Hugo Álvarez estudió la carrera de Ingeniero de Telecomunicaciones por la Universidad de Vigo. Tiene un MBA e la IE Business School y más de 20 años de experiencia en la venta de soluciones tecnológicas a diversos países. Lleva los últimos diez años trabajando en el sector de la ciberseguridad. Se incorporó hace una década a la división de software de Hewlett Packard y acabó trabajando en una unidad de negocio que se ocupaba del portfolio de Big Data y Ciberseguridad. De ahí pasó una compañía israelí de seguridad de aplicaciones donde estuvo unos años. Desde hace más de seis meses trabaja en Perception Point, una empresa con sede en Tel-Aviv especializada en ciberseguridad de punto final o endpoint.
¿Podrías explicar para los no versados qué entendemos por endpoint?
Es el genérico de protección del punto final, que es el punto del usuario, que es donde trabajamos nosotros, el portátil, el terminal. Hay seguridad perimetral, más alejada que es la relativa a los gateways de seguridad, en la infraestructura de red. Pero nosotros vamos enfocados al puesto del usuario, al terminal. Dentro de ello hay muchas disciplinas. Nosotros estamos enfocados en tres canales, el primero, que es el más conocido y popular, es el correo electrónico. Todas las compañías deben tener una herramienta para protegerlo que te avise de cuando hay un phishing, un malware, un intento de suplantación de Identidad. La segunda es el navegador web: cada vez hay más ataques a través del navegador, cuando estás consultando tu Gmail, o abres la aplicación de escritorio de WhatsApp, o abres un PDF o un link. Puede haber software malicioso. Este es el segundo canal, es de los más atacados…Y el tercero es el de las aplicaciones en la nube. Muchas son las que utilizas tú y utiliza todo el mundo: Dropbox, otras herramientas para transferir ficheros, Teams, Zoom.
¿Estamos hablando de Dropbox o de dropboxchurifuri.com?
Estas aplicaciones no son seguras para nada. Por ejemplo, el Dropbox de pata negra, el genuino, el auténtico, no deja de ser un simple repositorio donde tú haces cosas, donde puedes dejar ficheros, PDFs, correos electrónicos, todos estos elementos, que no dejan de ser archivos o programas ejecutables. Pueden contener software malicioso, exactamente igual que lo que te viene con el correo electrónico. Igual que los adjuntos, que pueden tomar el control de tu terminal y hacerte muchas perrerías. Hay muchas técnicas.
El riesgo de que la foto o el documento venga con bichito es para quien lo recibe.
Así es. Los “bichos” pueden venir acompañando cualquier cosa que te manden, sea un PDF, y ya no digamos un programa ejecutable. Tú misma en tu e-mail y en tu teléfono móvil habrás recibido mensajes raros en los que te dicen que pulses un link o que recuerdes tus cuentas bancarias. Todos estos repositorios o ataques en la nube contienen ficheros que pueden ser potencialmente peligrosos. La mayoría no tienen nada, pero con que tengas uno que esté infectado, pues ya está.
¿Cuál es la ventaja de vuestra empresa con respecto a otras?
Déjame que primero te dé un dato que es muy interesante que explica por qué nos dedicamos a esto. En el 99% de las brechas de ciberseguridad exitosas desde el punto de vista de los malos, de las que llegan a robar información, tomar el control y conseguir dinero, está involucrado el correo o el navegador web. Son los dos canales que utilizamos todos los días. Entonces hemos puesto el foco en estos dos aspectos. Y también en las Cloud Apps. Vemos que los ataques están creciendo también a partir de este vector.
"Hay empresas que no le pagan un VPN a sus empleados porque todavía creen que es una cosa superficial, que la gente la utiliza para viajar por ahí y que no sepan dónde estamos y ver películas o conectarnos a Netflix. Hay una confusión con la función"
¿Y qué hacéis exactamente?
