ENTREVISTAS
Especial Ciberataques 2022 CSO

"Asumir riesgos de seguridad debe tener consecuencias civiles, penales y mercantiles"

La explosión de los ciberataques tras el auge digital impulsado por la pandemia, la dificultad de gestionar la seguridad corporativa en un entorno geoestratégico y económico complejísimo, el rol del CISO y su necesaria evolución a un gestor de riesgos o amenazas cuya responsabilidad exceda el ámbito tecnológico y que tenga voz en el comité de dirección son algunos de los muchos temas sobre los que departe en esta entrevista el hacker Román Ramírez.

Román Ramírez
Play

 

Esther Macías / Imagen: Juan Márquez

La ciberseguridad ha ido adquiriendo más y más protagonismo y relevancia en el ámbito empresarial y en el sector público a medida que también han ido creciendo y sofisticándose las amenazas y los ciberataques con el auge de la digitalización. El hacker Román Ramírez, todo un experto en la materia, expone en una entrevista con CSO su visión sobre este escenario de tormenta perfecta, agudizado por la actual situación geopolítica y económica

Con casi tres décadas de experiencia a sus espaldas, Ramírez ha trabajado en el pasado en empresas como eEye Digital Security, PricewaterhouseCoopers o Ferrovial, donde fue responsable de Operaciones y Arquitectura de Seguridad durante 10 años. Además de ser cofundador del conocido evento de seguridad RootedCON, profesor del máster de ciberseguridad del Instituto de Empresa (IE-HST) y fundador de la Fundación Goodjob y colaborador en Propaganda·is, el hacker colabora con el Departamento de Seguridad Nacional (DSN) y ejerce como consejero independiente en distintas IBEX 35.

 

La ciberseguridad es, sin duda, un tema estrella en las organizaciones, que habitan en un mundo cada día más complicado desde el punto de vista económico y geoestratégico, y marcado por el trabajo híbrido propiciado por la pandemia y la intensiva digitalización de los procesos corporativos. ¿Cómo ves el panorama?

El contexto geopolítico que tenemos es muy complicado y, además, el mundo está viviendo una etapa de confusión ideológica, política, social y económica, lo que deriva en un aumento de los fraudes internos y externos, el crimen en general… Hay inestabilidad y conflictos entre naciones… Por todo esto la ciberseguridad se ha vuelto un elemento muy importante; la mayor parte de las guerras modernas se pueden librar a distancia, no hace falta desplegar misiles ni tanques. Es lo que hicieron los rusos durante la primera semana de la guerra con Ucrania: desactivaron todas las infraestructuras ucranianas en la distancia. Y, de cara a las empresas, la seguridad digital es fundamental, ya que todo es, a su vez, cada día más digital.

 

En tu perfil de Linkedin te describes como un “experto en resolver problemas complejos, sean humanos o sean tecnológicos”. ¿Es la seguridad un problema humano más que técnico?

Absolutamente. Todo el que cree que los problemas de seguridad se resuelven con tecnología está equivocado. La seguridad tiene que ver sobre todo con cómo los primates —y los humanos somos primates— nos enfrentamos al riesgo. Siempre cito el libro Pensar rápido, pensar despacio, de Daniel Kahneman, porque te confronta con cómo los humanos nos autoengañamos para tomar la decisión que deseamos tomar envolviéndola en una capa de racionalidad, en lugar de seguir lo que la lógica y los datos nos dicen. 

Los primates no somos capaces de valorar bien el riesgo, solo atendemos a aquello que es una amenaza inminente y nos está haciendo daño. Y si esto lo trasladamos a las empresas que asumen riesgo gratis, que no despliegan controles de seguridad adecuados, a organizaciones que piensan que no son lo suficientemente importantes para que las ataquen… nos encontramos con este escenario en el que todo tiene que ver con humanos que toman decisiones asumiendo riesgos y no hacen lo que deben en la parte tecnológica. Así que sí, el problema no es de tecnología, es de humanos.

