Dan Woods, Director de Inteligencia Global de F5 – Preguntas y respuestas

Dan Woods, director global de inteligencia en F5, pasó más de 20 años en organizaciones policiales y de inteligencia locales, estatales y federales, incluido el FBI como agente especial donde investigó el ciberterrorismo; y la CIA como oficial de operaciones técnicas donde se especializó en operaciones cibernéticas. Nos reunimos con él para conocer su carrera hasta la fecha, su trabajo en F5 y las tendencias de ciberseguridad a tener en cuenta.

¿Cómo fue trabajar para el FBI?

En el FBI, investigué todo tipo de delitos que tenían un componente cibernético. No se trataba necesariamente de delitos cibernéticos, sino de cualquier delito que involucrara computadoras o Internet de alguna manera. Por ejemplo, trabajé con el Centro Nacional para Niños Desaparecidos y Explotados (NCMEC) para investigar pornografía infantil; ayudé a analizar la evidencia digital asociada con los ataques con ántrax de 2001 en los EE. UU. (nombre en código Amerithrax); investigué casos de fraude en línea, que normalmente eran remitidos por el Centro de Quejas de Delitos en Internet (IC3); investigué sitios web de adoctrinamiento terrorista y recaudación de fondos; e investigué la vulneración de las computadoras del gobierno de los EE. UU. Mi día a día estaba determinado por lo que fuera necesario para avanzar con mis investigaciones en ese momento activas o con las investigaciones de otro agente al que apoyaba. Algunos días, pasaba todo el tiempo en mi espacio de trabajo revisando extractos bancarios, registros/imágenes de computadora o registros telefónicos. O estaría en el campo ejecutando una orden de allanamiento o realizando entrevistas o vigilancia; o estaría en entrenamiento, asistiendo a una conferencia o reuniéndome con el fiscal. Lo que más disfruté de ser agente del FBI fue que cada día era diferente y traía consigo nuevos desafíos. 

También fue oficial de operaciones técnicas de la CIA. ¿En qué consistía tu trabajo allí?

Comencé en la Oficina de Servicio Técnico (OTS). Esto requirió que viajara por todo el mundo enseñando a nuestras fuentes de inteligencia humana (HUMINT) cómo utilizar los sistemas de comunicaciones. Disfruté de este puesto, pero no era estrictamente cibernético, así que busqué otras oportunidades en la CIA.

Mi siguiente rol fue el trabajo de mis sueños: me asignaron a la División de Explotación y Ataques de Redes Informáticas (CNEAD) de la Oficina Clandestina de Tecnologías de la Información (CITO), que más tarde pasó a ser parte del Centro de Operaciones de Información (IOC), que hoy forma parte de la Dirección de Información Digital (DDI). En este rol, viajé por todo el mundo ayudando a los oficiales de caso (aquellos que reclutaban y manejaban las fuentes HUMINT). Esto incluyó el uso de fuentes HUMINT para obtener acceso a computadoras y otros sistemas de información a los que tenían algún nivel de acceso. Por ejemplo, si un oficial de caso (CO) reclutara a un conserje en el proveedor de servicios de Internet de un objetivo de alto valor, el CO y yo nos reuniríamos con él y le haríamos preguntas sobre el entorno en el ISP. Esto podría requerir muchas reuniones a lo largo de varios meses, durante las cuales proporcionaríamos al conserje herramientas especiales y entrenamiento para cada etapa de la operación, y en última instancia proporcionaríamos a la CIA acceso remoto a los sistemas del ISP. El puesto también me permitió completar la formación necesaria para convertirme en CO. Esto me permitió apoyar a los CO de manera más efectiva.

¿Cuál es la lección más importante que aprendiste mientras trabajabas en esas organizaciones?

La mayoría de la gente se siente atraída por mi experiencia en la CIA y el FBI, y hacen muchas preguntas sobre esas organizaciones. Sin embargo, el puesto más interesante y que más cambió mi vida fue el de policía de barrio a principios de los años 90. Conduje un coche patrulla marcado en el área metropolitana de Phoenix, Arizona, y respondí a llamadas relacionadas con violencia doméstica, robo, falsificación, robo de identidad, disparos, homicidio, violencia de pandillas, daños criminales, drogas ilegales, niños desaparecidos o adultos vulnerables, vehículos robados, accidentes de tránsito, etc. A lo largo de los años, esto me llevó a entrevistar (o interrogar) a miles de personas de todos los ámbitos de la vida. Estas interacciones me enseñaron la compasión, la empatía, el valor de la educación y, lo más importante, la importancia primordial de una comunicación eficaz.  

¿Cómo ha evolucionado el ciberterrorismo en los últimos años? ¿Qué herramientas son las más utilizadas para combatirlo?

Como era de esperar, los ciberdelincuentes se han vuelto más sofisticados a lo largo de los años, pero sólo en la medida necesaria para superar nuevas contramedidas. Por ejemplo, cuando las organizaciones comenzaron a usar huellas dactilares del navegador para evitar inicios de sesión no autorizados, los actores maliciosos desarrollaron plataformas como Genesis Marketplace , que no solo vende nombres de usuario y contraseñas, sino también muchos de los mismos atributos de la máquina de la víctima que se utilizan para generar huellas dactilares del navegador. Cuando las organizaciones comenzaron a utilizar 2FA basada en mensajes de texto, los atacantes comenzaron a utilizar bots OTP. Los atacantes no evolucionan hasta que se ven obligados a evolucionar. Y las herramientas utilizadas para luchar contra el ciberterrorismo son las mismas que para otros tipos de delitos cibernéticos. Necesitamos evitar que actores maliciosos obtengan acceso no autorizado a los sistemas, independientemente de su objetivo. 