Hay un círculo virtuoso que no termina nunca. Y es este: aislamiento, aislar el correo, o la app en la nube o el navegador, para que no te haga daño. Después detectar, escanear y actuar con una tecnología basada en siete capas actuamos. Por eso crecemos más rápido, porque detectamos más que nuestros competidores. Detectamos malware, phishing, sitios maliciosos, impresoras con problemas, hay muchas técnicas de ataque. Lo primero es aislar, lo segundo detectar, y lo tercero remediar. Remediar es ponerle solución al problema, ya sea borrándolo o poniéndolo en cuarentena.
¿Podría definirse como un macroantivirus vuestro sistema?
Sí, yo cuando empecé en este sector hice exactamente la misma pregunta. Y soy ingeniero en telecomunicaciones, pero esto va tan rápido… Es básicamente eso. Asimila este sistema a un superantivirus. Un antivirus normal se basa en una base de datos conocida, tú tienes un catálogo de enfermedades: gripe, sarampión, viruela, y tú detectas si te ha venido alguna de esas. ¿Cuál es la ventaja en nuestro caso? Que detectamos cosas que tú no tienes catalogadas. Es como decir, este Covid, que es una variante nueva, tiene un aspecto raro, por si acaso, voy a dejarlo en cuarentena y vemos qué pasa.
Para ello hay que tener un departamento de investigación muy bueno detrás…
Sí, tenemos un equipo de respuesta a incidencias en Tel-Aviv, y tenemos un equipo de unos veinte o veinticinco analistas de seguridad que se dedican a esto. Ellos son los que descubren las denominadas Zero Dates, nuevas vulnerabilidades. El equivalente, como ya he dicho, sería en medicina la nueva variante del Covid, la variante Omega. Ellos descubren eso y lo publican, porque da confianza a los clientes y muestra que estamos haciendo las cosas bien.
¿Vais dirigidos a pymes o a grandes empresas?
Sobre todo nos focalizamos en grandes y medianas empresas. Nuestra tecnología llega a las pequeñas empresas por el modelo de comercialización que tenemos. Trabajamos a partir de sellers. Es lo que sería el modelo MSSP o por sus siglas en inglés, Proveedor de Servicios Gestionados de Seguridad. Las pymes no pueden tener normalmente personal de seguridad porque son profesionales muy caros. Y suelen externalizarlo. Y ahí intervienen nuestros partner. Ellos tienen la infraestructura y las soluciones y cobran una tasa mensual. Nosotros podemos llegar a las pymes a partir de estos modelos de comercialización.
Con la crisis la gente tiene que elegir en un momento dado entre comer y tener fibra o poner la calefacción o el aire acondicionado para teletrabajar. Muchos tienen que irse a cualquier sitio. ¿Tú crees que los empresarios son conscientes del peligro que implica tener a tus trabajadores en una cafetería sin ninguna protección?
No hay nada más peligroso que las redes públicas, la wifi del Starbucks o del MacDonalds. Cualquier hacker de primero de columpios puede entrar. Estamos desprotegidos. Y si lo ciberatacan la responsabilidad es siempre de la compañía, no del trabajador. Tiene que poner unos sistemas para proteger el entorno de trabajo de su empleado. La empresa tiene que participar en esta defensa. Defender a un empleado con nuestra tecnología te puede salir, por decirte una cifra redonda, por cien euros al año, no creo que sea una cifra inasumible para una empresa importante. Y eso para tener un sistema profesional como el que utiliza Telefónica o Hotel Beds o Procter & Gamble. Luego hay otro punto importantísimo.
"Hay que ser paranoico, el consejo es ser siempre paranoico. Cuando te llega algo, si tienes dudas, no lo abras"
¿Cuál es?
La concienciación. Los empresarios están muy verdes en cuanto a saber que esto es una cosa que le puede pasar a cualquiera y que todos los días lo hay. Pero también hablo de concienciación a los empleados y a los ciudadanos. Somos muy descuidados. Hay medidas básicas como puede ser desconfiar de todo. Hay que ser paranoico, el consejo es ser siempre paranoico. Cuando te llega algo, si tienes dudas, no lo abras. Y también tener siempre los sistemas actualizados, no conectarte a redes públicas. Hace falta mucha sensibilidad y cultura digital. Hay que hacer un esfuerzo educativo en los colegios, y en campañas públicas por mejorar el conocimiento y saber los riesgos. Igual que conocemos los riesgos de no llevar una mascarilla cuando hay una pandemia. Estamos muy lejos de tener un nivel aceptable de conocimiento. Utilizar un VPN es una más de los cientos de cosas que debemos conocer en nuestro día a día. Yo lo recomiendo siempre.
