Este emprendedor extremeño llegó al mundo de la ciberseguridad por casualidad. Lo reconoce él mismo. Estudio la carrea de Económicas, aunque siempre mostró interés por la informática. Cuando los ordenadores comenzaban a incorporarse a nuestras vidas, él ya se había familiarizado con los primeros modelos de Spectrum y Amstrad.
“Empiezas como si fuera un juego y terminas dedicándote profesionalmente a ello”, comenta Antonio Ramos. Socio fundador de Leet Security, creada hace cinco años con un grupo de socios y amigos, hoy es uno de los más reputados profesionales en el mundo de la calificación de ciberseguridad. Además, dice lo que piensa y critica aquello que le parece criticable en un sector que no ha parado de crecer en los últimos años.
¿Cómo recuerda sus comienzos?
Acabé la carrera de Económicas ycuando estaba a punto de empezar a trabajar en una consultora me ofrecieronincorporarme a una empresa dedicada a la auditoría informática. Allí estuveseis años y en 2004 me cambié a una compañía que en aquel momento era puntera yque se llama S21 Se hasta 2009. Era la primera empresa dedicada exclusivamentea ciberseguridad en España, donde había hacking y gente peculiar y muydiferente. Empezaron con tres oficinas en España y cuando yo me fui teníandelegaciones en América y Europa.
¿Cuál fue la génesis de Leet Security?
Llegó un momento en el que necesitabahacer algo más mío y por eso nació Leet Security, que es la suma de dos mundos:el de la informática y el de la economía, porque somos una agencia decalificación aplicada al mundo de la seguridad.
¿No le daba cierto vértigo meterse en un sector donde todo cambia tandeprisa?
Nunca se ha entendido bien la tecnología. Laseguridad en la tecnología nos ha atropellado. Yo intento buscar símiles quepueden ayudarnos a resolver problemas. En el mundo del automóvil nadie seplantea sacar un nuevo vehículo a la calle que no haya pasado mil pruebas. Sinembargo, en el mundo de la tecnología no pasa eso. Tú sacas productos y sitienen un problemas de ciberseguridad, como no afectaba a la salud ni a laseguridad de las personas, no pasaba nada. Se caía la contabilidad o perdíasdatos; eso era más trabajo, pero no pasaba nada. Ahora, cuando dependemos absolutamente de latecnología, nos hemos dado cuenta de que sí afecta a nuestras vidas. Y resultaque estamos indefensos. Porque no podemos confiar en ella, ya que para quienesla crearon nunca fue un reto que esa tecnología fuera segura.
Quizá sería necesario explicar mejora los ciudadanos los riesgos de ciertas innovaciones tecnológicas.
Pero no entiendes por qué tienes quedefenderte. Si yo me compro una lavadora, no tendría que invertir luego paraque fuera segura. La lavadora tiene que venir de serie con unas condicionesmínimas de seguridad. Si compro un ordenador, no concibo que tenga que invertiren la seguridad de ese ordenador. Efectivamente hay una desprotección pordesconocimiento. El consumidor da por hecho ciertas cosas. Sólo las compañías yorganizaciones muy grandes, que tienen expertos, saben que la tecnología noviene con seguridad por defecto. Y que hay que comprarla aparte. El resto delmundo no tiene ni idea.
Es una indefensión manifiesta…
Uno no concibe que te instales una appen el móvil y que esa app te pueda robar los datos. ¿Es normal? ¿Quién hadejado vender esa app? Históricamente, no hay una aplicación del principio deresponsabilidad, como la hay en otros mercados. Por supuesto que hay que haceruna labor de divulgación ímproba, informando a todo el mundo. Una labor brutal,para que la gente entienda la tecnología.
¿Qué demandan más las empresas a LeeSecurity?
Somos una agencia de calificación ynuestro core business es hacer calificaciones. Ese es nuestro día a día.Desde hace un par de años también estamos acreditados para certificar dentrodel esquema Nacional de Seguridad (NS), porque son dos actividades que conceptualmenteestán muy cercanas. Pero nos dedicamos básicamente a mantener la metodología decalificación, para asegurar que siempre está al día, que está actualizada y quees la adecuada. También ayudamos a las empresas a ver cuáles son sus puntos débiles.
"Si te roban online, lo primero que se dice es que esa empresa tiene un problema. Se criminaliza al que sufre el ataque"
¿Invertir en seguridad es un gasto,una inversión o una necesidad?
Esto es una cultura. Los nórdicos noconciben comprar un billete de avión sin comprar también un seguro de viajeasociado. Eso es cultura del día a día. Las empresas tienen que ser conscientesde que, si tienen medios tecnológicos, necesitan invertir en ellos para que esténcontinuamente funcionando y generen beneficios. No te puedes permitir que unordenador no funcione, porque te podría parar la fábrica. Nuestra dependenciade la tecnología cada vez es mayor y habrá que invertir más en ella.
¿Cómo contempla la batalla entre los ciberdelincuentes,con sus ataques a sistemas informáticos, y quienes los persiguen?
Los malos son muy buenos. Gente brillante. Esto es como la carrera del ratón y el gato. Recuerdo una conversación que tuve hace muchos años con el responsable de la seguridad de una entidad financiera que me decía lo siguiente: yo lo único que quiero es que mis sucursales estén un pelín más más seguras que las de la competencia. Porque así el malo se va a ir a buscar al otro. Pues aquí pasa un poco igual. El malo va buscando siempre al más débil. Ahora mismo, el cibercrimen es otra industria. Es crimen organizado. Cuando se dan cuenta de que el phishing no funciona, pues saltan al ransomware. Ahora se inflan a secuestrar equipos y a pedir rescates. Cuando explotan un filón y ven que ya no hay rentabilidad, se van a otro.
