Tecnología

Pablo San Emeterio: “El petróleo del siglo XXI son los datos”

Santa Cruz de Tenerife reunió la pasada semana a más de 450 personas en el quinto congreso de ciberseguridad más relevante de Canarias Hackron 2018

Pablo San Emeterio, embajador jefe de Seguridad de ElevenPaths, la unidad de ciberseguridad de Telefónica. Sergio Méndez

Santa Cruz de Tenerife reunió la pasada semana a más de 450 personas en el quinto congreso de ciberseguridad más relevante de Canarias Hackron 2018. Por allí pasó Pablo San Emeterio, el embajador jefe de seguridad de ElevenPaths, la división de ciberseguridad de Telefónica. En su estancia en la Isla San Emeterio, al que no le gusta la palabra hacker, tuvo un momento para hablar con DIARIO DE AVISOS sobre la importancia de que las empresas inviertan en seguridad para evitar los ciberataques, así como de los peligros que acechan las redes sociales, pero también de los beneficios.

-Vamos a ponernos en antecedentes, ¿qué es la ciberseguridad?

“Bueno, la ciberseguridad es todo lo que tiene que ver con la seguridad informática, teléfonos móviles, ordenadores… y evita que la gente no autorizada pueda acceder a tus datos. Normalmente cuando hablamos de sistemas de información hay que tener claras tres características que hay que cumplir: disponibilidad, es decir que la información esté disponible y accesible las 24 horas del día los 365 días del año; confidencialidad, que sólo las personas autorizadas a ver esa información sean las que accedan a ella; y, por último, la integridad, es decir, que no se modifique la información sin tú conocerlo. Le pongo un ejemplo con el sistema bancario. Disponibilidad sería que con la tarjeta pueda acceder en cualquier momento a mi dinero desde un cajero automático; confidencialidad es que solo el banco y yo conozcamos el dinero que tengo en la cuenta; e integridad, que no pueda añadir un cero, o dos, al saldo de mi cuenta”.

-¿Qué riesgos tiene Internet? ¿Cuando accedo a cualquier red nos quedamos expuestos a que todo el mundo tenga disponibilidad de mi información?

“Por suerte esto que dice ha ido evolucionando. Está la nube que es muy importante porque al final es otro ordenador que cumple todas las reglas de seguridad para que tú, como usuario, puedas poner tu información ahí con confianza. Luego está la parte de menores que es muy importante. Tenemos en la cabeza que los niños no vean pornografía, pero es que eso no es lo más peligroso. Ahora tienes en la red otros peligros a los que tienen acceso, como la anorexia, bulimia, drogas, violencia extrema, fabricación de armas, en definitiva, información libre que, por supuesto, no es la adecuada para su edad. En Telefónica tenemos soluciones importantes para controlar, dentro del respeto a su intimidad, este acceso con una aplicación que nos da la información precisa de los accesos, cuándo se ha conectado, dónde… Se trata más bien de protección, ya que no dejarías que tu hijo de 11 años estuviera solo a las 3 de la mañana por una calle de la ciudad. Pues imagina que internet es esa calle. La sobreexposición y el acoso es casi lo peor que tiene este nuevo sistema. Yo hasta los 12 ó 13 años no le daría un móvil a un menor”.

-¿Por qué cuando hago alguna búsqueda en Internet, inmediatamente el ordenador me va dando información de lo que he buscado? Y me explico, si busco en cualquier aplicación un hotel en un sitio determinado, cada vez que voy a otra página me salen ofertas de ese lugar.

“Muy sencillo, porque en Internet vas dejando rastro de tu vida y de tus preferencias. Cuando internet te ofrece un servicio gratis es porque el producto eres tú. Cuando pones en google, por ejemplo, vacaciones en Tenerife, el ordenador ya sabe, por determinados mecanismos y búsquedas anteriores, que eres tú. No conoce tu nombre y apellidos, pero sabe que eres tú. En facebook pasa igual. Vamos dejando ahí toda nuestra vida, y eso no es gratis. Facebook lo utiliza para cuando una empresa quiera hacer una campaña publicitaria acceda a tus datos. Y le pongo un ejemplo. Una campaña para usuarios de entre 26 a 35 años, aficionados al Real Madrid y que vivan en España. Acceden a la información de la gente que tenga este perfil por las búsquedas, por las fotos, por la información que ha ido dejando, y le mandan la información”.