¿Por qué muchas empresas no se lo pagan a sus empleados?
Porque todavía tienen la idea de que es una cosa superficial, que la gente la utiliza para viajar por ahí y que no sepan dónde estamos y ver películas o conectarnos a Netflix. Hay una confusión con la función.
Se ve a mucho ejecutivo trabajando con demasiada alegría en cualquier sitio sin adoptar medidas de seguridad, ya sea en el AVE, el Work Café de un banco ¿Tú crees que todos utilizan VPN?
Seguramente una minoría, muy minoritaria recurren a ella. Somos muy descuidados en nuestra vida profesional y como empleados. Estamos en pañales en ciberseguridad. Tengo una anécdota: yo le he dicho en el AVE a Berto Romero, el humorista que va con Buenafuente: “oye, no es por nada, soy admirador tuyo, pero es que hay una wifi, que yo me imagino que la estarás utilizando para trabajar que se llama Berto R. Por lo menos cámbiala de nombre". Y le dije cómo la tenía que cambiar. Cualquiera que la vea va a ir como moscas a la miel.
¿Es un gran problema el BYOD?
Me alegro de que me hagas esa pregunta. Nuestra tecnología, sobre todo la parte de navegadores, se enfoca precisamente a eso. Una realidad muy habitual es que llego a mi casa y me he dejado el portátil corporativo, que se supone que está securizado, en la oficina, pero tengo que conectarme a mi servidor, y cojo el portátil de mi hijo o de mi hija que no tiene por qué estar securizado. Y lo que hacemos nosotros, y la apuesta es esa, es que, automáticamente, cuando te conectes a tu entorno, te bajas un plugin que aísla ese navegador en el que tú te estás conectando a tus aplicaciones empresariales de lo que haya en el portátil. Da igual que haya malware o lo que sea, que no le va a afectar. Es un problema. Si ya nos atacan en terminales securizados, imagínate en uno que no tiene ni un antivirus al día. Es un problemón.
"Meterte en el portátil del vecino es facilísimo"
¿Hay un riesgo excesivo en el teletrabajo?
Hay herramientas para paliarlo. A lo largo de la pandemia, algunos tipos de ataque, como el spoofing, han crecido un 500% porque los malos no son tontos, son muy listos y se han dado cuenta de la situación. Para ellos que la gente esté en casa es un chollo, piensan: “en esto me salto yo las barreras en dos minutos”.
¿Y es que es más fácil de lo que parece también hackear al vecino?
También de primero de columpio. Te metes en la Dark Web y si sabes buscar, te bajas un programita para bypassear cualquier wifi, para conectarte a la web del vecino, robársela o hacer lo que te haga falta. Y puedes entrar a su portátil como si fuera tuyo. Navegas por el explorador tranquilamente. Esto se puede hacer también en los coches, y da mucho miedo. Los puedes hackear a través de las aplicaciones del terminal móvil. Es facilísimo, lo que ocurre es que no hay mucha gente dedicada a esto porque no tiene mayor interés que hacer daño por hacerlo, pero sí, es muy fácil entrar en el panel de control de un vehículo.
¿No está pasando que cuando más sabe uno de ciber riesgos más analógico se vuelve? Hay mucho experto que no les deja el móvil a sus hijos o no tiene la app de banco en el móvil.
Ir en contra de la tecnología es como ponerle puertas al campo, pero intento tomar precauciones y medidas. Y que mis hijos no hagan el tonto y sepan lo básico. La regla básica es “en caso de duda no lo hagas porque la vas a liar”. En caso de duda, no, o pregúntame a mí.
¿Y qué hacemos con los QR?