¿Cree que los Estados y las organizaciones están preparados para luchar contra el ciberterrorismo o aún les queda camino por recorrer?

Los Estados y las organizaciones no están tan preparados como deberían. Las razones varían según el estado y la organización, pero algunas razones comunes incluyen: 1) falta de cooperación, o a veces incluso una relación adversaria, entre las personas que deben, directa o indirectamente, trabajar juntas para ayudar a una organización a detectar y prevenir ataques; 2) fusiones, adquisiciones u otros eventos que hacen que las organizaciones cambien o integren rápidamente sistemas completamente diferentes; 3) rotación de personal que resulta en la pérdida de conocimiento institucional; 4) personal malintencionado; 5) falta de equipos de seguridad adecuadamente capacitados y adecuadamente financiados. Con demasiada frecuencia, los Estados y las organizaciones intentan abordar todos los desafíos por sí mismos internamente cuando la mejor opción es subcontratar ciertas funciones a terceros. Por ejemplo, la gestión de acceso de clientes, la supervisión y la gestión de dispositivos y sistemas de seguridad, la recopilación y el análisis de datos biométricos del comportamiento, y la identificación y prevención de bots maliciosos. Todas ellas son áreas que pueden y deben subcontratarse. 

¿Cuál es el principal error cometido en la lucha contra el ciberterrorismo?

Nuevamente, varía según quién esté involucrado en la lucha, pero si tuviera que identificar un error principal, diría que es la falta de cooperación, o a veces incluso una relación adversaria, entre las personas que deben, directa o indirectamente, trabajar juntas para ayudar a una organización a detectar y prevenir ataques. Esto podría ser una fricción entre el equipo de seguridad y el equipo de operaciones de red, una falta de alineación entre el equipo de seguridad y una unidad de negocio, o incluso un conflicto en los objetivos entre la organización y el estado, o los estados, en los que opera la organización. El error principal no es técnico, sino humano: hacer crecer o proteger un feudo a expensas de otros, acaparar presupuestos, comunicación ineficaz, políticas y procedimientos obsoletos y una falta general de liderazgo. 

Recientemente, el Fondo Europeo de Defensa (FED) liberó 67 millones de euros para mejorar sus capacidades de ciberseguridad y desarrollar herramientas para combatir la guerra cibernética y la guerra de la información. ¿Es esto suficiente o es necesaria más inversión?

Ni siquiera es suficiente. Este problema nunca se resolverá, pero para aproximarnos a la solución de manera asintótica, el precio sería de miles de millones. Y también habría que abordar los problemas humanos que he descrito anteriormente. 

Describe tu función como Jefe de Inteligencia Global en F5.

Trabajo con científicos de datos, ingenieros y analistas que examinan miles de millones de transacciones que fluyen a través de la red de F5 todos los días. Estas transacciones están asociadas con lo que personas de todo el mundo hacen en línea todos los días. Al analizar las señales del lado del cliente asociadas con estas transacciones, encontramos evidencia de ataques maliciosos, la infraestructura de ataque que utilizan, nuevas herramientas de ataque y nuevos esquemas de monetización, que compartimos con nuestros clientes a través de informes periódicos sobre amenazas. También utilizamos estos hallazgos como un ciclo de retroalimentación para mejorar continuamente la eficacia del conjunto de productos de seguridad de F5.

¿Cuáles crees que serán las tendencias en ciberseguridad en los próximos años?

Las organizaciones deben mirar hacia adelante y planificar la próxima amenaza. Sin embargo, con demasiada frecuencia las organizaciones dedican más tiempo y esfuerzo a especular sobre lo que podría suceder a continuación que a resolver los problemas reales que enfrentan hoy. Por ejemplo, el credential stuffing todavía funciona. Esto sucede cuando un actor malicioso compra u obtiene millones, o incluso miles de millones, de pares de nombre de usuario/contraseña válidos en una o más organizaciones y luego los prueba programáticamente contra la aplicação de inicio de sesión de otras organizaciones. Y debido a los hábitos de los consumidores de reutilizar nombres de usuario y contraseñas, estos ataques terminan comprometiendo entre el 0,1% y el 3,0% de las cuentas intentadas. Mientras estos ataques sigan funcionando, los atacantes no tendrán ningún incentivo para evolucionar.

Además, a medida que las organizaciones comiencen a usar 2FA más ampliamente, los atacantes seguirán encontrando formas de derrotarlo, por ejemplo, ataques SS7, información privilegiada de las compañías de telecomunicaciones, malware de dispositivos móviles, ingeniería social, bots OTP, portabilidades e intercambios de SIM. En el futuro, en lugar de implementar medidas de seguridad que aumenten la fricción del usuario, las organizaciones deberían confiar más en las señales del lado del cliente para ayudar a autenticar a los usuarios. Estos incluyen biometría del comportamiento, así como señales del dispositivo, el agente de usuario y la red. En conjunto, estas señales pueden mejorar la seguridad sin aumentar la fricción del usuario.
_______

Vea más de Dan Woods en sus recientes publicaciones de blog .