«En ciberseguridad, nuestro enfoque como proveedor de soluciones es holístico»
Carlos cuenta con una amplia experiencia en ciberseguridad, riesgo tecnológico, cumplimiento y resiliencia de negocios que ha adquirido durante los últimos años en consultoras como EY, Accenture o Deloitte. Además, durante los últimos tres años ha sido el CISO Corporativo en el Grupo Naturgy. En la actualidad define el enfoque estratégico en ciberseguridad de Microsoft en España y es también profesor asociado en el Máster de Ciberseguridad de ICAI – Universidad de Comillas.
¿Cómo ha evolución la ciberseguridad en estos años?
Las actividades de los ciberdelincuentes cada vez son más oportunistas, constituyendo un modelo de negocio en sí mismo. En 2022, se estima que la actividad delictiva digital tendrá un coste de ocho billones de dólares a nivel global.
En el campo de la seguridad, nuestro enfoque como proveedor de soluciones es holístico. Propiciamos su integración como un servicio horizontal en todos nuestros productos y servicios, para construir soluciones que generen confianza real entre los usuarios.
El patrimonio digital de las organizaciones no deja de crecer y cambiar; los límites se difuminan, haciendo que una gestión de identidades basada en usuario, contraseña y acceso al perímetro sea insuficiente. Resulta prácticamente imposible anticipar y abordar el número ilimitado de escenarios de acceso que pueden darse en una organización y en su cadena de suministro, especialmente cuando incluyen sistemas, plataformas, aplicaciones y dispositivos de terceros.
El objetivo es ofrecer detección y respuesta avanzada, todo ello integrado de forma unificada y cohesionada
Ante esta situación, adoptamos un enfoque de seguridad holístico basado en zero trust para la identificación y protección, y XDR para la detección, respuesta y recuperación.
Nuestra plataforma XDR integra de forma nativa controles de seguridad en nuestros servicios, como Microsoft 365 y Azure. Alcanza modalidades IaaS, PaaS y SaaS, extendiendo su cobertura a múltiples plataformas con un enfoque multicloud. El objetivo es ofrecer detección y respuesta avanzada, todo ello integrado de forma unificada y cohesionada en el correo, las herramientas de colaboración, la identidad, el puesto de trabajo, la navegación, la infraestructura y la propia red.
¿Podrías darnos datos concretos sobre el actual escenario de ataques?
A raíz de la pandemia hemos visto una tendencia de ataques dirigidos a los más vulnerables. Así se refleja en nuestro último informe anual de defensa digital, de octubre de 2021, en el que se ponen de manifiesto aspectos tales como que los cinco sectores más atacados son el comercio minorista (13%), los servicios financieros (12%), la industria manufacturera (12%), la administración pública (11%) y la sanidad (9%).
Los ataques dirigidos o financiados por estados han proliferado en los últimos tiempos. Sus autores cuentan con suficientes recursos y talento para estudiar en profundidad sus objetivos y utilizar las técnicas más certeras. En este sentido, el 58% de todos los ataques cibernéticos de los estados-nación que observamos durante la confección del estudio procedían de Rusia y tenían como principal objetivo la obtención de información sensible de Estados Unidos, Ucrania y Reino Unido.
En general, las víctimas preferidas de estos atacantes que hemos detectado desde Microsoft son las empresas (79%), teniendo como sectores más específicos a los gobiernos (48%), las ONG y los think tanks (31%), la educación (3%), las organizaciones intergubernamentales (3%), las compañías de tecnología (2%), la energía (1%) y los medios de comunicación (1%). Por su parte, hacia los consumidores se dirigen el 23% de estos ciberataques. En total, notificamos a nuestros clientes 20.500 intentos de vulneración de sus sistemas en los últimos tres años.
