La inclusión de las mujeres, el gran reto de la ciberseguridad
Solo el 20% del total de empleados en ciberseguridad son mujeres
La inclusión de la mujer en el mundo de la ciberseguridad es una de las tareas pendientes en España. La gran desigualdad de género en el sector de la ciberseguridad fue uno de los temas centrales que los expertos en ciberseguridad trataron durante el Congreso Sec Admin, evento que reunió a más de 400 hackers nacionales e internacionales.
Según datos de la consultora Frost & Sullivan, tan sólo el 11% del total de trabajadores en 2017 eran mujeres, dato que ha incrementado en las predicciones de cierre del 2019 según la propia consultora hasta el 20%. Aun así, el sector alerta de la baja representatividad de la mujer en un sector carente de profesionales con las habilidades suficientes para enfrentrarse a la realidad que supone la ciberseguridad.
Este fenómeno de género es un problema a nivel mundial ya que, en Reino Unido, tan sólo el 8% de los empleados en ciberseguridad son mujeres, según aporta We Live Security. A esta desigualdad numérica hay que añadir la desigualdad salarial, aspecto que preocupa mucho en el sector ya que según, un estudio reciente recogido en Thecnuk, los hombres ganan un 16% más de dinero por desempeñar las mismas funciones.
Esta realidad estuvo presente en el Sec Admin gracias a la participación en el Congreso de de Ivette Bolívar, fundadora de la comunidad ‘Ética Hacker’ y el movimiento ‘Mujer Hacker’.
Ética Hacker nació de una experiencia de ciberacoso vivida por propia Ivette, que le llevó a buscar la manera de poder ayudar a personas que pudieran encontrarse en la misma situación y que, además de ofrecer prevención y concienciación, puedan ayudar a personas que sufran estas situaciones.
Con el objetivo de fomentar la presencia de las mujeres en área de la ciberseguridad nació ‘Mujer Hacker’ que pretende animar al perfil femenino a estudiar carreras universitarias de sector que, además, cuentan con un alto porcentaje de empleabilidad. Para ello, desde este movimiento dan visibilidad a las mujeres que están en el sector actualmente para incentivar a futuras generaciones.
Adrián Ramírez, perito informático y organizador de Sec Admin, asegura que “hay que luchar contra la desigualdad. No es ético ni aceptable este porcentaje tan dispar entre hombres y mujeres y que las condiciones económicas sean distintas realizando las mismas funciones. Hay que concienciar a empresas y trabajadores y abrirles los ojos de este grave problema que tenemos que solventar entre todos”.
La de Ivette Bolivar no fue la única presencia femenina en el Congreso Sec Admin. Ana Gutiérrez, Software Developer en La Colmena impartió un taller sobre Blockchain en el que enseñó a los asistentes cómo esta tecnología puede ofrecer máxima seguridad y mejor rendimiento en la toma de decisiones de los propios softwares.
Por su parte, Belén Pérez y Pilar Vila, peritos expertas en ciberseguridad, ahondaron en su ponencia sobre la problemática de la ciberseguridad en el mundo de la industria conectada. Cada vez son más las conexiones que se realizan de forma remota a través de internet gracias a la implementación de sensores IoT y dispositivos de monitoreo en la industria que, por defecto, no incluyen anvitirus y su inclusión supondría la ralentización de la actividad de la fábrica digital. Esto hace que sean el objetivo de numerosos ciberataques que ven en el sector industrial 4.0 un foco con el que poder conseguir grandes recompensas económicas.
Otros temas de interés en Sec Admin
Otro de los temas que más interés suscitaron entre los asistentes fueron las estafas a CEO. Estos hackeos a los directivos de las grandes empresas es una forma de cibercrimen que ya mueve más de 10.000 millones de euros en todo el mundo.
