"La lección más importante que Equifax ha aprendido es que no quiere volver a vivir un incidente así"

Escuche la entrevista en audio

Mario Moreno/ Imagen: Juan Márquez

De sufrir uno de los ataques más mediáticos en los últimos años a contar con su propia compañía de seguridad, Kount, para combatir el fraude bancario, a día de hoy. Así ha evolucionado Equifax, una de las principales empresas de información crediticia del globo, desde que en 2017 viera cómo una brecha comprometía datos de 143 millones de consumidores. Fue tal la repercusión mediática que el incidente culminó con la salida de su CEO (Richard Smith), CIO (David Webb) y CISO (Susan Mauldin) globales, y con el pago de una multa de unos 700 millones de dólares. Cuenta Javier Checa, Business Information Security Officer de la compañía en España, en esta entrevista sin tapujos, que tras el compromiso, la firma cayó un 40% en Bolsa y que, para volver a ganar la confianza del mercado, se han invertido 1.500 millones de dólares y se ha contratado a 1.000 personas, divididas entre las áreas de TI y ciberseguridad. “Fue un golpe muy duro”, reflexiona. “Hoy puede ser ventajista decir que no supuso tanta importancia para nosotros porque, tras el suceso, hemos cumplido el compromiso de convertirnos en líderes de ciberseguridad”.

Cinco años después del ciberataque y viendo la actual democratización de la ciberseguridad y de la asimilación de que toda compañía, independientemente de su tamaño, puede caer, ¿qué lecciones se han aprendido?

La lección más importante es que no queremos vernos en una situación igual, en la que el CEO y el CISO dejaron la compañía, lo que hizo que enfrentarse a la problemática fuera mucho más complicado. En el incidente intervinieron muchos factores y, con el tiempo, hemos visto qué hicimos mal y qué teníamos que mejorar. Por ejemplo, dentro del área tecnológica fallamos en la gestión de vulnerabilidades y en la correcta segmentación de la infraestructura y los certificados. Pero, hemos visto que en seguridad no hay que centrarse tanto en la tecnología, que también hay que aprovechar y exprimir, como en los procesos. Y no hay que buscar tecnologías comodín que nos van a servir para solventar problemas, sino que hay que centrarse en los controles a los que hay que dar solución. Cuando una empresa busca el compliance y no se centra en el riesgo y en sus controles, habrá problemas. Estas cuestiones posibilitaron tener el incidente. Pero más allá de eso, nos dimos cuenta de que la razón por la que ocurrió el ciberataque fue por una falta de cultura de seguridad interna. Por falta de cultura entendemos que seguridad no tenía el peso adecuado dentro de la organización, o que los empleados no se sentían partícipes de ella, o que sus acciones podían tener un impacto negativo. También vimos que no hay que sacrificar la protección y crecer el riesgo con el mero objetivo de aumentar los ingresos. Esos son los tres factores que nos pusimos a mejorar desde el día uno después de la brecha.

¿Cuáles son, entonces, los pilares actuales de la seguridad de Equifax?

Tras el incidente lo cambiamos todo. Comenzó una transformación muy importante en la que se han invertido 1.500 millones de dólares y se ha contratado a unas 1.000 personas, tanto en TI como en seguridad. En definitiva, hemos hecho borrón y cuenta nueva. Contamos con otra política de seguridad y otros procesos. Ahora, nuestro pilar principal es la cultura. A día de hoy, seguridad tiene mucho peso dentro de la organización, y el propio CISO global, Jamil Farshchi, reporta al CEO (Mark Begor). Y los distintos cargos locales pertenecen al comité de dirección de cada país. Yo mismo así lo hago en España. Además, se ha elaborado un plan de formación para los empleados de obligatorio cumplimiento, con renovaciones e informaciones cada cierto tiempo. Equifax ha sido la primera empresa cotizada en Estados Unidos que, dentro de la propia evaluación de los trabajadores, tiene un componente obligatorio de ciberseguridad. Por ejemplo, su calificación en seguridad sirve para determinar su bonus ese año. Por último, se han establecido ciertas líneas rojas que no se pueden pasar en cuanto al aumento de riesgos.

