Fastly: “Los CISOs se encuentran en una zona gris que a veces es difícil de ubicar”

Daniel Howe es un experimentado profesional con más de 25 años de experiencia en el sector de tecnología de la información. Desde sus primeros días programando en los antiguos entornos de mainframe, ha seguido de cerca la evolución del campo de IT y ha presenciado la transformación de la industria.

Después de vivir en Estados Unidos durante algunos años, Howe descubrió el potencial ilimitado de Internet. Durante su estancia en ese país, pudo explorar tanto los beneficios como los peligros asociados con la interconexión global que ofrece la red. A su regreso a España, Daniel ha seguido adaptándose a los cambios que se han producido en el país y ha trabajado en diversas consultoras, desempeñando roles que van desde Chief Technology Officer hasta Service Delivery Manager.

A lo largo de su carrera, Howe ha mantenido un enfoque constante en la tecnología y ha buscado constantemente agregar valor al negocio desde esta perspectiva. Sin embargo, en los últimos tiempos, ha sentido una creciente preocupación por la operativa de seguridad, ya que se ha convertido en una pieza fundamental dentro del mundo de las tecnológicas.

En su actual puesto en Fastly, Daniel Howe ocupa el cargo de Senior Sales Engineer. Su función principal consiste en acompañar al equipo comercial en los proyectos de prueba de concepto para garantizar que se satisfagan las necesidades de seguridad de los clientes. Su enfoque no se limita únicamente a la seguridad, sino que también se preocupa por la facilidad de uso de la plataforma y su flexibilidad. Estos tres aspectos fundamentales son los pilares sobre los cuales Howe trabaja para brindar asistencia a los clientes y garantizar la seguridad de sus plataformas y negocios en la plataforma de Fastly.

Actualidad de la Ciberseguridad

– ¿Cómo describirías el panorama actual de la ciberseguridad tanto a nivel mundial como en España? ¿Ves alguna diferencia?

Siempre digo que España refleja en cierta medida lo que estamos viendo en otros países, pero quizás con un poco de retraso o en menor medida. Es cierto que los ataques cibernéticos se han globalizado aún más. Ahora vemos que los ataques específicos dirigidos a puestos de trabajo o corporaciones se están equiparando en otros países. Sin embargo, las empresas cuyo negocio principal es el mundo de Internet llevan tiempo enfrentándose a estos desafíos. Actualmente, creo que todos están comenzando a reconocer los riesgos y las posibles amenazas que esta plataforma conlleva, tanto en el ámbito B2C como en el B2B.

– Una de las preocupaciones más recurrentes en temas tecnológicos y específicamente en ciberseguridad es la falta de talento. ¿Cómo lo ve Fastly?

Fastly cuenta con aproximadamente 1100 empleados, por lo que es cierto que la mayoría se encuentra en Estados Unidos y han experimentado la “great resignation” al igual que otras grandes empresas. Sin embargo, seguimos contratando incluso en estas condiciones de mercado. Una de las cosas muy importantes que caracterizan a Fastly es su cultura de adaptarse a las necesidades de los empleados, lo cual incluye la flexibilidad en el trabajo remoto y en la adaptación a las necesidades individuales. Creo que esto es un aspecto importante a considerar a la hora de tomar una decisión.

Es evidente que este cambio de paradigma ha tenido un impacto significativo. Si nos enfocamos más en los mercados europeos o incluso en el mercado español, según lo que me cuentan algunos clientes, resulta muy difícil contratar personas dispuestas a trabajar en una oficina y seguir un horario de 9 a 5, ya que la situación ha cambiado mucho. Por lo tanto, creo que después de la pandemia todas las empresas deben adaptarse de alguna manera.

– Según vuestro estudio Fastly Security Research, ha habido un incremento en el gasto en ciberseguridad dentro del sector tecnológico. En vuestro propio estudio también se destaca que, en las herramientas implementadas por las empresas, a menudo hay solapamientos o soluciones muy similares entre dos herramientas que, en principio, son diferentes. ¿Cómo puede una empresa evitar este solapamiento?

