Miguel López es Director General de Barracuda Networks para España. Trabaja para la multinacional de ciberseguridad norteamericana con nombre de tiburón. Licenciado en Económicas con una amplísima formación tecnológica, tiene una capacidad expositiva fuera de lo común, que no interrumpen los continuos pedidos que recibe vía móvil. Le gusta reconocer que la empresa para la que trabaja "atraviesa por buenos momentos. Vivimos un momento bastante dulce en cuanto a la situación de Barracuda, a nivel de cómo estamos reaccionando a nivel de desarrollo de producto, a nivel por supuesto de ventas. Se nota que la ciberseguridad está empezando a preocupar a todo el mundo y en particular a las empresas y a la sociedad en general y el Gobierno".
¿Cuál es vuestro punto fuerte?
Nos hemos especializado en seguridad cloud, y vemos que existe una demanda muy fuerte de este servicio.
¿Los entornos Cloud merecen toda nuestra confianza?
Es todo lo seguro que tú lo quieras hacer, realmente la seguridad o inseguridad de tus datos no es tanta consecuencia de que estén en el cloud o en local, sino de las medidas de seguridad que impongas. Lo que sucede es que el mundo cloud, por ser más novedoso, la parte de medidas de seguridad no está tan madura a nivel de soluciones en la mente de la gente. También hay gente que asume que la cloud es segura, y no lo es más o menos de por sí que otros entornos. Simplemente hay que implementar una serie de medidas al igual que habría que hacerlo en local.
¿Podrías darnos a nivel de usuario algunos breves consejos que puedan ser utilizados en un momento dado?
A nivel de usuario tenemos que tener siempre sentido común. Al igual que no vamos a irnos a un cajero en un sitio oscuro sin saber quién nos está rodeando y sacar un montón de dinero, hay que tomar medidas de precaución cuando interactuamos en Internet o con cualquier medio electrónico. Esas medidas de seguridad las tenemos que implementar en el mundo digital. Yo les diría que la gente tenga cuidado a la hora de navegar por sitios dudosos, que vigile sus dispositivos, que no meta sus datos de manera innecesaria en sitios que puedan ser sospechosos. Que tenga precaución porque muchas veces se interacciona por medios digitales con personas que dicen ser unas personas y son otras. Y hay que ser muy cautos con la cantidad de datos que introducimos en Internet.
Hace poco salió un estudio que afirmaba que la gente se estaba alejando del carrito de la compra digital por miedo a los fraudes ¿No te parece grave?
Es consecuencia de que la gente está empezando a preocuparse de la ciberseguridad. Esa noticia es un síntoma, pero no es malo de por sí. Ojalá ese cincuenta por ciento de carritos abandonados sean dejados a su suerte en sitios web que a lo mejor no inspiran toda la confianza que debieran.
"Cualquier persona con un smartphone tiene un arma muy peligrosa para sí misma"
Estamos llegando incluso a no facilitar el teléfono a nadie alegremente por miedo a que nos la jueguen con WhatsApp y preferimos hablar por redes sociales por miedo a que nos infecten... ¿Es infundado este terror?
Es cierto que dar tus datos personales, los que sean, entre ellos tu número de teléfono, tus contactos de WhatsApp o lo que sea, puede ser peligroso. No es que por el mero hecho de darlos necesariamente te vayan a infectar, pero sí que es verdad que das una vía de ataque a posibles ciberdelincuentes. Y entonces lo que hay que preguntarse es por qué te piden este dato, quién te lo está pidiendo, estás en un sitio web legítimo o es un fraude…. En general cuando actuamos en Internet, sea una web de compras o de citas lo primero que tenemos que hacer es comprobar que es un sitio legítimo, que no es un sitio dedicado al fraude, ese es el primer paso. Si entramos en un portal de compras legítimo , hemos de comprobar que realmente estamos allí, pero habrá que facilitarle esos datos porque si no, no vamos a recibir ese pedido. Y esto es exactamente igual que en el mundo real, no es lo mismo que un policía te pida la identificación a que te venga un señor por la calle y te lo pida.
¿Puedes ponernos un ejemplo?
Sí, es el caso de una supuesta aplicación que te pueden decir que mejora las fotos en tu móvil, ¿es normal que les tengas que dar tu número de teléfono y que tengas que darle acceso a tu agenda a esa aplicación? A lo mejor no...
¿Volveremos a los teléfonos ladrillo?
O hacemos un uso inteligente de los smartphones, o teléfonos inteligentes, o a lo mejor es preferible volver a los teléfonos tontos. Sería una medida muy inteligente y se me ocurren muchísimas personas que deberían utilizarlo, y no por falta de capacidad, sino simplemente porque no tienen por qué saber de este tipo de temas, ni le van a sacar partido a un teléfono de última generación.
