"Corremos el riesgo de perder el significado de la ciberseguridad y quedarnos solo en el 'hype"
Andrés de Benito, director de ciberseguridad de Capgemini España, analiza todas las tendencias actuales del mercado de la ciberprotección.
Audio de la entrevista
Mario Moreno/ Imagen: Juan Márquez
El mercado de la ciberseguridad vive un momento de ebullición en todo el mundo; recubierto de tendencias y términos que, para Andrés de Benito, director de ciberseguridad de Capgemini España, corren el riesgo de alejarnos del foco y del escenario actual. Es decir, de un contexto de inflación económica, de crisis geopolítica y de avance de tecnologías, como ChatGPT, que pueden suponer un antes y un después para las dos industrias, la del cibercrimen y la de la protección. De todos estos temas habla el líder local de la consultora francesa. "El sector está ávido de novedades, pero hay que reflexionar y saber que lo que hacemos es lo que necesitamos", sentencia.
En España, más del 50% de las empresas va a seguir aumentando sus presupuestos en ciberseguridad durante 2023, a pesar de la crisis económica. ¿Cómo valora este dato? ¿La percepción de la industria ha cambiado?
El mundo está a las puertas de una nueva crisis. La paradoja es que en el mundo de la ciberseguridad parece que no es así, que se sigue invirtiendo muchísimo dinero y mantiene el crecimiento. La única explicación es que había mucho recorrido que no se ha terminado de llevar a cabo y, por lo tanto, todavía existe ese enorme desajuste y las empresas tienen que seguir recuperando. Es un sector privilegiado, porque hay muchos otros que están empezando a notar cierto parón económico, o que por miedo están empezando a frenar las inversiones. Dicho esto, sí que hay ciertos aspectos dentro del entorno de la ciberseguridad que sí que empiezan a notar esa falta de dinero ‘barato’. Me refiero a todo el ecosistema de startups, que en los últimos años había crecido muchísimo. Nuevas empresas que intentaban buscar la 'piedra filosofal' dentro de la ciberseguridad y que, no habiendo encontrado nada relevante, esta restricción automática de crédito ha hecho que desaparezcan. En los próximos años vamos a seguir viendo a muchas que van a volatilizarse por falta de liquidez o que serán absorbidas por más grandes. Pero, volviendo a lo de antes, las inversiones van a seguir incrementándose por naturaleza. Muchas compañías tienen la necesidad de protegerse porque no lo habían hecho hasta ahora. Por lo tanto, esto obliga a que aumenten los presupuestos totales.
¿Pero esto tiene que ver también con un cambio de mentalidad tanto social como corporativa en España? En este último aspecto, ¿la ciberseguridad ya es un caso de éxito dentro de los negocios?
Se está consiguiendo, pero yo no me aventuraría a decir que ya se ha dado ese gran salto de madurez que sí han dado, por ejemplo, los países anglosajones. Pero es cierto que las últimas normativas ayudan y empujan en esta dirección. No así en todas las compañías; depende mucho del sector y del tamaño. Pero sí es cierto que cada vez más es una realidad que el CISO está mucho más reconocido, no solo desde el punto de vista de que la ciberseguridad es importante, sino que aterriza en otro lugar dentro de la organización y en otro reporte más elevado.
¿El hecho, como ha citado, de que muchas empresas más pequeñas estén desapareciendo o siendo absorbidas no tiene que ver también con una consolidación del mercado en el que hay demasiados jugadores de nicho? Además, los CISO también buscan reducir proveedores en su logística por motivos de eliminar complejidades.
Hay dos argumentos muy interesantes. El primero, que cuando el dinero es barato hay muchos más aventureros que, como decía, intentan encontrar esa 'piedra filosofal' y cuando se da la consolidación desaparecen. Pero esto es algo natural, ocurre en todos los sectores. Y, además, es sano, porque no hay que olvidarse que cuando empieza el calor de esas rondas de financiación infinitas, que ocurren cuando los tipos de interés están muy reducidos, se pierde un poco el foco. Corremos el riesgo de caer en la tontería, en despistarnos de lo que es la ciberseguridad y quedarnos solo en el término inglés del hype. Es necesario que de vez en cuando venga un baño de realidad. Por otro lado, está la consolidación tecnológica. Un tema muy interesante porque ciberseguridad hace 20 años eran los firewalls y la persona de redes que hacía su gestión, y a día de hoy hay muchas más herramientas. Y, muchas veces, las decisiones empresariales sobre cuál es la mejor empiezan a verse afectadas, ya no solo por las características técnicas de la tecnología específica, sino por cómo va a poder integrarse dentro de los entornos de seguridad. Nos encontramos situaciones con más de 10 soluciones de fabricantes distintos en una misma organización, lo que dificulta mucho los procesos internos. Sin ninguna duda, esto nos traerá ecosistemas más simplificados.
Además de la gestión de esta complejidad, ¿cuáles son las principales preocupaciones del CISO actualmente?
