenclíticas, predice dicha red. En la diapositiva 26 se muestran los resultados de este experimento mediante fotos de la planta e histogramas. La franja de fotografía con el nombre WT (wild type) representa cómo crece la planta sin ningún tipo de modificación bajo este tipo de estrés. Se analizó la longitud media de las raíces de la planta WT y de las plantas transgénicas (en las que se han realizado modificaciones en los 7 genes localizados como factores clave a través de las redes parenclíticas). Se observó el valor medio de la longitud de las raíces y la desviación estándar en los histogramas de la parte superior de la diapositiva, ningún valor medio está fuera de las condiciones normales. De nuevo, hemos mostrado una representación parenclítica donde se ha puesto de manifiesto cuáles son los elementos críticos (en este caso, genes) fundamentales del sistema.

Esto lo hemos aplicado también a la genética humana, con datos de mujeres que padecen determinados tipos de cáncer. Podemos indentificar genes que son factores de riesgo para el desarrollo de una determinada enfermedad en una población. De hecho, existen miles de aplicaciones para las redes parenclíticas, éstas permiten representar sistemas donde no hay



evolución temporal y extraer los factores clave del sistema.

Como conclusión hemos de señalar que tenemos una herramienta de representación de redes para cualquier banco de datos. Por un lado, Redes Físicas, utilizadas en millones de ejemplos desde 1999 en campos tales como la epidemiología. Por

otro lado, también existen Redes Funcionales, muy populares en aplicaciones en econofísica y neurociencia. Finalmente también tenemos las Redes Parenclíticas, que se pueden aplicar a cualquier tipo de repositorio de datos estáticos. Dicho esto, tenemos el primer paso para construir una representación de red que dé información del sistema.



Regino Criado

La frase de Sócrates, “la ciencia humana consiste más en destruir errores que en descubrir verdades”, obedece a una reflexión sobre cómo hemos ido avanzando desde el primer modelo que se planteó hace dos años hasta el resultado que vamos a plantear hoy, en el que hablaremos de los cinco problemas de la gestión del riesgo digital.

Víctor Chapela

El modelo de escala libre de riesgos es hacia donde se dirige la investigación. Compartiremos ustedes cuál ha sido la problemática que hemos tratado de resolver.

Muchos de nosotros, los que trabajamos en seguridad, vivimos a diario estos cinco problemas, sobre todo para gestionar y modelar los riesgos, así como para reducirlos y mitigarlos de cara al futuro.

PROBLEMA 1: “DEMASIADA TEORÍA Y POCA PRÁCTICA”

En este sentido, vemos que cuando alguien lleva a cabo una intrusión en un sistema, normalmente salta de una máquina a otra, de un sistema operativo al siguiente, de cara a tener acceso a contraseñas para acceder a otros lugares. Eso tiene una representación muy clara como grafo. Así nació, hace varios años, la idea de que los grafos podían representar estas intrusiones, que

Regino CriadoCatedrático de Matemática Aplicada de la Universidad Rey Juan Carlos

Víctor ChapelaCEO de Sm4rt Corp.


MODELADO DE RIESGOS DE ESCALA LIBRE



nos permitirían incluso automatizar el hackeo y, por ende, automatizar la forma de prevenirlo.

Los grafos son una representación estática de una serie de relaciones, pero Regino iba mucho más allá, hasta las redes complejas, las cuales nos permitían encontrar nuevas formas de interrelacionar. Sin embargo, estas nuevas formas, que nos iban a permitir tener los diferentes componentes de una red interrelacionados entre sí (las IPs, la información de las aplicaciones, etc.), eran mucho más difíciles de modelar y de entender.

En un principio, las primeras intuiciones surgieron no hace más de diez años, con algo que llamaban Preferential Attachment en el que los nodos más conectados se conectaban con mayor probabilidad que los nodos menos conectados. En Internet y en las redes de escala libre, esos nodos más conectados están exponencialmente más conectados y esto se mantiene en el tiempo. Esto quiere decir, por ejemplo, que los ricos de vuelven más ricos o que Wikipedia va a tener cada vez más conexiones y esto va a tender a crecer de forma exponencial en el tiempo, mientras que los sitios web con pocas conexiones, en general, van a tender a quedarse con esas pocas conexiones. Este tipo de intuiciones matemáticas fue lo que llevó a iniciar la exploración.

Regino Criado

Dentro de la versión clásica de la medida del riesgo como función del impacto o consecuencias, se puede pensar en la disponibilidad, la integridad y la confidencialidad, estableciendo una fórmula que nos permita calcular ese riesgo. Introducimos

una constante escalable α y una constante β que va a medir la convergencia de esta expresión, de manera que para calcular estos parámetros nos tenemos que situar en el caso de mayor riesgo, obteniendo para α un valor de 4 y para el parámetro de convergencia un valor de -0,016. Así tenemos una expresión del riesgo que aunque no es la clásica, sí que deriva de ella (ver diapositiva 6).

En la primera aproximación planteada teníamos ciertos elementos que configuraban el riesgo de una red: valor, accesibilidad y anonimidad. Utilizábamos la exponencial de una matriz, una serie infinita que nos daba la forma en la que el valor se distribuye desde los nodos origen (las bóvedas) donde se localiza la información. La accesibilidad, en cambio, se propaga desde los nodos origen hacia los nodos objetivo, mientras que los otros nodos reciben el valor que les otorga tener un posible acceso a esa información valiosa.

En definitiva, aquí tenemos otra expresión donde estamos utilizando una fórmula que nos va a permitir calcular la probabilidad de dar un salto del nodo “i” al nodo “j” donde aparece una función (diapositiva 8) en la cual se establece un parámetro, un valor distinto para el tipo de conexión si es por afinidad o si es una conexión física existente. Y estamos considerando la matriz de adyacencia y el grafo de conexiones donde además de considerar las conexiones reales que forman parte del riesgo estático, consideramos las que también forman parte del riesgo dinámico por afinidad. Esta expresión “d” es la distancia de Haussdorf del nodo “j” al conjunto de bóvedas, es decir, el mínimo de la distancia de un nodo a un conjunto de nodos ya situados en el grafo.



Víctor Chapela

Queda claro entonces que tenemos resueltas muchas de las ecuaciones, pero el problema es que la teoría es en múltiples ocasiones muy difícil de aplicar. Lo ideal en estos casos sería que pudiésemos presentar esta información de manera que fuese utilizable. Este año hemos estado construyendo un software y terminando el modelado matemático, de modo que permitiese el entendimiento desde el punto de vista de alguien dedicado a la gestión de riesgos en una organización. Con este software podemos cargar datos a partir de un sniffing. En base a esos datos cargados mapeamos una serie de nodos. Hay varios tipos de nodos (máquinas origen desde donde se inician conexiones, aplicaciones, servidores). El riesgo se ha graficado en las conexiones mediante color “rojo” (ver diapositiva 9) en base a aquél que tiene más accesibilidad. El software también permite realizar el colapsado de nodos, se colapsan aquellos nodos que van a los mismos lugares.

También es posible añadir valor a los nodos. Los nodos pueden ser aplicaciones, servidores, grupos de usuarios, etc.; y si en alguno de ellos tuviéramos guardados datos, ya sean propiedad intelectual o información de tarjetas de crédito por un valor determinado; se puede añadir dicho valor al nodo. Este valor se permea al resto de la red y cambia los valores de diferentes partes, el software recalcula cuáles son los valores y cómo se dispersan a lo largo de la red.

Aunque todavía es una versión que no pretende ser usada por un administrador de sistemas, lo

que pretende es decirnos cuáles son las rutas de mayor riesgo, por ejemplo, las conexiones de mayor riesgo entre un grupo de usuarios y un servidor, desde el punto de vista de cuán anónima es la persona que se está conectando (anonimidad), de cuán accesible es la información (accesibilidad) y de cuánto valor hay en el punto final. El modo en que hemos tratado de ir más allá de la teoría es bajarlo a aplicativos que ya no tengan esta formulación de modo evidente, sino que puedan representar de manera gráfica e intuitiva cómo podemos utilizar esta información.

PROBLEMA 2: “GESTIONAMOS LA SEGURIDAD, NO EL RIESGO”

Lo que entendemos por gestionar la seguridad está muy relacionado con lo que decía Carl Sagan en la serie Cosmos, en la que explicaba que Venus había llevado a mucha especulación, puesto que es un objeto muy brillante –el segundo más brillante después de la Luna– pero, sin embargo, al localizarlo con el telescopio no se veía nada, sólo nubes. Así que en 1800 asumieron que si había nubes, eran de agua, que si había agua, entonces era muy húmedo y había pantanos, y por ende había vida. Y si había vida, pues muy probablemente había dinosaurios. Entonces, la observación era que no se veía nada, mientras que la conclusión era que debía haber dinosaurios. En realidad, las nubes son de ácido sulfúrico, con lo que sería un poco difícil vivir sobre la faz de Venus y además es totalmente árido.

Algo muy similar es cómo vemos la seguridad: algo que nadie ve. Lo mismo pasa con el riesgo, nadie lo ve. Y se llega a la conclusión de que es



necesario más hardware y más software. Llega un punto en que ese riesgo que no podemos medir nos lleva a tomar decisiones a partir de algo que no conocemos y es clave que podamos entender esto. En el libro que presenté hace un año, reflexionando sobre cómo funciona la seguridad a día de hoy traté de hacer una analogía llevándolo a un plano más conocido, que es el personal. Si yo tuviera que hacer un análisis de riesgos, lo que realmente estaría haciendo es un análisis de vulnerabilidades en base a los criterios de ingenieros en el ámbito de seguridad. Este tipo de análisis, en base a mis criterios (los de Víctor Chapela) empezaría por un escaneo.

La realidad es que hoy se gestionan riesgos si se encuentran fallos, aunque luego los tratamos de gestionar con los conceptos de impacto por probabilidad para darles algún tipo de calificación. En dicho análisis del impacto y la probabilidad se cuenta con la opinión de expertos que evalúan las situaciones en base a cómo se ven afectados los niveles de seguridad (confidencialidad, integridad y disponibilidad), etc. Entonces, los hallazgos de este análisis, que en mi caso resultarían de evaluar los diferentes componentes de Víctor Chapela que pudiesen estar en riesgo, dirían que, por ejemplo, la interacción física es muy peligrosa, porque hay gérmenes, que caminar es muy peligroso, que bañarse está prohibido porque es el accidente número uno en el mundo… Y entonces el Plan del Director personal de seguridad incluiría una clasificación de mis activos críticos, con controles de seguridad propuestos, en donde estaríamos viendo primero la disponibilidad. Así que, por aquello de que me puedo resbalar y perder la capacidad de moverme, necesitaría un vehículo

para que no me pueda caer, otro vehículo para el jardín, y sería necesario clonarme para que mis hijos tengan un repuesto por si algo falla; y desde el punto de vista de la confidencialidad, necesitaría mantener todo bien hermético con un traje especial para salir a la calle con baño integrado, mientras que para mi integridad física sería muy importante un casco, un camión blindado… En las empresas estamos haciendo lo mismo, hay una serie de vulnerabilidades y consideramos posibilidades para resolverlas todas sin tener una medición adecuada de cuánto estoy reduciendo el riesgo.

Ahora pensemos este aspecto de una forma más clara, consideremos cuál es mi probabilidad de accidente. Eso lo tenemos bien medido y podemos saber cuál es mi póliza dependiendo de mi edad, de cómo he conducido en el pasado, etc. Los accidentes se asemejan a cuando se cae un servidor o un centro de proceso de datos, (como disponemos de redundancia en éstos, podemos reducir lo accidental). Asimismo, las enfermedades son como los virus que afectan a nuestros CPDs. Tal y como tenemos anticuerpos, tenemos firmas para los diferentes virus que hay en los sistemas. Pero donde nos confundimos es en el riesgo intencional. Sabemos que si vamos por ahí con diez mil euros en efectivo, tenemos un riesgo más alto. Nadie nos lo tiene que explicar, lo intuimos. Entonces, la agresión potencial tiene mayor probabilidad de que se produzca, y eso es algo que en las redes o en el riesgo digital normalmente no se toma en cuenta.

En BBVA llevamos muchos años adoctrinando alrededor del riesgo intencional. He aprendido



mucho a este respecto, por ejemplo ese riesgo intencional es algo que nos cambia la forma de evaluar porque partimos de la base de que un atacante potencial quiere minimizar su riesgo y maximizar su beneficio, como cualquier hombre de negocios. El hacker básicamente busca obtener el mayor beneficio (cuanto más pueda robar, mejor) y minimizar el riesgo al que se enfrenta. Pero este riesgo tiene dos factores (ver diapositiva 47):

Anonimidad de terceros: ¿Cuán anónimo soy? Aunque este aspecto es sólo un pedazo de la componente, porque cuando mido consciente o inconscientemente mi riesgo al perpetrar alguna fechoría, estoy sopesando cuáles son las consecuencias. Eso es una constante y no depende del área de gestión de riesgos, sino que lo es a nivel país (las leyes dicen qué puedo hacer y qué no). Dentro de ese contexto lo que cambia es si saben quién fue o no (si no se sabe quién roba o rompe algo, el riesgo es reducido). Entonces lo que medimos en las redes es la parte de la anonimidad, que es algo que se puede medir porque hay una propiedad en las ciencias sociales que se llama desindividualización, según la cual percibimos menor riesgo si nos movemos más como parte de un grupo.

Accesibilidad para terceros: Por otro lado está el coste, que en el caso de las redes es ¿cuán accesible es algo?, es decir, cuánto me cuesta llegar al objetivo. Si tengo que aprender a hackear para entrar a una base de datos donde se guarda información valiosa, entonces me llevará más tiempo y más esfuerzo, y no será lo mismo que si tengo el usuario y la contraseña.

MITIGACIóN DE RIESGOS DIGITALES

Estos tres componentes, el valor, la anonimidad y la accesibilidad realmente provienen de la Teoría de Juegos, los hemos implementado dentro de Teoría de Redes Complejas del siguiente modo.

Si regresamos a la idea de gestionar el riesgo (ver diapositiva 48), la accesibilidad la entendemos muy bien. Para reducirla, es decir, para dificultar el acceso a la información, podemos autorizar o no a las personas a acceder, filtrar diferentes tipos de paquetes/protocolos, cifrar... Pero también podemos reducir el valor si disociamos la información y, por ejemplo, tenemos medio número de tarjeta, o numeramos a un usuario en vez de nombrarlo. De la misma manera, la anonimidad tiene que ver con la autenticación. Recuerdo que en Brasil tenían problemas de robo de identidad hasta que empezaron a utilizar lectores de huella dactilar.

De alguna forma, estos tres grupos de controles atacan diferentes áreas en las que podemos reducir el riesgo empresarial a base de aumentar el riesgo al atacante o reducir su beneficio.

REDES COMPLEjAS Y RIESGO INTENCIONAL (ESTÁTICO Y DINÁMICO)

Regino Criado

Durante este año hemos estado elaborando los elementos básicos para la construcción de un grafo que represente una red real, donde se puedan localizar, de manera sencilla, los puntos más débiles y vulnerables de la red, ya sea por su accesibilidad, por el valor que contienen o



por la anonimidad con la que puede entrar un atacante. En cualquier caso, el riesgo de un ataque intencional depende básicamente de esas tres variables muy concretas que hay que cuantificar: el valor, la accesibilidad y la anonimidad (todos ellos desde el punto de vista del atacante, del mismo modo que en los casos de teoría de juegos)

Identificamos en este entorno dos tipos de riesgo: riesgo estático, en el que se utilizan las rutas autorizadas para acceder al valor y que deriva del exceso de confianza que se le otorga a alguien que tiene acceso a ciertos datos privilegiados o a ciertos valores; y el riesgo dinámico que es el que tiene que ver con la utilización de rutas no autorizadas.

Víctor Chapela

El segundo problema que surgió, por tanto, fue cómo podíamos gestionar el riesgo diferente. Aquí aprendimos mucho en el momento en el que Santiago Moral trajo a la mesa la Teoría de Juegos como una forma de entender los riesgos de una organización. Y lo que hemos hecho es avanzar en otra línea diferente de lo que originalmente había modelado, por ejemplo el modelo Casandra, hacia tratar de implementar alguno de esos mismos elementos con pequeñas variaciones en modelos matemáticos que nos permitiesen entender los riesgos en una red de datos.

PROBLEMA 3: “EL REDUCCIONISMO Y EL DETERMINISMO NO APLICAN EN EL RIESGO DIGITAL”

En cuanto al tercer problema, radica en que tendemos a tratar de reducirlo a algo determinista,

de una forma que podamos gestionarlo con las herramientas existentes cuando, por el contrario, estamos frente a un problema complejo. La diferencia entre un problema que se pueda reducir a la representación de una regla o una serie de reglas deterministas y la complejidad, es que ésta normalmente no se presta a ser reducida. En este punto hay un dicho que me gusta mucho. George E.P. Box dice que “en su esencia, todos los modelos están mal, pero algunos son útiles”. Yo creo que aquellos que son útiles son los que representan mejor lo que estamos viendo dentro de la realidad con la que tenemos que interactuar. Estamos entrando en una era de problemas complejos en los que se aplican Matemáticas, la mayoría de los problemas sencillos ya tienen un modelo y sabemos cómo gestionarlo. Ahí se encuentra la complejidad, en la economía, en la seguridad informática, éstas se están analizando como problemas complejos desde el punto de vista matemático, donde hay relaciones no lineales entre las variables y éstas son múltiples.

Vivimos en un mundo equipado con hardware que presenta sus límites y sistemas complejos (el clima, etc.) complicados de comprender y modelar con equipos convencionales. Al principio, el ser humano tendía a tratar fenómenos que tenían que ver con leyes físicas muy deterministas, muy fáciles incluso de calcular (la arquitectura de hace 3.000 años y la de hoy parten de los mismos principios –diferentes materiales pero los mismos principios). Cuando el mundo digital vino a cambiar esto, por primera vez el ser humano se encontró ante un nuevo mundo de alta complejidad por las relaciones entre sus miles de millones de elementos. El



número de interrelaciones es muy grande y esa globalización tecnológica generó que todo se volviera complejo (incluso la economía o la ciencia del cómputo se han convertido en ciencias complejas) y eso es muy interesante. Yo crecí con la ilusión de que el cómputo era algo predecible, que era algo controlable, y era controlable porque yo vivía en mi pequeño mundo (mi computadora). Pero en ese mundo hemos perdido el control, cuando lo conectamos con el resto del universo pasamos de tener computadoras deterministas –donde se podía localizar fácilmente el foco de un fallo cuando éste ocurría– y lineales –donde no había procesos que corrían en paralelo– a un mundo indeterminista, con más variables, tanto que hoy día realmente no sabemos qué pasa en nuestra máquina (por ejemplo, falla el Power Point y desconocemos el motivo).

Una de las formas en la que gestionamos este nuevo tipo de incertidumbre es reiniciando la máquina tratando de regresar a condiciones iniciales conocidas. Si esto falla, se reinstala todo. En la reinstalación o en el reinicio, como en la teoría del caos, uno puede predecir a veces las primeras oscilaciones, y eso es lo que nos pasa, encendemos nuestra máquina, y la intentamos devolver a un estado conocido. Ésta es mi demostración bastante vulgar de que las máquinas son caóticas en sí mismas. Si a eso le sumamos que están todas interconectadas y consideramos los diferentes niveles (incluso a nivel Socket)… Básicamente, conforme crece de forma lineal el número de máquinas digitales que se conectan, el número de aplicaciones y de rutas o conexiones –las formas en que me pueden hackear– se incrementan de forma exponencial.

Ese reduccionismo en el que habíamos vivido hasta hoy ya no funciona. Es más, nunca ha funcionado muy bien, al menos en los ámbitos de computación. Lo que tratábamos de hacer era analizar. Clasificábamos a los dinosaurios, no de la forma sofisticada que hoy se clasifican los genes, sino como consideraba el clasificador. Éste era un intento de analizar, de desmenuzar. Por ejemplo, si cogemos un Volvo hecho de Lego y les doy las 201.000 piezas que componen el coche, no van a poder reconstruirlo. Por lo tanto no importa si yo entiendo perfectamente cada pieza, sino que lo que tengo que saber es cómo se relaciona con lo demás. Estas relaciones se podrían representar perfectamente a través de un grafo o una red compleja. Si eso además se mueve en el tiempo y en el sentido de que las relaciones no son lineales como en el Lego, quiere decir que uno puede ser el exponencial del otro, con lo que la síntesis de esos diferentes pedazos se vuelve mucho más compleja.

Hoy esos pedazos ya están desmenuzados, ya tenemos los datos en los bancos, en la nube. Ahora lo que tenemos que hacer es re-sintetizar esos elementos en nuevo conocimiento. Y es justamente ahí donde el mundo digital nos pone a prueba porque al ser exponencial nos da un nuevo orden de cosas, en donde la escala libre, que empieza con los fractales justamente, cualquier fragmento de red es igual que cualquier otro fragmento a otra escala de la red. Yo creo que en ámbitos como las redes digitales o las redes económicas la escala es libre, igual que en los fractales. Por eso llamamos originalmente la charla de hoy “escala libre de riesgos”, porque al final creemos que justamente los estudios en los que estamos trabajando van a aplicar a lo



que ocurre dentro de un ordenador, o en una red doméstica hasta lo que ocurre en una red como Internet. Nos va a permitir medir de forma relativa y de forma absoluta las diferencias de riesgo entre todas las redes.

¿Cuál es la diferencia principal? Que la probabilidad (línea roja – diapositiva 87) de que algo se desvíe cuatro desviaciones estándar es mucho mayor que la otra que es prácticamente infinitesimal. La forma de medir el riesgo digital está basada también es una distribución normal, base de las teorías matemáticas que se usan hoy para economía, sector salud, etc. y está tratando de normalizar algo que es exponencial. Ahí está realmente nuestro problema. Conforme crece exponencialmente el número de nodos, crece el valor y la complejidad. Las estadísticas tradicionales no son suficientes y no es posible predecir el riesgo.

En los modelos que planteamos, estamos asumiendo que tanto la anonimidad que ha crecido en Internet, como la acumulación de valor o la complejidad existente en un mayor número de puntos de acceso a esa información, hace que el riesgo crezca de forma exponencial, y con estos nuevos riesgos necesitamos nuevas herramientas.

REDUCCIONISMO (SISTEMAS LINEALES Y NO LINEALES)

Regino Criado

¿Cómo respondemos a la complejidad? Trabajando con redes complejas, realizando un análisis estricto de los distintos componentes que

configuran la red y sus interacciones, conexiones, etc.

Los niños pequeños están acostumbrados a que el mundo sea lineal, el todo es la suma de las partes. Ese pensamiento que se conoce como reduccionismo, opuesto a una visión holista, era el imperante en la ciencia alrededor de los años 70-80. La idea es que uno puede analizar un sistema descomponiéndolo en sus partes, analizando cada una por separado y luego, al juntarlas, tener una visión más o menos acertada del comportamiento del sistema globalmente. Eso es cierto cuando el sistema es lineal.

En este sentido hay ciertos fenómenos como el cristal de sal o el cúmulo de estrellas que permiten un análisis ciertamente simplificado desde el punto de vista matemático: en el cristal de sal, por ejemplo, cada componente interacciona únicamente con sus vecinos de manera que configura una malla, y se puede hacer ese análisis porque todas las partículas se comportan igual.

Hay otros modelos, los no lineales, en los que el análisis de cada elemento que configura el sistema no nos sirve de mucho. Puedo entender muy bien cómo una neurona realiza su sinapsis y cómo está conectada con otras, pero de ahí a entender cuáles son los mecanismos que nos permiten hablar o comprender cómo funciona la memoria, hay un salto muy grande que tiene que ver con comportamientos emergentes de la estructura de red. De hecho, otro ejemplo es la diferencia entre los genomas. En realidad, si uno compara los genomas de distintos organismos, entendiendo genoma como conjunto



de genes, entre el hombre y el primate hay un 99% de coincidencia; en el genoma sí (en el número o conjunto de genes), pero no en las conexiones que permiten a unos genes inhibir el comportamiento de otros a la hora de configurar la red. Es en la complejidad de esa red donde se halla la gran diferencia.

En Internet, con 800 millones de nodos interaccionando entre sí, hay un comportamiento no lineal, y por eso es tan importante el análisis de redes complejas.

REDES COMPLEjAS Y TEORÍA DE GRAFOS

Antes hay que referirse a en qué se diferencia una red compleja de un grafo, entendiendo un grafo como un conjunto de elementos que representamos mediante nodos (puntos) y aristas (vértices o enlaces) que representan las interacciones entre dichos nodos.

La Teoría de Grafos nace de la mano de Leonhard Euler cuando trató de resolver matemáticamente si era posible recorrer los siete puentes de la ciudad de Königsberg (Kaliningrado) y volver al lugar de partida sin pasar dos veces por el mismo. Euler sigue siendo hoy en día reconocido como uno de los matemáticos más importantes de todos los tiempos, de hecho, es el que mayor número de páginas originales de matemáticas publicó a lo largo de su vida. Únicamente se le acercó Paul Erdös; falleció en 1996 y escribió 1475 papers originales con 493 autores. En 1960 Paul Erdös y Alfred Rényi propusieron una teoría para explicar la evolución de los grafos.

Cuando hablamos de redes complejas, lo esencial es la revolución científica que se está originando en torno a este concepto. Porque una cantidad creciente de redes tecnológicas y de redes naturales siendo tan diferentes, presentan una gran similitud en la estructura y ésta está ligada a la función. Estas redes se caracterizan por presentar unos pocos nodos muy conectados y otros muchos poco conectados. Si en lugar de verlo en el plano logarítmico, lo hacemos en el plano normal de las variables, la gráfica se parecería mucho a una rama de hipérbola del primer cuadrante.

Además, este tipo de redes, tanto naturales como tecnológicas, presentan una estructura muy similar que está caracterizada por lo que se denominan “estructuras pequeño mundo” (small world), las cuales tienen un comportamiento similar frente a pequeñas perturbaciones. Estas redes se caracterizan porque están formadas por pequeños núcleos (mundos) muy conectados entre sí y poco conectados con el resto (pequeñas comunidades) y por la distancia relativamente pequeña entre éstos (pensar en el 6 grados de separación en la red de contactos universal). Es decir, el número de saltos que tenemos que dar para llegar de un nodo a otro es muy pequeño.

No obstante, la diferencia fundamental entre las redes complejas y la teoría de grafos viene dada por el tamaño de la red, ya que éste implica que las herramientas de computación que hay que emplear, dada la cantidad ingente de datos, requieren realizar una optimización del tipo de algoritmos utilizados a la hora de calcular los distintos parámetros (diapositiva 106).



El interés en el empleo de redes complejas abarca ámbitos tales como las redes tecnológicas, las redes biológicas, económicas y sociales. Todas ellas responden a esta misma estructura (diapositiva 108-109).

Desde el punto de vista matemático, un grafo se puede representar mediante una matriz de unos y ceros (ver diapositiva 115). En la diapositiva 116 se pueden consultar las definiciones más importantes relativas a parámetros de una red compleja tales como el grado de un nodo, la longitud de un camino, la distancia geodésica o camino más corto entre nodos, entre otros.

Víctor Chapela

Lo que logramos al integrar la parte de redes complejas es resolver el problema de abordar precisamente la complejidad, es decir, los millones de interrelaciones que se dan entre los nodos. Debíamos también integrar elementos de la teoría de juegos y que necesitábamos hacer algo práctico.

PROBLEMA 4: “GESTIONAMOS EL RIESGO DIGITAL DE FORMA ARTESANAL Y SUBjETIVA”

Un humano no sería capaz de clasificar todo en el caso de, por ejemplo, la evaluación de impacto y probabilidad en base a los diferentes niveles de seguridad (confidencialidad, integridad y disponibilidad). Un buen ejemplo de ello nos remonta a los comienzos de Internet, cuando se dieron dos formas diferentes de clasificar los buscadores web: el estilo de Yahoo fue manual, con cientos o miles de personas clasificando los diferentes sitios web en base a palabras

clave especificadas por los usuarios, y el de Google, que estaba empleando matemáticas basadas en el uso de grafos, o más bien redes complejas, para entender cuál era el sitio al que más probablemente querría ir el internauta. Precisamente para definir cuáles eran los sitios más populares Google utilizaba todos los hipervínculos que hubiera hacia cada página, lo que demostraba la popularidad e influencia de cada sitio dentro de un grupo. Por supuesto resultaba mucho más preciso que clasificar manualmente.

Nosotros queríamos lograr ese mismo efecto pero a nivel de riesgo, para que nadie tuviera que clasificar control por control, máquina por máquina, software por software, etc. Para ello, dividimos el riesgo en dos tipos: estático y dinámico. El riesgo estático es cualquier persona que tiene acceso autorizado a la información, es decir, un empleado, un cliente, un administrador de sistemas o un proveedor que accede a través de una red ajena. La probabilidad de que se lleven dicha información va a tener que ver con la anonimidad y con el valor de la información. En cuanto al riesgo dinámico, se regresaba al problema original con el que había surgido todo esto ya que tiene que ver con cuál es la probabilidad de que alguien sin acceso autorizado pudiera hackear o robar una identidad para acceder a la información de valor, mediante la localización de las vulnerabilidades dentro de la red.

De cara a conocer el riesgo estático, empezábamos a ver que había mucha información en las bitácoras de los dispositivos de una organización. Claro que nos encontramos con el problema de que la información era muy parcial, las bitácoras de un



servidor se referían únicamente a dicho servidor, cuando realmente necesitaríamos todas ellas para correlacionar los datos, sería relativamente complicado consolidar todo este tipo de información. Así que optamos por el sniffing de la red, un proceso a través del cual un equipo ve los paquetes que están pasando en un segmento de dicha red. Esto nos permitía ver todas las rutas que estaban en uso –todas las permitidas–, y por ende, los controles que habían ya estaban implícitos en la red. Nada de lo que se estaba moviendo a través de esa red rompía esos controles.

Entonces encontramos que había dos tipos de nodos clasificables de forma automática: las IPs origen de las conexiones, y las aplicaciones destino donde llegaba la conexión (IP más el puerto).

Teniendo en cuenta estos dos tipos de accesos, teníamos que tanto para usuarios finales como para usuarios técnicos había una frecuencia de accesos, lo que nos proporcionaba dos pesos diferentes para cada arista (es decir, cuántas veces o con qué frecuencia accede un usuario normal y cuántas lo hace un usuario técnico, quien la mayoría de las veces tiene la opción de tomar todo el valor que hay en la aplicación o el sistema). Con estos dos tipos de usuario procedimos a la construcción del grafo.

Regino Criado

Como ha comentado Víctor, tenemos IPs e IPs-Puerto, dos tipos de nodos que vamos a representar en un grafo. Y lo haremos con un ejemplo que reúne todas las características

complejas a la hora de establecer los atributos de accesibilidad, anonimidad y valor que hay que otorgar tanto a nodos como a aristas. A partir del sniffing de red vemos que aparecen determinadas IPs conectadas a determinadas IP-Puerto. Si colocamos el sniffing durante un periodo de tiempo, vemos cuántas veces se ha accedido desde un sitio a otro. Si cada IP origen es un nodo y añadimos otro nodo por cada IP-Puerto destino (segunda columna diapositiva 129).

Víctor Chapela

Una forma de distinguir entre usuarios técnicos y no técnicos que consideramos se basó en el tipo de puerto al que se conecta. Por ejemplo, si es un puerto SSH asumimos que es un usuario técnico, si es un puerto HTTP, asumimos que es un usuario final.

Regino Criado

Nuestro objetivo es dotar a todos los elementos del grafo de anonimidad, accesibilidad y valor. El valor en principio se le otorga inicialmente a las bóvedas, a aquellos nodos donde reside la información valiosa. Con el software desarrollado buscamos que aparezcan destacados aquellos elementos donde hay mayor riesgo.

RIESGO ESTÁTICO: ANONIMIDAD

En cuanto a la anonimidad, se basa en el concepto de desindividualización que comentaba antes Víctor, se considera que un individuo se siente más anónimo cuanto está más rodeado de personas. Esto lo hemos modelado mediante un tipo de



colapso que se define en la diapositiva 135. Se asigna un valor de anonimidad a los nodos que se colapsan, los nodos que se conectan a los mismos elementos. Por ejemplo, en la diapositiva 136, los nodos IP1 y IP2 acceden a la IP5:p1, por tanto, se colapsarán y se les asigna un valor de anonimidad igual a 2. Además, el nodo IP1 no tiene por qué formar parte de un único colapso (no es una relación de equivalencia), como se puede ver en la diapositiva. Por ejemplo, el nodo IP1 también se conecta a la IP6:p3 al igual que los nodos IP2, IP3 e IP13.

Víctor Chapela

Hay un aspecto relevante que no se ve en el modelo de la diapositiva. Lo que estamos tratando de medir aquí son las escalas, consideremos un ERP –un sistema de administración de recursos de una empresa– si hay mil personas que se conectan a ese mismo sistema, son mucho más anónimos que si de esos mil hay diez que se conectan al sistema de tesorería. En la realidad, cuando existe una gran cantidad de personas accediendo a la misma aplicación, se perciben a ellos mismos como más anónimos.

Regino Criado

Las frecuencias de los nodos colapsados se suman, ver diapositiva 137.

