Las puertas de Security Forum se han abierto por novena vez para acoger a visitantes cuyo objetivo es común: ponerse al día sobre todas las novedades de tecnología aplicada a la seguridad. Y una parada obligada ha sido el Congreso Security Forum, donde se han debatido temas como el metaverso, la ciberguerra, la ciberseguridad, la seguridad de la nube o los certificados digitales o cómo defenderse de Pegasus, entre otros temas que representan hacia dónde se está moviendo el sector.
El pistoletazo de salida con el metaverso
El Congreso Security Forum ha arrancado con uno de los conceptos más de moda del momento, y que promete transformar el mundo digital tal y como lo conocemos: el metaverso. Pedro A. de Alarcón Sánchez, Gerente Big Data & AI en Core Innovation – Chief Digital Officer de Telefónica ha sido el encargado de explicar en qué consiste este nuevo concepto. Para empezar, ha explicado los 7 elementos que componen el metaverso, que debe ser descentralizado, componible, garantizar la autosoberanía de la identidad, debe gestionar adecuadamente los derechos, abierto u open source, debe ser gestionado por la propia comunidad que lo apoya, y, su característica más conocida, debe tener un componente de inmersión social.
Pedro A. de Alarcón también explicó qué es la Web3 y qué características principales hay que tener en cuenta, especialmente en lo que ha seguridad se refiere. Así, la correcta gestión de la identidad o la protección frente a sites fraudulentos serán pilares fundamentales sobre los que se deberá de apoyar el metaverso para que su uso sea seguro para empresas y usuarios.
En relación a los principales riesgos a tener en cuenta en el metaverso “el primero y más preocupante es la seguridad”, comenta de Alarcón Sánchez. “Con el metaverso es la primera vez que tenemos control de nuestra identidad. En la web 2, empresas como Google, Facebook, etc, son los dueños y custodios de nuestra identidad y ellos son los que lo controlan y permiten el acceso”, añade. Y continuaba explicando que en la web 3, tú eres responsable de tus datos, no hay acceso a opciones de recuperación de estos datos porque la gestión es solo del usuario.
Y a partir de esta protección de los datos, también se enfocó en la importancia de mantener los procesos basados en blockchain, una tecnología base sobre la que se apoyará la interacción digital, también en el metaverso.
La seguridad en un entorno digital: nuevas amenazas híbridas
Y otro de los temas de absoluta actualidad que centró la atención de los asistentes corrió a cargo de Carlos Seisdedos, Responsable de Ciberinteligencia en Internet Security Auditors, quien abordó «Amenazas híbridas: Ciberseguridad, Ciberterrorismo y Ciberguerra». Y es que las guerras de hoy en día han evolucionado, no librándose únicamente por tierra, mar, aire o espacio, también se desarrollan en el ciberespacio, el quinto dominio de la guerra. Un nuevo tipo de conflictos que se caracterizan por ser híbridos con nuevos escenarios como la guerra de la Información o/y Fake News, y nuevas dificultades, como es la atribución.
Pero, tal y como explico Seisdedos en su intervención, estas batallas virtuales, aunque llevan produciéndose muchos años, son ahora las empresas y organizaciones objetivo prioritario de cibercriminales, ciberterroristas o grupos patrocinados por Estados.
«Hasta hace muy poco, la ciberguerra era algo conceptual y académico. Ahora mismo tenemos un conflicto en el que de forma paralela están teniendo lugar invasiones en el plano físico, pero también en el plano digital. Ahora mismo hay muchos grupos organizados que están aprovechando la ocasión para atacar«, argumentaba Seisdedos.
Sin embargo, han espacio para la mejora, como con la potenciación de actitudes proactivas que prevengan los ataques o el aumento de ciberpatrullas que monitoricen más en detalle el espacio ciber. Así, este trabajo se revela como fundamental cuando se calcula que en 5 años uno de los mayores riesgos es el de la desinformación y el 14% de la población no sabe identificar un fake news en una primera lectura.
«Si en el mundo físico nos acredita el DNI, en el entorno online nos autentica el certificado digital«
La digitalización se ha visto acelerada tras la pandemia, por lo que disponer de una identidad digital oficial que demuestre quiénes somos y nos permita operar como lo haríamos en el mundo físico es fundamental. Pero esto entraña sus retos. Judit Durán, Senior Sales Manager en Redtrust, profundizó en esta materia con una intervención sobre «Identidad digital segura mediante la centralización y gestión de certificados digitales».
