Eusebio Nieva es el director técnico de la empresa de ciberseguridad Check Point. Coincidimos con él durante la fiesta de aniversario de su compañía, el CPX, que celebraron el El Escorial a principios de octubre. Lleva más de 15 años allí trabajando en ciberseguridad, protegiendo a las grandes empresas de “los malos”. No oculta que el negocio de los criminales cada vez se industrializa más, que tienen más medios. Pero ahí están compañías como la suya para ponerles freno.
El Big Data no es algo nuevo, pero cada vez más podemos comprobar que nuestros datos se cambian por dinero. ¿Cómo hemos llegado a esta situación?no es algo nuevo
Vender datos por dinero no es una percepción del todo cierta. Lo que sí se vende son números de teléfono, contactos, etcétera. Las bases de datos de marketing siempre han existido. Pero las empresas que tienen esos grandes conocimientos y datos no les interesa venderlos, les interesa explotarlos. Es decir, Google, Microsoft, Facebook... A ellos no les interesa venderte los datos de sus clientes porque entonces tienes los mismos beneficios que ellos. Les interesa, como mucho, que le alquiles la forma de llegar a esos clientes y de hacer su perfilado. “Tú dame la publicidad y yo te doy el servicio para llegar de otra manera a ellos”.
¿Están seguros nuestros datos en manos de esas multinacionales?
Si no se aseguran de manera correcta, lo que ocurre es que se roban. Luego tenemos que 50 millones de cuentas de Facebook han sido hackeadas. Ese es el problema real. No solo tienen que alquilar los datos y alquilar el perfil, sino también proteger a los usuarios, aunque muchas veces esos usuarios no tomen las medidas adecuadas de protección.
También ocurre que por sacar una app cuanto antes, ese antes sea: “¿Qué elementos quito de por medio?”. Y uno de los elementos que se ha sacrificado tradicionalmente ha sido la seguridad. Como quitar una revisión en profundidad de la app antes de lanzarla, cosas así.
¿Hacen lo suficiente los Estados en materia de protección de datos para regular a esas grandes empresas tecnológicas?
Siempre van por detrás los Estados. Es como el dicho ese de poner el parche antes de la herida: ellos nunca se anticipan a la herida. Cualquiera en nuestra posición ya vio que esto iba a ser un problema hace muchos años. Y las leyes están empezando a llegar ahora, como el RGPD [Reglamento General de Protección de Datos].
En algunos casos también hay una diferente concienciación: en EEUU esos datos son, entre comillas, completamente legales. Pertenecen a la compañía, ya no te pertenecen a ti. Hay otro marco diferente. Pero creo que los gobiernos ya se están concienciando sobre la privacidad, de que ahora es mucho más importante protegerla y poner medidas. Estoy muy convencido de que en el futuro va a haber alguna multa grande a una de estas grandes compañías, será una multa punitiva para que no vuelva a ocurrir.
Evgeny Morozov habla sobre capitalismo digital, cuando el poder se concentra en manos de unas pocas empresas que pueden llegar a influir en las decisiones políticas de un país a través de lobbies u otros grupos de presión. ¿Lo ve peligroso?lobbies
No estoy totalmente de acuerdo con esto, pero en algunos casos sí se ve claramente que los lobbies de estas compañías con unos intereses comunes al final apoyan al candidato que les vaya a ser más afín a sus intenciones. Eso en EEUU es el arquetipo... Y no solo allí: en cualquier otro país, de manera más o menos legal, al final pueden llegar a existir esas prácticas. De hecho, había algunas grandes compañías que proactivamente estaban intentando presionar en la Unión Europea para tener el mismo tipo de lobbying que en EEUU. Y siempre desde grupos de presión, grupos que actúan directamente por sus propios intereses intentando cambiar las leyes. El problema es que en algunos casos lo disimulan e intentan colarlo como ventajas para los usuarios.
No tenemos un grupo de presión de los usuarios como tal. O no es tan poderoso como el de las grandes compañías, probablemente porque no ejercemos con nuestro propio voto el castigo necesario.
Morozov sostiene que deberían ser las instituciones públicas o europeas quienes, por lo menos, velasen por el tratamiento que se hace de esos datos. También habla de otorgarle al ciudadano el poder total sobre sus datos. ¿Está de acuerdo con esta postura?
No hay que llegar a los extremos. En mi opinión eso es incluso peor, porque potencia que no solo los capitalistas, sino los políticos, tengan herramientas para eternizarse en el poder. Es decir, si tienen todos tus datos, tienen un gran poder sobre ti para poder manipularte. Se ha demostrado con los escándalos en Facebook.
No soy muy fan en este sentido de los americanos, pero eso en EEUU no va a ocurrir nunca. Allí se fían menos del Gobierno que de las propias compañías, con lo cual el problema al final es ese: ¿Quién vigila a los que vigilan? Ahí habría que poner muchas más medidas y leyes, pero ese extremo puede ser más perjudicial en Europa.
