Enrique Serrano (Hackrocks): "Hay empresas que están volviendo al papel para asuntos muy confidenciales"

El CEO de Hackrocks y asesor de Cisoverso nos habla sobre la ciberguerra, el hackeo a las principales páginas webs de gobiernos o sobre si la procedencia de los antivirus puede afectar a su comportamiento.

sara-olivo-escudo-digital

Redactora Jefe de Escudo Digital

Guardar

Enrique Serrano, CEO de Hackocks y asesor de Cisoverso.
Enrique Serrano, CEO de Hackocks y asesor de Cisoverso.

Enrique Serrano, CEO de Hackrocks es una de las mayores autoridades en ciberseguridad, y ha participado como miembro del advisory board en el primer acto presencial de Cisoverso, la plataforma que reúne a más de medio centenar de empresas relacionadas con la ciberseguridad y los CISOs de las principales compañías españolas. Está en la lista de "Business Insider" de los 23 jóvenes españoles menores de 35 años llamados a liderar la revolución tecnológica que se creó en el año 2019.

Participa activamente en eventos de hacking y privados, colegios y universidades, programas de televisión y radio, libros y foros de networking y emprendimiento. Conoce bien Israel, ya que formó parte del equipo de Cymulate Ltd, una importante empresa de ciberseguridad de ese pais. 

¿Qué opinas del ciberataque que ha ocurrido en Israel y del hermetismo que muestran a la hora de informar sobre lo ocurrido?

Lo que ha ocurrido en Israel es lo que yo siempre digo, que antes de un conflicto por tierra, debemos de acostumbrarnos de que antes de que haya empezado por tierra lo ha hecho mucho antes en el mundo digital. Lo estamos viendo en otras partes de Europa, pero lo que ocurre con Israel es que recibe al día una cantidad de ciberataques tal que lo sitúa en una situación exponencialmente mucho más alta de peligro que la de cualquier país de Europa. Ellos viven en una ciberguerra constante. Y son grandes expertos en ciberseguridad. 

¿De qué magnitud estamos hablando?

Reciben miles y miles al día. Y por ello se muestran mucho más herméticos, mucho más concentrados en este tema. Tienen la mayor inversión probablemente en ciberseguridad si se analiza de forma porcentual en todo el mundo. Al final este puede haber sido un ataque más. Lo mismo ocurre por tierra, y ahora por el aire. Ellos viven sabiendo que están en constante ciberguerra. 

¿Crees lo que dice el Gobierno israelí?  Afirma que no es tan importante y está todo bajo control.

No tengo datos para hablar de este tema, no me voy a tirar a la piscina. Lo que sí te puedo decir es que han podido tener ataques tan importantes como este y es probable que no nos hayamos enterado. Cada país dice lo que quiere comentar. Hay temas que por protección de datos estás obligado a informar de ellos, pero a nivel país y a nivel estratégico, podemos pensar que a veces es bueno contar u ocultar qué te han hackeado o no. Porque a veces interesa que se sepa algo, pero no que se sepa otra cosa. Y eso ya depende de la estrategia militar de cada nación. Muchos países consideran el ciberespacio como otro ejército más. La guerra se lleva a cabo por tierra, mar y aire, y por ciberespacio, repito. Y a veces a un país no le interesa que se sepa que a un tanque le ha caído encima un misil, o sí...

Todo apunta a Irán, y además Israel ha mantenido y mantiene muy buenas relaciones diplomáticas con Rusia, aunque su ministro de exteriores acaba de manifestar que no se dejará usar por Putin para eludir las sanciones...

Sé exactamente lo mismo que tú. Lo que ha dado a conocer el Gobierno Israelí y lo que se ha publicado en la prensa. 

¿Es seguro en estos momentos tener cortafuegos de una firma rusa como Karpersky?

Hay países que decidieron renunciar a él, pero al final no ocurre solo con Kaspersky. Hay fabricantes de tecnología que según de dónde vienen, se encuentran con países que, por si acaso, deciden no utilizarlo. Eso depende de las creencias que tenga cada uno y también de lo que quieras arriesgarte, por así decirlo. Hay software estupendo americano, software estupendo ruso... pero no está de más, si te lo descargas, ver de dónde viene. 

¿Qué le dirías a las personas que tienen Kaspersky?

Eso ya es decisión de cada uno. ¿Quién lo ha hecho? ¿Dónde están? ¿Te fías de alguna manera? ¿Sí o no? Ocurre igual con la mensajería. Hablamos de WhatsApp, hablamos de Telegram. Si estás en Estados Unidos, qué leyes hay que cumplir. Es por eso que a veces se buscan empresas que estén alojadas en paraísos fiscales y no tengan ataduras con nadie. Donde las Inteligencias de cada país no exijan nada a esas compañías. De hecho hay temas de VPNs que las que más utiliza la gente están en paraísos fiscales en islas en medio del mar donde hay una normativa bastante compleja y no comparten muchos datos.  Pues a lo mejor eso es más seguro que una empresa creada en otro país. Eso ya depende de cada uno, no te voy a decir Kaspersky no, Norton sí o Symantec. 

"Nada es cien por cien seguro, y si no quieres que algo se sepa no lo envíes por mensajería"

¿Tú qué tienes en el móvil para servicio de mensajería?