Pero, ¿qué es la identidad digital? Durán comenzó su ponencia despejando dudas al explicar que se trata del «conjunto de elementos que nos identifica en el mundo online«. Y puso un sencillo ejemplo: «Si en el mundo físico nos acredita el DNI, en el entorno online nos autentica el certificado digital«. Tras enumerar algunos de los beneficios que ofrece el certificado digital -mecanismo de control más seguro técnica y legalmente, indispensable para realizar transaccione seguras, emitido por autoridades de certificación, etc.-, la ponente destacó en la importancia de asegurar la identidad digital, ahora mucho más expuesta, debido al incremento de la movilidad de la información, y las brechas de seguridad que exponen a los certificados.
Para finalizar, Judit Durán alertó de que las organizaciones se enfrentan a un importante reto: proteger, gestionar, controlar y, por lo tanto, optimizar el uso de sus certificados digitales.
Cómo protegerse de spywares como Pegasus
Y si desde hace unos meses nos levantamos desayunando con informaciones sobre Pegasus, qué mejor escenario que el Congreso Security Forum para conocer en profundidad qué es Pegasus, por qué es tan peligroso, y cuáles son sus objetivos. Esto y mucho más fue lo que abordó Alberto Algarra, Sales Executive Security de Ivanti, durante su intervención sobre “Defenderse de Pegasus con la herramienta certificada por el CCN”.
Y es que trabajar con la confianza de que las medidas de seguridad están disponibles para proteger la información corporativa en todos los dispositivos móviles de los usuarios, es en estos tiempos fundamental. «Todos podemos ser espiados, ya que nuestra información es muy valiosa», insistió Algarra, no sin antes explicar que Pegasus es un software espía comercial, que se encuentra en constante evolución y utiliza vulnerabilidades Zero Day. Además, detalló cómo funciona -12 técnicas utiliza Pegasus para explotar diferentes vulnerabilidades-, cuáles son sus víctimas -directivos, periodistas, políticos, famosos…-, pero también pautas a tomar en una organización para evitar estos ataques.
En efecto, el ponente destacó la existencia de una solución diseñada para estos dispositivos, Ivanti Mobile Threat Defense -recomendada y certificada desde 2019 por el Centro Criptológico Nacional (CCN)- que utiliza algoritmos de aprendizaje automático optimizados para ejecutarse continuamente en el dispositivo, «detectando amenazas incluso cuando el dispositivo está fuera de línea». Y es que tal y como apuntó, «hay muchos spywares en el mercado. Todos podemos ser espiados, pero el objetivo es espiar a gente que tiene un potencial para obtener un beneficio. La prevención es la mayor protección que podemos tener«.
La nube transformará nuestra manera de «hablar» con las máquinas
La utilización de la nube en nuestro día a día a día se ha convertido en una realidad. Porque ¿quién no utiliza nubes de vídeo -HBO, Netflix…-, de juegos, de almacenamiento -Drobpox-, etc.? Las ventajas de sostenibilidad, eficiencia energética, coste y rendimiento justifican que muchos aspectos de nuestra vida cotidiana estén migrando a la nube. Pero también aspectos relacionados con la seguridad y la videovigilancia.
Y así lo analizo Carlos Ángeles, DPO y director para España y Portugal de Eagle Eye Networks, en su ponencia «La nube para alojar imágenes de seguridad ciudadana y monitorización de tráfico de forma sostenible y segura», quien, tras explicar qué es una nube –«La nube no es una entidad física, sino una red enorme de servidores remotos de todo el mundo que están conectados para funcionar como un único ecosistema»-, analizó cómo aplicar la nube para gestionar imágenes de videovigilancia, sin olvidarse de aspectos como la ciberseguridad, fiabilidad, legalidad y ventajas de usar una nube en este ámbito.