RIESGO ESTÁTICO: ASIGNACIóN DE VALOR

Una vez que distribuimos las anonimidades mediante el grafo colapsado buscamos la manera de distribuir el valor en el caso del riesgo estático (ver diapositiva 142). Para

hacerlo, entendemos que si el valor de la información reside en un nodo y hay varios accesos, cada uno de ellos tiene acceso únicamente a esa parte del valor, con lo que el valor hay que dividirlo por la inversa de la anonimidad. Ya el año pasado expusimos que, partiendo de la bóveda, originalmente estábamos empleando la exponencial de la matriz para distribuir el valor. Sin embargo, detectamos que en un ejemplo concreto había una cierta redundancia que había que eliminar. De todos modos, hay una forma de distribuir el valor, el algoritmo lo hemos denominado “max-path” (ver diapositivas 139-153).

RIESGO ESTÁTICO: ASIGNACIóN DE ACCESIBILIDAD

Para el parámetro de la accesibilidad hay que asociar un valor a las aristas y nodos. Para ello empleamos el paradigma del paseante aleatorio, el PageRank algoritmo que utiliza Google en el cálculo de la centralidad de los nodos más importantes. ¿Qué queremos decir con paseante aleatorio? Que si soltamos a un paseante que se va moviendo por la red, hay ciertos nodos por los que pasa muchas más veces y que serán los más importantes. En ese sentido consideramos un damping factor (factor de amortiguamiento) para el grafo de usuario de 0,15, y para el grafo de administradores de 0,25 (es decir, esto corresponde a, en un caso, 6 conexiones antes de dar un salto aleatorio y en el segundo caso a 4 conexiones).

Finalmente, tenemos en todo el grado distribuido un valor para cada nodo de origen, una



anonimidad para cada arista y una accesibilidad de cada arista.

RIESGO DINÁMICO: MODELIZACIóN

Víctor Chapela

De cara a evaluar el riesgo dinámico, además de tener en cuenta el sniffing, también tomamos un escaneo de vulnerabilidades que nos va a dar nuevas rutas potenciales para que un atacante sofisticado pueda acceder a una máquina con una vulnerabilidad determinada. Así, cada vulnerabilidad se vuelve un acceso nuevo, a lo que hay que sumar otro tipo de accesos que logra obtener un hacker: los accesos por afinidad. Si yo entro en un equipo HP-UX que tiene una serie de configuraciones y una serie de usuarios como administrador de ese equipo, la probabilidad de que pueda acceder a otros HP-UX con la misma configuración es muy alta (por ejemplo, lo más probable es que todos estos HP-UX están gestionados por el mismo grupo de personas o tengan el mismo tipo de fallos o problemas de configuración, etc.). Es decir, si yo tengo acceso a un equipo con unas características, tendré mayores facilidades para acceder a otros equipos similares.

El escaneo de vulnerabilidades nos da esa información que necesitamos, nos dice qué versiones hay, qué puertos están abiertos –estén en uso o no.

RIESGO DINÁMICO: ASIGNACIóN DE VALOR

Y en la asignación de valor usamos el mismo método que teníamos en el riesgo estático. En

ese caso, el problema que teníamos con el riesgo dinámico era que todos los accesos de un hacker son administrativos y potenciales, no son reales; entonces si yo conectaba todo con todo y luego usábamos los algoritmos para mover el valor a través de la red. En otras palabras, si yo tengo una base de datos y luego tengo un servidor web, y ese servidor web accede como administrador a la base de datos, una persona que tenga acceso al servidor web podría potencialmente acceder a los datos a través de la interfaz si este está accediendo y haciendo un query (una consulta) cada vez. Entonces, el valor que está en mi base de datos, en nuestro modelo se mueve al servidor web, o se mueve al equipo del administrador. Así sabemos a cuánto valor puede acceder el administrador porque calculamos cuánto de ese valor llega a su máquina.

Entonces con esa misma idea, si conectamos todo con todo vía vulnerabilidades y vía afinidades, de pronto teníamos que todo el valor de toda la red era igual, entonces ya no nos importaba el valor y regresamos al valor que habíamos calculado original y asumimos que el atacante iba a querer llegar por la ruta más corta a ese valor. Ahora vamos a ver eso.

RIESGO DINÁMICO: ANONIMIDAD

En el riesgo dinámico no recalculamos el valor pero la anonimidad sí cambió. La anonimidad es importante para el atacante. Y es importante solo en la medida de su primera conexión, porque una vez que se conecta a algún lugar normalmente puede tomar un usuario/contraseña, puede reconectarse con ese nuevo usuario y contraseña o puede usar alguna de las conexiones ya



existentes dentro de esa máquina. Entonces, el punto de que uno sea anónimo de entrada es el único momento en que el atacante va a tener mayor o menor riesgo.

Así, consideramos tres grupos o colectivos de anonimidad:

1. Si vengo desde Internet, tengo un riesgo bajísimo para el atacante porque es muy difícil ser identificado. Por ejemplo, con las bitácoras nunca se va a saber quién usó esa IP a las ocho de la noche en un Starbucks en Moscú. Entonces en estos casos la anonimidad es muy alta. Con el problema incremental de que puede venir de cualquier país, lo cual hace que no tenga consecuencias si, por ejemplo, no hay un tratado de extradición aunque supiéramos quién fue no hay forma de que tenga una consecuencia en lo personal.

2. Luego tenemos la Wi-Fi interna y accesos de proveedores o terceros. Éstos tienen un riesgo intermedio porque si yo estoy en una red inalámbrica entrando a la red interna (si es una red inalámbrica que sale hacia Internet se mide como si fuera Internet), tengo una anonimidad todavía alta porque podría estar yo fuera de las instalaciones conectándome a la red interna, y si estoy en un proveedor podría no tener un contrato directo con el afectado final.

3. Y, finalmente, en la red interna asumimos que, si hay relación contractual, está identificado con su usuario/contraseña y que la máquina sabemos a quién pertenece y que por ende está bastante más reducida la anonimidad del atacante.

RIESGO DINÁMICO: ACCESIBILIDAD

Regino Criado

La accesibilidad es importante porque va a marcar la diferencia entre el riesgo estático y el dinámico.

Por tanto, lo que vamos a hacer para calcular la accesibilidad en el ámbito del riesgo dinámico es primeramente construir el nuevo grafo en el que aparecen las rutas autorizadas, los nodos ya establecidos y los nuevos nodos que son reconexiones por afinidad (si dos sistemas tienen el mismo sistema operativo, tienen el mismo administrador, etc.) se establece un nuevo enlace entre ellos, son redes evolutivas por decirlo de alguna manera.

Lo que nosotros necesitamos ver, siguiendo con el mismo ejemplo del paseante aleatorio (algoritmo PageRank que se emplea en Google), es, si se quiere entender mejor: yo estoy en un nodo y ese nodo tiene cinco conexiones, es decir, cinco posibles sitios a los que ir. Así, primero tiro un dado para saber si utilizo una de esas cinco conexiones o doy un salto aleatorio, y después tiro otro dado para ver por cuál de esos nodos me voy. ¿Cuál es mi problema? Que al dar el salto aleatorio puedo ir a cualquier sitio, de manera que lo que tenemos que hacer es un PageRank con un vector de personalización. En realidad se trata de una cadena de Markov, un proceso estocástico, en donde cuando nosotros estamos en el nodo i la probabilidad de saltar del nodo i al nodo j viene dada por la expresión p

ij que figura en la

diapositiva 169 donde f(i,j) tiene en principio dos



valores, el α si se trata de una conexión existente en el riesgo estático, β si es una conexión potencial, donde 0 < β < α y donde β debe ser proporcional a la entropía del sistema.

Víctor Chapela

Al final de cuentas, como ya no solo bastaba saber por qué ruta me podía ir, porque ahora había rutas potenciales que nunca se habían usado, estamos dándole preferencia a las rutas que ya han sido usadas por personas autorizadas y eso nos dice que si esa ruta existe, lo más probable es que si un atacante llega se va a ir por la ruta que ya existe. Y segundo, estamos dando preferencia a las rutas más cortas dentro de la red. Entonces el atacante quiere llegar al valor, el valor ya no se vuelve a calcular como dijimos, entonces el atacante va a querer irse por las rutas existentes y por las rutas más cortas. Ahora, si no hay una ruta corta o si no es existente, podría querer saltar directamente al servidor si hay una vulnerabilidad y quizá lo pueda lograr, no tiene que ir a dar la vuelta. Entonces esa probabilidad va a seguir siendo expresada en el paseante aleatorio pero con menos probabilidad que irse por las rutas más conocidas.

Regino Criado

Y tal cual dice Víctor, el otro apartado importante es tener en cuenta de cara al posible salto el conocimiento que pueda tener de la estructura de la red el hacker, que se mediría por la distancia del nodo al conjunto de bóvedas; lo lógico es que vaya por aquel camino que le acerque más al valor que quiere conseguir.

Víctor Chapela

Entonces, lo que es valiosísimo de todo esto que nos ha comentado Regino es que se lograron unas fórmulas matemáticas que luego llegaron a una aplicación. Esto nos ayuda a, que con información estándar, darnos una vista del riesgo de nuestra red, salvo el valor que vimos que se metía a la aplicación y potencialmente regresaba un resultado. Ese valor es lo único que se le mete, todo lo demás, tanto el riesgo estático como el riesgo dinámico, se calculan encima.

Entonces, esto de que usemos propiedades intrínsecas de la red para calcular anonimidad y accesibilidad y la dispersión del valor dentro de la red, nos permite que esto escale muchísimo, porque nada más que tenemos que decir dónde están los repositorios de valor y podemos escalarlo. Y va a haber otra parte que vemos como reto para el año que viene, que ahora les comento, que tiene que ver con modelar los controles adicionales que haya dentro de la red.

PROBLEMA 5: “EL RIESGO DIGITAL EN GENERAL LO GESTIONAMOS INGENIEROS”

La seguridad o la gestión de riesgos la llevamos ingenieros. Yo creo que los ingenieros tenemos muchas virtudes y también algunos defectos. Por ejemplo, si consideramos un vaso con agua como el que se ve en la diapositiva 172, los optimistas dicen que es un vaso medio lleno, los pesimistas que es un vaso medio vacío y el ingeniero dice que se saca el doble de lo que necesitaría hacer el vaso, es decir, debería ser más pequeño, es un problema de que estaba



mal dimensionado el vaso. Desde el punto de vista del ingeniero se ven las soluciones y no necesariamente se ve la parte relativa a si el vaso debería estar lleno o no, ya que para ellos no importa, está sobredimensionado.

Afortunadamente, el que haya ingenieros involucrados nos permite armar un buen software. Creo que el valor más importante de este proyecto es que justamente no hemos sido gente tecnóloga tratando de hacerlo aislados. Se ha traído por un lado la experiencia del banco mismo y por otro lado gente valiosísima como Regino, Miguel e incluso Ángel, que también ha estado involucrado casi desde el inicio y que lo que han hecho es incrementar y potenciar las cosas que quizá de forma aislada no habríamos podido hacer.

Regino Criado

Esto nace de la colaboración de cuatro entidades: Smart, Universidad Rey Juan Carlos, el Centro de Investigación para la Gestión Tecnológica del Riesgo y BBVA. Nuestra intención es extender estos esfuerzos a otros ámbitos y poner énfasis en la multidisciplinariedad a la hora de resolver este tipo de problemas involucrando áreas tales como la matemática discreta, la ciencia de la computación, la probabilidad, la mecánica estadística, las ecuaciones diferenciales no lineales. El grupo de trabajo que tenemos está formado por físicos teóricos, informáticos, biólogos, sociólogos y, por supuesto, matemáticos. Y en todo caso lo que sí que queda establecido es que esto conduce a un cambio de paradigma en la forma de concebir el riesgo.



oy en día casi tenemos un teléfono inteligente –o un dispositivo que puede conectarse a Internet– para cada persona en el planeta, más o

menos 7.000 millones. Pero eso no es todo; cuando alguien compra un coche nuevo, éste incluye unos 30 ordenadores. Por lo tanto, la cantidad de potencia computacional que se aplica constantemente, incluso incorporada en objetos que ninguno de nosotros consideraría ordenadores, es inmensa y sigue creciendo.

No hay más que fijarse en cuánto han cambiado las cosas. A Google+ le llevó 24 días llegar a 20 millones de usuarios, mientras que a Facebook,

que tiene una población aproximada de unos 1.000 millones, le llevó dos años llegar a los primeros 20 millones. El ritmo al que todo cambia, el ritmo de adopción de la tecnología, cada vez es mayor. El año pasado un alemán realizó la descarga número 25.000 millones desde iTunes, con lo que promediamos cuatro descargas por cada habitante del planeta.

Pero no solo hablamos de ritmo de cambio, sino de innovación. De ahí que predecir sea tan difícil y a la vez tan divertido. Pero ¿lo hacemos bien? ¿Para qué? Pues por una razón concreta: las organizaciones, ustedes mismos, están mirando hacia el futuro para saber cómo será el mundo

Adrian DavisPrincipal Research Analyst. Information Security Forum (ISF)


THREAT HORIZON 2015: MÁS PELIGRO POR AMENAZAS CONOCIDAS



en un par de años, cómo serán las tecnologías y cuáles son los problemas que pueden surgir.

No cabe duda de que la tecnología sólo es una pequeña parte de la foto de nuestras empresas. La más importante es el dinero. Si la empresa no tiene dinero, no puede hacer nada; tan simple como eso. Asimismo, la información es el sistema nervioso del negocio, ya que si no sabes lo que pasa, no es posible reaccionar ni hacer planes. En este sentido, todos los negocios tienen una reputación que proteger.

Veamos algunos ejemplos de equivocaciones al gestionar esa reputación. Hace unos 15 años en Bélgica se dieron casos de personas que enfermaron por beber Coca-Cola. La compañía lo ignoró pensando que el problema no era suyo. La pista de la contaminación llevó a una planta embotelladora, propiedad de una franquicia. Como no se manejó bien el problema, el consumo de Coca-Cola en Bélgica pasó del 50% al 10% de cuota de mercado. Todavía no se ha recuperado hasta el 25%.

Ésta es, por lo tanto, una de las razones por las que hacemos el horizonte de amenazas. ¿Qué afectará a mi reputación? ¿Qué puedo hacer hoy para proteger mi reputación mañana? Lo llamamos nuestra bola de cristal. Cada año por estas fechas mi equipo y yo tenemos la oportunidad de soñar, de preguntarnos: ¿a qué se va a parecer el mundo dentro de dos años? ¿Qué ocurrirá con la economía mundial?

Pensemos, por ejemplo, en el crecimiento de África. Si este continente sigue creciendo al

ritmo actual, habrá 500 millones de abonados de telefonía móvil más en el plazo de dos años. Si alguien puede escribir una aplicación que prediga el clima africano, tengo la sensación de que va a hacer una gran cantidad de dinero, porque lo único que tiene que hacer es venderla a 1 céntimo… y 500 millones multiplicados por un céntimo aún supone un montón de dinero.

Intentamos pensar en las cosas que impactarán en el negocio, en la seguridad de la información, en los riesgos para la información. Para ello utilizamos el modelo PLEST, que quiere decir político, legal y regulatorio, económico, socio-cultural y técnico, con el que muchos profesionales estarán familiarizados. Como he dicho antes, nos hacemos múltiples preguntas: ¿Qué consecuencias tendrá la primavera árabe? ¿Cuáles son los impactos socio-culturales de la disminución de las tasas de natalidad en China, en los países occidentales o en Rusia? ¿Cuáles son los tipos de tecnologías que más avanzarán en los próximos años?

Para responder a estas preguntas hablamos con un montón de gente: expertos de las organizaciones del ISF, académicos… El equipo de diez personas que nos ocupamos de esto nos reunimos y lanzamos ideas por todas partes. Luego las sacamos, les preguntamos su opinión a nuestros miembros y a expertos en el mundo real. Tenemos a unas 600 o 700 personas ayudándonos. Normalmente recibimos entre 2.000 y 3.000 ideas al año sobre cómo cambiaría el mundo y lo condensamos en las 20 o 30 páginas que ocupan las diez grandes ideas que componen el Horizonte de Amenazas. Así que no soy sólo yo, es un gran esfuerzo global y



multidisciplinario el que se realiza para elaborar este informe. Y eso es de lo que vamos a hablar.

Empecemos con nuestras predicciones para 2013, eso es este año, así que veamos cómo han ido. Una de los temas en los que nos centramos fue en la gran cantidad de nuevas regulaciones que iban a aparecer. Así, por ejemplo, una de las principales preocupaciones ahora mismo son la Directiva Europea de Protección de Datos, las directivas sobre el ciberespacio y la ciberseguridad; y por supuesto la Dodd-Frank americana y otras muchas más que están por venir.

Previmos que los gobiernos iban a involucrarse en todo. Los Estados iban a empezar a atacar a entidades no estatales, iban a empezar a hackear a otros Estados. Aunque esto es bastante obvio, porque lo han hecho durante miles años. Hablamos de aspectos como las leyes para la notificación de fugas de información y la idea de los derechos humanos digitales, como el derecho al olvido o el derecho a la intimidad, que comenzamos a ver en la legislación.

También dijimos que IPv6 podía ser un problema, aunque en realidad todavía no lo es, sino que una de las grandes cosas que van a suceder. Y hablamos sobre el crecimiento de África. Éstas son algunas de las grandes tendencias que pensamos que iban a llegar. ¿Acertamos? Probablemente en el 60% o 70%, diría yo. Algunas no han madurado tan rápido como nosotros pensamos y otras se han disparado partiendo de la nada.

En cuanto a la seguridad de la información, uno de los problemas que nos preocupaba era la fuga

de datos. Alguien publica algo en Internet y la información que mi compañía desearía mantener en secreto se distribuye por todo el mundo. De hecho, diría que el ejemplo más famoso de fuga de datos lo ha protagonizado un caballero llamado Edward Snowden, sin país ni domicilio fijo.

Hablamos también de nuevas oportunidades para el cibercrimen. Si los delincuentes se convirtieran en hombres de negocios, nos quedaríamos sin trabajo, porque la delincuencia organizada es increíblemente buena fabulando nuevas ideas para ganar dinero. El problema es que no tienen que preocuparse por un marco legal para hacerlo, y eso les permite avanzar mucho más rápido de lo que nosotros podemos.

Entonces se nos ocurrió hacer lo que llamamos el Radar de Amenazas. Tuvimos en cuenta qué es lo que puedo gestionar, aquello que conozco y sobre lo que puedo hacer cosas: implementar controles de seguridad de la información, enseñar a las personas a que no hagan cosas estúpidas. Pero también hay aspectos sobre los que no puedo hacer nada, como es el caso del espionaje de los gobiernos. Sabes que lo hacen y puede que no tengamos los recursos o las habilidades necesarias para detenerlos.

También hay cosas sobre las que ni sabes ni puedes hacer nada, por ejemplo cuando compras un ordenador que ya lleva incorporado hardware y software para espiarte. Y por supuesto están las cosas que no sabes que van a venir y que te golpean inesperadamente. Les llamamos Cisnes Negros, por el libro de Nicholas Taleb. He aquí un

Centro de Investigación para la Gestión Tecnológica del Riesgo CIGTR�0


ejemplo: BYOD, trae tu propio dispositivo, trae tu propio problema al trabajo.

El siguiente ejemplo es sobre la pérdida de confianza. Hay una famosa broma en Estados Unidos que dice: “En Internet nadie sabe si eres un perro”. Y una de las cosas que dijimos que pasaría en 2013 fue la incapacidad de demostrar quién eres. Por ejemplo, ustedes me conocen como Adrian porque me han presentado como Adrian, pero en realidad podría ser Paul o Susan. Pero confían en los organizadores del curso. En Internet, cuando no hay alguna presencia física, ¿cómo conseguir esa confianza y mantenerla? Todavía supone un gran problema. ¿En quién confías?

También hablamos sobre el hecho de que las plantillas de las empresas estaban cambiando, la gente no se queda en el mismo trabajo durante 20 o 25 años. Y hablamos de la pérdida del conocimiento. Había un tiempo en que la mayoría de la gente que trabajaba en TI podía escribir código, incluso algo tan simple como ficheros batch de Microsoft. Ahora diría que la mayoría no tienen ni idea de cómo funciona realmente el código fuente, un fichero batch o incluso los equipos que están usando.

Por supuesto hablamos de otras cosas tales como la actividad cibernética patrocinada por los Estados o las redes sociales –la mayoría de nosotros estamos conectados a través de alguna forma de red social– y lo difícil que es llevarlas al lugar de trabajo. Todavía estamos viendo problemas sobre cómo las organizaciones pueden utilizarlas como una plataforma de marketing y

cómo pueden integrar el uso personal con el uso para el negocio.

Una de las cosas sobre las que pensamos fue en los servicios de localización embebidos: la idea es que tu teléfono móvil dice a todo el mundo dónde estás, de modo que ven que si vas hacia una tienda obtendrás un descuento para un café o para una prenda de ropa que quieres comprar, a lo que se suma que todos saben que no estás en casa, de modo que los criminales pueden ir a tu casa, entrar y robar.

También existe un problema de privacidad y su regulación por parte de los gobiernos. Por ejemplo, las gafas de Google están siendo tratadas en estos momentos y la compañía ya se ha reunido con Canadá, Estados Unidos y la Unión Europea.

Cabe señalar también que pensamos que íbamos a ver un montón de cosas alrededor de RFID, las etiquetas de identificación por radiofrecuencia. Esto no ha sucedido, quizás porque no hay grandes cantidades de dinero que los criminales puedan obtener por esta vía.

Finalmente hablamos de los grandes “cisnes negros”, señalamos la posibilidad de llamaradas solares noqueando a los satélites de comunicaciones, cosa que no ha sucedido. Sin embargo no vimos el terremoto de Japón y el tsunami, que de hecho tuvo, probablemente, más impacto que una llamarada solar deteniendo los satélites. Por poner un ejemplo, el tsunami provocó que a un gran fabricante de productos electrónicos con sede en Holanda


Centro de Investigación para la Gestión Tecnológica del Riesgo CIGTR �1

se le detuviera la cadena de suministro porque eran dependientes de proveedores en Japón, provocando la parada abrupta de la producción. Así que ésa es una de las cosas importantes de los “cisnes negros”: puede que no seas vulnerable, pero tus proveedores o alguien de quien dependes si podría ser absolutamente crítico, y puede que no lo sepas.

SIMPLIFICAR

De cara a 2014, pensamos en simplificar, porque opinábamos que el mundo realmente se está haciendo más complicado. Parece que hay muchos vínculos entre la política y la tecnología; y, a medida que la tecnología va llegando cada vez a más población y deja de ser un negocio conservador, la consumerización asume el control.

La primera de las cuestiones para 2014 es: ¿Cuáles son las amenazas externas para los negocios? ¿Cuáles son las cosas que si realmente ocurrieran podrían dañar el negocio? ¿Y cuáles son los actores detrás de ellas?

La primera es el cibercrimen, que es un gran negocio. Es muy fácil hacer dinero en el cibercrimen. Hay ciberdelincuentes muy buenos y una de las cosas más aterradoras es que cada herramienta que tenemos (cortafuegos, software antivirus…) la pueden comprar y la pueden desmantelar para ver sus puntos débiles. Son tan inteligentes como tú y como yo. Es una industria muy buena y está altamente especializada. Si quieres el mejor código para programas de ordenador contrata a alguien de Rusia o Europa

Oriental. Escriben un código fantástico. ¿Quieres a los mejores en el negocio de blanqueo de dinero? Ve a Sudamérica. ¿Quieres a los mejores expertos en reconocimiento, gente que sea capaz de sondear las redes informáticas? Estados Unidos y Gran Bretaña no lo hacen mal. Cada país o cada entorno criminal tienen su propia especialidad. Y están mejorando.

El siguiente, por supuesto, es la actividad estatal en Internet. Stuxnet no fue el primero, ni Flame tampoco. Y no serán las últimas herramientas diseñadas por los estados para atacar ordenadores. Hay un ranking, oficioso, por supuesto. Los chinos son los más prolíficos en hacking; los rusos son los mejores, y los iraníes están subiendo rápidamente. Estamos viendo mucha más actividad estatal, hackeando empresas y buscando información sobre transacciones. Hay muchas historias sobre transacciones donde una empresa hace una oferta y una hora más tarde otra empresa logra poner al lado una oferta más baja. Ningún negocio está a salvo, porque una vez más, esto es información y la información es poder; y si sabes lo que está pasando puedes hacer cosas. Un buen ejemplo es que cada vez más bufetes de abogados están siendo atacados, ya que es en ellos donde las empresas guardan sus trapos sucios.

Otro ejemplo interesante: un banco californiano fue víctima justo antes de Navidad de un ataque de DDoS (denegación de servicio distribuida); básicamente tiraron todos los sitios web y, mientras que el banco estaba luchando para resolverlo, entraron en sus sistemas y robaron casi un millón de dólares. Clásico desvío de atención, mira para allá y te robo el dinero.



Este otro ejemplo es sobre Sony. Tal vez recuerden que Sony fue hackeada hace un par de años, pero, sobre todo, lo que no sabemos es que en realidad Sony fue atacada dos veces. La primera vez, digamos que funcionó pero lo que pasó fue que Sony puso a la gente de legal con ello; hicieron todo correctamente, hicieron que las autoridades se involucraran y montaron un gran alboroto. El problema es que, por supuesto, atrajo la atención de gente como Anonymous, que luego empezaron a atacar a Sony. Y entre los muchos que estaban intentado entrar, alguien lo consiguió y obtuvo los datos personales de toda la red de PlayStation.

Un aspecto interesante es lo fácil que es tener un problema de imagen. Alguien ha tenido un percance con una empresa, lo recoge en Twitter y, de repente, la empresa tiene un problema de relaciones públicas encima. Decimos que hay que estar preparado para reaccionar a la velocidad de un tweet, 140 caracteres. ¿Cómo lidias con eso? ¿Cómo lo paras?

Otro ejemplo: cierta multinacional de petróleo y gas que sufrió un desastre en el Golfo de México. Desde el desastre, su sitio web es atacado cada día. Estos ataques también los han sufrido otras organizaciones asociadas, aunque no sean culpables. Ésa es la mentalidad de los hacktivistas. Aunque no hayas hecho nada malo, eres culpable por mera asociación, por lo tanto eres un objetivo.

Y por supuesto tenemos los sistemas SCADA (Sistemas de Supervisión, Control y Adquisición de Datos). La gente intenta hackear y campar a sus anchas en los sistemas de control industrial.

Y el mejor ejemplo fue Shamoon, un intento deliberado de aniquilar todos y cada uno de los ordenadores de RasGas y Aramco. Sin embargo, las personas que escribieron el código no eran tan inteligentes y sólo pudieron hacerlo funcionar en Windows XP. De este modo aniquilaron 30.000 máquinas pero no la totalidad. Por lo tanto, lo más recomendable es actualizar siempre. El problema es que en el mundo industrial no puedes simplemente encender y apagar cosas. Imaginen que apagan algunas de las bombas existentes en grandes plantas generadoras. Llevaría años arreglarlas.

El siguiente tema son las amenazas regulatorias. Todo el mundo quiere regular todo, les encanta escribir normas para después decir que no las has cumplido. Pero hay un problema cuando distintas normativas no casan entre sí. Las organizaciones, por lo tanto, están cada vez más frustradas. Hay una gran cantidad de requerimientos que simplemente parece que no encajan, así que tienen que repetir muchas cosas muchas veces. Eso es estúpido y les hace perder dinero.

Otro aspecto del que todo el mundo habla es la privacidad. Si te concentras en la privacidad te olvidas de la seguridad, sin embargo, la seguridad es fundamental para la privacidad. Las organizaciones que no tienen en cuenta este hecho y no dan la importancia adecuada a cada aspecto, se exponen a verdaderos problemas. He mencionado regulaciones y además hay otros elementos como PCI DSS. Todo está llegando. Pero lo interesante al leer estas leyes son los aspectos desagradables que hay escondidos en la letra pequeña.



En este sentido cabe recordar que la Autoridad Monetaria de Singapur impuso a los bancos que operan allí informar de cualquier incidente de seguridad tecnológica en un plazo de 30 minutos a partir de tenerlo… todos los días del año. De este modo obligaron a tener personal en domingo, en días de vacaciones, en días festivos… Porque aquellos que no avisen, recibirán una multa y serán auditados. Eso significa gastar más dinero. Y es que las regulaciones se están volviendo cada vez más intrusivas y más difíciles de cumplir.

Entrando de lleno en las amenazas internas, no hay más que fijarse en que, en Australia, aproximadamente la mitad de los ataques provienen de los propios empleados. Además, hay indicios de que en el Reino Unido los cibercriminales están metiendo a gente a través de la Universidad para conseguir puestos de trabajo en las empresas, de manera que tienen a alguien bien formado dentro, que puede actuar como un espía.

Todo lo que hacemos al respecto no es necesariamente muy caro pero aun así cuesta dinero. Y como todo se vuelve más sofisticado, tenemos más dispositivos, más conexiones, los precios suben, es muy difícil determinar cuál es el presupuesto adecuado que permita luchar contra el riesgo que realmente afectará a mi negocio. Vamos a empezar a ver que la gente no invierte lo suficiente, lo que significa que en los próximos cuatro o cinco años van a tener una tecnología y unas soluciones por debajo de lo que sería óptimo. Tampoco vemos que la gente se esté formando adecuadamente. ¿Cuándo fue la última vez que tuvieron un presupuesto de formación?

Yo no he tenido presupuesto de formación para mí desde hace unos siete años. Hay una verdadera falta de concienciación sobre la inversión en las personas y esto va a empezar a afectarnos negativamente en los próximos años.

Las personas compran tecnología y no la entienden. Todos ustedes saben que están usando la nube. Y todas sus organizaciones también. Eso sí, saben que algunos lo hacen, pero no que lo hace la mayoría. Ejemplos hay muchos: en primer lugar, un departamento de recursos humanos en una compañía farmacéutica que está usando SurveyMonkey para hacer encuestas a su personal y que, además de incumplir la Directiva Europea de privacidad de datos, tiene empleados que están usando, sin saberlo, la nube y están poniendo su información en ella.

Otro ejemplo, la posibilidad de comprar en la nube con tarjetas de crédito corporativas sin necesidad de hacerlo a través del departamento de compras. ¿Cuántos de ustedes saben dónde está constituido Amazon Web Services? ¿Dónde está su sede legal? En el estado de Washington, en Estados Unidos. ¿Cuántos de ustedes entienden las leyes del Estado de Washington que se aplican al comercio electrónico de sus empresas? Los datos de muchos de los que compran con una tarjeta de crédito corporativa pertenecen a Amazon legalmente, porque aceptaron los términos y condiciones, de acuerdo a la ley del estado de Washington.

Una de las cosas que hemos visto, que estoy seguro de que todos tienen, es el Big Data. Les dejo este pensamiento al respecto: si entra basura,

Centro de Investigación para la Gestión Tecnológica del Riesgo CIGTR��


sale basura. Si se tiene Big Data con muchos errores y una integridad pobre se tomarán grandes malas decisiones. Así que tienes que cuidar tu Big Data.

Y ahora uno de mis temas favoritos. Cuando tienes proveedores puedes dar el trabajo a tu proveedor, pero el riesgo permanece contigo y muchas veces tomas un riesgo añadido a causa de los trabajadores del proveedor. Fijémonos en los principales riesgos que hacen que las cadenas de suministro no funcionen correctamente: número uno, la dependencia del petróleo; número dos, los fallos en la información compartida; y número tres, los fallos en los sistemas de información o en las comunicaciones.

ACTUALIDAD

Y ahora llegamos a la actualidad, el horizonte para 2015, lo que creemos que va a pasar en los próximos años. Tenemos cinco grandes áreas. La primera es todo lo relacionado con el ciberespacio, el ciber-riesgo y el ciber-entorno. La siguiente es la reputación, que se está convirtiendo en un elemento clave más del que preocuparse, puesto que se construye ahora en Internet. La tercera es que, obviamente, los criminales seguirán buscando información. A continuación, un nuevo cambio en el ritmo de la tecnología. Y finalmente el cambio en el papel de los gobiernos.

¿Hay algo que realmente va a cambiar el juego en los próximos años? ¿Cuáles son los grandes problemas si miramos hacia adelante desde hoy hasta 2015? Creemos que ese algo existe, pero

no es necesariamente algo de nueva factura, es algo que va a aparecer como una combinación de problemas. Sin embargo, lo que importa es el hecho de que estamos haciendo algo nuevo para gestionar las amenazas.

La primera de las áreas es la del ciber-riesgo, todo un desafío porque es muy difícil de entender. Todos nosotros tenemos diferentes visiones sobre el término “ciber”. ¿Cómo se lo explico a mis jefes de manera que lo comprendan? Y es que cuanto más dependientes nos hagamos de Internet, de los dispositivos móviles y las aplicaciones, más nos tenemos que poner manos a la obra y más lo debe entender la dirección de nuestra organización.

El siguiente problema es la dificultad de encontrar a la gente adecuada. Es decir, la próxima generación de científicos, matemáticos, informáticos, programadores... no se está incorporando a la profesión, pero la necesitamos. Y a esto se añade otro tema importante: las personas pueden graduarse en la Universidad, pero no tienen experiencia práctica, así que ¿cómo hacemos para que se incorporen al mundo laboral? Generalmente se tienen que incorporar y hacer todo bien en el momento, sin tiempo para formarlos. Esto hace además que haya un montón de gente talentosa por ahí que tienen experiencia y a quienes tal vez hayamos despedido, exprimido… Y algunos de ellos se dedicarán a la delincuencia, tienen los conocimientos y la experiencia y eso los hace realmente peligrosos. Por lo tanto, tenemos un problema real sobre cómo mantener las habilidades que necesitamos dentro de nuestras organizaciones y reponer esa fuente de talento.


