Octubre es el Mes Europeo de la Ciberseguridad, por décimo año consecutivo desde que se inició esta campaña. Coincidiendo con este aniversario, Kent Walker, Presidente de Asuntos Globales de Google, se ha reunido hoy en Madrid con líderes europeos para debatir sobre lo que puede aportar la tecnología a la seguridad del mundo digital.
Durante el evento ‘Google Cybersecurity Summit: Protegiendo el espacio digital europeo’, hemos anunciado la creación del Centro de Ingeniería de Seguridad de Google (GSEC), que tendrá su sede en Málaga. Este centro europeo de investigación sobre ciberseguridad y malware empezará a funcionar en 2023 con una doble misión: ayudar a empresas y administraciones públicas a comprender mejor la evolución de las ciberamenazas y proteger a los clientes y al conjunto de la ciudadanía. Este centro de Málaga será fundamental para establecer asociaciones locales y regionales en materia de ciberseguridad durante los próximos años.
También en 2023, pondremos en marcha el programa Google for Startups Growth Academy for EU Cybersecurity, concebido para acelerar el crecimiento de startups especializadas en ciberseguridad de toda Europa. De hecho, VirusTotal, el germen del centro de ciberseguridad GSEC de Málaga, es un brillante ejemplo del valor de ese apoyo. Hoy día, esta empresa es un ejemplo europeo que, desde unos orígenes humildes, ha sabido crecer hasta convertirse en el escáner de malware más importante del mundo, desde que Google la adquirió en 2012.
Estas iniciativas se suman a los esfuerzos de Google para reforzar la ciberseguridad en España. Por ejemplo, colaboramos con el gobierno español y con agencias de ciberseguridad como CCN-CERT para crear soluciones en la nube con todos los requisitos de confianza y garantía. Del mismo modo, recientemente hemos anunciado el tour regional sobre seguridad online «Protege tu negocio», que recorrerá España con la misión de conectar, formar y prestar apoyo a la pequeña empresa.
Lo que sigue es una adaptación de la intervención de Kent Walker en el evento Google Cybersecurity Summit de hoy:
Nos encontramos en un contexto de tensiones geopolíticas al alza, con prácticas fraudulentas que socavan nuestra seguridad.
La ciberguerra y la guerra informativa se han convertido en herramientas cotidianas que tratan de explotar nuestras vulnerabilidades para desestabilizar nuestras economías y nuestras democracias.
No es de extrañar que, cuando la Comisión Europea anunció su plan de transformación digital de Europa para 2030, diera un papel protagonista a la seguridad.
La pregunta es: ¿por dónde empezamos esa tarea de proteger el mundo digital?
Hay quien diría que aplicando requisitos de localización de los datos, límites en el acceso a los mercados e incluso restricciones de acceso a determinados servicios transfronterizos.
O sea, fortalezas y jardines amurallados. Nosotros proponemos un rumbo diferente.
Aunque parezca una contradicción, hoy día la mejor seguridad digital pasa por una estrategia abierta.
Porque, en el entorno móvil e híbrido en el que vivimos, la ciberseguridad es un deporte de equipo. Cada uno de nosotros es tan fuerte como el eslabón más débil de la cadena. En cambio, trabajando juntos podemos impulsar la innovación y adoptar las mejores prácticas, de un modo que nos beneficie a todos.
Hablo por experiencia: los servicios de Google reciben ataques todos los días. Y, a pesar de ello, nos las arreglamos para proteger a más personas que nadie en el mundo. Nosotros entendemos la seguridad como un esfuerzo colectivo, en el que capitalizamos marcos de trabajo abiertos y nos apoyamos en buena medida en software seguro de código abierto.
Ahora, nos gustaría emplear lo que hemos aprendido para contribuir a materializar la «década digital» de Europa.
En ese sentido, hemos publicado recientemente un libro blanco con recomendaciones tales como la importancia de invertir en tecnología que sea segura por defecto, de trabajar con socios privados e internacionales en nuevas áreas de cooperación, y de construir una seguridad basada en la apertura y la interoperabilidad.
Todas estas recomendaciones son fruto de nuestra propia experiencia. En 2009 Google sufrió un importante ciberataque, conocido como Operación Aurora. Como resultado, aprendimos que la transparencia, combinada con la seguridad por diseño, era la mejor fórmula para proteger el ecosistema digital.
Como detallamos en nuestra docuserie recientemente publicada, Hacking Google, Aurora lo cambió todo. Nos impulsó a abandonar el viejo modelo de «defensa perimetral», crujiente por fuera y masticable por el medio (con altos muros exteriores pero sin defensas interiores), para pasar a un modelo de confianza cero en el que todos los usuarios, todos los dispositivos y todas las aplicaciones se comprueban continuamente en busca de riesgos de seguridad y, sin embargo, la seguridad resulta fácil y natural para los usuarios.
Nuestra respuesta fue abandonar el viejo modelo de «defensa perimetral», duro por fuera y blando por dentro, con grandes muros exteriores pero sin defensas en el interior. En su lugar, adoptamos un modelo de confianza cero en el que se analizan los riesgos de seguridad de todos los usuarios, dispositivos y aplicaciones y en el que, sin embargo, la seguridad resulta algo cómodo y natural para los usuarios.