Tras explicar las características de una nube segura focalizado en aspectos de seguridad de la información, de tecnología y de las personas, el ponente compartió con los asistentes datos concretos de la nube de Eagle Eye Networks, que cuenta con 11 Data Centers mundiales y 50 PB de volumen de almacenamiento, y que ha sido diseñada especialmente para videovigilancia, y en la que se ha cuidado la «compatibilidad, rendimiento, disponibilidad, confidencialidad e integridad» apuntó.
Para finalizar, Carlos Ángeles analizó casos de éxito de entidades privadas y públicas que ya utilizan la nube, así como con una visión de futuro todo lo que nos puede ofrecer la tecnología en este campo. Incluso señaló uno de los principales retos: la aplicación de un lenguaje natural para hablar con las máquinas y poder optener mejores respuestas a través de búsquedas cada vez más sofisticadas.
La responsabilidad penal del director de Seguridad
José Riba-Vidal, Socio en RIBA VIDAL Abogados, se subió al escenario del Congreso Security Forum para ofrecer una ponencia donde profundizó sobre «La responsabilidad penal del director de Seguridad». El director de seguridad asume, en función del cargo, -según explicó el ponente- unas obligaciones que le impone por un lado la ley, por otro las normas que regulan el funcionamiento interno de la empresa y también su especifica situación contractual. Del contenido de estas obligaciones se puede determinar una posición de garante a los efectos de responsabilidad penal.
Una actitud activa, y sobre todo omisiva en la realización de dichas funciones, caso de producirse un resultado lesivo sobre los bienes jurídicos a proteger (vida, integridad de las personas y patrimonio), puede derivar en una responsabilidad penal del director de seguridad. Durante su intervención, José Riba puso el foco en concienciar a este colectivo de los riesgos a los que se enfrentan y establecer unas pautas de actuación para eludir o minimizar sus consecuencias.
Para finalizar, apuntó que el director de Seguridad deberá convertirse en los próximos años «en un elemento básico, al más alto nivel de la estructura orgánica de la compañía, acorde con lo que por funciones ya le otorga la actual Ley de Seguridad Privada».
La tarde, dedicada a la colaboración entre la seguridad pública y la privada
Ya por la tarde representantes de las FF. y CC. de Seguridad protagonizaron el panel de ponencias y mesas de debate. Para comenzar, el Inspector Tomás Copete Vidal, jefe del Área de Seguridad en Tecnologías de la Información de la Policía de la Generalitat-Mossos d´Esquadra, centró su intervención sobre «Ciberseguridad y el nuevo horizonte de la PG-ME». En ella, habló de los planes de digitalización del cuerpo, que busca poder madurar digitalmente con la implementación de nuevas tecnologías. «El futuro nos aporta nuevas oportunidades tecnológicas blockchain, 5G, IA. Esto nos permitirá implementar muchos sensores e IOT en nuestra organización. En definitiva, vamos a disponer de mucha más tecnología a nuestra disposición«, afirmaba.
También tendió la mano hacia la colaboración con el ámbito privado, destacándolo como «socio imprescindible con el que debemos contar». Pero todo ello debe llevarse a cabo en el marco regulatorio correcto, que delimitelos usos de todas estas nuevas tecnologías y a través de la formación y concienciación dentro de los cuerpos.
Todo este proceso de cambio tiene un objetivo claro. «Tenemos que hacer que el ciudadano lleve en su bolsillo un acceso directo al cuerpo policial«, comentó, haciendo hincapié en la importancia de usar las nuevas tecnologías para dar un mejor servicio a la ciudadanía.
Proyectos tecnológicos para la prevención y la protección ciudadana
A continuación, la Ertzaintza compartió algunos de los proyectos de Investigación, Desarrollo e Innovación en los que participa, así como de los retos, desafíos e implicaciones que ello conlleva. Bajo el título «La Ertzaintza y la Innovación: De la participación en proyectos de innovación a su implementación. Proyectos INGENIOUS; S4ALLCities; y FLEX-CONTROL.
