David Gaona, (Aka.ZeroDay)
En un entorno cada vez más digitalizado, los riesgos cibernéticos también son mayores y suponen una amenaza real y urgente para las empresas. España, con una aceleración digital a raíz del Covid-19, e igualmente, por su ubicación geopolítica estratégica y su papel dentro de la Unión Europea, es un flanco perfecto para los ciberataques.
Así lo señala David Gaona, con sobrenombre “Aka.ZeroDay”, CEO TSSciberseguridad Madrid centro, y docente, en esta amena charla, donde hablamos de su sello de identidad, su afición por la informática y por la ciberseguridad ofensiva (que ya practicaba desde niño).
También se abordan otros temas , como la manera en que las empresas españolas se enfrentan a la ciberseguridad, de cuáles son sus puntos de mejora, por ejemplo, en implementación de normativa, o de cómo la ven (o no) los CEO; sorprendiéndonos con la afirmación de que a veces, la principal “amenaza”, viene de dentro y, de quien menos te lo esperas, poniendo en alerta a los departamento de recursos humanos.
Si tecleamos en LinkedIn David Gaona, nos encontramos David Gaona (Aka.ZeroDay) ¿Es un sello de identidad?
Sí, el “Nick” es algo que muchas personas adoptan dentro del mundo del hacking y, en mi caso no fue diferente. Cuando empecé a involucrarme en grupos de hacking, formé parte de uno en particular donde era común asignar un sobrenombre a los nuevos miembros, una vez alcanzaban cierto nivel dentro del grupo. A mí, me bautizaron como “ZeroDay”, aunque debo mencionar que he tenido otros apodos a lo largo de mi carrera. Sin embargo, este se ha quedado como mi sello de identidad, principalmente por la época en la que lo adopté y el significado que tiene en el contexto de la ciberseguridad.
Zero Day significa una vulnerabilidad que acaba ser descubierta…
Sí, la persona que me asignó ese nombre sabía mucho más que yo en ese momento. Siempre me decía que acabaría trabajando en ciberseguridad o en algún campo relacionado, y me animaba a centrarme desde el principio en lo que realmente quería hacer.
Yo, por aquel entonces, no sabía mucho, así que me lo tomé con humor. Y, decidió llamarme “ZeroDay” porque, al igual que una vulnerabilidad recién descubierta, yo estaba por descubrir en el mundo de la ciberseguridad. Con el tiempo, ese apodo me hizo más visible en algunos círculos, y creo que fue precisamente porque, de alguna forma, él me “descubrió”. Nunca me lo dijo directamente, ya que no solía hablar mucho, pero esa es la manera en que lo interpreto ahora.
Cuénteme su vida curricular, que no es al uso. ¿Cuál ha sido su escuela y recorrido profesional hasta hoy?
Mi trayectoria en ciberseguridad comenzó de manera profesional entre 2017 y 2018, aunque mi interés por este campo se remonta a mucho antes, ya cuando era niño. Empecé con un Spectrum 128K de cinta de casete, lo que me permitió adentrarme en la informática desde una edad temprana.
Desde siempre me ha apasionado la informática, también “romper cosas”, “abrir cerraduras”, y todo lo relacionado con la seguridad y la informática. Si juntas esos dos intereses, tienes lo que hoy en día conocemos como ciberseguridad ofensiva.
En mi época, no existían formaciones especializadas, ni siquiera un ciclo de FP en Castellón de la Plana, mi ciudad natal. Por lo tanto, todo lo que aprendí lo hice de forma autodidacta, experimentando, rompiendo cosas y arreglándolas por mí mismo. Fue así como adquirí las bases que me llevaron, más tarde, a obtener mi primera certificación en el campo.
Sin embargo, el verdadero punto de inflexión vino cuando conocí a The Security Sentinel y comencé a colaborar con su CEO, lo que marcó el inicio de mi carrera profesional en ciberseguridad.
Comenta, entonces, que su afición por la informática, romper cosas y arreglarlas y abrir cerraduras, fueron su escuela de lo que hoy se llama ciberseguridad ofensiva. ¿Sería como utilizar las mismas tácticas de aquellos que atentan contra la ciberseguridad para poner luego remedio?
Entiendo que sí, no sé por qué lo hacemos, pero casi todos coincidimos en ello. Somos curiosos por naturaleza y nos gusta ir más allá. Por ejemplo, cualquier persona cuando ve un candado, piensa que la utilidad que tiene es que no pueda abrirse, para que no se lleven algo. En mi caso, mi atención se centraba en ver si podía abrirlo sin la llave (lógicamente, sin llevarme nada). Empecé con candados, luego fueron cerraduras y, después, con cualquier cosa que me planteara un reto.
Lo de “arreglarlas” no era tanto por una necesidad de reparación, sino más bien para poder seguir rompiéndolas sin que me regañaran (risas). No es que fuera tan divertido como la parte de romperlas, pero era parte del proceso.
Mi afición por la informática, romper cosas y arreglarlas y abrir cerraduras, fueron mi escuela de lo que hoy se llama ciberseguridad ofensiva
Respecto a la ciberseguridad, sí, es algo similar. La parte de proteger y asegurar los sistemas no es lo que más me atrae, aunque reconozco la importancia de saber hacerlo. Mi verdadera especialidad, y lo que más me apasiona, es la seguridad ofensiva, el desafío de encontrar vulnerabilidades antes de que sean explotadas por actores maliciosos.
Vd. da clases de hacking ético en la Escuela de Negocios MEBS (de la mano de Spain Business School). ¿Qué principales enseñanzas les imparte a sus alumnos?
Sí, efectivamente, en el máster que imparto en Spain Business School, me concentro específicamente en el área de Hacking Ético. Sin embargo, mi principal objetivo con los alumnos es fomentar una mentalidad resolutiva, impulsada por la investigación constante. En este campo, no hay lugar para la pasividad; la clave está en investigar de manera continua y en no detenerse ante los desafíos. Les enseño que el hacking ético es un proceso que requiere perseverancia, creatividad y, sobre todo, la capacidad de investigar y encontrar soluciones por uno mismo. Es un trabajo de investigación constante, donde siempre hay algo nuevo que aprender y descubrir.
Por todo ello, les digo que ChatGPT está “prohibido” en este contexto, ya que, en este campo, el verdadero valor radica en la capacidad personal de resolver problemas mediante el pensamiento crítico y la investigación.
España es uno de los países más afectados por los ciberataques en Europa, con un incremento notable en ataques de ransomware, phishing y malware, según el “Estudio de Ciberseguridad en España 2024”, elaborado por Secure&IT. Bajo su opinión ¿A qué se debe?
España es un objetivo frecuente para los ciberataques debido a su ubicación geopolítica estratégica y su papel clave dentro de la Unión Europea. Además, desde la pandemia de COVID-19, hemos experimentado una digitalización acelerada, junto con un incremento del teletrabajo. Este cambio ha generado una mayor exposición a vulnerabilidades, lo que, a su vez, ha facilitado el aumento de ataques. Los ciberdelincuentes se aprovechan de estos nuevos escenarios, buscando explotar cualquier debilidad en los sistemas de las empresas y de los usuarios.
En España tenemos un nivel técnico muy sólido, pero las normativas no se están implementando de manera efectiva
De la misma manera, las tensiones geopolíticas son caldo de cultivo para los ciberataques a empresas que operan en estos de mercados de conflicto. ¿Cree que se están adoptando las medidas adecuadas?
Desafortunadamente, no. Existe una narrativa que nos quiere hacer creer que estamos bien en términos de ciberseguridad, pero la realidad es que, aunque en España tenemos un nivel técnico muy sólido, las normativas no se están implementando de manera efectiva. A pesar de que las regulaciones ya son obligatorias, muchas empresas no las cumplen adecuadamente. Incluso, cuando se ven obligadas a cumplir con ellas, ya sea por requisitos de certificación ISO o por compromisos relacionados con la protección de datos europeos, la prioridad no es realmente la seguridad, sino simplemente conseguir el informe de auditoría para cumplir con la normativa.
A menudo, lo que buscan es tener el “papel” que acredite que han superado la auditoría, sin importar tanto quién la realice o si realmente se han corregido las vulnerabilidades que puedan haber sido detectadas. Esto demuestra que, aunque hay una apariencia de cumplimiento, la verdadera seguridad a menudo queda en segundo plano.
¿Por lo menos podríamos decir que ya hemos pasado la barrera de que la ciberseguridad solo se ocupa los de informática, a considerarla una prioridad estratégica?
Quiero pensar que, poco a poco, la ciberseguridad se está tomando más en serio como una prioridad estratégica. Sin embargo, como ocurre en muchos aspectos, hasta que no se convierte en una obligación legal o no se experimenta un incidente grave, no se le da la atención que realmente merece. Es algo similar a tener una alarma en casa: no la consideras necesaria hasta que sufres un robo o hasta que la ley te obliga a tenerla. Lo ideal sería que las empresas y organizaciones entendieran la importancia de la ciberseguridad antes de llegar a ese punto, pero lamentablemente aún hay quienes solo reaccionan cuando es demasiado tarde.
Hablemos de ciberseguridad e Inteligencia Artificial ¿Gran aliada o amenaza?
Por el momento, la Inteligencia Artificial se presenta como una gran aliada en el ámbito de la ciberseguridad. Su capacidad para analizar grandes volúmenes de datos, identificar patrones y mejorar la detección de amenazas la convierte en una herramienta poderosa. Sin embargo, la IA está evolucionando muy rápido, y es difícil predecir cómo se utilizará en el futuro, tanto en beneficio como en detrimento de la seguridad.
Hábleme en qué aspectos se beneficia la ciberseguridad de la IA
Yo diría que, en todos, la IA está en todas partes y ya hace tiempo que nos estamos apoyando en ella.
Imagine que tiene delante de Vd. a un director de marketing de una empresa mediana/grande. ¿Qué 5 consejos importantes le darían respecto a la ciberseguridad?
Que inviertan lo necesario en auditorias y ejercicios ofensivos. Igualmente, que creen algún departamento de ciberseguridad o deleguen en alguna empresa. De la misma manera, que contraten un SOC 24/7 con respuesta ante incidentes. Y, fundamentalmente que inviertan el dinero antes de y, no después de, porque el después de, acaba siendo mucho más caro y más desastroso.
Por lo que explica, la ciberseguridad no es muy diferente entre departamentos de la empresa ¿es así?
Exactamente, aunque la ciberseguridad en una empresa no se mide por departamentos, sino por la seguridad de los sistemas en su conjunto. Sin embargo, es importante diferenciar entornos como producción y oficinas, ya que en producción es común encontrar sistemas en desuso o desactualizados, como Windows 7 o incluso XP, lo que puede representar vulnerabilidades críticas y servir como punto de acceso inicial.
Si bien algunos departamentos manejan información más sensible que otros, en una auditoría de seguridad lo relevante no es dónde se encuentre la primera brecha, sino cómo se puede escalar el acceso dentro de la red. Una vez comprometido un equipo, podemos movernos lateralmente en busca de otros sistemas hasta alcanzar el Controlador de Dominio, que gestiona los accesos más críticos dentro de la infraestructura.
En resumen, lo vulnerable no es un departamento en sí, sino los sistemas que forman la red. Encontrar una máquina débil en producción y usarla como trampolín para acceder a otros sistemas más protegidos es una técnica habitual en ataques reales.
La metodología que sigo en una auditoría es muy diferente a la de un ciberdelincuente. Mientras que ellos buscan acceso, persistencia y beneficio inmediato (ya sea desplegar ransomware o robar información), en una auditoría documentamos todas las vulnerabilidades encontradas, probamos su impacto y elaboramos un informe detallado con pruebas de concepto, demostrando cómo pueden ser explotadas.
A diferencia de los atacantes, que buscan causar el mayor daño posible y luego borrar sus huellas, nuestro objetivo es que la empresa corrija todas sus debilidades antes de que sean aprovechadas por actores malintencionados.
Este último año, en España, las Fuerzas Armadas sufrieron un ciberataque. También, grandes compañías del Ibex35, como el Banco Santander, Telefónica, Iberdrola o Repsol. Igualmente, el CNMC. Parece que ninguna organización está libre de ser atacada… ¿Qué se puede hacer?
Cierto, muchas de estas organizaciones han sido atacadas debido a una ciberseguridad insuficiente o, en algunos casos, inexistente. Otras, a pesar de tener medidas de seguridad, no han tomado las precauciones adecuadas o no están actualizadas frente a las nuevas amenazas.
Sin embargo, también debemos considerar que los ciberdelincuentes no siempre acceden a los sistemas a través de un hackeo directo. Pueden optar por extorsionar a alguien dentro de la organización o infiltrarse de otras maneras menos evidentes.
Para mitigar estos riesgos, recomiendo realizar ejercicios de Red Team, que simulan ataques reales y permiten identificar vulnerabilidades de forma proactiva.
Además, es crucial tener mucho cuidado con el proceso de contratación. Es necesario evaluar minuciosamente el nivel de acceso que se otorga a los empleados o colaboradores externos, ya que a veces la mayor amenaza viene de dentro, y un acceso mal gestionado puede ser el punto de entrada para los atacantes.
Muchas organizaciones españolas han sido atacadas debido a una ciberseguridad insuficiente o, en algunos casos, inexistente. Otras, a pesar de tener medidas de seguridad, no han tomado las precauciones adecuadas o no están actualizadas frente a las nuevas amenazas.
¿Amplíeme de una manera detalla que es un ejercicio Red Team?
Un Red Team es un ejercicio de seguridad ofensiva en el que adoptamos el papel de un ciberdelincuente, simulando ataques reales contra una organización. A diferencia de otras pruebas de seguridad, un Red Team no es un ejercicio corto; puede durar desde semanas hasta meses, dependiendo de los objetivos y la complejidad. Es bastante costoso, ya que implica una simulación detallada y profunda de las tácticas, técnicas y procedimientos utilizados por los atacantes.
Durante un Red Team, no solo nos enfocamos en el ámbito digital. Podemos realizar actividades físicas como disfrazarnos de electricistas para acceder a instalaciones específicas, o intentar introducir un USB infectado en los sistemas, como parte de un ataque de ingeniería social. Un buen ejemplo de esto lo realizó mi amigo y compañero Francisco Sanz Moya, quien, en el pasado, utilizó un teléfono móvil infectado con un troyano como “regalo” para introducir malware en una empresa. Esta es solo una de las muchas tácticas que pueden emplearse durante un Red Team, y es una forma efectiva de identificar vulnerabilidades y mejorar la seguridad de una organización.
Antes ha dicho algo que me ha llamado especialmente la atención. Cuando habla de que, en ocasiones, la amenaza viene de dentro ¿Se refiere a trabajadores de dentro de la empresa que puedan pasar información a los ciberdelincuentes?
Sí, las empresas cuentan con una gran variedad de personal trabajando, entre los que puede haber empleados de seguridad y personal de limpieza, entre otros, que pueden pasar información.
Los ciberdelincuentes a menudo buscan infiltrarse entre estos trabajadores, donde el nivel de sospecha es menor. Pueden contactar a estas personas y ofrecerles dinero a cambio de realizar acciones específicas, como insertar un dispositivo USB en un servidor o ejecutar alguna otra tarea que permita el acceso a los sistemas.
Por ejemplo, les podrían ofrecer 3,000 euros a cambio de introducir un USB en el servidor de la empresa, lo que permitiría a los atacantes acceder a la red de la empresa.
¿Son conscientes los departamentos de RR.HH. de las empresas de que esto ocurre?
Por lo general, en las empresas para las que he trabajado, los de RR: HH., no son conscientes de esta problemática. Si lo saben, lo ideal es que tomen medidas para prevenirlo.
Sin embargo, en la práctica, muchas veces, si el CEO no le da la importancia que merece, Recursos Humanos la reduce todavía menos, o incluso no le da ninguna importancia. La ciberseguridad no siempre se percibe como una prioridad, y a pesar de que las amenazas internas pueden ser una de las vías más fáciles de acceso para los ciberdelincuentes, en muchos casos no se toman las precauciones adecuadas a nivel organizativo.
Cargando...