Es muy fácil ahora que nos lo ponen en un restaurante, yo cambio el QR de un restaurante, voy con mis pegatinas, la cambio y ahí se conecta todo quisque. Y en el momento que se ha conectado es muy fácil acceder a su terminal, porque me da permiso para todo. Si lo redirijo a un sitio con un software malicioso que se instale ahí, es facilísimo. ¿Solución? Hay que poner en la configuración del móvil que no abra directamente la dirección a la que apunta. De esta forma ves la dirección que pone, y si no es la del restaurante donde estás, y te aparece una cosa rara, pues no la abras.
"Con nadie he trabajado tan a gusto como con los israelíes. Son buenísimos en lo que hacen porque de la necesidad han hecho virtud"
¿Securizáis también los móviles?
No, y no porque no sea necesario, sino porque es una tecnología totalmente distinta.
Pero muchas empresas, cuando pillan a deshoras a un trabajador le piden que haga algo y si no tiene el portátil o el terminal a mano, se conecta desde el móvil…
La buena noticia es que la mayor parte de los ataques, y estoy hablando de ataques de fuerza bruta, y ataques serios de los grupos, se dirigen a los PCs, a los portátiles. En el móvil solo tienes una parte, no sueles tener todo. Claro que te pueden hackear, pero son menos frecuentes y menos dañinos estos ataques.
¿Qué tal se trabaja para los israelíes?
Yo he trabajado con personas de muchas nacionalidades. En veinticinco años años te diría que he trabajado con todo el mundo, y con nadie he trabajado tan a gusto. Son directos hasta ser políticamente incorrectos. Si te tienen que decir que “esto es una porquería" te lo dicen así, no se andan con rodeos. Son buenísimos en lo que hacen porque de la necesidad han hecho virtud. Tienen obsesión por motivos obvios por la defensa y la seguridad nacional. Invierten muchos recursos, los ciudadanos son muy conscientes. Se forman como nadie, y tienen una mentalidad ganadora y ambiciosa. Ellos no hacen las cosas para venderlas en Israel, ellos hacen las cosas para ser los mejores en el mundo. Y esa es su forma de ser.
Y ahora que estamos al borde de contenciosos como el de Turquía y Grecia, ¿qué tipo de conflictos se le plantean a tu empresa?
A mi empresa, ninguno. Nosotros vendemos en Grecia y en Turquía. No nos posicionamos políticamente con nadie, y vendemos a derecha, izquierda, turcos, rumanos y quién se ponga por en medio. Nosotros vendemos tecnología para securizar a nuestros clientes, no miramos el origen.
Vosotros no vendéis herramientas de espionaje, vendéis seguridad y eso supongo que lo tienen claro vuestros clientes
Nosotros somos absolutamente respetuosos con nuestros clientes y garantizamos con nuestros contratos que no vemos la información que pasa por nuestras herramientas. Lo analizamos, detectamos si hay bichos, y si hay bichos lo solucionamos, borramos, pero no vemos lo que hay. Ni lo vemos ni nos interesa.
"No sé por qué Kaspersky va en retroceso desde hace años y en muchos sitios los estamos sustituyendo nosotros"
Lo mismo dice Kaspersky y Estados Unidos desaconseja su uso a los aliados occidentales por su origen ruso.
No lo sé. Sé que Kaspersky va en retroceso y lleva unos años que va a menos año tras año. Nosotros lo sustituimos en muchos sitios y ya está. Ellos sabrán lo que han hecho. Yo no lo sé. No puedo acusarles ni defenderles. Yo te garantizo que nosotros no miramos nada porque la tecnología está diseñada así. Tú no ves nada de lo que escaneas, cero.
Tenéis empleados de NSO Group, los de la tecnología de Pegasus. ¿No da un poco de reparo?
Cero. Ellos no han hecho nada malo. La tecnología del Pegasus no es mala, lo malo es el uso que se hace de ella. Tú sabes que las tecnologías se conciben para un uso y muchas veces se pervierte. Llega alguien y dice: ¿y si uso esto para esto otro, que no es para lo que estaba pensado? Y siempre se suele pervertir hacia el lado malo, no el bueno. El Pegasus, para lo que fue concebido es bueno. Ahora, si lo quieres utilizar y retorcerlo, puede ser muy malo, como se ha visto lo que nos ha llegado.
