Osvaldo Aldao es Chief Technology & Product Officer (CTO & CPO) de ENEA, ejecutivo argentino con un gran trayecto en el sector de las telecomunicaciones a escala global que hace casi dos décadas partió de su país natal en un recorrido que lo llevó a trabajar en diferentes realidades de la industria de las telecomunicaciones de América latina, Asia y Europa.
ENEA es una empresa pública, especializada en software para la ciberseguridad de los operadores de telecomunicaciones, basada en Estocolmo, ciudad capital de Suecia, desde donde atienden a proveedores de servicios como operadores de redes fijas y móviles globales, pero también compañías de ciberseguridad, como Citrix o Zyxel. En diálogo con TeleSemana.com, Aldao precisó en las tendencias globales además de las coyunturas, y se mostró interesado en compartir sus conocimientos con la industria regional de telecomunicaciones.
¿Cómo analiza la coyuntura global de la seguridad en telecomunicaciones?
La situación de la seguridad de las redes de comunicaciones es crítica. ¿Por qué es crítico? Creo que lo es por una combinación de muchos factores, que hace que haya muchos más ataques de seguridad hoy, que un tiempo atrás. Y, quizá, una de las razones más grandes por la que eso está pasando sea la digitalización de los servicios. Si te pones a pensar, no hay manera de volver el tiempo atrás. No sé cómo será hoy en la Argentina, porque hace tiempo que me trasladé al extranjero, donde los bancos se digitalizaron por completo. Es decir, yo no voy a una oficina de banco hace años y todo lo hacemos por Internet, a través de aplicaciones móviles. La digitalización es una cuestión que no pasa solamente en la industria financiera, sino también en muchas otras industrias, y lo que tiene como fundacional, como base, es Internet y las redes móviles. Entonces, si bien vemos que hay muchos ataques de fraude en el sector financiero, al analizarlos, vemos que no son ataques al sistema financiero en sí, al banco, sino que son ataques a la red de comunicaciones.
El ataque no es al banco en sí, sino a la red del operador…
La red de comunicaciones sería, en este caso, la handling technology, lo que hace que puedas conectar el banco o los servidores de un banco con el usuario final. Y como la bancarización se digitalizó y las telecomunicaciones son parte de eso, muchos de los ataques que vemos se dan en la parte de las redes móviles.
Esto es un poco nuevo para las redes móviles porque es la explicación de por qué ahora hay más ataques que antes, es porque las redes móviles se están usando para más y más cosas. Como se está digitalizando cada vez más, y cada vez hay más servicios, más actores interesados en poder atacarlas por múltiples razones: porque son bandas criminales.
Es importante entender que no se trata de chicos de la universidad que simplemente están jugando, hay bandas organizadas, criminales que mueven mucho dinero basado en el fraude. Por eso, además, tienen recursos, tienen capacidades, tienen conocimiento y esos conocimientos que tienen, en buena medida, son en las redes móviles. Y usan esos conocimientos para poder atacar a las transacciones financieras.
¿Qué lugar ocupan tecnologías como 5G u Open RAN en esta coyuntura?
Tecnologías como 5G, Open RAN y Open API, por ejemplo, hacen que la superficie de ataque sea mucho más grande y que sea mucho más complicado y más costoso para las empresas poder protegerla. Por lo general, en las redes móviles se maneja la conectividad dentro de una comunidad cerrada, que en inglés se llama “Walled Garden”. Inicialmente, sólo operadores con una licencia tenían acceso a las redes de señalización móvil; había una relación de confianza entre las partes. Hoy lo que está pasando es que hay muchas otras empresas o actores que están teniendo acceso a conectarse al backbone de señalización de las redes móviles, y eso posibilitó que también aparecieran actores cuyo propósito sea el ataque.
Por eso ya no son casos aislados sino organizaciones criminales que trabajan en redes hasta con el esponsoreo de ciertos estados. Por eso, el nivel de ataque que vemos y la complejidad que vemos en esos ataques, está creciendo cada vez más.
Inclusive, vemos que hay muchos ataques que se originan en una parte del mundo y que se utilizan muchas redes proxy en el camino para poder atacar a otras, en otra parte del mundo, para poder hacer más compleja la identificación del punto de origen.