Existe un problema de organización, por así decirlo. En su mayoría, los CISOs, que se supone que ocupan un rol ejecutivo y toman decisiones relacionadas con la seguridad de los negocios, no siempre tienen un presupuesto asignado, a diferencia de los CTOs que sí cuentan con un presupuesto, o los Chief Revenue Officers y otros cargos que también disponen de uno. Los CISOs, ciertamente, se encuentran en una zona gris que a veces es difícil de ubicar. Por lo tanto, muchas veces estas herramientas de seguridad surgen de manera reactiva debido a un ataque o a un problema, y a partir de ahí se busca una solución. No sería la primera vez que, después de haber enfrentado un conato de incendio en un CPD, todos comienzan a plantearse la recuperación de desastres. Esa es un poco la dinámica. Entonces, es muy común que se acumulen muchas herramientas, ya sea como complementos de los proveedores actuales o porque aparecen nuevos y se superponen.

Aquí utilizo mucho el ejemplo de la banca. La banca ha ido agregando tecnologías, pero nunca ha eliminado el mainframe, que sigue presente en muchos de los sistemas de los clientes bancarios. Además del mainframe, también están los token rings, la Ethernet, el Wi-Fi, es decir, se han ido añadiendo capas. ¿Por qué? También por motivos de seguridad. Se busca garantizar que no se adopte algo nuevo sin perder lo que se tenía anteriormente. Por lo tanto, cuanto más complejos son los sistemas y más riesgo hay de perder los activos, se van encontrando más capas de seguridad. Es cierto que el problema principal reside en la visibilidad que estas herramientas pueden proporcionar y en la capacidad de orquestar todas ellas. Es ahí donde entran en juego los SIEM y los SOAR, que son herramientas que recolectan información. No tiene sentido que una persona tenga que mirar cuatro pantallas para analizar los datos. Esa es la parte complicada.

– En ese solapamiento también se produce un malgasto del presupuesto, donde se incrementa el presupuesto y existe un margen de error, por así decirlo.

Sí, pero bueno, esto ya está bien. Igual ocurre con el concepto de la nube. Todo el mundo se está trasladando a la nube y comenzó con la computación en la nube. En realidad, ha sido en los últimos años cuando ha surgido el rol de la persona encargada del gasto en la nube, que dice: “Oye, en lugar de utilizar esta máquina tan potente, ¿por qué no puedes funcionar con una más ligera?”.

Ahora es el momento en el que se realizarán muchas auditorías, no solo centradas en pruebas de penetración o en tratar de identificar tus problemas, sino en llegar a la conclusión de que debemos deshacernos de proveedores que se están solapando o volviéndose obsoletos. Muchas veces ocurre que vemos fabricantes cuyas soluciones de seguridad ya no se han actualizado en diez años, son obsoletas, complicadas, no ofrecen visibilidad y no se adaptan a los nuevos tipos de ataques. No tienen en cuenta todo lo relacionado con el tráfico de bots, que pueden ser tanto buenos como malos, pero no ofrecen esa capa adicional de seguridad. No están preparados para ello, por lo que se necesita una constante evolución de la plataforma.

El papel de las APIs en la seguridad

– ¿Por qué es importante la seguridad de las APIs?

Estamos presenciando un crecimiento exponencial del tráfico de las APIs. Según el último informe de The Human, se ha registrado un aumento del 102% en lo que llevamos de año. Es cierto que nos hemos acostumbrado a trabajar con dispositivos móviles, y cada vez más tráfico es sintetizado o gestionado por terceros que consumen nuestras aplicaciones o por dispositivos. Por lo tanto, la navegación en internet está dejando de depender tradicionalmente de la intervención humana. Cada vez más, estamos viendo que se basa en el uso de bots, tanto benignos como maliciosos. Y es aquí donde debemos centrar nuestra atención, porque al final existen protocolos y reglas definidas para acceder a estas APIs, que están estructuradas y bien definidas con esquemas y patrones. Sin embargo, si no se protegen adecuadamente, pueden permitir que una entrada de acceso o la antigua puerta de un sitio web, ahora convertida en una API, deje a tu servicio completamente fuera de juego.

– ¿Cómo pueden las APIs ayudar en la lucha contra las violaciones de datos causadas por malware o phishing? ¿Cuáles son las mejores prácticas?

En cuanto al aspecto negativo del phishing, actualmente es más importante trabajar en colaboración con proveedores de herramientas que permitan el ingreso de datos. En este sentido, se incluyen proveedores que ofrecen servicios de correo electrónico o plataformas que permiten la carga de archivos grandes para asegurarse de que no se esté llevando a cabo phishing. Se está trabajando arduamente en la identificación y obtención de información sobre lo que el usuario está visualizando en comparación con lo que se supone que debería ver.