Centro de Investigación para la Gestión Tecnológica del Riesgo CIGTR ��

La externalización también es una pesadilla. Muchas organizaciones externalizan las TI y algunas las están trayendo de nuevo a casa porque no había ningún ahorro de costes y sólo consiguían complicarse la vida. Supongamos que hubiera una empresa que gestionara todos los firewalls para todos los bancos del Reino Unido. ¿Y qué pasa si el proveedor se cae? ¿Significa eso que todo el sistema bancario simplemente se para? Lo de la externalización todavía va a empeorar más, va a causar más problemas y va a requerir más gestión. Esto enlaza con el problema del conocimiento, ¿cómo sabes si tu proveedor está haciendo el trabajo para el que le estás pagando si no tienes los conocimientos suficientes?

También hemos visto que la reputación es un nuevo objetivo. Como he dicho, Edward Snowden es sólo uno de una larga lista de ejemplos de personas que, si creen que la organización está haciendo algo mal, recurren a las redes sociales para decírselo al mundo. La gente se mueve más por ética de lo que nunca lo ha hecho. Antes tenía que buscar a un periodista si quería delatar a la empresa de la cual pensaba que estaba haciendo algo malo. Hoy en día, en cambio, con un clic se puede publicar o enviar o lo que sea en un sitio web de redes sociales. Recuerden, lo que puede salir al mundo a la velocidad de un tweet, hay que gestionarlo, o los hacktivistas vendrán a llamar a tu puerta.

Hay ejemplos que están apareciendo, organizaciones que se han tenido que enfrentar a mensajes maliciosos en sus cuentas de Twitter o en sus canales de marketing de Facebook, acerca de cosas tales como los resultados trimestrales.

Los anuncios falsos hacen bajar el precio de las acciones. Compañías como bancos son blancos fáciles porque a nadie le gustan. Y tienen que ser capaces de gestionar esa amenaza. No es tecnología, sino que se trata de comunicación.

Todo lo que rodea a la delincuencia va a ser más sofisticado. He mencionado la posibilidad de comprar las credenciales de acceso a una cuenta bancaria, algo que se está empezando a hacer realidad en los últimos meses. Vamos a ver más delincuentes utilizando inteligencia multi-fuente, Facebook, Twitter, LinkedIn, el trabajo, para conseguir información sobre personas en particular, de modo que puedan atacarlos electrónicamente o usar la información para extorsionarlos. Y vamos a ver mucho más de esto. De hecho, hay delincuentes que están ofreciendo motores de búsqueda donde se obtienen todos los datos de Internet sobre una persona con solo escribir el nombre.

En la actualidad compartimos más información que nunca, creamos más información que nunca y almacenamos más información que nunca. Esto significa que se fugará más información que nunca. No importa lo que hagas, la información va a salir.

Ya hemos mencionado la nube. Simplemente apuntar que, a medida que tengamos más dispositivos, llevaremos nuestra propia nube al trabajo, conectándola al mundo de los negocios. Esto puede ser positivo, pero también muy negativo. Y las organizaciones necesitan comprender cómo les afecta.



Esto enlaza con BYOD, que se va a poner más difícil porque habrá más dispositivos, con más funcionalidad, que saldrán al mercado cada vez más a menudo. Nadie va a querer ser el departamento de soporte técnico: si ya era costoso y difícil dar soporte cuando sólo había un tipo de PC, imaginen la situación con 300 o 400 tipos de dispositivos diferentes, todos ellos conectados a la red.

Y el último tema, del que no he hablado todavía: los gobiernos. Quieren tener grandes leyes pero están empezando a decir: “espera un momento”. Países como Reino Unido, EE.UU. y algunos de la UE, piensan que necesitan generar una base sobre la que todos puedan construir, pero sin decir exactamente qué hay que hacer, sino los resultados deseados. Esto significa que tú, como organización, eres responsable de cuidar de tu información, el gobierno no va a ayudarte. Te dará el marco de trabajo, pero se mantendrá al margen. Y esto va a ser un gran cambio.

LA OPORTUNIDAD

Todas estas predicciones nos llevan de vuelta a las oportunidades, porque hay oportunidades, hay mucho que puede hacerse. Lo primero es conseguir educar a la gente sobre ciberseguridad, hablar de ello de una forma normal y no rodearlo de un halo mágico. Hay que dar una definición, hacer que forme parte de la conversación de todo el mundo y ayudar a entender lo que realmente es.

A continuación, hazte resiliente. Hay algunas reglas simples, válidas a partir de hoy mismo hasta el año 2015 y en adelante. La número uno

es que serás atacado, punto. Eres un objetivo. Por lo tanto, tienes que ser capaz de mantener tu negocio en funcionamiento incluso cuando tengas problemas. De esto va la resiliencia. Es la capacidad para seguir adelante sin importar lo que está pasando; la capacidad de recuperarse de un problema o volver a donde estabas rápidamente. Y hay varias maneras de hacerlo, pero hay que aglutinar un conjunto de respuestas, no es sólo responsabilidad de TI, sino también de legal, comunicación, relaciones públicas...

Número tres: crea tu estrategia y tu gobierno. Demuestra al sector que gestionas ambos, que los entiendes, que sabes dónde están los puntos clave y que sabes cómo tirar hacia adelante. Puedes utilizar las estrategias propias del marketing. Ten una visión: aquello a lo que quieres llegar mañana es tu visión y tu estrategia es el camino que te lleva a conseguirlo a partir del punto en el que estás hoy.

Hay mucho buen material sobre gobierno y especialmente acerca del gobierno de la seguridad de la información y de cómo se vincula con la gestión del riesgo corporativo. ISO acaba de liberar un estándar de gestión de seguridad de información, el 27014. Úsalo, léelo, entiéndelo. Tiene muy buenas ideas.

La número cuatro es: si te van a estar atacando todo el rato y quieres recuperarte y ser resiliente, tienes que ser capaz de gestionar tus incidentes. Prueba, planifica y ensaya tu capacidad de gestión de incidentes. No escribas un plan y lo dejes en la estantería sin tocarlo durante cinco años.



Cinco: trabaja con tu cadena de suministro. Asegúrate de que tus principales proveedores son tan buenos como tú. Y número seis: colabora, habla con la gente, comparte información, no seas una isla, porque si eres una isla puedes ser fácilmente atacado. Habla con tus amigos, entiende cómo funcionan los ataques, quién lo hace.

Este último punto me encanta. En los años 50 había imágenes de cómo viviríamos en el año 2000: trenes alimentados por energía nuclear, mochilas cohete y ciudades dentro de cúpulas. Se equivocaron. Predecir el futuro es difícil, te equivocas. Pero hay cosas que se abren paso y eso marcará la diferencia. Algunas de ellas no funcionarán, pero otras bien podrían hacerlo. El truco es tener una idea de lo que viene más allá del horizonte, de forma que cuando converses con la gente puedas decir “estamos listos para esto” y “creemos que esto podría ser un área que necesitamos observar”.

Todo está cambiando: BYOD, trae tu propia nube, la pérdida de conocimiento, la falta de conocimiento, ciberataques patrocinados por los Estados convirtiéndose en ciberguerra, cadenas de suministro, externalización, redes sociales y hacktivismo. Pero he aquí el mensaje clave: detrás de todo están las personas. La gente hace cosas malas y buenas. La tecnología es sólo una herramienta. Y a pesar de todo lo que he dicho acerca de las amenazas, éste es un momento muy positivo. La tecnología y lo que podemos hacer con ella es realmente asombroso. Sí, hay amenazas que podremos superar y otras que no, pero si dejamos que nos detengan, perderemos oportunidades inmensas y reales para cambiar la forma en que trabajamos, para cambiar la forma en que vivimos y la forma en que hacemos las cosas.

Eso es todo. Ese es mi mensaje final para ustedes. Gracias por su atención. Espero que lo hayan encontrado útil.



Juan Manuel Vara

La idea de esta ponencia es contar los primeros resultados de un proyecto que llevamos desarrollando en el CIGTR durante dos años y medio aproximadamente. Su denominación es CASANDRA y podría ser considerado un modelo para la gestión de análisis de riesgos, una metodología o incluso una herramienta que soporta esa metodología. Yo creo que CASANDRA es todas esas cosas y ninguna en concreto.

¿Con qué idea nació CASANDRA?

En el grupo de investigación Kybele nos dedicamos a definir e implementar metodologías

de desarrollo de sistemas de información basándonos en dos paradigmas: la Ciencia de los Servicios y la Ingeniería dirigida por Modelos.

Nuestro rol en el proyecto CASANDRA era explicitar todo el conocimiento que ya estaba en el banco sobre la gestión y análisis de riesgos. Éste es el germen de CASANDRA. Así que en primer lugar voy a tratar de hacer una descripción a muy alto nivel, sobre los conceptos sobre los que se fundamenta. A continuación Marcos dará unas pinceladas de la metodología estructurada y definida. Y finalmente Rafa os mostrará la visión práctica.

Por mi parte (diapositiva 2), presentaré la motivación y posteriormente daré una

juan Manuel VaraMarcos LópezMiembros del Grupo de Investigación Kybele y profesores de la Universidad Rey Juan Carlos


CASANDRA: UN FRAMEWORK PARA LA GESTIÓN DEL RIESGO TECNOLÓGICO



descripción de las tres bases de CASANDRA: la cadena de valor, la base de datos de incidentes y la intencionalidad, que es lo más importante y ahí daré paso a Marcos para que os cuente la metodología que estructura estas ideas.

MOTIVACIóN

Entrando de lleno con la motivación (diapositiva 3), hay muchas metodologías y propuestas para el análisis de la gestión de riesgos. Desde lo más genérico, la ISO 27005, que da unas líneas o guidelines que dicen qué debería de tener cualquier metodología que se precie para la gestión y el análisis de riesgos; para ello descansa en la 27001 (definiciones). Podemos ir a algo más concreto como CRAMM, que ideó la administración pública británica en su momento, que hoy en día también utiliza la holandesa, y que ya va por su versión 5. Otra es Magerit, de nuestro Ministerio de Administraciones Públicas, y su herramienta PILAR, que trata de implementar la metodología. Hay unas cuantas más, pero en general todas ellas descansan sobre dos ideas básicas: la función de riesgo que ofrecen se basa en la frecuencia con que se puede dar un incidente y el impacto que tiene ese incidente.

Esto que a priori podría parecernos bien, plantea o causa una serie de deficiencias estructurales (diapositiva 4) en estos modelos para la gestión de análisis de riesgos.

En primer lugar, son modelos endógenos en el sentido de que no tienen apenas en cuenta la realidad externa a la organización para la cual hacemos el análisis de riesgos. Estas

metodologías tradicionalmente adolecen de este problema. No se fijan en lo que pasa a su alrededor, ni en el contexto geosociopolítico ni en lo que pasa en el sector industrial en el que desarrolla su tarea la organización para la que estamos trabajando.

El siguiente problema, también muy habitual, es que no están basadas en mediciones empíricas. Lo que suelen hacer es dar un indicador de riesgo a partir de las estimaciones de los analistas de riesgos, que obviamente no tienen por qué llegar a la misma conclusión.

Y finalmente, no son permeables a la constante evolución a la que nos vemos sometidos a día de hoy. Aparecen nuevos riesgos a diario y estas metodologías son mastodónticas en el sentido de que no son capaces de absorber todo lo que está pasando.

En resumen, nos encontramos en un contexto en el cual las metodologías tradicionales son pesadas, poco flexibles y, en general, poco recomendables para la toma de decisiones en el contexto actual cada vez más globalizado.

Hace un mes Kaspersky publicó un estudio en el que se mostraba que el 40% de los internautas tienen como principal miedo el ‘robo de sus datos bancarios’. Otros ejemplos serían el robo de datos de Yahoo o el de Sony, etc. Todo esto se traduce en que en el contexto actual cada vez son más los activos de información a proteger y cada vez mayor su valor (diapositiva 6). Además, es tantísima la información existente que es prácticamente imposible protegerla toda.



Además, el riesgo para los atacantes es cada vez menor. Cualquiera puede robar datos de una tarjeta de crédito en Brasil, venderlos en un servidor de China, que alguien los utilice para perpetrar un ataque en Rusia, etc. Y en cualquier momento, en cualquier punto de la cadena, es muy difícil identificar los pasos del delincuente.

Esto resulta en un contexto que es cambiante. Lo que nos ha guiado en el análisis de riesgos era el número de vulnerabilidades. Tradicionalmente el delincuente intentaba por todos los medios encontrar las vulnerabilidades del sistema para luego ver qué valor podía sacar de ellas. Pero lo primero era saber por dónde podía entrar.

En el contexto actual la situación cambia, lo primero que hacen es ver el valor que tendría entrar en una determinada organización y luego deciden si les merece la pena invertir recursos y esfuerzos en encontrar vulnerabilidades. Pasamos de un punto en que teníamos que protegernos a uno en el que tenemos que conseguir que la inversión para el atacante no compense el riesgo que va a suponer. Porque si nuestros activos de información suficientemente valiosos son encontrados por el delincuente, seguro que va a encontrar la forma de llegar hasta ellos. Protegerte contra todas las vulnerabilidades es prácticamente imposible. Así que lo que podemos hacer es que las nuestras resulten menos atractivas.

En este contexto identificamos tres tipos de riesgo (diapositiva 7). El primero es el riesgo accidental, tradicionalmente relacionado con disponibilidad. Lo disminuyo replicando, haciendo backups, es

decir, las típicas medidas de seguridad. En general es de lo que se ocupa la gente de sistemas de información.

El siguiente sería el oportunista, que se diferencia del intencional en que no es dirigido. Suele producirse por un ataque no dirigido donde el delincuente intenta encontrar vulnerabilidades pero sin saber muy bien qué es lo que se va a encontrar. Un ataque masivo de phishing podría ser un ejemplo.

Y finalmente el que nos preocupa es el riesgo intencional. Podemos explicarlo del siguiente modo: mi muro me asegura que la gente no pueda pasar, aunque tengo que dejar que algunos lo hagan (mis clientes y obviamente mis empleados). Eso sí, hay activos de información extremadamente sensibles, que no quiero que la gente que está de este lado de la verja pueda acceder. Ésos los tengo que guardar en un lugar más seguro, en una caja fuerte. Obviamente no puedo meter todo en la caja fuerte ya que en recursos y esfuerzos no es viable.

El modelo CASANDRA descansa bajo la idea de analizar, gestionar y protegerse del riesgo intencional. La idea es que, sólo los incidentes en los que alguien se va a ver recompensado son aquellos de los que me tengo que preocupar. Respecto al riesgo accidental, nadie se va a encontrar recompensado (que haya un fallo de disponibilidad es un fallo de servicio pero no hay nadie que se beneficie de que, por ejemplo, mis usuarios no puedan jugar a la Play – si acaso se perjudica la imagen de la marca). Hay un parte del riesgo accidental que si es responsabilidad



de CASANDRA, en tanto en cuanto hay una parte de riesgo accidental que puede utilizarse como parte de un ataque y en el fondo es riesgo intencional. Por ejemplo, consideramos un sistema de monitorización de un oleducto que se cae en un momento dado, si esa caída es un fallo del sistema, entonces esto será un aspecto que tenga que arreglar la gente de IT. Sin embargo, si esta caída se debe a un ataque de denegación de servicio (DoS), estaríamos hablando de un caso de riesgo intencional.

GESTIóN DE LA INTENCIONALIDAD

El hecho de que la intencionalidad sea el eje vertebrador de CASANDRA tiene una serie de implicaciones (diapositiva 12).

A nivel organizativo, nos preocupamos de la confidencialidad y de la integridad (de la disponibilidad se preocuparán la gente de IT). Porque de lo que sí se puede beneficiar alguien es de que los datos dejen de ser privados (confidencialidad) o se modifiquen para algún fin (integridad).

A nivel estratégico, consideramos a la delincuencia organizada como un stakeholder, un participante más en este escenario en el que nos movemos. Vamos a tener en cuenta las políticas de la delincuencia organizada, sus modus operandi o forma de actuar, en preparación y en ejecución. Como se ve, el modelo va cambiando desde algo endógeno a algo más exógeno; empiezo a tener en cuenta la realidad externa, las cosas que están pasando fuera de mi organización.

A nivel operativo, el hecho de que me preocupe de la delincuencia organizada supone que me voy a preocupar de tener controlado y monitorizado cómo actúa. Cuando hablamos de su modus operandi en preparación nos referimos a qué hace para conseguir activos de información, mientras que con modus operandi en ejecución hablamos de cómo utiliza esos activos de información.

Finalmente, a nivel tecnológico, el cambio está en que pasamos de un “juego de suma cero” (lo que yo pierdo lo gana el atacante) a una realidad en la que se pueden producir situaciones en las que yo puedo perder, pero el atacante que ha conseguido perpetrar el fraude es detenido posteriormente o incluso perdemos los dos; esto deja de ser un “juego de suma cero”.

Nos encontramos ante un escenario en el que lo ideal sería empezar a tener en cuenta la rentabilidad para el atacante (diapositiva 12). De nuevo, a nivel muy conceptual –esto no pretende ser una fórmula matemática formal– pero sí estaríamos de acuerdo en que rentabilidad viene a ser beneficio partido por el riesgo, mientras que los beneficios los podemos explotar en ingresos menos gastos.

Para que nuestras políticas de seguridad de la información puedan defendernos de un ataque, tendrían que actuar sobre cualquiera de esos tres factores. Sería suficiente con elevar el riesgo o aumentar los gastos del delincuente para hacer que ese ataque ya no sea atractivo porque no le va a compensar el ingreso si lo consigue.



CASANDRA

Una vez vistas las ideas o los conceptos básicos sobre los que descansa el modelo CASANDRA, vamos a tratar de dar una definición.

CASANDRA es un modelo de toma de decisiones para la gestión de riesgos de tecnologías de la información (TI) (diapositiva 14). Sus peculiaridades son que está basado en el análisis de la realidad, en datos concluyentes y no en estimaciones de analistas de riesgos. Tenemos en cuenta esa ecuación que mencionaba antes en la que se define la rentabilidad para el atacante y la existencia de patrones de ataque y defensa. En definitiva, nos basamos en datos existentes sobre cuál es la forma tradicional de atacar y de preparar un ataque y cuál es la de defenderse (base de datos de incidentes).

De este modo, CASANDRA descansa sobre tres puntos (ver diapositiva 14). El primero es el factor intencional, del que antes hemos hecho mención. El segundo es la cadena de valor que define el modelo de negocio de la delincuencia organizada. La llamamos organizada porque podemos contemplarla como una empresa que realiza unas inversiones de las que espera obtener un beneficio y que además corre unos riesgos. Y como cualquier otra organización industrial hay una cadena de valor que dicta su forma de actuación. CASANDRA trata de analizar dicha cadena de valor a la hora de hacer recomendaciones sobre políticas a tomar. En cuanto a la tercera parte de la metodología, nos basamos en datos reales y para eso utilizamos una base de datos de incidentes donde recogemos

la información respecto a los ataques o intentos de ataque que se han dado hasta el momento, bien sea en la organización, bien sea en el sector en el que desarrolla su actividad o en el sector socio-geopolítico en el cual se encuentra nuestra organización. Es decir, CASANDRA se basa en conocimiento no en estimaciones.

CADENA DE VALOR

En la diapositiva 15 se muestra una vista conceptual de la cadena de valor que rige las políticas de actuación de la delincuencia organizada. Yendo de atrás hacia adelante partimos del objeto del fraude: el valor para la delincuencia organizada. Para poder perpetrar ese fraude, la delincuencia organizada necesita activos de información, normalmente un conjunto determinado de activos. La forma de utilizar estos activos de información a los que denominados conjunto habilitador de fraude o CHF es lo que conocemos como método o métodos de ejecución (métodos de llevar a cabo el fraude).

Ese conjunto habilitador de fraude está formado por activos individuales que denominamos elementos habilitadores del fraude o EHF (banda magnética, PIN de la tarjeta, fecha de caducidad de la tarjeta, etc.). Cada una de las formas que tengo de conseguir esos activos de información aislados la denominamos métodos de preparación.

En resumen, se necesitan activos de información, la forma de conseguirlos es poner en práctica los denominados métodos de preparación. Esos métodos de preparación me dan un conjunto



de elementos habilitadores de fraude o activos de información que me permiten llevar a cabo un golpe o fraude de diversas formas (métodos de ejecución). Eso sería la cadena de valor de la delincuencia organizada.

Un ejemplo sería el pago fraudulento en gasolineras que se muestra en la diapositiva 16. Los EHF serían la banda magnética de la tarjeta y el PIN. Las formas de conseguir éstos (es decir, los métodos de preparación) podrían ser mediante colocación de un skimmer o se podría pagar por ellos en el mercado negro. Una vez que tenemos todos estos activos de información o EHF, disponemos ya del CHF que permitirá llevar a cabo el ataque. Existen diversas formas de perpetrar el golpe (métodos de ejecución), el atacante puede ir personalmente al comercio para realizar el pago fraudulento en el surtidor de la gasolinera, por ejemplo.

Una vez que tenemos identificado el funcionamiento de la delincuencia organizada a alto nivel, la forma de proceder de CASANDRA es analizar esos métodos de preparación y de ejecución –analizar los datos, la información– e identificar políticas para protegerse contra algunos de esos elementos (no es necesario protegerse contra todos). Es decir, la forma de proceder de CASANDRA es analizar la cadena de valor y definir acciones aplicables contra métodos de preparación o contra métodos de ejecución. No voy a necesitar protegerme de los dos, me valdrá con romper la cadena en alguno de sus puntos. Con eso ya estoy consiguiendo quitar mucha rentabilidad a un ataque completo.

CONOCIMIENTO DE LA REALIDAD (DATOS DE INCIDENTES)

Como decía, el tercer pilar de CASANDRA es el conocimiento de la realidad. ¿Cómo recabo los datos que he de analizar? CASANDRA cuenta con una base de datos de incidentes donde se recaba información sobre incidentes de seguridad que han ocurrido. Podemos intuir que éstos probablemente se hayan producido porque existía un máximo en la relación riesgo/beneficio para la delincuencia organizada que se muestra en la transparencia 12.

Como hemos comentado, uno de los factores novedosos de CASANDRA es tener en cuenta información exógena (es decir, la realidad externa de la organización) frente a los modelos tradicionales de análisis de riesgos que son fundamentalmente endógenos. En CASANDRA, tenemos en cuenta esa información respecto a los incidentes. Para ello se define una Álgebra de Venn de Incidentes, en la diapositiva 18 se muestra un esquema simplificado de ésta. La idea es que no sólo recogemos incidentes, sino que los posicionamos en esa Álgebra de Venn en función de cuán importantes o relevantes sean para nosotros. Por ejemplo, los incidentes posibles –las cosas que están pasando– de momento no me preocupan mucho y es por ello que se sitúan en la región exterior de color verde. Pero a medida que me voy acercando al centro del Álgebra de Venn el nivel de peligrosidad o riesgo aumenta para la empresa, es decir, nos encontramos con incidentes más preocupantes. Desde incidentes demostrables y constatables, incidentes reales (no es lo que podía pasar sino que han pasado) hasta



incidentes reales en mi sector o incluso incidentes reales en mi empresa.

Para todo, como hemos señalado, tenemos una base de datos de incidentes tan grande que nos hemos llegado a plantear que había que ir hacia un modelo canónico un poco más pequeño que permitiría recoger la información imprescindible para que los algoritmos que descansan dentro de CASANDRA fuesen capaces de producir una recomendación. Se puede ver un ejemplo del modelo de datos en la diapositiva 20.

Una vez que una organización tiene esta base de datos implementada hay que alimentarla a diario y para ello se definen una serie de procesos (ver diapositiva 21). Lo primero sería monitorizar cada día si hay nuevos tipos de incidentes que nos interesen. En tal caso, ¿ese incidente implica algún tipo de modificación en el nivel de riesgo de alguno de los activos de información de los que se está preocupando la empresa? Si así fuese y si modifica alguno de los niveles de riesgo con los que me manejo, ¿hay que plantear medidas urgentes para protegerse contra ello?¿Sería necesario recalificar algún tipo de activo protegido? Sí, porque no vamos a poder protegernos contra esto o me revela que efectivamente ese activo de información que para nosotros no era relevante, sí que puede serlo porque puede suponer una vía de entrada a cualquier otra cosa. Finalmente, lo que nos podemos plantear es si esto supone o nos hace intuir que necesitamos algún tipo de cambio estratégico.

Para todo esto hemos construido un sistema de información que alimenta CASANDRA y que

nos permite registrar incidentes, consultarlos y actualizarlos. De hecho, lo ideal sería que esta base de datos se alimente automáticamente a partir de bases de datos de incidentes de seguridad a nivel mundial y en eso estamos trabajando.

Para concluir esta parte introductoria, voy a intentar conectar todos estos elementos (diapositiva 23): tenemos una serie de activos de información o elementos habilitadores de fraude (EHF

A, EHF

B, EHF

C), y contamos con varias

formas de hacerse con cada uno de ellos. En el ejemplo, cada EHF se puede conseguir a través de tres métodos de preparación MP diferentes (por ejemplo, en el caso de EHF

A existen tres

modos diferentes de conseguirlo MPA1

, MPA2

y MP

A3 ). Una vez que dispongo de los tres EHF,

tengo mi CHF (conjunto habilitador de fraude) y existirán varias formas de utilizar este conjunto de activos de información, es decir, varios modos de llevar a cabo el fraude denominados métodos de ejecución (ME

x1 ME

x2 ME

x3).

Lo que hace CASANDRA es monitorizar constantemente estos métodos de preparación y de ejecución, y ver si hay alguna combinación de ellos que deba preocuparnos, posicionando esos métodos en el Álgebra de Venn. De lo que me tengo que preocupar es de una combinación de métodos de preparación y métodos de ejecución que esté sucediendo en el grupo o repitiéndose en el grupo (es decir, los incidentes reales y repetitivos que suceden en la empresa - región de color rojo del Álgebra de Venn) y que me permita conseguir todo el conjunto habilitador de fraude. El aspecto clave está en hacer, al menos, que



unos de los métodos que se repite o sucede en el grupo sean disuadidos (es decir, desplazarlo hacia la izquierda en el cuadro que se muestra en la diapositiva 23). De este modo he roto esa combinación de la que me tenía que preocupar.

Marcos López

Me voy a centrar en el aspecto metodológico del modelo CASANDRA, ya que hay que poner todo lo que hemos dicho hasta ahora dentro de una empresa. La metodología CASANDRA se basa en cuatro fases muy sencillas (diapositiva 26): observación, análisis, posicionamiento de la empresa y planificación de las acciones que habrá que tomar.

ANÁLISIS DEL ENTORNO

Antes de activar una política, es necesario establecer, describir y especificar cuáles son los diferentes elementos que conforman el ámbito en el que estoy trabajando. Tengo que observar, describir y especificar los elementos a proteger, cuál es la operativa de negocio, cuál es el modelo de negocio. Todos los aspectos que ha comentado Juan Manuel relativos a la cadena de valor: tenemos que saber cuáles son los objetivos de la delincuencia organizada (EHF y CHF); establecer relaciones entre los propósitos del fraude (MP y ME). También hay que especificar cuáles son los elementos habilitadores de fraude y priorizarlos, describirlos y relacionarlos con los propósitos. También es posible establecer el nivel de rentabilidad que obtiene el atacante cuando

lleva a cabo esos métodos de preparación y de ejecución.

Por lo tanto, esta primera fase es una puesta en claro de cuál es la información que tiene el atacante, cuál es la información de mi entorno, cuál es el contexto en el que yo me estoy moviendo, etc.

Una vez que tengo toda la información debo analizar. Debo priorizar qué es lo que está sucediendo y lo que puede suceder, para saber dónde debo poner más recursos. En ese sentido, lo que propone la metodología CASANDRA es utilizar los llamados Diábolos de Fraude (diapositiva 32), una representación gráfica que permite poner en relación concurrentemente todos los elementos que hemos ido comentando inicialmente (EHFs y MPs con CHF y MEs relacionados). Existe un código de colores y un modo de graficar estos elementos en el diábolo para poder priorizarlos mediante la utilización de una serie de algoritmos de teoría de juegos.

Con la información que obtengo, con la base de datos de incidentes, con los patrones de defensa y ataque, voy a ser capaz de analizar y de establecer una relación coste-riesgo y beneficio, cuantificando y cualificando cada uno de los elementos.

El siguiente paso es saber cómo está mi empresa: posicionar qué es lo que se está haciendo actualmente en ésta. Para ello se definen políticas que me dicen dónde estoy y dónde quiero llegar. Debo establecer una relación entre cada una de



las medidas que se están tomando actualmente y ver cuánto riesgo es el que conlleva cada una de ellas. Por ejemplo, el estándar de mercado acerca de la política de gestión de tarjetas: establecer el PIN en una comprar más firmar o poner un número que me envíen por SMS.

Como bien decía mi compañero, no es factible económicamente invertir en conseguir el “riesgo cero”. El objetivo viable es acercarme lo más posible a ese riesgo cero. Para eso tengo que establecer cuál es el nivel de mis medidas de política de seguridad establecidas y qué riesgos puedo asumir. La última fase se dedica precisamente a eso, a definir el plan de acción, el conjunto de acciones que va a tomar mi empresa

para disminuir el riesgo en función del análisis que he realizado.

Como hemos visto, las fases de observación, de análisis, de posicionamiento de la empresa y de establecimiento de políticas de seguridad son la base de CASANDRA.

Como resumen de esta primera parte, tenemos un sistema de información capaz de actualizar y gestionar una base de datos de incidentes que implementan una serie de algoritmos de teoría de juegos que permiten la priorización de los diferentes elementos. Y por otro lado tenemos una metodología que nos permite gestionar el ciclo de vida de la gestión del riesgo tecnológico.



n esta segunda charla sobre CASANDRA se va a exponer cómo poner en práctica la metodología y se mostrará un proceso real desplegado en una gran

organización.

En la primera parte de la exposición nos enfocaremos en exponer por qué se puede utilizar CASANDRA en un Plan Director y describir términos clave en este ámbito. La segunda parte se centrará en el caso práctico en un proceso de comercio electrónico en una gran compañía. Y por último veremos en qué estamos trabajando junto a la Universidad para implantarlo en un proceso de día a día de una gran organización.

Lo primero que hay que decir es que lo maravilloso de una metodología radica en que como tiene actividades, técnicas y herramientas, puedes coger lo que te interesa para aplicarlo en el contexto concreto, hacerlo ágil y además cambiar el lenguaje para adaptarlo a las particularidades de cada organización. Por tanto, lo que hicimos fue coger la metodología y adaptarla a las necesidades de un plan director de seguridad y a las necesidades específicas de la compañía donde se realizaron los trabajos. Cabe señalar que esta metodología no es excluyente a cualquier otra de análisis de riesgos. Una de las cosas que he aprendido usando CASANDRA es que es un proceso muy mecanizado para tomar

Rafael OrtegaDirector General de Innovation 4 Security (I4S)


CASANDRA EN LA PRÁCTICA: LA ELABORACIÓN DE UN PLAN DIRECTOR

DE SEGURIDAD



decisiones en función de riesgos y amenazas existentes, es decir, las técnicas que se despliegan y que es necesario documentar, si un equipo las interioriza, puede trabajar con ellas día a día en el ámbito de trabajo de los procesos de seguridad. Todas las metodologías de análisis de riesgos son válidas y adaptables a los contextos donde se puedan utilizar. El punto bueno de todas estas reflexiones es que generan evolución en la forma de trabajar en el análisis de riesgos.

Hablaremos de análisis de riesgos y expondremos este debate realizando una comparación con los modelos tradicionales. Posteriormente hablaremos del caso del Plan Director y también en otro proceso fundamental como es seguridad del ciclo de vida de desarrollo. Destacaremos los puntos claves que hemos visto en la implantación de este modelo sobre estos dos procesos y también los aspectos claves que consideramos para seguir evolucionando.

INTRODUCCIÓN

Siempre me han acompañado cuatro frases que me parecen interesantes sobre temas de seguridad.

La primera es que “la seguridad no es un valor absoluto”, como ya quedó reflejado en las charlas del primer día, ya no podemos hablar de cantidades o de temas actuariales como se hacía en los 90. En el ámbito de análisis de riesgos para la seguridad sólo se podía para temas relacionados con accidentes naturales en aspectos de contingencia informática.

En segundo lugar, “no se puede hablar de que un sistema sea seguro, sino que no se conocen tipos de ataques que puedan vulnerarlo”, frase muy relacionada con los enfoques que presentaron Víctor y Regino ayer y que se presentarán en la charla de Santiago y su equipo mañana.

Tercera, “las personas somos, además del último eslabón, el punto más débil”, por tanto, la formación, la cultura y la divulgación son fundamentales.

Y finalmente, según el primer libro que leí en los 90 sobre seguridad en Internet, “no hay un sistema seguro conectado a red, para construirlo habría que desconectar todo, colocar todas las máquinas dentro de una sala y un guardia en la puerta”.

