“Los hospitales de todo el mundo son probablemente el eslabón más débil de la ciberseguridad”
Gil Shwed (Jerusalén, 1968) es el fundador y actual CEO de la empresa de ciberseguridad Checkpoint. Con 13 años ya programaba y con solo 15 comenzó la carrera de Ciencias de la Computación. Muchos lo consideran el padre del cortafuegos moderno, que a día de hoy utilizan millones de dispositivos en todo el mundo.
eldiario.es compartió 20 minutos con Shwed en Viena (Austria). Su empresa está de enhorabuena: el año pasado cumplió 25 años liderando el sector de la ciberseguridad, y este ha celebrado el CPX 360, un encuentro anual que la compañía mantiene con las principales firmas y empresas del sector. En una fría sala del Palacio de Congresos de Viena, Shwed, una persona poco acostumbrada al trato con los medios, habla sobre el papel de los gobiernos en la gestión de las ciberamenazas, los últimos malwares y el paso del tiempo.
Aunque la pregunta pueda parecer muy obvia, ¿por qué es necesario que los dispositivos electrónicos incorporen medidas de seguridad?
Cada pieza de tecnología con la que contamos es susceptible de recibir ataques: la estructura es muy sofisticada y hay bugs en todos los softwares. Los hackers están encontrando formas muy creativas de penetrar en lo que sea que tengamos ahora. Tú puedes decir... “No me importa si alguien entra en mi ordenador”, y no tiene por qué ser tu ordenador, puede ser la bombilla de esta sala. Antes o después se conectará a Internet y tú pensarás... “¿Por qué debería importarte lo que ocurra con ella?”. Esto es interesante porque cada lugar por el que te conectas puede ser un punto de entrada para el resto de tu vida o para el resto de tu infraestructura, dependiendo de si eres una persona o si es una empresa.
Y cada uno de estos vectores de ataque te puede causar un problema: desde robar tus datos para destruir tus dispositivos hasta destrozarte la vida. La combinación de ellos o el daño potencial es casi ilimitado este año. Solo con tu imaginación, puedes hacerte a la idea de la cantidad de cosas creativas que la gente puede hacer.
Este daño potencial del que habla, ¿es culpa del crecimiento del Internet de las Cosas?
La alerta es alta. La pregunta “¿Cómo afrontamos el Internet de las Cosas?” está en el aire. Solo muy pocos saben ahora mismo qué hacer o tienen las herramientas necesarias para gestionarlo. Así que es un poco como todo esto que pensamos todos de... “Vale, es un problemón, pero ¿qué hago con ello?”.
Cada día vemos nuevos tipos de ataque y nuevos malwares cada vez más sofisticados, pero los gobiernos parece que son incapaces de luchar contra esto. ¿Cómo aumentaría la eficiencia de los Estados para luchar contra las ciberamenazas? malwares
Primero: ahora mismo, la situación en el mundo es que cada empresa y cada individuo necesita defenderse por sí mismo. En realidad, los gobiernos no pueden protegernos. En ambos casos, el mundo sigue funcionando; lo cual, por cierto, no es necesariamente algo malo. En términos de defensa, nos gustaría estar protegidos, eso es seguro. Pero el hecho de que Internet sea una red abierta y que todos podamos innovar y hacer lo que queramos es una sensación bonita.
Mira, vamos a poner un ejemplo con el transporte. El transporte está controlado por el Gobierno. No se puede construir una nueva carretera o pilotar un nuevo tipo de avión solo porque seas un innovador. Y vemos que estamos atascados con las infraestructuras y la innovación, que no es que vaya muy rápido. Así que, en general, Internet es una de las cosas buenas de la tecnología; y en particular, que Internet no esté controlado por ningún gobierno favorece a la innovación de forma ilimitada. Creo que este ejemplo también se presta al ámbito de la ciberseguridad. Tenemos que defendernos nosotros mismos, pero también al resto: a las empresas, a los funcionarios del gobierno... Ahora bien, ¿qué tenemos que hacer? Creo que contamos con una arquitectura que puede contribuir en gran medida a la protección del mundo cuando todas las empresas se protegen a sí mismas de forma multivectorial contra todos los tipos de ataques conocidos y desconocidos y lo aplican a toda la infraestructura.
¿Esa arquitectura pasa por un sistema mixto de defensa entre empresas y gobierno? ¿Solo desde las empresas? ¿Solo desde el gobierno...?
Las leyes y los gobiernos se mueven mucho más lento que la tecnología. Así que si confiamos en ellos, por cierto, es como si quisiéramos instituir el mínimo común denominador y no el máximo. El gobierno no puede decir que la solución que se necesita es la mejor si en realidad es la básica, la que todo el mundo puede permitirse. Eso, por lo general, no es lo que nos gustaría tener. Normalmente quieres ser mejor que todo el mundo. No veo a nadie que diga: “Quiero ser como el mínimo común denominador” o “Quiero estar en la media”. Todo el mundo quiere ser mejor que la media, así que no me fiaría de nadie que diga: “Mi sueño es dejar que la seguridad sea cosa del Gobierno”. La mayoría de la gente quiere vivir una buena vida y cada uno tiene su propia definición de una buena vida, así que creo que varía.
