Como quien contrata un plan de pensiones. La herramientas y técnicas para perpetrar ciberataques han avanzado tanto que los hackers ya ofrecen cuotas a cambio de sus servicios para espiar, robar y destruir digitalmente. Si el pago por uso se ha colado en multitud de industrias y ya es posible alquilar barcos e incluso amigos, ¿por qué no iba a estandarizarse en el multimillonario sector de la ciberdelincuencia?
Esta nueva tendencia, que afortunadamente de momento solo se ofrece en los rincones más oscuros de Internet, es un recordatorio más de que se ha vuelto casi imposible tener una experiencia digital segura. Así lo advierte la responsable global de Seguridad y Resiliencia de Kyndryl, Kris Lovejoy, cuya trayectoria a caballo entre las ciencias y las letras le permite elaborar símiles entre los virus informáticos y los biológicos y entre el riesgo de sufrir un ciberataque y de que a una le caiga un meteorito. Aunque actualmente el ransomware suele encabezar las listas de las peores ciberamenazas, a ella le preocupan más los virus wiper, cuya única función consiste en destruir.
Uno de los escándalos más recientes en España en cuanto a ciberseguridad y espionaje ha sido el uso de Pegasus contra políticos catalanes y contra el propio Gobierno de España. ¿Qué opina de que exista una tecnología capaz de espiar a los individuos y se comercialice legalmente?
Toda tecnología tiene múltiples aplicaciones. Las redes sociales son un buen ejemplo de algo que puede ser utilizado para bien o para mal. Permiten a la gente trabajar en un plano global, conectarse entre sí, crear lazos, aprender sobre los demás. Pero también se pueden utilizar para difundir desinformación. Creo que hemos llegado a un punto en el que tenemos que asumir que toda tecnología puede usarse para bien y para mal, y no hay una línea clara, pues lo mismo pasa con Pegasus. Te parecerá buena o mala en función de en qué punto del espectro político estés.
Pero creo que hay una pregunta más fundamental acerca de la responsabilidad ética de las organizaciones que están construyendo tecnología que se puede utilizar para fines perversos. Uno de los retos actuales es que el proceso de crearla y comercializarla ha cambiado mucho. La gente no se da cuenta de que el cambio fundamental que introdujo la computación en nube no fue la computación en nube en sí misma, sino el tipo de desarrollo tecnológico que permite, en particular para las aplicaciones.
Estamos empezando a ver indicios de países excluidos de avances médicos porque sus normas de soberanía de datos son muy complicadas.
Kris Lovejoy
Hace 20 años, cuando querías crear una app tenías que solicitar financiación, definir las especificaciones, comprar equipos, instalarlos, y luego comenzaba el proceso de programación, que llevaba mucho tiempo, y había un conjunto de requisitos muy bien documentados. Ahora, compras un poco de espacio en la nube, compras un frame para la aplicación, y listo. Si quiero hacer un juego, voy comprando widgets, los ensamblo y, voilà, ya tengo una aplicación.
Bien, ¿tienes idea de dónde vinieron los widgets? ¿Qué hacen? ¿Cómo funcionan? ¿Quién los construyó? ¿De los fines para los que se pueden utilizar? ¿Pueden utilizarse para la vigilancia? ¿Pueden utilizarse por terceros? Simplemente no lo sabemos, pero así es como estamos construyendo y liberando tecnología a un ritmo increíblemente rápido y sin ningún tipo de modelo ético.
Entonces ¿lo apuesta todo al modelo ético? ¿No cree que debería existir regulación para impedir o modular la comercialización de productos que pueden tener usos tan maliciosos? Cuando se trata de alimentación y fármacos, no se lanza nada al mercado sin comprobar primero que es seguro, pero con la tecnología no es así.
Estoy de acuerdo en que la regulación desencadena la acción. Soy muy cínica, pero solo hay dos razones por las que la gente invierte en protección y seguridad de los datos. Una es porque han tenido una crisis que necesitan solucionar, la otra es por la regulación.
Pero aquí hay una ironía. Muchas de las regulaciones sobre uso y transferencia de datos se están introduciendo a un nivel muy local, a nivel de país. Vamos a suponer que soy una empresa farmacéutica, quiero probar un fármaco y sé que mi principal mercado está en el oeste. Pero resulta que el gasto de recopilar datos en países con regulaciones fuertes es mucho mayor. Entonces, es menos probable que utilice sus datos.