¿Por qué muchas empresas no denuncianesos ataques y extorsiones?
No se denuncian porque piensan que nomerece la pena. Cuando a ti te roban en la calle lo hacer porque el seguro teexige para recuperar lo robado que haya una denuncia, pero no porque vayan adetener al ladrón. Pero, si te roban en Internet, ¿vas a recuperar algo? No.¿Vas a conseguir que los detengan? Tampoco. No estoy diciendo con esto que nohaya que denunciar. Lo que quiero decir es que, si te pasa, con la denuncia loúnico que consigues es contribuir al bien común, y que la Policía y la Fiscalíainviertan más en la protección.
Pero también puede ser para que nadiesepa que estás siendo vulnerable…
Como bien comentas, en los ciberincidenteshay una presunción de culpabilidad. Te roban en casa y dices, que c. son losladrones que me han entrado en la vivienda. Pero si te roban online lo primero quese dice es que esa empresa tiene un problema. Se criminaliza al que sufre elataque. Hay un problema de percepción en la sociedad y cuando tienes unincidente de este tipo da la sensación de que lo has generado tú. Que tú mismohas provocado que te roben. Es un problema de madurez. Cualquiera puede tenerun incidente. La seguridad absoluta no existe. Lo vimos hace dos años con lodel wannacry en Telefónica. Tuvo que apagar todos los ordenadores y mandar unviernes por la tarde a su gente a casa. Hizo lo que tenía que hacer. A mí mehubiera preocupado que Telefónica el lunes no estuviera trabajando o que no mehubiera dado servicio de teléfono. Pero no ocurrió ninguna cosa de las dos. Laimagen de Telefónica salió reforzada porque fue capaz de responder.
"Los criminales van a toda leche, la tecnología va muy rápida y la legislación y la justicia van a su ritmo"
¿Las guerras de ahora se decidirán enel ciberespacio?
Para predecir el futuro soy un poco desastre. Pero está claro que la tecnología se incorpora a la defensa a gran velocidad. El problema del ciberespacio es que todos somos vecinos. No hay distancias. No hace mucho vimos el ataque a una refinería petrolífera en Arabia Saudí realizada con drones. Es más sencillo y más económico, además, realizar un ataque desde una oficina por Internet que tener que desplazar a un millar de soldados a la zona. Más fácil y más económico. Además, con un componente nuevo, que es la dificultad de la atribución del ataque.
¿La legislación sobre delitos relacionadoscon la tecnología y la ciberseguridad tampoco es fácil tenerla al día?
Toda la legislación está pensada para un mundo físico y el mundo de Internet y el ciberespacio se lo salta completamente. No hay barreras, no hay fronteras, no hay nada. Ahora mismo, la legislación no está preparada y no tiene visos de que se prepare. El problema es la rapidez con la que ocurren las cosas. En el mundo online cabría esperar que hubiera ciberpolicías y ciberjueces que trabajaran online. Porque el crimen es online. No podemos aplicar medidas del mundo físico en el mundo online. Los criminales van a toda leche, la tecnología va super rápida y la legislación y la justicia van a su ritmo. Los delitos siguen siendo los mismos y lo único que cambia es el medio por el que se cometen. Eso sí, los humanos somos igual de cutres que hace 1.500 años.
"Yo soy extremeño y los extremeños, desde la época de Hernán Cortés, somos todos conquistadores"
¿España está por detrás de otrospaíses en cuestiones tecnológicas?
En tecnología estamos por detrás,como lo está también Europa. Hay una desventaja brutal, tanto con Asia como conEE.UU. En talento estamos sobrados, tanto que lo exportamos. Como pagamos muymal en España, casi todos se van fuera. En España tenemos la estructura, CentroCriptológico Nacional, INCIBE, CNPIC, Mando Conjunto de Ciberdefensa, pero nosfalta inversión y medios.
¿Hay mucha competencia en el sectorde la ciberseguridad?
Muchísima. Y también mucho intrusismo,como suele ocurrir en los negocios emergentes. El sector está creciendo adobles dígitos y es una invitación a la entrada de nuevos competidores. Tenemosun hándicap: el tamaño de las compañías que ofrecen sus servicios.Necesitaríamos grandes compañías, no solo para dar servicio en España, sinopara que puedan ser una referencia internacional.
En estos momentos está de gran actualidadla polémica sobre la privacidad de los datos. ¿Cómo se puede luchar contraesto?
La privacidad no es tanto que tengantus datos, sino cómo los usen. Si losusan para darme un servicio cada vez mejor, me parece bien. No me importa. A míme ha llegado a avisar mi proveedor de correo electrónico antes que mi compañíaaérea de que mi vuelo estaba retrasado. En el tema de la privacidad nos hemosliado la manta a la cabeza y estamos intentando regular algo que es muydifícil. En algunos casos nos pasamos de frenada. Con las tarjetas de crédito,tu banco sabe perfectamente tus hábitos de consumo. Lo sabe todo. Ahora bien, ¿lo usan? Pues mientrasno lo usen y lo custodien no pasa nada.
¿Se imaginaba que triunfaría con LeeSecurity?
Yo soy extremeño y los extremeños, desde la época de Hernán Cortés, somos todos conquistadores. Una amiga me dijo que tenía un proyecto muy grande y una empresa muy pequeña. Era una verdad como un templo. Entonces, busqué socios que me ayudaran a hacerla más grande. Y en esas estamos hoy. Como dice uno de mis socios, Alfonso Pastor, tenemos que hacer las cosas muy bien para que nos recomienden. Colaboramos con INCIBE, con CNPIC, en proyectos con grandes compañías y entidades financieras… Este es un proyecto y una realidad muy ilusionante.