-¿Pero eso no es ilegal?

“No. Es legal porque en las condiciones de uso que aceptas al darte de alta en facebook lo pone. No nos damos cuenta de que detrás de facebook hay millones de ordenadores. Es sencillo. Cuando accedes a un servicio de Internet tienes que pensar que alguien tiene que pagar esos ordenadores, la luz, los servidores… todo eso tiene un coste fuerte que tiene que estar soportado sobre un modelo de negocio para que funcione, y nosotros lo cedemos abiertamente, y los niños más”.

-¿Mal utilizado Internet puede convertirse en un arma?

“Bueno es como todas las herramientas en general. Los martillos pueden servir para clavar clavos o para abrir cabezas, depende de cómo lo uses. Pero, mire, no tenemos que perder de vista que los orígenes de Internet son militares, del departamento de Defensa de los Estados Unidos. Todos los ejércitos, incluido el de España, han definido ya un nuevo ámbito de guerra. Está la tierra, el mar, el aire, el espacio y el cíberespacio”.

-¿Internet ha cambiado hasta la forma de hacer guerras? ¿Podemos hablar de cíberguerras en el siglo XXI?

“Exacto. Un ataque informático a un país, puede causar un mal terrible”.

-Bueno, ya hay películas sobre esto y, la verdad, que da grima. ¿Y las empresas y el cíberespionaje?

“Gracias a Dios las empresas se han dado cuenta de que tienen que invertir en ciberseguridad. Las pequeñas pymes también, pero con pequeñas acciones que no le supongan un gran coste para proteger sus datos. La seguridad tiene que ir acorde a lo que estas protegiendo y hay soluciones para cada caso. Las grandes empresas ya van en otro camino y tienen que ser conscientes de que el petróleo del siglo XXI son los datos. Una gran compañía tiene que securizar y proteger sus datos para evitar que estén al alcance de un atacante, no me gusta lo de hacker. Tienen que ser conscientes de que no pueden exponer sus datos para que sean robados o bloqueados, como los ataques de ransomware”.

-Ustedes, me refiero a la compañía para la que trabaja, Telefónica, se vieron afectados hace un tiempo por este virus.

“Sí, exacto. Telefónica fue la que realmente dio la cara y dijo que había sufrido un ataque a todos sus clientes y les dio las recomendaciones oportunas. El resto lo hizo después. Prácticamente todas las grandes compañías se vieron afectadas por este virus y las que no, tomaron medidas inmediatamente para no verse afectadas. El problema de estos ataques es cuando se usa un fallo de seguridad de un ordenador que esta expuesto a Internet y que simplemente mandándole una serie de comandos toma el control, que es lo que hacía este virus. Entonces te dice que si no le pagas una cantidad de dinero, no los libera. Hay muchos gusanos y virus recorriendo internet. No sé si se acuerda, hace unos años, del virus I Love you, que se transmitía a través del correo electrónico y que solo ponía I Love you. Lo pinchabas porque provenía de una persona de tus contactos y accedía a toda tu libreta de contactos y lo reenviaba infectando así todos los ordenadores”.

-¿Cómo están las empresas españolas en ciberseguridad?

“En general, están siendo conscientes de que hay que invertir, sobre todo, después de los últimos ataques y del impacto económico que puede acarrear un fallo de seguridad. Hablamos de millones de euros. En la última reunión de Davos donde se elabora un informe sobre los riesgos globales para la humanidad, los ciberataques estaban ya en tercera posición”.

-¿Es vulnerable el sistema español?

“Pues como el de cualquier otro país. No es una cuestión de países sino que la ciberseguridad depende de las empresas y de que éstas quieran o no asumir el riesgo de ser hackeadas”.

-¿En qué punto situaría la inversión en ciberseguridad entre las prioridades de una empresa?