Cuando publicas un contenido, supones que el usuario está viendo exactamente lo que tú has publicado, pero esto no siempre es cierto. Es por esto que han surgido empresas dedicadas a la inspección exhaustiva de contenido para garantizar la ausencia de phishing y para verificar que no haya presencia de JavaScript no deseado. Todo este proceso de verificación de datos representa un desafío constante y genera dolores de cabeza, ya que está en constante evolución. En otras palabras, no existe una solución definitiva que pueda asegurar completamente la seguridad, especialmente en lo que respecta al malware y el phishing, ya que ambas amenazas están en constante evolución.

Actualmente, nos encontramos en plena temporada de presentación de declaraciones de impuestos. No sé cuántos de ustedes han recibido el famoso correo sobre la declaración de impuestos. Este es un problema que continuará surgiendo, pero a medida que evolucionamos, también lo hacen los hackers. Siempre buscan el mercado objetivo y utilizarán cualquier medio para adaptarse y cambiar. Es cierto que todas las herramientas de phishing y malware requieren un enfoque muy sólido de cuarentena y filtrado, así como una actualización constante. Existe un nicho de negocio en esta área. Fastly no se dedica a eso, no trabajamos en ese campo, pero entendemos los desafíos que enfrentan esos clientes y somos conscientes de que es una de las áreas en las que es más fácil infiltrar un troyano o algo que actúe desde el interior.

– ¿Y qué impacto puede tener una violación de una API en un negocio o una administración pública?

Hemos sido testigos de los efectos sufridos por un hospital en Barcelona en los últimos meses. El ataque que sufrieron provocó retrasos en las operaciones, cancelación de intervenciones, demoras en los análisis y la necesidad de volver a un sistema manual. No somos conscientes de lo rápido que realizamos y gestionamos absolutamente todo en la actualidad. Pero si te dijera en este momento que tienes que volver al banco para sacar dinero o pagar un recibo, obviamente estaríamos volviendo a un sistema de hace 20 años. Dependiendo del sector, puede tener un impacto muy crítico, y hay empresas que incluso no han logrado superarlo. Es decir, puede haber una brecha de seguridad, ¿verdad?

Aunque un ataque de denegación de servicio puntual se pueda absorber si se dispone de una plataforma lo suficientemente sólida a través de un proveedor de servicios de delegación, o uno tiene que asumirlo y decir: “Bueno, voy a colgar el cartel de ‘cerrado’ hasta que sea capaz de recuperarme”. Aquí ya es una decisión propia de cada negocio o de su capacidad, pero es cierto que hay muchos ataques de los que ni siquiera nos enteramos y se asumen, se paga lo que se debe pagar o se buscan soluciones alternativas para mantener la continuidad del negocio.

– Intuyo que las APIs requieren un mantenimiento extenso en el tiempo.

El problema de las APIs, yo lo comparo mucho con la transición que hicimos en el pasado, cuando pasamos del mundo dónde teníamos un gran servidor a crear servidores más pequeños y diversos, como servidores Windows, Linux, etc. Recuerdo a nuestro jefe diciendo: “crecen como champiñones”, y lo mismo sucede con las APIs. Además, las APIs van quedando obsoletas a medida que se lanzan nuevas versiones. No se puede eliminar la versión anterior de una API porque todavía hay dispositivos que la utilizan.

Entonces, cuando te das cuenta, te encuentras con un conjunto de APIs desactualizadas y sin conocimiento de su estado. No se pueden eliminar porque algunos clientes aún las están utilizando. Muchas veces, cuando realizamos una prueba o implementamos nuestra solución, nos encontramos con que algunos endpoints están quedando fuera porque no tenemos visibilidad completa y estamos manteniendo una capa adicional. Por ejemplo, en el sector de OTTs y televisión, es necesario mantener muchas versiones antiguas debido a que los televisores no se actualizan tan rápido como nuestros dispositivos móviles. Un televisor o un decodificador pueden tener un software que es difícil de actualizar y pueden quedar obsoletos durante mucho tiempo.