Estamos empezando a ver indicios de países excluidos de avances médicos porque sus normas de soberanía de datos son muy complicadas. Estoy de acuerdo en que la regulación tiene su papel. Sin embargo, pone en desventaja a la población que protege, ya que va a ser inadvertidamente perjudicada debido a los costes.
Yo defiendo estándares y normas internacionales para uso ético de la tecnología. Ningún país puede hacerlo solo. Entendemos el derecho y la importancia de la regulación. Sin embargo, debemos reconocer que los países no pueden permitirse el lujo de ser excluidos de la estructura social que permite avances médicos, alimentarios o en sostenibilidad. Si limitamos el acceso a los datos va a hacer más difícil que esas poblaciones progresen.
Comprendo el reto que supone para las empresas tener que adaptarse a cada tipo de legislación, pero, entonces ¿cree que la solución es no regular?
Yo defiendo una normativa internacional, un conjunto de normas internacionales sobre responsabilidad, una especie de Convención de Ginebra. Creo que los países deben tener el derecho a expresar cómo quieren proteger a sus ciudadanos. Sin embargo, pediría que se adhieran a normas internacionales, tal vez una norma ISO o la que sea, pero que digan cuál es para que las organizaciones puedan cumplirla de forma coherente.
Lo que más me preocupa es el uso de tecnologías destructivas, los virus wiper.
Kris Lovejoy
Cuando defines las obligaciones de control país por país, todo se vuelve demasiado caro. Incluso algo tan simple como la longitud de la contraseña. Unas dicen que deben tener 12 caracteres, otras 8… es demasiado difícil de gestionar. Así que, que elijan una norma internacional para que podamos centrarnos en ella, sea la que sea.
Leí un artículo suyo en el que afirmaba que el 93 por ciento de las empresas han sufrido ataques externos capaces de acceder sus redes locales. Es una cifra enorme, ¿diría que es virtualmente imposible evitar un ciberataque?
Creo que sí. Sólo hay dos razones por las que el otro 7 por ciento de las compañías no han tenido ese tipo de experiencia. Una es porque no usan tecnología y la otra es que sí han sido atacadas, pero no lo saben o no han querido comunicarlo. No hay más.
Seamos realistas. Ser una empresa con cualquier tipo de presencia en Internet es como ser una persona en un espacio público, donde hay virus y bacterias. Es imposible existir sin riesgo de que te impacten. La pregunta es, ¿cómo de grave es el impacto? Las brechas significativas son aquellas que afectan a las operaciones. Las organizaciones que no han establecido medidas para garantizar la continuidad de su servicio son las que sufrirán las brechas más importantes. Aun así, es imposible coexistir en un mundo de tecnología y no tener algún tipo de brecha. Si tienes humanos y tienes tecnología, es inevitable.
En el caso de las infraestructuras críticas, por ejemplo, las centrales nucleares aíslan sus sistemas centrales. ¿Cree que ese enfoque es útil?
Sí. Es un enfoque muy viable para mantener un nivel de independencia desde el punto de vista de la red. Pero que algo no esté conectado a Internet no significa que no haya un acceso. Imaginemos una refinería que bombea petróleo y gas con dispositivos de gestión que pueden estar en zonas remotas. Para mantenerlos, una persona irá allí en camión y usará su ordenador, el cual sí ha estado en Internet, para conectarse al equipo de campo. Si volvemos a la analogía de las bacterias y los virus, es como llegar a un ambiente limpio desde uno sucio, se introducen potenciales amenazas. Así que, de nuevo, no es una estrategia a prueba de fallos.
Desde la perspectiva del usuario, el enfoque que está ganando más popularidad es el de la confianza cero y el de encerrar determinada información en el móvil. Sin embargo, hace un año perdí mi teléfono y me pasé tres días sin poder acceder absolutamente a nada, ni a mi banco, ni nada. ¿No cree que depender tanto de un dispositivo también es un problema?
Lo que te pasó a ti no es una representación efectiva de lo que debería ser la confianza cero bien implementada. Un sistema resiliente y bien estructurado no permitiría que sucediera eso. Creo que muchos profesionales no entienden lo que realmente significa. Tal vez están interpretando que la confianza cero implica bloquearlo todo para que nadie pueda tocar nada. Pero no es eso.
Yo diría que un sistema de confianza cero bien implementado permite el acceso de los usuarios a los datos correctos en los sistemas correctos en un momento dado, y la autenticidad de ese usuario, de los datos y de los sistemas han sido validados. Eso no quiere decir que tengan que estar aislados, sino que han sido validados. También debe haber algún nivel de redundancia.
