Juan Santamaría, nuevo CEO de Panda: «Vivimos un momento en el que hay una ciberguerra mundial»
Durante el evento hemos visto numerosos momentos en los que se ha aludido a ciberguerreros o ciberarmas, ¿estamos viviendo una ciberguerra?
Sin duda. Es un momento en el que los países han visto que tienen que ascender al ciberespacio, las estrategias de defensa al menos. Algunos también de ataque para hacer estrategias convencionales de posicionamiento político dentro del mundo. Por tanto, han reforzado con herramientas y con personas esas estrategias de cara a lo que es el ciberespacio. Vivimos un momento en el que hay una ciberguerra de manera continua y a nivel mundial.
¿España está preparada para enfrentarla?
España tiene una buena preparación y esa preparación además está en el contexto de Europa. Nunca se está lo suficientemente preparado comparado con las aspiraciones que uno tiene y los ciberatacantes lo ponen siempre muy difícil: están muy bien financiados, son muchos y van contra las barreras tradicionales. Además, tienen mucha experiencia en como sobrepasarlas. España y Europa en general tienen que hacer un esfuerzo por conseguir defensar apropiadas para estos nuevos tipos de ataques. Pero hay gente muy bien preparada, muy valiosa y claramente hay un proyecto en ejecución para tratar de estar a la altura.
¿Se sabe de dónde proceden los ciberatacantes que tienen como objetivo España?
Es muy natural de este espacio el no llegar nunca a saber quién fue el que atacó. A diferencia del mundo físico, aquí evitar o conseguir borrar las trazas del que hizo el ataque es bastante factible. Por lo tanto, en la mayoría de los casos no se llega a saber quién fue el que lo hizo. Hay muchos indicios y en algunos de los grandes ataques pues parece bastante claro quién ha sido, pero determinarlo como con una auditoría y certificarlos normalmente es imposible.
El presidente de Panda ha mencionado que hay unas 100.000 vulnerabilidades contabilizadas, pero que en ningún momento se han subsanado, ¿alguna de ellas está en España?
Están por todo el mundo. Esas 100.000 vulnerabilidades que son conocidas y están en la mayoría de los sistemas más conocidos. Microsoft o Adobe lo hacen muy bien, pero aún así el código informático por su propia naturaleza nunca es perfecto al 100% a afectos de seguridad. Y esas son 100.000 vulnerabilidades que existen conocidas. También ha dicho el analista de Gartner que hay cientos de miles, quizás millones desconocidas. Es una carrera continua, donde siempre se va un poquito por detrás de tener las vulnerabilidades cubiertas. Y por eso las estrategias de protección tienen que tener, además de una estrategia de vulnerabilidades, muchas otras complementarias para tratar de ser resilientes.
¿Esos fallos que tiene el código no son, en cierta manera, fruto de lanzar productos al mercado lo más rápido posible por la competencia?
Bueno, esa es una motivación de algunas de las vulnerabilidades, pero incluso aunque la gente intentara hacer un control de calidad total antes de sacarlo, y no tener tantas prisas, en la propia naturaleza del código, que tiene que ser capaz de atender a muchos caso de uso. Es imposible predecir todos los vectores de ataque. Por lo que no creo que haya una motivación de precipitarse en la rapidez de llegar al mercado y comprometer la seguridad del código. Normalmente, eso no es la motivación por la que la mayoría del código puede tener vulnerabilidades.
Durante el ataque WannaCry se vio que llegó a buen término porque se usó un paquete de herramientas (exploits) que habían robado a la NSA, ¿no son culpables, en cierta manera, los estados que fabrican este tipo de ciberarmas?
Los estados tienen responsabilidad en fabricar herramientas para defenderse y a veces defenderse implica atacar. Si te las roban, acaban en malas manos y pueden terminar en un ataque contra ti. Pero a veces estas propias herramientas los estados las han comprado también. Es un mal menor que a veces tiene el tener una estrategia de defensa.
Ahora mismo se está viendo que el sector de la ciberseguridad hay una fuerte demanda de empleo, no hay suficientes personas cualificadas para cubrir los puestos. ¿Será eso un problema de cara al nivel requerido necesario para una defensa?
Ese es probablemente uno de los grandes retos de una estrategia de ciberseguridad hoy en día, el conseguir gente capacitada al nivel de los ciberatacantes. Probablemente también es una carrera continua por conseguir tenerlos y retenerlos. Es parte del problema de ir por detrás de los atacantes en ocasiones. Por eso es tan importante contar con productos que automaticen esa gestión de la ciberdefensa, que es una de las virtudes que nosotros vemos de la propuesta de valor de la nueva plataforma de ciberseguridad avanzada de Panda, donde hay un servicio base incluido en el producto que trata de hacer que las cosas en las que Panda es experta no necesiten tener expertos en las empresas, además de los de Panda. Y complementarlo con empresas de servicios especializadas. Esa es un poco la estrategia.