Cybercrime is out of control. It's everywhere. We hear about it every single day. This year, over two billion records lost or stolen. And last year, 100 million of us, mostly Americans, lost our health insurance data to thieves -- myself included. What's particularly concerning about this is that in most cases, it was months before anyone even reported that these records were stolen.
La ciberdelincuencia está fuera de control. Está en todas partes. Oímos hablar de eso a diario. Este año, más de 2000 millones de registros se perdieron o fueron robados. Y el año pasado 100 millones, en su mayoría estadounidenses, perdimos, yo incluido, nuestros datos del seguro de salud en manos de ladrones. Lo que es particularmente preocupante de esto es que, en la mayoría de los casos, pasaron meses antes de que alguien informara de estos registros robados.
So if you watch the evening news, you would think that most of this is espionage or nation-state activity. And, well, some of it is. Espionage, you see, is an accepted international practice. But in this case, it is only a small portion of the problem that we're dealing with. How often do we hear about a breach followed by, "... it was the result of a sophisticated nation-state attack?" Well, often that is companies not being willing to own up to their own lackluster security practices. There is also a widely held belief that by blaming an attack on a nation-state, you are putting regulators at bay -- at least for a period of time.
Si ven las noticias de la noche, podrían pensar que la mayor parte es espionaje de Estado. Y, así es, en parte. El espionaje es una práctica internacional aceptada. Pero en este caso, es solo una pequeña parte del problema que estamos tratando. ¿Con qué frecuencia oímos hablar de una vulneración seguido de "...fue debido a un ataque sofisticado al Estado?" Pues bien, a menudo, son las empresas las que no están dispuestas a tener sus propias prácticas de seguridad. También hay una creencia muy extendida de culpar a un ataque a un Estado-nación, Uds. lo controlan al menos durante un período de tiempo.
So where is all of this coming from? The United Nations estimates that 80 percent of it is from highly organized and ultrasophisticated criminal gangs. To date, this represents one of the largest illegal economies in the world, topping out at, now get this, 445 billion dollars. Let me put that in perspective for all of you: 445 billion dollars is larger than the GDP of 160 nations, including Ireland, Finland, Denmark and Portugal, to name a few.
Entonces, ¿de dónde viene todo esto? Naciones Unidas estima que el 80 % de ellos vienen de bandas criminales altamente organizadas y ultrasofisticadas. Hasta la fecha, esto supone una de las mayores economías ilegales en el mundo, superando, ahora, los USD 445 000 millones. Permítanme poner esto en perspectiva para todos: USD 445 000 millones es más que el PIB de 160 naciones, incluyendo Irlanda, Finlandia, Dinamarca y Portugal, por mencionar algunas.
So how does this work? How do these criminals operate? Well, let me tell you a little story. About a year ago, our security researchers were tracking a somewhat ordinary but sophisticated banking Trojan called the Dyre Wolf. The Dyre Wolf would get on your computer via you clicking on a link in a phishing email that you probably shouldn't have. It would then sit and wait. It would wait until you logged into your bank account. And when you did, the bad guys would reach in, steal your credentials, and then use that to steal your money. This sounds terrible, but the reality is, in the security industry, this form of attack is somewhat commonplace. However, the Dyre Wolf had two distinctly different personalities -- one for these small transactions, but it took on an entirely different persona if you were in the business of moving large-scale wire transfers.
¿Cómo funciona esto? ¿Cómo funcionan estos criminales? Bueno, les contaré una pequeña historia. Hace un año, nuestros investigadores de seguridad rastreaban un troyano bancario poco común, pero sofisticado llamado la Dyre Lobo. El Dyre Lobo se instalaba en la computadora haciendo clic en un enlace en un correo electrónico de phishing que probablemente no deberíamos recibir. Este esperaba. Esperaba hasta que uno entraba en su cuenta bancaria. Y al hacerlo, aparecían los malos, robaban sus credenciales, para robar su dinero. Esto suena terrible, pero la realidad es que, en el sector de la seguridad, esta forma de ataque es algo común. Sin embargo, el Dyre Lobo tenía dos personalidades muy diferentes: una para estas pequeñas transacciones, pero adoptaba otro personaje completamente diferente si estaba en el negocio de transferencias electrónicas a gran escala.
Here's what would happen. You start the process of issuing a wire transfer, and up in your browser would pop a screen from your bank, indicating that there's a problem with your account, and that you need to call the bank immediately, along with the number to the bank's fraud department. So you pick up the phone and you call. And after going through the normal voice prompts, you're met with an English-speaking operator. "Hello, Altoro Mutual Bank. How can I help you?" And you go through the process like you do every time you call your bank, of giving them your name and your account number, going through the security checks to verify you are who you said you are. Most of us may not know this, but in many large-scale wire transfers, it requires two people to sign off on the wire transfer, so the operator then asks you to get the second person on the line, and goes through the same set of verifications and checks.