 

"Todo el que cree que los problemas de seguridad se resuelven con tecnología está equivocado"

 

¿Y cómo se encuentra la empresa española en materia de ciberseguridad? ¿Ha avanzado en los últimos años?

En España se ha avanzado mucho, sobre todo porque hay profesionales muy buenos y concienciados y hay grupos como vosotros que comunicáis constantemente información útil. Las empresas del IBEX 35 se toman en serio la ciberseguridad: despliegan controles, tienen equipos dedicados, disponen de personas a cargo de la estrategia e, incluso, como hemos visto en algunas como Telefónica (el caso de Chema Alonso) los responsables de esta área se encuentran en el consejo de dirección. El problema está en la horquilla que va del empresario individual a la pyme grande. En ese espectro hay de todo…  Aunque la situación en España es la normal de cualquier país occidental avanzado, sí es cierto que en el entorno pyme hay que trabajar muchísimo; no obstante, no hay que olvidar que en Estados Unidos hay muchas más pymes que en España y están igual de mal o peor.

 

¿No hay gran diferencia?

No. De hecho, en España las empresas están mucho mejor en seguridad que en Estados Unidos y esto se ve en el entorno financiero, que es muy bueno en materia de ciberseguridad.

 

 

¿Y la Administración pública española? Esta ha avanzado a raíz, sobre todo, del Esquema Nacional de Ciberseguridad.

El sector público está un poco atrasado, y no porque no haya voluntad, porque los mandos medios de la Administración sí tienen interés en hacer las cosas bien y, de hecho, hay un grupo que incluso ha montado una asociación al respecto (ProtAAPP). Además, el propio CCN-Cert está muy involucrado y funciona muy bien. El problema radica en los propios procesos de la Administración, que son difíciles de cambiar, a lo que hay que sumar la presión financiera y de presupuestos; esto genera una tremenda obsolescencia de los equipos, de años, que hace de estos entornos un campo abonado para que entre una mafia de ransomware y los destroce por dentro, como hemos visto recientemente.

 

¿El caso del SEPE?

Sí. En el caso del Ministerio de Trabajo conozco bien lo que pasó con el incidente y no ocurrió por el ataque de una agencia de inteligencia, que es lo que se argumentó de forma oficial, sino que fue un grupo criminal, unos mafiosos. ¿Por qué ocurrió? Porque en este organismo no habían hecho lo que debían haber hecho, debido a que durante muchos años ha habido restricciones presupuestarias, se ha contratado con los proveedores más baratos con subastas holandesas… y oficialmente se defiende que nadie tiene culpa. 

A mí esto me parece puro cinismo; no obstante, como decía, en la Administración mucha gente se toma en serio la ciberseguridad, el Ayuntamiento de Madrid, por ejemplo, tiene un equipo impresionante. Y los equipos de las fuerzas y cuerpos de seguridad del Estado son muy buenos pero no tienen todos los medios que deberían. Todo el cibercrimen junto cuadriplica el narcotráfico, pero seguimos destinando muchos más recursos a luchas contra este último. 

Hay que cambiar muchas cosas. Hace años me puse a estudiar el informe REINA, donde se detallan las inversiones de la Administración pública en materia de tecnología, y no encontré ninguna partida destinada a la ciberseguridad. El presupuesto que yo deduje que había para esto, tras estudiar los datos, era menos de un 0,7%.

 

"Todo el cibercrimen junto cuadriplica el narcotráfico, pero seguimos destinando muchos más recursos a luchas contra este último"

 

¿Esto cambiará con la llegada de los fondos europeos?

Creo que los fondos se van a utilizar para ‘mangonear’ y financiar a determinadas empresas y no van a llegar a quien realmente lo necesita, como las pymes. Cuando vi la ayuda de 12.000 euros del Kit de digitalización me eché a llorar. 