Por otro lado, en un momento de transición hacia modelos híbridos —y a medida que las amenazas en la nube crecen— es preciso tomar medidas para fortalecer la primera línea de defensa. Aunque desde Microsoft ofrecemos gratuitamente la autenticación multifactor (MFA) a nuestros clientes, y estos pueden activarla de forma remota para sus usuarios, menos del 20% se blinda con funciones de autenticación sólidas.
De hecho, si las organizaciones solo aplicaran MFA (que requiere que el usuario se identifique a través de una segunda fuente, como un SMS o un dato biométrico, para evitar las conexiones fraudulentas), usaran antimalware y actualizaran sus sistemas, estarían protegidas de más del 99% de los ataques que se dan hoy en día. La buena noticia es que, en los 18 meses previos a la publicación del estudio, registramos un aumento del 220% en el uso de autenticación robusta, pero queda un largo camino por recorrer.
¿Cómo ha cambiado Microsoft a nivel organizativo para responder a este escenario?
En Microsoft, más de 8500 especialistas de seguridad tienen como objetivo proteger las plataformas, herramientas, servicios y dispositivos de nuestros clientes. Nos organizamos en diversos equipos, especializados en diferentes ámbitos de la seguridad, para frustrar ciberataques avanzados de forma óptima. Entre ellos destacan:
- Digital Crimes Unit (DCU) y Microsoft Threat Intelligence Center (MSTIC). Son las unidades de ciberinteligencia y modelado de amenazas desde un punto de vista jurídico-estratégico y tecnológico respectivamente, responsables del seguimiento de ataques avanzados.
- Detection and Response Team (DART). Es el equipo responsable de la respuesta ante incidentes para minimizar sus consecuencias y remediar sus efectos.
- Microsoft Cyber Defense Operation Center (CDOC). Es el centro de operaciones desde el que monitorizamos toda la actividad mundial 24×7, suponiendo en estos momentos un volumen que alcanza más de 24 billones de señales diarias. Esto nos confiere una posición privilegiada para ofrecer una protección proactiva que no puede ser igualada por otros proveedores cloud.
Además, un destacado valor diferencial de nuestra propuesta de ciberseguridad es la combinación de uno de los mayores repositorios de inteligencia de seguridad del mundo, Microsoft Intelligence Security Graph (que recoge los datos de telemetría de los servicios de Microsoft), con la inteligencia artificial y la experiencia humana de los expertos de la DCU, MSTIC, DART y el CDOC para adaptar los modelos predictivos de machine learning a los cambios en el entorno de amenazas.
Ante este mundo abierto defendéis un enfoque de ecosistema
Nuestra plataforma XDR, que ofrece detección y respuesta avanzada a través de todas nuestras herramientas, está abierta a la integración con soluciones de terceros fruto de nuestra colaboración con más de 200 socios a través de la Microsoft Intelligent Security Association (MISA).
Nuestra plataforma XDR está abierta a la integración con soluciones de terceros fruto de nuestra colaboración con más de 200 socios
Las organizaciones participantes pueden aprovechar nuestros productos de seguridad para reforzar los suyos, ampliando las capacidades de sus soluciones y compartiendo también información sobre las amenazas en beneficio de todos los socios. Además, facilitamos acceso a los equipos de producto para acelerar la integración y diferenciar mejor cada solución. Por otro lado, ofrecemos a los participantes una amplia gama de oportunidades de comarketing y el acceso a un ecosistema en el que los clientes pueden encontrar, probar y comprar las soluciones de seguridad más adecuadas para sus entornos digitales.
Más allá del ámbito de la seguridad, en Microsoft siempre hemos sido una compañía de partners. Por ejemplo, en España contamos con un ecosistema compuesto por más de 10400. Nos apoyamos en ellos para ayudar a todos los clientes a abordar sus planes de digitalización y avanzar en su aprovechamiento. Esta capilaridad nos permite llegar a empresas de todos los tamaños, con la experiencia, especialización y conocimiento de cada uno de los sectores de actividad, para acompañar a los clientes en su camino ofreciendo las mejores soluciones e implantaciones para cubrir sus necesidades.