Esto es lo que pasaba. Se iniciaba el proceso de emisión de transferencia bancaria, y en el navegador se abría una pantalla del banco, lo que indicaba que había un problema con su cuenta, y que tenía que llamar al banco de inmediato, junto con el número del departamento de fraude del banco. Así que tomé el teléfono y llamé. Y después de pasar por las instrucciones de voz normales, que da un operador en inglés. "Hola, Altoro Mutual Bank. ¿Cómo puedo ayudarle?" Y uno pasa por ese proceso, cada vez que se llama a su banco, de dar el nombre y el número de cuenta, pasando por controles para verificar la identidad de quien llama. La mayoría no puede saber esto, pero en muchas transferencias electrónicas a gran escala, se requieren dos personas para firmar la transferencia bancaria, por lo que el operador le pregunta para obtener la segunda persona en la línea, y pasa por la misma serie de verificaciones y controles.
Sounds normal, right? Only one problem: you're not talking to the bank. You're talking to the criminals. They had built an English-speaking help desk, fake overlays to the banking website. And this was so flawlessly executed that they were moving between a half a million and a million and a half dollars per attempt into their criminal coffers.
Parece normal ¿verdad? Solo hay un problema: Ud. no está hablando con el banco. Está hablando con los criminales. Habían construido un servicio de asistencia en inglés, superposiciones falsas en la página web de la banca. Y estaba tan impecablemente ejecutado que movían entre medio millón de dólares y un millón y medio por intento en sus arcas criminales.
These criminal organizations operate like highly regimented, legitimate businesses. Their employees work Monday through Friday. They take the weekends off. How do we know this? We know this because our security researchers see repeated spikes of malware on a Friday afternoon. The bad guys, after a long weekend with the wife and kids, come back in to see how well things went.
Estas organizaciones criminales operan como empresas altamente legítimas. Sus empleados trabajan de lunes a viernes. Están libres los fines de semana. ¿Cómo sabemos esto? Lo sabemos porque nuestros investigadores de seguridad vieron repetidos picos de malware un viernes por la tarde. Los malos, tras un largo fin de semana con esposas e hijos, volvían a ver lo bien que iban las cosas.
The Dark Web is where they spend their time. That is a term used to describe the anonymous underbelly of the internet, where thieves can operate with anonymity and without detection. Here they peddle their attack software and share information on new attack techniques. You can buy everything there, from a base-level attack to a much more advanced version. In fact, in many cases, you even see gold, silver and bronze levels of service. You can check references. You can even buy attacks that come with a money-back guarantee --
Pasan su tiempo en la web oscura. Es un término usado para describir la parte más vulnerable en el anonimato de Internet, donde los ladrones pueden operar con el anonimato sin ser detectados. Aquí venden su software de ataque y comparten información sobre nuevas técnicas de ataque. Uds. pueden comprar todo, desde un ataque básico, hasta una versión mucho más avanzada. De hecho, en muchos casos, incluso se ve oro, plata y bronce en los niveles de servicio. Se pueden verificar las referencias, incluso comprar los ataques que vienen con garantía de devolución
(Laughter)
(Risas)
if you're not successful. Now, these environments, these marketplaces -- they look like an Amazon or an eBay. You see products, prices, ratings and reviews. Of course, if you're going to buy an attack, you're going to buy from a reputable criminal with good ratings, right?
si no se tiene éxito. Estos entornos, estos mercados, se parecen a Amazon o eBay. Uno ve productos, precios, valoraciones y comentarios. Por supuesto, si uno va a comprar un ataque, querrá comprar a un criminal de renombre con buenas calificaciones, ¿verdad?
(Laughter)
(Risas)
This isn't any different than checking on Yelp or TripAdvisor before going to a new restaurant. So, here is an example. This is an actual screenshot of a vendor selling malware. Notice they're a vendor level four, they have a trust level of six. They've had 400 positive reviews in the last year, and only two negative reviews in the last month. We even see things like licensing terms. Here's an example of a site you can go to if you want to change your identity. They will sell you a fake ID, fake passports. But note the legally binding terms for purchasing your fake ID. Give me a break. What are they going to do -- sue you if you violate them?