«Hemos elegido estos proyectos de los 18 que tenemos activos, sobre todo porque finalizaremos el testeo de estos proyectos«, Iosu Alonso Velasco, Intendente Jefe de Unidad UBM ponía en contexto a los oyentes
En primer lugar, intervino Mikel Larrañaga Negro, Unidad de Electrónia y Comunicaciones de IK4 Tekniker, que explicó los detalles de los proyectos S4ALLCities e Ingenious. El primer caso se trata de un proyecto que consiste en detectar amenazas en espacios públicos, especialmente cuando hay un gran volumen de gente. Así, comentaba que en breves se llevará a cabo un simulacro en la Smart City de Bilbao de cara a la celebración del maratón de la ciudad. Pero también tienen proyectos en otras ciudades, como en la smar city de Tikala, en grecia, en los que se cuida al detalle la manera en que están concebidos los propios productos. «Todos los proyectos que se empleen con cuerpos de seguridad o policía tienen que ajustarse a un marco ético«, destacó durante su intervención.
En lo que respecta al proyecto Ingenious, Larrañaga lo presentó como un toolkit con herramientas que mejoren el conocimiento de situación, la seguridad y la colaboración para los first responder del futuro. Y esto se conseguirán con el uso de trajes y wearables más inteligentes, un apoyo con dispositivos de aire y suelo que puedan analizar mejor los espacios, incluso aquellos en los que la comunicación es, a día de hoy, difícil.
Albert Algans, CEO de Nuuk, presentó FLEX-CONTROL, un proyecto que busca recabar mejor la información de múltiples fuentes para mejorar la respuesta operativa. «Se trata de una herramienta de streaming con orquestación de inteligencia visual que permite la gestión de la información y la visualización para que se adapte al dispositivo desde el que se está consumiendo«, explicaba.
Con proyectos así, añadía Algans, se podrá coordinar una respuesta en la que los equipos pueden estar deslocalizados y parte de la información se puede compartir con stakeholders que necesiten acceso a ella.
La jornada se cerró con una mesa redonda sobre el futuro de la colaboración público-privada
Y para finalizar, los nuevos retos de comunicación y coordinación entre la Seguridad Pública y la Seguridad Privada, congregó en una mesa de debate a Francisco Llaneza, Jefe de la Unidad de Seguridad Privada de la Ertzaintza; Carles Catellano, Subjefe del Área Central de Policía Administrativa de Mossos d´Esquadra; Manuel Yanguas, Jefe de la Unidad Central de Seguridad privada de la Policía Nacional; y Humberto Urruchi, Jefe del Servicio de Protección y Seguridad de la Guardia Civil, quienes abordaron aspectos relacionados con la digitalización, el futuro de la seguridad, nuevos modelos de colaboración o, como no podía faltar, el tan esperado nuevo reglamento de seguridad privada.
Todos ellos destacaron lo mucho que se han fortalecido las relaciones entre los servicios de seguridad privada y las respectivas endidades públicas, destacando proyectos como el trabajo con los sanitarios llevado a cabo por la Policía Nacional; distintos proyectos de protección a víctimas de violencia de género impulsados por la Ertzaintza; la prevención de delitos sexuales en el ocio nocturno por parte de los Mossos; o distintos proyectos formativos para las empresas potenciados por el equipo de la Guardia Civil.
Pero también han incidido en algunas de las dificultades que entraña esta colaboración, especialmente en la integración tecnológica cuando los ritmos de digitalización son distintos en cada organización. «Uno de los retos más importantes es la capacidad de compartir información con las distintas administraciones, algo que todos los representantes consideraban limitantes a la hora de afrontar una digitalización real«, comentó Humberto Urruchi. Algo que apoyaba también Carles Castellanos: «Debemos trabajar colaborativamente con la seguridad privada para usar estos datos estructurados de manera colaborativa«.
Y parte de estas dificultades provienen de la falta de un reglamento más actualizado, que podría estar muy cerca. Manuel Yanguas, se expresaba en términos optimistas, “el nuevo reglamento está muy avanzado, se está trabajando en él”. Incluso vaticinó que podría estar listo antes de final de año. Aunque hay muchas voces que matices que incluir por todas las partes implicadas, parece que este texto no sufrirá cambios radicales respecto a lo que ya se conoce. «No habrá cambios grandes en el reglamento respecto al borrador del 2018», comentaba Francisco Llaneza.
Todas las ponencias y mesas redondas del Congreso Security Forum han sido grabadas en vídeo y podrás verlas en unos días tanto aquí como en plataformadenegocio.es.
¿Quieres saber qué pasó en la segunda jornada de Security Forum? Lee todos los detalles en este enlace.
