Mucho antes de que las noticias de las medidas austriacas para preparara a la población contra un apagón aparecieran en los periódicos y en los informativos y corrieran como la pólvora a través de las redes sociales, el Coronel Fernando Acero, Ciso Global del Grupo Oesía, experto e influencer en el ámbito de la ciberseguridad y la tecnología, escribió un artículo en Linkedin que ha tenido hondo impacto en esta red social. Empezaba así: "Para los aficionados a la película 'El dinero físico tiene que desaparecer' y 'No puedes tener mucho dinero físico en casa', ahora viene 'Te has quedado sin poder sacar dinero y no puedes pagar con tu trozo de plástico para comprar comida o agua en un buen tiempo'. Escudo Digital ha decido entrevistarle para que hable sobre este tema y otros de plena actualidad, como la crisis energética y los ciberataques a estructuras críticas.
¿Qué intereses hay en que el dinero en efectivo desaparezca?
Que el dinero físico desaparezca es más negocio para la banca y un mayor control contra el fraude, esto último más que deseable. Pero dicha desaparición nos hace más ciberdependientes y electrodependientes, por lo que se tiene que tener en cuenta en determinados escenarios muy posibles y que nos pueden demostrar que esa no es una buena idea.
¿Qué opinas de las medidas que están tomando en Austria ante un posible apagón?
Creo que estar preparados para ciertas situaciones no es malo, sin llegar la histeria, es bueno que la población sepa y sea capaz de reaccionar ante situaciones concretas de elevado impacto. Por ejemplo, Suiza también lo está haciendo. La Estrategia de Seguridad Nacional española de 2019 contempla estos escenarios como posibles y no es malo estar preparados para ellos. También es cierto que dicha Estrategia habla de las pandemias y tampoco estábamos preparados. Nuestro nivel de dependencia exterior era enorme en productos críticos para poder combatir la pandemia eficazmente. Aquí interviene otro factor: para poder ser resilientes, no se puede deslocalizar la producción de todo, ni depender del exterior para casi todo. En relación con la pregunta, en dicha Estrategia se habla de Amenazas y desafíos que se desarrollan en los espacios comunes globales y algunos de ellos, puede acabar en un apagón de larga duración, por ejemplo, tras un ciberataque, una crisis energética basada en petróleo, gas o el carbón o una emergencia o catástrofe natural o no natural. Es decir, no hay solamente una causa que puede acabar, sin duda, en un apagón y encima, ahora, a la probabilidad más o menos alta de un ciberataque, sumamos una probabilidad más o menos alta de crisis energética en el invierno. Lo estamos viendo con el gas que viene de Argelia y los precios de la energía eléctrica que no dejan de subir, lo que va a afectar negativamente a todas las cadenas logísticas y de producción.
"Toda la logística del agua depende de la energía eléctrica. Se necesitan bombas para mover el agua y se necesitan bombas para mantener las tuberías limpias y operativas... Pensemos esto a gran escala en un país. Se podrían volver a ver enfermedades que no vemos desde la Edad Media"
JJ. Benítez ha previsto un cataclismo para el 2027 y ya dejó ante notario que iba a ocurrir algo en el 2020.
Con todo el respeto hacia esta persona, lo cierto es que en el mundo pasan cosas malas todos los años. Es fácil decir que en el 2027 va a producirse un cataclismo, pero deberíamos definir lo que consideramos cataclismo en base a su impacto real, así como la naturaleza del mismo y no equivocarse en esa predicción. Pero si me equivoco en la predicción, tampoco pasa nada, he logrado que hablen de mí un poco. Nostradamus nos enseñó lo sencillo que es hacer predicciones sin equivocarnos mucho, solamente hay que ser generalista y lo suficientemente ambiguos como para que se pueda relacionar aunque sea por los pelos, cualquier suceso real con lo que hemos dicho en nuestra profecía. Aunque también es cierto que para ser profeta, Nostradamus ha fallado más que una escopeta de feria, o no hemos sabido encontrar el suceso que casaba con su predicción.
Se habla de agua en caso de un apagón, ¿por qué?
Toda la logística del agua desde la captación, al transporte, pasando por la depuración, distribución y saneamiento, depende de la energía eléctrica. Se necesitan bombas para mover el agua y se necesitan bombas para mantener las tuberías de saneamiento limpias y operativas. Si se sigue usando el saneamiento sin agua, las tuberías acabarán siendo un bloque de suciedad sólido y no se podrán usar si no se cambian, creando un problema global sanitario. Pensemos eso a escala de un país. Se podrían volverá a ver enfermedades que no vemos desde la Edad Media.
¿Estamos pasándonos informando sobre los riesgos de ciberseguridad hasta el punto de hacer perder la confianza a los ciudadanos en el sistema bancario?
Creo que el sistema bancario es bastante seguro, el problema de muchas inseguridades está en la escasa concienciación y en la falta de habilidades digitales básicas de los usuarios ante determinadas situaciones. Yo recibo al día entre dos y tres mensajes SMS de smishing intentando hacerme creer que un banco me ha bloqueado la cuenta, con la intención de estafarme. Lo malo es que no todos los usuarios saben reconocer estas situaciones y hay usuarios que caen en la trampa y hacen que este tipo de prácticas sean tan rentables para los atacantes, como difíciles de perseguir por los Cuerpos y Fuerzas de Seguridad del Estado. Cualquier simulación de phishing en una empresa que no proporcione formación específica de ciberseguridad a sus empleados y en especial para actuar correctamente ante mensajes de phishing, puede acabar con más del 40% de usuarios engañados y no olvidemos que el 98% de los ciberataques a usuarios y empresas empiezan por un correo electrónico de phishing con un enlace o un documento malicioso anexo. No es que la banca electrónica sea insegura, es que la sociedad en general es insegura y no está bien adaptada a la digitalización tan agresiva que se está produciendo en sus vidas y que afecta a productos y servicios más diversos.
"... La logística del dinero de plástico, son números en una memoria de un ordenador. Sin energía eléctrica no hay dinero y la crisis mayor que se puede sumar a otra crisis, como una energética, o a un desastre es que el dinero no pueda cambiar de manos, que es lo que mueve la economía".
Hace unos días, a un señor que no quería o dijo que no tenía smartphone para coger un código QR le dijeron que era un animal en peligro de extinción en una clínica. ¿No vamos demasiado deprisa en la digitalización? ¿Hay cosas que deberían seguir siendo mecánicas?
Bueno, habría que ver quién está en más peligro de extinción, si los ciber-electrodependientes, o los no digitalizados. Desde luego, no fue algo muy afortunado el comentario. Si la ciberseguridad y la resiliencia no forman parte de la digitalización por diseño y por defecto, y hasta ahora no lo ha sido mucho, la sociedad está corriendo riesgos muy grandes y esos riesgos, por el aumento del impacto y la probabilidad, serán mayores según vayamos siendo sociedades más ciberdependientes. Ojo que no digo que la digitalización sea mala, al contrario, es necesaria y más tras la necesaria recuperación ante la pandemia, pero hay que lograr que dicha digitalización sea segura y dicha seguridad sostenible en el tiempo, eso implica acciones en muchos ámbitos y la educación y concienciación de la sociedad es fundamental.
¿Por qué es necesario tener dinero en efectivo?
El dinero físico nos da resiliencia como sociedad y nos da un margen de tiempo para adquirir productos y servicios en determinados casos, como un apagón de larga duración. La otra alternativa es el trueque, lo que es más complicado y arbitrario.
¿Hasta qué punto la logística de la energía depende de la energía eléctrica y el dinero de plástico?
La energía no se crea ni se destruye, solamente se transforma. Para producir electricidad necesitamos otros tipos de energía y el problema de las renovables es que no mantienen la producción de forma constante. Por ejemplo, la eólica si no hay viento no funciona, la solar si no hay sol tampoco, por lo que tampoco se pueden adaptar a los picos de consumo con facilidad. Por ello hacen falta fuentes de energía que sean capaces de ser predecibles y adaptarse a la demanda, y hasta ahora, las centrales de ciclo combinado, las nucleares, etc, forman ese pack. Por otra parte, también se da la cuestión inversa, toda la logística de la energía, no solamente el agua, como la de hidrocarburos o gas, o la climatización de frío o calor, dependen se bombas eléctricas, circuitos electromecánicos y de sistemas informáticos para poder funcionar. Hoy en día, si se va la luz tampoco funciona el calefactor de gas natural que tenemos en la terraza, aunque nos llegue gas a nuestra casa. Hace muchos años, cuando los apagones eran frecuentes, las bombas de las gasolineras tenían manivela, lo que las hacía resilientes a los apagones. Pero ahora casi todo es digital y depende de la energía. Lo mismo sucede con la logística del dinero de plástico, son números en una memoria de un ordenador; sin energía eléctrica no hay dinero y la crisis mayor que se puede sumar a otra crisis, como una energética, o a un desastre, es que el dinero no pueda cambiar de manos, que es lo que mueve la economía. El dinero quieto es un desastre económico. Pensemos en 10 personas que se deben 5 euros entre ellas dos a dos, eso es una deuda total de 5O euros, pero con solamente 5 euros que cambiasen de manos entre esas personas, eliminaría la deuda de todas.
¿Quiénes estarían más preparados para sobrevivir en un black out? A la gente le preocupan mucho las repercusiones que podría tener para la justicia, la seguridad social, las pensiones....¿Podrían perderse esos datos? ¿Es necedsaria la alternativa de un soporte en papel?
En un apagón de larga duración todo lo electrónico deja de funcionar y dependerá de la ciberdependencia de la organización o de la persona, lo que pueda y no pueda hacer. Como hemos dicho, mayor ciberdependencia, mayor vulnerabilidad y posiblemente, mayor probabilidad de parada sistémica. El poder seguir trabajando con papel es una forma de resiliencia. Hemos de pensar en que muchas organizaciones que han sufrido en fechas recientes un ataque con ransomware, que es algo parecido a un apagón al menos en el acceso a la información, ya que no permite acceder a los datos o trabajar con los sistemas afectados con normalidad, han tenido que recurrir al lápiz y el papel durante meses para hacer su trabajo. Recordemos que ya que ni siquiera hay máquinas de escribir para hacer un documento. Salvo un desastre natural como una tormenta solar, no creo que se produjera una pérdida masiva de datos. Hemos de considerar que para los que tienen monederos de bitcoin, tienen la posibilidad de guardar las claves del monedero en papel en la forma de código BIDI y con ello, poder tenerlas a buen recaudo y de forma independiente de sistemas electrónicos y eso es por algo. He visto perder mucho dinero en bitcoin por no tener una copia de seguridad de las claves. El papel es un buen backup, pero tampoco es la panacea, ciertas condiciones ambientales o un simple incendio, acaban con él.
Un médico se quejaba hace poco de que habían destruido todos los historiales que tenía en papel, tenía la costumbre de no usar el ordenador porque su especialidad precisa de observar a los pacientes mientras hablan... ¿Qué falla en este caso, se está ahorrando el trabajo de un asistente que tome nota?
¿Y si lo mete en la picadora de papel por error?, creo que el riesgo no está en el soporte, está en el procedimiento seguido y en la conservación. Cuando hablamos de sistemas informáticos, es fundamental la regla 3,2,1, es decir seguir una estrategia para asegurar la replicación de tus datos de forma ordenada frente a desastres. Básicamente se trata de realizar tres copias de seguridad de tus datos, almacenar en al menos dos soportes diferentes (por ejemplo disco y papel, o disco y cinta magnética) y enviar una de estas copias a un lugar físico diferente, por si hay un incendio, inundación, robo o hundimiento, por ejemplo. Al menos, si borra o formatea un soporte de información, como un disco duro removible, hay posibilidad de recuperar la información, es decir, que si no se usa un sistema de borrado seguro, hay posibilidades, con una buena picadora de papel, no hay dichas posibilidades. El tener una asistente que le escriba no elimina los riesgos, ni los transfiere, solamente cambia el soporte de la información y la carga de trabajo, por lo que el desastre se puede producir igualmente e incluso con más probabilidad, si hay descoordinación ente las dos personas que intervienen en el proceso..
¿Es razonable exigirle a un profesional que tenga unos conocimientos informáticos para proteger la información de sus clientes y que derive el tiempo que podría utilizar en seguir formándose permanentemente para lo que ha estudiado?
Desgraciadamente las habilidades digitales ya forman parte de los conocimientos necesarios para poder realizar nuestras tareas laborales en un mundo digitalizado. Esa formación se ha de asumir como la necesaria para saber escribir, sumar o leer. Esos conocimientos nos hacen más productivos y ciberseguros, algo fundamental en un entorno altamente competitivo.
¿Hasta qué punto ese peligrosa la ciberdependencia y la electrodependencia?
La ciberdependencia y la electrodependencia no son malas si se evalúan y gestionan los riesgos adecuadamente y somos seguros y resilientes ante determinadas situaciones.
¿Qué está ocurriendo con los coches eléctricos?
Evidentemente, el incentivo que suponía un coche eléctrico para los usuarios con la subida de la energía eléctrica se está perdiendo, y desde luego, visto el mix de generación de energía y teniendo en cuenta la energía necesaria para su fabricación y reciclado, el coche eléctrico no es 100% ecológico ni reduce las emisiones de carbono en un 100%. También creo que no estamos preparados para este tipo de vehículos y hay muchas personas que no tienen garaje y que no pueden cargar con facilidad este tipo de vehículos. Yo, que tengo un vehículo híbrido enchufable, tengo muchos problemas cuando viajo para cargarlo; de hecho, no lo he podido cargar en la mayoría de los sitios a los que he ido. Faltan infraestructuras, unificar las tarjetas de pago, ser trasparentes y lógicos en el precio que cuesta cargarlo y faltan soluciones viables. Pero como hemos dicho, ante un apagón de larga duración, los coches podrán funcionar mientras tengan gasolina en el depósito o electricidad en las baterías, pero luego no se van a mover por no poder cargar las baterías o por no poder mover la gasolina de un sitio a otro.
¿Vamos a tener que rescatar el coche del abuelo lo más mecánico posible?
Lo único bueno que tiene un coche del abuelo es la ausencia de electrónica, lo que lo hace insensible a ciberataques, a un impulso electromagnético o a una tormenta solar.
¿Por qué está fallando la logística a nivel global?
Eso es complejo, pero por ejemplo, el parón en la producción y en el transporte de la pandemia y las metodologías ”just-in-time” en la fabricación, redujeron los stocks y quebraron operadores logísticos y ahora, con la reactivación el sistema logístico no lo puede asumir de nuevo. Pero también está el colapso en los puertos, la falta de transportistas, el encarecimiento de la energía, el cuello de botella que se produjo en el Canal de Suez, la falta de semiconductores y materias primas, etc, etc, etc. Como he dicho, este problema es complejo y de complicada solución. La logística era una máquina bien engrasada y muy optimizada globalmente, la salida de su situación de equilibrio ha provocado un colapso global demostrando que dicha optimización había obviado la redundancia o la resiliencia de la logística, algo que es crítico para un mundo industrializado y globalizado.
¿Se están pagando sueldos demasiado altos a los especialistas en tecnología y se ha subestimado el valor de otras profesiones como camionero, recolector, enfermeras? Igual este tema se sale de su órbita, pero me gustaría que me contesetara...
Bueno, el mercado laboral también se mueve por la oferta y la demanda. Si hay escasez, suben los sueldos de los colectivos con escasez de profesionales, sueldos que también varían de forma muy importante en función de los países para un mismo perfil, lo que también genera escasez en algunas zonas y necesidad de reajuste. Pero también es cierto que las condiciones de trabajo adversas, como es el caso de los camioneros, también pueden provocar escasez al margen de los sueldos, al no hacer que ese trabajo no sea atractivo para muchas personas que se inician en el mercado laboral o se tienen que reciclar. No creo que haya una causa efecto muy directa entre el sueldo de un CISO y el sueldo de un camionero.
¿No suena a ciencia ficción lo de las tormentas solares?
Bueno, no tanto, de hecho ya las hemos tenido. En el año 1859 se produjo una gran eyección de masa coronal o llamarada solar que llegó a la Tierra. Esto provocó que el 28 de agosto de ese año se vieran auroras boreales en toda Norteamérica, pero éramos menos vulnerables por la tecnología que se usaba en ese momento, ahora no es el caso. La electrónica es muy sensible a este tipo de fenómenos naturales, lo que se llama meteorología espacial. No olvidemos que el Sol, por nuestra cercanía, es la estrella más estudiada y lo que se sabe con certeza es que desde hace mucho tiempo tiene ciclos periódicos y las tormentas solares se producen de forma regular. Hay cálculos que dicen que hay una probabilidad entre ocho de que haya una tormenta solar de gran magnitud antes de que acabe la década. Esto no sería un problema si los sistemas informáticos se hubieran diseñado para resistir la sobrecarga de una tormenta solar, como se diseñaron en Japón las casas para resistir terremotos. El problema es que ese es un riesgo abstracto, que no todo el mundo conoce ni valora, por lo que dedicar dinero a hacer que los sistemas informáticos, eléctricos y electrónicos soporten una tormenta solar no parece una buena inversión. Más que ciencia ficción, hemos de considerar que esta posibilidad está dentro de los mundos posibles. Está la esperanza que en el caso de que ocurra, nos avisen con tiempo y podamos apagar y proteger todo lo que sea vital y necesario.