Hoy entrevistamos a Joan Massanet, CEO de la empresa mallorquina de Ciberseguridad W2Connect. Hablamos de como nos enfretamos a los retos de ciberseguridad, pero también de inteligencia artificial, ética y mucho más.
¿Considera que faltan profesionales de ciberseguridad? Según este artículo de El País, se calcula que en el año 2022 1,8 millones de puestos de trabajo relacionados con la ciberseguridad quedarán vacantes en todo el mundo, 350.000 de ellos en Europa«. ¿Qué conocimientos tecnológicos consideras imprescindibles para una persona que quiera trabajar en su sector? ¿Y para estar al día?
Sí, ahora mismo hay un déficit de profesionales dedicados a la ciberseguridad. Esto hace que muchas empresas no dispongan de planes de contingencia ante ataques de phishing, ransomware, etc., debilitando mucho el tejido empresarial de nuestras Islas (un 60% cierra tras un ciberataque). Nosotros creemos que, a parte de una base técnica en informática, es muy importante tener ganas de aprender. La ciberseguridad implica estar en constante crecimiento y aprendizaje.
Informarse es crucial, por eso recomiendo el canal de Telegram de la NocoNName; la revista ClickCiber (donde colaboro); revisar el CCN-CERT y el INCIBE; foros, vídeos, libros y, sobre todo, ¡práctica!
¿Cuáles son las mayores amenazas de la ciber-delincuencia? ¿Nos podrías dar ejemplos de cuáles son los peligros más comunes a los que deben hacer frente las empresas y cómo se pueden predecir o solucionar?
Las mayores amenazas son los ataques de Ransomware, ahora mismo. La peligrosidad radica en que no sólo son capaces de anular la capacidad operativa de la empresa sino que implican un desembolso económico importante si quieren volver a estar operativos (muchas desaparecen). Por eso es importante establecer planes de mitigación ante un ataque.
Ahora mismo el peligro más grande para una empresa son sus usuarios. Un 95% de los ataques exitosos vienen por el factor del error humano. La educación en ciberseguridad y el Zero–Trust (no confiar en nadie ni ningún dispositivo) son los mejores vectores de protección para las empresas. Debemos pensar que la seguridad 100% no existe.
A raíz de la COVID-19 ha habido en España un incremento notable de ciberataques dirigidos a las PYMES y particulares relacionados con el auge del teletrabajo, según el estudio Panorama actual de la ciberseguridad en España, elaborado por Google. ¿Son conscientes las PYMES de estos peligros? ¿Cómo se pueden convencer para que vean la ciberseguridad como una inversión, a pesar de sus limitaciones de recursos? ¿Qué pérdidas anuales y consecuencias pueden suponer los cibertataques?
Muchas no son conscientes, de hecho, si buscamos en un buscador llamado SHODAN, que se utiliza para ver cuáles son las posibles vulnerabilidades de los sistemas en Internet, veremos que, en el área de Baleares, hay muchas empresas que todavía tienen accesos a sus sistemas para RDP, considerado un protocolo inseguro y, además, con versiones de sistemas operativos obsoletas. La forma de convencerlas es mediante una acción pedagógica; hacerles entender que puede implicar su desaparición si no toman medidas. Se calcula que, por todo el mundo, los ataques de ransomware, pueden implicar unas pérdidas de unos 11.500.000.000 millones de euros.
También hay que decir que muchas empresas no estaban preparadas para el teletrabajo durante el confinamiento pero, ¿ha notado que ahora sí quieren prepararse para ello, a nivel de ciberseguridad?
Ha habido una demanda de protección perimetral y de equipos; lo que no estamos observando es un aumento de la parte de enseñanza de cómo hacer frente a un posible ataque. Hoy día, el perímetro de seguridad se establecerá por persona y dispositivo; no es suficiente poner un cortafuegos y un antivirus; es necesaria una acción educativa y de protección en todos los dispositivos y personas.
No sólo las empresas, sino también las personas podemos ser víctimas del cibercrimen, ya sea a través de redes sociales, los smartphones, dispositivos IoT u otros. Cada vez tenemos más datos online haciendo más valiosa la información para los ciberatques. ¿Algunos ejemplos?
Quizá, el ejemplo más dramático, es lo que ocurrió con Cambridge Analitycs. Se utilizaron perfiles de Facebook para manipular el referéndum del Brexit y la campaña para las elecciones americanas. Esta manipulación influyó de forma decisiva en los resultados de dos países con alta tradición democrática. Se debe tener mucho cuidado con lo que compartimos en las redes sociales. Recomiendo ver el documental de Netflix «El dilema de las redes sociales».
Esto puede ser especialmente preocupante en el caso de los menores. ¿Qué opciones recomendaría a los padres para minimizar estos riesgos?