 

En un momento geopolítico complejo como el actual, ¿qué consejos darías a las empresas y Administraciones que quieren utilizar soluciones de seguridad de compañías ubicadas en China o Rusia?

Esto es muy complicado. Mi opinión, aquí, es dual. Primero, no me gusta que me manipulen y tampoco ser un fervoroso seguidor de lo que Estados Unidos dice que es ‘el mal’ porque este país también ha plagado de puertas traseras y caballos de Troya todos los productos que compramos a diario en Europa. Y no lo digo yo. Wikileaks aporta todas las evidencias de que Estados Unidos ha estado espiando a los europeos como ha querido y como le ha permitido gran parte de la clase política europea. Aquí no hay nadie inocente. No es que los chinos, los rusos y los iraníes sean ‘el mal’, es que Estados Unidos también lo es. 

Tendemos a pensar que estamos en el bloque occidental y que somos todos amigos, aunque no es verdad; esto lo sabe cualquier persona que trabaje en una agencia de inteligencia. Tu país no tiene aliados sino compañeros de camino que a veces tienen los mismos objetivos que tú pero, cuando no es así, te pueden apuñalar cuando quieran.

Seguro que China, Rusia, Irán, Israel, Estados Unidos, Corea del Sur y Japón integran puertas traseras en los productos que se desarrollan en estos países. Yo lo haría. ¿Que es una injusticia? Sí. Y es bastante cínico decir que es mala una empresa como Kaspersky pero Cisco no. Hay que ser rigurosos y no dejarnos llevar por la propaganda. Lo que le está pasando en concreto a Kaspersky me parece una injusticia. Esta empresa ha colaborado mucho con temas de pornografía infantil, con el EC3 de la Interpol, poniendo recursos suyos… Es el colmo del cinismo. Pero todo esto es realpolitik. Y si Estados Unidos dice que son malos es que tienen que serlo. 

A la hora de seleccionar un producto hay que ceñirse a decisiones técnicas, pero, claro, si eres el CISO de una empresa del IBEX 35 considerada de interés estratégico nacional, a ver cómo convences al consejo de dirección a que invierta en una empresa que no sea de un país aliado.

 

"Es bastante cínico decir que es mala una empresa como Kaspersky pero Cisco no" 

 

 

Tiene todo el sentido entonces impulsar la soberanía tecnológica europea también en materia de ciberseguridad...

Es esencial que Europa tenga soberanía tecnológica y en materia de ciberseguridad porque, repito, no tenemos aliados, sino compañeros de camino que, cuando les convenga, nos van a apuñalar. Europa tiene que salir del gran problema que tiene: una enorme dependencia de productos estadounidenses, israelíes, británicos… 

En Europa debemos tener nuestra propia tecnología, nuestros propios almacenamientos de datos, nuestra propia ciberseguridad. Y esto no se hace con buenas palabras y planes que sirven para financiar a las IBEX 35 y a las universidades. Se hace con liderazgo de verdad y obligando a fondos de inversión de tu región a que destinen dinero donde deben, aunque no sea rentable, subiendo los salarios para atraer profesionales a España… Hay muchas cosas que hay que hacer que no se resuelven regalando dinero en fondos, ese es dinero tóxico.

 

Se suele decir que la falta de talento es uno de los retos del sector, pero tu posicionamiento sobre este asunto es radicalmente distinto.

Sí hay talento, lo que no hay es dinero para pagar a la gente que tienes que contratar. La estrategia financiera de muchas IBEX 35 es ir a full opex y tienen una aversión total a las nóminas. Lo que hacen es subcontratar a otra empresa y presionarla con la tarifa, de forma que al final podemos ver ofertas de empleo de profesionales de ciberseguridad a los que se paga 14.000 euros al año. Pero luego nos bombardean con la narrativa de que falta talento.

Según los datos del SEPE, el salario medio en ciberseguridad oscila entre los 23.000 y 24.000 al año. El gran problema es que no se paga a los profesionales de seguridad lo que se les tiene que pagar. En Europa se paga peor que en Estados Unidos pero no tan mal como en España en concreto. La estrategia de los gobiernos es inundar el mercado de profesionales STEM para seguir manteniendo esas tarifas tan bajas.