Entre los ciberataques con mayor aumento de casos destaca el de los ataques a CEO ya que es en la alta dirección de las empresas donde los hackers ven más posibilidades de negocio. Estos ataques van desde una suplantación del CEO por diferentes vías como teléfono, correo electrónico, Linkedin, WhatsApp hasta el acceso a cuentas bancarias y documentación relevante de la empresa a través de un software malicioso.
Según el propio Reino, estos ciberataques “pueden estar detrás de un email de unos supuestos inversores que nos aseguran una gran inversión a cambio de un irrisorio porcentaje accionarial de la compañía por lo que eso llama la atención del directivo. También se realizan intromisiones a través de redes Wi-FI de cafeterías, hoteles, aeropuertos, etcétera, incluso con cambiando el número de cuenta bancaria en las facturas que reciben a través de email sin que emisor ni receptor se percaten”.
El Congreso
Durante el Congreso se debatieron sobre otros asuntos de actualidad y se llevaron a cabo varias simulaciones en las que se demostraron que, con cierta facilidad, es factible acceder a hackear aplicaciones y dispositivos que no cuentan con las medidas protectoras adecuadas. Una de estas recreaciones la llevó a cabo Deepak Daswani que demostró en directo a los asistentes que es posible acceder a una cuenta de WhatsApp web atacando por la red Wi-FI o por cable. En esta simulación demostró cómo puede descargarse los contactos, tanto números como imágenes, acceder a los grupos de WhatsApp, así como acceder a las conversaciones. Lo que más sorprendió a los asistentes fue la posibilidad de modificar los mensajes sin que el emisor se percate de que ha sido modificado en el tránsito. Ha de tenerse en cuenta que cada vez más ecommerces usan WhatsaApp como canal de atención al cliente por lo que existe una mayor exposición de datos personales a través de este fallo de WhatsApp Web.
Otro de los contenidos del Congreso que más interés tuvo entre los asistentes fue la mesa redonda en la que el consultor de ciberseguridad Yago Hansen, Ivette Bolívar de Ética Hacker y Fabio Gómez de Universidad Loyola Andalucía debatieron sobre el INE y el rastreo de móviles en España. Las teleoperadoras cederán datos anónimos para conocer la movilidad de los españoles con el fin de mejorar las infraestructuras. Esto supone un reto en el derecho a la privacidad de los usuarios que cuestione la ética en la protección de los derechos de los usuarios.
Otro tipo de estafas que también estuvieron presentes en el Sec Admin fueron las telefónicas. Pepelux, CTO de Zoonsuite, hizo especial hincapié sobre este fraude que mueve billones de euros al año sin que el usuario se percate de que está siendo estafado. Habló desde el falseo de llamadas desde un número conocido hasta cómo devolver una llamada perdida en nuestros teléfonos puede suponer un cargo bastante alto en nuestra factura telefónica.
La movilidad conectada estuvo también presente en Sec Admin gracias a Pedro Candel, security researcher, más conocido como S4ur0n, que esgrimió las posibilidades de ciberatacar a coches conectados de forma inalámbrico mediante ataques a los sensores que se conectan al cuadro de mando del vehículo. “Un ataque de este estilo puede lanzarse desde otro vehículo que se encuentre a 30 ó 40 metros de distancia y pueden provocar desde que se pare el coche hasta facilitar información falsa sobre la presión de las ruedas u otras partes del vehículo”, explica Candel.
En la segunda jornada tuvieron lugar la celebración de distintos talleres temáticos que abarcaron desde el análisis de sofwares malicioso para su detección y clasificación a simulaciones de ‘exploits de micro código’ de CPUs hasta información sobre Blockchain, entre otras temáticas. A finalización de esta segunda jornada se entregó la catana, obsequio del ganador del reto CTF que se celebra de forma anual en cada Sec Admin.
Este evento ha sido organizado por Dolbuck y es posible gracias al apoyo institucional de CCN-CERT, INCIBE y a la Universidad Loyola. Por su parte, han patrocinado el evento ARPSecure, Wellness TechGroup, DolBuck Hack-Lab, IMF Business School, Renfe, OxWord y Hardening de empresas.
