Nueva herramienta de entrenamiento para hacer frente a los ‘hackers’

Los ejercicios de ciberseguridad sirven como entrenamiento para afrontar ciberataques cada vez más complejos y agresivos. Pero suelen requerir una gran infraestructura informática que muchas veces no existe en el aula. Esta herramienta reduce el peso de los programas y el tiempo de preparación del ejercicio sin afectar a la calidad del entrenamiento de los alumnos.

Los futuros expertos en ciberseguridad se entrenan en escenarios virtuales que simulan el campo de batalla que se encontrarán en la realidad, donde hackers cada vez más capaces y con mejores estrategias tratarán de vulnerar sistemas, bases de datos, o páginas webs, algunos de ellos pertenecen a servicios públicos o contienen datos de carácter privado. 

Para entrenar en el aula son necesarias herramientas que puedan simular esta complejidad utilizando el mínimo espacio posible pero con la suficiente capacidad como para generar escenarios muy complejos, como la que que han desarrollado Manuel Sánchez-Rubio y Germán López-Civera, investigadores de la Universidad Internacional de la Rioja (UNIR), junto a José Javier Martínez de la Universidad de Alcalá.

“Se trata de simular un entorno normal de trabajo, en el que una persona está utilizando el correo electrónico, programas de ofimática y servicios web en su ordenador”, explica Sánchez-Rubio, director del máster de seguridad Informática de UNIR e investigador principal del Grupo de Investigación Cibersecuritics. 

En ese entorno, un equipo cualquiera, se instalaría esta herramienta que funciona dentro de la llamada plataforma de virtualización VNX. Tras las pruebas, los investigadores han comprobado que se pueden lograr ejercicios de una gran complejidad sin requerir una enorme cantidad de espacio. 

Formación en 'hacking' ético

Según Manuel Sánchez-Rubio, “el principal objetivo, es formar al alumno en tareas de hacking ético, aprender a introducirse en sistemas ajenos a través de las distintas vulnerabilidades que ofrece el software instalado. Pero en el fondo, lo que está aprendiendo el alumno, no es a atacar sistemas, sino adquirir conocimientos para lo que realmente importa: defenderse de los ataques. Para poder defenderse, hay que saber atacar”.  Además, han comprobado el nivel de aprendizaje con competiciones informáticas tipo “caza la bandera”. 

“Es indiscutible el aprendizaje del alumno. Es la mejor forma de prepararle para los peligros que se va a encontrar en el mundo real. Desgraciadamente, un entrenamiento nunca puede ser completo porque los cambios en este mundo son constantes”, afirma Manuel Sánchez Rubio, quien recientemente ha ganado la Medalla al Mérito Policial por sus aportaciones en ciberseguridad.   

El trabajo de investigación que ha dado origen a la herramienta de entrenamiento fue presentada en el Congreso UNESCO-UNIR ICT & Education Latam Congress, organizado por el actual Vicerrectorado de Transferencia y Tecnología de UNIR, el Instituto de TIC para la Educación de la Unesco con base en Moscú, Rusia (IITE), y  la Cátedra UNESCO en eLearning. El artículo de investigación se ha publicado en un número especial de la revista JCR IEEE Latam. 

Referencia bibliográfica: 

Rubio, M. S., Civera, G. L., & Herraiz, J. J. M. (2016). "Automatic Generation Of Virtual Machines For Security Training. IEEE Latin America Transactions". JCR IEEE Latam. 14 (6), 2795-2800.