Ley conservativa de la energía en la gestión de riesgos

¿Qué es lo que pasa cuando estamos trabajando? La ley conservativa de la energía dice que depende del principio del fin, independientemente del camino que recorra. Esto sucede en todos los temas de seguridad, es decir, tenemos una incidencia en la cual se percibe que pasa algo y en el que las medidas de protección empiezan a funcionar. Pero estas medidas no llegan a lo que nos puede estar pasando. En el momento que ocurre el incidente, la incidencia puede saltar directamente (este aspecto tenía muy en cuenta en los ámbitos de contingencia informática y continuidad de negocio) que se convertirá en un evento o a través de las medidas de detección y algunas de protección vas escalando el evento para intentar controlarlo y que no se convierta en un incidente. A partir de ese momento



entra en juego la “resiliencia” de mi compañía para volver a la normalidad, es decir, cómo estoy preparado para dar una respuesta y cómo puedo volver a la normalidad. Los tres componentes que consideramos –medidas de protección, medidas de detección y respuesta– se basan en cómo clasifican las venture capital a las distintas herramientas o tecnologías de seguridad que existen en el mercado y cómo las posicionan. La parte “resiliente” es quizá donde están poniendo mayor interés o foco las grandes compañías probablemente debido al hecho de que la protección sólo llega a un determinado punto. La diapositiva 17 muestra diferentes definiciones de “resiliencia”, este concepto nació en el ámbito de la Ingeniería. Cabe destacar la definición que se muestra en el segundo punto del apartado “Teoría de Materiales”.

Antropología y compartición de información

Punto importante es la denominada Base de Datos de incidentes. Los antropólogos dicen que las únicas especies que sobrevivieron fueron las que compartieron información. Durante las charlas de esta mañana ya se ha comentado que “los malos” están constantemente compartiendo información, ya sea de manera económica o no económica. Con lo cual, en cualquier tipo de modelo de análisis y gestión de riesgos, como no empecemos a compartir información de una manera más formal y sistemática vamos a estar siempre por detrás de cualquier acción.

Modelo de Servicio

¿Cómo se organizan de una manera sencilla todas las cosas que se hacen en torno a la seguridad en

una organización? Ahora están exigiendo a las áreas de seguridad de las organizaciones que lo conceptualicen como un servicio, es decir, como un conjunto de actividades que se organizan por procesos. Nosotros exponemos un modelo explicativo en la diapositiva 19 donde se pueden ver las áreas claves en la organización en este ámbito. A partir de aquí se podría detallar el conjunto de procesos que permitirán dar esa respuesta a la organización con las exigencias de seguridad:

1. Gobierno de la Seguridad. Me tengo que adecuar a mi negocio y además tengo que comprobar que los equipos que están haciendo las operativas están dando los resultados, es decir, que nos estamos sincronizando con el negocio (diapositiva 21). Esta función es fundamental porque es la que da valor a la seguridad en las organizaciones. Hay un cambio hacia ser un facilitador que ayuda al negocio a poder realizar servicios y operaciones en donde sea. Otro de los puntos importantes que tiene Gobierno es que se dice “no hay perímetro en la red” por tanto hay que tomar también una decisión del ámbito en el que tenemos que trabajar, es decir, hasta dónde puedo llegar para decir que se implanten las medidas de seguridad. Por ejemplo, con el tema de la cadena de suministros está comprobado que las grandes bandas están atacando a las PYMES suministradoras para entrar en las grandes.

2. Readiness & Awareness (Cultura). Cómo estoy preparado y qué cultura tiene mi organización. Es decir, traspasándolo a ITIL, hablamos de security foundation, hablamos así de mis bases de seguridad, mis bases de protección, alguna de monitorización.



3. Resiliencia. Cómo monitorizo y doy respuesta para que los daños sean menores y en el menor tiempo posible pueda trabajar de una manera normal y en plena eficiencia.

4. Para todo ello es necesario una Mejora Permanente en el concepto de eficacia.

5. Calidad y Eficiencia. La situación en la que estamos en cualquier departamento de seguridad es que estos procesos ya están implantados internamente y hay que conseguir eficiencia y con unos niveles de calidad adecuados.

Proceso

Hay que diferenciar claramente lo que son procesos y lo que son funciones monodepartamentales. En la diapositiva 26 se expone una definición de proceso. Primero, un proceso tiene entrada y salida, es decir, principio y fin. Segundo, es deseable que sea multidepartamental, es decir, que abarque de extremo a extremo, Y además tiene que tener un dueño (el que manda), medidas para saber si está funcionando y unas actividades puestas secuencialmente.

En la diapositiva 27 se muestra un ejemplo en base a la ISO 31000. Lo que se exige a nivel de proceso de establecimiento de contexto podría describirse en forma de proceso como se puede ver en la diapositiva: principio, fin y entregables, estableciendo quién hace cada actividad y cómo se puede medir.

ANALISIS DE RIESGOS

¿Qué nos encontramos con los análisis de

riesgos? A partir de saber cómo se estructura la organización en temas de seguridad, cómo sería deseable trabajar en forma de procesos, vemos cómo podemos aplicar ese análisis de riesgos desde cualquier tipo de proceso en el cual trabajamos, ya que muchas legislaciones nos obligan a tener como pieza clave dentro de nuestra gestión de seguridad el análisis de riesgos.

En la diapositiva 29 se muestra una metodología clásica en la cual se ven todos los componentes y cómo actúan. Es decir, hemos cogido una ISO y la hemos puesto secuencial, para que se vaya viendo el modelo conceptual: activo, amenaza, vulnerabilidades y controles que disminuyan el riesgo y que dejarán un riesgo residual. Es lo que cualquier análisis de riesgo o cualquier regulador suele exigir.

Metodologías Clásicas y Modelo CASANDRA

Nosotros hemos hecho una comparación y es en lo que estamos trabajando con CASANDRA desde el punto de vista de cómo se alinea con lo que exige una ISO generalista (ver diapositiva 30).

1. Los elementos a proteger son los activos.

2. Hablamos de incidentes, porque es más tangible.

3. Estamos hablando de patrones de ataque en vez de vulnerabilidades. Porque nos permite dar un mayor ámbito, escenarios de cómo pueden quebrantar cualquiera de mis debilidades.

4. Y los controles los denominamos patrones de



defensa que se pueden alinear a los controles de la ISO, pero ya bajamos a nivel tecnológico.

Con respecto a la ISO 31000 (ver diapositivas 31-34), en lo que respecta al “establecimiento de contexto”, tenemos reuniones, recogida de información y comunicados en cualquier ámbito en el que utilizamos CASANDRA. Hablando de “apreciación del riesgo”, utilizamos el Álgebra de Venn, la cadena de valor del incidente y el diábolo y los patrones de ataque. Y en la parte de “tratamiento de riesgo”, algo en lo que está trabajando actualmente es en los patrones de defensa (enterprise security patterns), es decir, arquitecturas homologadas de seguridad que se puede trasladar a toda la organización cada vez que se realice una petición. En este ámbito se está trabajando también para concluir la fase de seguridad en el ciclo de vida de desarrollo.

Y es que CASANDRA se puede alinear a cualquier ISO de análisis de riesgos y también es posible implantar un SGSI utilizando CASANDRA como vértice, como modelo o como método de análisis y gestión del riesgo. Para responder así ante la auditoría interna en la toma de decisiones y ante los reguladores en el caso del uso de la toma de decisiones y por qué se ha hecho.

PLAN DIRECTOR DE SEGURIDAD

Ya en la charla de Adrian Davis se ha destacado que es necesario tener una estrategia de seguridad. Desde el 2002 llevamos trabajando en planes directores de seguridad en grandes organizaciones basándonos en los modelos de análisis de riesgos tradicionales, los que hemos

estado comentando con esos 4 componentes. La diferencia residía en que, al ser un Plan Director, marcábamos dónde queríamos ir, qué arquitectura de seguridad funcional y técnica se deseaba y, sobre todo, un entorno de control definido y objetivo, es decir, considerábamos la ISO y particularizábamos para cada compañía. A partir de ahí, realizábamos el análisis GAP en función de las amenazas y nos salía el plan de proyectos y de cómo implantarlos. Durante 4 años se sigue trabajando en estos modelos, en el 2007 otra entidad financiera que ya había hecho un Plan Director nos comentó que no le valía esto. Es aquí donde aplicamos técnicas de negocio a los planes directores, aquí hablamos ya de “planes estratégicos de seguridad”. Y por último, en 2008 empezamos con el modelo CASANDRA a analizar el PDSI 2.0. En ese instante creamos la metodología base para aplicarlo en el futuro. Posteriormente se han hecho con nuevos enfoques distintos planes estratégicos, por ejemplo, el 3.0 con ámbitos concretos no meramente de seguridad.

La diferencia fundamental entre un plan estratégico y un plan director es que en el primero utilizo técnicas de negocio, como las balanced scorecard para marcar objetivos, sacar indicadores y, a partir de los análisis de la situación actual y a dónde se quiere llegar, se realizan organizaciones y se obtienen las iniciativas, incluso las tecnológicas de seguridad. Sin embargo, en el plan director de seguridad, como es una primera aproximación, tienes que crear ese framework en el cual tú dices “hacía allá voy” (creando esas arquitecturas y definiendo esos procesos) en base a las amenazas genéricas,



la cultura y forma de funcionar marcadas por negocio.

En la diapositiva 37 hemos puesto las ventajas e inconvenientes de cada tipo de plan. En este ámbito no hay pensamiento único, cada situación (cómo voy a acometer o qué necesito sacar de este proyecto y el tiempo que tenga) marcará qué método es más conveniente.

PRÁCTICA: CASANDRA

Objetivo y enfoque metodológico

A continuación nos referimos al caso práctico de CASANDRA. Empezamos a trabajar con un cliente y lo primero que tuvimos que hacer fue adaptarlo a su lenguaje. Partía de un plan director ya hecho con el modelo clásico pero necesitaba ver cuáles de los proyectos realizados estaban vigentes en estos momentos, cuáles quería impulsar, cuáles quitar, en definitiva, necesitaba una entrada definida.

El cliente deseaba quedarse en el ámbito de tecnología pero nosotros queríamos también saber quiénes nos podían describir el enlace con negocio, en este caso era la gente de desarrollo. Así que consideramos el negocio e hicimos la operativa y los procesos verticales con el concepto de business partner que es el que en teoría sabe de negocio y tecnología (la capa de aplicación). Luego dividimos la organización tecnológica en procesos horizontales, es decir, los que dan servicio a todos los verticales

tecnológicos. Trabajamos la actividad para ver cuáles eran las prioridades –en este caso, el comercio electrónico– y cómo estaban organizados. Todo esto lo metimos en la puntera de CASANDRA, y partir de ahí vimos cuál era el nivel de aversión al riesgo que tenía el cliente a la hora de tomar decisiones. Ésta es una de las cuestiones clave que se tiene que decidir cuando se hace un plan director, en temas de este tipo, lo más fácil es considerar primero “me creo que hay malos o no”, si no, mi aversión al riesgo es definitivamente nula, si “me creo que hay malos”, me tendré que preparar, y de esos malos, a cuáles me voy a dedicar - respecto a cuáles me voy a ver afectado. En definitiva, este punto es clave porque nos sirvió para definir con el cliente dónde poner el listón y además fue intuitivo porque para eso sirve el “skyline”. Vimos también claramente qué escenarios de problemas se tenían, cómo había que atajarlos, y con todo esto salió en el análisis GAP el plan de proyectos (ver diapositiva 39).

¿Cómo transformamos este enfoque metodológico (diapositiva 40) para este cliente en particular? Modelo sencillo de consultoría: Conocimiento del entorno, situación actual, análisis de riesgo Casandra y plan director. Empezamos con estas fases establecidas claramente y aquí podemos ver cómo cualquier metodología se puede adaptar a la semántica y necesidades del cliente. Por tanto, no son metodologías rígidas ni exclusivas.

1. Conocimiento del entorno (entrevistas)

Con todo esto claro, empezamos con entrevistas (ver diapositiva 43). Especialmente en la parte



logística y comercial, que eran las partes críticas en el comercio electrónico, dedicamos 19 entrevistas que nos aportaron la visión global de toda la compañía. En lo que respecta a seguridad informática hicimos 12 entrevistas. Uno de los puntos claves en proyectos de seguridad, concretamente en planes directores, es la identificación de interlocutores (por ejemplo, escoger a personas de seguridad para liderar el proyecto que conozcan muy bien quién sabe de la organización). Otro punto clave es la planificación de entrevistas (por ejemplo, en este tipo de proyectos se nos va el 20-30% de lo planificado por anulación de entrevistas).

2. Análisis de la situación actual

Para que auditoría lo entendiese, dimos una visión respecto a lo que eran los controles ISO. Os mostramos un ejemplo en la diapositiva 44. Por tanto, ya íbamos cogiendo el modelo y alineándolo con ISO.

3. Análisis de riesgos desde el punto de vista CASANDRA

El punto clave para saber si lo vas a hacer bien es este proceso que se puede ver detallado en la diapositiva 45. Este proceso se pinta de manera sencilla pero te expresa dónde están todos los puntos sensibles y críticos de tu proceso. El siguiente punto clave es el tema de incidentes intencionados de seguridad en el que se utiliza el Álgebra de Venn de incidentes que se ha presentado en la charla anterior. Es imprescindible definir estos incidentes de un modo tal que nos abstraigamos de cualquier elemento, es decir,

tienes que ir a todos los técnicamente posibles. Por ejemplo, en el caso que estuvimos trabajando, eran cuatro. En vez de elementos habilitadores del fraude hablamos de elementos habilitadores del incidente, porque allí empezamos a trabajar y pusimos la primera piedra para contemplar dentro del mismo modelo, temas accidentales y temas regulatorios, con distintas fórmulas. Y no cambia nada, sólo es un cambio de semántica. Nos salieron 16 elementos habilitadores; un ejemplo serían las credenciales de administración.

Después saltamos al método de ejecución y a contemplar el riesgo para la organización (RAR). Realizamos dos fórmulas: una el RAR para la delincuencia organizada y la otra el RAR para incidentes accidentales. Sobre eso fuimos aplicando a cada uno de los métodos de ejecución los distintos componentes y, de una forma cualitativa, sabes dónde te tienes que focalizar si puedes visualizar estos 16 elementos en un gráfico. El último paso serían los métodos de preparación.

Cuando empezamos este proyecto se trabajó con los datos de memoria histórica que se disponía, en concreto, con trece métodos de preparación (se muestran en la diapositiva 46, cada método de preparación se localizada, según el histórico de datos de la organización en una posición o nivel marcada con un código de colores). Con todo ello, colocamos los métodos en el diábolo y rápidamente se definió, a través de la rentabilidad para los atacantes, cuáles eran los que nos gustaría contemplar para trabajar sobre ellos inmediatamente.



�. Plan Director

Posteriormente realizamos el informe de las acciones y medidas a tomar, sin discriminar ninguna ya que para eso está el gráfico del triángulo (ver diapositiva 48) gracias al cual a golpe de vista puedes decidir eliminar acciones en base al incremento o disminución de tres parámetros (riesgo, dificultad y coste de implantación). Por ejemplo, puedes eliminar acciones que: a) o no me disminuyan el riesgo, b) o exista una gran dificultad de implantación (por ejemplo, como tenga que molestar a mucha gente: usuarios, departamentos, etc., va a haber una gran dificultad de implantación), c) o considerando el coste en euros por implantación de la medida. En este ámbito, podemos mencionar el caso de la implantación de una herramienta de database access management (gestión de acceso a base de datos), que, aunque fuese cara, la dificultad de implantación era muy poca porque la gestionaba seguridad y, sobre todo, minimizaba mucho el riesgo.

A partir de ese momento, empezamos con los filtros, la materialización de las iniciativas en los proyectos (ver diapositiva 49). ¿Cómo quedó todo? Las medidas y las iniciativas quedaron en un plan de proyectos que permitía ver a corto, medio y largo plazo con una serie de quickwins que permitían implantar y hacer mejoras rápidas.

Por último, para manejar bien la gestión de proyecto, se agruparon los proyectos por programas. Cada programa tenía un objetivo y estaba formado por diferentes proyectos secuenciales (ver diapositiva 50). De esta manera

se podía asignar responsables para cada programa. En el caso de la implantación (proyecto L6 del programa P9 - Gestión y Respuesta de incidentes), se utilizó una plantilla para sacar los plazos, el gasto total, la inversión, el mantenimiento (ver diapositiva 52). Lo fundamental es conocer los objetivos y la estrategia de ejecución para poder saber cómo se realiza. Ésta es la clave, ya que es en esta última plantilla donde se va a fijar principalmente la Dirección.

Realizamos un cuadro de mando (diapositiva 53) en el cual empezamos con todo lo provisionado y lo que estaba en ejecución y cómo evolucionaba con respecto a la ISO una vez que se implantaban los proyectos. Y finalmente hicimos el skyline (diapositiva 54) donde es clave posicionar la línea del sector del mercado. Es fundamental conocer tu sector; en este caso, no lo sabíamos, es por ello que tuvimos que eliminar la línea y decir que dentro de los proyectos que estaban alineados a módulos de la ISO, con la implantación que se había dicho, a dónde se llegaba. Para el skyline es fundamental tener un conocimiento de hasta dónde se llega en el sector, qué es lo que se hace, qué tecnologías se están implantando, por qué unas sí y otras no, etc. Este es uno de los factores que hay que evolucionar.

SEGURIDAD Y CICLO DE VIDA DE DESARROLLO

Nos focalizamos siempre en lo fabricado, es decir, hay que hacerlo seguro, no en la parte que viene de mercado que lo que hay que hacer es robustecerla (ver diapositiva 56). En la transparencia 57



podéis ver la definición de una metodología de ciclo de vida de desarrollo estándar y cómo se configuran las distintas fases. Lo más importante es en seguridad de proyectos (cómo se trabaja en este ámbito y cómo se va a aplicar CASANDRA). Estamos trabajando con la Universidad en la metodología y vamos a ver cómo imbricar CASANDRA en la forma de trabajar de las personas de seguridad en proyectos sin que les afecte en su forma de trabajar pero aportándoles la justificación para presentar a cualquier persona que quiera ver cómo se ha tomado la decisión.

En la fase uno de iniciativas se introducirá la cadena de valor del incidente, los patrones de ataque; mientras que en la fase dos, se hará lo propio con el análisis y el diseño y los patrones de defensa con los que se están trabajando (enterprise security patterns).

Por último, un punto clave es la labor que se está realizando del model driven architecture (cómo presentar los controles en las distintas capas). Esto es fundamental para justificar cómo implantar en el ciclo de vida de desarrollo unas correctas arquitecturas y unos modelos de seguridad adecuados.

Para finalizar, quiero señalar (diapositiva 66) que en CASANDRA es necesario basarse en lo real, en algo que ha existido y compartir la información. Hay una importante necesidad de disponer de patrones tanto de ataque como defensa, así como conocer el estado del arte de las tecnologías de seguridad y controles implantados. A partir de aquí estamos trabajando en ver cómo podemos compartir la información y en cómo recogerla.



Luis Fernández

En este debate vamos a tener la oportunidad de gozar de una de las mejores series de intervenciones por la calidad de ponentes que van a hablar. Pondremos sobre la mesa el debate en cuanto a análisis de riesgos. Se confrontarán las perspectivas clásicas, estándares, de cómo se entiende la metodología y cómo ha ido evolucionando, y también perspectivas rompedoras, como es CASANDRA.

Javier Candau

En el Centro Criptológico Nacional (CCN) nos dedicamos a proveer de estándares de seguridad a las administraciones públicas, a realizar la

javier CandauJefe de Área de Ciberseguridad del Centro Criptológico Nacional (CCN)

juan Corredor PinillaResponsable de IT RiskGovernance. Grupo BBVA

josé Antonio MañasCatedrático de la ETSI Telecomunicación (UPM) y consultor independiente en redes de comunicaciones y seguridad

Rafael Ortega GarcíaDirector General de Innovation 4 Security

Moderador:Luis Fernández DelgadoEditor Revista SIC. Ediciones CODA

MESA REDONDA: METODOLOGÍAS Y HERRAMIENTAS

PARA EL ANÁLISIS DE RIESGOS INTENCIONALES




formación de los funcionarios en cualquier tecnología de seguridad y sobre todo a realizar auditorías e inspecciones de seguridad en servicios Web. Además operamos la capacidad de respuesta a incidentes gubernamental. Trabajamos con el profesor Mañas desde 2001 con la herramienta PILAR, en este proyecto se intenta integrar y mostrar a las administraciones públicas a qué riesgos estamos sometidos. El proyecto comenzó en 2001, la primera versión se publicó en 2003-2004 y la herramienta ha evolucionado mucho en nueve años -estamos en la versión 5.3. Ha pasado desde un enfoque clásico a realizar análisis de riesgos distribuidos y de riesgo dinámico. Hoy por hoy es nuestra herramienta principal para recabar cuál es el nivel de seguridad de las administraciones públicas.

La metodología clásica del análisis de riesgos nos lleva a que tenemos unos activos que proteger de unos señores (en especial, este foro se enfoca en riesgos intencionales) que nos quieren comprometer alguna dimensión (ya sea robar información – comprometer confidencialidad, nos quieren echar abajo nuestro servicio – disponibilidad, quieren corromper los datos para que no hagamos un uso eficiente de ellos – integridad, consideramos también la trazabilidad y la autenticidad). Para nosotros es muy importante valorar cuál es nuestro nivel de exposición, a eso le llamamos riesgo.

En las metodologías nuevas este concepto de riesgo es distinto. El sector bancario, por ejemplo, que tiene el riesgo en su ADN, habla de riesgo y lo entiende. En cambio, nosotros hablamos de riesgo a las administraciones públicas y no lo entienden.

Por lo tanto, para nosotros es muy importante hablar de los dos conceptos que manejan las metodologías tradicionales: impacto (te puede pasar todo esto) y riesgo (esto te puede pasar pero a lo mejor tiene una probabilidad muy baja de que te pase). La dirección puede trabajar sobre ese concepto de riesgo y modular la inversión o las medias de protección. Para nosotros no podemos sólo pensar en la voluntad del atacante para modular cualquier cosa dentro del sistema.

José Antonio Mañas

Respecto a estas herramientas (PILAR, MAGERIT) lo más importante es que seas capaz de comunicar algo. Si tu jefe se entera de dónde está el posible riesgo y logras convencerle de que ponga recursos, hemos logrado algo, mientras que si haces un análisis de riesgo maravilloso y el jefe no se entera y no pone recursos, no ha servido de mucho.

En el análisis de riesgo hay tres partes. La primera es “conocerse a sí mismo”; como decían los clásicos, si no conoces lo que eres y lo que quieres ser, entonces no vamos a ninguna parte. La segunda es: “conoce a la otra parte”. Tienes que entender lo que puede pasar en el mundo en el que vives, sea accidental o deliberado. Y de esto sacamos la tercera parte: “el impacto”, es decir, las consecuencias que tienen esas acciones. Por ejemplo, en ataques deliberados el impacto suele ser muy elevado porque la gente lo está buscando. Hay más aspectos con nombres complicados: “probabilidad, vulnerabilidad, etc.”; al final lo que intentamos medir es cuál es la diferencia de nivel entre las capacidades que



tiene la otra parte y las capacidades que tengo yo. Cuando la otra parte tiene más capacidad que yo, las probabilidades de que ocurra son muy elevadas (deliberadas o accidentales, a veces la diferencia es bastante confusa) . Por último, tenemos la parte de “riesgo” en la que multiplicamos el impacto por la probabilidad.

Todos estos aspectos nos llevan a una situación relativamente compleja. Conocer el impacto es más o menos fácil. Otro tema es la probabilidad, que no se cree casi nadie. Ahí es donde CASANDRA insiste, en intentar entender cuál es la capacidad del enemigo, cuál es la mía y ver las diferencias, de cara a señalar por dónde van a atacar. De ese modo delimitamos las situaciones de riesgo. Eso sí, hay que ir con cuidado porque no podemos olvidar las acciones que son muy poco probables que implican un gran impacto.

Cuando tenemos impacto, probabilidad y riesgo, empezamos a poner prioridades y ofrecer mensajes para que la gente invierta. Si tenemos muchos recursos, lo hacemos en todo, y si no, habrá que priorizar. Ésta es la teoría, hay mucha gente que no se cree los análisis de riesgo y les preocupa mucho más la gestión del riesgo. Pero es muy cierto que, independientemente del análisis realizado, lo que al final marca la diferencia y la supervivencia el día d+1 es la gestión que hagas del riesgo que va mucho más allá de los componentes tecnológicos. Eso conviene no olvidarlo nunca, el análisis del riesgo no es un fin en sí mismo; siempre tiene que dar alimento para poder estar preparados para una buena gestión del riesgo en lo que pongamos luego.

Si hablamos de riesgos intencionales, hemos de identificar cuáles son las opciones del enemigo y eso es muy complicado, he hecho experimentos en el ámbito universitario con sistemas expertos y redes neuronales. A continuación tenemos que calibrar muy bien al enemigo, conocer su capacidad técnica y los recursos de los que dispone y, sobre todo, tenemos que entender su plan de negocio, es decir, qué es lo que le interesa y qué es lo que le mueve y, en mi opinión, no necesariamente tiene que ser el contrario al nuestro, en otras palabras, no siempre es un juego de suma cero. También hay que entender la dinámica de las cosas. No podemos hacer planteamientos estáticos, sino que tenemos que estar comprendiendo continuamente cómo se va a mover la parte contraria y como nos vamos a mover nosotros. Uno tiene que tener muchas cosas preparadas porque el devenir y la evolución es una cosa más o menos complicada. Porque como SunTzu decía, “el arte de la guerra se basa en el engaño”; con esto me refiero a que las teorías basadas en la transparencia de la parte contraria, es decir, entender cómo va a atacar, pueden ser un poquito complicadas. La parte dinámica es compleja porque el ser humano es inteligente, aprende, se adapta y es creativo. Todos los sistemas que involucran en su evolución, en su dinámica, decisiones humanas son intrínsecamente inestables. Ya saben ustedes que los economistas explican muy bien el pasado, también saben que hay unos iluminados que causan unos grandes estragos, porque se empeñan en que las cosas son así, caiga la que caiga. Yo creo que habría que buscar algo entre



cortoplacismo (sobrevivir a corto plazo), una fe ciega en que caiga lo que caiga y tendría que haber algo que se adapte dinámicamente a la realidad y asegure razonablemente un largo plazo para seguir siendo un negocio viable.

Analizar los ataques humanos deliberados es muy complejo (hay técnicas denominadas grafos de ataque, etc. pero existe una explosión de combinaciones). En todos los análisis de riesgo uno de los primeros problemas que nos encontramos es que tenemos una gran cantidad de información y es difícil separar el polvo de la paja. Y sobre todo es muy complicado adivinar la creatividad de la otra parte, qué se le va a ocurrir al atacante. Oponernos a cada vía de ataque con defensas no es viable, yo creo que necesitamos alguna otra cosa, como algún tipo de clases de equivalencia, en términos matemáticos, o mecanismos de defensa en profundidad, necesitamos poder encajar el golpe, tener capas de absorción, capas de aprendizaje, etc. A veces simplemente se trata de ganar tiempo para reaccionar. Por eso la parte de la gestión es tan o más importante que la del análisis.

Además, el coste de los ataques va bajando (y siguen siendo demoledores) y el de la defensa creciendo. Tenemos una ecuación muy complicada donde parece que el tiempo esté corriendo en nuestra contra.

Aparte tenemos otros ataques humanos denominados oportunismos. Hay mucha gente que se limita a sentarse y esperar a que te equivoques, y ese día aprovechan. También hay ataques ciegos, en oleada, cae el que sea más

débil, qué más da quien, sólo importa que existe una debilidad. El agua o los terremotos atacan así por ejemplo.

También podemos plantear un tema de volumen. Cuando hay comportamientos humanos impredecibles en grandes cantidades, se puede lograr amortizar esto mediante estadística, podemos aplicar leyes de grandes números, siempre y cuando ninguno de los incidentes sean demoledores, nosotros podemos pasar a la parte de cantidad, y con mucha cantidad, absorbemos. Desde un punto de vista matemático podemos trabajar con curvas de distribución, distribución de impacto, distribución de probabilidad. Hay una metodología de análisis de riesgo que se llama Montecarlo, basada en simulaciones de casos y observación de resultados. Así diseñaron la bomba atómica.

Respecto a conocer la otra parte, no estoy muy seguro de que sea nuestra única obligación. Rememorando el caso de Boabdil el Chico, el último rey de Granada cuya madre le dijo: “no llores como una mujer lo que no supiste defender como un hombre”, pero sus súbditos lo que dijeron es: “menudo rey que no ha sido capaz de proteger lo que era su misión y tenía que hacerlo”. Eso al final es el resultado de un riesgo mal gestionado, que te conquisten la ciudad.

Luis Fernández

Vamos a pasar ahora con Rafael Ortega. Después de todo lo que has visto, ¿era necesario crear CASANDRA o lo que representa?



Rafael Ortega

Sí, cualquier ejercicio intelectual, investigación en ámbitos académicos, que se mueva en una disrupción me parece interesantísimo. Todo lo que evolucione –la innovación es eso, tener una idea, desarrollarla, probarla. Y si encima hay posibilidades económicas para hacerlo y personas capacitadas que puedan ponerlo en papel, a mí me parece perfecto. Por tanto, ejercicio intelectual, hacia adelante.

Lo que pretende CASANDRA es un ciclo que, interiorizado, se pueda aplicar día a día en ciertos procesos de seguridad. También pretende que con un modelo ilustrativo puedas ver y tomar decisiones que les faciliten el trabajo diario y evolucionemos en cuanto a las herramientas clásicas como PILAR. A partir de ahí lo importante es, por una parte, educación, y por otra, entrenamiento – es decir, curva de aprendizaje - y finalmente saber responder ante las circunstancias.

Por otro lado, yo no me estoy enfrentando a PILAR, de hecho, he participado en su implantación en muchos lugares, como el Gobierno de Navarra. Lo que yo digo es que una metodología es un conjunto de actividades que utilizan una serie de técnicas que a la vez emplean unas herramientas para conseguir un objetivo. Por ejemplo, respecto al caso práctico que he presentado esta mañana, se utilizaron el 50% de las técnicas, porque para lo que nosotros pretendíamos no necesitábamos más. Cambiamos la secuencia de actuación y prescindimos de una serie de cosas, esto te lo da la experiencia a la

hora de dirigir un proyecto y está más ligado con la rentabilidad, llegar a tiempo.

Sobre los temas de conocer al enemigo, siempre he dicho que los de seguridad nos estamos equivocando, que no hacemos inteligencia, sino contrainteligencia. Lo importante es conocer al enemigo para poner las medidas. Esto lo han inventado los militares y cada vez estamos más en ese entorno. Los militares hablan de escenarios. Lo que aquí se pretende es, con unos puntos de partida que pueden variar, hacer algo ágil y que, una vez interiorizado, sea útil para la toma de decisiones. Además está alineado con la ISO 31000 y con los análisis de riesgos clásicos para justificar la manera de hacerlo, que es diferente a las que siguen los modelos clásicos.

Luis Fernández

El cuarto contertulio, Juan Corredor, tiene 25 años de experiencia en el sector de TI, de los cuales 18 en el lado de la consultoría, y los últimos 7 en el BBVA. ¿Qué metodologías está utilizando BBVA?

Juan Corredor

Ambas, en función de las necesidades. Por un lado, las metodologías que formalmente tenemos que utilizar para medir el riesgo tecnológico que tiene nuestra organización y por otro lado las que usamos para aquellos casos en los que existen necesidades imperiosas por el fraude o por la velocidad de reacción que hemos de tener.

Cuando me incorporé al banco, había una metodología implantada de gestión del riesgo



tecnológico, en su más amplio espectro, es decir, abarcaba no solamente los aspectos relativos a seguridad sino otros muchos factores. Para eso estamos aplicando una metodología clásica muy parecida a PILAR. De hecho, en la colaboración que hemos hecho con J.A. Mañas para analizar nuestra metodología respecto a MAGERIT, vemos que había muchas similitudes. De hecho, con PILAR y MAGERIT hemos hecho un trabajo bastante interesante en el ámbito de la gestión del riesgo tecnológico del entorno cloud y de la migración a Google. Pero claro, eso era un posicionamiento, eso era una necesidad concreta y específica.

Cuando nos enfrentamos en el año 2007-2008 a una serie de análisis para la protección de medios de pago, fue la primera vez que vimos la necesidad práctica a la hora de utilizar ambos mundos, el modelo CASANDRA que se ha presentado en las ponencias de esta mañana (los diábolos, diagramas de Venn, etc.) y los modelos clásicos. Por una parte, la gestión de riesgos tradicional en el ámbito de tecnología, por ejemplo, la valoración de activos y del impacto, que es muy complicado, cada año nos enfrentamos a este ejercicio y nos resulta francamente de una complejidad altísima; además hay que hacerlo cada año, hay que evolucionar. Y por otro lado, la problemática de intentar responder a través de una metodología sustentada, tal y como nos solicita el Banco de España. Ante estos eventos que tenemos que reaccionar tan rápidamente, porque nos están robando en distintas geografías, tenemos que utilizar una metodología mucho más rápida como CASANDRA.

Javier Candau

Sin ánimo de ser polémico, revisando los contenidos de las charlas de esta mañana, a mí esto me suena a seguridad operativa. Los conceptos que estamos barajando son troyanos, compromiso de credenciales, exploits en sistema operativo, explotación de vulnerabilidades, acceso a bases de datos… En el CCN, en el año 2000, trabajábamos en una seguridad preventiva, y en 2005 tuvimos que pasar a una seguridad operativa, porque nos lo pedían las administraciones públicas. Ahora el 80% de nuestra actividad es uno de los conceptos que se manejan dentro de CASANDRA y también en todas las demás metodologías: la gestión de incidentes y la actuación dependiendo de lo que haga el atacante.

Creo que estamos intentando confrontar dos cosas aunque realmente estamos hablando de lo mismo. PILAR tiene una componente que no es el análisis de riesgo clásico, sino de riesgo dinámico, en donde se trabajan vulnerabilidades en tiempo real de todos los proveedores, enfocado en ese esfuerzo tan grande que se tiene que hacer para valorar los activos ya que podemos priorizar el esfuerzo. La OTAN, por ejemplo, ha implantado PILAR como motor de gestión de vulnerabilidades.