¿Por qué la estrategia zero trust es el modelo más adecuado?
Como he explicado antes, el actual escenario digital cambia el modelo en cuanto a la gestión de identidades basada en usuario, contraseña y el acceso al perímetro. Esto ya no es suficiente, especialmente cuando se trata de proteger sistemas, plataformas, aplicaciones y dispositivos de terceros. Además, a esto se suma que prácticas como el robo de credenciales, son cada vez más habituales. De hecho, cada segundo se producen 921 ataques de contraseña a nivel mundial.

Nuestra estrategia zero trust se basa en la identidad. De un modo resumido, se proporciona a los usuarios los mínimos privilegios de acceso, se verifica el cumplimiento de las condiciones de acceso de forma explícita y de manera continua, y la organización actúa con la máxima cautela, preparada para defenderse ante un ataque en cualquier momento. Todo esto de forma adaptativa, dinámica y basada en riesgos y en el contexto de los usuarios, su comportamiento y sus dispositivos.
Así, junto a mecanismos de autenticación robustos, como comentaba antes con MFA, logramos un nivel de defensa que nos permite poner a disposición de las organizaciones todo lo necesario para maximizar su protección.
¿Qué rol juega Microsoft Entra en esta gestión de identidad?
Microsoft Entra llega para brindar a las organizaciones un marco de identidad amplio y sencillo, que proporcione un acceso seguro a todos los activos y plataformas de la compañía y su entorno. Nuestra filosofía es que la identidad debe ser una puerta de entrada a un mundo de posibilidades, no un obstáculo que limite el acceso y complique el día a día frenando la innovación.
En la familia de productos de Entra englobamos todas las capacidades de identidad y acceso de Microsoft, incluyendo Azure AD, así como dos nuevas categorías de productos: Cloud Infrastructure Entitlement Management (CIEM) y Decentralized Identity. El objetivo de este conjunto de soluciones es proporcionar un acceso seguro a todo y para todos, y ofrecer gestión de identidades y acceso, gestión de derechos de infraestructura en la nube y verificación de identidad.
Microsoft Entra proporciona un acceso seguro a todos los activos y plataformas de la compañía y su entorno
En este sentido, Microsoft Entra protege el acceso a cualquier aplicación o recurso por parte de cada usuario de la organización, garantiza y verifica cada identidad en entornos híbridos y multicloud, identifica y gestiona los permisos en entornos multicloud y simplifica la experiencia del usuario a través de decisiones de acceso inteligentes en tiempo real.
¿Qué aporta la inteligencia artificial o la automatización en este escenario?
La IA reduce la fatiga de alertas de los profesionales de ciberseguridad y les permite centrarse en tareas que aporten el máximo valor. Minimiza las labores administrativas y repetitivas, ayudándoles a procesar grandes cantidades de alarmas, detectar anomalías y responder a ellas en el menor tiempo posible a través de una automatización que eficiencia los SOC. De este modo, seguimos nuestra estrategia de seguridad proactiva que nos permite continuar la acelerada evolución cualitativa y cuantitativa de las ciberamenazas y contar con sistemas de alerta temprana mucho más efectivos.
En definitiva, el valor diferencial que aporta la IA es la escala a la que podemos operar y la eficacia con la que lo hacemos. Esta colaboración hombre-máquina, por ejemplo, en 2021 nos permitió analizar 24 billones de señales diarias, bloqueando 24 billones de amenazas de correo y 31 billones de identidad. Frenamos más de 25.600 millones de ataques de autenticación por fuerza bruta de Azure AD, interceptamos 35.700 millones de correos electrónicos de phishing con Microsoft Defender para Office 365, y mantenemos la supervisión de más de 40 grupos de estados-nación y más de 140 grupos de amenazas. Estos son algunos de los hitos de nuestra actividad en el ámbito de la ciberseguridad.
¿Podrías compartir algunos ejemplos de actividades bloqueadas?