En otras palabras, fuimos pioneros en un modelo en el que hay que ganarse a cada paso el acceso a la información.
Parece imposible, pero el efecto práctico es que este modelo facilita a nuestros empleados la conexión, eliminando el entorno corporativo tradicional y las VPN en favor de un acceso global a través de internet a todos los recursos corporativos, protegido por una autenticación multifactor flexible y fácil de usar.
Después de Aurora, pusimos en marcha un Grupo de Análisis de Amenazas (TAG, por sus siglas en inglés) para detectar, comunicar y atribuir las amenazas, que pueden tener su origen en organismos nacionales o en vendedores de software de espionaje y vigilancia. También creamos nuestro equipo Project Zero, cuya misión consiste en detectar de forma precoz vulnerabilidades de día cero en nuestro propio software y en el de otras empresas, con el fin de elevar el nivel de seguridad para todos. No ha sido un trabajo fácil, pero este tipo de transparencia es esencial para la seguridad. Los ingenieros informáticos dicen que «si hay suficientes ojos, se ven todos los fallos».
Hoy en día, contamos con innovaciones avanzadas en materia de seguridad e inteligencia de amenazas para solucionar rápidamente las vulnerabilidades, antes de que se puedan explotar de forma generalizada.
Cada vez que nuestro TAG hace pública una nueva amenaza, este enfoque puede verse en acción. Por ejemplo, en 2017, nuestro sistema operativo Android fue la primera plataforma móvil en avisar a los usuarios sobre el spyware Pegasus de NSO Group, un malware de «cero clics» diseñado para vulnerar la seguridad de un smartphone sin necesidad de ninguna acción por parte del usuario. Hicimos pública esta información de forma temprana y generalizada; con ello, el público pudo tomar conciencia de esta amenaza, las víctimas aprendieron a detectar si sus dispositivos estaban afectados y se agilizaron las medidas de mitigación. Desde entonces, TAG no ha dejado de informar sobre Pegasus y otras herramientas comerciales de espionaje, sacando a la luz estas turbias prácticas.
Cuando estalló la guerra de Ucrania, estos principios de seguridad abierta nos han mantenido un paso por delante. En este caso, repeler los ataques ha sido una cuestión de crear resiliencia, no a través de la implantación de requisitos de localización de los datos y sistemas cerrados, sino a través de una colaboración continua entre socios, una infraestructura distribuida a escala mundial y un proceso colectivo para monitorizar las amenazas y articular una respuesta tan pronto como se producen.
Desde el comienzo de la guerra, hemos enviado miles de avisos a usuarios que son objetivo de organismos nacionales; otra práctica en la que fuimos pioneros después de Aurora. De hecho, hemos conseguido bloquear la inmensa mayoría de los ataques.
Este enfoque es inclusivo. Actualmente, estamos trabajando con nuestro equipo de VirusTotal para lanzar un nuevo Centro de Ingeniería de Seguridad de Google en Málaga, España, que esperamos sirva como un centro europeo de investigación conjunta sobre amenazas avanzadas.
Desde que adquirimos VirusTotal en 2012, esta empresa ha crecido desde una modesta startup hasta convertirse en el principal escáner y repositorio de malware del mundo. Muchos lo llaman «el Google de las herramientas de ciberseguridad». VirusTotal permite buscar malware entre los millones de nuevas muestras que recibe cada día.
Además, cuando Google combinó las soluciones de seguridad que tenía con la inteligencia sobre ciberamenazas de Mandiant, puso las bases para ayudar a las organizaciones del sector público y privado en Europa a anticipar, comunicar y mitigar las amenazas.
¿Cuáles son las conclusiones más importantes a la hora de avanzar hacia una seguridad abierta?
En primer lugar, es esencial que existan asociaciones y acuerdos entre sociedades democráticas reguladas por el imperio de la ley. Hay que olvidarse de los enfoques aislados y avanzar hacia un ecosistema de innovación en el que los expertos en seguridad puedan compartir información sobre amenazas, desarrollar prácticas cada vez mejores y adoptar nuevas tecnologías.
Con el fin de impulsar ese ecosistema, me complace anunciar que en 2023 acogeremos un nuevo programa Google for Startups Growth Academy for EU Cybersecurity, concebido para impulsar el crecimiento de startups de toda Europa dedicada a la ciberseguridad.
En segundo lugar, debe existir interoperabilidad y normas de seguridad armonizadas entre tecnologías y países, para facilitar el cumplimiento por parte de empresas, innovadores y fabricantes de todos los tamaños. La consecuencia última es que tendremos un hardware más seguro y un mejor software. La tercera y última idea es que el hecho de abandonar nuestras tecnologías tradicionales (plagadas de errores) y los modelos de defensa perimetral en favor de una infraestructura más moderna también nos permitirá atender las necesidades de una fuerza de trabajo híbrida y cada vez más global sin sacrificar la seguridad.
La seguridad colectiva no solo requiere muros: también hay que tender puentes.
Si adoptamos un enfoque basado en principios abiertos, como la seguridad por defecto, la arquitectura de confianza cero, la transparencia y asociaciones con una alineación y principios adecuados, ampliaremos las fronteras de la seguridad de la información, y todos dormiremos mejor.