Esto no difiere de ver en Yelp o TripAdvisor antes de ir a un restaurante nuevo. Aquí hay un ejemplo. Es una captura de pantalla real de un proveedor de malware. Tengan en cuenta que son un proveedor de nivel cuatro, y hay un nivel de confianza de seis. Tienen 400 comentarios positivos en el último año, y solo dos críticas negativas en el último mes. Incluso vemos cosas como condiciones de la licencia. Aquí un ejemplo de un sitio al que pueden ir si quieren cambiar su identidad. Ellos les venden una identificación falsa, pasaportes falsos. Pero observen los términos jurídicamente vinculantes por la compra de su documento de identidad falso. Pero en fin... ¿Qué van a hacer? ¿Demandarán si las infringen?
(Laughter)
(Risas)
This occurred a couple of months ago. One of our security researchers was looking at a new Android malware application that we had discovered. It was called Bilal Bot. In a blog post, she positioned Bilal Bot as a new, inexpensive and beta alternative to the much more advanced GM Bot that was commonplace in the criminal underground.
Esto ocurrió hace un par de meses. Uno de nuestros investigadores de seguridad buscaba una nueva aplicación Android malware que habíamos descubierto. Se llamaba Bilal Bot. En un blog, se posiciona Bilal Bot como una nueva alternativa, de bajo costo y beta a la mucho más avanzada de GM Bot, un sitio común en el submundo del crimen.
This review did not sit well with the authors of Bilal Bot. So they wrote her this very email, pleading their case and making the argument that they felt she had evaluated an older version. They asked her to please update her blog with more accurate information and even offered to do an interview to describe to her in detail how their attack software was now far better than the competition.
Esta reseña no les sentó bien a los autores de Bilal Bot. Y ellos le escribieron a este mismo correo electrónico, aclarando su caso y argumentando que creían que ella había evaluado una versión anterior. Le pidieron que, por favor, actualice su blog con información más precisa y se ofrecieron a dar una entrevista para describirle a ella con detalle cómo su software de ataque era ahora mucho mejor que el de la competencia.
So look, you don't have to like what they do, but you do have to respect the entrepreneurial nature of their endeavors.
Así que miren, a Uds. no tiene por qué gustarles lo que hacen, pero tienen que respetar la naturaleza emprendedora de sus esfuerzos.
(Laughter)
(Risas)
So how are we going to stop this? It's not like we're going to be able to identify who's responsible -- remember, they operate with anonymity and outside the reach of the law. We're certainly not going to be able to prosecute the offenders. I would propose that we need a completely new approach. And that approach needs to be centered on the idea that we need to change the economics for the bad guys.
Entonces, ¿cómo vamos a parar esto? No se trata de cómo identificar quién es el responsable, recuerden, ellos operan en el anonimato y fuera del alcance de la ley. Desde luego que no podremos procesar a los delincuentes. Yo propondría que necesitamos un enfoque completamente nuevo. Y que el enfoque tiene que estar centrado en la idea de que hay que cambiar la economía de los malos.
And to give you a perspective on how this can work, let's think of the response we see to a healthcare pandemic: SARS, Ebola, bird flu, Zika. What is the top priority? It's knowing who is infected and how the disease is spreading. Now, governments, private institutions, hospitals, physicians -- everyone responds openly and quickly. This is a collective and altruistic effort to stop the spread in its tracks and to inform anyone not infected how to protect or inoculate themselves.
Y para darle una perspectiva sobre cómo puede funcionar esto, pensemos en la respuesta que vemos a una pandemia de cuidado de la salud: SARS, el ébola, la gripe aviar, el zika. ¿Cuál es la prioridad? Es saber quién está infectado y cómo se propaga la enfermedad. Los gobiernos, las instituciones privadas, hospitales, médicos, todo el mundo responde de manera abierta y rápidamente. Este es un esfuerzo colectivo y altruista para detener la propagación e informar a cualquier persona no infectada cómo protegerse o vacunarse.
Unfortunately, this is not at all what we see in response to a cyber attack. Organizations are far more likely to keep information on that attack to themselves. Why? Because they're worried about competitive advantage, litigation or regulation. We need to effectively democratize threat intelligence data. We need to get all of these organizations to open up and share what is in their private arsenal of information. The bad guys are moving fast; we've got to move faster. And the best way to do that is to open up and share data on what's happening.
Por desgracia, esto no es en absoluto lo que se ve en respuesta a un ataque cibernético. Las organizaciones son mucho más propensas a mantener la información de ese ataque para sí. ¿Por qué? Porque están preocupados por la ventaja competitiva, el litigio o la regulación. Tenemos que democratizar efectivamente los datos de análisis de riesgos. Hay que conseguir que todas estas organizaciones se abran y compartan lo que está en su arsenal de información privado. Los malos se mueven rápidamente; tenemos que avanzar más rápido. Y la mejor manera de hacerlo es abrir y compartir datos sobre lo que está sucediendo.