Cada vez se informa menos sobre ciberataques, especialmente tras la invasión de Ucrania. ¿Es por el conflicto?
Yo diría que la guerra influye, porque la gente tiene más miedo, pero sobre todo, las compañías y los organismos gubernamentales son cautos, y prefieren no revelarlo para no crear más desconfianza. Prefieren no hablar de ello. Y por eso normalmente nunca son ellos los que destapan lo que ocurre, especialmente ahora. Algún periodista o alguien que pasaba por ahí es quien lo revela, y ahora hay mucho cuidado, pero no solo para no dar pistas del daño que te han podido ocasionar, sino también para defender tu propia reputación. Es obligatorio comunicar a las autoridades si ha habido brechas de seguridad al organismo regulador en muchos sectores. En Banca, en Seguros, pero en otros no. Pero los ataques no dejan de crecer. Cada año el número de ataques se estima que crece de forma global un 30% como mínimo. En algunas modalidades, un 500% pero otras no dejan de crecer. Cada día hay más ataques, y mucho más complicados. Y además hay una frase que es un axioma, y es que la ley siempre va por detrás de la trampa.
¿Y esto va a seguir siendo siempre así?
Sí, ahora y dentro de diez años. ¿Por qué? Porque hay muchos intereses, y en los ataques normalmente hay dos objetivos. Uno, obtener un beneficio económico, robar datos, información, lo que sea, y monetizarlo, y el segundo es hacer daño. Por qué, porque es tu competidor, porque es una potencia extranjera, y quieres hacerle daño, y esto va a seguir existiendo. Hay un ánimo de lucro y hay un ánimo de hacer daño a otros. Y esto no deja de crecer, aunque haya menos noticias.
¿Qué mínimos recomendarías a un empresario en seguridad?
Nuestro sistema u otro, mejor el nuestro. Es fundamental proteger los canales que consideramos los clásicos: correo electrónico y navegador. Es el 99% de los ataques. Cuesta poco dinero para una compañía y el beneficio es muy grande. Porque como tengas un ataque exitoso te va a costar unos pocos cientos de miles como mínimo y la reputación. Y recomiendo también el uso de VPN, pero no es una herramienta de seguridad, sino más bien de enmascaramiento. Dificulta a los atacantes llegar hasta ti. Es una herramienta que viene bien, pero no es exactamente ciberseguridad.
"Desaconsejo totalmente entrar en la Dark Web"
¿Qué le dirías a aquellos que se meten alegremente en la Dark Web para buscar noticias, para cotillear, etc?
Que se asesoren, que hablen con alguien que sepa, porque la Dark Web es un sito muy obscuro, como su propio nombre indica y muy peligroso. Ten mucho cuidado si entras ahí, y los que entran normalmente no lo hacen para nada bueno. Ten cuidado con lo que compras. Ten cuidado con quien hablas, ten cuidado qué datos das. La web normal ya es un sitio peligroso.
Hay expertos que se niegan a entrar por encargo porque afirman que hay un contenido demasiado asqueroso, y dicen que si ven algo y no lo denuncian estarían cometiendo un delito, serían cómplices, y que para eso está la policía, para detener ciberdelincuentes, no para cotillear.
Así es. Yo desaconsejo totalmente entrar. Para que te pongas en situación. Imagínate que yo soy periodista, y tengo un confidente muy bueno que me va a dar una noticia, pero va a estar en la zona más peligrosa del barrio más horrible en en la ciudad que sea. Pues mira, igual se vive muy bien sin ese dato. Te estás metiendo en la mugre y en el sitio más peligroso. Yo lo desaconsejo a cualquiera, y muchísimo más al que no tenga conocimientos para saber distinguir. Allí no se puede buscar, es muy fácil que cojan tus datos. Todo es mucho más peligroso de lo que parece.
