Se invierten miles de millones de euros para proteger datos. DIRIGENTES habla con el CEO de CounterCraft, David Barroso, sobre lo que hay que esperar en el futuro en materia de seguridad digital.

¿Qué hace su empresa exactamente?

Hemos desarrollado una tecnología que permite crear y desplegar activos digitales sintéticos en entornos controlados con el objetivo de detectar, investigar y controlar el ataque, independientemente de su complejidad y de las técnicas utilizadas. De esta manera, CounterCraft ayuda a las organizaciones a reforzar su seguridad y conocer los objetivos, técnicas y modus operandi de los ciberataques.

¿Por qué estáis en San Sebastián y no en Londres, Berlín o Silicon Valley?

El País Vasco cuenta con un importante polo de ciberseguridad y ha sido la cuna de muchas compañías importantes de la materia y desde hace tres años, CounterCraft. Además, tiene una muy buena conexión con Europa y una excelente calidad de vida, muy buenos motivos para habernos establecido aquí.

Aún así, nuestro día a día es el avión y la presencia continuada en Londres, Bruselas, San Francisco, Madrid y muchas más ciudades. CounterCraft tiene previsto abrir nuevas oficinas internacionales próximamente.

Claro, el negocio sigue creciendo. ¿Cree Usted en Ciberterrorismo?

No es una cuestión de creencia personal, es una realidad. Actualmente, los autores de ciberataques y amenazas de ciberseguridad responden a perfiles y grupos de intereses muy distintos. Desde bandas organizadas criminales a lobos solitarios, desde grupos minoritarios a hacktivistas, desde gobiernos a empleados y exempleados. Cada perfil tiene una motivación específica para hacer lo que hace; conocerlo permitirá a las organizaciones saber cómo pueden reforzar su nivel de seguridad. De ahí que la ciberseguridad y ciberinteligencia sean tan importantes. Hay que entender que hemos trasladado todo del mundo real al virtual (tanto lo bueno como lo malo), y los movimientos radicalizados son una de esas cosas.

Entendemos que es un negocio, ¿pero no es un poco exagerado el pánico?

En absoluto. Las fugas de datos son un grave problema. Cualquier informe reciente calcula que se tarda casi 200 días en detectar una brecha de seguridad, y más de 60 en contenerla. Y los costes económicos medios provocados por estas brechas son millonarios. En el ámbito empresarial, una fuga de datos puede tener consecuencias nefastas, y no sólo en lo que respecta a su economía (incluso a su valor bursátil), sino también a su imagen. Por lo tanto, protegerlos no es opcional, es indispensable para las organizaciones.

¿Ha oído Usted de casos dónde Hackers amenazan a empresas en cambio de dinero, tipo cyber-kidnapping?

Normalmente, el cyber-kidnapping o cibersecuestro está orientado a personas individuales y familias. En este caso, se llama a una persona concreta y se le hace creer que un familiar directo ha sido secuestrado. La mayoría de las veces, quien contesta a la llamada se da cuenta de que se trata de una estafa o que dicho familiar se encuentra bien y no cae. En un mínimo porcentaje, sin embargo, acaba realizando un pago, para descubrir más tarde que ha sido engañado.

En organizaciones han existido casos de chantaje desde hace más de 20 años. Antes era más sencillo, puesto que se trataban de robos de datos o de vulnerabilidades de seguridad. Hoy en día lo más común son los casos de ransomware, un tipo de malware que infecta un sistema operativo y restringe el acceso a ciertas partes o archivos del mismo. El autor trata entonces de extorsionar a las víctimas y obtener un cobro a cambio de recuperar los datos. Uno de los casos más recientes fue el de WannaCry en 2017, que afectó a 75.000 ordenadores en todo el mundo.

¿Puede España convertirse en una referencia en hacking?

Hoy en día, hay expertos de hacking y ciberseguridad en todo el mundo. España tiene excelentes profesionales tanto en cantera como liderando en estos momentos departamentos de ciberseguridad de las mejores organizaciones en todo el mundo. También se están desarrollando en nuestro país tecnologías de ciberseguridad revolucionarias y con éxito internacional. Argentina es un caso parecido.

Otros países con prestigiosos expertos de ciberseguridad son los de la antigua Unión Soviética, quizás de los mejores técnicamente. Y, sobre todo, desde hace años, China, donde el crecimiento de expertos ha sido espectacular. Internet y la creciente transformación digital está contribuyendo a la necesidad de especialización en técnicas de ciberseguridad de cada vez más perfiles.

¿Qué piensa del Chaos Computer Club de Alemania?

Para mí es una organización muy respetada. Fueron unos pioneros en luchar por la privacidad y derechos digitales, y hoy en día no existe nada parecido en todo el mundo. Son la punta de lanza de muchas investigaciones y su congreso de diciembre reúne a los mejores investigadores de todo el mundo.

¿Qué perfil tiene que tener vuestro staff técnico?

Tienen que ser, ante todo, gente a la que le apasione la ciberseguridad, investigadores, inquietos, proactivos y resolutivos. En el plano técnico, buscamos a profesionales de informática y telecomunicaciones especializados en ciberseguridad y desarrollo. Lo más importante son las ganas de aprender y romper cosas, para luego mejorarlas.

¿Es recomendable estudiar?

Muchos expertos de ciberseguridad se han formado de manera autodidacta, es un área de estudios relativamente nueva. En la actualidad, es distinto, ahora existen muchos centros y universidades (cada vez más) que proporcionan la educación más completa en el ámbito de la ciberseguridad, de la mano de expertos con muchos años de experiencia a sus espaldas.

Pero sigue siendo fundamental el dedicar muchas noches y fin de semana para poder conocer al detalle antiguas y nuevas técnicas de defensa y ataque. El mundo de la ciberseguridad cambia de forma tan vertiginosa que casi si estás desconectado de lo que ocurre durante unos días te has quedado medio desfasado.

¿Hay mujeres hackers?

¡Las hay, por supuesto! No hay más que seguir en Twitter a un montón de excelentes investigadoras y profesionales para darnos cuenta del nivel que tienen.