Let's think about this in the construct of security professionals. Remember, they're programmed right into their DNA to keep secrets. We've got to turn that thinking on its head. We've got to get governments, private institutions and security companies willing to share information at speed. And here's why: because if you share the information, it's equivalent to inoculation. And if you're not sharing, you're actually part of the problem, because you're increasing the odds that other people could be impacted by the same attack techniques.
Pensemos esto en la construcción de profesionales de seguridad. Recuerden, ellos están programados hasta en su ADN para mantener secretos. Tenemos que convertir ese pensamiento en su cabeza. Tenemos que conseguir que los gobiernos, las instituciones privadas y las empresas de seguridad estén dispuestas a compartir información de manera rápida. Y he aquí por qué: porque compartir la información, es el equivalente a la inoculación. Y si no comparte, uno es en realidad parte del problema, porque aumenta la probabilidad de que otras personas se vean afectadas por las mismas técnicas de ataque.
But there's an even bigger benefit. By destroying criminals' devices closer to real time, we break their plans. We inform the people they aim to hurt far sooner than they had ever anticipated. We ruin their reputations, we crush their ratings and reviews. We make cybercrime not pay. We change the economics for the bad guys. But to do this, a first mover was required -- someone to change the thinking in the security industry overall.
Pero hay un beneficio aún mayor. Al destruir los dispositivos de los delincuentes casi en tiempo real, rompemos sus planes. Informamos a las personas que tienen como objetivo hacer daño mucho antes de lo que podrían prever nunca. Arruinamos su reputación, aplastamos sus calificaciones y comentarios. Hacemos al ciberdelito no rentable. Cambiamos la economía de los malos. Pero, para ello se requiere un primer motor, que alguien cambie la forma de pensar en la industria de la seguridad global.
About a year ago, my colleagues and I had a radical idea. What if IBM were to take our data -- we had one of the largest threat intelligence databases in the world -- and open it up? It had information not just on what had happened in the past, but what was happening in near-real time. What if we were to publish it all openly on the internet? As you can imagine, this got quite a reaction. First came the lawyers: What are the legal implications of doing that? Then came the business: What are the business implications of doing that? And this was also met with a good dose of a lot of people just asking if we were completely crazy.
Hace un año, mis colegas y yo tuvimos una idea radical. ¿Y si IBM tomara nuestros datos, - tenemos una de las mayores amenazas a bases de datos de inteligencia del mundo - y los abriera? Había información no solo sobre lo que había sucedido en el pasado, sino lo que estaba ocurriendo en tiempo casi real. ¿Qué pasaría si tuviéramos que publicar todo abiertamente en Internet? Como se pueden imaginar, esto supone una gran reacción. Primero llegaron los abogados: ¿Cuáles son las consecuencias legales de hacer eso? Luego vinieron los empresarios: ¿Cuáles son las consecuencias para el negocio de hacer eso? Y esto también se topó con una buena dosis de mucha gente que preguntaba si estábamos completamente locos.
But there was one conversation that kept floating to the surface in every dialogue that we would have: the realization that if we didn't do this, then we were part of the problem. So we did something unheard of in the security industry. We started publishing. Over 700 terabytes of actionable threat intelligence data, including information on real-time attacks that can be used to stop cybercrime in its tracks. And to date, over 4,000 organizations are leveraging this data, including half of the Fortune 100. And our hope as a next step is to get all of those organizations to join us in the fight, and do the same thing and share their information on when and how they're being attacked as well.
Pero hubo una conversación que estuvo flotando en la superficie en cada diálogo que teníamos: la constatación de que si no hacemos esto, después serían parte del problema. Así que hicimos algo inédito en la industria de la seguridad. Empezamos a publicar más de 700 terabytes de datos de análisis de riesgos accesibles, incluyendo información sobre los ataques en tiempo real que se puede usar para detener el delito cibernético. Y hasta la fecha, más de 4000 organizaciones se están beneficiando de estos datos, incluyendo la mitad de las empresas Fortune 100. Y nuestra esperanza en un siguiente paso es conseguir que todas esas organizaciones se unan a nosotros en la lucha, y hagan lo mismo y compartan su información sobre cuándo y cómo están siendo atacados.
We all have the opportunity to stop it, and we already all know how. All we have to do is look to the response that we see in the world of health care, and how they respond to a pandemic. Simply put, we need to be open and collaborative.
Todos tenemos la oportunidad de detenerlo, y ya todos sabemos cómo. Todo lo que hay que hacer es observar la respuesta que vemos en el mundo de la salud, y cómo se responde a una pandemia. Simplemente tenemos que ser abiertos y colaborativos.
Thank you.
Gracias.
(Applause)
(Aplausos)