Por lo tanto, el problema con las APIs es que siguen evolucionando y nos solicitan nuevas funcionalidades, pero no podemos apagar las antiguas. ¿Qué ocurre entonces? Terminas teniendo un conjunto de APIs bastante extenso que debes proteger de alguna manera, y no toda la protección se puede realizar en tu backend propio, ya que la API puede dejar de funcionar.

– ¿Qué papel juegan las WAF en el tema de seguridad de las APIs?

El WAF (Web Application Firewall) nace como una evolución de los firewalls tradicionales o cajas negras, donde había expertos en un código complejo capaces de crear reglas para tener un poco más de control. Los antiguos WAFs se basaban principalmente en ModSecurity, que utilizaba expresiones regulares para detectar posibles ataques. Estas reglas se encargaban de buscar patrones que pudieran indicar un ataque, generando alertas. Sin embargo, los WAFs heredados que todavía se encuentran en el mercado presentan algunos problemas.

Por ejemplo, el 57% de estos WAFs se encuentra en modo de protección en lugar de bloqueo, lo que implica que casi la mitad de ellos no están protegiendo adecuadamente. Esto se debe a que existe el temor de bloquear tráfico legítimo y generar falsos positivos, lo cual es un problema considerable. Otro problema importante es la gestión y el mantenimiento de estos WAFs, ya que son costosos y requieren servicios profesionales para su configuración, lo cual dificulta la adaptación por parte de los clientes o usuarios. Además, su falta de visibilidad debido a su naturaleza de caja negra impide conocer y comprender adecuadamente su funcionamiento.

Las nuevas plataformas que están emergiendo tienen una mentalidad diferente. Están diseñadas para integrarse con DevOps y formar parte del pipeline de desarrollo. Deben ser conocidas por todos los equipos y ya no se pueden mantener en silos separados de seguridad y operaciones. Actualmente, los equipos de trabajo son multidisciplinarios y no se puede permitir tener un componente en la comunicación que sea una caja negra perteneciente a una sola persona. En este sentido, ha habido una evolución. En nuestro caso, adquirimos hace dos años una empresa llamada Signal Sciences, que cuenta con un motor de búsqueda basado en un concepto similar a un campo sandbox de desarrollo. Esto nos permite realizar inspecciones básicas y llevar a cabo análisis mucho más sólidos para reducir significativamente los falsos positivos.

– ¿Y las WAF?

Venimos diciendo: “tengo que proteger las webs con el Web Application Firewall, pero ¿qué ocurre? Que las APIs están ganando terreno en el mercado, como estamos viendo, y entonces, ¿qué hemos tenido que hacer? Hemos tenido que adaptarnos. Las APIs siguen teniendo la misma posibilidad de sufrir ataques como Call Injection, mal formato, y otras amenazas similares. Pero hay algo más que debemos tener en cuenta. Las APIs tienen una correlación, lo cual significa que muchas veces, cuando realizamos una transacción a través de una API, probablemente haya otra API en segundo plano.

Siempre pongo un ejemplo muy similar a nivel transaccional. Si utilizas alguna de estas aplicaciones de tarjetas virtuales, que no son un banco en sí mismo, cuando haces una transacción, estás utilizando una API. Es probable que ellos realicen una transacción de API con un tercero. La capacidad de verificar que el número de transacciones realizadas en un sitio es exactamente igual al otro es lo que nos indica que todo va más o menos bien. Pero cuando comienzas a tener transacciones en un segundo punto que no están correlacionadas con el otro, ahí es cuando ocurre algo.

Lo mismo sucede con los puntos de entrada (entry points), si los eliminamos, los “advanced account take over” se basan en eso, en poder verificar y decir: “están ocurriendo muchos intentos de inicio de sesión fallidos”. Puede ser que estos intentos se estén realizando directamente en una base de datos de la deep web que hayan comprado y estén utilizando técnicas de “credential stuffing” para probar si alguno de esos usuarios te permite acceder y realizar transacciones. Todo esto no es necesariamente un ataque, pero es información que podemos proporcionar al cliente para que esté alerta, ya que no es normal tener tantos intentos de acceso desde un punto determinado.

Tendencias y Predicciones

– ¿Cómo ves el mercado de la seguridad de las APIs y la computación cuántica e inteligencia artificial?

