Autor/a: Carlos Lillo, Director de News ClickCiber y AM de Telefónica para Ingecom
En esta entrevista, publicada en ClickCiber, Borja Rosales, Regional VP EMEA de KELA, nos explica como la compañía ha sabido moverse sin ser detectada por las procelosas aguas de la Darknet, allí donde los cibercriminales se mueven por la red de redes con soltura y al amparo del anonimato. La compañía lleva 12 años ofreciendo a los clientes inteligencia que les permita anticiparse a los ataques y utiliza, entre otras herramientas, su buscador Darkbeast, “tan sencillo de utilizar como Google, que accede al repositorio histórico de información de Inteligencia de KELA”.
Entrevista a Borja Rosales, Regional VP EMEA de KELA
PREGUNTA - Estamos acostumbrados a oír hablar de ciberseguridad, pero nos resulta novedoso el término de ciberinteligencia, ¿en qué consiste exactamente y en qué se diferencia de la ciberseguridad?
Por ciberinteligencia entendemos aquella disciplina, que dentro del concepto genérico de ciberseguridad, intenta detectar amenazas o vulnerabilidades de una organización que son conocidas fuera del perímetro de dicha organización. Dicho de otra manera, qué información tienen o pueden llegar a tener sobre nosotros los cibercriminales que les permita iniciar un ataque o llevarlo a cabo con mayor probabilidad de éxito.
PREGUNTA - ¿Cuáles son las principales amenazas que se detectan con las soluciones de ciberinteligencia?
Entre las principales amenazas podemos mencionar aquellas relacionadas con la superficie de ataque, ya se trate de credenciales de acceso a nuestros sistemas y redes, como a vulnerabilidades de los mismos sistemas de las que son conscientes nuestros enemigos.
PREGUNTA - ¿Quién es el interlocutor natural dentro de una empresa para hablarle de ciberinteligencia?
Depende del nivel de madurez de la compañía. Las empresas más avanzadas normalmente suelen tener un equipo Threat-Intelligence. En otras organizaciones, la interlocución se engloba dentro de la responsabilidad del SOC o CiberSOC. En cualquier caso, el responsable último suele ser el CISO.
PREGUNTA - KELA se define como un fabricante dedicado a la monitorización de la Darknet en busca de amenazas dirigidas a clientes, explíquenos qué ofrecen.
KELA ofrece un conjunto de herramientas y servicios que permite la identificación de amenazas en los rincones más oscuros, difíciles de acceder y, en muchas ocasiones, peligrosos del ciberespacio. En KELA nos dedicamos única y exclusivamente a monitorizar el ecosistema del cibercrimen, monitorizando a los actores allí donde desarrollan su actividad, para poner al alcance de nuestros clientes y nuestros partners esa Inteligencia que les permite anticiparse a las amenazas.
PREGUNTA - La compañía se fundó hace ahora 12 años en Tel Aviv (Israel) y cuenta con clientes en Estados Unidos, Canadá y Japón, principalmente; sin embargo el mercado de la ciberinteligencia se podría calificar de incipiente en Europa, ¿por qué ha tardado tanto en despegar en el Viejo Continente?
El mercado europeo no es homogéneo. Y de la misma manera que no todas las empresas y todos los verticales se encuentran en igual grado de desarrollo, la situación en los diferentes países de Europa también es distinta. Digamos que no hay un mercado europeo, sino muchos mercados europeos, cada uno con sus particularidades y su idiosincrasia. Dicho esto, es cierto que en KELA, inicialmente, nos centramos en los mercados de Estados Unidos y Japón y no ha sido hasta hace unos meses que hemos decidido abordar e intentar penetrar en Europa.
PREGUNTA - ¿Cuál es el perfil de empresa a la que se dirige KELA?
Dada la alta especialización y características propias de nuestra actividad, las soluciones de KELA encajan fundamentalmente con dos tipos de clientes. Por un lado, las grandes empresas y corporaciones que tienen ese nivel de madurez que hemos mencionado antes y que necesitan contar con herramientas que les permitan acceder a fuentes de Inteligencia a las que no tienen acceso. El otro grupo de clientes son los partners proveedores de servicio tipo MSSP, que utilizan nuestras soluciones para elevar el nivel de seguridad de sus clientes anticipándose a amenazas que antes desconocían.
PREGUNTA - ¿Qué porcentaje de los ataques de seguridad corporativa procede de la Darknet frente a los ciberataques tradicionales?
Esta es una pregunta casi imposible de contestar. Existe una interconexión muy grande entre los dos aspectos que se mencionan. En muchos casos lo que parece ser un ciberataque tradicional tiene su origen en el acceso a una información de Inteligencia en la Darknet. De hecho, lo vemos cada día con más frecuencia en la “profesionalización” o la “industrialización” del cibercrimen. Antes un cibercriminal se encargaba de realizar un ataque de principio a fin, pero ahora vemos que se están especializando en tramos de la cadena de ataque, lo que hace que sea más difícil seguirles el rastro. Nos encontramos con expertos en initial access brokers que se dedican a vender los accesos de determinados sitios o empresas, desarrolladores de virus para terceros y cibercrimales que pagan por todo ello y extorsionan a las organizaciones. El entramado es cada vez más complejo.
PREGUNTA - Uno de los puntales de KELA es Darkbeast, que ustedes mismos definen como el “Google del Darknet”, ¿cómo funciona y qué aporta a los clientes?
Darkbeast es un buscador tan sencillo de utilizar como Google, que accede al repositorio histórico de información de Inteligencia recopilado por KELA en sus años de existencia. En Darkbeast podemos buscar por cualquier dominio, nombre, ip, etc., en definitiva cualquier cosa que queramos, en el idioma que queramos y si hay algún registro en la replica del Darknet, que es el repositorio de KELA, se nos mostrará en pantalla al instante.
Darkbeast ofrece funcionalidades avanzadas y a la vez sencillas de utilizar, incluyendo el reconocimiento de Inteligencia en imágenes vía OCR, y otras muchas que sería demasiado largo enumerar.
En cuanto a qué aporta te diría que, fundamentalmente, la posibilidad de consultar de manera inmediata en miles de fuentes del Darknet simultáneamente y obtener la respuesta en un formato visual agradable para, a partir de ese resultado, pivotar en la dirección que el investigador considere más interesante.
PREGUNTA - ¿Cómo ve el mercado de la ciberinteligencia dentro de cinco años en nuestro país?
Difícil me lo pones. No sé ni como será el año que viene! En serio, es muy difícil predecir como será el mercado de la ciberinteligencia a cinco años vista. Una cosa creo que está clara, los cibercriminales no están quietos, ni van a estar quietos y van a buscar nuevas formas de hacer las cosas y para ello utilizarán todas las tecnologías presentes y futuras que les brinden el mayor nivel de impunidad posible. Lo importante es saber qué están haciendo y dónde lo están haciendo y seguirlos (y perseguirlos) allá donde vayan para poder anticiparnos y evitar y/o parar a sus ataques.
Desde otro punto de vista, estoy seguro que el mercado de la ciberinteligencia, o mejor dicho, la madurez en ciberinteligencia de las empresas españolas será muy superior a la existente hoy en día, y eso es sí mismo es algo positivo.