Fundada en 2015 por un equipo de especialistas en ciberseguridad, entre los que se encuentra su CEO, David Barroso, CounterCraft es una de las empresas más disruptivas en Europa dentro de su categoría. Cuenta entre sus clientes con numerosas empresas del Ibex-35, así como a organizaciones y compañías europeas y estadounidenses. Su solución, Cyber Deception, es una tecnología que hace creer a los ciberdelincuentes que su ataque ha tenido éxito mediante la creación de entornos que imitan a los reales, tal como nos explica el que fuera uno de los principales responsables de la división de seguridad de Telefónica (ElevenPaths) antes de emprender con su propia startup.
CounterCraft es una empresa de ciberseguridad española que usa tecnologías de engaño contra los ciberataques, ¿mejor tener al enemigo cerca y vigilado que lejos descontrolado?
Esa es una de las premisas. Hoy en día ya a nadie le queda duda de que los atacantes actúan, y como eso va a seguir sucediendo, es mejor detectarlos, tenerlos controlados y sacar la mayor información de ellos, que pensar que nuestras defensas van a acabar con ellos.
Cyber Deception es el nombre de vuestra tecnología, ¿qué la hace diferente?
Hemos aportado la pieza del puzle que faltaba. Porque hasta ahora las empresas y los gobiernos se han centrado mucho en levantar barreras para proteger “el castillo”, con murallas, el foso de los cocodrilos, los arqueros… Por este modelo de defensa llevamos apostando 30 años, pero siempre es fácil meterte por un pasadizo oculto, porque alguien te esconda, porque haya un infiltrado, y es ahí donde aportamos un plus que ya se trataba de hacer, pero de forma menos avanzada. Nosotros hemos añadido esa capacidad de automatización de técnicas de engaño, de desplegar trampas por distintas partes de la organización; lo que hacemos es tejer una gran tela de araña y, cuando alguien toca un hilo, aparece la araña, que somos nosotros, y sacamos información del atacante para tenerlo controlado, y provocamos que nos ataque a nosotros en lugar de a los sistemas de producción. La del engaño es una técnica militar muy antigua, pero nuestro gran valor ha sido haberla aplicado a la tecnología actual.
¿Hay muchas empresas en Europa que aplican tecnología de engaño?
En Europa hay una pequeña empresa austriaca y el resto son americanas, generalmente de origen israelí, que son con las que competimos. El problema de Europa es que tenemos poco producto de ciberseguridad, casi todos los que usamos son israelís o norteamericanos. Los productos españoles se pueden contar con los dedos de la mano, como sucede con los europeos, y Europa tiene que apostar en esta tecnología para no quedarse atrás y no depender de terceros.
"Es mucho más fácil intentar sacar dinero de una empresa con un ransomware de forma remota, a miles de kilómetros, que entrar a esa empresa a robar la caja fuerte".
Todas las semanas salen informes aportando nuevos datos, cada vez más preocupantes, sobre la problemática de los ciberataques a empresas, instituciones. Parece como si estuviéramos inmersos en una especie de Mad Max digital…
Pasan muchas cosas todos los días, pero es normal que sea así. Tenemos una dependencia de la tecnología cada vez mayor y eso hace que existan nuevas amenazas que antes no existían, y nuestros adversarios lo ven y se aprovechan de ello, porque es mucho más fácil intentar sacar dinero de una empresa con un ransomware de forma remota, a miles de kilómetros, que entrar a esa empresa a robar la caja fuerte. El retorno de inversión por parte de los atacantes se ha incrementado de forma notable en este siglo.
Y detrás, siempre, o casi siempre, ciberatacantes rusos o iraníes. Uno tiene la impresión de que se está librando una especie de guerra silenciosa entre naciones, y que los "malos" son siempre los mismos.
Estamos en una guerra fría, no de tipo nuclear, pero sí tecnológica. Es cierto que hay muchos ataques, espionaje, sabotajes, por parte de naciones, y parece que los malos son los rusos, los chinos o los iraníes, pero la realidad es que los espías espían, y todos hacen lo mismo. Seguro que si viviéramos en Rusia los malos serían otros. Según donde estés ves la película de una manera u otra, pero lo cierto es que todos hacen lo mismo y que lo hacen según sus capacidades, unos mejor y otros peor.
A Israel se la oye menos, como suele suceder con este Estado, ¿es sin embargo la gran potencia en ciberseguridad?
Israel es una gran potencia en ciberseguridad, no la gran potencia, pero sin duda está en el top 5 porque ha apostado desde hace muchos años por ella y la gran mayoría de empresas punteras son de allí, tanto a nivel de servicio de inteligencia como de empresas punteras.