¿Y, en ese sentido, en qué están trabajando?
Nosotros trabajamos en el concepto Zero-Trust donde la manera de pensar es validar y proteger todas las conexiones. Creamos una base de datos de amenazas global en la que analizamos todos los vectores de ataques y podemos trazar esos ataques y el origen del ataque. A esos grupos criminales los llamamos plataformas y lo que vemos, a través de nuestro grupo de inteligencia, es que son los mismos grupos los que utilizan las redes proxys y que propician ataques en distintas partes del mundo. Pero en muchos de esos ataques el usuario no tiene visibilidad de eso.
Hay ciertos tipos de ataques donde el usuario final tiene visibilidad y, son los más fáciles. Por ejemplo, cuando el usuario final recibe un mensaje de texto con una URL que, si quien lo recibe no está muy prevenido, clickea y termina en un sitio del que se le descarga un malware. En este caso, el usuario puede ver que el link es sospechoso. Pero hay otros tipos de ataques, como puede ser el de location tracking (localización física), que no son percibidos por el usuario final. Es decir, un usuario final puede estar siendo seguido físicamente por su localización y no hay manera de que pueda saber que está siendo monitoreado. Y esa es una preocupación en todos los países. En Enea trabajamos en los mecanismos de seguridad, Firewalls & Threat Intelligence, para evitar esos casos y para que las comunicaciones sean más seguras.
¿Por ejemplo?
En Estados Unidos, un ministro del Senado lanzó un pedido a todos los operadores para poder actualizar cuáles son las mejores prácticas, para saber cómo poder proteger a personas sobre este tipo de ataques porque, evidentemente, es una preocupación. Vemos que hay ataques a nivel de elecciones y que hay ataques a nivel de poder seguir cierto tipo de personas porque, como decía, no son chicos jugando, son criminales con intereses y muchas veces, con el espónsor de estados.
Y en medio se observa la irrupción de la inteligencia artificial (IA), que se usa para robustecer las redes pero también para perpetrar los ataques. ¿Cómo avanza la innovación en ese sentido?
Es el juego del gato y el ratón porque, obviamente, la tecnología hace que sea más fácil poder generar nuevos vectores de ataques, pero también la usamos para detectarlos. Entonces, hay mecanismos o modelos de IA trabajando o compitiendo por la generación y la detección.
Nosotros, por ejemplo, trabajamos con modelos de detección de IA para proteger usuarios finales de mensajes que se conoce como Application to Person (A2P) fraudulentos, combinados con un ataque de ingeniería social. Por ejemplo, vemos casos en los que actores tratan de personificar al call center de un banco, que envía el mensaje a una persona diciendo que hay un caso de fraude en su cuenta y que, para poder solucionarlo, deben hacer un click en un link de contacto, y si la persona no está muy atenta puede dar información que alimenta esa ingeniería social de ataque.
Lo que nosotros hacemos está basado en IA Generative (GenIA), que permite poder interpretar o identificar esos URLs que a veces son visibles y a veces no, pero que nosotros podemos ver y analizar. Y lo hacemos en real time con GenIA para poder analizar la sensibilidad y el riesgo. Si identificamos un riesgo alto, lo podemos bloquear o informar al usuario final. Hay clientes que, en breve, empezarán a usarlo para poder darle más protección al usuario final. Sin embargo, hay una especie de desalineación entre intereses e incentivos.
¿Por qué lo dice?
Porque es el problema más grande que vivimos a nivel de industria. Los bancos, yo creo, están por delante al momento de entender cómo proteger a su usuario final, porque obviamente si avanzan con la digitalización financiera y la gente no confía en ellos, no los ven seguros, no los van a usar. Pero creo que los operadores están un paso por detrás de ese entendimiento.
Hay muchísima regulación, cada país de Europa ha generado regulaciones o iniciativas para poder proteger al usuario final porque, obviamente, hay mucha más conciencia o preocupación del usuario final sobre sobre este tipo de riesgos. Hay muchos estados que están tomando acciones preventivas, unos más que otros, para poder regular esto.
¿Por ejemplo?