¿A Pedro Sánchez le hubiera venido mejor un teléfono tonto en el caso de Pegasus? Maneja información tan privilegiada que sería lo mejor que tuviera el menor número posible de vectores de ataque.
Yo creo que no es necesario volver a comunicarse con un teléfono de los que hay que darle cuerda para tener comunicaciones seguras. Existen sistemas de seguridad en los dispositivos que se pueden implementar, y luego hay que hacer un software adecuado de estos sistemas. Ignoro qué es lo que ha sucedido en el caso Pegasus, no lo sabe nadie a nivel público, al menos. Pero lo que es seguro es que algo ha fallado en el caso de las políticas implementadas o la utilización de los dispositivos, o en cuanto a lo que nos han contado. Ahí algo ha fallado, cuando tengamos una comunicación oficial pues probablemente podremos decir algo concreto sobre lo que ha ocurrido tanto en el caso de Pedro Sánchez y sus ministros. Pero es evidente que todo el mundo en general, o cuanta más información sensible o datos confidenciales maneje, más cuidado debe tener. Cualquier persona con un smartphone tiene un arma muy peligrosa para sí misma porque está introduciendo muchísima información, y en la mayoría de los casos no se tiene ni demasiado respeto ni demasiado conocimiento sobre hasta dónde puede llegar esa información que llevamos encima.
¿Ventajas de trabajar con una empresa americana en ciberseguridad?
Es un país muy potente y con una tradición en cuanto al desarrollo de nuevas tecnologías, y eso se nota a la hora de desarrollar productos aplicados a la seguridad. Se mueve de manera muy rápida y las personas que trabajan en nuestro entorno, en ese ámbito, tienen que ser muy ágiles a la hora de implementar nuevas soluciones, de desarrollar nuevos productos. Y eso es algo que las empresas americanas hacen muy bien. Y otro aspecto donde funcionan muy bien es cómo manejan la arquitectura necesaria para tener un despliegue internacional. La seguridad no es algo que puedas focalizar en un único país. Puedes tener una solución tecnológica muy buena para una región, pero no para otras. La gente se mueve, tienes que tener soluciones que tengan una cobertura global. Y eso es algo que las empresas americanas en general tienen bastante bien resuelto.
¿Qué tipo de hardware vendéis?
Tenemos servidores específicos, se puede llamar appliances de seguridad, dedicados exclusivamente a una funcionalidad de seguridad de la red corporativa. Son equipos dedicados a hacer firewall(cortafuegos) pero no tienen nada que ver con los de los ordenadores individuales. Permiten la conectividad de una red con otra de manera segura. Tambien pueden ser equipos diseñados para hacer WAF (web application firewall), hablaríamos en este caso de equipos diseñados para proteger los servicios web corporativos.
¿Trabajáis para multinacionales y organismos oficiales o también para pequeñas empresas?
A nivel de dispositivos tipo firewall, cualquier empresa de cuatro o cinco empleados debería tenerlo. Si teletrabajas, tu router en teoría tiene un cortafuegos que te protege. No es lo mismo tener una puerta de madera que una blindada. Nosotros implementamos la seguridad de ese rúter de manera externa, ofrecemos cortafuegos, pero también soluciones software para proteger redes, correo electrónico, la navegación... Nosotros lo que no vendemos son los antivirus que se instalan en el ordenador. No instalamos nada. Vendemos servidores de seguridad o appliances como cortafuegos y WAF así como soluciones de seguridad Cloud y para el correo electrónico.
Pero ese tipo de soluciones puede salir más cara
Pues depende, más caro es que te entren, te roben todos los datos y tengas que cerrar.
¿Qué ofrece Barracuda que no ofrezcan los demás?
No solamente es Firewall, es también seguridad en todo lo que es la nube, los accesos a la información que pueda tener una empresa en diferentes nubes como puede ser Amazon, Azure...Disponemos de herramientas que se despliegan en todas estas nubes y permiten la interconexión entre ellas de manera segura. Ello, unido a que tú puedes tener ese dispositivo en tu red para poder conectarte a todas esas nubes de manera segura, pues permite que puedas tener tus datos en todas partes de forma segura.
Me consta que son muchas las empresas con más de cinco empleados que no tienen este sistema
Es probable, por encima de 20 tienen algo, igual no esto, con menor potencia, pero sí otra solución de seguridad; pero por encima de cien siempre, y si no lo tuvieran, es peligroso. Desgraciadamente, en muchas ocasiones las pymes aprenden por las malas.
¿Es muy español lo de acordarnos de Santa Bárbara cuando truena, o pasa en todas partes?
Probablemente sea muy español, pero no es un problema que solo se viva en España. Durante mucho tiempo, la inversión en seguridad se ha visto como un gasto que no era una necesidad prioritaria. Y los beneficios cuando todo funciona bien a nivel de seguridad no los ves. Tú lo notas cuando tienes un problema, y entonces te acuerdas, pero para entonces ya tienes el problema. En muchas ocasiones las empresas montan sistemas orientados a dar conectividad, a poder digitalizar su actividad. Se oye mucho eso de "vamos a digitalizar las empresas". Eso está muy bien, pero digitalizar una empresa y llevar cada vez más su actividad al mundo digital implica que se tiene que hacer de manera segura, porque si no lo que estás haciendo es poner toda tu información en un entorno inseguro y muy fácil de atacar para los ciberdelincuentes. Y eso es muy peligroso. Cuando alguien quiere digitalizar ha de entender que ha de invertir en seguridad. No vale decir "en lugar de guardar toda mi información en un fichero en papel, me lo llevo a Amazon o a Azure y lo voy a guardar allí". Fenomenal, vas a ahorrar un montón de espacio, vas a encontrar información de manera más rápida, pero que sepas que si esa información no la securizas puede llegar un señor que puede borrártela o robarla para chantajearte o incluso atacar a tus proveedores o clientes
"Hemos visto el caso de empresas que en un momento dado se han recuperado de un ataque de Ransomware utilizando el back up, y a través de las herramientas de back up han logrado recuperar los datos de los usuarios y cuando los han recuperado, al recuperar el back up, el dato en cuestión ya venía con el fichero de malware"
¿Todavía hay gente que no hace copias de seguridad?
Sí, y esa es la última barrera cuando hablamos de ransomware. El ransomware es un tipo de malware que lo que va a hacer siempre que entre en una red (pequeña, grande o mediana) es tratar de cifrar esos datos. Si lo logra es muy probable que no puedas recuperarlos. La única forma de recuperarte de ese ataque es tener un back up.
¿Ofrecéis estos servicios de forma integral?
Tenemos herramientas de back up y también de Zero Trust...Tenemos una amplia oferta de herramientas de ciberseguridad pero no las vendemos al cliente final de manera directa, sino a través de integradores. Son los que le instalan el servicio al cliente, le acompañan en el proceso de llevar a producción las soluciones, y explicarles cómo funciona o dar esos servicios de manera que el cliente no tenga que ocuparse de nada. Los integradores con los que trabajamos son las mejores compañías de ciberseguridad de España. No voy a mencionar a uno para no olvidarme de otro.
¿Estas integradoras pueden ofrecer vuestras soluciones a empresas con capacidades económicas distintas?
La ventaja de estar especializados en el mundo cloud es que una de sus características permite que la misma solución que adquiere una empresa de 20 ó 30 empleados sea la que adquiere otra empresa de 20.000, porque realmente, en el mundo cloud la escalabilidad de las soluciones es prácticamente ilimitada. Tú, cuando quieres montar una solución en un appliance, este tiene que ser más grande o más potente cuantos más usuarios tengas que proteger, porque eso significa más conexiones, más tráfico de datos... Necesitas un equipo cada vez más potente. Sin embargo en el cloud, cuando despliegas soluciones de ciberseguridad, la capacidad de proceso va creciendo a medida que van creciendo tus usuarios. Tenemos por ejemplo soluciones orientadas a proteger Office 365 que se diferencian por usuario. Entonces la misma solución que tiene una empresas de cinco o diez empleados es la misma solución que puede tener una empresa con decenas de miles. Y eso no lo vendemos al cliente final, sino mediante soluciones integradas. Tú, un antivirus lo compras y te lo instalas, y más o menos te defiendes, pero cuando hablamos de soluciones de seguridad empresariales normalmente hay que configurar cosas en la solución de seguridad para adaptarla al entorno de esa empresa, y para eso es necesario que haya un integrador especializado en ciberseguridad.
¿Por qué estamos sufriendo tantas ciberestafas con compromisos de e-mail? ¿Somos más tontos que antes o vamos demasiado deprisa?
El canal de e-mail es el más sencillo de atacar. Un correo electrónico es algo que tienen todas las empresas, todos los usuarios y al final es algo que es muy sencillo para los ciberdelincuente explotar- Van mejorando sus capacidades de ataque, invierten mucho en ello, y los fabricantes de soluciones de seguridad invertimos también mucho en contrarrestarlos. Al final es un poco el juego del gato y el ratón. Es a ver quién corre más.
¿Y quién va a ganar? ¿Qué solución hay?
Yo lo que recomiendo aquí es tener unas medidas de seguridad adecuadas… no digo las más altas posibles, o las más altas del mundo, pero sí mas altas que la media. Al final los ciberdelincuentes lo que hacen es seguir el criterio de máximo beneficio. ¿Para qué van a atacar a una empresa con un nivel de seguridad muy alto si pueden atacar con la mitad de esfuerzo a otro que tiene un nivel de seguridad mas bajo? Tener medidas de seguridad razonables es el paso número uno para protegernos. En cuanto a los ataques con correo electrónico el más común es el del Ransomware, y se basa mucho en la ingeniería social. Se intenta que a través de un correo electrónico, algún usuario clique en un link y ejecute algo que hay en la página web o descargue algún tipo de ejecutable, y para lograrlo se suelen usar estas técnicas de ingeniería social. Desde "ha ganado un premio" y clique aquí para abrirlo, a otros trucos. Lo malo es que cuando un ransomware entra en una red empieza a extenderse por la organización de forma silenciosa, va a ir cifrando todos aquellos repositorios de información que encuentra, y lo que va a intentar es llegar a la zona interna donde está la información corporativa y lo cifra todo para obtener un rescate. La solución siempre pasa por implementar soluciones de seguridad correctamente configuradas para el entorno de la empresa así como por la correcta formación de la plantilla de la empresa que debe ser capaz de tener conocimientos suficientes para auto protegerse e identificar ataques como los que llegan por correo electrónico
¿Alguna anécdota sin decir nombres?
Hemos visto el caso de empresas que en un momento dado se han recuperado de un ataque de Ransomware utilizando el back up, y a través de las herramientas de back up han logrado recuperar los datos de los usuarios y cuando los han recuperado, al recuperar el back up, el dato en cuestión ya venía con el fichero de malware. Si llegaba un correo con un adjunto, había una copia de seguridad de ese fichero con ese adjunto. Cuando se recuperan los datos, el mismo usuario ve el mismo adjunto con el mismo e-mail y vuelve a clicarlo y vuelve a infectarlo. Hay muchas empresas a las que les pasa. A veces no es el mismo usuario, pero sí es la misma empresa. Una de las cosas con las que hay que contar es tener herramientas de back up que no solo mantengan el back up separado de la red, para que no te lo cifren, y luego tener medidas de seguridad que impidan que el back up esté ejecutando copias de seguridad del propio malware.
Se habla mucho de las amenazas persistentes que tardan en despertar ¿Que hay que hacer para evitar a estas "feas durmientes" en las redes de las empresas?
Hay que tener una política de seguridad basada en tres niveles. Por un lado evitar el paso, ya sea por correo electrónico, ya sea por web, por la forma que sea, procurar que esas amenazas no entren. Y luego tener previsto qué vas a hacer si esas amenazas entran, porque de una forma u otra entran. Tienes que tener las herramientas necesarias para que, sí te ha entrado algo, poder localizarlo y tomar medidas para combatirlas dentro de tu red antes de que se extiendan más. Hay que tener medidas preventivas. Y en segundo lugar, medidas reactivas. El tercer nivel que tenemos que considerar es el de disponer de herramientas para recuperarnos en caso de ataque, 1 estaríamos hablando en este caso de herramientas de backup y archivado por ejemplo. Si a pesar de tener medidas preventivas ha entrado el ataque ,y si a pesar de tener medidas reactivas hay usuarios con pérdidas de información, es importante disponer de una copia de back up para poder recuperarlo y volver al servicio como antes.
También se habla mucho de la guerra, pero muy poco de los ciberataques ... ¿Se están ocultando "las bajas" para no dar pistas al enemigo?
En una situación como la que tenemos, pues lógicamente no se quiere dar pistas al enemigo como indicabas. No es que se estén silenciando. Nosotros, por ejemplo, no tenemos ninguna directriz de silenciar nada. Tenemos una página web pública donde colgamos toda la información de los ataques que detectamos. Y me consta que muchos otros fabricantes actúan de la misma manera. Lo que sucede es que a nivel de la opinión pública llama mucho más la atención los ataques físicos, las noticias que vemos de bombardeos y demás, que no un ataque cibernético. Se le presta menos atención en los telediarios.
"El cibercrimen no tiene ya a chavales torpes desde un sótano de un bar con faltas de ortografía. Estamos hablando de grandes empresas, con recursos, que contratan a mil ingenieros antes de que terminen la carrera y a guionistas, traductores. Es una industria, muy, muy potente"
No estoy de acuerdo ¿Pero no hay una mayor autocensura, o digamos prudencia que evita que se den a conocer esas noticias?
Nosotros, como te hemos dicho, seguimos con nuestra política de transparencia, igual hay en general algo más de cuidado para no alimentar fobias. La información que damos es siempre lo más objetiva posible. Nuestro CTO hace poco reconoció que se habían incrementado los ataques, que proceden o parecen proceder de Rusia, y que se habían notado ataques novedosos, en el sentido de que tradicionalmente se detectaban muchos ataques de Ransomware, y hemos empezado a detectar ataques en los que no es tanto un ataque de ransomware sino que lo que se intenta es infectar la empresa con un malware que pretende destruir la información. No se busca un objetivo económico, sino hacer daño. Eso es público y nosotros lo hemos dicho. . También existe el hecho de que a veces no se quiere llamar la atención y reconocer que tu empresa está siendo atacada y eso es un error de concepción. Raro sería que no fueran atacadas. Hay miles de ejemplos de empresas, pequeñas y grandes, que están recibiendo ataques de manera diaria. Antes, durante y después de la guerra.
Y aunque te pille un poco fuera de tu órbita, se habla de cifras escandalosas en cuanto a las estafas románticas o Love Scams, según un estudio, desde 2021, el segundo puesto en el ranking de fraudes a pagar en criptomonedas lo ocupaban este tipo de estafas, con 185 millones de dólares ¿Qué opinión te merecen estos datos?
Es que hay miles de millones de seres humanos en el mundo y tiene que haber de todo. Estafas las ha habido siempre y las habrá. Y no son estafas nuevas. Lo único que simplifica Internet es que tienen un mayor alcance. Antes para que pudiera haber una estafa de este tipo tenía que haber un contacto con esa persona, tenía que conocerla. Y ahora el mismo estafador puede hacer el mismo timo a cientos de personas de forma casi simultánea. Si quieres, quizá pueda ser un síntoma de la soledad que se produce en nuestra sociedad.
¿Y no será que están perfeccionando sus métodos?
El cibercrimen tiene una cantidad de recursos económicos brutal. porque se acercan cada vez más en número de ingresos al narcotráfico o al tráfico de armas. No tienen ya chavales torpes desde un sótano de un bar con faltas de ortografía. Estamos hablando de grandes empresas con recursos que contratan a mil ingenieros antes de que terminen la carrera y a guionistas, traductores. Es una industria, muy muy potente. Hay más estafas porque se profesionalizan, se profesionalizan porque consiguen más réditos económicos, consiguen más rédito porque tienen más impacto sus ataques. Y al final es un círculo vicioso para la sociedad porque este tipo de industrias, mientras no se le ponga coto, va a seguir existiendo. El día que tengan más recursos los ataques serán más exitosos. La única forma de parar esto es que a nivel de estados y de ciudadanos nos concienciemos y empecemos a ponerle coto. Que empecemos a formarnos, y a invertir en mejores herramientas de seguridad y no solo en las grandes empresas porque al final la panadería de la esquina también se puede infectar con malware que robe tus datos de tarjeta cuando vas a pagar …
Los ciberataques afectan a toda la sociedad independientemente de que se centren en una empresa o en otra o de que infecten a usuarios particulares o a grandes administraciones… al final de forma directa o indirecta nos termina afectando a todos.
Ya hay quien se niega a coger la tarjeta de una persona que conoce en un acto mediante el código QR, como servidora ¿Nos pasamos los medios infamando de tantos peligros y podemos provocar miedo a la tecnología?
Mientras siguen creciendo tanto los ataques probablemente es mejor ser un poco paranoico y no escanear un QR aunque probablemente no tenga nada, que correr el riesgo de escanearlo. No hay que tener pánico, pero sí respeto. Es como salir a las tantas de la madrugada solo de noche con la cartera abierta enseñando billetes por el peor barrio de tu ciudad. Si no haces eso por prudencia, cuida también la ciberseguridad. En términos generales la sociedad está muy lejos de ser paranoica con estos temas. Queda mucho por recorrer.
Algún truco para las contraseñas
Una frase que recuerdes lo más larga posible, (y que no sea "En un lugar de la mancha de cuyo nombre no quiero acordarme"), y que esa frase sea fácil de recordar para que puedas jugar con ella alterando de algunos caracteres de forma significativa para ti. Y por muy buena que sea, es una mala contraseña si la usas en más de un sitio. Si no puedes aprenderte 27 frases utiliza un buen gestor de contraseñas.