"Ahora mismo las redes sociales son el sueño de cualquier servicio de inteligencia. Les estamos diciendo dónde estamos, qué nos gusta, o cómo nos encontramos, con fotos y videos de forma continua".
En los pasados meses, Trump se obcecó con la necesidad de prohibir TikTok en Estados Unidos, ¿crees que hasta las aparentemente inocuas redes sociales pueden ser poderosas herramientas de espionaje?
Por supuesto. Ahora mismo las redes sociales son el sueño de cualquier servicio de inteligencia. Les estamos diciendo dónde estamos, qué nos gusta, o cómo nos encontramos, con fotos y videos de forma continua… Ese es un cambio que la sociedad ha hecho hace años y no ha variado mucho. El caso específico de TikTok es geopolítico; si en vez de tratarse de una empresa china se hubiera tratado de una norteamericana no habría habido ningún problema. El grado de exposición de datos personales que estamos haciendo hoy en día es brutal, y eso es algo bueno, porque nos permite hacer muchas cosas, pero también implica nuevos riesgos.
¿Y la implementación del 5G puede complicar más las cosas?
Yo creo que se está exagerando un poco. El problema que tenemos hoy es la interconexión, la facilidad para conectarte de un sitio a otro. Como a haber tanto dispositivo conectado con el internet de las cosas, el 5G va a aumentar nuestro nivel de exposición, pero no me parece que eso sea un problema inherente al 5G, sino que, de nuevo, tiene un aspecto geopolítico importante. El 5G va a ser una infraestructura crítica del país, al igual que el 4G o la fibra, y está claro que, si alguien tiene acceso, o consigue tirarlo abajo, va a producir un gran daño, o incluso parar el país. Esto no es algo nuevo.
"En organizaciones como la OTAN hay poca presencia española, casi todas las empresas son alemanas, inglesas, francesas o americanas, y está bien que con la calidad y talento que tenemos en muchas empresas españolas podamos ir ganando peso".
Volviendo a Countercraft, habéis estado trabajando directamente con el equipo de ciberdefensa de la OTAN durante 6 meses en la simulación de redes con vuestra tecnología. ¿Cómo ha sido esta experiencia?
Ha sido muy gratificante, porque hemos trabajado con diferentes naciones que han estado atacando infraestructuras que nuestro producto estaba defendiendo y los resultados han sido muy positivos, hasta el punto de que la idea es repetir y hacer algo más grande el año próximo, porque el objetivo final es que organizaciones como la OTAN usen nuestra tecnología en sus operaciones, en sus redes internas y externas, para defenderse de ciberatacantes. También nos ha venido muy bien para sacar nuevas ideas sobre funcionalidades, con lo que también nos ayuda a mejorar el producto. En organizaciones como la OTAN hay poca presencia española, casi todas las empresas son alemanas, inglesas, francesas, americanas, y está bien que con la calidad y talento que tenemos en muchas empresas españolas podamos ir ganando paso.
¿Y cuáles son vuestros planes para 2021?
Este año hemos montado una pequeña oficina en Nueva York, y ya tenemos allí empleados y algunos clientes, y el siguiente paso es crecer allí. Estados Unidos es una especie de Champions League de la ciberseguridad y el competir de tú a tú allí es lo que realmente demuestra el valor de tu producto. Aunque aquí tenemos grandes clientes del Ibex-35, si quieres ser importante en Estados Unidos tienes que tener clientes norteamericanos. El desafío es tratar de crecer allí, donde vamos a aumentar un poco más el equipo, y también hacerlo en Europa, que son nuestros dos mercados fundamentales. Tenemos un producto maduro y el objetivo ahora es crecer en clientes.
¿Trabajáis en vuestra tecnología Cyber Deception de forma monográfica o lo hacéis en paralelo con otros productos de ciberseguridad?
No, seguimos trabajando en este producto, porque requiere una evolución continua. Los ataques van cambiando, los clientes nos piden nuevas funcionalidades, tenemos que diferenciarnos de la competencia… toda la apuesta está sobre este producto, y la idea es que sea el mejor producto mundial de la categoría.
¿Cómo está haciendo España como país las cosas en materia de ciberseguridad? ¿Hay ayudas para el emprendimiento, programas oficiales que realmente merezcan la pena?