Para empezar, no dejarles acceder a redes sociales hasta que no tengan 16 años. Sabemos que es algo difícil debido a la «discriminación« que pueden tener si no tienen un smartphone. También establecer controles parentales y horarios y, ya sé que lo he dicho varias veces, educar.
¿Què piensa del blockchain, consideras que contribuirá a unas transacciones más seguras?
Sí, la tecnología blockchain nos permite seguridad y privacidad pero con esto no quiero decir que sean 100% seguras. El uso y el conocimiento de lo que se usa hace que una herramienta pueda ser más o menos segura.
El principio básico en ciberseguridad no es el de demostrar la ausencia de amenazas, sino la anticipación, prever los posibles ataques. ¿Cómo se hace esto?
¡Buena pregunta! Es cierto que nunca podremos tener un sistema 100% seguro. La diferencia entre un atacante (pirata) y un defensor (responsable de seguridad) es que, mientras que un atacante sólo necesita una vulnerabilidad para entrar, el defensor debe prever todos los vectores de ataque posibles. La manera de hacerlo es con la planificación, revisando todos los procedimientos; la microsegmentación, que ayuda a contener los ataques; y el Zero–Trust, no confiar en nadie de la organización.
El eslabón de la cadena más débil en ciberseguridad son las personas a nivel particular a cada empresa. ¿Se trata de hacer pedagogía, formación, ayudar con la adaptación a las TICs de los empleados? ¿Cómo ayudáis a las empresas con esto? Les dais formación o les hacéis simulaciones de ataques dirigidos para ver los peligros?
Sí, se trata de educar. Para ello disponemos de herramientas muy interesantes tales como Attack Simulator, que realiza ataques automatizados de phishing. Cuando el trabajador cae en la trampa de la aplicación y pulsa sobre el enlace malicioso, la aplicación abre un vídeo explicativo que muestra cómo actuar y los peligros del phishing sin que el trabajador tenga que moverse de su lugar de trabajo. También realiza exámenes periódicos para ver la evolución. ¡Ah! y todo ello acompañado de informes de estado de la empresa.
¿Nos puedes explicar las herramientas que ofrecen y soluciones comerciales más destacadas? ¿Apuestan por el software libre?
Del tipo comercial tenemos: WatchGuard y Forcepoint como cortafuegos perimetrales. Forcepoint respecto al DLP (evita que datos sensibles salgan de la empresa) y el análisis del comportamiento humano; Bitdefender como EDR y antivírico (somos los únicos Business Ready de Baleares). Cymulate para pruebas de penetración automatizadas. Attack Simulator para educar en los peligros de los ataques por correos electrónicos. Para garantizar la fiabilidad de las comunicaciones WIFI ofrecemos las mejores marcas: Aerohive, Ruckus y WatchGuard.
En cuanto al software libre apostamos fuertemente por OPNSense, del cual somos distribuidores autorizados, y Linux. OPNSense es un cortafuegos de software libre que no tiene nada que envidiar a los grandes actores del mercado. Linux está en todos nuestros PCs, no usamos software propietario.
¿Y algunos de sus proyectos más destacados? ¿Qué perfil de clientes teneis, empresas grandes, pequeñas, particulares?
Ahora mismo estamos diseñando el acceso seguro para control de aguas en Valencia mediante VPNs. También colaboramos con AMADIP en la implementación de Bitdefender. Tenemos otros clientes a los que hacemos un seguimiento de sus incidencias para que estén tranquilos, siguiendo nuestro eslogan «Cuidamos de tu tranquilidad«. No tenemos cliente prototipo, ya que la ciberseguridad es cosa de cualquier tipo de empresa.
¿Cuáles son las actitudes deseables de un buen responsable de ciberseguridad en una empresa?¿La comunicación es esencial?
Las actitudes que creemos debe tener todo responsable de ciberseguridad son: una base técnica sólida, capacidad de aprender, capacidad de comunicación ante los responsables y trabajadores y, por encima de todo, escuchar a su equipo. Un buen responsable es aquel que sabe gestionar sus recursos de forma que todo el mundo se sienta cómodo y valorado en sus funciones. Por eso es necesaria la empatía ante las necesidades y problemas de su equipo.
¿Qué opina de los seguros sobre ciberseguridad? ¿En qué cobertura deben fijarse las empresas? ¿y los particulares?
De la misma forma que tienes que asegurar bienes físicos creemos necesario hacerlo con los lógicos (datos). Las coberturas que pediría, si fuera particular o empresa, es que al menos cubriera los gastos ocasionados por un ciberataque, de tal forma que no obligara al cierre de las empresas o autónomos.