A día de hoy su preocupación más grande, y no es directa de la protección de la compañía, es sobre el talento. Esto se repite a menudo, pero no por ser redundante deja de ser un problema. Hay que saber gestionar y cuidar bien el talento, y muchas empresas no han sabido hacerlo. Y, ahora los profesionales se encuentran en una posición de privilegio y son capaces de elegir. Y ante esa demanda, las organizaciones se encuentran desprotegidas. Pero tienen que aprender, como lo han hecho otras industrias. Y, no nos olvidemos de que el trabajo remoto ha permitido que todo ese talento ya no dependa de las empresas locales. Muchas del otro lado del charco empiezan a pescar en nuestros caladeros. Y es absolutamente lícito y normal. Esto nos tiene que obligar a nosotros a saber dar valor para que esta gente prefiera estar aquí. Luego, las siguientes preocupaciones van muy relacionadas con la presión que reciben desde los órganos de dirección. El mayor problema de los consejos es el ransomware. Los clientes ya no se preocupan por aspectos más genéricos, sino por este ataque. Vamos a vivir una revolución alrededor de cómo entendemos la protección frente al ransomware, porque se ha llegado a una situación de debilidad tan grande que yo anticipo que en los próximos años, desde los propios fabricantes de sistemas operativos, se va a encontrar una solución para que esta amenaza, tal y como existe a día de hoy, ya no pueda ocurrir. Y, entonces, tendrán que cambiar todos los vectores de ataque. Es una cosa muy bonita que tenemos en ciberseguridad, que la manera de los ciberdelincuentes, y nuestra defensa, va evolucionando y obliga a todos los actores a reinventarse.
"En los próximos años vamos a seguir viendo a muchas empresas que van a volatilizarse por falta de liquidez o que serán absorbidas por más grandes; 'startups' que buscaban la 'piedra filosofal' y no la han encontrado"
¿Cómo ayuda Capgemini a las empresas en este escenario tan complejo y con una falta latente de talento?
Como empresa de ciberseguridad tenemos una gran ventaja, que podemos amasar conocimiento y contratar en volumen para ofrecer especialidad. Además, tenemos la capacidad de ofrecer al talento proyectos muy interesantes de manera continua. Eso es algo que nos ayuda a convencer y a recuperar a gente que se había ido a cliente final y que por falta de motivación ha vuelto a la consultoría. Y, desde un punto de vista tecnológico, ayudamos con serenidad y experiencia. Tenemos la capacidad de hacer un análisis frío de lo que necesita la empresa. Ciberseguridad, no nos olvidemos, es un coste que es muy difícil de justificar. Solo te das cuenta de que has gastado poco cuando ya es demasiado tarde. Y nosotros podemos dar ese asesoramiento a las compañías sobre qué es lo que deberían estar haciendo.
Habla de la ciberseguridad como un gasto que cuesta mucho defender ante los directivos. Sin embargo, muchos CISO aseguran que la tendencia está cambiando, que se empieza a ver como una inversión y que se puede escalar fácilmente.
Ese es el sueño de toda persona que trabaja en ciberseguridad. Es el discurso que se busca, sobre todo desde el fabricante, que quiere justificar que ya existe una causa directa entre lo que estás gastando y cómo te redunda. Pero no es lo real, pasa lo mismo que en cualquier departamento que no tiene un efecto directo sobre la venta o la ejecución. Lo que sí que es cierto es que empieza a haber estudios que indican la correlación entre lo que inviertes y lo que te ocurre. Por tanto, si no gastas es más probable que te sucedan cosas que te afectan más, y que el impacto sea mucho mayor. Pero no existe una ecuación fantástica que diga que si inviertes tanto estás protegido a tal porcentaje. Es más bien un ideal.
Dentro de la operativa de la consultora, esta ya contaba con un Centro de Operaciones de Seguridad (SOC, de sus siglas inglesas), y acaba de abrir otro en Málaga.
Hemos ido de la mano de este hub de ciberseguridad que se está montando en Málaga. A nivel internacional, la ciudad se ha posicionado como un referente y nosotros queremos participar de ese ecosistema con este centro desde el cual damos servicios de monitorización, detección y respuesta. La detección es importante porque ya no te puedes hacer la pregunta de si me atacarán o no. La cuestión es cuándo va a ocurrir. Por eso, el siguiente aspecto relevante es si vas a ser capaz de detectarlo a tiempo. Aquí sí está demostrado que cuanto más tiempo pasa un incidente en las redes de la empresa más difícil va a ser la supervivencia de la misma.
Otra tendencia tecnológica en la que incide mucho Capgemini es la seguridad cloud.