Los ejemplos son muy numerosos. Entre nuestras últimas operaciones destacaría el descubrimiento por parte del Microsoft Threat Intelligence Center (MSTIC) de una campaña malintencionada de correo electrónico a gran escala operada por Nobelium, ciberdelincuentes vinculados a Rusia, responsables también del ataque de SolarWinds. Rusia estaba tratando de obtener acceso sistemático a largo plazo a diferentes puntos en la cadena de suministro de tecnología y establecer un mecanismo para vigilar objetivos de interés para el gobierno. Todo ello, hace casi un año.
Entre las últimas operaciones destacaría el descubrimiento de una campaña de email a gran escala operada por Nobelium
En la segunda mitad de 2021, logramos mitigar ataques de denegación de servicio a gran escala, como el que sufrió nuestra propia nube, Microsoft Azure, alcanzando 2,4 Tbps a través de peticiones de 70.000 atacantes simultáneos.
También merece la pena destacar la desarticulación de grupos cibercriminales como el chino Nickel, responsable de ataques en 29 países dirigidos a gobiernos, entidades diplomáticas y organizaciones no gubernamentales (ONG), entre otros; o ZLoader, una red cibercriminal especializada en el robo y extorsión mediante ransomware en todo el mundo, entre cuyas víctimas se encuentran empresas, hospitales, colegios y usuarios particulares.
Por último, referente a la actual situación que sufre Ucrania, trabajamos desde el principio del conflicto para la detección y mitigación de ataques contra el país y otros actores relacionados con la contienda, que no solo se desarrolla en el mundo físico. De hecho, acabamos de presentar un completo informe de inteligencia, titulado Defending Ukraine: Early Lessons from the Cyber War. En él presentamos la investigación realizada por los equipos de inteligencia de amenazas y ciencia de datos de Microsoft para avanzar en la comprensión del panorama de amenazas en el conflicto.
El informe también ofrece una serie de aprendizajes y conclusiones fruto del análisis de datos, revelando nueva información sobre la actividad rusa, incluido un aumento en la intrusión en las redes y las actividades de espionaje entre gobiernos aliados, organizaciones sin ánimo de lucro y otras entidades fuera de Ucrania.
Por último, ¿Cómo estáis apoyando la generación de talento en este ámbito?
Según datos del Instituto Nacional de Ciberseguridad (INCIBE), entidad referente para el fortalecimiento de la ciberseguridad y el impulso del talento en torno a este sector, y ONTSI, a través de un informe elaborado para ObservaCiber, la brecha de talento en el área de ciberseguridad en España es superior a los 26.000 profesionales. Por su parte, LinkedIn ha detectado que la demanda de habilidades de ciberseguridad en Europa ha crecido un 22% en el último año.
Recientemente hemos anunciado el lanzamiento de un nuevo programa de formación en España
Recientemente hemos anunciado el lanzamiento de un nuevo programa de formación en España, vinculado a las inversiones de Microsoft relacionadas con la próxima apertura de la Región Cloud en nuestro país, cuyo objetivo es proporcionar formación y certificación gratuita en ciberseguridad a más de 10.000 personas. Esta iniciativa forma parte de una campaña global de capacitación que llevamos a cabo en más de veinte países que presentan un elevado riesgo de ciberamenazas, junto con una importante brecha de profesionales de ciberseguridad en sus plantillas.
Nuestra iniciativa, que cuenta con el apoyo de la Fundación Estatal para la Formación en el Empleo (Fundae), se centrará en la formación de desempleados y el reciclaje de profesionales técnicos con el objetivo de ayudarles a obtener las certificaciones de seguridad de Microsoft (SC-900 y SC-200) para mejorar su empleabilidad. El programa de capacitación incluirá también formación adicional para personas en situación de vulnerabilidad, que se impartirá gracias a la colaboración de tres organizaciones sin ánimo de lucro: Fundación Esplai, Fundación ONCE y Fundación GoodJob.