Se acerca el fin de año y ha llegado la hora de echar un vistazo atrás y ver qué nos hemos dejado en el camino. Seré breve, se lo prometo. Creo. Bueno, a lo mejor. La verdad es que lo dudo. No, no seré breve; es imposible que yo sea breve.
Me gustaría comenzar con un viejo amigo. Y es que el año 2015 ha sido la confirmación de que, a pesar de tener una dura competencia, Flash está firmemente decidido a no ceder su puesto en lo alto del podio como el producto (probablemente) más inseguro de los últimos años; es raro el mes que no sale una actualización que soluciona N+1 problemas de seguridad, condimentada de vez en cuando con un alegre 0-day que hace las delicias de (casi) todo el mundo. El ataque a Hacking Team en julio no ayudó, y algunas voces autorizadas comenzaron a pedir que los chicos de Adobe sacrificasen a la bestia para conseguir al fin algo de paz. Como ya saben, la bestia continúa suelta, así que tengan cuidado.
Dejando atrás a Flash, las APT han continuado consolidándose como amenazas en tendencia ascendente, y todo apunta a que lo seguirán haciendo durante mucho tiempo; el grado de sofisticación y complejidad no parece que vaya a ir a menos, desde luego. En esta línea, Antonio Sanz nos deleitó con una serie (Zen y el arte de pescar APTs: I, II, III y IV).
Otro de los campos que no deja de crecer y que también seguirá haciéndolo es el de la ciberseguridad industrial, en el que ya no sólo hablamos de plantas industriales que a muchos de nosotros nos quedan lejos (a pesar de que esas infraestructuras son las que llevan la electricidad hasta nuestros electrodomésticos y el agua potable a los grifos, por empezar con algo básico) sino también de componentes que forman parte de nuestros automóviles, como nos explicó Servilio en su serie: ¿Automóviles vulnerables a ciberataques? (I y II). Genial, ¿verdad? Porque una cosa es un cryptolocker y otra que la electrónica del coche deje de funcionar a 120 km/h por la autovía.
También el ISIS, Daesh o como quieran llamarlo ha cobrado este año un triste protagonismo en el “mundo real”, aunque sus tentáculos también se extienden hasta el digital, como Maite nos contó a lo largo de este año en sus entradas (Cyber) Guerra Fría I: Ataque a TV5Monde y Cyber Caliphate. Cyber Jihad. Esperamos sinceramente no tener que volver a hablar de ellos al acabar 2016. Ni en 2017, 2018, 2019…
En esa área oscura llamada “legal”, “compliance”, “normativa” y otros calificativos igualmente desagradables y que suele despertar alergia entre algunos de nuestros lectores (y autores), hemos tenido la actualización del ENS. Además, después de muchos años el Tribunal de Justicia de la Unión Europea acabó al fin con la vergüenza, la risión, la tomadura de pelo, el (perdónenme) desc*j*ne (al otro lado del charco, claro) que era el acuerdo de Puerto Seguro. Claro que eso trajo alguna polémica de la mano de un comunicado de la AEPD y El Confidencial, que el primero tuvo que aclarar posteriormente. Para que luego digan que los no técnicos no nos divertimos.
Más cosas. Como otros años, hemos vuelto a Navaja Negra & ConectaCON, que en poco tiempo se ha hecho con un lugar preferente entre las conferencias anuales de seguridad. También, claro, estuvimos en la RootedCON 2015 y su “satélite” valenciano RootedCON Valencia Labs. Y no nos podemos olvidar del CyberCamp, en cuyo Hackaton tres compañeros nuestros ganaron el segundo premio con la herramienta MalhiveIO. Aunque ya no como Security Art Work sino como S2 Grupo, algunos de nuestros compañeros estuvieron presentes en las IX Jornadas STIC CCN-CERT, en representación de S2 Grupo y el CSIRT-CV. Y aunque no asistiésemos, tampoco nos podemos olvidar de la recién nacida Sh3llCON, que sin duda se consolidará en pocos años en el panorama patrio de las conferencias de ciberseguridad.
En el plano más lúdico, Maite publicó una actualización de las novelas para adictos a la ciberseguridad, y tienen mi palabra de que próximamente tendremos la actualización de las películas. Este 2015 también nos trajo la fantástica serie Mr. Robot, además de Halt and Catch Fire. Lo confieso, tengo ambas encoladas, pero el tiempo es el que es.
Vale, sí, la nueva de Star Wars también. Que sí. Ya, ya lo sé. Que sí. Que te calles. Sigo.
Seguramente a estas alturas muchos de ustedes estén pensando: “Oh, Dios, ¿de dónde ha salido este individuo? ¿Cómo se ha podido olvidar de X?”, donde X hace referencia a todas esas vulnerabilidades 0-day que hemos ido sufriendo unos y disfrutando otros a lo largo de 2015, las tensiones geopolíticas que se trasladaron al entorno cibernético, nuevas tendencias y herramientas, estudios e informes de las compañías de seguridad, nuevos actores, etc. Pero como el tiempo, el espacio es el que es.
No puedo cerrar el post sin la parte de agradecimientos. En primer lugar, lo que es de recibo: gracias a ustedes por seguir leyéndonos, por seguir comentando, por seguir estando ahí. Les garantizo que son uno de los motores del blog.
En segundo lugar, a nuestros colaboradores de 2015: Alex Casanova (@hflistener), Toni Grimaltos, David Marugán (@radiohacking), Germán Sánchez (@enelpc) y Francisco Benet. Les invito a seguir colaborando y extiendo la invitación a cualquier persona que esté leyendo esto.
También merecen un agradecimiento todos los compañeros de S2 Grupo que, a pesar de la carga de trabajo y de la locura que ha sido 2015, sacan tiempo de debajo de las piedras para compartir su conocimiento con todos nosotros. Además, toleran con estoicismo mis manías lingüísticas; vamos camino del noveno año y de momento no tengo que temer por mi vida. Especialmente (aunque no únicamente), gracias al personal de Seguridad y al de Consultoría. Muchas gracias a todos.
Para las personas que llevan la cuenta de twitter de SAW y nuestra página de Facebook no tengo agradecimientos suficientes por la fantástica tarea que están haciendo. Tampoco los tengo para agradecer a Ilde que se haya cargado a la espalda la tarea de mantener el wordpress actualizado y a punto, que ya iba haciendo falta.
Y con esto, sólo me queda dar las gracias de corazón a las co-editoras Eva y Patricia, y a mí mismo como editor, por el gran trabajo que hemos realizado durante 2015. A la vista está.
Bueno, pues esto se acaba. Vayan pensando en los propósitos que no han cumplido y en los que se van a hacer y (ustedes y yo lo sabemos) este año tampoco cumplirán. No se mortifiquen mucho, lo importante al fin y al cabo es participar.
Nos despedimos, al fin, con una tontería típica de cuñao: Nos vemos el año que viene.