Y sí que es cierto que uno de los componentes fundamentales es conocer a tu enemigo. Yo soy militar y las actividades de inteligencia y contrainteligencia son muy importantes, pero ¿tú tienes la certeza de que conoces todas las vulnerabilidades? No lo creo. Tenemos un grado



de incertidumbre muy grande. Es más, intentas conocer a tu enemigo, pero éste va a luchar por sorprenderte. Con lo cual para nosotros es mucho más importante el componente de defensa, es decir, que mis barreras sean altas.

Aquí hablamos ya también del gasto. Nosotros identificamos dos enemigos claros, el que está relacionado con el ciberdelito, que es el atacante que va a buscar beneficio económico y que no discrimina entre las víctimas; y el atacante cuyo objetivo es atacar una determinada víctima y le da igual lo fuerte o débiles que sean sus defensas, para él va a ser trabajo, su objetivo. Y después también hay un componente adicional en los bancos con respecto a las administraciones públicas, el concepto de confidencialidad. En un banco, sI han robado un poco, bueno, se puede gestionar. En nuestro caso, si me roban un secreto, me echan a la calle, supone un game over. Yo tengo que manejarlo de la manera mejor posible para que eso no pase.

Rafael Ortega

Respecto al tema del quebranto económico, el game over en la banca existe igual. En cuanto al tema de conocer al enemigo, es una de las cuestiones que se plantean constantemente. La estrategia que tienen muchas entidades va más allá de las medidas de prevención. Empiezan a tener medidas de monitorización para, por ejemplo, la lucha contra ciertos tipos de fraude (por ejemplo, con las tarjetas EMV). Llega un punto que, por mucho que pongas más monitorización, se queda estable, o aparece una medida de prevención y te cae como un pico de

sierra ¿Qué es lo que pasa en estos momentos? El principio de incertidumbre de Heisenberg dice claramente que si tocas algo lo otro cambia. Se habla aquí de dos variables pero en seguridad tenemos múltiples, con lo que difícilmente lo vamos a gestionar. Es decir, si en tu organización, con los medios que tienes, te dedicas a la prevención difícilmente vas a tener medios para la monitorización. Lo dicen todos los analistas, Gartner o Forrester dicen que hay que invertir en monitorización, además de dar respuesta a posibles ataques no controlados, me refiero al concepto de “resiliencia” definido también en la Directiva de Ciberseguridad de la Unión Europea.

Respecto a Teoría de Juegos, en el ámbito de Infraestructuras Críticas hay grupos en Europa que están utilizando modelos de riesgo intencional basado en teoría de juegos. Es un punto de partida para evolucionar, como puede ser otro.

Nuestra experiencia es que para hacer un plan estratégico de seguridad nos han servido mucho más las técnicas de negocio que las técnicas propias de análisis de riesgos.

Javier Candau

Yo creo que estamos hablando del peso de las salvaguardas. Nosotros hace ya dos o tres años que estamos intentando pontificar dentro de las administraciones públicas que tienen que trabajar como si estuvieran infectadas. Los ataques de ahora no los vas a detectar y van a estar mucho tiempo dentro de la organización. ¿Qué tienen que hacer? Más vigilancia. Cuando hablas de



monitorización estás hablando de monitorización fuera de la organización, en Internet.

Rafael Ortega

Que va, dentro.

Javier Candau

Entonces me estás dando la razón. Pero hay que monitorizar en los dos sitios: fuera y dentro. Esto, por desgracia, en las administraciones públicas lo vemos con poca asiduidad. Tenemos mucha seguridad preventiva y muy poca vigilancia. Eso, vuelvo a insistir, es peso en las salvaguardas, es decir, ahora donde el IDS antes valía uno tiene que valer quince y la herramienta de corrección de logs tiene que haber veinticinco y el equipo de seguridad tiene que haber cincuenta. Así pues, CASANDRA y PILAR creo que van a ser primas hermanas.

Rafael Ortega

Son perfectamente compatibles.


Un análisis de riesgo con CASANDRA rápido, los chinos atacan ¿verdad? y su objetivo de negocio es muy simple, tenerlo controlado o colonizado, y ya verán luego qué es lo que hacen con eso. Como habéis hablado de monitorización, medidas y segregación interna de redes, que creo que es la siguiente frontera. Por ejemplo, el caso de poner información interna confidencial –un secreto industrial– en Dropbox. ¡Lo he puesto en Dropbox! La hemos armado. Las consecuencias

de un incidente de seguridad como sacar una información confidencial a un sitio público y bastante expuesto como puede ser Dropbox son cero si no pasa nada, se detecta y se quita la información antes de que pase algo. ¿Cuál es el impacto de sacar una cosa a Dropbox? Ninguno mientras no pase nada. Eso es una de las complejidades que tenemos siempre en seguridad de la información. Hay gente que dice que el único riesgo cierto es el riesgo de incumplimiento, que te pille el regulador, ese es el impacto (cumplimiento de PCI, la 31000, etc.).

Juan Corredor

BBVA ha utilizado ambas, conviven, y no descartamos utilizar una tercera, cuarta o la teoría de co-evolución de nuestro amigo Víctor Chapela y Santiago.

Luis Fernández

¿A vosotros qué os parece la intencionalidad? ¿Es un término de moda o realmente por ahí van y seguirán los tiros?

Javier Candau

Yo creo que la intencionalidad es frecuencia. Intencionalidad es a lo que nos tenemos que enfrentar ahora, donde hay voluntad y capacidad de poder hacernos daño. Seguimos con la clasificación de riesgos naturales, errores y ataques intencionados, pero realmente con lo que nos estamos moviendo y trabajando, es contra los ataques intencionados ya que el resto creo que lo tenemos parcialmente resuelto. Debe ser hoy



por hoy el hilo conductor de nuestra actividad dentro de los análisis de riesgos, evolucionar las herramientas a herramientas de análisis de riesgo dinámico a escenarios de ataque, que es una de las apuestas que está haciendo CASANDRA.


La intencionalidad es una cosa de toda la vida, siempre la ha habido. El que no la tenga en cuenta, que no conozca al enemigo, está haciendo el tonto.

Juan Corredor

Totalmente de acuerdo.

Rafael Ortega

Yo voy a dar la vuelta a la tortilla. Excepto los temas naturales, de lo accidental ¿qué se puede certificar que es accidental? Por ejemplo, si borran una rama del LDAP y no sé cuántas tiendas se han quedado sin servicio; ¿cómo ha pasado?, nadie se hace responsable, ¿alguien se ha equivocado? Pues no lo sé. Es decir, doy la vuelta a la pregunta: ¿cuánto de lo accidental es accidental o intencional? A lo mejor es mucho más sencillo gestionar el riesgo. En seguridad tenemos que pensar mal siempre.

Javier Candau

Total, que al final siempre trabajas con impacto, ¿no?

Rafael Ortega

No, trabajo con varias cosas.

Pregunta de la audiencia

¿Hasta qué punto las metodologías de las que estáis hablando están haciendo un análisis de la motivación? Las motivaciones económicas, principalmente por el tema de fraude, las motivaciones sociales, las motivaciones políticas, que está habiendo muchas últimamente, con las revueltas árabes, y de las motivaciones humanas, como pueden ser la venganzas personales. ¿Hasta qué punto las metodologías que estáis manejando y dónde, aplican técnicas o actividades para hacer ese análisis de motivaciones sociales aplicables a conjuntos definidos de grupos en ciertas zonas?

Javier Candau

¿Es importante la motivación o la defensa? A nosotros en el CCN-CERT nos preocupa el ciberespionaje. ¿Cuál es su motivación? El robo de la información. Nos preocupa el ciberdelito. ¿Cuál es su motivación? El beneficio económico. Nos preocupa el ciberterrorismo. ¿Cuál es su motivación? Provocar daños. Nos preocupa el ciberactivismo. ¿Cuál es su motivación? Protestar por algo. Y nos preocupa también la ciberdefensa. ¿Cuál es su motivación? En el ciberespacio tengo yo la iniciativa. Entonces, ¿esto de las motivaciones qué es? Cuando hablamos de motivación quizá estamos poniendo un adjetivo o una variación a una cosa que es demasiado difusa. Con lo cual yo digo, preocúpate de la defensa y de la monitorización.

Rafael Ortega

CASANDRA nació por la motivación del quebranto



económico y de la delincuencia organizada. A partir de ahí se han buscado más motivaciones, pero nació para eso.

Juan Corredor

Creo que la motivación y la intencionalidad están íntimamente ligadas. Desde el punto de vista económico, la principal motivación de una persona es conseguir dinero de forma fácil. Pero sabes perfectamente que el banco tiene sistemas de detección, etc.


En PILAR la motivación siempre la hemos considerado un agravante. Lo reducimos a la probabilidad: si hay una fuerte motivación, pues hay más probabilidad de que ocurra. De todas formas más que la motivación, lo que debería preocupar son los medios que tiene ese señor que está tan motivado. De hecho, ahora mismo hay un incremento de incidentes porque en muchos sitios hay mal ambiente. Eso es muy peligroso porque el atacante interno, que es del que estoy hablando, no necesita muchos recursos.


Creo que cuando estamos hablando de algo científico, hay que dejar la ética a un lado inicialmente. Partís de la base, en los métodos de análisis de gestión de riesgos, de que hay buenos y hay malos. Y eso es, valga la redundancia, malo. Creo que deberíais encontrar algún camino común entre los dos métodos porque parece que tenéis coincidencias en decir que los buenos

cuando tienen que defenderse llevan a cabo una gestión por acontecimientos, mientras que los malos realizan una gestión por objetivos. En mi opinión, habría que unificar esto.

Rafael comentaba que CASANDRA vale para aplicarse en algunos procesos de seguridad. Ha aludido a los iniciales con los que se generó CASANDRA, pero, ¿en qué otros procesos lo habéis aplicado? ¿Habéis aplicado parte, algunos módulos?

Rafael Ortega

Estamos trabajando en la aplicación de CASANDRA en procesos concretos de seguridad. Se ha aplicado completamente para un plan director de seguridad –se aplica para algunas tomas de decisiones–, y en enero espero que esté en producción para seguridad en ciclo de vida de proyectos. A partir de ahí seguiremos trabajando.

Hablabas de acontecimientos y objetivos. Yo creo que en esta mesa se ha hablado por cada parte claramente de los objetivos que tienen. Qué es malo y bueno, en mi opinión, en un Estado de Derecho lo marca la ley. Es decir, aquel que se salta la ley es malo y el que la cumple es bueno.

Comentario de la audiencia

No me refería al malo legalmente entendido, me refiero en el contexto del desarrollo de un útil (un método o una herramienta) con base científica. En todo caso, además, sería difícil tener que saber a qué legislación sería de aplicación en el mundo global.



Rafael Ortega

Yo la del país que vivo, no me queda más remedio.

Juan Corredor

La aplicación de CASANDRA en el banco ha sido básicamente aplicarla a los principales procesos de negocio del banco, desde tesorería, banca a distancia, medios de pago, o sea los principales, y se obtuvo resultados sobre ellos y la estrategia de protección de esos procesos de negocio. Más práctico, imposible.

Javier Candau

Yo quisiera matizar la pregunta relativa a buenos y malos, “el bueno gestiona acontecimientos y el malo gestiona objetivos”. El bueno está en defensiva, el malo está en ofensiva. El malo tiene libertad de acción y puede actuar en cualquier punto, y el bueno se pone a monitorizar. Monitorizar dentro no es un problema. Si es fuera, que también se hace, ¿hasta dónde llega la legalidad o ilegalidad? El objetivo siempre es bueno, defenderse, pero, ¿cuáles son los límites? Lo que sí que es cierto es que el bueno tiene que confiar. El que está en defensivo tiene inferioridad; la primera es seguramente de información, y la segunda puede ser de capacidad tecnológica. Así que tenemos que contrastar, resolver o intentar contraponer con otras cosas.


¿Qué opina usted de la idea que han empezado a criar los holandeses sobre el hacking ofensivo legal?

Javier Candau

En la cultura anglosajona eso está contemplado y además el control judicial es muy suave, es decir, para un anglosajón hacer una interceptación legal requiere poca autorización administrativa. En un país latino, hacer una interceptación legal requiere una autorización judicial, de otro poder distinto. Cuando estamos hablando de hacer interceptación, hacer un hacking sobre algo, hablamos de lo mismo. En el caso concreto de España hay que ir a un juez y exponer por qué necesitamos actuar sobre eso. ¿Qué me parece ese control judicial? Que como no hagas eso estás muerto, pero alguien te tiene que vigilar, porque también al defensor que tiene las armas ofensivas lo han de vigilar.


Nunca debería perderse de vista que tu objetivo es tu organización, sobrevivir a corto y medio plazo. Lo demás son medios. Si vuelvo a SunTzu: “En tiempos de abundancia se ataca, en tiempos de penuria se defiende”.


Estoy de acuerdo en que es prácticamente imposible conocer todas las vulnerabilidades que tienes en tu organización, pero precisamente los análisis de riesgo tradicionales se basan mucho en el egocentrismo, o sea, qué tengo, qué debilidades tengo, qué problemas y cómo defenderme de ellos. Estáis comentando que la intencionalidad se modela con la probabilidad. Ése es el único punto que hay en un análisis de riesgo tradicional hacia



fuera y la realidad es que hay gente que me quiere hacer daño y va a intentarlo por donde menos me lo espere. Hasta 2001 la probabilidad de que se estrellase un avión en una torre y cinco minutos después otro era mínima. Eso en un análisis de riesgo habría sido una probabilidad infinitesimal y sin embargo, intencionalmente, esa probabilidad existía. ¿Qué me comentáis de eso?


Hay cosas de alto impacto de bajo riesgo y te tienes que preocupar porque el impacto es muy elevado. En esos casos tú no puedes tomar medidas preventivas porque no hay capacidad para prevenir mucho más y reducir la probabilidad. Te centras en medidas para limitar el impacto y que no se vaya mucho más lejos.

Javier Candau

Nos estas apuntando a decir que el análisis de riesgo no tiene todas las respuestas, ¿por qué no nos hemos enterado de que iba a explosionar un avión y después otro? Eso es inteligencia y contrainteligencia. Aunque alcancemos cotas altas de conocimiento en esos campos, no vamos a tener la certidumbre de todo lo que puede pasar. Si no seríamos muy egocéntricos, como apuntas. Evidentemente la solución es pensar en qué hemos fallado a la hora de conocer a nuestro enemigo. Una herramienta de análisis de riesgo trabaja en analizar qué puede pasar, la probabilidad de que pase y cómo invertir en mitigar el impacto. Yo creo que poco más vamos a poder modular para intentar contrarrestar esos escenarios. Tan sólo disponer de una inteligencia

y, si nos han dado un golpe, analizar en qué nos hemos equivocado y en qué tenemos que ser más eficientes.


Una duda que me asalta siempre cuando utilizo una metodología de análisis de riesgo es ¿qué parte de lo que tengo que proteger conozco? Según vuestra experiencia, cuando trabajáis con grandes organizaciones, ¿con qué certeza sabéis cuáles son los activos que tenéis que proteger y dónde están?

Juan Corredor

Voy a contar una anécdota. Cuando un consultor nos presentó una herramienta de análisis de riesgo tradicional y dijo que podría llevar a cabo el análisis en dos meses, no le contratamos porque era una temeridad, porque es imposible hacer un análisis a un volumen tan ingente de activos o de supuestos activos y hasta dónde llega ese nivel.

Rafael Ortega

En base a mi experiencia, la dimensión es tan grande… Los vas entendiendo poco a poco y llegas a la conclusión de que hay que buscar modelos más ágiles para conseguir los resultados que necesita la organización. El tener la famosa CMDB bien centralizada, con una capa de infraestructura tecnológica y de aplicación, me gustaría verlo. Sí que he visto CMDBs en grandes organizaciones, con capa de infraestructura, es decir, activos tecnológicos hasta un cierto nivel. A partir de ahí puedes hacer



algún trabajo, más que análisis de riesgo, sobre todo para temas de continuidad. Respecto a la problemática que surge en entidades financieras, en especial en la capa de aplicación, yo no conozco ningún caso.


Pienso que con los activos donde tienes que proteger el valor hay que ser un poquito generoso y ambiguo. Pretender tener una CMDB en detalle es ciencia ficción.

Respecto del valor que hay que proteger, en MAGERIT pasamos la pelota para arriba, decimos que es un tema de gobierno y que alguien decida cuál es el valor que hay que proteger.

También tenemos experiencia en el Esquema Nacional de Seguridad, vas a diferentes organismos y les preguntas cuál es la información y los servicios que consideran valiosos y cómo de valiosos son. Por ejemplo, te encuentras que, si tenemos 90 organismos hay 90 opiniones, esto crea un desconcierto bastante profundo. No sé si dentro de una organización puede haber una cierta unidad a través de un Consejo de Dirección o de Seguridad de la Información, por ejemplo. Pero supongo que en organizaciones grandes (multinacionales, con muchas culturas, numerosos cumplimientos, clientes diferentes), como el BBVA, existe este problema y está encima de la mesa. En este caso, la pregunta final se ha de referir a escenarios: ¿dónde no quiero estar yo? Aprecio que en la mayor parte de los sitios lo que más les preocupa es la reputación, el riesgo reputacional. No tiene ninguna comparación estar dispuestos

a perder una gran cantidad de dinero con tener una mala reputación, que también supone mucho dinero. Las reputaciones son bienes intangibles, perspectivas de negocio. El análisis de riesgo te puede decir cómo de arriesgada es la actitud que estás tomando, pero cuál es el valor que tienes, se escapa a los mecanismos de análisis y se corresponde más con los aspectos de buen gobierno, comprensión del negocio y de tener a alguien que tenga una visión estratégica.

En lo que respecta a los organismos militares, categorizan la información como clasificada o confidencial. Por ejemplo, en los casos en los que el gobierno americano ha sufrido robos de información top secret, los responsables se han ido a la calle. Que esas reglas estén bien claras, simplifica mucho. En las organizaciones, se plantea poner un Comité de Seguridad de la Información y unos criterios claros para que no dependa de la opinión, pero eso cuesta muchísimo llegar a establecerlo.


Conociendo tanto las metodologías tradicionales como CASANDRA, considero que son dos formas diferentes de priorizar los activos. Por ejemplo en el caso de CASANDRA algunas veces nos encontramos con activos que se priorizan muy altos, porque aun cuando no valen, es decir, el impacto para la organización es mínimo, o nulo, si son robados (por ejemplo, en el caso de que roben todos los números de tarjeta de un comercio que ya los usó –los tiene ahí por razones contables– y ese impacto para el comercio, si nadie se entera que fue el comercio, es nulo) son lo más valioso que tenía (ese comercio) de



cara al atacante, su objetivo principal; por tanto, se tendría que haber protegido.

Hay una cuestión de priorizar; sobre todo hoy en día ya que es más el espacio entre la seguridad que nos gustaría tener y la que realmente se puede hacer; los recursos son muy limitados. Me parece que en una metodología de análisis de riesgos es importante priorizar adecuadamente, y además es cierto que para un banco es muy diferente que para el gobierno, o sea, están priorizando cosas distintas.


Nos gustaría a todos tener una vertiente que sería CASANDRA y otra más tradicional como PILAR. En el término medio es donde se encuentra la sabiduría. Hasta ahora ha habido escenarios que daban lugar a trabajar en un área más de orden preventivo (PILAR), pero ahora estamos en otro escenario donde la parte correctiva tiene un peso específico muy grande y hay una palabra intermedia que es la monitorización. Empecemos a trabajar a favor de lo conocido, a proteger el valor de nuestros activos (en clave de valor y en clave de coste) y, por otro lado, intentar ver qué está pasando fuera, porque no podemos pensar que hay un dentro y un fuera. Ahora ya esas barreras no existen. Creo que el término medio en un enfoque preventivo-correctivo es al que debemos de ir en el tiempo.

Javier Candau

Estoy de acuerdo contigo pero por desgracia en el

nivel de madurez de nuestros sistemas, ya estamos poco en preventivo y mucho en correctivo. Esto de preventivo y correctivo, adobado con monitorización, es el dilema en el que estamos ahora. Quizá los análisis de riesgos nos pueden ayudar en qué tenemos que corregir antes para lograr una mayor eficiencia en seguridad o conseguir una reducción mayor del riesgo.

Rafael Ortega

Estoy completamente de acuerdo contigo, pero sigo opinando que los dos modelos van a funcionar y tienen que funcionar a la vez, porque cada uno sirve para cosas distintas. Los nuevos modelos están en una madurez primaria, mejorando sobre todo la parte dinámica. No pueden competir con MAGERIT que lleva catorce, quince años.

En mi opinión, los modelos actuariales no terminan de convencerme, quizá por lo que viví en los años 90 respecto a los análisis de riesgos. Además al final tengo que convencer a la Dirección, para que me dé el dinero para empezar a trabajar, si no hablo el mismo lenguaje ya tengo un problema. Cada modelo se utilizará para distintas cosas, al menos en mi caso particular. Cuando vaya a hacer un análisis de riesgos, un plan director, una adecuación al ENS cuando toque, no voy a utilizar CASANDRA, voy a utilizar lógicamente MAGERIT como metodología y PILAR como herramienta, porque es la aproximación que más se acerca a todo eso. Adaptaré a cómo está trabajando la organización donde voy a hacerlo, no todo sirve para todo, no hay receta. Creo que el evolucionar, probar nuevas cosas y ver



qué resultado dan –lo que he dicho al principio– siempre es bueno.

Juan Corredor

CASANDRA en la parte alta del diábolo es absolutamente preventivo, ya que previene la obtención de los elementos que te permitan obtener los conjuntos habilitadores de fraude, para que no se pueda producir el fraude. Es decir, la parte preventiva es la primera que se ataca para proteger el activo. Si no puedes proteger el activo porque tus medidas preventivas han fallado o el atacante tiene otro tipo de métodos de ataque que no dependen de ti; por ejemplo phishing, es imposible que desde dentro de la organización lo puedas evitar, porque el atacante es gente que tú no controlas intentando coger información, el conjunto habilitador que obtienen les permite efectuar fraude; ahí entran fundamentalmente medidas de monitorización que es la parte baja del diábolo. Con lo cual en este caso CASANDRA no descarta ni medidas de monitorización, ni medidas preventivas, ni las correctivas.


Cuando encuentras una serie de debilidades, lo primero que intentas poner son medidas preventivas. Llega un momento en que son muy caras y merman la productividad. Hay una palabra inglesa, preparedness, que significa estar preparado para cuando ocurra aquello que tú no quieres que ocurra. Supongo que con esto de la ciberseguridad va a aparecer mucho. Se insiste aquí en ejercicios, comunicación, montar mecanismos de defensa donde colaboremos cuando ocurran incidentes.

Para eso hay que estar preparados; empiezan incluso a aparecer métricas de preparación.

Por otro lado, habláis de MAGERIT como metodología y PILAR como herramienta ¿Sabéis cuanta gente compra PILAR y la usa sin leer MAGERIT? Quieren soluciones, un análisis de riesgo rapidito y que esté básicamente bien. Yo creo que hay que automatizar, dar soluciones. No podemos convertir a toda la sociedad en expertos de análisis de riesgo.


Nos encontramos con unos escenarios en las operativas de las organizaciones que en un 95% –por tabularlo algo– estamos en clave de prevención. Todas las soluciones que vamos colocando en los entornos de red son para escuchar y saber así que hay algo anómalo en un momento determinado. Con lo cual, hemos tenido que determinar que para escuchar tenemos que colocar algo, esto es una acción preventiva. Después está el apagar el fuego; cuando realmente estamos viendo que tiene un comportamiento extraño, a partir del uso de reglas, filtros, etc., ya empiezan a desencadenarse procedimientos operativos de seguridad. Es una percepción o un entendimiento que en este sentido tengo.

Rafael Ortega

A mí me gusta conocer las cosas que manejo (MAGERIT, CASANDRA, etc.). Creo que la automatización es útil cuando estás haciendo constantemente algo repetitivo y es, digamos, eficiente. El conocer no ocupa lugar, MAGERIT



es un modelo de análisis de riesgo muy válido, y comprenderlo y entenderlo hace que cojas lo mejor de él. Me ha llevado su tiempo comprender CASANDRA hasta que lo utilicé en un proyecto. Al conocimiento no le pongo barreras. Se está trabajando con la herramienta, tampoco las herramientas son la panacea. Como he explicado, considero que son el último eslabón en la cadena (metodología, actividades, técnicas y herramientas). Creo mucho en el uso de buenas técnicas, la herramienta es un facilitador.

Javier Candau

Creo que estamos hablando en dos planos distintos. Por un lado, el plano de dar la propuesta y solución. En el caso de PILAR, esta creció pero al final pasamos a PILAR BASIC. Tras el trabajo con OTAN, salió la herramienta MICRO-PILAR ya que OTAN quería un PILAR for dummies (PILAR para tontos).

En otro plano situaría la aportación de CASANDRA. En el CNI tenemos el Modelo de Diamante, basado en conocer a tu enemigo. Conocer las capacidades técnicas e infraestructuras del atacante. Cuando decimos phishing, ¿eso no lo podemos controlar? Si yo llego a monitorizar el ordenador desde el que sale el phishing, yo puedo decirles a mis usuarios para parar esos ataques. Esta aproximación a unas medidas más activas sobre la ciberseguridad me suena más al diábolo de CASANDRA.


Considerando el problema del análisis en macro, es decir, no soy capaz de tener una visión de todas las partes. Yo planteo el problema desde el ámbito

micro. Los análisis tradicionales suponen que sumando todos los micros, llegaremos al macro. Ese cálculo de probabilidades llevado al extremo sería como observar por dónde va el electrón. ¿Cómo vamos del micro al macro, del macro al micro?


Nadie sabe hacer eso exactamente, las probabilidades en pequeñas dimensiones no funcionan. O tienes una base de conocimiento o tienes un teorema del valor medio o del punto medio, o no te funciona. No hay ninguna curva de distribución de probabilidad sobre sujetos individuales.

Pregunta adicional de la audiencia

¿Y no será ese el problema, que hablamos de frecuencia en vez de distribución de probabilidades?


Si tú quieres hacer distribuciones de probabilidades, acabas con los temas de Montecarlo; éstos no escalan, no te puedes ir muy lejos. Cuando salen los resultados, hacer el backtrack y conseguir explicar a tu jefe por qué sale esto es complicado, le pierdes detrás de un montón de simulación, y como no quiere creerte, tiene un montón de argumentos para decirte: no me lo creo.


Y por eso vamos a teoría de juegos, porque eso sí que lo entienden.




Otro tema que está encima de la mesa, de hecho en OTAN nos lo están pidiendo, todavía no es muy insistente. Consideran que hacer los grandes análisis de riesgos implica demasiado trabajo, esfuerzo e inversión –un arco románico– para poco retorno (payback). Sin embargo, a las versiones MICROPILAR y PILAR for dummies las siguen llamando Risk Analysis for Dummies. Es decir, consideran que eso sí que lo pueden hacer, lo controlan y lo pueden entender y explicar. Si el jefe no está de acuerdo, se cambian parámetros hasta llegar a un acuerdo. Ahora nos piden meterlo en una red (lattice), intercomunicar todo.

Creo que uno de los problemas es que cuando tienes un incidente en un sitio con una probabilidad más o menos calculada, lo que tienes que impedir es que ese incidente se propague, poner fronteras interiores y segmentos interiores. Antes se hablaba mucho de cortafuegos, ahora tenemos macro redes con 2.000 y 20.000 ordenadores y tenemos que ver si podemos dar una respuesta para evitar que pequeños incidentes circunstanciales puedan convertirse en una llamarada que arrase.

Luis Fernández

Os voy a formular una pregunta a cada uno de vosotros. Javier, ¿qué es lo mejor que dan las metodologías hasta ahora y qué hay que pulir?

Javier Candau

Puedes llegar a la dirección con un mensaje

claro. Hay que pulir los macro-análisis de riesgos y hay que ir a una aproximación rápida para conseguir un resultado rápido. En un análisis de riesgo no podemos tardar más de una semana en dar una primera aproximación. Todo lo que no sea eso es enredar, gastar y ser poco eficiente.

Luis Fernández

Rafael, ¿qué se ha hecho mal y qué se está haciendo bien ahora?

Rafael Ortega

No se ha hecho mal nada. He trabajado con una versión antigua de PILAR y con MAGERIT en muchos clientes y es absolutamente válido para un entorno determinado. Las metodologías clásicas de análisis de riesgos (CRAMM, OCTAVE, ISF, etc.) son válidas. Simplemente nosotros estamos abriendo otra vía, con otras técnicas y con otras herramientas, para resolver problemas de un modo más ágil.

Luis Fernández

Juan, cuéntanos por favor algún ejemplo; vías nuevas en que estáis siendo rupturistas y que generan atisbos de que vais en el buen camino a través de CASANDRA.

Juan Corredor

La línea de trabajo que hace un par de años se abrió en el banco gracias a CASANDRA en el análisis de los distintos procesos de negocio. En la actualidad tenemos procesos montados en los



que cada iniciativa de negocio que nos entra se analiza en base a CASANDRA para determinar cuál es la mejor forma de protección. CASANDRA está institucionalizada dentro del proceso de análisis del banco para cada uno de los proyectos que entran, o para cada una de las líneas de negocio.

Luis Fernández

José Antonio, por favor, ¿hacia dónde va PILAR?


Hacia donde los usuarios quieren. Se está volviendo muy compleja por la integración con equipos de trabajo y por la integración en

procesos más grandes. Queremos que PILAR sea tu security companion, o sea, que cada vez que tomas una decisión en seguridad, puedas justificarla de alguna manera con un razonamiento.

Asimismo, creo que las metodologías que rápidamente identifican las capacidades del enemigo, que es en lo que se centra CASANDRA, pueden hacer que seas rápido y dar soluciones a ese tipo de cosas.



urante esta charla hablaré del estado del arte en tecnologías de detección de fraude, cómo han evolucionado y cómo se ha llegado a la necesidad de

construir muchas capas de defensa.

En primer lugar haré un breve resumen de algunas estadísticas y tendencias referentes a España, Europa y el mundo, y especialmente a Reino Unido, de cara a refrescar el problema al que nos estamos enfrentando. De hecho, Londres es la capital de la delincuencia financiera europea, con numerosas bandas de crimen organizado. En este sentido, desde la organización en la que trabajo hemos visto que los métodos de ataque

cambian con el tiempo y también nos hemos fijado en cómo se han ido moviendo alrededor del mundo y entre organizaciones. Por tanto, la visión que obtenemos al trabajar como vendedor de tecnología por todo el mundo es muy interesante.

Posteriormente hablaré de algunas de estas tecnologías en las cuáles el estado del arte se centra en la detección del fraude. Algunas de las técnicas solapan aspectos tales como ciberdefensa, compliance y prevención de blanqueo de dinero. No obstante, hoy nos centraremos en las técnicas de fraude específicamente. Para ello explicaré una técnica que hemos denominado “análisis de redes sociales”, que versa acerca del uso de

Stephen MoodyResponsable de Financial Crime Solutions en BAE Systems Applied Intelligence


TÉCNICAS AVANZADAS PARA DETECTAR ESQUEMAS COMPLEJOS DE FRAUDE EN

GRANDES CONJUNTOS DE DATOS



los datos que tiene tu organización (registros de clientes, cuentas, transacciones o información de terceros) para construir contexto sobre clientes reales, sus operaciones, los riesgos, y cómo esto proporciona una gran mejora en la precisión de la detección de fraude. Expondré algunos ejemplos y también hablaré de cómo podemos optimizar modelos de fraude, cómo podemos testearlos, asegurar que sean precisos mediante algoritmos y automatización. También hablaré del uso de fuentes de datos de terceros que pueden ser adquiridas comercialmente. Del mismo modo, comentaré la importancia de la compartición de datos entre organizaciones para ayudar a detectar más fraude.

También expondré los trabajos que recientemente hemos llevado a cabo en el campo de las operaciones comerciales no autorizadas (operaciones bursátiles no autorizadas). Por otro lado, comentaremos algunas técnicas de aprendizaje máquina no supervisado (unsupervised machine learning) y técnicas de clustering con las que se pueden mapear comportamientos. A continuación hablaré de análisis visual y análisis basado en grafos para dar respuesta ágil a la automatización en la detección y prevención del fraude frente al dinamismo y evolución de las amenazas –los comportamientos cambian continuamente.

Finalmente expondré brevemente cómo podrán evolucionar las tecnologías para enfrentarse a las nuevas técnicas de ataque.

TENDENCIAS A NIVEL GLOBAL

Se estima que la cantidad existente de fraude y

evasión de impuestos es alrededor de dos veces el déficit de toda la Unión Europea (ver diapositiva 3). Así que si pudiéramos reducir a la mitad este problema, tendríamos un impacto masivo. El Reino Unido es una especie de vivero para ciertos tipos de fraude; por ejemplo, en el sector seguros actualmente hay un tipo de fraude denominado “crash for cash” y relacionado con reclamaciones fraudulentas, éste está teniendo tanta presencia que se cree que 1 de cada 7 reclamaciones por lesiones de accidentes automovilísticos está relacionada con estas redes de delincuencia organizada.