Casi a la par, explota el caso WannaCry, el famoso ataque ransomware que tuvo mucha repercusión en España y que afectó, entre otras grandes empresas, a Telefónica. ¿Ayudó a normalizar los incidentes y a compartir información sectorial?

En el ámbito de la seguridad nos pasa un poco como con la memoria climatológica, es decir, que parece que no hubo nada antes de WannaCry, que nunca antes había llovido de esa manera, y que muchas organizaciones nunca antes habían estado contra las cuerdas. Pero sí es cierto que WannaCry se quedó en la retina de todos por cómo se vio afectada una compañía de telecomunicaciones (Telefónica). Por aquel entonces yo trabajaba en una empresa de consultoría, y no en proveedor. Pero en seguridad hay que luchar mucho por vender y por sacar adelante presupuestos. Entonces sí que vimos un acicate para las empresas. Pero en España exploramos una cosa distinta que la que hubiese pasado en Estados Unidos; cuando Equifax sufrió el ataque en septiembre de ese mismo año sus acciones bajaron en Bolsa un 40%. Sin embargo, esta telco, aunque muchas más empresas fueron afectadas, subió en cotización. Me acuerdo de que WannaCry se produjo un viernes, porque todos los incidentes ocurren los viernes, y al lunes siguiente los empleados tampoco pudieron ir a trabajar. Ese día volvió a subir la empresa. Me dejó un poco sorprendido. Entonces, ¿este incidente sirvió para concienciar? Puede ser que sí, pero no lo tendría tan claro si lo hizo en España, quizás fue el germen de lo que vendría posteriormente. El gran cambio vino un año después con el Reglamento General de Protección de Datos (GDPR, de sus siglas inglesas).

GDPR obliga a la notificación de incidentes y, precisamente, en unas declaraciones del CISO global de Equifax, Jamil Farshchi, a la edición estadounidense de CSO, decía que la seguridad ya no es un secreto comercial, que debe primar la transparencia y que no hace falta un incidente para que una empresa teste y descubra su madurez.

Equifax ha comenzado a publicar todos los años un reporte del estado de la ciberseguridad en la compañía. Y el de este año comienza así: “La seguridad no es algo secreto sino transparente”. Esta afirmación la podemos ver desde la eterna dicotomía sobre qué es más seguro, si algo que se conoce o algo que no; el famoso paradigma de seguridad en la oscuridad. Pero, al final, las distintas partes interesadas tienen derecho a saber cómo estás tratando sus datos y el estado de madurez de tu organización. Además, los accionistas tienen que saber dónde están poniendo su dinero. Realmente, el punto donde más quiere incidir nuestro CISO es que no quiere que nos durmamos en los laureles, que Equifax vuelva a ser comprometida. Es muy común que muchas empresas definan una estrategia que no se cumpla o que cuando tienen un incidente lo solucionen pero no lo aprovechen después para mejorar. Farshchi es una persona muy innovadora, quizás lo es mucho para un sector como el de la seguridad, que va ganando madurez año tras año. Apuesta firmemente por la comunicación, la colaboración y la transparencia, que ayudan a tener una mejora protección. Equifax participa con clientes y proveedores en sesiones en las que les hacemos ver nuestro caso para que no les pase a ellos. Estas no son palabras vacías, ofrecemos un producto a nuestros clientes que da visibilidad de los activos que tienen contratados con nosotros. De hecho, Farshchi ha sido nombrado recientemente consejero del FBI para mejorar la cooperación entre el organismo y las empresas norteamericanas.

"La razón por la que ocurrió el ataque fue por una falta de cultura interna de seguridad"

¿Puede decir que Equifax ha transformado el incidente de 2017 en un caso de éxito a día de hoy?