También se pueden producir ataques desde dentro de la propia empresa, ¿hay relación entre el nivel de satisfacción de los empleados y esto? Puede la Inteligencia artificial (IA) analizar comportamientos de los empleados sospechosos?
Sí, ¡y tanto! Hace poco vi una noticia de un informático descontento que borró todo el contenido de los servidores de la empresa, en Amazon Services, dejando inutilizada la misma. El coste fue de 700.000 de euros. Todo esto por un despido no pactado.
En cuanto a la Inteligencia Artificial (IA), ¿piensas que la IA será utilizada para hacer ciberataques más productivos?
Sí. Así como hemos dicho que será una herramienta de ayuda, también se utilizará para fines maliciosos. Las IA son capaces de realizar tareas mucho más rápido que cualquier humano y eso nos supondrá grandes problemas para defender nuestros bienes.
¿Tienes una visión utópica o distópica de la IA? ¿Qué diferencias hay entre la IA y la Inteligencia humana aún?
Yo soy de los que tienen una visión algo distópica si no metemos parámetros éticos y morales en las inteligencias artificiales. ¿Quién nos dice que una IA no pueda llegar a pensar que el verdadero peligro para la supervivencia del mundo y de ella misma sean los humanos?
La IA sólo, por ahora, puede realizar tareas muy concretas y que requieren de una alta especialización. La inteligencia humana es más abstracta y se puede adaptar a las situaciones nuevas con cierta facilidad, algo de lo que las IA no son capaces.
¿Qué tipo de aprendizaje es mejor para una IA, supervisado o no supervisado? ¿Somos los humanos los responsables de que la IA tenga unos «valores« y sepa diferenciar lo que está bien y mal?
Desde mi punto de vista supervisado. Siempre utilizo el ejemplo de mi hija: no dejarás que meta la mano en el fuego si sabes que se quemará. ¡Está claro que lo somos! ¿Quién programa las IA? Las personas. No podemos desligarnos de este hecho. Vuelvo al ejemplo de los niños: los adultos somos responsables de enseñarles qué está mal y qué no.
¿O piensas que llegará un día en que tendremos que dotar a la IA de estatus de ciudadano? ¿Debería asumir responsabilidades de sus decisiones?
Sí. Sería muy reduccionista pensar que las conciencias y la inteligencia sólo puede ser, única y exclusivamente, condición de la vida basada en el carbono. Si una IA demuestra que es consciente de ella misma, ¿por qué no puede ser un ciudadano como nosotros? Una IA sin conciencia de sí misma no puede asumir responsabilidades. Más bien, la responsabilidad sería de quien ha introducido los parámetros para que actúe así.
También eres filósofo de formación. Hablemos de la IA y la ética. ¿Piensa que en todas las carreras técnicas se deberían impartir algunos conocimientos en filosofía? ¿Serán los filósofos más demandados, uno de los campos cubrir o complementar por la IA?
¡Definitivamente, sí! ¡No sólo filosofía! Las humanidades nos definen como personas y no podemos olvidar de dónde venimos. Creo que no puede haber IA sin ética, ni ética sin filósofos.
Una IA sin ética nos puede llevar a una visión racista, sesgada, así como tenemos los peligros de las Fake news, suplantación de identidades, deepfakes, la intromisión en la privacidad si los gobiernos controlan la gestión de los datos, como China, etc. ¿Cómo lo podemos combatir?
Con otra IA y el sentido común. Así como podemos usar una IA para crear todo tipo de «fakes«, también las podemos utilizar para detectarlas. Todo esto no debe sustituir el sentido común. Estamos en una época difícil donde la sociedad se ha polarizado por culpa de la manipulación. Es necesario aplicar el pensamiento crítico y no creernos cualquier cosa que nos llega por mensajería o en las redes sociales. Siempre debemos comprobar las fuentes.
Pero no todo es negativo, también leemos noticias positivas de la IA como: «Twitter alertará a los usuarios de las infos engañosas del coronavirus», o el Microsoft Video Authenticator, que usa la inteligencia artificial para analizar la veracidad de un vídeo. ¿Más ejemplos?
Ahora que está de actualidad el tema de la Covid–19, podríamos decir que una de las funciones que más nos beneficiará por el uso de la IA será para diagnóstico e investigación de nuevos medicamentos.
Para acabar, ¿nos puedes citar algún libro que le haya inspirado en su trabajo?
Realmente, no. Siempre he leído libros de corte fantástico: «La historia interminable«, «El señor de los Anillos», etc. De hecho, si tuviera que elegir uno, sería «1984″. En él se ve claramente el control que se puede llegar a ejercer sobre la población y al que, ahora mismo, nos vemos sometidos.
¿Y alguna película/serie?
«Juegos de guerra».