Suelo recomendar Signal. Pero nada es cien por cien seguro, y si no quieres que algo se sepa no lo envíes por mensajería.  

Se ha publicado que los rusos estaban cogiendo los móviles de los ucranianos muertos para ver con quién hablaban y con quién se comunicaban. Muchos se han llevado las manos a la cabeza. ¿Es tan importante?

Sí lo es. Si coges el teléfono de una persona que es agente de inteligencia que estaba en otra ciudad, o si al final, si hay una baja en una guerra, esa baja puede darte datos, que tiene su cartera, con quién habla. Obviamente, son datos que pueden ser importantes. Puede parecer muy peliculero pero en un móvil está todo. Saber todo de una persona muerta, con quien se comunicaba, lo que hablaba, puede ser importante. 

Se rumoreó que el SEPE fue atacado por los rusos, pero la gente se pregunta por qué no le pasó nada a Hacienda...

En primer lugar no sabemos si se ataca Hacienda o no. No creo que una institución así tenga que comunicar cada ciberataque que recibe. ¿Por qué sale indemne? Solo he dicho que no lo sabemos. Pero hay ciberataques que buscan desestabilizar un país, como cuando está en el punto de mira una infraestructura crítica. Y otros son muy oportunistas. Hay ciberataques que se han mandado de manera masiva a millares de usuarios, y con que una persona lo abra, solo una, la empresa está comprometida. Yo conozco casos de empresas enormes que invierten en ciberseguridad millones y como tengan un empleado no bien formado que no esté preparadito para no abrir el correo que no debe abrir, ya la has liado. 

"A mí me gusta dar el consejo de que estamos siendo hackeados constantemente, así nos ahorramos muchos disgustos... Pensar qué mensaje no enviarías, qué foto no mandarías, qué dato no introducirías"

¿Y también habrá despistados ilustrados?

Sí, yo conozco gente muy técnica que ha caído en la trampa. Normalmente los ataques se suelen producir a las siete de la mañana, con gente madrugadora que aún no está muy despejada.  El caso es que están los ataques oportunistas y también los de hacktivismo, que es como se llama... Puedes atacar a un país, a una infraestructura crítica, a un transporte, a una energía. ¿Y eso puede haber sido un país extranjero en el caso del SEPE? Puede ser. 

¿Con la guerra en Ucrania qué nos puede pasar? La gente tiene miedo a que ataquen los bancos, sus aplicaciones....

A mí me gusta dar dos consejos: vivir pensando que estamos siendo hackeados ahora mismo. Por ejemplo qué foto no enviarías, qué mensaje no escribirías ahora mismo, qué dato no introducirías en algún sitio. Tú imagínate que tu teléfono está intervenido por un ciberdelincuente. ¿Qué no harías? Si vives un poco con esta paranoia, vas a estar más segura. Pero quiero dar un consejo que es para mí como el kit rápido.

Cuéntanoslo...

Se trata de una cosa muy sencilla que todos podemos hacer en casa, es activar el doble factor de autenticación. Que un usuario y una contraseña no sean suficientes para proteger algo que nos importa de verdad. Que si vas al banco no sea solo el usuario y contraseña, que te pida algo más para hacer la transacción. Pero algo como el WhatsApp que es muy sencillo, que es el duplicado de las tarjetas SIM. Cuando la gente instala Whatsapp lo que hace es muy sencillo, te manda un mensaje, y vas y dices que eres tú. Si te han duplicado la tarjeta están robando cuentas de WhatasApp a día de hoy. Si tienes en WhatsApp un código, además del WhatsApp que te llega estás mucho más protegido y tienes este doble factor activado. Y en WhatsApp casi nadie lo tiene, la gente lo tiene en Google, en Gmail. En Instagram se puede activar, en Facebook. 

"Es más fácil quemar un papel que quemar un Pen Drive"

¿Y qué consejo darías a los periodistas o a las personas que manejan información confidencial? La gente ya no se atreve a hablar por teléfono. Vamos a tener que citarnos en el lago del Retiro en una barquita si vivimos en Madrid o dentro de una cueva en la playa para mantener ya sea entrevistas o conversaciones íntimas.

Lamentablemente es así. ¿Cómo se puede mantener un secreto o mantener una conversación que no queremos que nadie sepa? Fuera de las tecnologías. En un nivel tecnológico yo no lo haría. Y hay empresas que están tratando los temas muy confidenciales solo por escrito. Hay gente que se está bajando de la tecnología en algunos países. Su consigna es: los temas importantes, en papel. 

Pero lo escrito no se lo lleva el viento como se decía antes... ¿No es el papel peligroso?

Es más fácil quemar un papel que quemar un pen drive. 

¿A qué se dedica tu empresa?

Tenemos un campo de entrenamiento en el que están los hackers que van a defender las empresas. Por ejemplo ponemos un banco, por decirlo así, y el equipo de un banco viene y les mostramos como lo hackeamos. Y ven por dónde entramos y  por dónde salimos. 

¿Solo trabajáis para empresas muy grandes?

No, también aceptamos trabajos en universidades, colegios, etc. Ponemos siempre un equipo de ataque y otro de defensa, y a ver quién gana. Mantenemos una competición

¿Como en la Cyberleague?

Exactamente. Precisamente soy entrenador de la Cyberleague que organiza la Guardia Civil.