Creo que tenemos que ser prácticos con la seguridad y la confianza cero. Sé que la gente no quiere escuchar esto, pero no existe ninguna situación exenta de riesgo. Siempre hay una manera de entrar, siempre. La pregunta es, estadísticamente hablando, ¿has introducido suficientes obstáculos para que el atacante tenga menos probabilidades de explotar la vulnerabilidad?
¿Puedo recibir un premio por algo que no sea ser mujer?
Kris Lovejoy
La única manera de evitar contagios por virus y bacterias consiste en encerrarse en una habitación y no volver a salir. Para lo mismo con la tecnología, así que lo único que podemos hacer es identificar el valor de lo que queremos proteger y qué acciones resultan razonables para protegerlo. Suelo poner este ejemplo tonto: siempre hay una posibilidad de que un meteorito golpee tu casa, pero ¿estás dispuesto a ponerle un escudo de prueba de meteoritos? Probablemente no. Con la tecnología pasa lo mismo.
En el campo de los ciberataques, parece que el ransomware es el tipo de amenaza de la que más se habla. ¿Diría que también es la más grave actualmente?
Creo que es la más visible. Lo bueno del ransomware es que existe la posibilidad de recuperar las cosas, ya que los atacantes suelen tener motivaciones económicas. Lo que más me preocupa es el uso de tecnologías destructivas, los virus wiper, que son introducidos por individuos a los que lo único que les importa es la destrucción.
Lo segundo que me preocupa es la desinformación y nuestra incapacidad, como organizaciones, para comprender el impacto que está teniendo.
A nivel personal, me sorprendió mucho descubrir que su formación en informática empezó de forma autodidacta. Sin embargo, ha recibido algunas de las distinciones más importantes del mundo en cuanto a ciberseguridad. ¿Cómo lo consiguió?
Tuve la suerte de que en el momento en que entré en el campo, ese tipo de base formativa no era necesaria. Hoy no había sido así, mi trayectoria no sería la misma.
Diría que siempre fui ingeniera de corazón. Así que creo que soy un buen ejemplo de lo que ocurre cuando tus referentes no te atraen hacia determinados campos. El día que decidí que no iba a estudiar ingeniería fue el día en que mi profesor de matemáticas me lanzó una goma de borrar. De ninguna manera iba a entrar en un campo en el que los hombres me pudieran lanzar gomas de borrar.
Ese fue mi punto de partida. Mi decisión de no entrar en matemáticas y ciencia fue porque no tuve buenos modelos a seguir. No vi mujeres. Pensaba que era un campo mezquino en el que los hombres eran mezquinos entre sí. Al final tuve suerte porque lo resolví bien. Sólo tienes que estar dispuesto a intentarlo y lanzarte.
Hablando de referentes, ¿no está cansada de que siempre le pregunten por su condición de mujer en el campo de la tecnología?
Estoy harta de que me pregunten cosas como qué lleva una mujer a una reunión. ¡Yo qué sé! ¿Un bolígrafo? [risas].
Por un lado, me molesta mucho que me den premios por ser una mujer en tecnología. ¿Puedo recibir un premio por no algo que no sea ser mujer? Pero, por otro lado, las mujeres solo representamos el 20 por ciento del campo de la ciberseguridad, y solo el 10 por ciento de los responsables de ciberseguridad son mujeres, y solo el 1 por ciento son altas ejecutivas.
Muchas mujeres sienten el desafío ante el sesgo de que no pueden trabajar y tener hijos a la vez. Pero se puede. Yo tengo cuatro hijos; mi CIO, Rhonda Childress, tiene hijos; mi vicepresidenta de Crecimiento, Felicity March, tiene hijos; y mi vicepresidenta de Seguridad, Michelle Weston, también tiene hijos. Estoy rodeada de mujeres poderosas con hijos, familias y vidas.
Quiero hacer ver que no hay que elegir entre ser esposa, madre y buena trabajadora. No es una elección que nadie tenga que hacer. Si puedo utilizar mi plataforma para difundir ese mensaje, lo haré y lo haré todo el día. Preferiría que no fuera necesario hacerlo, pero tengo que hacerlo, hay que superar el prejuicio de que las mujeres no podemos tenerlo todo.
Sobre la firma
Periodista tecnológica con base en ciencias. Coordinadora editorial de 'Retina'. Más de 12 años de experiencia en medios nacionales e internacionales como la edición en español de 'MIT Technology Review', 'Público', 'Muy Interesante' y 'El Español'.