“Para mí debería estar entre las tres primeras. Estamos hablando de impactos económicos de más de 300 millones de euros. Si haces una inversión de unos 50 millones en ciberseguridad, ya está más que amortizada la inversión”.

-A parte de las económicas ¿qué otras consecuencias puede tener el robo de datos para una empresa?

“La pérdida de prestigio para la compañía. Seguro que recuerda el robo de los datos de una empresa de contactos para personas casadas. Todos los datos salieron a la luz porque sufrieron un ataque a pesar de que cobraban a sus clientes por borrarlos de la base de datos. La compañía prácticamente desapareció porque perdió todo su prestigio y, desafortunadamente, hubo gente que, incluso, se suicidó. Después, aparte de la reputación, está el tema operacional, es decir, que la empresa se para. No puede continuar. Y, por último, el legal. Ahora te imponen multas si no pones medidas de seguridad y te obligan a notificar a los clientes si has tenido un fallo de seguridad porque has sido negligente. La multa puede llegar a los 20 millones o, incluso, a un 4% de la facturación, con lo cual son sanciones importantes”.

-Pero la mayoría de las empresas no dicen a sus clientes que sus datos han sido robados. Mire Uber, que tapó durante un año que habían sido ‘hackeados’ y los datos de todos sus clientes, incluidas las tarjetas de crédito, habían sido sustraídos.

“En América es obligatorio decirlo, y en Europa van por el mismo camino. Lo importante, como hizo Telefónica, es comunicarlo para que las personas afectadas tomen las medidas oportunas para que el daño sea menor”.

-¿Y la wifi gratuita es segura?

“Dependiendo de la wifi y de cómo esté configurada. Mire, el problema de las wifi libres es quién está a tu lado. Si te conectas en un tren, por ejemplo, todos los que están allí son compañeros tuyos de red y si tu teléfono u ordenador es vulnerable porque no tienes un wifi cifrada te podrían atacar. Tiene que tener en cuenta que el que pone la wifi no siempre es quien dice ser. Por ejemplo, yo ahora mismo con mi ordenador puedo generar un wifi que se llame Diario de Avisos y todos vuestros datos pasarán por mi ordenador”.

-¿Qué recomienda?

“Yo recomiendo cambiar la contraseña de la wifi cada dos o tres meses y poner siempre contraseñas largas y variables. En el caso de las wifi gratuitas es mejor no usarla en la medida de lo posible, pero si no queda otro remedio, siempre hacerlo con los datos cifrados. El problema de las wifis gratuitas, al final, es quién está conectado a ella”.

-¿Tenemos derecho al olvido?

“Derecho sí, pero es complicado porque estamos hablando de una red muy amplia. Una foto subida a cualquier red social puede circular libremente. Todo aquello que sube a Internet no desaparece, pierdes el control sobre la información y las fotos y es prácticamente imposible que desaparezca”.

-Dígame qué de positivo y negativo ha traído Internet a nuestra sociedad

“Los aspectos positivos son muchos. No me gustaría que la gente se quedara con la sensación de que se trata de una herramienta negativa. Para mí, Internet ha sido uno de los mejores inventos de la historia de la humanidad. La posibilidad de poder acceder a todo tipo de información en cualquier momento es brutal. En el comercio ha supuesto una revolución porque el poder comprar un producto de China a un precio competitivo sin salir de casa es increíble. Poder hablar con amigos o conocidos, o incluso hacer negocios, con empresarios de Australia asumiendo solo el coste de Internet es impresionante. Vender productos sin necesidad de tener sede en los países, como Amazon… Por contra, está todo lo que hemos hablado, pero al final, no se trata de un defecto de Internet sino de quien lo utiliza y del uso que le dé.”

-¿Por qué no le gusta la palabra ‘hacker’?

“Es que da la sensación de que se une a la delincuencia. Un hacker es una persona curiosa que navega por Internet descubriendo cosas. Hay quien usa esos fallos que encuentra para informar a la empresa correspondiente, como hice yo en su momento, y hay quien los utiliza mal”.