Recientemente, un informe expone que la mitad de las compañías españolas ha sufrido algún tipo de fraude. Hemos sido testigos de algunos ataques organizados a gran escala en los que ha habido ciber-intrusiones, robos de identidad, compromiso de cantidades masivas de datos, clonación de tarjetas y posterior extracción de grandes cantidades de dinero. Algunos de estos casos han llegado a implicar pérdidas en torno a los 50 millones de euros en un solo fraude. Además, todo este dinero se utiliza para financiar otras actividades criminales inicuas relacionadas con el tráfico de armas, drogas, tráfico de personas e incluso terrorismo.

Pérdidas por fraude en Reino Unido

El mes pasado salió un informe con un desglose del fraude en Reino Unido. La cifra global se estima en 52.000 millones de libras. Pero aún es más interesante observar cómo se desglosa y cómo han evolucionado las tendencias durante los dos últimos años. La delincuencia organizada



supone unos 18 billones, es decir, al menos el 34% del total y se cree que probablemente sea más. Otro aspecto interesante es que se han detectado 7.500 grupos de crimen organizado operando en Reino Unido, de los cuáles alrededor de 500 operan a nivel internacional. Implica que éstos pueden atacar a las organizaciones desde diferentes países dificultando aún más la aplicación de las leyes.

Las cifras relativas a los robos de identidad son un poco alarmantes, el 27% de la población mayor de edad en Reino Unido ha sido víctima de algún tipo de robo de identidad. Se podría considerar que, si esta tendencia continua, en un período de 10 años toda la población podría estar afectada por este tipo de fraude. De nuevo, la mayoría de los casos de robo de identidad se asocian al crimen organizado. Por otro lado, también se ha detectado que alrededor del 40% de los fraudes registrados y trazados en Reino Unido se acometen en el ámbito electrónico (ciber-enabled fraud). Esta cifra aumenta año tras año a medida que la delincuencia organizada se da cuenta de que este tipo de fraude es mucho más seguro, fácil y provechoso para ganar dinero que el tráfico de drogas u otras actividades más peligrosas.

Los fraudes debidos a infiltrados dentro de una organización también aumentaron en un 42% en un año y se piensa que es principalmente debido a la coyuntura económica.

Estas cifras indican tendencias relativas a los últimos años. Probablemente se den situaciones similares en España y es interesante observar cómo suceden en los diferentes países. A medida

que hemos observado el fraude a través de diferentes organizaciones hemos detectado muchos métodos nuevos iniciados en Reino Unido, ya que hay mucha actividad de crimen organizado localizada allí, y exportados a otras regiones del mundo. Esto implica la necesidad de una continua y rápida actualización respecto a todas las técnicas de fraude.

Evolución de los métodos de ataque

Es muy interesante ver cómo evolucionan las metodologías de ataque (ver diapositiva 5) y cómo se perpetra todo este espectro amplio de tipos de fraude.

Por un lado tenemos el fraude oportunista, del cual hay muchos ejemplos. La mayoría del fraude en el sector seguros es oportunista (por ejemplo, reclamaciones fraudulentas relativas a daños por accidente). Los métodos de detección tienden a centrarse en las entrevistas con los reclamantes (por ejemplo, utilizando tecnologías de Voice Stress Analysis VSA)

Si la gente se sale con la suya con este tipo de fraude de bajo nivel, es posible que se muevan hacia técnicas de fraude más planificadas (las situadas en capas superiores del gráfico de la diapositiva 5). En el fraude planificado los individuos realmente se planifican con intención. No es necesariamente algo grande y organizado. Ejemplos de ello podrían ser el fraude de primera instancia (First Party Fraud, en inglés) contra el banco, en este tipo de fraude alguien abre una cuenta y pretende pedir una gran cantidad de crédito que nunca devolverá porque desaparecerá.



Además, la delincuencia puede optar por avanzar aún más hacia arriba en el gráfico. Hablamos aquí ya de grupos de individuos organizados planeando ataques múltiples, lo que supondrá un árbol de ingresos superior –en estos casos, la parte económica de todo el proceso ya comienza a ser un factor clave. Para combatir este tipo de casos, ya hay que considerar la “economía” de cada operación fraudulenta. Es decir, si haces fraude organizado te va a costar dinero montarlo –hay un coste asociado– y hay un retorno, con lo que a la hora de desplegar técnicas de prevención, interrupción y detección de dicho fraude principalmente se intenta aumentar ese coste con el fin de que no sea económicamente rentable. Esto no significa el cese de dicha actividad fraudulenta pero sí puede implicar que cesen los ataques a tu organización.

Hay que tener en cuenta que, además, con Internet y la sociedad digital actual se puede incluso automatizar el fraude (hackeo de redes, estafas mediante phising, entre otros ejemplos). Así que el reto aquí se centra en enfrentarse a la escala de este tipo de procesos; en concreto, las posibilidades de que puedas ser atacado aumentan exponencialmente al igual que los daños. En este caso nos encontramos con casos tales como los robos masivos de datos –de cuentas cliente, por ejemplo–, después esas cuentas pueden incluso ser controladas. Además, los criminales aprenden rápidamente el funcionamiento de las técnicas de fraude e incluso investigan al respecto. De hecho, estamos detectando técnicas mucho más sofisticadas que son perpetradas rápidamente, en un período de tiempo muy corto. Por ejemplo, hubo un caso

relacionado con un banco en el que se ejecutó un ataque de distracción en la red, un robo de datos, el control de cuentas tras la clonación de tarjetas seguido de una extracción masiva de dinero en ATMs durante un período corto (creo que afectó a miles de ATMs de todo el mundo), todo esto organizado por un único grupo. Por tanto, con este ejemplo vemos que la escala de este tipo de acontecimientos es muy grande y tienes que considerar todo en perspectiva, la pérdida supuso alrededor de 40 millones.

Evolución de las tecnologías de detección

Si echamos un vistazo al gráfico de la diapositiva 6, se puede observar cómo han evolucionado las innovaciones delictivas (se representan mediante líneas rojas situadas en la parte inferior del gráfico). También se puede ver cómo las innovaciones tecnológicas en detección lo han hecho en paralelo para mantenerse al día respecto a los métodos que utilizan los delincuentes.

Antes de la era de Internet, la investigación en fraude era manual y se basaba prácticamente en el juicio de expertos (Investigator’s nose), éstos observaban los comportamientos, el modo de hablar, el modo en el que las solicitudes se escribían, etc.

Posteriormente llegó la era de la computación y de las herramientas de análisis de datos con las que fue posible buscar tendencias, estudios estadísticos y la detección de patrones de fraude. Después llegaron las reglas automatizadas, el escaneo automático de software, de solicitudes, de transacciones; la búsqueda de patrones de



fraude en base a comportamientos. En este punto, las organizaciones criminales innovaron de una forma bastante interesante ya que analizaron cómo funcionaba la protección mediante automatización de reglas. Por ejemplo, si se dispone de un sistema automatizado para rechazar solicitudes, el criminal enviaba diferentes tipos para ver cuáles eran aceptadas y cuáles rechazadas.

Posteriormente llegaron los conceptos de minería de datos (data mining), análisis de datos (analytics) y aprendizaje máquina (machine learning) para optimizar la automatización de reglas y hacerla más difícil de predecir. También hubo innovaciones tales como el uso de listas de defraudadores conocidos (fraud watchlists) para cotejar los datos con técnicas de correspondencia (data matching). En este punto, los defraudadores vieron que el robo de identidades era una buena solución frente a estas nuevas técnicas de detección. Además, era un modo que implicaba correr menos riesgos a la hora de cometer el fraude.

Después llegaron toda una serie de innovaciones tales como la automatización de resolución por entidad (automated entity resolution) basada en la búsqueda de datos de personas analizando diversas bases de datos, incluso datos de terceras partes para tratar de verificar identidades y comprobar que no hayan sido objeto de robo. También llegaron los análisis de redes sociales (Social Network Analytics) para, en vez de evaluar a la persona que se presenta ante la organización, se evalúan las conexiones en una solicitud (por ejemplo, una dirección de correo electrónico, número de teléfono, etc.).

A partir de aquí, los delincuentes crearon una innovación bastante ingeniosa con la que distribuían sus fraudes, es decir, en vez de tomar control de una cuenta y tratar de hacer un robo de gran cuantía, distribuían el fraude a través de múltiples pequeños ataques. Aprendían cómo funcionaban los sistemas de detección de las cuentas de los clientes, por ejemplo, límites en cuantía, destino de la transacción, etc. para acometer los ataques sin ser detectados evitando que las alertas saltasen y que los afectados se dieran cuenta al revisar los extractos bancarios. Así podían acometer estas actividades fraudulentas durante un período de tiempo mayor sin ser detectados.

Ahora la cuestión es saber cuál será la próxima innovación. En base a los estudios que hemos llevado a cabo, creo que dos de los factores claves van a ser la velocidad y la agilidad. Predecir qué va a suceder es muy difícil, no obstante, lo que sí es necesario es que los sistemas sean ágiles, es decir, que se puedan añadir cambios en ellos tan rápido como sea posible. Por ejemplo, puede que necesites incorporar una nueva fuente de datos que te ayude a detectar un nuevo tipo de fraude, para ello necesitas integrar esa nueva fuente en tu sistema para poder explotarla tan rápido como puedas.

Estado del arte en la detección de fraude

En la diapositiva 7 presentamos un ejemplo de cómo sería una solución de detección de fraude actual, en base al estado de arte.

A la izquierda tenemos las fuentes de datos que alimentan el sistema. Primeramente, las



de tiempo real, que podrían ser datos tales como comportamientos on-line a través de la página web, transacciones de pagos en el sistema o solicitudes para abrir una cuenta o pedir un crédito. Es decir, son datos de todo lo que necesitas saber para tomar una decisión en el ámbito de riesgo y fraude inmediatamente, en tiempo real. Además también se dispone de datos históricos de los clientes, de su histórico de transacciones, de sus solicitudes anteriores, etc. y de un histórico de casos de fraude. Incluso, si se colabora con otras organizaciones, se podría tener acceso a las listas de fraude conocido (known fraud watchlists) de otras organizaciones, por ejemplo, la lista World-Check relativa a delitos en el sector financiero. Asimismo, se puede tener acceso a información de terceros disponible comercialmente que pueda ayudar a enriquecer el contexto para la toma de decisiones.

Por otro lado, se dispone de la plataforma tecnológica que procesa esos datos. En la parte superior de la diapositiva se localizan tres bloques en paralelo. Un motor de reglas (rules engine) para aplicar heurística basada en el conocimiento experto. También se realiza correspondencia de datos (data matching) en base a listas (watchlist march) para comprobar que la persona que se presenta ante la organización no es conocida en base a riesgos detectados anteriormente. También se ejecutan modelos analíticos (Predictive Analytics) a partir de algoritmos de detección denominados “Stone Algorithms” que revisan todos los datos que entran al sistema y ofrecen una puntuación o score. Es posible adquirir estos tres bloques en conjunto y es importante disponer de éstos trabajando en conjunción.

Y todos esos sistemas están soportados por un proceso de enriquecimiento de datos que mejora el contexto de la información para todos los sistemas. Por un lado, se aplica resolución por entidades (Entity Resolution) para buscar coincidencias con todos los individuos y conjuntos de datos que se presentan (por ejemplo, para cualquier persona que esté solicitando abrir una cuenta se sabe inmediatamente si ya ha realizado solicitudes previamente, si tienen más cuentas u otro tipo de productos con nuestra organización). También se aplica la analítica de redes sociales (Social Network Analytics) para obtener una lista de direcciones, números de teléfono, correos electrónicos e incluso direcciones IP relacionadas. Así se puede enriquecer el contexto para mejorar la toma de decisiones.

Por tanto, el sistema avisa sobre la solicitud o la transacción indicando si es de alto o bajo riesgo. Los casos de bajo riesgo no son interrumpidos y no supondrán molestias para el cliente. Y los casos de alto riesgo o se grafican/visualizan o se redirigen a una cola para que sean investigados. En estos casos, se tiene que disponer de herramientas de gestión de tareas (Task Management) y casos (Case Management) y las herramientas analíticas tienen que ofrecer una justificación o razonamiento de por qué ha sido identificado el caso como fraude de una forma inteligible por operadores humanos. Es decir, por ejemplo, se puede utilizar algoritmos de black-box o incluso redes neuronales para conseguir datos sobre el nivel de riesgo de fraude pero el reto aquí está en presentar el significado de los resultados de un modo fácil de comprender para las personas que investigan estos casos de tal



modo que se les asista en su toma de decisiones de un modo más informado. Así que suele ser mejor usar algoritmos que puedan explicar al investigador por qué se tomó esa decisión determinada y así él pueda tomar la decisión final de si el caso es ciertamente un caso de fraude o si ha saltado la alarma por otra razón.

Hay también retroalimentación en el sistema. Así si el investigador está buscando algo y decide marcarlo como fraude cuando no lo es, el sistema aprende que esas solicitudes concretas no son fraudulentas. Así se puede mantener una optimización de los modelos en estos aspectos.

Cuando hablamos de grandes cambios, el otro aspecto a tener en cuenta es la investigación llevada a cabo por personas. Por ejemplo, si pasa algo totalmente nuevo y tus pérdidas por fraude están aumentando, alguien tiene que analizar los datos, entender cómo han perpetrado el ataque y actualizar los modelos para protegerse. De modo que es necesario un analista altamente cualificado, que esté formado en las técnicas de análisis de datos y que pueda pensar como un defraudador. Y también se necesitan sistemas con la agilidad necesaria para actualizar las reglas y los modelos.

Otro aspecto clave es hacer continuamente investigación de las amenazas y desarrollo de los modelos de protección (Global Threat Research and Model Development) para que funcionen de una manera análoga al sistema inmunológico humano. Nuestro sistema inmunológico tiene una especie de capa basada en reglas para buscar cosas conocidas y saber si son peligrosas, y

también tiene una capa de reconocimiento de patrones que estudia cómo los agentes patógenos están entrando en el cuerpo e interactúan. De todos modos hay una diferencia importante: los agentes patógenos evolucionan muy lentamente mientras que los atacantes o defraudadores, que son personas, modifican sus métodos de una forma más ágil. La analogía en este caso son las vacunas. En la medicina una vacuna es una manera muy eficaz de protegerte contra algo que no has visto antes: si no has cogido esa enfermedad, sabes que está por ahí fuera y no quieres sufrirla, por eso te vacunas. Gracias al suministro de la vacuna, si te expones a ese patógeno, ayudas al sistema inmunológico a aprender cómo lidiar con ello. En nuestro campo, se aplican técnicas similares para los sistemas de detección de fraude. Para ello se dispone de un equipo de investigación y desarrollo que entiende los patrones de ataque del fraude –incluso los que no necesariamente haya experimentado la propia organización pero quizá en otras sí–, para actualizar el sistema y sus modelos de protección antes de que se acometan los fraudes.

Vamos a contar un ejemplo sencillo para ver cómo el sistema de detección toma una decisión. En la diapositiva 8 se muestra un ejemplo con tres potenciales clientes que presentan una solicitud para abrir una cuenta en un banco. En la diapositiva se visualizan los datos básicos de la solicitud: nombre, fecha de nacimiento, número de teléfono, etc. Normalmente se realizan comprobaciones básicas sobre datos relativos al crédito, verificación de las listas de fraude (watchlist), etc.



De estos tres casos, únicamente uno corresponde con una persona totalmente inocente; los otros dos son casos de fraude. Uno de ellos intenta acometer fraude en primera instancia (first-party fraud) gracias a la ayuda de un infiltrado dentro de la organización, y el otro corresponde con robos de identidad de una banda organizada.

¿Cómo podemos saber cuál es el cliente inocente y cuáles no? Primeramente, se aplica el test básico relativo al crédito (credit check/Watchlist Check), ninguno de ellos figura o ha figurado en la lista. Con mucha frecuencia, la mayoría de las organizaciones aceptarían entonces a los tres, pero ya sabemos que dos de ellos son defraudadores así que sería una mala decisión. ¿Qué más podríamos hacer? Por ejemplo, resolución por entidades (entity resolution). Como disponemos de la información sobre las personas, verificamos primero si ya hemos visto estos datos antes y qué más sabemos de estas personas (¿han solicitado antes la apertura de una cuenta?, ¿tienen otras cuentas?). En el caso del primer solicitante, no podemos encontrar ninguna información. Respecto a la segunda, encontramos otro registro y vemos que tiene otra cuenta pero con un número de teléfono y dirección diferentes; el sistema basado en reglas marcaría esto inmediatamente. Y del tercero encontramos alguna información más relativa a una solicitud anterior para abrir una cuenta que fue rechazada, y lo hizo desde una dirección diferente y con un número de teléfono distinto. Además, el motivo del rechazo fue un fallo en el test de crédito (credit check). Todavía no sabemos cuál es el defraudador pero estamos construyendo una visión mejorada ya que tenemos más información que al principio.

Voy a explicar ahora cómo el sistema realiza el análisis avanzado de redes sociales. Tenemos un montón de información adicional (direcciones, números de teléfono, correos electrónicos) que puede ser también revisada. Como vimos con los fraudes, éstos suelen dejar ciertos patrones en los datos, lo que nos puede ayudar a detectar la diferencia entre los clientes honestos y potenciales defraudadores. Vamos a exponer un ejemplo de resolución por entidades. Imaginen que tenemos un montón de bases de datos en el sistema con información sobre los clientes acumulada a lo largo de los años conformando un gran volumen de datos; en este escenario, normalmente es complicado incluso saber quiénes son tus clientes y qué datos dispones de ellos. El sistema tiene que buscar coincidencias en todos estos repositorios de datos y en ellos hay errores de deletreo, variaciones, incluso modificaciones que se han hecho a propósito. Para ello se tiene que combinar técnicas de correspondencias exactas (exact matching), parciales (fuzzy matching), fonéticas, basadas en nombres, en direcciones, considerando diferentes idiomas, etc. En el ejemplo de la diapositiva 11 tenemos tres registros, que pueden ser de diferentes bases de datos: uno proviene de la solicitud, otro de registros del cliente ya existentes y el otro puede venir de una base de datos de transacciones. Y tenemos algunas variaciones y algunos errores en los datos. En primer lugar, variaciones relativas al nombre. También hay errores tipográficos (por ejemplo, en uno de los DNI). Hay algunas coincidencias exactas (por ejemplo, los DNI de los registros 1 y 3) y otras parciales (en los nombres y en número



de cuenta). La combinación de coincidencias detecta que existe una gran probablilidad de que estos registros hayan sido originados por la misma persona. Así que con bastante seguridad podemos empezar a construir una imagen de la pequeña red de relaciones de datos alrededor de este cliente.

En este punto comienza el proceso de identificación en red (network identification process). Si imaginas la ejecución de este proceso en paralelo en todos tus clientes y datos a lo largo del tiempo, empiezas a construir una imagen de una gran cantidad de redes (coherent networks) que relacionan los clientes y las cuentas a lo largo del tiempo. En una gran base de datos, con muchas personas, si prosigues con este proceso detectarás que cualquier persona está conectada con todas las demás en base a transacciones, cambio de direcciones, reutilización de números de teléfono, etc. Al menos el 90% de los datos localizados en las bases de datos se pueden conectar entre sí en una inmensa red, aunque no significa que toda esa gente esté en realidad relacionada –este aspecto hay que tenerlo en cuenta al realizar el análisis.

Por tanto, tenemos gran cantidad de diferentes tipos de conexiones en los datos y la cuestión es que algunas son interesantes para la detección de fraude. Probablemente lo más difícil del proceso es ver cuáles de esas relaciones son de interés para tu decisión de fraude y cuáles no. Así que tienes que descomponer esta gran red (ver diapositiva 14) en trozos coherentes que te indicarán los patrones de fraude. Y la manera de hacerlo es diferente en cada sector y puede

ser diferente para distintos tipos de fraude. Así que hay que tener un modelo de dominio que entienda los datos en nuestro sector, qué significan esas relaciones, y cómo pueden desglosarse.

Por ejemplo, no todos los enlaces son iguales. Puede haberse encontrado una correspondencia de direcciones entre dos personas, si tenemos en cuenta que hoy en día es muy frecuente el cambio de domicilio, se debería considerar también cuándo han vivido allí y durante cuánto tiempo para evitar generar conexiones incorrectas. Podríamos poner otro ejemplo relacionado con el lugar de trabajo, si dos personas trabajan en la misma gran multinacional formada por cientos de miles de personas, esta conexión se establecería en una red de personas demasiado grande para que sea interesante pero, sin embargo, si sabes que estas dos personas son directores, reducimos el ámbito y esta conexión o relación puede ser interesante de considerar. Por tanto, todas las conexiones o relaciones deben ser analizadas en detalle.

Las transacciones son otro tema interesante. Cuando las personas hacen transacciones entre ellas se infiere algún tipo de relación. Así que tienes que mirar la frecuencia y ver el tipo de organización/es. De modo que, por ejemplo, si no están pagando la factura al mismo proveedor de telecomunicaciones, no es una conexión interesante; pero si envían y reciben dinero directamente entre ellos, entonces probablemente existe una relación social entre esas dos personas, si son titulares de una cuenta normal, y es posible construir una imagen con



mucha información sobre estas relaciones en los datos.

Una vez que se analizan todos los enlaces y se descartan enlaces. Esta gran red fractal empieza a dividirse en sub-redes coherentes unidas por las relaciones que se consideran interesantes en ese dominio. Y lo que resulta es interesante por derecho propio, ya que muy a menudo, cuando implementas esta técnica sobre algunos datos en una organización en la que no se hayan utilizado estas técnicas antes se llegan a identificar casos de fraude masivo. Identificas grandes redes que no esperabas ver entre tus clientes y casi sin hacer otra cosa encuentras algunos fraudes. Por ejemplo, en el caso de reclamaciones en los seguros de motos (accidente fortuito en el cual dos personas han tenido una colisión), en teoría deberían ser grandes redes distribuidas de forma aleatoria y no conectadas en grandes clusters coherentes. Si se detectan grandes redes coherentes (coherent networks) en anillo de gente que ha colisionado entre sí probablemente estemos ante un indicador claro de red fraudulenta.

Una vez que obtenemos estas redes, la siguiente etapa del proceso se centra en aplicar en ellas modelos de fraude. Como ya tienes imágenes coherentes, puedes empezar a buscar patrones que no buscarías cuando miras cada solicitud o cada transacción de forma aislada (ver transparencia 17). Y el contexto que aporta incrementa de forma espectacular tu precisión, duplicando aproximadamente ésta respecto de la que tendrías en un sistema sin este tipo de núcleo de enriquecimiento. Cuando ya se ha bosquejado que estos indicios son una especie de patrones

simples (redes), el sistema escanea todas las redes mapeadas para identificar patrones de fraude y clasificarlos.

A continuación, comienza la investigación. Como hemos visto, buscamos todo tipo de patrones: relaciones directas (compartir direcciones de correo electrónico), relaciones más sutiles (relaciones de comportamiento, incluso tener el mismo tipo de familia, con tres chicos y una chica, por ejemplo). En el sector bancario puedes identificar relaciones entre personas a través de comportamientos inesperados; como el uso de las tarjetas en los cajeros automáticos. Por ejemplo, si yo y mi esposa pasamos mucho tiempo juntos, probablemente figuren extracciones de dinero de ambos que estén contiguas en el tiempo y se hayan dado en el mismo cajero; eso realmente implica una relación social. Esta circunstancia también se dará con los defraudadores que han comprometido un montón de tarjetas. Si el defraudador ha comprometido diez tarjetas, podrían ir a varios cajeros automáticos de una forma sucesiva y usar todas esas diez tarjetas; esta circunstancia señala que las diez tarjetas están relacionadas - algo de lo que no se tenía conocimiento con anterioridad. Esta es una relación conductural que puede ayudarnos a identificar estas relaciones. Ciertamente también significa que eso es fraude por lo que también nos dice que es un indicador muy fuerte de que esas tarjetas han sido comprometidas.

Prevención y evaluación del fraude en tiempo real

¿Cómo funciona esto en tiempo real (ver diapositiva 18)? Todas las redes que hemos visto



en la diapositiva anterior ya han sido identificadas al procesar el histórico de datos, así que todo lo que hay que hacer cuando llegue una nueva solicitud, reclamación o transacción es ver si alguno de los datos de ésta tiene coincidencias con cualquiera de esas redes (si ya hemos visto antes la dirección de correo electrónico, o a la persona, su dirección, la dirección IP, la cuenta, etc.). Podría pasar, como vimos en el ejemplo anterior, que el defraudador consiga eludir estas comprobaciones normales –las reglas a nivel de solicitud. No obstante, al realizar comprobaciones con estas redes o patrones de fraude, se detectan coincidencias con una de ellas. Por tanto, aunque aparentemente la solicitud sea perfectamente normal, el contexto extra nos muestra que probablemente sea una solicitud fraudulenta.

Volvamos al ejemplo de los tres clientes para analizar el concepto de automatización del análisis de redes sociales (Social Network Analytics). En la diapositiva 19 se muestran tres pequeñas imágenes con la información de las solicitudes de los clientes (para simplificar, mostramos sólo tres entidades: direcciones, direcciones de correo electrónico y números de teléfono). Analizando los vínculos relativos a la persona o individuo, encontramos en el caso de Jim Jones una solicitud anterior con una cuenta, número de teléfono y dirección de correo electrónico diferentes - normalmente esto activaría alarmas. También vimos que Sarah Green tuvo una cuenta anterior y una solicitud anterior rechazada, porque la dirección donde vivía en ese momento tenía una pobre calificación de riesgo. Ahora se ha mudado a una nueva dirección y ha pasado la comprobación de crédito. Esto

es todo que tenemos acerca de los individuos. ¿Qué sabemos sobre las demás entidades? Las direcciones, números de teléfono y direcciones de correo electrónico.

En la parte de arriba de la diapositiva 19 vemos que la dirección de esa solicitud tiene una coincidencia con un patrón de ataque conocido utilizado por un grupo de defraudadores en primera instancia (first-party fraudsters). Este tipo de fraude se basa en realizar solicitudes simultáneas de apertura de cuentas para después gradualmente circular dinero creando credibilidad ante el banco, en cuanto sale a la luz, los defraudadores cogen ese dinero y desaparecen. El hecho de que esta cuenta tenga un enlace directo con esa red o patrón de fraude advierte de que puede tratarse de un caso de fraude, de modo que tenemos que comprobar cuidadosamente que este cliente no va a hacer eso. Se puede o rechazar la solicitud o ser muy cuidadosos con el crédito que demos a esta cuenta debido al mayor riesgo. También vemos, y antes no se mostraba la conexión, que la persona que está procesando estas solicitudes es siempre la misma, y esto puede indicar que tenemos un infiltrado que forma parte del proceso de este fraude facilitando que se acepten esas solicitudes (bust-out fraud).

Para el segundo ejemplo, el individuo que tenía una cuenta anterior con un número de teléfono y una dirección de correo electrónico diferente, hablamos de un caso de compromiso de identidad. El hecho de detectar una cuenta anterior y abrir otra nueva con un número de teléfono y una dirección de correo electrónico diferente ya era un signo de advertencia.



Además vemos que el nuevo número de teléfono y dirección de correo electrónico están relacionados con muchas otras solicitudes. Los ladrones de identidades actúan en base a aspectos económicos, quieren cometer el mayor número posible de fraudes (conseguir la mayor cantidad de dinero). Como generalmente tienen que tener un número de teléfono y una dirección para cometer fraude y esto les cuesta algo de dinero, suelen reutilizar estos datos. Un patrón típico podría ser: “por cada cien identidades comprometidas, utilizar diez teléfonos móviles”, de modo que se detectarían relaciones entre esas cien identidades y los diez teléfonos móviles. Pasaría lo mismo para direcciones de correo electrónico y direcciones físicas. Además tienen que mantener todo eso en su cabeza, de modo que cuando el banco les llame por teléfono, tendrían que recordar todas esas identidades, esto es complicado y arriesgado y es así como se identifica el robo de identidad.

En el tercer ejemplo, el individuo tiene vínculos con un cliente existente en la nueva dirección que es un cliente bien valorado, ha estado con la organización por un largo tiempo y es un buen cliente que queremos tener con nosotros.

Como vemos, gracias a las diferentes capas de contexto construidas con esta técnica se cambia el modo en el que se observa el riesgo de fraude del individuo. Alguien que no puntúa muy bien en los controles básicos, puede ser realmente un buen cliente cuando tienes una visión más amplia y alguien que pasa muy bien las comprobaciones básicas pueden ser un defraudador sofisticado o un robo de identidad. Y este contexto adicional

realmente ayuda con la precisión a la toma de decisiones.

Este análisis social de fraude basado en redes, desde una perspectiva técnica, funciona en base a tres modelos analíticos que se aplican en diferentes niveles, como se puede ver en la diapositiva 20. Por un lado, se construye un modelo que analiza el contenido de los documentos y asigna una calificación (como podemos ver en el código de colores de la diapositiva). Por otro lado, se construye otro modelo a nivel de entidad; alrededor de cada persona, dirección, cuenta bancaria y dirección de correo electrónico. Éste se calcula analizando los documentos relacionados con las entidades para construir un modelo alrededor de todas las entidades con una clasificación (rojo, ámbar, o verde). Esta calificación se propaga a los documentos relacionados con dichas entidades; por ejemplo, un documento calificado con nivel verde que esté relacionado con una entidad calificada con nivel rojo, se marcará también con este indicador rojo. Y, por último, este proceso también se ejecuta a nivel de red, es decir, se realiza el análisis de la red basado en una serie de parámetros y los resultados de las calificaciones se propagan también a los dos niveles anteriores (entidades y documentos). Por consiguiente, a cada evento se le asignan tres puntuaciones, una para el propio documento (ignorando cualquier otra información), una para la entidad a la que está ligado (ignorando cualquier otra información) y una para la red a la que está ligada, incluyendo toda la información. Consecuentemente, el modelo mejora a medida que añades información, y al investigador se le presentan tres niveles



diferentes de contexto para ayudarle a tomar la decisión.

MODELO RANDOM FOREST

¿Cómo optimizamos el modelo ante la gran cantidad de datos de entrada? Una de las técnicas analíticas que utilizamos se denomina Random Forest Model. La mayoría de ustedes habrán oído hablar de modelos de árboles de decisión, voy a explicar cómo funcionan y voy a explicar cómo funciona el Random Forest Model.

Esta técnica es muy rápida, precisa, y genera una salida fácilmente comprendida por humanos que detalla por qué algo se ha marcado como fraude o no fraude.

Los árboles de decisión son procesos en los que se analizan los datos avanzando en sentido descendente para clasificar información bien como fraude o como no fraude. Se pueden llegar a tener cientos de variables de entrada involucradas, aquí simplificaré y daré un ejemplo con solo dos variables. Imaginemos que hablamos de una solicitud de crédito, como un préstamo para descubiertos, y tenemos dos variables (ver diapositiva 21): por un lado, ¿esta cuenta procedente de una red social está relacionada con algún tipo de fraude?, y por otro: ¿cuánto tiempo lleva abierta? El algoritmo separa los datos en base a esas dos variables de una forma óptima para identificar la diferencia entre defraudadores y no defraudadores. Y la forma en que se realiza esto es mediante entrenamiento en base al histórico de casos. En este ejemplo, el histórico de datos muestra que cien casos fueron marcados

como clientes inocentes y diez cuentas marcadas como fraude. Así que de momento, sin algoritmo, si cogemos de forma aleatoria un caso tendríamos un 9% de posibilidades de identificar si es fraude. Esto sería un proceso tedioso, lento e ineficiente.

Si observamos el ejemplo de la diapositiva 21, el algoritmo nos dice eso, la variable “connected to Fraud?” (¿relacionado con fraude?) es un buen indicador de fraude. Cuando dividimos los datos en base a esta variable (es decir, descendemos en el árbol de decisión), tenemos dos partes: la parte no conectada al fraude (donde tenemos 3 casos de fraude y 85 casos de no fraude) y la parte conectada al fraude (donde hay 7 casos de fraude y solo 15 casos de no fraude). De modo que la probabilidad de que sea fraude en este punto del árbol de decisión es mucho más alta. Se sigue aplicando cada variable disponible hasta obtener una predicción que tenga suficiente precisión. En el ejemplo de la diapositiva, si se aplica la variable “tiempo desde que se abrió la cuenta” el algoritmo indica que un punto óptimo para dividir los datos es 6 meses obteniendo así un conjunto de datos que solo tiene 1 no fraude y 6 fraudes. De este modo la precisión alcanza un nivel superior al 90%, razonablemente bueno para un sistema de detección.

Ahora, vamos a presentar el funcionamiento del algoritmo de Random Forest. Teniendo en cuenta que pueden existir miles de variables, se necesitan hacer tests para detectar cuáles son las variables importantes, la frecuencia en la que se obtienen resultados erróneos, etc. Para ello, este algoritmo no observa únicamente un árbol de decisión, sino que genera al azar cientos o miles



de estos árboles de decisión eligiendo cada vez un conjunto de variables distinto. Así cubres diversos aspectos del espacio de parámetros para construir el mejor modelo. Con este procedimiento se obtienen modelos muy precisos, robustos (es decir, que pueden ser revisados bien). Se puede observar una imagen de cómo funciona este tipo de algoritmos en la parte derecha de la diapositiva 21. Se dispone de diferentes árboles, cada solicitud pasa a través de éstos y se obtiene en cada caso un voto (una respuesta: fraude o no fraude). La decisión final se toma basándose en el voto más popular. De este modo se obtiene una decisión muy precisa y se puede aumentar la precisión hasta niveles muy altos.

Se tiene que tener en cuenta por supuesto, que si solo se entrenan los modelos con datos de los resultados históricos, solo se detectarán casos identificados anteriormente. Para detectar también el fraude oculto se requiere el uso de otras técnicas como las basadas en reglas. Y cuando se detecta un nuevo tipo de fraude, se investigará y se aplicarán otras técnicas para ver el alcance completo.