Han mejorado estos últimos años, pero todavía nos queda mucho camino por recorrer. Ha mejorado la parte inicial, cuando un emprendedor crea una empresa y necesita ayudas y asesoramiento, y falta bastante por mejorar en la que viene cuando ya tienes unos cuantos clientes y necesitas pasar a la siguiente fase. Ahí es donde más fallamos, porque en otros países hay mucha afinidad a comprar tecnología propia; las empresas y los gobiernos compran tecnología de startups para probarla y usarla, pero aquí eso no se lleva tanto, y habría que ayudar a mejorarlo. Está bien que haya ayudas, proyectos de I+D, pero al final lo que las empresas necesitamos son clientes que apuesten por tecnologías de startups, que es algo que aquí aún no es muy común.
El hecho de que Bucarest haya sido designada sede del Centro Europeo de Ciberseguridad en lugar de León, ¿es un golpe bajo para el desarrollo de la ciberseguridad de nuestro país?
En España tenemos muchas empresas de ciberseguridad grandes, pero casi todas son de servicios, y muy pocas de producto. Las empresas de producto te ayudan a crear un ecosistema y posiblemente eso es lo que ha pasado en Bucarest, que tiene muchas empresas de producto que están vendiendo en todo el mundo. Aquí no tenemos un Bitdefender, como Rumanía, que tire tanto del sector, aunque hemos tenido un Panda cuyo empuje igual no hemos sabido aprovechar. Es una pena, porque haber traído a León el Centro Europeo de Ciberseguridad hubiera mejorado nuestra relación con Europa, porque aquí una empresa que tiene éxito busca enseguida montar algo en México o Colombia, fundamentalmente, pero pocas veces se mira hacia Alemania o Inglaterra, es algo que nos cuesta. Hay muy pocos casos de éxito de empresas españolas de ciberseguridad que también hayan tenido éxito en países europeos.
"Todavía no estamos en ese momento en el que apostemos fuerte por seguridad; nos interesa más que algo funcione y tenga un precio asequible, y lo digo tanto a nivel de personas como de empresas y de gobiernos"
La ciberseguridad implica pagar un precio a quien la quiere, ¿cómo sociedad estamos concienciados en la necesidad de hacer este gasto?
Aunque esto está cambiando, la seguridad todavía no es algo que se tome muy en cuenta. Muchas veces, cuando compramos algo, nos fijamos en las funcionalidades y en el precio, pero no se mira cómo es de seguro. Normalmente cuando alguien se compra una webcam para casa busca la que mejores comentarios tenga y la más barata, pero, por precio, puede que su seguridad sea baja, con lo que cualquiera puede hacerse con su control, cosa que ocurre con frecuencia. Todavía no estamos en ese momento en el que apostemos fuerte por seguridad; nos interesa más que algo funcione y tenga un precio asequible, y lo digo tanto a nivel de personas como de empresas y de gobiernos. Pero supongo que es parte de un proceso, como cuando salieron los primeros coches sin prácticamente medidas de seguridad, y luego se empezó a regular para que todos tuvieran distintos mecanismos básicos. Lo mismo debería suceder con la tecnología, que tendría que tener ciertos sistemas mínimos para que los usuarios no se debieran preocupar. Eso lo haremos en algún momento, pero todavía no ha llegado.
Comenzasteis en 2015 con una startup, y ya estáis consolidados, con el apoyo de varias firmas de capital riesgo. Como sucede en tantos casos, ¿el futuro de CounterCraft pasa por acabar en manos de una gran organización?
A priori no, pero nunca sabes adónde vas a llegar. Nosotros queremos crecer y ser los líderes, tener una empresa potente europea que lidere nuestro segmento. Ese es nuestro objetivo, pero en el camino de las empresas hay altibajos. Nosotros en estos cinco años hemos tenido momentos muy buenos, momentos muy malos, y es muy complejo el controlar tu destino. A nosotros nos gustaría ser la principal empresa a nivel mundial en nuestro segmento, pero hay tensiones financieras, de mercado, o imprevistos como la pandemia que ha roto muchas reglas.
¿El mundo del emprendimiento, y en particular del emprendimiento en ciberseguridad, se ha visto muy afectado por el coronavirus?
Hay de todo. Algunos se han visto muy afectados y otros muy beneficiados. Por ejemplo, si tienes una startup de viajes seguro que te ha afectado mucho, pero a otras les ha venido muy bien. A nivel de España, yo conozco startups que les iba regular, muy centradas en contenidos, venta online, y han vendido mucho más que si no hubiera pasado nada. Ha habido un poco de todo. En el mundo de la ciberseguridad nos hemos quedado en una situación similar a la anterior, es un sector que aguanta bastante bien las crisis porque al final hace falta responder ante los incidentes de seguridad. En nuestro caso se nos han caído algunas cosas de sectores que estaban mal, como aerolíneas, pero a la vez han salido otras que no estábamos esperando.