 

Este año se ha cumplido un lustro del ataque de WannaCry. ¿Realmente este incidente supuso un punto de inflexión en la gestión de la ciberseguridad corporativa? 

Sí, pasaron muchas cosas con WannaCry. Lo primero, se evidenció que la forma de actuar de las empresas no era un camino lógico. Los gobiernos se asustaron porque una amenaza tan básica y que se propagaba sola empezó a paralizar países de forma estructural y eso era inaudito; nadie se había planteado que esto podía pasar. Además, los directores generales y consejeros delegados de las empresas vieron en prensa durante días y días el apocalipsis, así que muchas organizaciones sí reaccionaron y se tomaron muchas medidas. 

Sí, definitivamente creo que fue un punto de inflexión, ha habido cambios derivados de WannaCry que son muy útiles, ojalá que venga otra situación igual… porque también veo, como antes comentaba, que las personas racionalizan el riesgo y, dado que ya se ha pasado la intensidad de este, ahora buscamos excusas. Muestra de ello es que el ransomware sigue subiendo de forma descontrolada; los criminales han encontrado un nicho de negocio espectacular: no van a la cárcel, el coste de producir la amenaza es irrisorio y la rentabilidad es altísima.

 

"En Europa debemos tener nuestra propia tecnología, nuestros propios almacenamientos de datos, nuestra propia ciberseguridad" 

 

¿Y los CISO? ¿Actúan como deben? ¿Su enfoque de ciberseguridad es ahora más estratégico o más táctico? 

Lo más importante para cualquier responsable de seguridad es tener lo básico bien resuelto. Muchos directivos tienden a gastarse miles de millones de euros al año en gilipolleces —escríbelo así en la entrevista, por favor—. Por ejemplo, implantan machine learning e inteligencia artificial que no hacen nada y, mientras tanto, tienen todo lo demás sin cerrar: puertas abiertas en los cortafuegos de la organización, permiten a los usuarios hacer cosas que no deberían, no tienen un control sobre una detección, no disponen de nadie que vigile las alertas en tiempo real… Hay que resolver lo básico y no volverse loco con lo superpuntero, no es necesario. El problema de esto es que si durante años un CISO —por cierto, no me gusta nada el nombre de CISO— ha acostumbrado a su organización a la laxitud y a acometer proyectos con riesgo es difícil cambiar esta cultura. Hay que trabajar poco a poco para cambiar una cultura de riesgo por otra de control.

 

¿Cómo se debe denominar el responsable de seguridad, en tu opinión?

La de CISO es una acepción que no me gusta nada. ¿De verdad los CISO de una IBEX 35 se dedican a la información? ¿Qué pasa con las amenazas de las mafias? Eso no es información: es crimen. ¿Y qué ocurre con la geopolítica?: eso es un entorno militar. En mi opinión, el término ‘CISO’ se queda pequeño, hay que pensar en otra acepción más amplia como ‘chief risk officer’ o ‘chief threat officer’. Las empresas deben empezar a gestionar los temas de seguridad como cualquier otro riesgo corporativo, decisiones que se toman en relación a la pérdida; de hecho hay un indicador (la pérdida total anualizada) que habría que aplicar a la ciberseguridad, porque en seguridad la pérdida total anualizada es incluso mucho más grande que la del riesgo financiero. Supone el cese del negocio, es decir, el máximo riesgo que afronta una organización.

En definitiva, los responsables de seguridad deben hablar menos de tecnología y más de los riesgos y las consecuencias que tienen las decisiones erróneas que se toman en esta materia. Pero, claro, si quieres un responsable de seguridad que de verdad gestione el riesgo, tienes que pagarle bien. 