Hablando de la guerra entre Ucrania y Rusia ¿Cómo están los rusos en ciberseguridad?
Los rusos siempre han estado fuertes en ciberseguridad. Han invertido mucha pasta. Desde el gobierno se han apoyado siempre en grupos expertos que operan al margen de la ley. Que son los que lanzan los ataques masivos e intentan hacerle la puñeta a la OTAN y a los americanos. Y los rusos son muy, muy potentes. ¡Cuidado con ellos!
¿Irán?
Hubo un antes y un después del ataque del gusano Stuxnet, cuando un ataque cibernético tomó el control de 1.000 máquinas que participaban en la producción de materiales nucleares y les dio instrucciones de autodestruirse. Hizo fallar las centrifugadoras de la central nuclear de Natanz. Ahí hubo un hito. Y se sospecha que fue desde Israel, es más se confirmó. Aquello fue el día cero de la ciberseguridad, en el 2010.
¿Tiene Estados Unidos tanto nivel como debiera o se tiene que apoyar en Israel en materia de ciberseguridad?
Estados Unidos tiene nivel para todo. Es tan grande y tan jugoso lo que puedes sacar de allí... No hay que olvidar que es la primera economía del mundo, que todo el mundo está detrás de ellos, pero ojo. Igual que en Israel salen muchísimas patentes, allí salen de San Francisco, de Silicon Valley... Los tres polos de innovación mundial son Tel-Aviv, San Francisco y Singapur. La mayor parte de las patentes salen de estos tres lugares. Y Estados Unidos está muy fuerte en ciberseguridad. La mayoría de las compañías más importantes son americanas o israelitas y se apoyan entre ellos, eso sí es cierto. La relación es muy buena entre ambos países.
"No creo en advenimiento de un neoludismo. La tecnología ha venido para quedarse. Es ponerle puertas al campo"
Hay gente que piensa que en un momento dado alguien puede dejar una puerta trasera abierta a propósito para hacer ganar dinero a los de ciberseguridad, o lo que es lo mismo, que a las empresas que fabrican software o hardware les interesa que haya problemas porque a su vez tienen intereses en las empresas de ciberseguridad. ¿A ti esto te parece una paranoia loca o no?
Pues me parece una paranoia loca, sinceramente. Esto es exactamente igual que lo del supuesto mecánico que te deja una avería adrede en el coche. Pues mira. A mí nunca me ha pasado en treinta años, llevo treinta años arreglando el coche y no me lo creo. Que alguna vez haya pasado, puede, pero por norma, no.
¿No has oído las teorías de que se haya conchabado un ingeniero con un experto de ciberseguridad para que descubra el agujero y ganen los dos?
No me lo creo. He oído muchas tonterías de esas, y esta me parece conspiranóica, no me la creo. Vivo en este mundo y escucho bobadas como que en las vacunas nos han metido un chip. Bobadas de esas he escuchado, y tú que eres periodista habrás escuchado muchas más. Pero yo soy muy escéptico y muy ingeniero, esas tonterías no me las creo.
¿Tanto peligro cibernético nos podría conducir a un posible advenimiento de un neoludismo por parte de la población en general? Ya hay gente que no tiene la app del banco en el móvil y no son precisamente analfabetos digitales...
No creo que vaya a pasar. La tecnología ha venido para quedarse. No hay más que ver a los adolescentes, colgados del Ipad y del móvil. Es ponerle puertas al campo, nuestro mundo es digital y ya no sabemos vivir sin el móvil, sin el WhatsApp, sin el Netflix. Eso es imposible, no se puede dar marcha atrás. Que haya alguno que se haga ermitaño, pues lo tiene muy complicado. Todos tenemos en la pandilla un amigo que decía que no iba a tener móvil y WhatsApp, yo tengo uno, y desde hace tres años lo tiene y ya no vive sin él. Es muy difícil pelear contra los elementos.
A menos que la crisis sea tremebunda, o en el caso de que ocurra una catástrofe mundial...
Espero que no ocurra. Tiene que ser algo así como la tercera guerra mundial.