OTRAS FUENTES DE DATOS

Existen otras fuentes de datos que pueden ayudar en la toma de decisiones. Hemos visto que el contexto de red social es muy útil y la toma de decisiones mejora cuanto más rica sea tu fuente de datos.

En la parte superior de la diapositiva 22, exponemos una situación de riesgo de terceros (counterparty risk). Por ejemplo, mi banco tiene

varias relaciones contractuales con terceros (contrapartes o counterparties) que pueden ser personas, organizaciones u otros bancos. Una de las cosas que probablemente se desea hacer es diversificar el riesgo, no tener demasiada exposición en puntos únicos, y para ello se desea entender cuál es el riesgo de mi exposición. En el ejemplo de la diapositiva parece que tengo una cartera de riesgo bien diversificada ya que tenemos relaciones contractuales con diferentes organizaciones. Existen fuentes de datos de terceros bastante útiles; un ejemplo es Bureau Van Dijk con la que se pueden mapear cargos directivos, propiedades de compañías, accionariados e identificar así relaciones entre directivos y compañías. En la toma de decisiones puede ser interesante contar con este tipo de datos; por ejemplo, observando la estructura de propietarios de las cuatro organizaciones del ejemplo se podría detectar que no son realmente cuatro entidades separadas, en este caso, la foto del riesgo cambiaría ya que se estaría expuesto a una sola entidad. También se pueden combinar datos de noticias en estos tipos de sistemas para, por ejemplo, buscar noticias negativas relativas a los terceros involucrados (problemas financieros, etc.)

En la parte inferior de la diapositiva 22 exponemos otro ejemplo interesante, el fraude en la financiación de operaciones comerciales o bursátiles (trade finance fraud). Este tipo de fraude puede ser perpetrado de varias formas y utilizado para facilitar el lavado de dinero. En el ejemplo de la diapositiva, se consideran datos de dos organizaciones que están haciendo negocios entre ellas, nuestra entidad facilita esa



actividad bursátil con un acuerdo de préstamos entre las dos compañías. Explotando las fuentes de datos anteriormente mencionadas se podría detectar, por ejemplo, que estas compañías son propiedad del mismo individuo u organización, esto plantearía preguntas acerca de por qué necesitan financiar estas operaciones. Cualquier clase de anillo como este puede ser un signo de advertencia. De modo que esto puede darte una visión totalmente diferente de todas estas transacciones bursátiles.

COMPARTICIÓN DE DATOS

El uso compartido de datos ha demostrado ser muy útil para la detección de fraude. Obviamente tienes que tener en cuenta la legislación en el marco de protección de datos y la seguridad – las condiciones varían dependiendo del país. El Reino Unido es un caso particular respecto a la ley de protección de datos, hay varias excepciones con las que se puede compartir datos si el propósito es detectar fraude o delincuencia financiera. Y a lo largo de los años ha habido varias organizaciones creadas para facilitar procedimientos de detección multisectorial de fraude, tanto en el sector financiero como en el sector gubernamental. El diagrama es parecido a la imagen que se muestra en la diapositiva 23.

Las primeras organizaciones que empezaron a hacer esto fueron las aseguradoras (insurers). En muchos países, éstas se han unido en un órgano central y comparten información para intentar detectar el fraude organizado. En el Reino Unido existe la Insurance Fraud Bureau (IFB) donde se comparten cerca del 98% de los datos del sector

seguros en el Reino Unido; desde que entró en vigor, las detenciones por fraude organizado en este sector subieron en un factor de 30, de modo que tuvo un impacto muy grande sobre las bandas de fraude organizado.

Los bancos comparten datos sobre defraudadores conocidos con una organización llamada CIFAS. Esta información suele ser utilizada en el proceso de admisión de nuevos clientes; es un ejemplo de las listas denominadas “watchlists” que comentábamos anteriormente. En el centro del diagrama de la diapositiva 23 está la National Fraud Intelligence Bureau (NFIB), organización gubernamental gestionada por la policía londinense que recibe datos de todas estas organizaciones, también del Gobierno (Ministerio de Hacienda, Ministerio de Empleo y Seguridad Social), del público que notifica cuando tiene evidencias de que han sido defraudados y también del sector comercial (proveedores de telecomunicaciones, por ejemplo). Y esto se gestiona como un cuerpo de seguridad; reciben datos, realizan actividades de formación y ofrecen paquetes de inteligencia a las organizaciones miembro e interactúan de forma cercana con los cuerpos de seguridad para arrestar a estas bandas que están operando en todos estos sectores.

Recientemente hemos hecho una prueba de concepto con tres bancos minoristas del Reino Unido haciendo algo similar al Insurance Fraud Bureau (IFB) en la que se compartieron los datos del cliente y las transacciones en busca de fraude organizado. Ha sido muy efectivo y se ha detectado una gran cantidad de fraude oculto desconocido hasta entonces (alrededor de 100



millones por año). En un futuro quizá podamos ver la creación de una oficina de fraude bancario en el Reino Unido.

Hay muchos desafíos, tanto a nivel legal como logístico, pero la compartición de datos puede ser muy eficaz. A medida que los defraudadores siguen evolucionando, las técnicas se distribuyen a través de un gran número de entidades y complican la detección del fraude si no se comparte información al respecto. Por ejemplo, vamos a exponer un caso real denominado “crash for cash” que corresponde con un tipo de fraude en el sector seguros. En este esquema los implicados contratan pólizas de seguros, después colisionan entre sí y realizan reclamaciones por lesiones, algunas de ellas implican daños en tejidos blandos y son difíciles de confirmar para los médicos. Por ejemplo, un fraude podría consistir en conseguir microbuses hacerlos colisionar y luego reclamar lesiones para algunas de las personas que viajaban en los vehículos (unos pocos miles de libras, tiempo de trabajo y la reparación del vehículo, también el coste de alquiler de los vehículos, etc.). Y la forma de organización de los defraudadores involucra a un mecánico, quizá incluso a un médico. Todos ellos formarán parte del fraude y obtendrán una parte del trofeo. En las diapositivas 24 a 33 se muestra un ejemplo, se puede ver cómo en el último accidente había muchas personas en el vehículo, es decir, estaban incrementando los fraudes al ver lo fácil que era incrementar el valor. Al final este ejemplo implicó más de 1 millón euros con una sola banda organizada. La empresa de seguros no disponía de un sistema para identificar esto, los defraudadores continuaron desarrollando

en paralelo un segundo anillo (ver diapositiva 34), se confiaron todavía más y desarrollaron también un tercer anillo. Hasta que fueron arrestados defraudaron unos 4 millones euros de reclamaciones.

MAPA AUTO-ORGANIZADO DE KOHONEN

Ahora vamos a ver un tipo diferente de técnica para la detección de operaciones bursátiles no autorizadas. Esto es bastante difícil; buscas a alguien que no está necesariamente fuera de la organización para ejecutar deliberadamente el fraude; suelen ser operadores financieros motivados por la cantidad de dinero que consiguen si realizan el fraude. En estos casos el funcionamiento de los sistemas de control se basa en muchas alertas (umbrales para las operaciones financieras, las oscilaciones de pérdidas versus ganancias, etc.) a lo largo de diferentes sistemas y ejecutadas con mucha frecuencia. Los empleados involucrados realmente entienden cómo funcionan estos controles, saben que pueden hacer ciertas cosas un número determinado de veces cada día para poder pasar desapercibidos (mueven la posición de riesgo de un libro a otro, por ejemplo, para que parezca que está en cualquier otro sitio y que el riesgo ha bajado en ese libro, cuando realmente se ha trasladado de sitio; cancelan transacciones de modo que al final todo parezca correcto, etc.). Con el análisis de red se unifican los datos de cada transacción (cómo interactúan con otros operadores financieros, el personal de ventas, los libros) y se combinan con los datos procedentes de los diferentes controles para buscar patrones de comportamiento . Así se pueden construir “mapas de comportamiento”



o “Mapas Auto-Organizados de Kohonen”, un modo muy elegante para identificar paquetes de comportamiento.

En la diapositiva 37 se muestra un ejemplo de estos mapas de comportamiento. Se ven los comportamientos de los operadores financieros (“trading”) y el personal de ventas (“sales”) en el flujo de transacciones para poder realizar una comparación. Por ejemplo, en el caso de un determinado tipo de operador financiero normalmente su comportamiento se localizará en un determinado tipo de celdas junto con otros tipos de operadores que hagan un trabajo similar al tuyo. Si, por el contrario, se localiza en otra celda que está muy lejos, es decir, se comporta de una manera muy diferente esto puede dar indicios de fraude. Los colores de las celdas son también importantes ya que muestran cuán lejos están a nivel de comportamiento respecto a la celda que tienen al lado - si tienen un color similar tienen comportamientos bastante similares y viceversa. Además, se realiza un seguimiento semanal del comportamiento para detectar cambios ya que esos son los signos de aviso o alertas. Por ejemplo, si un operador se desplaza rápidamente a lo largo del mapa de comportamiento, podría suponer un importante signo que advierta la necesidad de iniciar una investigación.

Hemos comprobado que este tipo de técnicas, así como las técnicas de análisis de redes sociales, son muy efectivas . Realizamos pruebas con bancos y comprobamos que, si hubieran tenido esto antes, habrían identificado incluso a más individuos involucrados.

En la diapositiva 38 se muestra otra técnica más relacionada con detección de operaciones bursátiles no autorizadas.

ADVERSARIOS HUMANOS Y CAMBIOS DISCONTINUOS

ANÁLISIS DE GRAFOS EN MEMORIA

Como hablamos ayer, estamos frente a adversarios humanos que van a cambiar continuamente sus métodos. De modo que cuando les paremos los pies actualizando nuestro sistema, probablemente busquen otro objetivo. Una vez que los sistemas de protección de las demás entidades también estén actualizados, se quedan sin oportunidades y cambiarán sus métodos e inventarán un nuevo método para atacarte aprovechando alguna de tus novedades como, por ejemplo, un nuevo canal para los clientes o un producto que hayas lanzado. También pueden cambiar rápidamente, pueden hacer algo tan diferente que podrían eludir tu sistema de detección. Si es un fraude muy ingenioso, será invisible, y no te enterarás, y tu cliente tampoco se enteraría necesariamente, hasta que se haya cometido una gran cantidad de fraude. Afortunadamente tenemos una herramienta muy potente preparada para esto, el cerebro humano. El arma para luchar contra un humano es otro humano, se puede observar las actuaciones de los delincuentes, entender los patrones y actualizar así los algoritmos.

Una técnica realmente útil para observar grandes volúmenes de datos y fenómenos complejos como este es la visualización mediante la cual dibujar automáticamente imágenes de los datos



para explorarlos y probar hipótesis para ver cómo son estos nuevos métodos de ataque.

Para ello, necesitamos los elementos operativos, es decir, los investigadores capaces de tomar decisiones rápidamente, ellos necesitan disponer de herramientas de análisis visual muy sencillas de manipular. Por otro lado, se requiere de la colaboración de un equipo de I+D de analistas de datos cualificados y estadísticos que comprendan el fraude y dispongan de herramientas software potentes para hacer un análisis más específico con los datos (ver diapositiva 40).

Y de esto vamos a hablar un poco ahora. Porque esta es una innovación bastante original en los últimos años. Vamos a hablar del análisis avanzado de grafos en memoria. ¿Por qué en memoria? La memoria es cada vez más barata, ahora no es imposible tener un servidor con medio terabyte o incluso un terabyte de memoria. Consecuentemente, es posible cargar estos grandes volúmenes de datos en memoria para realizar análisis. Así que es posible coger una muestra de estos datos o incluso todos y analizarlos con estos nuevos patrones de fraude para identificar ataques e investigar en detalle y en tiempo real, de manera interactiva. También se pueden localizar otros ataques similares que están ocurriendo. El software responde inmediatamente a tus consultas, en vez de esperar horas o días para hacer el análisis.

¿Qué podemos hacer con esto? Si está en memoria, puedes empezar a aplicar las clases de algoritmos que son prohibitivamente lentos cuando las cosas están en disco. Puedes ejecutar

algoritmos de análisis de redes sociales como Centrality, Betweeness, o Span, que señalarán las estructuras de tus datos. Puedes agregar datos sobre la marcha y hacer cálculos sobre los datos y actualizarlos de tal modo que puedes derivar nueva información. Puedes tener una hipótesis; alguna de las nuevas variables inferidas va a ayudarte a detectar este fraude, puedes inferir eso sobre la marcha o añadirlo a los datos para comprobarlo. Probablemente estén familiarizados con SQL, el lenguaje estructurado de consultas que se emplea en las bases de datos, hay algo similar que hemos desarrollado para este tipo de análisis, llamado lenguaje estructurado de consultas sobre grafos (Structured Graph Query Language SGQL), que es similar y fácil de aprender. En la diapositiva 41 mostramos un ejemplo. SGQL es bastante simple (human legible) y permite escribir patrones, buscar determinados patrones en el gráfico, también puedes dibujar el patrón.

En las diapositivas 42-60 se muestra un ejemplo en el que se analizan los datos de un gran número de clientes con este software. El software identifica las relaciones y las desglosa en redes (grafos) aptas para ser analizadas en pocos segundos o minutos –dependiendo del tamaño de los datos. El sistema analiza estas relaciones y encuentra grupos de redes y subredes. Si se ejecuta esto en disco, podría tardar días.

¿Qué podemos hacer ahora que tenemos los datos en este formato? Se pueden realizar cálculos del número de conexiones asociadas a cada entidad (teléfonos móviles, direcciones IP, etc.), en muchos de los fraudes, uno de



los signos reveladores de los mismos serían las concentraciones de actividad en torno a ciertas entidades. También se pueden realizar consultas para detectar anillos de fraude (ver diapositiva 62).

Por consiguiente, incluso los cambios más avanzados en los métodos de ataque se pueden entender rápidamente si tienes a la gente adecuada con las herramientas adecuadas. Una vez que hayas entendido un nuevo método entonces tienes que actualizar tus sistemas de detección manteniendo la agilidad, que es una de las cosas más importantes. Nunca puedes predecir realmente lo que va a pasar mañana, lo que tienes que hacer es responder tan pronto como puedas.

TECNOLOGÍAS ACTUALES Y FUTURAS

Y finalmente vamos a resumir el estado de la tecnología en la diapositiva 63.

Hay dos ejes en la protección: en el eje X se representa el contexto de la información. Enriqueciendo la fuente de información gracias a una resolución por entidades, el análisis avanzado de redes sociales, la combinación de datos de terceros o la compartición de datos entre organizaciones avanzamos a lo largo de este eje, esto significa que se dispone de más información para tomar tu decisión. En el eje Y se muestran las técnicas de análisis utilizadas. Desde las basadas en reglas y los sistemas heurísticos, que es lo primero que tienes que implementar. Por supuesto, se van construyendo unas encima de otras, necesitas todas estas capas de defensa

(perfilado de conductas, sistemas tradicionales de monitorización de cuentas y pagos, algoritmos de minería de datos como Random Forest, mapas de Kohonen, hasta llegar a las técnicas de visualización y el análisis por grafos).

Esto es una cuestión de subir gradualmente hasta esa escala.

Entonces, ¿qué va a pasar en el futuro? Recientemente hemos visto algunas cosas bastante nuevas como la combinación de ciberataques con actividades de fraude (por ejemplo, ataques DDoS para distraer a la organización seguidos del pirateo de las cuentas de los sistemas para robar los datos de clientes, la clonación de tarjetas y la posterior extracción de dinero a través de cajeros automáticos a lo largo de todo el mundo). Lo alarmante de esta evolución es la rapidez y coordinación con la que se ejecutan.

¿Cuál será probablemente la respuesta de la tecnología? Hay unas cuantas opciones. En Detica también contamos con productos para la detección de amenazas cibernéticas, por ejemplo, las amenazas persistentes avanzadas (Advanced Persistent Threats, APT). También hemos trabajado en temas relacionados con la identificación de phishing, para dar respuesta a situaciones a las que BAE se ha enfrentado. Creo que probablemente habrá una evolución en las acciones para poner a prueba tus propias defensas. Probablemente sepas mucho más sobre tus sistemas que nadie, de modo que serás capaz de identificar las debilidades en ellos y parchearlas. Y también está el hecho de que un



ataque cibernético podría estar seguido de fraude, así que tal vez si has tenido un ataque de este tipo necesitas aumentar la vigilancia en los sistemas de fraude. Tal vez quieras hacer que tus procesos de alguna manera estén en alerta después de uno de estos ataques.

¿Qué estamos haciendo en el ámbito de la tecnología? Nos centramos en detección de ciber-amenazas y de fraudes y se intenta ser cada vez más ágil. Es por ello que gran parte de la investigación llevada a cabo se enfoca en la automatización de técnicas y en la integración más rápida de nuevas fuentes de datos. Por un lado, actualizar más rápido el análisis avanzado de redes sociales, por ejemplo, para conseguir una detección más temprana. Por otro, agregar datos a los sistemas de una forma más veloz para

mejorar el contexto de la información y aumentar la protección.

Y por supuesto, también hay que tener en cuenta la perspectiva de los teléfonos móviles. Supone nuevas amenazas, pero también es una oportunidad para mejorar la verificación de la identidad. Por ejemplo, hay ideas innovadoras en el campo de cómo comprobar la proximidad de una tarjeta a un teléfono, mediante el registro del teléfono por parte del cliente y el uso GPS. Si el defraudador está clonando tarjetas, necesitará también disponer de los teléfonos, esto pone barreras adicionales. Siempre hay formas de innovar, con suerte un día estaremos tan adelantados sobre los defraudadores que tendremos que dejarlo y dedicarnos a otra cosa.



Santiago Moral

Hace unas décadas se juntaron tres amigos: Rivest, Shamir y Adleman. Crearon RSA, una de las marcas de referencia en el mundo de la seguridad de la información. Dice la leyenda que Rivest es el creativo, el que ideaba métodos. Cada vez que tenía una idea la compartía con Shamir y éste le demostraba que no iba a funcionar. Cuando no terminaban de llegar a un acuerdo aparecía Adleman, el matemático, que intentaba ver si aquello lo podía bajar a la tierra, es decir, lo demostraba matemáticamente.

A lo largo de mi carrera profesional he compartido muchos triángulos como ése. El último de ellos con Teresa Correas y Roberto Ortiz y creo que hemos llegado a una serie de conclusiones que compartiremos con vosotros después de haberlas contrastado con distintos ámbitos científicos.

Lo que queremos proponer es la creación de una nueva disciplina –mitad científica, mitad de ingeniería– que tiene aplicación en el estudio y análisis del comportamiento de los sistemas de información en su globalidad. Si conseguimos que estos estudios avancen, nos permitiría abrir una

Teresa Correas UbieraCISO Innovation. Grupo BBVA

Roberto Ortiz PlazaInfoSec Engineering. Grupo BBVA

Santiago Moral RubioDirector de IT Risk, Fraud & Security. Grupo BBVA


MECÁNICA ESTADÍSTICA Y TEORÍA DE LA INFORMACIÓN COMO BASE

DE LA SEGURIDAD ESTADÍSTICA



línea de doctorados y de investigación basados en esta nueva disciplina.

He elegido esta definición de riesgo porque carece de debate: “un análisis de riesgos es un proceso metodológico en el que se obtiene conocimiento fehaciente de la situación de riesgo de cada elemento del sistema de información y de las interrelaciones existentes entre ellos”.

Si nos imaginamos un sistema de información como un grafo (ver transparencia 3), pensemos que cada uno de estos nodos es una máquina y que las líneas son relaciones entre ellas. Con lo cual, en este ejemplo tenemos seis máquinas que forman una red sencilla. Hablamos de redes sencillas cuando somos capaces de enumerar los elementos, nodos y relaciones que la componen.

¿Qué utilizo para hacer análisis de riesgos sobre este tipo de redes? Lo que utilizamos todos, metodologías de análisis de riesgos bien fundadas: CRAMM, MAGERIT, OCTAVE, etc.

En los casos en los que no soy capaz de contar todos los nodos decimos que estamos hablando de redes que por su tamaño y complejidad ya no son enumeradas. Sobre este tipo de redes también tenemos que hacer análisis de riesgos.

Un ejemplo es la red del Grupo BBVA, en la que tenemos más de 300.000 elementos con una dirección IP (teléfonos, servidores, PCs, laptops, ATMs…) y entre todos ellos se comunican vía IP.

Hemos analizado un supuesto en el que 36 nodos pueden comunicarse entre sí a través de todos

los puertos. El resultado es de 2 trillones de relaciones.

Si este supuesto lo extrapolamos a los 300.000 nodos de la red de BBVA, la cantidad de interconexiones se nos escapa de cualquier tipo de cálculo que podamos manejar. Esta es la realidad y el nivel de complejidad que tenemos que gestionar. Para trabajar en estas magnitudes nos cuestionamos si podemos trabajar con los métodos que utilizamos para las redes enumeradas.

Estamos ante una red compleja que no es de escala libre y de información incompleta. En BBVA tenemos una red con más de 300.000 nodos, no sé cuántos trillones de conexiones entre todos ellos, con 9.000 informáticos que cada día vienen a cambiar una parte, y con 150.000 empleados y colaboradores, que tienen capacidad de cambiar los sistemas de información que ellos manejan directamente. A esto se suman más de 50 millones de clientes, quienes también tienen la capacidad de interactuar.

La primera aproximación que hemos tenido para trabajar sobre este entorno tan complejo es la metodología CASANDRA. Sin embargo, el origen de esta investigación fue el año pasado, cuando Víctor Chapela y Regino Criado estaban dando una conferencia sobre grafos. Víctor manejó varias veces el término entropía. ¿Qué es la entropía? Así que nos pusimos a trabajar a ver si encontrábamos la entropía en los sistemas de información. ¿Somos capaces de formular de manera científica ese concepto intuitivo del desorden de los sistemas?



¿Cuál es la motivación? Cogiendo una definición tan simple como la anterior en una red compleja de información incompleta, sencillamente soy incapaz de saber cuál es la situación de riesgo de cada elemento y mucho menos de sus interconexiones. Matemáticamente es imposible.

¿Qué palancas hemos utilizado? Hemos tomado ideas y definiciones de la Mecánica Clásica, de la Termodinámica, de la Mecánica Estadística, de la Teoría de la Información, de Redes Complejas y de la Teoría del Caos. De hecho, el avance importante que hemos realizado ha sido encontrar que todas estas teorías están relacionadas y tienen una conexión científica entre sí. Esta conexión científica que existe pero que no es evidente, no se estudia porque a priori no tiene utilidad.

¿Cuál es la relación que existe? Se empieza con la Mecánica Clásica; de ella nace la Termodinámica; cuando ésta está completándose nace en paralelo la Mecánica Estadística. Y luego tenemos toda la parte de Grafos y Redes Complejas. Y es que hay un paralelismo importante con las metodologías existentes de análisis de riesgos: trabajan fundamentalmente sobre elementos y sobre entornos enumerados de identificación de activos. En grafos pasa igual. Luego tenemos toda la parte de Redes Complejas. Tomando ideas básicamente de Mecánica Estadística, Teoría de la Información y Redes Complejas, definimos esta nueva disciplina científica que hoy presentamos: la Teoría de los Sistemas de Información, una evolución del nombre que Shannon le da a su Teoría de la Información.

Shannon toma la información como un todo y saca conclusiones de ese todo, no de sus partes. Trabajando en esa misma idea nosotros queremos sacar conclusiones de un sistema de información del “Todo”. También lo llamamos Seguridad Estadística, donde definimos la seguridad como una función de probabilidad y no como funciones completamente ciertas.

Teresa Correas

MECÁNICA CLÁSICA

¿Qué significa definir magnitudes con precisión y medirlas con exactitud?

Es un requisito de la física (y nuestro también). Queremos medir, queremos conocer la realidad que nos rodea, para saber con la suficiente precisión y la suficiente exactitud cómo se comportan los sistemas de información.

Tomando como referencia la línea de evolución de la física, empezamos por la Mecánica Clásica. En 1564, Galileo, considerado el fundador de la ciencia experimental, fue el primero que no sólo se planteaba preguntas y buscaba respuestas, sino que además construía maneras de medir con precisión y exactitud a través de sus magnitudes. Magnitudes en física son la fuerza, la energía, la longitud, el trabajo. Galileo estudió el movimiento de los cuerpos porque intuía que existían unas leyes que lo regían, independientemente de la escala del sistema e intuía que había unas leyes matemáticas.



Ironías de la vida, el año que murió Galileo, a 1.300 kilómetros de distancia, en el Reino Unido, nació Newton, que es padre de la Mecánica Newtoniana. Si se hubieran conocido hubiera sido el complemento que le faltaba a Galileo para fundamentar esas leyes y dotarlas de rigurosidad matemática y científica.

Con Newton, ya no sólo hablamos de ciencia experimental, hablamos también de leyes que fijan los fenómenos observados, ubicando en un sistema un único punto para describir su comportamiento (aspecto muy importante). Newton fue el primero que afrontó la complejidad de un movimiento, imaginándose que un sistema podría estar formado por muchos elementos, pero que no podría conocer la distancia a la que estarían unos de otros. Por lo que ubicó un único punto matemáticamente llamado centro de masas, a través del cual pudo sacar conclusiones fundamentales que coincidían con las ideas de Galileo.

Más tarde, Albert Einstein se hizo otras preguntas, como ¿qué ocurriría si habláramos de sistemas donde estuviéramos moviéndonos a la velocidad de luz? En ese caso las leyes de Newton ya no estaban vigentes. Pero, ¿qué es lo importante de todo esto? Que aunque a día de hoy sabemos que no son válidas para todo tipo de problemas, sí sabemos que para problemas simples nos siguen valiendo.

En la Seguridad Estadística, nosotros también utilizamos herramientas y metodologías de análisis de riesgo que consideramos clásicas, porque para afrontar problemas sencillos nos

siguen valiendo y nos permiten tomar decisiones informadas.

Conclusiones hasta este punto:

• Los fenómenos se miden.

• Existe un centro de masas que nos permite calcular la complejidad del movimiento.

• Existen leyes que rigen los fenómenos de la naturaleza.

TERMODINÁMICA

Llegamos entonces a la termodinámica, la ciencia que estudia el calor, la temperatura y el intercambio de energía. En esta materia, entre 1844 y 1906 tenemos una serie de científicos, al igual que Galileo, que utilizan ciencia experimental. Hablamos de Boyle, Mariotte, Joule, Thompson. Fabrican “cacharrería” muy sofisticada para la época.

Me voy a detener en Thompson, que estaba muy interesado en estudiar la teoría del calórico. Los científicos estaban convencidos de que cuando un cuerpo o sistema entraba en contacto con otro, había una transferencia de algún tipo de sustancia a la que llamaron calórico, a la cual la consideraron una materia densa y fluida que se conservaba de un sitio a otro. Thompson, con su “cacharrería”, pudo demostrar que lo que se conservaba era la energía, la transferencia de energía térmica. No se aceptaron esas ideas. No era el momento, pero era cierto. Y llegó Joule y profundizó en esta cacharrería, formuló sus leyes



y, finalmente, la teoría del calórico fue desechada. Con Joule llegaron nuevas preguntas: ¿Cuáles son las fronteras entre el sistema y el entorno? ¿Cómo interactúa el sistema con el entorno? ¿Puedo aprovechar toda la energía que se transfiere del sistema al entorno y a la inversa? Y si puedo aprovecharla, ¿cómo y de qué manera?

El Principio 0 o axioma de la termodinámica dice que la temperatura tiene sentido. Cuando dos cuerpos están a diferentes temperaturas y los ponemos en contacto, sin efectuar ningún cambio, pasado un tiempo determinado sus temperaturas tienden a igualarse alcanzando un estado de equilibrio.

El primer principio de la termodinámica es el principio de conservación de la energía. Cuando algo o alguien toca los sistemas, reaccionan, se produce una causa-efecto. A la energía interna de un sistema tenemos que entenderla como la energía asociada a su configuración y su movimiento, fuertemente conectada con la temperatura. De la misma forma, también se conserva la energía si, a la inversa, el sistema expulsa calor, se enfría y también varía su energía interna. Este diferencial de energía para nosotros será la energía potencial de riesgo.

Segundo principio de la termodinámica. Llegamos a la era de los motores y los trenes de vapor. Inquietud. Los sistemas me tienen que servir para algo, sacar partido; y si no puedo sacar un rendimiento de los sistemas, quiero saber qué cantidad no se está aprovechando y, por lo menos, obtener un conocimiento de ello. Entonces tenemos a Kelvin, Planck, Clausius y Clapeyron.

El segundo principio de la termodinámica tiene muchos enunciados. Trabajo útil es uno de ellos. A mí me gusta decir dirección del tiempo, pero sobre todo dirección de los procesos.

En este punto Carnot se pregunta por el sistema ideal. Con Carnot llegó la máquina perfecta; todo el calor era aprovechado en trabajo útil. Después, con Kelvin y Planck, y con Clausius y Clapeyron, vimos que con los motores y refrigeradores, en el mundo real todo es diferente, la energía se degrada y no todo el calor es aprovechable.

Ellos, en nuestra teoría de los sistemas de información, nos aportaron sobre todo el trabajo con diferenciales. Hay dos planos, lo que realmente existe (cómo está conformado un sistema) y el conocimiento que tengo de él. Y aunque ellos no lo expresaron así, lo llamaban entropía. El orden de un sistema, cuando pasa el tiempo, ha tendido espontáneamente a hacer una cosa, o no, o alguien o algo le ha forzado a hacer otra. Así pues, la entropía, aunque la tenían como una función de estado y de medida del desorden del sistema, era la diferencia entre lo que percibo y lo que es. Esto es el segundo principio, aquí y en la teoría de los sistemas de información. ¿Por qué unos procesos ocurren en un sentido y no en el contrario? Luego veremos que en el mundo microscópico, no es tan obvia la diferencia entre reversibilidad e irreversibilidad, pero para eso tenemos a Boltzmann y a su ecuación puente.

Tercer principio de la termodinámica. Planck no se quedó indiferente ante Carnot ni ante otros. Estaba convencido de que la perfección existía. Tenía que existir un sistema perfecto, de



laboratorio, sistema probeta, pero que lo pudiera llevar al mundo real. Ese sistema, que nosotros llamamos “sistema riesgo cero”, tendría un punto que en física se llama innacesibilidad al cero absoluto de temperatura. Todo estaría quieto, la entropía sería nula, tendríamos el orden perfecto (y en los sistemas de información estaríamos completamente a salvo). El tercer principio es el cero absoluto. Todos los días trabajamos por alcanzarlo, mantener nuestra función de entropía y nuestra función de energía potencial lo más cerca de este sistema de referencia. Sin embargo, a día de hoy, parece ser (o ya veremos más adelante) que sólo se consigue en un laboratorio.

Vuelvo a hacer un repaso de los 4 principios de la termodinámica o axiomas (que luego serán debatidos con la teoría de los sistemas de información):

• Principio 0 (el roce hace el cariño): Cuando dos sistemas entran en contacto alcanzan un estado de equilibrio.

• Principio 1: Lo que tocas lo cambias. A veces con efectos caóticos.

• Principio 2: Aunque no toques algo con el tiempo se degrada y además es irreversible.

• Principio 3: La perfección es imposible.

MECÁNICA ESTADÍSTICA

Boltzmann, nacido en Austria, formuló la ecuación puente (grabada en su tumba), que conecta

el colectivo micro-canónico con el colectivo macro-canónico, el mundo microscópico con el macroscópico. Con esta ecuación es posible conocer cómo se comporta un sistema complejo en su totalidad sin conocer todas las partes del mismo. ¿Cómo? Extrayendo una muestra aleatoria del sistema, y utilizando su ecuación puente, idea un sistema de microestados donde partículas o componentes de ese sistema pueden colocarse y ocupar posiciones en esos micro-estados definidos por variables. El resultado le da una medida macroscópica del sistema completo, sin tener toda la visión. Von Neumann leyó a Boltzmann y se quedó con el término entropía y con la función de probabilidad. Él fue también uno de los culpables de la conexión y de nuestra disciplina. Nos quedamos entonces con esta idea: se puede pasar de lo particular a lo general con métodos probabilísticos.

Conclusión: hemos hecho un recorrido por la Mecánica Clásica, pasando por la Termodinámica, llegando a la mecánica estadística.

Ideas fuerza, que esperemos empiecen a tener sentido para vosotros a partir de ahora:

• Los fenómenos se miden (Galileo).

• Simplificación, Centro de masas.

• Hay leyes que rigen los fenómenos de la naturaleza (Newton).

• Principio 0: Cuando dos sistemas entran en contacto pasado un tiempo alcanzan un estado de equilibrio.



• Principio 1: Lo que tocas lo cambias (para bien o para mal) y a veces con efectos caóticos.

• Principio 2: Aunque no toques algo con el tiempo se degrada. Es el envejecimiento de los sistemas de información (A veces irreversible).

• Principio 3: La perfección es imposible.

• Se puede pasar de lo general a lo particular con métodos probabilísticos.

Roberto Ortiz

En primer lugar voy a hacer una revisión en una línea de tiempo de la teoría de la información, desde que se fundó la teoría de grafos hasta que llegamos a la teoría de redes complejas. Comenzamos con el camino recorrido en teoría de la información, desde las primeras investigaciones hasta la formalización de la teoría y los usos que tiene a día de hoy esa teoría.

A principios del siglo XX los investigadores estaban muy interesados en el uso eficiente de las redes de comunicación y, en concreto, en el envío óptimo de mensajes. Esa necesidad surgió del aumento de la complejidad y de la masificación de las vías de comunicación.