 

"El término ‘CISO’ se queda pequeño, hay que pensar en otra acepción más amplia como ‘chief risk officer’ o ‘chief threat officer’. Las empresas deben empezar a gestionar los temas de seguridad como cualquier otro riesgo corporativo"

 

¿Y hay empresas en España que ya estén en este punto, con esta visión?

Caixabank es una. El máximo responsable de seguridad es Alberto Rosa, Chief Technology Officer (CTO) de la entidad, y por debajo suya hay dos roles: uno más centrado en seguridad de la información y otro en amenazas. Un profesional que se dedica a amenazas no es un informático, sino alguien que entiende también aspectos jurídicos, financieros, humanos, de infraestructura... Un perfil muy senior y horizontal.

 

No tiene que ser fácil encontrar estos perfiles, ¿no? 

Los hay. Muchos. El problema es en las empresas no se fomentan. Por ejemplo, no es habitual que las compañías faciliten a sus responsables de seguridad la realización de cursos sobre otros ámbitos y es un error.

Yo mismo no me considero informático ni ingeniero. Empecé con los ordenadores pero ahora me interesan más los riesgos vinculados a las personas o los riesgos estratégicos a nivel global. Muchos consejos de dirección no entienden que esto no va solo de informática. Por su parte, los propios CISO (o como queramos llamarles) también tienen que hacerse valer y comunicar esta visión a su organización. 

 

Muchos CISO reportan al CIO. ¿Qué opinas?

Precisamente, hace ya años leí en CIO España un artículo en el que se planteaba, de forma acertada, si había llegado el momento de que el CIO reportara al CISO. El rol del CIO está en la primera línea de defensa, en la primera capa de la organización, pero el CISO habla con los cuerpos y fuerzas de seguridad del Estado, con las agencias de inteligencia, hace prospección en contratos, va a licitaciones… el responsable de seguridad ve muchas más cosas que las que ve un CIO. No quiero parecer arrogante pero yo no me considero una persona táctica, de operaciones, sino estratégica.

 

"Hay que sacar la seguridad del área de TI y que el CISO esté en el consejo directivo de las organizaciones"

 

Pero imagino que antes de tener un rol más estratégico hay que vivir otro más táctico para comprender este mundo.

Absolutamente, eso es innegable, pero después hay que saber evolucionar y poder decidir en modo macro. Por otro lado, el factor más determinante para que un CIO tome una decisión es la disponibilidad y esto no siempre favorece a la seguridad. Hay que sacar la seguridad del área de TI y que el CISO esté en el consejo directivo de las organizaciones. 

 

La realidad es que la seguridad, muchas veces, se ve como un freno para los proyectos tecnológicos… Es común, por otro lado, que responsables de las áreas de negocio implanten soluciones sin el consentimiento del área de TI (el famoso shadow IT).

En el mundo actual la tendencia a la descentralización tecnológica es enorme y es difícil controlar el shadow IT. Para evitarlo las soluciones que se ofrecen internamente deben proporcionar más valor que las que se pueden encontrar fuera. Cada vez creo más en las organizaciones líquidas porque las tradicionales jerárquicas son incapaces de responder a lo que está pasando. Y, repito, en este panorama los CISO o CTRO (Chief Threat Risk Officers) tienen que defender su posición en la organización e intentar no depender del CIO.

 

Se suele decir que los empleados son los eslabones débiles de la organización, ¿esto es así realmente?

Con este discurso estamos criminalizando a la víctima. Es verdad que en el 99% de los casos el vector de entrada de un software malicioso tiene que ver con el empleado, pero eso no quiere decir que sea responsabilidad suya: la culpa es del equipo de seguridad. En mi opinión, la seguridad tiene que ser irrenunciable e invisible. No creo en la concienciación al usuario final. El esfuerzo lo tenemos que hacer los profesionales. 

 

 

En un escenario en el que el modelo cloud está en auge, ¿cuáles son los desafíos de ciberseguridad que esta opción tecnológica trae consigo?