¿Cuál es el trabajo de los gobiernos a la hora de proteger, en materia de ciberseguridad, a sus ciudadanos?
Mi trabajo como empresa es producir tecnologías que permitan a la gente defenderse. El trabajo de mis clientes, porque vendemos principalmente a empresas, es encontrar el cómo: ¿Qué necesitan hacer para proteger su propia infraestructura? Y el gobierno necesita proteger los activos públicos, pero no están lo suficientemente protegidos hoy en día. Hoy puedes penetrar en la mayoría de los países. El ejemplo que me viene a la mente es el peor: los hospitales de todo el mundo son probablemente el eslabón más débil de la ciberseguridad. Se trata de un entorno muy abierto que utiliza muchos dispositivos diferentes de distintos fabricantes. La mayoría de estos dispositivos son bastante antiguos en términos de software, hacen el trabajo médico, pero desde una perspectiva tecnológica, es fácil penetrar en ellos y la gente lo explotará. En general las infraestructuras, la energía, el agua, las carreteras... También se están convirtiendo cada vez más y más en susceptibles a ciberataques, no están suficientemente protegidas. Y estas son las cosas que el gobierno necesita proteger.
Por sus palabras se deduce que los Estados no pueden abarcarlo todo: no pueden proteger las infraestructuras críticas a la vez que protegen sus sistemas de defensa...
Todo depende de lo que el gobierno controle, pero no suelen controlarlo todo. Se trata de ir sector por sector, diciendo... “Tenemos una iniciativa para asegurar el hospital”, “Tenemos una iniciativa de seguridad para asegurar las infraestructuras...”. ¡Los gobiernos pueden poner en marcha estas iniciativas! Empresas como la nuestra proporcionan soluciones para ello, solo necesitamos determinar cuál es la correcta. Ya trabajamos en soluciones que permitan una solución a gran escala con la que el gobierno pueda ir y decir... “Quiero proteger 10.000 hospitales” o cosas así. Así que hay cosas que son más específicas del gobierno que, digamos, de la mediana empresa. Pero hay tecnologías para hacerlo.
¿Y por qué no las ponen en marcha?
Los gobiernos piensan de una manera tradicional. Por ejemplo, en cuestiones de defensa. Primero reúnen inteligencia: “¿Quién está tratando de atacarme?” “¿Cuál es mi enemigo?” “¿Era él realmente?”. Entonces, si encuentro un riesgo lo suficientemente importante, enviaré a mis soldados, policías, lo que sea para detenerlos. Pero en el ciberespacio nada de esto funciona porque la inteligencia no es lo suficientemente útil como para saber que los atacantes pueden estar en todas partes, que no es un pequeño grupo de enemigos y que la velocidad y el número de personas que tienes no se compara con la velocidad y las personas, sino con el poder del malware. Porque el malware es automático: entra a la velocidad de los ordenadores y la escala también es automática, así que debemos desplegar tecnologías de prevención, que detendrá los ataques. La inteligencia debe traducirse en acciones inmediatas y automáticas. Todo tiene que estar automatizado para centrarse en la prevención y no en la detección.
¿Cómo ha cambiado la tecnología desde que entró al sector de la ciberseguridad hasta ahora?
En primer lugar, el mundo ha cambiado. Pero no nos hacemos a la idea de cuánto lo ha hecho con Internet. Se aplica a la democracia, al comercio, a la tecnología, a la cultura, a la música... Ahora puedes acceder a todas las canciones solo con un click del ratón; antes, solo tenías acceso a los 500 discos que vendía la tienda de discos de tu barrio.
En la ciberseguridad ha sido parecido: cuando entré en Checkpoint nos teníamos que defender de los estudiantes, de alguna universidad. Ahora tenemos que defendernos de los hackers, tenemos que protegerlo todo: cada ordenador, cada dispositivo del IoT [Internet de las Cosas] o cada elemento del mundo que sea susceptible a un ataque. Cuando los ordenadores tenían 640 kilobytes y las aplicaciones 64 no había muchos bugs. Cuando las apps pesan 640 megabytes cuentan con un número ilimitado de vulnerabilidades. Si hace 20 años tenías un problema con algún dispositivo no pasa nada, tu negocio no dependía de ello. En un mundo conectado, cada ataque sobre la red de trabajo puede tirar abajo toda la infraestructura. Ahora los negocios no pueden aceptar órdenes si no están conectados a Internet, las máquinas no pueden funcionar. Así que, si se produce un ataque en Internet o en tu red, toda tu empresa, toda tu compañía puede ser puesta en riesgo, sencillamente.