La inteligencia artificial, nos guste o no, va a quedarse. He leído incluso que podría acabar con Google, pero habrá que ver si eso es cierto. Creo que vamos a seguir aplicando la inteligencia artificial en muchas áreas, pero también hay mucho que mejorar en este campo. Hace poco leí un artículo de un abogado que presentó un caso basado en jurisprudencia americana, pero resultó que las sentencias estaban mal fundamentadas debido a errores en la información.

Como en todo, es necesario trabajar la información de manera adecuada. Aunque sí estamos viendo patrones de inteligencia que podemos utilizar, el desafío radica en que la seguridad está en constante cambio. Personalmente, no soy muy partidario de las soluciones que afirman adaptarse a mi tráfico, ya que hoy tu tráfico puede ser de cierta manera, pero mañana puede surgir una nueva API con un patrón diferente. Si no adaptas ese tráfico, la inteligencia artificial simplemente lo rechazará. Por eso, soy cauteloso y creo que todavía podemos aportar más. Particularmente, me inclino hacia la idea de brindar visibilidad.

Creo que es crucial que los clientes conozcan lo que tienen, que se les brinden detalles e información precisa sobre el tipo de tráfico que están recibiendo. Es valioso que el cliente tome el control. Es necesario hacer algo al respecto. Muchos clientes me dicen a veces: “Pensé que esto sería fácil”. No, les estoy dando una mano. Tú conoces tu negocio y sabes lo que tienes. Siempre debe haber una colaboración mutua. Existe una comprensión y una aproximación necesaria para lograrlo. Hay muchos patrones de ataques conocidos, mucha información que podemos utilizar, pero eso no es exactamente inteligencia artificial, es la capacidad de adaptar tu producto a medida que surgen nuevos desafíos.

La seguridad es algo que puede ser muy sólido hoy y garantizar que no tengamos problemas, pero dentro de seis meses podría convertirse en una gran brecha de seguridad. Por lo tanto, esto debe hacerse y no se puede lograr solo con un presupuesto anual de ciberseguridad. No, necesitas a alguien que te acompañe, alguien que te ayude a evolucionar tu plataforma y que esté a tu lado para ver lo que necesitas y hacer las modificaciones pertinentes. No creo que sea un producto estático que puedas decir “aquí está y funciona”. Pero es cierto que toda la información relacionada con ChatGPT y similares será cada vez más relevante.

Sin embargo, como en todo, creo que es muy difícil establecer blancos y negros, aunque en informática seamos binarios. La parte de los negocios, el tráfico y los patrones de tráfico seguirán evolucionando y cambiando. Por lo tanto, tener una responsabilidad única sobre un patrón de tráfico puede volverse peligroso en el momento en que aparezca una nueva versión, ya que es probable que no estés familiarizado con ese patrón. Es arriesgado depender completamente de algo que puede limitarte y restringirte, en lugar de tener flexibilidad y estar alerta.

– Se habla de la capacidad de desencriptar de la computación cuántica, ¿cómo afecta esto a las APIs?

En última instancia, la capacidad de desencriptar está relacionada con la computación cuántica, y hemos estado trabajando para mejorar cada vez más los algoritmos y su capacidad computacional. Es cierto que la computación cuántica tiene el potencial de trabajar en ese aspecto.

Sin embargo, cuando nos encontramos con clientes que requieren un alto nivel de encriptación, porque al final se trata de la pérdida del cliente, surge la cuestión de cuánto se está dispuesto a invertir. Tanto el proceso de desencriptar como el proceso de computar siempre requerirán un esfuerzo, y eso depende de lo que el cliente quiera invertir. Cuando hablamos con clientes reales, especialmente aquellos críticos como el Departamento de Defensa de Estados Unidos, el nivel de exigencia es tan alto que incluso creo que se están preparando para la capacidad que podría ofrecer la computación cuántica, que es algo que está en el horizonte.

Sin embargo, se necesita una gran inversión económica para tener una computadora cuántica, algo que no se puede adquirir fácilmente en cualquier lugar en la actualidad. Cuando llegue el momento, es un problema que deberemos abordar, pero creo que para entonces tendremos la capacidad suficiente para contraatacar. En resumen, a medida que evoluciona la historia en Internet, hemos mejorado considerablemente nuestras capas de seguridad. Ahora estamos más preparados y seguimos aumentando la seguridad, ya que los algoritmos continúan mejorando en términos de capacidad para descifrar y trabajar con ellos en nuestros dispositivos actuales.