La nube ya no es una tendencia, sino una realidad. Hay muy pocos sectores y empresas que ya no tengan gran parte de su operativa allí. Pero cloud no deja de ser el ordenador en casa de otro. Eso conlleva una serie de riesgos, hay que protegerse desde un ámbito distinto. Aquí hay un problema nuevo, que es la concentración en los grandes hiperescalares. Si una gran empresa tiene todo en un jugador, se convierte en un gran objetivo para los malos. Los ciberdelincuentes saben que si afectan a uno de estos, cazan, a su vez, a todas las compañías que tienen sus sistemas con ellos. Además, el día que tengas un problema, no lo vas a tener tú solo, sino todos los clientes de ese hiperescalar. Y eso puede ser brutal. Esta reflexión hay que hacerla. Si un estado-nación decide hacer daño a uno de estos, tendríamos un problema terrible.
"El discurso que se busca pasa por justificar que ya existe una causa directa entre lo que estás gastando y cómo te redunda en el negocio. Pero no es lo real"
¿Cómo ve el tema de la soberanía del dato y de la lucha de la Unión Europea (UE) por crear gigantes tecnológicos, en este caso, de seguridad?
Las normativas supranacionales están por encima de las compañías. Es absolutamente innegable que los bloques geopolíticos, en vista a lo que está pasando, tienen que dar pasos para protegerse y para nacionalizar la protección. Es algo normal. Ya hemos visto que cuando ha habido algún escándalo, los fabricantes, por más que te prometan garantías y protección, tienen dependencias con los estados a los que pertenecen. Vamos a ver muchísimas más acciones, en particular en la UE, para reforzar y dinamizar el entorno de ciberseguridad para que haya fabricantes propios. Esto ya se ha visto en Francia, que es sin duda el país más activo de la Europa, más que Alemania. Está invirtiendo una absoluta millonada para tener un parque tecnológico que nos saque de la situación actual, en la cual solo puedes comprar producto americano, israelí o chino.
¿Va Francia muy por delante de España?
Lo tiene más fácil porque nunca se ha despistado. Nunca ha dejado de ser una potencia y ha sabido anticiparse en toda la UE.
¿Los clientes ya miran con detenimiento la nacionalidad del proveedor?
Por obligación. Si no, en general, la mayoría no tienen el nivel de madurez para investigar tanto dónde está el dato.
El tema del momento para el sector es ChatGPT. ¿Qué ha supuesto para la industria?
Ha democratizado una tecnología que solo estaba al alcance de muy pocas organizaciones cibercriminales. Además, este es el primer paso. A lo largo de este año vamos a ver innovaciones dentro de ChatGPT, y automáticamente los ‘malos’ las van a incorporar para mejorar sus modelos de ataque. Esto va a generar que todos los fabricantes tengamos que madurar. Por ejemplo, ya solo desde el punto de vista de los correos de phishing. Hasta hace años se detectaban porque estaban fatal escritos. Era muy fácil. Ya hay muchos que están bien redactados. Pero, ahora mismo, un niño de 10 años, con ChatGPT, los puede hacer perfectos. Y el usuario normal nunca va a ser capaz de detectarlos. Por otro lado, los ciberdelincuentes van a poder desarrollar nuevas modalidades de ataque y de automatización que antes no tenían. Solo con eso, nos van a obligar a gastar más esfuerzos en la protección.
"Francia está invirtiendo una absoluta millonada para tener un parque tecnológico que nos saque de la situación actual, en la cual solo puedes comprar producto americano, israelí o chino"
Los cibercriminales ya funcionan como empresas al uso. Con organigramas, recursos humanos… ¿Cómo se hace frente a este panorama?
Profesionalizando también la protección. Los departamentos de seguridad ya no pueden ser algo de andar por casa. Tienen que tener las herramientas suficientes. Si se siguen viendo como algo que estás obligado a tener, por normativa, se estará muchos pasos por detrás de los cibercriminales. Hay que empezar a anticipar y a contextualizar.
¿La inteligencia artificial (IA) de las soluciones de seguridad de los distintos proveedores es madura?
Todos sabemos que en el mundo de la consultoría y de los fabricantes se vive mucho del hype. La IA está de moda y por eso todas las soluciones la traen. Antes era el blockchain, pero nadie tenía claro por qué. Y, es que, a fin de cuentas, el mercado está ávido de novedades. Y, por lo tanto, los fabricantes están obligados a incorporarlas. Pero hay que reflexionar, dejar de lado el término, e ir a lo que hace la herramienta. Hay que estar seguros de que lo que hace es lo que necesitamos.
Por último, ¿qué cambios ve en el ciberespacio tras la guerra de Ucrania?
La gente se ha dado cuenta de que los estados-nación estaban ahí, y preparados para hacer cualquier cosa mucho más grande de lo que se podría imaginar. Rusia ya lo había demostrado en varias ocasiones sobre la propia Ucrania, a la que había utilizado de terreno de entrenamiento. Estas acciones existen y son relevantes. El ciberespacio es muy barato. Si quieres atacar físicamente a otro país tienes que invertir muchísimo dinero, pero con un equipo de ciberatacantes es más fácil, y con un riesgo muy limitado. La atribución también es muy complicada. A tenor de esto ha habido una gran inversión en ciberseguridad en entornos críticos, sobre todo de defensa.