El primer investigador que se relaciona con la teoría de la información es Andréi Márkov, que comienza a investigar una forma óptima de enviar mensajes. Su principal aportación fueron los modelos centrados en la compresión de datos.

Una década más tarde, Ralph Hartley, conocido como el precursor del lenguaje binario, nos hizo capaces de traducir o codificar un lenguaje a una secuencia de ceros y unos, optimizando el contenido del mensaje.

Años más tarde aparece Alan Turing, uno de los padres de la computación y precursor de la informática moderna. Turing definió el esquema de una máquina capaz de tratar información con emisión de símbolos, la llamada máquina de Turing. Su gran avance se dio en el periodo de la Segunda Guerra Mundial, cuando lideraba el equipo que se dedicaba a descifrar los mensajes del ejército alemán emitidos con la máquina Enigma.

En ese marco temporal encontramos a Shannon, creador de la teoría de la información. Shannon también estaba muy interesado en el uso eficiente de las redes de comunicación, pero es a través de la criptografía cuando llega a su descubrimiento. Shannon también fue reclutado en la Segunda Guerra Mundial para descifrar mensajes alemanes. Y las definiciones de los conceptos de la teoría de la información las realiza a través de la criptografía, porque trabaja en dos planos: el del mensaje original o real, y el plano de lo que él percibe, el mensaje cifrado. Buscando cuánto se parece uno a otro define el concepto de incertidumbre, que no es más que la cantidad de información que tenemos ante un determinado evento. Y hablamos de cantidad de información como la probabilidad de que un mensaje, entre un conjunto de mensajes posibles, sea recibido. En esta teoría establece el concepto de incertidumbre que se calcula como una suma que



involucra las probabilidades de varios sucesos. Es Von Neumann quien le sugiere que a ese término lo llame entropía por dos motivos: porque dice que las fórmulas se parecen mucho y lo que hallan es, al final, una probabilidad de que algo ocurra, y porque la entropía es un concepto tan poco usado que ante cualquier debate va a sentirse en superioridad.

Un año más tarde, Weaver culmina y asienta la teoría de la información creando un modelo simple con los siguientes elementos: fuente, transmisor, señal, receptor y destino. Y dentro de ese canal puede haber un ruido que modifique la señal provocando una mala o una buena interpretación en el destino. Ése es el concepto de entropía de un mensaje: la diferencia que hay entre el mensaje original que se quería mandar y el que se recibe.

En la actualidad los principales usos de la teoría de la información se hallan en el ámbito de compresión de datos (aplicaciones ZIP, MP3…) y en biología molecular (análisis de secuencias de ADN).

El concepto clave de esta línea de tiempo es el trabajo sobre dos planos que hace Shannon: el de lo que enviamos y el de lo que recibimos, a cuya diferencia llama entropía. Este concepto lo manejaremos nosotros luego en las bases de nuestra investigación.

Ahora entraré de lleno en una segunda línea temporal, que va desde la fundación de la teoría de grafos hasta la teoría actual de redes complejas.

La teoría de grafos surgió con Euler, que resolvió el problema de los puentes de Königsberg y enunció el primer teorema de grafos. Posteriormente se utilizó para lograr un método único que solucionara problemas de diferentes ámbitos. Y después evolucionó hacia redes complejas porque no permitía modelizar algunos fenómenos que ocurrían en la naturaleza.

Después de Euler, años más tarde, apareció Cayley, que enuncia la teoría de grafos enumerativa o árboles. Resulta curioso que este tipo de grafos se utilizan a día de hoy en ámbitos totalmente diferentes de aquel para el que fueron creados, como son la química y el estudio de la estructura del ADN.

Luego tenemos a Pólya, que demuestra y asienta la teoría enunciada por Cayley. Esto supone un ejemplo de cómo a lo largo del tiempo aparecen investigadores que crean teorías y luego otros que las refinan para que sean utilizadas.

Ya en el siglo XX, Erdös y Renyi presentan un nuevo modelo llamado grafos aleatorios donde los grafos dejan de ser estáticos. Llegan a ellos porque había problemas que la teoría de grafos simples no les permitía resolver. La moraleja de todo esto es que, ante nuevos problemas, es posible que las herramientas existentes no nos valgan y tengamos que utilizar otras, crear herramientas nuevas o incluso avanzar las que teníamos. Asimismo, Derek de Solla Price, además de enunciar la ventaja acumulativa, llega a la misma conclusión que Erdös y Renyi sin aparente conexión.



Posteriormente aparecen en escena Appel y Haken, que demuestran el teorema de los 4 colores, uno de los primeros problemas relevantes de matemáticas probado a través de la computación, evidenciando una vez más la necesidad de introducir nuevas herramientas para la resolución de problemas, por ejemplo el uso de ordenadores Y llegamos a la actualidad con Barabási y Albert, que definen una nueva disciplina llamada redes de escala libre, y, una vez más, demuestran que con grafos simples es imposible modelizar algunas de las leyes de la naturaleza.

El mensaje de esta línea de tiempo es el tratamiento de la complejidad. Para resolver problemas simples las herramientas simples son óptimas. Para resolver problemas complejos no siempre las herramientas simples de pueden utilizar. Por lo tanto es necesario evolucionar las herramientas clásicas.

Ahora os dejo con Santiago, que va a hacer el paralelismo de estas líneas de tiempo con nuestra investigación.

Santiago Moral

Llegamos, pues, a la teoría de los sistemas de información. Lo que os planteamos por primera vez en este foro es que hemos encontrado una función que tiene características entrópicas dentro de los sistemas de información y que la podemos basar matemáticamente.

Básicamente tiene que ver con la teoría de los dos planos: un sistema de información en su

totalidad es un plano y otro plano distinto es el conocimiento que tengo de él. Es decir, la función de entropía no está dentro del sistema de información, sino que es la que relaciona el conocimiento que tengo de un sistema con el sistema en sí mismo. Cuando la función entrópica la buscábamos dentro del mismo sistema, no encontrábamos nada. Estuvimos buscando: vulnerabilidades, debilidades, obsolescencia, transformabilidad… Ninguna de esas es entrópica. Pero de repente aparece una función entrópica cuando un sistema de información lo concibes en esos dos planos.

Cuando hablamos de entropía como concepto hablamos de lo siguiente: he diseñado el sistema para que haga algo y, aparte de hacerlo o no hacerlo, he dejado muchísimas partes en las que voy poniendo máquinas apiladas y redes unas al lado de otras; las conecto y cuando consigo que el sistema haga lo que yo quiero, ya está: funciona. ¿Pero qué otras cosas puede hacer que yo no he diseñado? Ésa es la entropía. Cuanto más comportamiento no predecible puede tener un sistema (porque hemos dejado en él caminos, que bien una aplicación puede recorrer o una persona puede recorrer, que no han sido diseñados) más entrópico es.

Si de alguna forma pudiéramos conocer la diferencia de riesgo entre un sistema en un momento determinado y el siguiente, o entre dos sistemas, y lo pudiéramos hacer como función de esa variable entrópica, podríamos tener un conocimiento de los sistemas de información que hasta ahora no puedo extraer.



El concepto de diferencial de riesgo fue la última aportación en el modelo CASANDRA. Cuando hacemos análisis de riesgos en sistemas complejos, actualmente, nadie trabaja de forma absoluta sino que te basas sobre el estado anterior. Siempre trabajamos por diferenciales de riesgo.

Si pudiéramos hablar de diferenciales de riesgo en función de diferenciales de entropía, podríamos encontrar una manera simple de modelar el riesgo en redes complejas. Si tuviéramos un “cacharro” para medir la diferencia de entropía entre dos sistemas o la diferencia de entropía entre un sistema en un momento del tiempo y un tiempo después, y de eso pudiera sacar una función de riesgo, podríamos tener un avance interesante de explorar, que es lo que os traemos hoy. Esa es la base de nuestro avance.

Cabe señalar en este punto que, además de las señaladas, hemos metido otra disciplina más: la teoría del caos, de la que hemos extraído cuatro conceptos, que contaremos rápidamente y muy, muy simplificados. El primero es el de sistema lineal, que es aquel en el cual hay una relación entre causa y efecto. Por ejemplo, si yo hago un trabajo sobre el sistema, el efecto es proporcional al trabajo; si yo quiero mucho efecto, tengo que meter mucho trabajo. El segundo, es el de sistema no lineal o caótico, por ejemplo aquel en el que con poco trabajo puedo conseguir efectos ingentes. Un efecto caótico consiste en un pequeño cambio que produce un gran impacto. Todos los que llevamos años trabajando en grandes sistemas de información sabemos que son caóticos. Y luego tenemos dos conceptos más: atractores y disparadores. Un atractor es

un elemento o un cambio que, metido en un sistema de información, tiene un efecto caótico de reducción de la entropía. Si el cambio que introduzco, por el contrario, tiene una subida caótica, no lineal, de la entropía, es un disparador.

Esto nos lleva a nuestra entropía. Para nosotros es la diferencia que hay entre lo que un sistema es y lo que yo he diseñado, lo que yo conozco. Yo diseño un sistema y una vez que consigo que funcione, ya está. Y ahora ese sistema puede tener infinitos caminos más. Cuanto mayor es esa diferencia más entrópico es el sistema.

Por lo tanto, un sistema de información, concebido como un grafo, una gran red compleja, está compuesto por dos subconjuntos: todos los caminos que he diseñado (nodos y relaciones que he puesto conscientemente) y los que están ahí y no he puesto. Por ejemplo, monto una red de máquinas y dejo en todas un cierto puerto abierto. Son caminos que puedo recorrer, que no necesito pero que, dada la forma en que construimos los sistemas, quedan y están ahí.

¿Y qué es para nosotros la energía? La cantidad de esa parte entrópica que ahora ya sí es conocida. La entropía en sí misma no tiene por qué ser un problema, salvo que se convierta en energía de alguna forma. Todos aquellos caminos que nadie diseñó son la base de la energía interna, la energía potencial de riesgo de un sistema. Esto se debe a que todo el conocimiento que va habiendo de aquellas cosas que se pueden hacer con un sistema, y que el diseñador no creó, las convierte en auténticos focos de problema. Si doy por válido que el que diseñó algo lo hizo de manera



bondadosa, lo que construyó era lo que quería construir y ha verificado que eso existe, todo lo demás, el resto del sistema de información que existe y que nadie ha diseñado, es la entropía. De ésta, lo que se va conociendo es lo que llamamos la energía potencial de riesgo.

Así contado está muy bien, se cuenta como una película, pero el proceso ha sido al revés, hemos ido encontrando partes de estos temas y no ha sido de esta manera secuencial. Es decir, primero se rueda la escena final, luego una escena de en medio… Y estas son las conclusiones a las que hemos ido llegando.

Un ejemplo, importante de entender: si le haces no sé qué a este protocolo, le pegas por aquí y le subes por allá, de repente, te haces root de una máquina. Lo que está sucediendo es que alguien ya ha descubierto un camino por el que puede llegar a distintos sitios a través de caminos que nadie diseñó. Eso son las vulnerabilidades, caminos que quedaron allí, que no están documentados, pero que alguien ha encontrado.

Una vulnerabilidad puede ser privativa (tú te la encuentras, tú te la quedas) o se puede hacer pública. Esto último es lo que hacen los fabricantes: te dicen “cuidado, que hay una serie de caminos que han quedado en mi software que te he vendido, pero que nadie los pensó de verdad”. Entonces, aparte, te dan un parche para que lo soluciones y borres ese camino.

En resumen, la colección de la parte de un sistema de información que no ha sido diseñada y que posteriormente ha sido conocida es la energía

potencial de riesgo que tenemos dentro de ese sistema.

Vamos más allá. Imaginemos dos sistemas de información con la misma entropía y la misma energía interna de riesgo, y que además son sistemas espejo, idénticos, dos gotas de agua. En uno de ellos pongo toda mi base de tarjetas con los pines y en el otro guardo las fotos de mi veraneo. ¿Cuál tiene mayor probabilidad de tener un incidente? La ponencia de Stephen Moody me ha encantado porque lo que nos está diciendo es que, fuera, lo que tenemos es una industria. Tenemos tíos con mucha pasta, muy bien pagados ¿Dónde voy a tener un incidente? Donde tengo el valor. ¿Por qué? Pues porque alguien va a pagar por que suceda. Porque existe un interés de obtener una rentabilidad.

En este caso estamos trabajando sobre el concepto de entalpía, que en física tiene que ver con la energía de Gibbs, que es aquella que puede hacer que haya procesos espontáneos de liberación de energía. Por ejemplo, una base y un ácido, a cierta presión y temperatura, explotan. En un sistema de información en el que yo meto información que tiene un valor y un nivel de accesibilidad y anonimidad (utilizando la descripción que hace Víctor Chapela, que no es la que tenemos en la base de nuestra investigación, pero nos es perfectamente válida), va a haber unos procesos continuos, que van a estar intentando explotarla. Y es que el mundo de la delincuencia organizada sabe perfectamente dónde está la información más valiosa de los bancos, dónde la guardamos, qué departamento la gestiona, cómo se llaman las empresas



que nos proveen a esas personas… Lo saben todo. Eso son lo que llamamos las variables de Gibbs, es decir, el valor, la accesibilidad y la anonimidad que haya alrededor de un sistema de información, que son las que van a hacer que su energía potencial me genere un impacto. Y ya hablamos de riesgo. Solo hablo de riesgo cuando algo tiene un valor, porque si un activo no tiene valor, no hay riesgo.

Estamos trabajando para ver cómo definimos esas variables de Gibbs. Este trabajo solo se puede hacer de manera empírica. Una de las cosas que nos ha enseñado lo que cuenta Teresa, es que una vez acabadas las ideas hay que trabajar. Esto significa empezar a ver qué grados de incertidumbres según Shannon, qué grados de entropía según Boltzmann, sobre qué activos y sobre qué condiciones me generan incidentes, y empezar a ver si podemos medir eso. Porque si podemos, estaremos ante algo que pueda convertirse en una disciplina. Si no, quedará como unas ideas que nos puedan ayudar para tomar algunas decisiones.

Ahora vamos a analizar cómo se comporta esta definición entrópica con respecto a las cuatro leyes fundamentales de la termodinámica. Para ello pido colaboración a Teresa y a Roberto.

Roberto, ¿qué nos dice la ley 0? ¿Qué analiza?

Roberto Ortiz

Analiza el comportamiento de dos sistemas cuando entran en contacto.

Santiago Moral

Según nuestras definiciones, Teresa, intuitivamente, ¿qué sucede cuando dos sistemas entran en contacto? ¿Qué sucede con su entropía?

Teresa Correas

Intuitivamente, según nuestra ley 0, cuando dos sistemas entran en contacto el resultado final implica que la suma de sus entropías no es menor que la del mayor de ellos.

Santiago Moral

Es decir, que cuando yo junto dos sistemas, la entropía de uno y la entropía de otro al menos se suman. Posiblemente sea mayor, pero lo que sé, es que no va a ser menor que la suma.

Roberto Ortiz

Hay casos excepcionales.

Santiago Moral

Sí, estamos analizando casos en los que, si son dos sistemas completamente idénticos, como dos gotas de agua, la entropía conjunta puede llegar a ser la misma y que no se sume. Pero de manera intuitiva lo dejamos así.

¿Qué sucede con la energía Teresa?

Teresa Correas

También se suma.



Santiago Moral

Es decir, que si pongo en contacto dos sistemas ¿se me suma la entropía y se me suma la energía? Es interesante. Todo esto lo estamos haciendo para sacar conclusiones. Cuando yo propongo un cambio dentro de un sistema de información, sin saber más de él, empiezo a ver cosas. Y es que las entropías, las energías, tendrán que tener su base científica, pero ya intuitivamente empiezo a ver comportamientos.

Teresa ¿qué analiza la ley 1?

Teresa Correas

El comportamiento de un sistema cuando introduces algún cambio, cuando lo tocas.

Santiago Moral

Roberto, en nuestro modelo, ¿qué pasa cuando modificas un sistema? ¿Qué pasa con su entropía?

Roberto Ortiz

Depende del cambio. Si añado elementos, la entropía no baja, eso está claro. Podrá ser la misma o aumentar, ya que podremos ver caminos no diseñados nuevos.

Santiago Moral

¿Qué ocurre cuando quito elementos?

Roberto Ortiz

Cuando quitas elementos puede bajar o puede

quedarse tal y como está. Pueden existir los mismos caminos no diseñados o disminuir.

Santiago Moral

Es decir, cuando agrando un sistema de información con una nueva máquina, un nuevo aplicativo, una nueva relación o una nueva conexión, la entropía sube; como mucho se queda igual, pero no baja.

Ahora vamos a una de las conclusiones finales, para mí de las más interesantes de lo que yo he visto en esto.

Si pudiéramos encontrar una relación formal entre el coste de mantenimiento de un sistema y su entropía, llegaría a la conclusión de que siempre que hago un cambio que significa agrandar el sistema, al aumentar su entropía, estaría aumentando su coste total de mantenimiento.. Con lo cual, cualquier plan de simplificación que consista en meter más sistema, por mucho que sean, como dicen los consultores, capas de abstracción, me lo hacen más caro. Es decir, no se puede simplificar un sistema haciéndolo más grande. Ésa es nuestra teoría, pero está en contra de todas las que manejan las grandes consultoras del mundo.

De hecho, hay un artículo muy interesante que nos pasó Luiz Saiz, donde un analista de Gartner, después de estudiar treinta y tantos casos de proyectos de simplificación de sistemas, había visto que todos habían fallado años después. Ninguno había conseguido simplificar los sistemas. Después de analizar muchísimas



variables, llega a la conclusión de que todos fallan porque hay partes muy internas que nadie es capaz de modificar, y lo que hacemos es meter nuevas capas de abstracción. Y los nuevos elementos que, desde el punto de vista de gestión, parece que simplifican el sistema, realmente agrandan su tamaño total.

La única forma de reducir la entropía es reduciendo el tamaño del sistema. De hecho, ¿qué hacemos cuando ponemos un cortafuegos? Parto por la mitad un sistema grande, lo reduzco. Entonces todos los caminos que hubiera entre medias los he roto, estoy quitando muchísimos caminos que no sé que estaban ahí, y, como resultado, la entropía va a ser menor. Cuando coloco un cortafuegos he metido un cambio único, con lo cual algo de entropía puedo añadir, pero rehago todos los caminos intentando garantizarme que solo queden esos. De hecho, un cortafuegos es un elemento atractor, al igual que todos aquellos elementos que me aíslan, aquellos con los que trabajamos desde siempre en seguridad (un antivirus, un IPS, un proxy inverso…). Son las inversiones óptimas para reducir la entropía de un sistema, porque lo que hacen es segmentar, recortar, con lo cual caminos que no sabíamos que estaban desaparecen.

¿Qué pasa con la energía? La energía no varía. Cuando toco un sistema de información, no varío el conocimiento que tengo de él. El conocimiento de los caminos que estaban, es el que hay. Si han desaparecido caminos, desaparecerá su energía, pero la energía no varía, porque es conocimiento. Aunque cambie un sistema el conocimiento sigue siendo el que es.

Vamos a la siguiente ley. Roberto, ¿qué dice la ley 2?

Roberto Ortiz

La ley 2 analiza el comportamiento de un sistema con el paso del tiempo cuando no se introduce ningún cambio.

Santiago Moral

¿Qué pasa en nuestra teoría cuando el sistema lo dejas envejecer, sin tocarlo?

Teresa Correas

De manera irreversible la entropía se mantiene constante. Sin embargo se van descubriendo mayores vulnerabilidades que pueden ser explotadas con lo cual la energía potencial de riesgo aumenta.

Santiago Moral

Es decir, un sistema de información lo fabricamos ahora, lo metemos en una urna de cristal y lo sacamos diez años después. Los caminos que se diseñaron y no se diseñaron son los mismos. Si lo fabricáramos desde cero, el hardware, el software, todo, el sistema envejecería perfecto, porque no hay conocimiento fuera. Pero los sistemas de información los fabricamos comprando piezas que tienen todos los demás, con lo cual cuando a una pieza determinada le surge algún defecto, ese defecto lo tienen todas las que son iguales, incluidas las que están en mi sistema aislado. Por tanto, es el conocimiento del sistema de información lo que se ha ido transformando y lo ha hecho envejecer mal. La segunda ley hace que



ese conocimiento sea paulatino, pero además lo hace irreversible. Nadie puede desconocer lo que conoce, ni deshacer lo que ha hecho. Nadie se olvida de una vulnerabilidad que hubiera, de manera general. Luego el aumento de la energía de un sistema por su envejecimiento es irreversible.

¿ Ley 3?

Teresa Correas

La posibilidad de alcanzar un valor cero de la entropía. ¿Aquí es posible?

Santiago Moral

Roberto, ¿es posible alcanzar valor cero de entropía?

Roberto Ortiz

Hemos partido de la base de que esto era una red compleja, no un grafo, por lo tanto no se conocen cada uno de sus elementos. Y si no conozco cada uno de estos elementos, no conozco tampoco los caminos no diseñados. Por lo tanto, reducirlo a cero es imposible.

Santiago Moral

Por mucho que trabajemos en mantener la entropía a cero y con ello mantener la energía potencial de riesgo a cero, es imposible. Además, estamos convencidos de que van a aparecer funciones exponenciales, es lo mismo que sucede en la física: cuanto más intentas acercarte al cero, más energía necesitas; es decir, es prácticamente

infinito el esfuerzo que tienes que hacer. En nuestro caso, intuitivamente, sabemos que es así. Nos pasa en las auditorias, hacer el 98% de lo que nos piden es fácil, pero hay un 2%… Esa perfección nos cuesta muchísimo y los costes son muy altos. Si queremos trabajar en funciones de riesgo, es importantísimo tener eso claro. El cero absoluto, la perfección, es imposible.

Continúo yo a partir de aquí. Muchas gracias Roberto, muchas gracias Teresa.

Trabajando este modelo, igual que nos apareció la entalpía, estábamos convencidos de que tenía que haber alguna relación entre Shannon y Boltzmann, lo intuíamos. Esta relación la encontramos en un artículo donde Shannon reconoce a un entrevistador que, dando un paseo con Von Neumann, éste le dice que a lo que ha llegado es a lo mismo que Boltzmann. La incertidumbre que llamaba Shannon o la entropía que llama Boltzmann es lo mismo: un logaritmo de una función de probabilidad de un estado posible.

¿Por qué trabaja Shannon en logaritmo base 2? Porque hay 0 y 1. Sólo dos estados posibles. Boltzmann, en cambio, imagina n estados posibles. ¿Qué puede ser un estado posible en nuestro caso? Imaginaos que defino una secuencia de 20 micro-estados en los que puede estar una máquina: perfecta, casi perfecta, llena de basura… Si puedo sacar conclusiones del estado de una máquina y puedo fijar unas escalas, puedo asimilar el concepto de escala al concepto de micro-estados que imaginaba Boltzmann.



Y uno de los retos más importantes que nos queda es ver si somos capaces de sacar un conjunto aleatorio de elementos que sean razonablemente representativos de un sistema de información. Es una de las cosas para las que yo no tengo respuesta hoy. Estamos trabajando justo en ese punto. ¿Por qué? Porque querríamos tener una herramienta, una jeringuilla, que meter en un sistema de información y con la que poder extraer, garantizado de forma matemática, un subconjunto pequeño pero representativo y obtenido aleatoriamente de elementos constituyentes de ese sistema. Podríamos entonces aplicarle mecanismos y metodologías clásicas de análisis de riesgos que midieran cada una de las cosas que siempre hemos medido y relacionarlas utilizando algún tipo de matemática más moderna, como las redes parenclíticas de las que habló en su charla Stefano Boccaletti, que nos permitiera ver relaciones más profundas.

Ésa es la parte que nos queda. Si la tuviéramos, podríamos hacer el mismo recorrido que soñó Boltzmann, pasar del conocimiento micro, gestionado por estados, a obtener conclusiones de cómo es el sistema de información, de cómo se gestiona. Por ejemplo, si extraigo veinte máquinas al azar de una red y compruebo que el 80% están bien, volviendo a teoría de juegos, a CASANDRA, esto significa que tienen presupuesto suficiente, que el administrador se preocupa, que tienen un buen equipo… que hacen un buen trabajo. Lo que nos queda, en lo que vamos a trabajar este año es en fabricar esas jeringuillas, esas “cacharrerías”, que nos permitan extraer aleatoriamente. Para tener una medida de la entropía, tendré que definir a bajo nivel qué es esa

entropía, qué considero puertos que no deberían estar abiertos, relaciones que no deberían estar ahí. Necesito “cacharros” para medir. Eso es lo que os planteamos.

Para cerrar la conferencia: una de las grandes cosas que me llevo de estos años gobernando el plan de innovación de esta casa es que, como le voy contando a todo el mundo lo que vamos haciendo, todos aportan ideas, desde decir que eso es imposible hasta que es una buena idea, es algo retador. Boltzmann se suicida en 1906, y dice la leyenda que pasó muy mala vida porque varios premios Nobel de física de la época, le machacaron brutalmente porque todo lo que decía iba en contra del status quo mantenido. Quiero decir que el lanzar ideas es algo ante lo que siempre nos dicen: eso es imposible. Pero hay una cosa que yo estoy sacando muy divertida, posiblemente más parecido a lo que le pasaba a Erdös, que era un hombre que vivía por meses, en casa de amigos, y donde iba, iba haciendo teorías. Víctor Chapela se pasa algunos fines de semana en mi casa y yo en la suya en México. Cuando le conté esto la primera vez dijo: Santiago, si te has dejado el lado oscuro de la luna.

Eso ya lo contaremos en profundidad el año que viene, pero introduzcámoslo. Víctor hace la siguiente aportación a este modelo: ¿qué pasa con los caminos diseñados y olvidados, qué pasa con este conjunto? Porque este conjunto no lo hemos tratado. ¿Qué pasa con las líneas de código que hay en mi banco y que hace 15 años que despedimos o prejubilamos al último que las hizo? Porque el sector financiero, que fue de los primeros en informatizarse en el mundo,



tiene un problema, y es que llevamos varias generaciones perdidas de gente que fabricó nuestros sistemas de información y que ya no está. Y la transferencia del conocimiento es imperfecta, lo que sabe uno no lo puede poner en la cabeza del de al lado. Yo estaba trabajando en esta línea y Teresa hizo una redefinición de la entropía muy interesante, como el diferencial que hay entre lo diseñado y lo que existe. Y está en las dos direcciones. Es decir, los caminos que he diseñado y ya he olvidado, son parte de la entropía, forman parte del diferencial entre lo que hay y lo que yo veo.

¿Qué pasa cuando estos caminos olvidados llegan a ser el 50%, 60% o 70% del tamaño de un sistema de información? Que no hay quien lo cambie. Cualquier cambio es muy costoso, pero no ya en tiempo, sino en dolor del que lo cambia, por el nivel de incertidumbre individual tan grande que tienes sobre el cambio que vas a hacer. Entonces, el sistema ha cristalizado, porque no consigues que haya una agilidad en el cambio. Esta otra parte de la entropía tiene efectos diferentes: coste de mantenimiento, falta de agilidad, falta de evolucionabilidad de los sistemas y costes operativos ocultos importantísimos. Si pudiéramos tener estimadores de cuál es el tamaño de la parte cristalizada de un sistema, llegaríamos a cosas interesantísimas.

Por ejemplo, hemos llegado de manera intuitiva a una conclusión muy interesante, aunque sabemos que tenemos que trabajar para ver si podemos basarla matemáticamente. Imaginad un sistema como el del banco, con más de 300.000 dispositivos que van cambiando a deseo

de más de 300 fabricantes. El coste de eso es tremendo. Nosotros intuimos, y yo creo que lo han descubierto ya las grandes empresas de la nube, que hay un punto a partir del cual la única forma de seguir avanzando es ser el dueño de todo lo que tienes de sistemas de información. Porque cuando eres el dueño de toda tu informática, tú mandas cuando cambias. Es uno de los comportamientos caóticos de los que hablábamos: los costes operativos de mantenimiento se te reducen infinitamente. La entropía es la menor de todas las posibles. Un sistema de información que te hayas fabricado tú es el único que puede aspirar a estar en el cero. Podrá ser bueno o malo, pero desde el punto de vista entrópico tiene unos comportamientos espectaculares, así como desde la perspectiva de los costes de mantenimiento.

Suponed por un momento que damos por ciertas nuestras teorías, creedme durante este rato al menos y juguemos. Empresas como Facebook, Google y Salesforce tienen menos sistema cristalizado y han reducido muchísimo el espectro de caminos no diseñados, con lo que la entropía es mucho menor. ¿Por qué? Porque se lo han fabricado ellos, con lo cual, en la ley 2, tienen un comportamiento óptimo. ¿Cómo envejecen los sistemas de estas empresas? ¿Qué conocimiento hay de sus sistemas fuera de ellas? Cero. Todas las empresas de la nube están basadas en patentes propias, absolutamente todas.

Cuando consigues tener cientos de millones de clientes sobre un sistema de información que es tuyo, tus costes operativos son soportables. Es decir, al final, una de las conclusiones es que todas las empresas que están triunfando



a nivel mundial en estos momentos, lo hacen

porque el coste operativo por cliente, dado su

nivel entrópico y su nivel de energía interna, es

óptimo. No hay ninguna empresa de las grandes

triunfando ahora mismo que lo haga en base a

software de terceros. Porque no escala. Porque,

y lo estamos viendo el resto de las grandes,

no escalamos. Llega un momento en que la

complejidad que tenemos que soportar para seguir creciendo en clientes es espectacular. Y sin embargo para ellos no. Tienen un sistema. Mantienen uno, muy grande, pero es uno.

Esto es lo que estamos llamando Seguridad Estadística o Teoría de los Sistemas de Información. Y hasta aquí hemos llegado. Gracias.



ÁLBUM FOTOGRÁFICO

Centro de Investigación para la Gestión Tecnológica del Riesgo CIGTR


I



Santiago Moral, Director de IT Risk, Fraud & Security del Grupo BBVA, inauguró el curso “Metodología de análisis de la intencionalidad en Internet y redes complejas”, incluido en el programa oficial de los Cursos de Verano 2013 que la Universidad Rey Juan Carlos organizó en Aranjuez (Madrid).

II



III

Stefano Boccaletti, investigador en CNR-Instituto de Sistemas Complejos en Florencia (Italia), impartió la ponencia “La Teoría de las Redes Complejas: Introducción y Aplicaciones”, en la cual analizó y ejemplificó tres tipos de redes: las físicas, las funcionales y las novedosas e innovadoras redes parenclíticas, denominadas así por el término griego parénclesis o desviación.



Regino Criado, Catedrático de Matemática Aplicada de la Universidad Rey Juan Carlos (a la izda. de la imagen), y Víctor Chapela, CEO de Sm4rt Corp., expusieron exhaustivamente el “modelo de escala libre de riesgos”, deteniéndose en los cinco problemas de la gestión del riesgo digital.

IV



V

Los asistentes a la ponencia de Adrian Davis, Analista Jefe de Investigación en el Information Security Forum, disfrutaron del repaso que el analista hizo a los principales problemas que hay en torno a la ciberseguridad. Davis desgranó cuáles serán los principales peligros en el año 2015, la mayoría de ellos resultado de combinar amenazas ya conocidas.



VI

Cada una de las ponencias congregó a una nutrida asistencia, que pudo compartir sus dudas y opiniones sobre los temas tratados.



VII

Como miembros del Grupo de Investigación Kybele, los profesores de la Universidad Rey Juan Carlos, Juan Manuel Vara y Marcos López explicaron los primeros resultados del proyecto CASANDRA, cuya esencia pasa por analizar, gestionar y proteger del riesgo intencional.



VIII

A continuación, Rafael Ortega, Director General de Innovation 4 Security (I4S), tomó el testigo centrándose en la parte práctica de CASANDRA y expuso a los asistentes cómo poner en marcha esta metodología en el ámbito de un Plan Director.



IX

Durante la mesa redonda moderada por Luis Fernández, Editor de la Revista SIC de Ediciones CODA, se entró de lleno en la temática del curso y los participantes en la misma, José Antonio Mañas, Catedrático de la ETSI Telecomunicación (UPM) y consultor independiente en redes de comunicaciones y seguridad, Juan Corredor, Responsable de IT RiskGovernance en el Grupo BBVA, Rafael Ortega, Director General de Innovation 4 Security, y Javier Candau, Jefe de Área de Ciberseguridad del Centro Criptológico Nacional (CCN), debatieron largo y tendido sobre las principales metodologías y herramientas para llevar a cabo el análisis de riesgos intencionales.



X

Santiago Moral, Director de IT Risk, Fraud & Security del Grupo BBVA, y Rosa Quintanar, Fraud Back Office del Grupo BBVA, acompañaron a Stephen Moody, Responsable de Financial Crime Solutions en BAE Systems Applied Intelligence, durante su ponencia, en la que entró de lleno en el análisis de las tecnologías que se están empleando para detectar esquemas complejos de fraude en grandes conjuntos de datos.



XI

La ponencia final a tres bandas contó con la participación de Teresa Correas, CISO de Innovation del Grupo BBVA, Roberto Ortiz, InfoSec Engineering del Grupo BBVA, y Santiago Moral, Director de IT Risk, Fraud & Security del Grupo BBVA, quienes teorizaron sobre la creación de una nueva disciplina: la Seguridad Estadística o Teoría de los Sistemas de Información



XII



XIII

La hora del almuerzo siempre es un buen momento para compartir ideas y

hacer networking.



XIV

metodología de análisis de la intencionalidad en internet y redes complejas

Technology