¿Cómo es posible que Facebook, creada hace 14 años, de repente salga un día diciendo que tenían una vulnerabilidad en su código y que 50 millones de usuarios han sido hackeados?
Facebook existe desde hace mucho tiempo, pero las apps que corren en Facebook cambian de versión, añaden funcionalidades, hay que integrarlas con Instagram, con otras apps... Y eso hay que hacerlo deprisa. Ya. Mañana tiene que estar listo. El problema es que cuando un programador va a mañana ¿qué es lo que hace? “Si lo hago bien tardo equis días, pero ¿qué quito para tener esto mañana?”. Pues las cosas que se ven menos: la seguridad es una de ellas. En el time to market, cuando tienes que cumplir unos requisitos de tiempo muy exigentes, desgraciadamente no te exigen: “Tienes que hacer esto y además, que sea seguro”. No. Te dicen: “Tienes que hacer esto con estas especificaciones”. Punto. La prioridad no es que nadie pueda entrar o que la seguridad sea completa, porque entre otras cosas es imposible. Desgraciadamente, la hermanita fea de esto es la seguridad. Hay que perder mucho tiempo, hay que hacer muchos análisis que en muchas ocasiones no ofrecen resultados tangibles, excepto cuando ocurre. Es como un seguro. Tú un seguro no lo necesitas hasta que se te quema la casa. Y entonces piensas que tendrías que haber contratado un seguro.
Pero hablamos de multinacionales que facturan miles de millones al año y manejan miles de millones de datos. ¿Cómo puede ser que la seguridad sea el último mono?
Sí, pero el problema es que al final tienen las mismas restricciones que una compañía pequeña. Es decir, una compañía pequeña puede sacar una app pero una grande tiene que sacar 200. Es cierto, tienen 1.000 veces más recursos, pero tienen el mismo problema que si tuvieran que fabricar una única app. Y en muchos casos no tienen una cultura común.
¿En qué sentido?
Pues que para hacerlo de manera segura todos tengan que seguir unas líneas maestras, que para hacerlo de esta forma es mejor que no se haga, etcétera. Ten en cuenta que los equipos de desarrollo tienen que ser productivos cuanto antes. Al final es el día a día el que mata la seguridad, la saturación o la rapidez. Las cosas hay que hacerlas lentamente, con todos los procesos y sin saltarse los pasos. Y luego claro, que hay mucha gente con mucho tiempo en Internet y que piensa... “Pues si he hecho esto a lo mejor puedo hacer esto otro”.
¿Por qué estas grandes empresas no invierten más en seguridad?
Apple lo tiene más complicado porque es demasiado estricta en algunas cosas. Si no recuerdo mal, en la AppStore no puede haber ninguna aplicación que tenga la palabra free [En castellano, gratis]. Es estúpido, pero entre sus protocolos parece que lo están haciendo mejor que Google. También es cierto que tienen muchas menos apps que Google Play, que tiene un volumen brutal.
Esas compañías tan grandes que teóricamente tienen más concienciación en ciberseguridad también hay veces en que se la cuelan y las apps tienen un virus. Esas multinacionales tienen a lo mejor 200 o 300 empleados trabajando en seguridad. Pero es que hay 3.000 malos trabajando en inseguridad.
La transformación digital también ha llegado al sector del cibercrimen.
Sí, y se están industrializando, además. Hay herramientas cada vez más complejas y más fáciles de manejar para que gente que no tiene una inteligencia brillante, sino unos conocimientos básicos, pueda incluso meter código dentro de apps de móviles. Ni siquiera necesitas ya hacerte una app propia. ¿Cuál es el problema? La creatividad de los malos, que es muy grande. Aunque también es cierto que son muy vagos: reutilizan lo máximo posible el código y piensan que si algo ha funcionado en el pasado, hacen los dos o tres cambios necesarios para que el antivirus no lo detecte, y lo cuelan. Y luego también están los usuarios y los gestores, que también son vagos. Un parche de hace 10 meses es imposible que siga siendo seguro.
Todos comprobamos la importancia de la ciberseguridad en mayo del año pasado, cuando WannaCry hizo su aparición.cuando WannaCry hizo su aparición
Sí. Y decían... “No, es que parchear los sistemas es muy crítico...”. Mira, lo acepto cuando el parcheo de los sistemas es el parcheo de los servidores. Pero cuando es el del usuario, no puede ser eso. Y es que además lo puedes hacer escalonado: esta semana parcheas 100, y si eso te mete en un problema, no sigues con el resto. A veces las excusas no son correctas: están basadas en ciertas partes correctas pero no son todo lo correctas que deberían. El día a día nos mata. Y luego también está la escasez de recursos que hay en algunas compañías. En España se ha visto por la crisis: que el tipo que hacía solo esto ahora hace de todo. Y eso se nota, porque la calidad del trabajo sufre.