"Si la Administración quiere, tenemos la tecnología para llevar el DNI a cualquier dispositivo"
El CEO de Redtrust, Daniel Rodríguez, explica la importancia de la gestión centralizada de los certificados digitales en un contexto, el actual, que está empujando mucho el uso de este tipo de tecnologías.
Audio de la entrevista:
Mario Moreno/ Imagen: Juan Márquez
Redtrust nace en España en 2009 para cubrir el mercado de la gestión centralizada del certificado digital. Un ámbito, el de la identidad digital, del que dice Daniel Rodríguez, CEO de la compañía, que el Gobierno ha empujado mucho y de manera “muy acertada […] Para nosotros es una ventaja salir a otros países con una solución ya madura”, según cuenta en esta entrevista, en la que explica que su ámbito de actuación no se detiene solo en España, ni siquiera en la Unión Europea (UE), enclave en el que la legislación en torno a la administración electrónica le parece un acierto. Su ambición pasa ya por recorrer toda Latinoamérica, donde ha comenzado ya en Brasil con “muy buenos resultados”.
¿La identidad digital se ha convertido en el nuevo paradigma de la ciberseguridad?
Sí. Antes de la pandemia teníamos un perímetro físico muy bien gestionado dentro de las empresas. Pero muchas de ellas se dieron cuenta de que esta estrategia no era tan fácil de gestionar con un equipo en remoto y cuando hay que verificar e identificar correctamente a todas las personas. Con lo cual, hubo un punto de entrada obvio de vulnerabilidades y ataques en los sistemas. Todo lo que envolvía la seguridad lógica tenía que empezar dentro de la identidad digital de los trabajadores.
¿Cuáles son las principales amenazas actuales a la identidad digital?
La obvia es la suplantación. Detrás de un ordenador puede haber cualquier cosa o persona. Verificar que quién está detrás de ese equipo es quien dice ser es el mayor reto. Por lo tanto, hay que dotar de accesos y privilegios correspondientes a cada una de las identidades digitales. No es tan sencillo como tener un nombre de usuario y una contraseña, sino que hay que contar con un tipo de acceso bien delimitado. Y ya no solo hablamos de la identidad digital de una persona, también de la empresa, en general. Muchas veces tenemos que interactuar en nombre de ella. Se mezclan varios factores. Pero, el mayor desafío es delimitar correctamente los accesos de las identidades digitales.
¿Qué parte cubre el certificado digital en este contexto?
Es la herramienta más completa. Aparte de dotar de esa identidad digital única, nos da esas capacidades criptográficas que cualquier otra identidad digital no aporta. Juega un papel muy importante. Más dentro de nuestro entorno nacional, donde el Gobierno siempre ha apostado por empujar esta tecnología de una manera muy acertada, obligando a las empresas a que tengan ese certificado de representante. El certificado digital tiene todos los componentes necesarios. Después podremos hablar de los problemas que acarrea en cuanto a la gestión, pero para eso estamos nosotros. Hay un antes y un después en la tecnología con la que trabajamos, y es poder tener el control del certificado sin perder ninguna de las funcionalidades.
¿España es de los países que más empuja el uso del certificado digital dentro de la UE?
Sí, somos pioneros. Prueba de ello es que cuando intentamos exportar nuestra tecnología a otros países vemos que están en un estado como el que podría estar España hace cinco o 10 años. Para Redtrust es una ventaja poder salir fuera con una solución ya madura. Y todo esto es gracias, en parte, al Gobierno, que ha estado empujando en el uso de esta tecnología. En este sentido, y en general en el mundo de la ciberseguridad, España no tiene que envidiar nada a nadie. Está muy avanzada.
"El mayor desafío es delimitar correctamente los accesos de las identidades digitales"
Redtrust identifica varios sectores con gran madurez en el uso de las tecnologías de gestión de certificado digital, como el bancario o sanitario. ¿Este uso se democratizará pronto en todo tipo de industrias?
Sí. El uso del propio certificado digital está extendido en todas las compañías. Adoptar tecnologías para su gestión dependerá de la propia topología de la compañía, de cuánta gente lo utilice, el número de certificados que tenga… Es cierto que, al final, las grandes cuentas son las que tienen todos los problemas, los de las pequeñas más los suyos propios. Son las primeras en darse cuenta. Y el bancario es un sector muy obvio que siempre está a la cabeza en cuanto a la adopción de nuevas tecnologías. Pero también farmacia o inmobiliaria, que tienen un problema creciente en cuanto a la gestión de estos certificados digitales.
¿Cuál es la aproximación diferencial de Redtrust al mercado?
Hace muchos años ya pensamos en cómo abordar esa gestión centralizada y a generar nuestro producto. Antes, los certificados no se gestionaban de ninguna manera. Estaban instalados en las máquinas y el usuario final podía hacer y deshacer lo que quisiese, no tenía ningún límite de uso. Nuestro producto entró para poner orden, para que se pudiese tener acceso a todo lo necesario, pero no para hacer un uso indiscriminado. Y, sobre todo, también para aportar esa auditoría de uso: qué se ha hecho con el certificado, dónde se ha accedido o que se ha firmado. En definitiva, todo lo que no se podía saber hasta entonces. A partir de ahí, los usos de los certificados son muy variados; criptografía, firma, autenticación… Pero eso ya queda en manos de la imaginación de la empresa. Por supuesto, nosotros vamos a empujar para que los certificados se utilicen lo máximo posible.
¿Qué tecnologías hay detrás de la solución de Redtrust y, en concreto, cómo se aproxima a la inteligencia artificial (IA) y a la IA generativa?
Hace unos años me preguntaban mucho por blockchain y ahora es todo alrededor de la IA. No tenemos un contacto directo con la IA. Sí que es cierto, y esto es un nuevo reto que se va a plantear en el futuro, que la IA podrá suplantar a la identidad digital de una persona mejor que otra persona. Ahí es dónde puede estar el reto. Podría haber riesgos en cuanto a si alguien puede sacarse un certificado mediante personación telemática. Habrá que ir mejorando todos estos factores, pero mientras tengamos ese punto de verificación humana deberíamos estar seguros. Vendrán otros retos que no tendrán tanto que ver con la IA pero que tendrán muchos más riesgos, como puede ser la criptografía cuántica. Cuando empiece la computación cuántica, las claves RSA podrían empezar a estar caducas en pocos años. No solo tenemos que pensar solamente en cuándo vendrá [la computación cuántica], sino en lo que hemos estado haciendo hasta ahora. Por eso, dentro de nuestro grupo empresarial estamos poniendo mucho foco en la criptografía postcuántica, más allá de temas que puedan estar de moda como la IA.
"Estamos poniendo mucho foco en la criptografía postcuántica, más allá de temas que puedan estar de moda como la IA"
Ha hablado de un término clave para la era digital, la confianza. ¿En qué punto de la confianza estamos hoy teniendo en cuenta el contexto geopolítico y económico?
Vemos que año tras año aumenta el número de ataques. Es una industria creciente, por desgracia. Siempre surgen nuevos incidentes y desconfianzas, pero lo que tenemos que hacer es gestionar. La inseguridad no se elimina completamente, se gestiona. Siempre va a haber problemas de confianza. El propio sistema de certificados digitales se basa única y exclusivamente en la confianza, y ha habido casos en que se ha perdido y se ha derribado el castillo de naipes. Pero se puede volver a construir. Es una cuestión de ir aportando un punto superior para tener la confianza necesaria.
¿Cómo se determina el balance entre experiencia de usuario y ciberseguridad a la hora de lanzar un producto al mercado?
Aquí es donde más ponemos el foco. Siempre hemos tenido muy claro que hay que evitar a toda costa la fricción entre usuario y tecnología. Primero porque la seguridad acostumbra a ir en detrimento de la usabilidad, y es algo que sabemos que no se vende. Hasta que no te ha pasado algo no compras seguridad. Y, si encima queremos que nos compren sin vender miedo tenemos que dar otro mensaje. Que es básicamente usabilidad, accesibilidad y disponibilidad de los certificados digitales.
¿Sigue siendo tan reactivo el mercado de la seguridad?
Está cambiando y por eso ahora sí que introducimos mucho más ese discurso de la ciberseguridad en nuestros planteamientos. Pero al principio no era nada fácil, las empresas eran muy reactivas y, sí, ofrecíamos seguridad, pero casi como un añadido.
En el caso de Redtrust, ¿todos los movimientos legislativos en cuanto a lo digital suponen una oportunidad?
Totalmente. De hecho, poder movernos en un marco regulatorio único como el europeo nos ayuda a todas las industrias. Y que esté tan enfocado en el egovernment es fantástico. Lo que pasa muchas veces es que vamos por delante de la propia legislación y tenemos que esperar para ver en qué dirección va para adaptarnos. Pero siempre es positiva y una oportunidad. Por ejemplo, a su compás, de la misma manera que gestionamos certificados digitales podemos acabar gestionando wallets.
¿Cómo trabajáis con la Administración Pública? ¿También podríais gestionar, por ejemplo, DNI digitales?
Siempre hemos tenido una relación muy estrecha. Tiene casi las mismas necesidades que la empresa privada. No nos importaría para nada colaborar con este sector para sacar algo al mercado. Tenemos la tecnología y sabemos hacerlo bien. Pero ahí entran en juego muchísimos factores y hay una cuestión de interés de hacia dónde nos queremos enfocar. Nuestro ámbito está muy claro dentro del sector tecnológico, pero no es solo para España. Nuestra ambición es salir fuera, no queremos atarnos a un solo mercado, ni siquiera al europeo. Queremos, por ejemplo, dar el salto a Latinoamérica. Ya estamos en Brasil y nos está yendo muy bien. Tiene casos de uso muy similares a los de España. Estamos explorando países con la misma aceptación del certificado digital pero con una adopción más tardía.
"De la misma manera que gestionamos certificados digitales podemos acabar gestionando 'wallets"
En cualquier caso, ¿por qué aún no podemos llevar un DNI o un carné de conducir en los dispositivos o, incluso, votar en unas elecciones de manera telemática? En el futuro, ¿Redtrust podría ser el garante de confianza de unos comicios?
Aun pudiendo, no querría. Es decir, la identidad digital está muy bien, pero en unas elecciones vienen después todos los procesos de recuento de votos, de los que creo que forman un sistema perfecto. No hay trampa posible y todo funciona. Pero si hablamos de tener una identidad digital en un único sitio, el problema con el que se enfrentan todos los que han hecho pruebas es dónde llevarla; en el móvil, en el ordenador de casa... Por ejemplo, un DNI quieres poder utilizarlo desde cualquier dispositivo y entorno. Todavía nadie ha sacado una solución definitiva. Nosotros creemos que nuestra tecnología puede solventar este problema. Eso sería cuestión de hablarlo. Lo dicho, nosotros tenemos muy buena relación con la Administración Pública y si lo quisieran estaríamos encantados.
¿Cómo está yendo ese proceso de expansión?
Como decía, Brasil es protagonista ahora mismo. Siempre nos habían dicho que era un mercado muy complejo, pero hemos iniciado muy bien, con muy buenos resultados. La idea es cubrir toda Latinoamérica.
¿Y cómo es la estrategia para la UE?
Vemos, como he dicho, que la regulación es muy favorable para el uso del certificado digital, pero la adopción por parte de los gobiernos es muy dispar. Incluso estando en el mismo marco regulatorio, el egoverment se ve muy diferente en España, Francia o Portugal, por ejemplo. La lectura de esa misma ley y la aplicación no es la misma. Pasa igual con el Reglamento General de Protección de Datos (GDPR, de sus siglas inglesas). Hay países que incluso van un poco más avanzados que España, como Estonia, pero por otro camino distinto. También por una cuestión cultural. La identidad del propio ciudadano se protege de manera distinta en las distintas geografías. Y ya si vamos a Estados Unidos, ni te cuento.
En 2019, Redtrust es comprada por Keyfactor. ¿Qué balance hace de este lustro?
Por suerte, Keyfactor nos complementaba muy bien y hablábamos el mismo idioma en la gestión de certificados digitales. Keyfactor pone más el foco en la distribución de los certificados. Nosotros, al contrario, los tenemos centralizados para que las claves privadas nunca abandonen la máquina. Son dos enfoques completamente diferentes, nosotros en el uso por parte del usuario, y Keyfactor por parte de la máquina. Así que se complementaban muy bien. Ellos también son conscientes de que nuestro mercado es diferente al suyo y siempre nos han dejado mucha libertad. Es una cuestión de crear nuevas herramientas que combinen entre ellas para poder crear nuevas soluciones que vayan a muchos más mercados.