Singapur es uno de esos estados en los que se están analizando más medidas y es más activo el rol para regular el riesgo. Ellos identifican que hay tres actores. Primero está el usuario final y que siempre va a ser la primera línea de defensa el poder educarlo sobre los riesgos que hay. El segundo es el operador móvil y el tercero es el banco o la entidad financiera, que lo que quiere es poder alinear los incentivos y las penalidades, si es que hay un caso de fraude. ¿Quién debería pagar por ese abuso? Creo que esto ayudará mucho.
La clave estaría en la implementación de normativas….
Si la regulación hace que los operadores tomen un rol de responsabilidad más grande que la que tienen hoy, creo que eso va a ayudar mucho a los operadores a tomar esto con mayor seriedad. Simplemente, lo que vemos es que hay mucha tecnología. Tenemos muchos clientes en los que desplegamos firewalls de protección a nivel de señalización, para proteger usuarios de la localización o para proteger el tráfico entrante a la red de un país, y también tenemos soluciones a nivel de mensajería, para poder protegerlos de phishing. En general, vemos que el 50 por ciento de los operadores no han implementado este tipo de protecciones, por lo que el nivel de conciencia todavía es bajo. Falta educación y mecanismos de incentivos y penalidades para que las empresas inviertan en esto.
¿Qué perspectivas ven para los próximos meses?
Es un momento muy interesante porque se combina la necesidad de tener redes más seguras y eficientes, con las nuevas tecnologías disponibles. Hay muchas cosas que permiten generar valor a nivel de usuarios o clientes y que, a nivel de tecnología, con la combinación de factores como la ciberseguridad, la encriptación de quantum computing, la transformación al cloud, y la IA obviamente, hay un potencial enorme de poder generar nuevas soluciones. En eso nos enfocamos: tenemos mucho foco en seguridad y en la estrategia de tender adquisiciones estratégicas en el área de Telecom Cybersecurity, para seguir creciendo orgánica e inorgánicamente.
El año pasado empezamos a desplegar funciones de IA en alguno de los clientes, en el que empezamos a hacer una validación del concepto. Y lo que obtuvimos a fin del año pasado fueron muy buenos resultados en lo que a la eficiencia de implementar mecanismos para seguridad refiere. Este año estamos expandiendo esa experiencia en nuestra base de clientes, es decir, para que más clientes puedan implementar en sus firewalls de señalización y de mensajería funciones de IA, que les permitan hacer análisis de anomalías en su tráfico.
¿Qué casos puede mencionar?
A nivel de seguridad nos diferenciamos por varios factores: somos buenos en cybersecurity y reconocidos en el mercado de seguridad para redes móviles, porque trabajamos mucho en investigación, para entender cómo se usan las redes para generar ataques. Por ejemplo, vimos que en la guerra de Ucrania la red se utilizó para lanzar ataques militares e hicimos mucha investigación sobre el caso, cuyos resultados y tendencias globales las presentamos al grupo que se dedica al seguimiento de fraude en la GSMA.
En otras oportunidades, escribimos documentos con recomendaciones y, como tercera instancia, tenemos un grupo de inteligencia en el que consolidamos y analizamos los vectores de ataque a través de nuestro grupo de expertos. Hay millones de eventos por día y guiamos a los clientes para poder entender cuál son los tipo de ataques y, luego, generar las reglas que se desplegarán en los firewalls que tenemos desplegados a nivel mundial, en los cinco continentes.
Esta penetración nos permite entender cuáles son los ataques y el factor de riesgo, pero también nos da flexibilidad para crear las reglas que se despliegan a nivel global muy rápidamente. Allí, se procesan más de dos billones de eventos por día y el poder detectar una anomalía en esa cantidad sólo es posible gracias a la IA. Entonces la combinación entre eso y el trabajo de los grupos de expertos es donde vemos el mayor resultado que podemos entregar al mercado.
Y para culminar,¿qué están viendo en específico en la región latinoamericana?
Lo que vemos a nivel de seguridad específico para Latinoamérica es un tipo de ataque que no vemos mucho por Europa o en otras latitudes, que se llama SIMJacker, un tipo de ataque que se ejecuta desde dentro de la tarjeta SIM, que permite correr aplicaciones Java y, a través de ellas, generar un ataque a través de enviar un mensaje que no es visible para el usuario. Se trata de un mensaje de texto que entregara la localización de la persona.