Puede ser ventajista decir que, a lo mejor, no supuso tanto para la compañía. Pero fue un golpe muy duro; perdimos la confianza de los clientes. Nuestro actual CEO se comprometió a hacer de Equifax una empresa líder de seguridad y, con ello, retomar la confianza del usuario. Y no valen solo las palabras, lo hemos conseguido y así lo confirman distintos analistas de mercado. Se ha hecho un trabajo muy importante y podemos afirmar que la seguridad ha aportado valor a la compañía.

De hecho, ahora cuenta con su propia división y productos, Kount, para combatir el fraude bancario.

El fraude es un tema muy complejo porque afecta a todos los ámbitos de las compañías y porque se puede atacar desde muchas maneras y departamentos. Además, evoluciona constantemente. Los atacantes se juntan en grupos más cerrados, independientes y atómicos que lo sofistican, por lo que es más difícil dar una respuesta unificada. Equifax ha incorporado varios productos a su cartera. El principal es Kount, que ataca el fraude al final del medio de pago. Revisa, por medios de modelos matemáticos y con inteligencia artificial, el comportamiento y las tarjetas utilizadas, y sabe cuándo un pago puede ser maligno. También presta valor en la recuperación del activo, cuando una empresa tiene una penalización por parte de un banco por haber sido víctima. El banco suele tener muy poca información de lo que ha pasado, pero Kount sí la aporta porque está embebida dentro del proceso de compra.

¿De qué manera se ha sofisticado?

La mayor sofisticación es que desde alguien hace una prueba de concepto para un nuevo modelo de fraude hasta que se masifica se han reducido muchísimo los tiempos. Anteriormente, su producción era más lenta. Desde el punto de vista técnico también ha evolucionado. Ya no solo se ataca el componente humano, sino el digital de las empresas.

¿Es la identidad la clave del nuevo paradigma de seguridad?

El problema de la identidad es que las problemáticas son muy distintas en Europa con respecto a Estados Unidos. E incluso dentro de los propios países. Es complicado hacer depender todo el fraude en la identidad porque muchos clientes no quieren ser identificados. Y no por ello vas a a querer perder a un consumidor. Por eso el fraude es difícil de atajar, no hay una receta mágica. Tienes que entender tu negocio y servirte de ayuda como la nuestra. La identidad es un motor más, un punto de anclaje más para detenerlo, pero no el único.

"Ahora podemos afirmar que la seguriad ha aportado valor a la compañía"

¿La crisis económica hace aumentar los ratios de fraude?

Hay un crecimiento considerable, pero no podemos afirmar que sea por la situación económica actual. Lo que más nos preocupa son aquellas organizaciones que trabajan como una empresa de fraude, con sus horarios, jefes… Son muy especializadas. Yo creo que el aumento viene de que cada vez tenemos más activos digitales. Además, no hay vistas a que el fraude descienda, ni siquiera a que se estanque.

¿Cómo combina Equifax la seguridad con la experiencia de usuario? ¿Es cierto que cuanta más protección mayores transacciones legítimas se bloquean?

El componente del falso positivo asusta. Pero nuestra solución es tan precisa que nos permite ajustar la identificación de acciones sospechosas aumentando los ingresos.

¿Normativas como GDPR o PSD2 en el sector financiero suponen un freno a los negocios, en este caso, a las transacciones?

Independientemente de que estas normas, a priori, supongan un freno y cueste aterrizarlas, una vez hecho, puedes obtener mucho valor de ellas. A día de hoy no vemos que hayan tenido un impacto negativo, sino al contrario, han ayudado a mejorar la postura de seguridad de las empresas.

Por último, ¿cómo ve el futuro de la madurez del ecosistema digital dentro del sector?

El futuro tiene cabida para todos, tanto para las fintech, con más agilidad y menores costes, como para las empresas más tradicionales, que van a seguir teniendo cierto público donde aportan más valor sobre su negocio. Los dos mundos tienen recorrido.