Desde el punto de vista de las operaciones de seguridad, en el modelo cloud todo es más fácil de gestionar y controlar y los sistemas están siempre actualizados. Por ello, las estrategias de cloud first o cloud only son muy buenas para muchas organizaciones. El problema de adoptar cloud es que, aunque en Europa hay proyectos como GAIA-X y empresas que ofrecen servicios de centros de datos como la propia Telefónica, está de moda trabajar con los grandes hiperescalares estadounidenses [AWS, Microsoft y Google Cloud] y hay que ser conscientes de que quien controla estas nubes tiene mucha visibilidad de tu información. De hecho, en Estados Unidos, tras los atentados del 11-S se aprobó la Patriot Act, que ha evolucionado a la USA Patriot Act, que establece que si una agencia federal determina que existe una amenaza para la soberanía de este país o para sus ciudadanos, esta puede emitir una orden secreta para tomar el control de los datos de un usuario sin que la empresa que los gestiona pueda hacer nada ni se pueda oponer. Es más, Microsoft es la única que ha plantado cara directamente al Gobierno de Estados Unidos en este aspecto (se negó a facilitar al Gobierno americano los datos de un usuario irlandés, sospechoso de pederastia, lo que es un crimen, pero no una amenaza para el país). 

También, en otro orden de cosas, me preocupa la censura de información que las big tech están haciendo en sus plataformas. ¿Y qué va a pasar cuando decidan revisar el correo de los ciudadanos para detectar amenazas contra ellas? Tenemos un gran problema con esto, tenemos que apoyar la soberanía tecnológica europea.

 

Pero Bruselas ya está actuando en este sentido con nueva legislación.

La UE acaba de aprobar la Digital Services Act (DSA) y la Digital Markets Act (DMA), con las que da patente de corso a las tecnológicas para que censuren lo que consideren conveniente. Europa está dejando en manos privadas muchas decisiones de derechos fundamentales. O trabajamos para conseguir autonomía y no depender de empresas extranjeras o tendremos que buscar estrategias alternativas. Una es el cifrado homomórfico, que también se puede aplicar al modelo cloud, pero, claro, añade la complejidad que la nube persigue evitar.

 

¿Y el Reglamento Europeo de Protección de Datos (GDPR, en sus siglas en inglés)? ¿Lo ves como un referente internacional?

Sí. Es esencial. De hecho, está basado en la ley orgánica de protección de datos española y ha hecho posible que la normativa aplique a los datos estén donde estén; con el reglamento, los consentimientos tácitos horizontales se han acabado. Pero hay que hacer más, habría que sancionar automáticamente en cuanto un usuario denuncie que una empresa está tratando mal sus datos. Pero, sin duda, es el camino.

 

"Nos hace falta una persona de Estado, fuera de los partidos políticos, con un rol con una vigencia de 15 años y cuyo objetivo sea mejorar y aumentar tecnológicamente España en materia de ciberseguridad"

 

El de seguridad es un mercado muy fragmentado, con muchas empresas, muy pocas españolas. ¿Cómo ves la creación de empresas de ciberseguridad en España?

En España necesitamos una churrera de empresas, hay que hacer lo mismo que Israel o que Corea del Sur. Nos hace falta una persona de Estado, fuera de los partidos políticos, con un rol con una vigencia de 15 años y cuyo objetivo sea mejorar y aumentar tecnológicamente España en materia de ciberseguridad; pero fuera de una Secretaría de Estado, que al final tiene un objetivo político.

 

¿Y las propias tecnológicas? ¿Están estas definitivamente más concienciadas de la importancia de la seguridad?

Sí. Google, Microsoft, la propia Telefónica… lo están haciendo muy bien. Se lo toman en serio, pero no todas.

 

Hemos tratado muchos temas durante la entrevista, ¿algún mensaje final que quieras destacar?

Solo reiterar que hay que buscar la manera de que asumir riesgos no salga gratis, debe tener consecuencias civiles, penales y mercantiles.


 



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper