José Antonio Castro es director de estrategia corporativa y responsable de la plataforma Cyber Guardian de Factum, la empresa española de ciberseguridad en la que el Banco de Santander invirtió 25 millones de euros en septiembre del 2021. Factum es noticia por haber puesto en marcha Cyber Guardian, la plataforma digital dedicada a las Pymes. El Banco de Santander ha echado el resto en este proyecto. Y es que José Antonio ha sido CISO global del Grupo Santander durante cinco años, y durante cuatro años responsable global de Gobierno, Riesgo y Ciberumplimiento
Lleva toda la vida dedicada a la ciberseguridad, e inició su carrera como analista de sistemas. Dicen que los mejores en ciberseguridad son los autodidactas, los que la habéis inventado ¿Es así?
Yo soy informático y he ido evolucionando a medida que evolucionaba la informática. Empecé en consultoría, programación y análisis, y luego entré en el mundo de ciberseguridad, que entonces se denominaba seguridad informática y estaba muy ligado al control de accesos. A partir de ahí surgió Internet y aparecieron otros roles en ciberseguridad de protección de la red. He estado siempre ligado a la evolución del mundo digital de una forma natural.
Háblame de Factum
Es una empresa que lleva 13 años dedicada a la ciberseguridad y que se cruzó su camino con el del Bando de Santander hace ocho meses a través de la plataforma de inversión Tres Mares. Ha sido siempre muy estable y ha tenido un crecimiento continuo, cien por cien ligado a la ciberseguridad.
¿Qué cambios habéis introducido o vais a introducir?
El cliente tipo de Factum siempre ha sido la mediana o gran empresa, a las que se prestan servicios especializados de alto valor añadido en materia de ciberseguridad. Tras la asociación con Santander surge la oportunidad de apoyar a las Pymes, y esto no es solo una cuestión monetaria, sino también de cumplir con un compromiso social del banco; a partir de ahí surge una nueva línea de negocio, separada e independiente, orientada a mejorar la ciberseguridad de la pequeña y mediana empresa, y apoyada por la gran experiencia y capacidad del equipo profesional de ciberseguridad de Banco Santander.
Ahora la banca no solo se dedica a vender productos financieros, también vende soluciones de ciberseguridad. ¿Qué estrategia te planteas para llevar a buen puerto los objetivos que os planteáis?
Permíteme que me centre en Factum. Es una compañía que, por su orientación y trayectoria, cuenta con la confianza de sus clientes. Normalmente se empieza con un conjunto de clientes muy estables a los cuales vas aumentando los servicios que les prestas. Si destacas por la calidad y ofreces confianza, es a ti a quien recurren para poner en tus manos sus problemas y que operes en la solución de estos.
¿Qué es más fácil, vender un seguro de vida o vender soluciones de ciberseguridad?
Yo te puedo hablar solo de ciberseguridad.
¿Son receptivas las empresas a comprender la necesidad de implementar sus estrategias y medidas de ciberseguridad
Depende mucho del tamaño. En la mediana o gran empresa la concienciación es grande. No ocurre lo mismo con las pequeñas empresas o las microempresas. Sólo un 30% de las pymes dispone de algún protocolo de ciberseguridad. Si existe un desconocimiento hacia algo que crees que no es necesario es más difícil llegar a ellas. Y es un trabajo de todos concienciar, no solo es una cuestión de ventas. Es concienciar sobre una necesidad que existe y que imprescindible.
¿Qué empresas se pueden ver más afectadas en su actividad por un ciberataque?
Permíteme que elabore un poco esta respuesta. La dependencia de las Pymes con respecto a los datos es cada vez mayor. Yo creo que la digitalización ahora mismo no es una opción. Hay que caminar hacia la digitalización. Por poner un ejemplo, cualquier empresa pequeña, que tenga un proceso industrializado tiene una dependencia de los datos, de los de los datos de sus clientes, de los que utiliza en contabilidad, de los datos de proveedores… Y en ese momento ya estamos ante la posibilidad de un ciberataque, ya es una empresa atractiva para los ciberdelincuentes. En la actualidad vivimos una industrialización total de los ciberataques, cada vez más sofisticados y automatizados, y suelen ir dirigidos hacia los más desprotegidos. En España, de los 130.000 ciberataques ataques que se producen al año casi un 70% son a las pymes y un porcentaje muy importante de las que sufren un ciberataque severo desaparecen en una media de seis meses.
"Según estudios de Unión Europea estamos a la cola de Europa en medidas de ciberseguridad en las pequeñas y medianas empresas. Eso significa que somos poco conscientes de lo que nos puede pasar"
¿Qué buscan los atacantes?
Fundamentalmente los ciberataques van orientados hacia los datos en todas sus modalidades, desde la venta de información confidencial, su uso para cometer fraudes y el secuestro no solo de la información y los propios datos, también de los sistemas información de la empresa. Son muchas las empresas que informan que las han dejado completamente inoperativas debido a un ciberataque. Ejemplos hay muchos y los sectores son muy variopintos: sanidad, industria, sector financiero, transportes. Yo creo que en los últimos años son muy públicos los ataques a este tipo de grandes empresas y en cambio no se publicitan tanto los ataques a las pymes y probablemente ese es el problema más grave.
Muchas personas que han sido víctimas de un ciberataque lo viven como un secreto ignominioso que hay que ocultar. ¿Por qué? ¿No quieren que los tomen por tontos?
Es un hándicap para la sociedad que no se hable con libertad de ello. Principalmente porque puedes alertar a otros para que no les ocurra. No hay que tener miedo a ser estigmatizado. Tenemos que ser más transparentes a la hora de confesar que hemos sido víctimas de un ciberataque. Tradicionalmente, no solo las personas, sino las empresas que los sufrían se callaban por miedo al impacto reputacional. Aquello, afortunadamente, comienza a ser superado.
¿Cuál es el motivo? ¿Son tan hábiles los delincuentes que cada vez resulta más improbable que no haya nadie que alguna vez haya sido víctima o pueda ser víctima de ellos?
Es una mezcla de muchísimos factores. Los ataques están cada vez más industrializados y ahora mismo el cibercrimen mueve más dinero que el tráfico de drogas. Todo el mundo conoce a alguien a quien le ha pasado algo de forma directa. Y luego ocurre algo muy importante, y es que la mayoría de los ciberataques no se dirigen al perímetro de la empresa. Un 97% se dirigen al empleado. Entran por un simple correo de phishing no detectado.
¿Y no será un problema también que haya muy pocos jefes que animen a hacer las cosas bien y despacio? Las prisas nunca son buenas y menos en temas de ciberseguridad.
Esta habiendo un cambio de paradigma laboral, y es que los empleados tienen que ser la primera barrera de protección de la empresa. Y no se puede ejercer de barrera si no conoces los riesgos. Hay que entrenarlos, hay que formarlos en ejercicios de phishing. Una de las cosas más importantes que hacemos en Cyber Guardian es el entrenamiento del equipo humano de la empresa para hacer frente a los ciberataques. No puedes tomar solo medidas de protección en los equipos de la empresa y no formar a los propios empleados
Imagínate una pequeña empresa, un despacho de abogados con diversos tipos de empleados, manejando muchos datos y con algunas personas despistadas o de dedos rápidos a la hora de hacer clic donde no deben. ¿Qué servicios les ofrecerías?
Haríamos dos cosas: una a nivel de empresa y otra a nivel de empleado. Lo primero es que seas consciente como empresa de tu estado de ciberseguridad y de tus riesgos. La mayoría los desconocen. Les damos una herramienta para que conozcan una puntuación de riesgo que se basa, entre otros aspectos, en la seguridad de tu página web, si la tienes; la seguridad de tu correo electrónico, las filtraciones de datos que hayas podido tener, las posibles suplantaciones de tu página web y en la seguridad de tus proveedores. Y en base a todo eso lo que damos es un scoring y te damos dando acciones y consejos para mejorar tu seguridad la empresa; como tal, fíjate que hasta ahora no he hablado de producto ni hablado de implantación he estado hablando del entorno de tu empresa.
¿Qué vendría a continuación?
Hay tres cosas fundamentales a proteger dentro de tu empresa: los dispositivos, el correo y la navegación. Esas son las principales vías para introducir el ataque. Ofrecemos una protección que no es una protección de mercado, sino la que utilizan las grandes multinacionales y las grandes compañías, una protección innovadora y de última generación; lo mejor en el ámbito de ciberseguridad, que hasta ahora no estaba disposición de las pequeñas empresas. El componente adicional que introducimos es una formación, un entrenamiento. una simulación y una concienciación contra el phishing. Puedes simular que eres una empresa de paquetería para ver cómo reaccionan tus empleados, y evidentemente la primera reacción puede que sea hacer click (Recuerda: piensa siempre antes de hacer click) y a partir de ahí empiezas una formación, un entrenamiento, una evaluación y realizas campañas sucesivas de forma que esos empleados empiecen a tener una prevención con respecto al phishing.
¿Son conscientes los pequeños empresarios de la importancia real de la ciberseguridad o son de los que se acuerdan de Santa Bárbara cuando truena?
Normalmente son de los de Santa Bárbara. Según estudios de Unión Europea estamos a la cola de Europa en medidas de ciberseguridad en las pequeñas y medianas empresas. Eso significa que somos poco conscientes de lo que nos puede pasar
¿Por nuestra idiosincrasia a qué tipo de ataques somos más vulnerables?
Yo creo que no se puede categorizar en función de un país. Son características inherentes al ser humano. Hay cosas que pueden parecer absurdas de entrada. Y es que seas sensible al engaño de un regalo de Amazon y no te das cuenta de que no tienes cuenta en Amazon. O cuando recibes un correo de un determinado banco donde no tienes tampoco cuenta y pinchas porque te dice que te va a dar tanto dinero por hacer algo. Entra un poco dentro de la condición del ser humano, coger algo que te ofrecen desconociendo los detalles o, aunque sea absurdo, tal vez porque hacen que te sientas único y especial.
"Si tienes empleados que están con sus equipos y se van a conectar desde hoteles, redes públicas o cualquier sitio que no tiene que ser solo su propia casa, lo lógico es que hagas una seguridad de extremo a extremo y que la información viaje encriptada desde tu equipo hasta tu servidor de datos que tienes en tu empresa. No hay otra. Y un VPN no es algo tan caro"
¿Se juega con el ego y la codicia por así decirlo?
La palabra codicia suena muy fea, simplemente con las ganas de ganar algo, de pensar que ha llegado tu día de suerte, y vas a tener algo de balde. Con el ego también, porque sientes que te están escribiendo a ti en concreto por algún motivo determinado. Por eso pican las personas más cuando el correo está personalizado. También influye el factor de la curiosidad. Hay mucha gente para la cual es un motor muy potente. Quienes diseñan estas campañas juegan con los instintos básicos de la gente, son excelentes psicólogos.
Antes has dicho que es inevitable la digitalización, pero hay personas y empresas que, por miedo a los ataques, están encargando equipos desconectados de Internet, despachos de abogados, por ejemplo.
Ese mismo despacho que cree que no tiene conexión a Internet los expedientes de sus clientes los tendrá digitalizados. No va a tener carpetas suficientes para guardarlos porque es inviable. Y aunque crea que no tiene acceso a Internet, va a comunicarse con el correo electrónico, el nexo con sus clientes. Es muy difícil mantener esa postura, en el momento de evolución tecnológica que estamos. No es una opción. No hay empresa que no tenga correo electrónico y, aunque niegue la mayor, la conectividad a Internet. Es más, estamos en un proceso de llevar los datos a la nube porque carecemos de capacidad local de almacenamiento y procesamiento, y porque son entornos altamente escalables. La evolución es ineludible.
¿Qué opinas del BYOD?
Es una tendencia en alza que se ha acelerado por la pandemia. Ha cambiado el concepto de perímetro de seguridad de las empresas y se ha extendido hacia las casas y los ordenadores personales de los empleados. Estamos en un escenario peligroso y tenemos que caminar al sistema Zero-Trust. Y hay que securizar todos los equipos que mantengan tráfico con la empresa.
Hay mucha gente que no trabaja solo desde casa, sino en bares, centros culturales, bibliotecas, sitios públicos…
Cualquiera que se conecte desde una red que no sea la que controla su empresa debe utilizar una red privada virtual, VPN, es absolutamente imprescindible.
Es algo que no siempre lo pagan las empresas
Pues volvemos a lo mismo de siempre. Si tienes empleados que están con sus equipos y se van a conectar desde hoteles, redes públicas o cualquier sitio que no tiene que ser solo su propia casa, lo lógico es que hagas una seguridad de extremo a extremo y que la información viaje encriptada desde tu equipo hasta tu servidor de datos que tienes en tu empresa. No hay otra. Y no es algo tan caro.
¿Cuáles son los requisitos mínimos para tener protegida una empresa en el segundo año de la década de 2020?
En primer lugar, la protección del puesto de trabajo, y si queremos tener una protección completa lo más interesante es tener un EDR. (Endpoint Detection and Response). Antiguamente se utilizaban los antivirus basados en firmas y esto te protege contra amenazas conocidas, y hoy en día es imprescindible también la protección contra lo desconocido. Se crean 350.000 variantes de virus al día. No puedes estar inerme ante algo que se ha inventado la semana anterior. Y para eso están los EDR que sirven para detectar comportamientos raros, utilizan Inteligencia Artificial y altas capacidades de correlación de eventos y datos. Me parecen fundamentales. Los antiguos antivirus han quedado obsoletos.
En segundo lugar, diría la protección del correo electrónico, fundamental porque es la principal vía de entrada de ataques; el tener una solución específica, avanzada, es fundamental para la protección contra malware y un aluvión de otras amenazas como el phishing.
En tercer lugar, diría que la protección de la navegación, que securice el acceso a la web y al cloud, que permita conectar de forma segura a los trabajadores remotos cuando usen internet, servicios en la nube y aplicaciones propias.
Hay empresas que creen que se libran prohibiendo a sus empleados navegar por Internet o impidiéndoselo
No soy partidario de capar ordenadores. Para la inmensa mayoría de las empresas es imprescindible el uso de Internet. El cortar el acceso Internet se hacía hace 15 ó 20 años. Se daba selectivamente la posibilidad de usar internet a determinados empleados. Es inviable, y además hay profesiones que necesitan navegar mucho. Y en otras, Internet ofrece ventajes que pueden reportarle a la empresa ganancias. Piensa en la cantidad de información que aporta, en la capacidad para comprobar las fuentes, en todo lo que te brinda Internet y te facilita el trabajo. Es imprescindible para funcionar hoy en día.
Una de las palabras que más miedo causa a empresarios y autónomos son las denominadas APTs, Amenazas Persistentes Avanzadas… Tener un virus silente que está actuando o alguien dentro de tu equipo sin que lo sepas. Suena a ciencia ficción.
Me gustaría explicar con detenimiento cómo funciona un ataque para que comprendieran lo que ocurre.
Adelante…
La ciberseguridad es un juego muy asimétrico en el defiende tiene que defender todo el tiempo, todos los sistemas y contra todas las vulnerabilidades y el que ataca solo tiene que encontrar una vulnerabilidad en uno de los sistemas en un instante. Cuando la encuentran lo que hacen es entrar en la empresa. Normalmente no atacan directamente. Lo primero que hacer es intentar asegurar la vía de entrada para poder salir y volver a entrar cuando quieran. El segundo paso es escuchar qué tipo de información se está moviendo y hacia dónde… Averiguar cuáles son los equipos que tienen información importante.
"Pagar rescates no te da garantías, y si me apuras a veces no te dan ni la clave para desencriptar"
¿Cuánto tiempo pueden estar agazapados escuchando?
Dependiendo del tipo de ataque entre 50 y 60 días, o incluso mucho más. Silentes, sin hacer nada, viendo cómo está la empresa y los sistemas de seguridad. Los tipos de datos que hay y cómo se mueven. Si no encuentran atractivo lo que ven lo encriptan todo y se acabó. Si lo encuentran atractivo empiezan a hacer movimientos laterales, salen de un equipo y saltan a otro para ver qué información hay, y todo ello sin que les descubran. Lo siguiente es intentar sacar datos y venderlos, y esos datos que venden puede que tengan o no valor. A veces puede ser alto, como en el caso de los números de las tarjetas, otras pueden que no estén seguros de lo que valen y los ponen en circulación porque es probable que para alguien determinado si lo tenga. La fase final es encriptar, ya sea para obtener un rescate o para borrar pruebas.
¿Hay que pagar o no hay que pagar rescate?
La teoría es que no, pero muchas empresas se ven forzadas a pagar. Se ven en la disyuntiva de si tienen que pagar o cerrar, pero lo importante es saber que el rescate no te da garantía de nada. Una vez que has pagado el que está dentro al mes siguiente puede volver a atacar. Y si no has corregido el problema seguirán sacando beneficio. Pagar rescates no te da garantías, y si me apuras a veces no te dan ni la clave para desencriptar.
¿Qué se suelen llevar de botín los ciberdelincuentes y qué perjuicios pueden ocasionar?
Datos de clientes, lo cual te crea un daño potencial, y hasta un perjuicio económico directo. Cogen tu información, la venden y usan los datos de tus proveedores y contactos para cometer fraudes informáticos. Se llevan no solo información de tarjetas, sino también de cuentas bancarias. Pueden causarte un enorme daño reputacional. Y no solo económico, porque si no has hecho las cosas bien puedes tener sanciones. Y a todo ello se sumarían los potenciales daños a futuro. Una vez que se resuelve el ciberataque probablemente sigas teniendo una estela de daños durante bastante tiempo.
¿Qué nos puedes decir de la ciberguerra y de los grupos patrocinados “de tapadillo” por determinados estados?
Hay Estados que fomentan el hacktivismo, tienen auténticos ejércitos, grupos de gente que son capaces de dañar infraestructuras, y capturar miles de secretos. Hay un mundo paralelo al mundo real que es el mundo cibernético y cuando hay una guerra en el mundo real hay una guerra cibernética. Están tratando de obtener información, tratando de influir en la información, en el pensamiento, y también capturar comunicaciones. Hay toda una guerra paralela qué es la que se está desarrollando ahora con Rusia y un montón de países, es la guerra de la información, de los datos.
¿Estamos sabiendo todo lo que está ocurriendo o se ocultan por decirlo de algún modo las bajas cibernéticas?
Evidentemente no se cuenta todo.
Es el CISO europeo en estos momentos un profesional al borde del infarto
Están trabajando muchísimo desde el comienzo de la guerra. Hay que proteger todo lo que son las infraestructuras críticas de los países y de las empresas y trabajar en prevención. En estos momentos hay un estado de alerta, han de estar pendientes y tres niveles por encima de la alerta que tendrían en una situación normal.
¿Debería haber más transparencia en los ciberataques importantes?
Es bueno que la haya. Fíjate que hace algún tiempo hicimos un estudio sobre qué empresas habían sufrido menos impacto después de tener un ciberataque y cuáles se iban a recuperar antes. Las que se recuperaban antes eran las que habían seguido una política de transparencia y claridad a la hora de expresar lo sucedido frente a las que habían recurrido al ocultismo. A mí me parece una buena práctica, por ejemplo, lo que ha hecho Iberdrola, decir, señores, hemos sufrido un ciberataque, nos han robado estos datos, y hemos tomado estas medidas. Eso da tranquilidad a la gente. Imagínate que hubiera pasado si eso hubiera salido por la prensa directamente. Hubiera sido muchísimo peor.
¿Qué representa para el desarrollo tecnológico el Kit Digital?
Es, en estos momentos una gran oportunidad para la pequeña y mediana empresa, hay 3.000 millones de fondos europeos, y sería de locos que se quedaran parcialmente desiertos. Porque eso es una gran ayuda a fondo perdido para digitalizar las empresas, ya sea en ciberseguridad o en otros aspectos. Hay diez categorías, y una de ellas es la ciberseguridad. Merece la pena destacar que se hicieron estudios previos y tuvo entre las PYMES una aceptación del 80% la oportunidad de incrementar la seguridad de sus negocios. Nosotros hemos puesto en el mercado una solución innovadora que no tiene nada que ver con las tradicionales.
"El tramo en el que se concentran mayor número de ciberataques es cuando está la gente despierta en Asia, África, América y Europa"
¿En qué consiste?
El objetivo es proteger las pymes no con licencias de determinados productos, lo que hemos hecho ha sido construir la solución con tres productos líderes, hasta ahora solo al alcance de las grandes corporaciones, y luego encima de eso hemos construido toda una plataforma que mejora la relación digital con el cliente y permite mejorar día a día la seguridad de las empresas.
¿Qué precios tienen?
Muy competitivos. El precio de mercado sería de 249 euros por dispositivo, pero Banco Santander ofrece una promoción de lanzamiento, para siempre, y el producto costaría 125€; si se obtiene el bono digital, y dentro de las condiciones de este, podría ser a coste cero durante el primer año.
¿Cuál es el tipo de ciberataque que más sufren las pymes?
Los de Ransomware, y como están hechos de forma industrializada afectan a demasiada gente. Antes el procedimiento era manual, afectaba a muchas menos empresas. Ahora lo mandan a muchas y con que piquen veinte por ciento ya tienen hecho el negocio.
¿Cuál es la hora a la que se producen más ciberataques?
Hay un tramo en el que se concentra mucho todo, y es cuando coinciden los horarios en los que está la gente despierta en Asia, África, América y Europa. Es cuando más actúan porque es el momento en el que pueden pillar mayor volumen de víctimas.
Sorprende y aterroriza que estados como Israel hayan tenido 3 ó 4 ciberataques graves en las últimas fechas
Son una gran potencia en ciberseguridad, y si han trascendido cuatro imagínate cuantos han debido de tener.