Héctor Monsegur, alias 'Sabu': “Aún estoy esperando a ver una implementación de 'Zero Trust' completa del todo”

Héctor Monsegur fue, durante muchos años, protagonista de miles de artículos de la prensa internacional. Monsegur, alias 'Sabu', fue uno de los hacktivistas que perpetraron sonados ciberataques de la primera década del siglo. Integrante de Anonymous y fundador de LulzSec fue detenido tras un ataque a la red del FBI. Eligió entonces colaborar antes de enfrentarse a su sentencia, que ascendía a más de 124 años de prisión. Colgó así su “sombrero negro” para pasar a ponerse el blanco y actualmente es director de investigación de la firma Alacrinet.

En esta charla con CSO, Monsegur deja claro que no hablará de su pasado como hacker, pero se muestra muy accesible y colaborativo para tratar uno de los métodos de defensa más adoptados por las empresas, Zero Trust.

- ¿Es Zero Trust es un modelo eficaz contra los ciberataques?

Puede serlo dependiendo de los ataques y dependiendo de las circunstancias. El verdadero problema es que las personas no entienden realmente de qué trata el concepto. He visto defender Zero Trust de varias maneras diferentes por diferentes organizaciones y empresas y todas ofrecen su propia visión. Aunque el concepto en sí mismo fue definido por sus autores/investigadores originales, se ha transformado. En el mejor de los casos, habla de asegurar de que solo los usuarios autorizados accedan a un recurso determinado. Y de asegurarse de que la forma en que acceden a ese recurso no tenga ninguna ruta alternativa. Esto implicaría estrictos controles de acceso, controles técnicos, gestión de identidades, gestión de activos, permisos y políticas de contraseñas, respetando y haciendo cumplir las reglas de MFA (autenticación multifactor, por sus siglas en inglés).

El tema es que en este momento hay muchas grandes empresas, investigadores y organizaciones o agencias que trabajan para avanzar en esta dirección y veo, cada día, muchas y muy buenas aproximaciones y avances. ¿Es una solución llave en mano en este momento? No lo creo. La implementación es importante, y todavía estoy esperando ver una completa del todo.

- ¿Qué están haciendo bien y qué están haciendo mal las empresas en la implementación de Zero Trust?

El gran problema es que para ser parte de un entorno total de confianza cero hay que alejarse de las tecnologías que son la antítesis de este, por ejemplo, Active Directory o entornos centralizados similares que no ofrecen las capacidades de un modelo de confianza cero.

- Mucho se habla del empleado como el eslabón débil. ¿Es ineficaz desarrollar técnicas de Zero Trust sin capacitar adecuadamente a la fuerza laboral? ¿Debe extenderse el concepto a la fuerza laboral?

La confianza cero eliminaría, en esencia, la correlación del "eslabón débil" con humanos/empleados, ya que se dará por hecho que todas las fuentes probablemente estén comprometidas y/o controladas por adversarios. Algunos investigadores han señalado que el primer paso para alcanzar un entorno real de confianza cero probablemente sea un entorno de confianza mínima donde cada usuario que es parte de la red tiene los mínimos privilegios absolutos posibles. Con ciertos controles establecidos y administración de identidades que imponen quién puede acceder a qué, entonces es cuando comienza a mejorar la situación. Son pequeños pasos para un mejor resultado general, por así decirlo.

La confianza cero eliminaría, en esencia, la correlación del "eslabón débil" con humanos/empleados

- A medida que las empresas se vuelven digitales, aumenta el riesgo de un ataque. Los atacantes cibernéticos tienen tácticas más sofisticadas que algunas empresas. ¿Cómo pueden ganar esta guerra? ¿Podrías darnos algunos consejos al respecto?

Esto es cierto en muchos sentidos, y las organizaciones que no desarrollen políticas de seguridad y respuesta a incidentes, implementen soluciones de gestión de activos e implementen algún tipo de programa de gestión de vulnerabilidades o gestión de riesgos tendrán dificultades para lidiar con el panorama en constante cambio y rápido movimiento.

Incluso se podría decir que ni un solo entorno es totalmente seguro, y eso está bien. Le correspondería a la organización llegar a un acuerdo que sea lo más costoso posible para el adversario, ya que esto mitigará la mayoría de los ataques de bajo nivel. Como mínimo, se debe aplicar alguna forma de MFA en todos los servicios cuando sea posible. Ningún empleado debería poder acceder a recursos confidenciales sin probar su identidad, principalmente física, y será en ese momento en el que el adversario no podrá tener el acceso requerido para demostrar que son los empleados.

Emplear capacidades como inspección de paquetes y análisis e interceptación de tráfico, categorización de DNS para solicitudes de DNS salientes, capacitación de usuarios sobre el manejo de correos electrónicos, redes sociales y llamadas telefónicas será de gran ayuda.

El mejor enfoque de ciberseguridad en la Web3 es la conciencia

- La protección de los activos digitales ya es un tema de Estado. Un ataque cibernético a las infraestructuras críticas de un país puede desestabilizar su economía y su posición global. ¿Considera necesario crear una alianza de países defensores para prevenir posibles ataques?

Este es un concepto interesante y, en muchos sentidos, los países de todo el mundo trabajan juntos en alguna capacidad a través de las relaciones CERT, pero la realidad es que sería buena idea que hubiera más correspondencia y trabajo conjunto para seguir adelante. Me encantaría ver a las comunidades trabajando juntas para hacer frente a las amenazas activas.

- Parece que la Web3 comienza a tomar forma. ¿Cuál es el mejor enfoque de ciberseguridad para proteger a los usuarios, las empresas y los países?

Esta pregunta requiere una respuesta de la extensión de una novela, por lo que seré simple y breve: conciencia. Si los usuarios son conscientes de los riesgos asociados con sus actividades en línea y se les brindan las herramientas para mitigar algunas de estas amenazas, entonces nos encontraremos en un buen punto de partida. Cosas como el metaverso y otras tecnologías futuras ampliarán aún más la superficie de ataque a más ofensivas de ingeniería social a organizaciones y gobiernos.