El Centre de Seguretat TIC de la Comunitat Valenciana (CSIRT-CV) ha participat en les V Jornades de Seguretat Informàtica SegurXest, en les quals s’han donat cita professionals del món empresarial amb la finalitat de divulgar i donar a conéixer aspectes rellevants en la ciberseguretat.
Estes jornades, organitzades pel departament d’Informàtica del Centre Integrat Públic de Formació Professional (CIPFP) del Complex Educatiu de Cheste i dirigides a l’alumnat de Formació Professional, preferentment, de la família d’Informàtica i Comunicacions, ha comptat amb una assistència aproximada de 150 persones.
Per part de CSIRT-CV han participat els nostres companys Jorge Palma de l’àrea de CNA i Roberto Navarro especialista en Ciberseguretat Industrial.
Jorge Palma ha impartit la xarrada titulada “No necessite la teua contrasenya: La teua vida és OpenSource” l’objectiu de la qual ha sigut desmitificar la figura del ciberatacant. Lluny de la imatge cinematogràfica del geni capaç de trencar codis impossibles, Palma ha mostrat que la baula més feble de la cadena de seguretat continua sent el propi usuari.
Durant la seua intervenció, ha analitzat com les nostres accions quotidianes exposen la nostra informació privada a través de tres exemples clars:
- L’empremta digital oculta en les fotos: Pujar una imatge a xarxes socials implica molt més que compartir un record. Moltes fotos contenen detalls de fons o dades invisibles que permeten a un estrany saber on vivim o quines són les nostres rutines, facilitant l’enginyeria social sense necessitat de ferramentes complexes.
- El rastre invisible del WiFi: Els mòbils són bastant “indiscrets”. Encara que no estiguem connectats, si portem el WiFi connectat, el telèfon emet constantment sol·licituds a l’aire per les xarxes de la nostra casa o treball. Vam veure com un tercer pot escoltar eixos senyals per a conéixer els nostres hàbits i ubicacions sense si més no tocar el dispositiu.
- La confiança cega en els dispositius USB: Es van abordar els riscos físics associats a connectar qualsevol USB que trobem perdut, demostrant com dispositius modificats poden enganyar l’ordinador fent-se passar per un teclat per a executar accions malicioses en qüestió de segons.
Amb estos tres exemples, Palma ha buscat que els estudiants comprenguen la mentalitat de l’atacant per a poder dissenyar millors defenses i convertir esta curiositat en una futura vocació en el Hacking Ètic.
“Un mal dia a la ciutat: la importància de la ciberseguretat OT”
La segona ponència, titulada “Un mal dia a la ciutat: la importància de la ciberseguretat OT”, i impartida per Roberto Navarro, s’ha centrat en explicar les diferències entre Tecnologia de la Informació (IT) i Tecnologia Operativa (OT). Mentres que en IT sol prevaldre la confidencialitat de la informació, en OT el més important és la disponibilitat dels sistemes i la seguretat física.
Navarro ha ressaltat la creixent rellevància de la ciberseguretat OT en l’actualitat, ja que afecta sistemes físics i servicis essencials de sectors tan variats com el sanitari, industrial, transports, logística, subministrament d’aigua o servicis públics. Per a això, ha repassat alguns incidents reals com l’atac a la xarxa elèctrica ucraïnesa, o els patits en empreses com Estrella Damm, Jaguar Land Rover, i l’Hospital Clínic.
Finalment, Navarro, a través d’un cas pràctic sobre una smart city, ha mostrat als assistents com un ciberatac pot impactar en elements quotidians com a sensors, càmeres de vigilància de trànsit o infraestructures connectades en una ciutat i generar el caos i mal reputacional.
Com a conclusió, les dos xarrades han posat de manifest que, en moltes ocasions, no fa falta un geni informàtic perquè es produïsca un ciberatac: som nosaltres mateixos els qui, sense adonar-nos, els obrim la porta.